08-代理策略命令
本章节下载: 08-代理策略命令 (283.10 KB)
目 录
1.1.2 app-proxy ssl-decrypt-certificate delete
1.1.3 app-proxy ssl-decrypt-certificate import
1.1.4 app-proxy ssl-decrypt-certificate modify
1.1.5 app-proxy ssl whitelist activate
1.1.6 app-proxy ssl whitelist predefined-hostname enable
1.1.7 app-proxy ssl whitelist user-defined-hostname
1.1.10 destination-ip object-group
1.1.13 display app-proxy server-certificate
1.1.14 display app-proxy ssl-decrypt-certificate
1.1.15 display app-proxy ssl whitelist hostname
1.1.16 display app-proxy ssl whitelist ip
1.1.17 display app-proxy-policy
1.1.22 reset app-proxy server-certificate
action命令用来配置代理策略规则的动作。
undo action命令用来恢复缺省情况。
【命令】
action { no-proxy | ssl-decrypt | tcp-proxy }
undo action
【缺省情况】
代理策略规则动作为no-proxy。
【视图】
代理策略规则视图
【缺省用户角色】
network-admin
【参数】
no-proxy:表示动作为不代理。
ssl-decrypt:表示动作为SSL解密。
tcp-proxy:表示动作为TCP代理。
【使用指导】
设备将根据代理策略规则的动作对命中规则的流量进行如下处理:
· 代理策略的动作配置为不代理时,设备将对命中策略的流量进行透传。
· 代理策略的动作配置为SSL解密时,设备将对命中策略的流量进行SSL代理,并基于此对SSL流量进行解密,并对解密后的流量进行深度安全检测和七层负载均衡。其中,SSL代理是基于TCP代理实现的。
· 代理策略的动作配置为TCP代理时,设备将对命中策略的流量进行TCP代理,为客户端和服务器端之间提供TCP层隔离,可有效地拦截恶意连接和攻击。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置代理策略规则rule1的动作为SSL解密。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-0-rule1] action ssl-decrypt
【相关命令】
· display app-proxy-policy
· rule
app-proxy ssl-decrypt-certificate delete命令用来删除SSL解密证书。
【命令】
app-proxy ssl-decrypt-certificate delete filename filename
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
filename:表示SSL解密证书的文件名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
如果删除SSL解密证书,设备将不能签发SSL代理服务器证书发送到客户端,SSL代理连接失败,设备将直接透传报文。
当证书成功导入设备后,文件类型会被改为CER格式,删除证书时需要将指定的证书后缀名改为.cer。
【举例】
# 删除SSL解密证书。
<Sysname> system-view
[Sysname] app-proxy ssl-decrypt-certificate delete filename aaa.cer
【相关命令】
· display app-proxy ssl-decrypt-certificate
app-proxy ssl-decrypt-certificate import命令用来导入SSL解密证书。
【命令】
app-proxy ssl-decrypt-certificate import { trusted | untrusted } { pem | p12 } filename filename
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
trusted:表示SSL解密证书可以用于签发标识为可信的SSL代理服务器证书。用于传递真实服务器证书合法的信息给客户端。
untrusted:表示SSL解密证书可以用于签发标识为不可信的SSL代理服务器证书。客户端不信任的CA证书。用于传递真实服务器证书非法的信息给客户端,让用户感知到可能存在的安全风险。
pem:表示导入的证书的格式为PEM编码。
p12:表示导入的证书的格式为PKCS#12编码。
filename filename:表示导入的证书文件的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
导入SSL解密证书时需要为其标识可以签发的SSL代理服务器证书的可信度。
当设备接收到服务器证书后,将代替客户端对服务器的合法性进行验证,并使用具备签发不同标识功能的SSL解密证书签发不同标识的SSL代理服务器证书向客户端传递服务器的合法性信息:
· 当服务器合法时:设备将使用可签发可信标识的SSL解密证书签发一本可信SSL代理服务器证书,向客户端传递此服务器合法的信息。
· 当服务器不合法时:设备将使用可签发不可信标识的SSL解密证书签发一本不可信SSL代理服务器证书,向客户端传递此服务器不合法的信息。
设备上只能存在一份可信SSL解密证书和一份不可信SSL解密证书,多次执行本命令,后续导入的可信或者不可信证书会覆盖原有的证书。
同一本 SSL解密证书仅可导入一次,如果需要为同一本证书标识两种可信度,可执行app-proxy ssl-decrypt-certificate modify命令为证书添加可信度标识。
需要在客户端浏览器上安装并信任SSL解密证书。防止设备启用SSL解密功能后,客户端通过浏览器访问HTTPS类网站时,会弹出服务器证书不是由受信任机构颁发的告警信息,甚至有些应用程序不提示告警信息就直接中断了连接,影响用户的正常使用。
默认情况下,火狐浏览器不共享系统中的证书库,如果已经在其他浏览器上导入SSL卸载证书,则可以通过修改火狐浏览器中的高级设置,使其共享系统中的证书库,不再单独导入证书,具体操作步骤如下:
在地址栏中输入:about:config,搜索框中输入:security.enterprise_roots.enabled,双击选中的条目,或者单击鼠标右键,选择切换,修改其值为true。
导入成功后,设备将修改证书文件类型为CER格式。
【举例】
# 导入PKCS#12编码格式的用于签发可信SSL代理服务器证书的SSL解密证书。
<Sysname> system-view
[Sysname] app-proxy ssl-decrypt-certificate import trusted p12 filename aaa.p12
Password:
【相关命令】
· display app-proxy ssl-decrypt-certificate certificate
app-proxy ssl-decrypt-certificate modify命令用来添加SSL解密证书可签发SSL代理服务器证书的可信度。
undo app-proxy ssl-decrypt-certificate modify命令用来删除SSL解密证书可签发SSL代理服务器证书的可信度。
【命令】
app-proxy ssl-decrypt-certificate modify { trusted | untrusted } filename filename
undo app-proxy ssl-decrypt-certificate modify { trusted | untrusted }
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
trusted:表示SSL解密证书可以用于签发标识为可信的SSL代理服务器证书。用于传递真实服务器证书合法的信息给客户端。
untrusted:表示SSL解密证书可以用于签发标识为不可信的SSL代理服务器证书。客户端不信任的CA证书。用于传递真实服务器证书非法的信息给客户端,让用户感知到可能存在的安全风险。
filename:表示SSL解密证书文件的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
本命令可用于为同一本SSL解密证书添加可签发SSL代理服务器证书的可信度,即使用一本SSL解密证书同时签发可信和不可信的SSL代理服务器证书。
为SSL解密证书添加指定的可信度后,原指定可信度的证书将被删除。
删除SSL解密证书指定的可信度后,SSL解密证书不可签发指定可信度的SSL代理服务器证书,但SSL解密证书仍然保存在设备中,不会被删除,管理员可再次为SSL解密证书添加可信度。
当SSL解密证书成功导入设备后,文件类型会被改为CER格式,修改证书时需要将指定的证书后缀名改为.cer。
【举例】
# 修改用于签发SSL代理服务器证书的CA证书为可信证书。
<Sysname> system-view
[Sysname] app-proxy ssl-decrypt-certificate modify trusted filename aaa.cer
[Sysname] A trusted CA certificate already exists. Overwrite the existing trusted CA certificate with the specified certificate? [Y/N]:
【相关命令】
· display app-proxy ssl-decrypt-certificate
app-proxy ssl whitelist activate命令用来激活SSL代理白名单的配置。
【命令】
app-proxy ssl whitelist activate
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
需要激活SSL代理域名白名单配置的场景如下:
· 对自定义SSL代理域名白名单进行添加、修改和删除操作。
· 对预定义SSL代理域名白名单进行启用或禁用操作。
【举例】
# 配置example.com加入SSL代理域名白名单,并激活配置。
<Sysname> system-view
[Sysname] app-proxy ssl whitelist user-defined-hostname example.com
To activate the setting, execute app-proxy ssl whitelist activate.
[sysname] app-proxy ssl whitelist activate
【相关命令】
· app-proxy ssl whitelist predefined-hostname enable
· app-proxy ssl whitelist user-defined-hostname
app-proxy ssl whitelist predefined-hostname enable命令用来启用预定义SSL代理域名白名单。
undo app-proxy ssl whitelist predefined-hostname enable命令用来禁用预定义SSL代理域名白名单。
【命令】
app-proxy ssl whitelist predefined-hostname { chrome-hsts [ hostname ] | hostname } enable
undo app-proxy ssl whitelist predefined-hostname { chrome-hsts [ hostname ] | hostname } enable
【缺省情况】
预定义SSL代理域名白名单处于启用状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
chrome-hsts [ host-name ]:表示Chrome浏览器强制使用HTTPS方式访问的域名。host-name,表示域名,为1~63个字符的字符串,不区分大小写。当名称中包含空格时,需要使用双引号将名称括起来”例如"user for test"。若不指定本参数,则表示所有Chrome-hsts类型的域名。
host-name:表示不被Chrome浏览器强制使用HTTPS方式访问的域名,为1~63个字符的字符串,不区分大小写。当名称中包含空格时,需要使用双引号将名称括起来”例如"user for test"。
【使用指导】
HSTS(HTTP Strict Transport Security)国际互联网工程组织IETF正在推行一种新的Web安全协议。HSTS的作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接。当chrome-hsts白名单整体处于禁用状态时,单独启用或禁用指定的chrome-hsts域名不生效。
当chrome-hsts白名单整体处于开启状态时,可单独启用或禁用指定的chrome-hsts域名。
【举例】
# 整体禁用预定义SSL代理域名白名单中的chrome-hsts。
<Sysname> system-view
[sysname] undo app-proxy ssl whitelist predefined-hostname chrome-hsts enable
To activate the setting, execute app-proxy ssl whitelist activate.
# 禁用预定义SSL代理域名白名单中的12306.cn。
<Sysname> system-view
[sysname] undo app-proxy ssl whitelist predefined-hostname 12306.cn enable
To activate the setting, execute app-proxy ssl whitelist activate.
【相关命令】
· app-proxy ssl whitelist activate
· display app-proxy ssl whitelist
app-proxy ssl whitelist user-defined-hostname命令用来添加自定义SSL代理域名白名单。
undo app-proxy ssl whitelist user-defined-hostname命令用来删除自定义SSL代理域名白名单。
【命令】
app-proxy ssl whitelist user-defined-hostname host-name
undo app-proxy ssl whitelist user-defined-hostname { host-name | all }
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
host-name:表示服务器域名,为1~63个字符的字符串,不区分大小写。当名称中包含空格时,需要使用双引号将名称括起来,例如"user for test"。
all:表示删除自定义SSL代理域名白名单中的所有域名。
【使用指导】
设备使用host-name与SSL请求报文中携带的服务器证书的“DNS Name”或“Common Name”字段进行匹配,只要含有host-name的域名均会匹配成功。若匹配成功,则透传该SSL连接。
配置本命令后需要执行app-proxy ssl whitelist activate命令,使配置生效。
【举例】
# 添加名为example.com的自定义SSL代理域名白名单,并提交配置。
<Sysname> system-view
[Sysname] app-proxy ssl whitelist user-defined-hostname example.com
To activate the setting, execute app-proxy ssl whitelist activate.
[sysname] app-proxy ssl whitelist activate
【相关命令】
· app-proxy ssl whitelist activate
· display app-proxy ssl whitelist
app-proxy-policy命令用来进入代理策略视图。
undo app-proxy-policy命令用来删除所有代理策略配置。
【命令】
app-proxy-policy
undo app-proxy-policy
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
目前仅支持IPv4代理策略。
【举例】
# 进入代理策略视图。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy]
【相关命令】
· display app-proxy-policy
default action命令用来配置代理策略的缺省动作。
undo default action命令用来恢复缺省情况。
【命令】
default action { no-proxy | ssl-decrypt | tcp-proxy }
undo default action
【缺省情况】
缺省动作为no-proxy。
【视图】
代理策略视图
【缺省用户角色】
network-admin
【参数】
no-proxy:表示动作为不代理。
ssl-decrypt:表示动作为SSL解密。
tcp-proxy:表示动作为TCP代理。
【使用指导】
配置此命令后,当报文没有匹配上代理策略中的规则时,设备将根据缺省动作对此报文进行处理。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置代理策略的缺省动作为SSL解密。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] default action ssl-decrypt
destination-ip object-group命令用来配置作为代理策略规则过滤条件的目的IP地址对象组。
undo destination-ip object-group命令用来删除作为代理策略规则过滤条件的目的IP地址对象组。
【命令】
destination-ip object-group object-group-name
undo destination-ip object-group [ object-group-name ]
【缺省情况】
未配置作为代理策略规则过滤条件的目的IP地址对象组。
【视图】
代理策略规则视图
【缺省用户角色】
network-admin
【参数】
object-group-name:表示目的地址对象组的名称,为1~31个字符的字符串,不区分大小写,且不能为字符串any。
【使用指导】
多次执行本命令,可配置多个目的IP地址作为代理策略规则的过滤条件。只要一个目的IP地址匹配成功,则认为目的IP地址过滤条件匹配成功。
指定的对象组必须已存在,若指定一个不存在的对象组,配置将下发失败。
使用undo命令时若不指定本参数,则表示删除所有目的IP地址对象组过滤条件。有关地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。
【举例】
# 配置作为代理策略规则rule1过滤条件的目的地址对象组为client1和client2。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-0-rule1] destination-ip object-group client1
[Sysname-app-proxy-policy-0-rule1] destination-ip object-group client2
【相关命令】
· display app-proxy-policy
· object-group(安全命令参考/对象组)
destination-zone命令用来配置作为代理策略规则过滤条件的目的安全域。
undo destination-zone命令用来删除作为代理策略规则过滤条件的目的安全域。
【命令】
destination-zone destination-zone-name
undo destination-zone [ destination-zone-name ]
【缺省情况】
未配置作为代理策略规则过滤条件的目的安全域。
【视图】
代理策略规则视图
【缺省用户角色】
network-admin
【参数】
destination-zone-name:表示目的安全域的名称,为1~31个字符的字符串,不区分大小写,且不能为字符串any。
【使用指导】
多次执行本命令,可配置多个目的安全域作为代理策略规则的过滤条件。只要一个目的安全域匹配成功,则认为目的安全域过滤条件匹配成功。
如果指定的安全域不存在,配置可以成功下发,但不生效。
使用undo命令时若不指定此参数,则表示删除此规则中所有目的安全域类型的过滤条件。有关安全域的详细介绍,请参见“安全配置指导”中的“安全域”。
【举例】
# 配置作为代理策略规则rule1过滤条件的目的安全域为trust和server。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-0-rule1] destination-zone trust
[Sysname-app-proxy-policy-0-rule1] destination-zone server
【相关命令】
· display app-proxy-policy
· security-zone(安全命令参考/安全域)
disable命令用来禁用代理策略规则。
undo disable命令用来启用代理策略规则。
【命令】
disable
undo disable
【缺省情况】
代理策略规则处于启用状态。
【视图】
代理策略规则视图
【缺省用户角色】
network-admin
【使用指导】
禁用代理策略规则后,流量不会与代理策略规则进行匹配。
多条规则处于启用状态时,流量会按序匹配这些规则,一旦匹配成功就按照当前规则所配置动作处理。
【举例】
# 在代理策略规则视图下,禁用代理策略规则rule1。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-0-rule1] disable
【相关命令】
· rule
display app-proxy server-certificate命令用来显示客户端访问的服务器的证书。
【命令】
display app-proxy server-certificate [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:显示指定成员设备上客户端访问的服务器的证书,slot-number表示设备在IRF中的成员编号。不指定该参数时,显示所有成员设备上客户端访问的服务器的证书。
【使用指导】
可通过本命令查看设备作为SSL代理客户端时接收到的客户端访问的服务器证书。
【举例】
# 显示指定slot上的客户端访问的服务器的证书。
<Sysname> display app-proxy server-certificate slot 1
Slot1:
Total server certificates: --
Certificate info: /cn=h3c-https-self-signed-certificate-13a73249669cc70a
Proxy count: 198
Most recent proxy time: 2017/10/25 10:7:7
First proxy at: 2017/10/23 15:52:59
图1-1 display app-proxy ssl certificate命令显示信息描述表
字段 |
描述 |
Total server certificates |
客户端访问的服务器证书总数 |
Certificate info |
证书的一些关键信息,取值包括: · Certificate Info: example.com:表示证书中有“DNS Name”字段,example.com是证书的“DNS Name”。 · Certificate Info: /cn=example.com:表示证书中无“DNS Name”字段,example.com是证书的“Common Name”。 |
Proxy count |
进行SSL代理的次数 |
Most recent proxy time |
最近一次进行SSL代理的时间 |
First proxy at |
第一次进行SSL代理的时间 |
【相关命令】
· reset app-proxy server-certificate
display app-proxy ssl-decrypt-certificate命令用来显示SSL解密证书。
【命令】
display app-proxy ssl-decrypt-certificate
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示SSL解密证书。
<Sysname> display app-proxy ssl-decrypt-certificate
Trusted:
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
aa:31:f8:3d:06:b0:9b: Signature Algorithm: sha1WithRSAEncryption
Issuer: C=CN, ST=bj, L=cp, O=dpi, OU=sec, CN=trustca
Validity
Not Before: Sep 7 12:00:43 2017 GMT
Not After : Aug 28 12:00:43 2057 GMT
Subject: C=CN, ST=bj, L=cp, O=dpi, OU=sec, CN=trustca
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:ec:d7:73:af:03:07:07:86:e6:31:4d:e5:32:09:
20:7f:93:19:20:b2:25:c4:cc:32:8e:e4:29:fd:e0:
30:48:4c:8d:0a:83:66:28:af:6a:e0:69:81:08:58:
ca:cf:e4:3d:5a:e8:69:92:67:71:e3:c0:66:87:8e:
16:cc:6a:89:1d:d4:22:5f:93:14:47:bd:39:60:44:
3c:ee:0a:d1:8d:d4:16:84:65:e9:b7:b1:0f:6d:af:
6e:ef:21:b5:5a:02:4f:63:46:6e:8b:73:b5:95:70:
8a:ed:5d:23:8b:d8:0e:45:2d:8b:52:ab:34:6d:3b:
d5:85:ae:1c:d4:26:6e:fb:2c:1e:18:db:55:22:96:
d8:1f:1a:33:e9:ff:1f:8c:be:28:9d:de:77:d8:9b:
a7:27:0f:7e:e2:52:3e:bd:02:ee:c3:06:93:d0:16:
b0:c7:96:bb:c8:b1:96:8d:ee:ca:6e:76:63:1e:b1:
b6:fb:31:bf:d0:13:66:ad:f6:97:cf:0b:37:f7:6c:
f8:46:b6:76:f1:70:6f:24:6c:92:a6:dd:c2:3b:cf:
3c:35:c7:74:60:dd:db:a3:bf:70:b4:55:05:4b:d7:
cd:dd:c1:1b:59:0d:41:e7:95:5a:79:44:9d:b0:8b:
a7:f2:f4:67:0e:0c:4a:b6:35:97:1e:e6:99:88:fc:
c8:e9
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Alternative Name:
IP Address:1.1.1.1, DNS:trustca, email:[email protected]
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Key Usage: critical
Certificate Sign, CRL Sign
X509v3 Subject Key Identifier:
D4:35:A8:66:63:03:04:2B:CA:4E:91:06:11:F5:72:1C:26:E0:BE:33
Netscape Cert Type:
SSL CA
Netscape Comment:
example comment extension
Signature Algorithm: sha1WithRSAEncryption
b9:d2:eb:98:bd:f9:8d:7e:03:a8:0e:b4:29:cf:3a:a1:fd:f4:
2a:fa:56:1c:cf:40:a4:9e:7f:5a:15:6b:88:8a:dd:86:d2:03:
c3:38:49:7a:11:09:78:81:8c:8f:0a:3b:fb:d6:60:59:c4:0b:
12:0e:38:b0:92:f3:2e:b5:96:ab:d3:a4:2d:cb:ef:fd:a0:97:
d0:63:43:8e:91:1f:f1:fc:39:c8:cf:e5:ee:4b:e7:8c:8b:f8:
3b:ff:5e:dc:00:df:5b:2f:98:53:f2:c7:da:fa:b8:2e:92:dd:
33:6a:80:df:0e:22:62:62:5d:2f:6c:eb:4c:80:c4:56:c9:00:
01:a6:82:60:e4:32:69:f7:7b:8f:6c:93:e5:c3:64:65:fe:aa:
e1:0b:10:92:bd:ea:2f:2f:e5:b6:fd:b5:5b:df:34:c8:5d:5a:
91:9a:0d:89:10:76:b8:ed:28:ef:6a:c4:7b:48:d7:88:57:7c:
cf:4e:c8:38:84:ad:54:6d:3f:40:a0:38:d7:36:61:23:7a:82:
62:34:41:3d:cc:b2:ee:4a:23:f1:7d:12:e2:23:26:10:df:c8:
a1:6f:00:00:b7:c2:1f:ce:1b:63:60:e0:63:33:e0:59:31:78:
bc:27:99:b6:27:40:95:da:1b:37:07:75:2f:99:97:56:33:f5:
4f:ad:14:31
图1-2 display app-proxy pki certificate命令显示信息描述表
字段 |
描述 |
Trusted |
证书的可信度,取值包括: · Trusted:客户端信任的证书 · Untrusted:客户端不信任的证书 |
Certificate |
证书的信息 |
Data |
证书的数据 |
Version |
证书的版本 |
Serial Number |
证书的序列号 |
Signature Algorithm |
证书的签名算法 |
Issuer |
证书的颁发者 |
Validity |
证书的有效期 |
Subject |
证书的主题 |
Subject Public Key Info |
证书的主题公钥信息 |
Public Key Algorithm |
公钥算法 |
Public-Key |
公钥信息 |
Modulus |
密钥模数 |
Exponent |
密钥指数 |
X509v3 extensions |
X.509v3证书扩展项 |
X509v3 Subject Alternative Name |
主题的备用名称 |
IP Address |
实体的IP地址 |
DNS |
实体的DNS名 |
|
实体的电子邮箱地址 |
X509v3 Basic Constraints |
基本约束,指出一个证书是否是CA证书 |
X509v3 Key Usage |
密钥用法,指出有效用途 |
X509v3 Subject Key Identifier |
主题密钥标识符 |
Netscape Cert Type |
Netscape证书类型,可以用于指定网景软件的密钥用途 |
Netscape Comment |
Netscape注释,在某些浏览器中可以用于展示注释信息 |
display app-proxy ssl whitelist hostname命令用来显示SSL代理域名白名单。
【命令】
display app-proxy ssl whitelist hostname { predefined | user-defined }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
user-defined:表示显示自定义SSL代理域名白名单。
predefined:表示显示预定义SSL代理域名白名单。
【举例】
# 显示自定义SSL代理域名白名单。
<Sysname> display app-proxy ssl whitelist hostname user-defined
Hostname
example1.com
example2.com
# 显示预定义SSL代理域名白名单。
<Sysname> display app-proxy ssl whitelist hostname predefined
Chrome HSTS-defined hostnames:
status Hostname
enabled 2mdn.net
enabled accounts.firefox.com
enabled aclu.org
enabled activiti.alfresco.com
enabled adamkostecki.de
enabled addvocate.com
enabled adsfund.org
enabled aie.de
enabled airbnb.com
enabled aladdinschools.appspot.com
enabled alexsexton.com
enabled alpha.irccloud.com
enabled android.com
enabled ansdell.net
enabled anycoin.me
enabled apadvantage.com
enabled api.intercom.io
enabled api.lookout.com
enabled api.mega.co.nz
enabled api.recurly.com
enabled api.simple.com
---- More ----
图1-3 display app-proxy ssl whitelist命令显示信息描述表
字段 |
描述 |
Chrome HSTS-defined hostnames |
表示Chrome浏览器强制使用HTTPS方式访问的域名 |
Hostname |
表示域名 |
Status |
表示域名白名单的生效状态,取值包括: · Enabled:表示启用 · Disabled:表示禁用 |
【相关命令】
· app-proxy ssl whitelist predefined-hostname enable
· app-proxy ssl whitelist user-defined-hostname
display app-proxy ssl whitelist ip命令用来显示SSL代理IP地址白名单。
【命令】
display app-proxy ssl whitelist ip { all [ slot slot-number ] | ip-address }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:显示SSL代理IP地址白名单的所有IP地址。
ip-address:显示SSL代理IP地址白名单中指定的IP地址。
slot slot-number:显示指定成员设备上SSL代理IP地址白名单,slot-number表示设备在IRF中的成员编号。不指定该参数时,显示所有成员设备上SSL代理IP地址白名单。
【举例】
# 显示指定slot上的所有SSL代理IP地址白名单。
<Sysname> display app-proxy ssl whitelist ip all slot 1
Slot 1:
IP address Port
10.1.1.1 443
10.10.1.1 443
图1-4 display app-proxy ssl whitelist ip命令显示信息描述表
字段 |
描述 |
IP address |
SSL代理白名单的IP地址 |
Port |
SSL代理白名单的IP地址对应的端口号 |
display app-proxy-policy命令用来显示代理策略的配置信息。
【命令】
display app-proxy-policy [ rule rule-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
rule rule-name:表示代理策略规则的名称,为1~63个字符的字符串,不区分大小写。若不指定本参数,则显示所有代理策略规则的配置。
【举例】
# 显示代理策略的配置信息。
<Sysname> display app-proxy-policy
Default action: ssl-decrypt
Rule with ID 0 and name rule0:
Action: ssl-decrypt
Status:Enabled
Match criteria:
Source security zones: trust
Destination security zones: trust
Source IP address object groups: srcobj
Destination IP address object groups: destobj
Service object groups: serviceobj
Users: user1
User groups: usergroup1
Rule with ID 2 and name rule2:
Action: ssl-decrypt
Status:Enabled
Match criteria:
source-zone: trust
destination-zone: Untrust
图1-5 display app-proxy-policy命令显示信息描述表
字段 |
描述 |
Default action |
表示代理策略的缺省动作,取值包括: · no-proxy:表示不代理 · ssl-decrypt:表示SSL解密 · tcp-proxy:表示TCP代理 |
Rule with ID rule-id and name rule-name |
表示代理策略规则,ID为rule-id,名称为rule-name |
Action |
对匹配上代理策略规则的报文执行动作,取值包括: · no-proxy:表示不代理 · ssl-decrypt:表示SSL解密 · tcp-proxy:表示TCP代理 |
Source security zones |
表示规则过滤条件中的源安全域名称 |
Destination security zones |
表示规则过滤条件中的目的安全域名称 |
Source IP address object groups |
表示规则过滤条件中的源IP地址对象组名称 |
Destination IP address object groups |
表示规则过滤条件中的目的IP地址对象组名称 |
Service object groups |
表示规则过滤条件中的服务对象组名称 |
Users |
表示规则过滤条件中的用户名称 |
User groups |
表示规则过滤条件中的用户组名称 |
rule命令用来创建代理策略规则,并进入代理策略规则视图。如果指定的代理策略规则已经存在,则直接进入代理策略规则视图。
undo rule命令用来删除指定的代理策略规则。
【命令】
rule { rule-id | [ rule-id ] name rule-name }
undo rule { rule-id | name rule-name }
【视图】
代理策略视图
【缺省用户角色】
network-admin
【参数】
rule-id:表示代理策略规则的编号,取值范围为1~65535。若未指定本参数,系统将从1开始,自动分配一个大于现有最大编号的最小编号,步长为1。如果现有最大编号已经达到规格上限,则选择当前未使用的最小编号作为新的编号。
name rule-name:表示代理策略规则的名称,为1~63个字符的字符串,不区分大小写,创建规则时必须配置名称,规则名称不能为default。
【举例】
# 创建名为rule1的代理策略规则。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-1-rule1]
【相关命令】
· display app-proxy-policy
rule move id命令用来使用规则ID移动代理策略规则的位置。
【命令】
rule move id rule-id before insert-rule-id
【视图】
代理策略视图
【缺省用户角色】
network-admin
【参数】
rule-id:表示待移动代理策略规则编号,取值范围为1~65535。
before:表示将rule-id移动到insert-rule-id之前。
insert-rule-id:表示移动到指定编号的规则之前,取值范围为1~65536。配置最大编号时,表示待移动代理策略规则移动到所有规则之后。
【使用指导】
如果待移动规则与参考规则相同或不存在,则不执行任何移动操作。
【举例】
# 移动代理策略规则5到规则2之前。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule move 5 before 2
rule move name命令用来使用规则名称移动代理策略规则的位置。
【命令】
rule move name rule-name1 { before [ rule-name2 ] | after rule-name2 }
【视图】
代理策略视图
【缺省用户角色】
network-admin
【参数】
rule-name1:表示待移动代理策略规则名称。
before:表示将rule-name1移动到rule-name2之前。如果未指定rule-name2,则表示将rule-name1移动到所有规则之前。
after:表示rule-name1移动到rule-name2之后。
rule-name2:表示目的代理策略规则名称。
【使用指导】
如果待移动规则与目的规则相同或不存在,则不执行任何移动操作。
【举例】
# 移动代理策略规则a到规则b之前。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule move name a before b
reset app-proxy server-certificate命令用来清除客户端访问的服务器的证书。
【命令】
reset app-proxy server-certificate
【视图】
用户视图
【缺省用户角色】
network-admin
【举例】
# 清除客户端访问的服务器的证书。
<Sysname> reset app-proxy server-certificate
【相关命令】
· display app-proxy server-certificate
reset app-proxy ssl whitelist ip命令用来清除SSL代理IP地址白名单。
【命令】
reset app-proxy ssl whitelist
【视图】
用户视图
【缺省用户角色】
network-admin
【举例】
# 清除SSL代理IP地址白名单。
<Sysname> reset app-proxy ssl whitelist ip
【相关命令】
· display app-proxy ssl whitelist ip
service object-group命令用来配置作为代理策略规则过滤条件的服务对象组。
undo service object-group命令用来删除作为代理策略规则过滤条件的服务对象组。
【命令】
service object-group{ object-group-name }
undo service object-group [ object-group-name ]
【缺省情况】
未配置作为代理策略规则过滤条件的服务对象组。
【视图】
代理策略规则视图
【缺省用户角色】
network-admin
【参数】
object-group-name:服务对象组的名称,为1~31个字符的字符串,不区分大小写,且不能为any。
【使用指导】
多次执行本命令,可配置多个服务对象组作为代理策略规则的过滤条件。只要一个服务对象组匹配成功,则认为服务对象组过滤条件匹配成功。
只支持服务对象组中配置四层及其以下的协议类型,若引用的服务组配置了其他协议类型,该服务组不生效。
指定的服务对象组必须已存在,若指定一个不存在的对象组,配置将下发失败。
使用undo命令时若不指定任何参数,则表示删除此规则中所有服务类型的过滤条件。
【举例】
# 配置作为代理策略规则rule1过滤条件的服务对象组为tcp和ftp。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-0-rule1] service object-group tcp
[Sysname-app-proxy-policy-0-rule1] service object-group ftp
【相关命令】
· display app-proxy-policy
· object-group(安全命令参考/对象组)
source-ip object-group命令用来配置作为代理策略规则过滤条件的源IP地址对象组。
undo source-ip object-group命令用来删除作为代理策略规则过滤条件的源IP地址对象组。
【命令】
source-ip object-group object-group-name
undo source-ip object-group [ object-group-name ]
【缺省情况】
未配置作为代理策略规则过滤条件的源IP地址对象组。
【视图】
代理策略规则视图
【缺省用户角色】
network-admin
【参数】
object-group-name:表示源地址对象组的名称,为1~31个字符的字符串,不区分大小写,且不能为字符串any。
【使用指导】
多次执行本命令,可配置多个源IP地址作为代理策略规则的过滤条件。只要一个源IP地址匹配成功,则认为源IP地址过滤条件匹配成功。
指定的对象组必须已存在,若指定一个不存在的对象组,配置将下发失败。
使用undo命令时若不指定此参数,则表示删除此规则中所有源IP地址类型的过滤条件。有关地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。
【举例】
# 配置作为代理策略规则rule1过滤条件的源地址对象组为server1和server2。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-0-rule1] source-ip object-group server1
[Sysname-app-proxy-policy-0-rule1] source-ip object-group server2
【相关命令】
· display app-proxy-policy
· object-group(安全命令参考/对象组)
source-zone命令用来配置作为代理策略规则过滤条件的源安全域。
undo source-zone命令用来删除作为代理策略规则过滤条件的源安全域。
【命令】
source-zone source-zone-name
undo source-zone [ source-zone-name ]
【缺省情况】
未配置作为代理策略规则过滤条件的源安全域。
【视图】
代理策略规则视图
【缺省用户角色】
network-admin
【参数】
source-zone-name:表示源安全域的名称,为1~31个字符的字符串,不区分大小写,且不能为字符串any。
【使用指导】
多次执行本命令,可配置多个源安全域作为代理策略规则的过滤条件,只要一个源安全域匹配成功,则认为源安全域过滤条件匹配成功。
如果指定的安全域不存在,配置可以成功下发,但不生效。
使用undo命令时若不指定此参数,则表示删除此规则中所有源安全域类型的过滤条件。有关安全域的详细介绍,请参见“安全配置指导”中的“安全域”。
【举例】
# 配置作为代理策略规则rule1过滤条件的源安全域为trust和server。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-0-rule1] source-zone trust
[Sysname-app-proxy-policy-0-rule1] source-zone server
【相关命令】
· display app-proxy-policy
· security-zone(安全命令参考/安全域)
user命令用来配置作为代理策略规则过滤条件的用户。
undo user命令用来删除作为代理策略规则过滤条件的用户。
【命令】
user user-name [ domain domain-name ]
undo user [ username [ domain domain-name ] ]
【缺省情况】
未配置作为代理策略规则过滤条件的用户。
【视图】
代理策略规则视图
【缺省用户角色】
network-admin
【参数】
username:表示用户的名称,为1~55个字符的字符串,区分大小写,不能是a、al和all,且不能包含特殊字符“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”、和“@”。
domain domain-name:表示身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“:”、“*”、“?”、“<”、“>”和“@”字符。
【使用指导】
多次执行配置命令,可配置多个用户作为规则的过滤条件,只要一个用户匹配成功,则认为用户过滤条件匹配成功。
若指定的用户或身份识别域不存在或者用户和身份识别域不匹配,配置可以成功下发,但不生效。
使用undo命令时若不指定username,则表示删除此规则中所有用户过滤条件。
使用undo命令时若不指定domain-name,则表示删除此规则中所有身份识别域之外的用户过滤条件。
【举例】
# 配置作为代理策略规则rule1过滤条件的用户为usera和userb,身份识别域均为test。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-0-rule1] user usera domain test
[Sysname-app-proxy-policy-0-rule1] user userb domain test
【相关命令】
· display app-proxy-policy
· user-identity enable(安全命令参考/用户身份识别与管理)
· user-identity static-user(安全命令参考/用户身份识别与管理)
user-group命令用来配置作为代理策略规则过滤条件的用户组。
undo user-group命令用来删除作为代理策略规则过滤条件的用户组。
【命令】
user-group user-group-name [ domain domain-name ]
undo user-group [ user-group-name [ domain domain-name ] ]
【缺省情况】
未配置作为代理策略规则过滤条件的用户组。
【视图】
代理策略规则视图
【缺省用户角色】
network-admin
【参数】
user-group-name:表示用户组的名称,为1~200个字符的字符串,不区分大小写。
domain domain-name:表示在指定的身份识别域中匹配此用户组,domain-name是身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“:”、“*”、“?”、“<”、“>”以及“@”字符。
【使用指导】
多次执行配置命令,可配置多个用户组作为规则的过滤条件,只要一个用户组匹配成功,则认为用户组过滤条件匹配成功。
若指定的用户组不存在,配置可以成功下发,但不生效。
使用undo命令时若不指定user-group-name,则表示删除此规则中所有用户组过滤条件。有关用户组的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。
使用undo命令时若不指定domain-name,则表示删除此规则中所有身份识别域之外的用户组过滤条件。
【举例】
# 配置作为代理策略规则rule1过滤条件的用户组为groupa和groupb,身份识别域均为test。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-0-rule1] user-group groupa domain test
[Sysname-app-proxy-policy-0-rule1] user-group groupb domain test
【相关命令】
· display app-proxy-policy
· user-group(安全命令参考/AAA)
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!