- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-安全策略命令
本章节下载: 01-安全策略命令 (144.71 KB)
policy命令用来配置安全策略。
no policy命令用来删除安全策略。
【命令】
policy {IF_IN | any } {IF_OUT | any } {SIP | any } {DIP | any } service-name {USER | any }{APPLICATION | any } {SCHEDULE | always } { permit | deny }
no policy id
【视图】
系统视图
【参数】
IF_IN:in-interface安全策略匹配的源接口,设备上可用的接口如ge0,也可为any。
IF_OUT:out-interface安全策略匹配的目的接口,设备上可用的接口如ge0,也可为any。
SIP:source-address安全策略匹配的源IP地址,可以引用某地址对象或者地址组,any表示源地址为任意地址。
DIP:dest-address安全策略匹配的目的地址,可以引用某个地址对象或者地址组,any表示源地址为任意地址。
service-name:安全策略匹配的服务对象,可以引用服务对象或者服务组。
USER:user-name指定安全策略匹配的用户对象名称。
APPLICATION:application-name指定安全策略匹配的应用对象名称。
SCHEDULE:schedule-name指定安全策略生效的时间对象名称。
permit:允许匹配的流量通过,并且审计匹配的流量。
deny:当匹配策略时拒绝匹配的流量。
【使用指导】
出入接口、源目的ip地址、服务、应用、用户、时间等匹配条件除了any或者always外,需要配置具体的对象,才能被安全策略引用。
【举例】
# 创建一条服务是TCP,其余匹配条件为any,动作是允许的安全策略。
host# system-view
host(config)# policy any any any any tcp any any always permit
application命令用来添加安全策略匹配的应用对象。
no application命令用来删除安全策略匹配的应用对象。
【命令】
application name
no application name
【视图】
策略配置节点视图
【参数】
name:应用对象或对象组名称。
【举例】
# 安全策略1添加abc应用对象。
host# system-view
host(config)# policy 1
host(config-policy)# application qq
dest-address命令用来添加安全策略匹配的目的地址对象。
no dest-address 命令用来删除安全策略匹配的目的地址对象。
【命令】
dest-address address-name
no dest-address address-name
【视图】
策略配置节点视图
【参数】
address-name:目的地址对象或地址对象组名称。
【举例】
# 安全策略1添加目的地址对象abc。
host# system-view
host(config)# address abc
host(config-address)# ip address 192.168.1.1
host(config)# policy 1
host(config-policy)# dest-address abc
disable命令用来去使能安全策略的状态,使其处于禁用模式。
【命令】
disable
【缺省情况】
缺省情况下,安全策略的状态为 enable。
【视图】
策略配置节点视图
【举例】
# 禁用安全策略1。
host# system-view
host(config)#policy 1
host(config-policy)# disable
enable命令用来使能安全策略的状态,使其处于可用模式。
【命令】
enable
【缺省情况】
缺省情况下,安全策略的状态为 enable。
【视图】
策略配置节点视图
【举例】
# 使能策略1。
host# system-view
host(config)#policy 1
host(config-policy)# enable
in-interface命令用来修改策略匹配的入接口。
【命令】
in-interface { interface-name | any }
【缺省情况】
无
【视图】
策略配置节点视图
【参数】
interface-name:安全策略匹配的入接口。
any:标识任意接口。
【举例】
# 修改策略1的入接口为ge0。
host# system-view
host(config)# policy 1
host(config-policy)# in-interface ge0
out-interface命令用来修改策略匹配的出接口。
【命令】
out-interface { interface-name | any }
【视图】
策略配置节点视图
【参数】
interface-name:安全策略匹配的入接口。
any:标识任意接口。
【举例】
# 修改策略1的出接口为ge0。
host# system-view
host(config)#policy 1
host(config-policy)# out-interface ge0
schedule命令用来修改安全策略的生效时间。
【命令】
schedule name
【缺省情况】
缺省情况下,安全策略为永久生效。
【视图】
策略配置节点视图
【参数】
name:时间对象或对象组名称。
【举例】
# 修改安全策略1的生效时间,使其仅仅在9:00-18:00生效。
host# system-view
host(config)# schedule-day worktime
host(config-schedule-day)# periodic start 9:00 end 18:00
host(config-schedule-day)# exit
host(config)# policy 1
host(config-policyt)# schedule worktime
service命令用来添加安全策略匹配的服务类型对象。
no service 命令用来删除安全策略匹配的服务类型对象。
【命令】
service service-name
no service service-name
【视图】
策略配置节点视图
【参数】
service -name:服务类型对象或对象组名称。
【举例】
# 给安全策略1添加ICMP服务类型对象。
host# system-view
host(config)#policy 1
host(config-policy)# service icmp
source-address命令用来添加安全策略匹配的源地址对象。
no source-address 命令用来删除安全策略匹配的源地址对象。
【命令】
source-address address-name
no source-address address-name
【视图】
策略配置节点视图
【参数】
address-name:源地址对象或地址对象组名称。
【举例】
# 添加安全策略1的源地址对象abc。
host# system-view
host(config)# address abc
host(config-address)# ip address 192.168.1.1
host(config)# policy 1
host(config-policy)# source-address abc
timeout 命令用来修改安全策略的老化时间。
【命令】
timeout time-range
【缺省情况】
缺省情况下,按照各个协议设定的老化时间老化。
【视图】
策略配置节点视图
【参数】
time-range:匹配到该策略的流的老化时间(单位:秒),取值范围为0~100000000。
【举例】
# 修改安全策略1的老化时间为10s。
host# system-view
host(config)# policy 1
host(config-policy)# timeout 10
user命令用来添加安全策略匹配的用户对象。
no user命令用来删除安全策略匹配的用户对象。
【命令】
user user-name
no user user-name
【视图】
策略配置节点视图
【参数】
user -name:用户对象或对象组名称。
【举例】
# 给安全策略1添加abc用户对象。
host# system-view
host(config)# policy 1
host(config-policy)# user abc
policy move命令用来将策略移到某条策略之后或者之前。
【命令】
policy move id { before | after } ref-id
【视图】
系统视图
【参数】
id:被移动的安全策略的唯一标识。范围是1~9999和50001~65535,其中50001~65535是集中网关创建的策略。
before:将策略移到参 考策略之前。
after:将策略移到参考策略之前。
ref-id:参考策略标识。范围是1~9999和50001~65535,其中50001~65535是集中网关创建的策略。
【举例】
# 将安全策略1移到安全策略2之后。
host# system-view
host(config)# policy move 1 after 2
policy insert命令用来在某条策略之前插入一条新的策略。
【命令】
policy insert {IF_IN | any } {IF_OUT | any } {SIP | any } {DIP | any } service-name {USER | any }{APPLICATION | any } {SCHEDULE | always } { permit | deny } id before ref-id
【视图】
系统视图
【参数】
IF_IN:in-interface安全策略匹配的源接口,设备上可用的接口如ge0,也可为any。
IF_OUT:out-interface安全策略匹配的目的接口,设备上可用的接口如ge0,也可为any。
SIP:source-address安全策略匹配的源IP地址,可以引用某地址对象或者地址组,any表示源地址为任意地址。
DIP:dest-address安全策略匹配的目的地址,可以引用某个地址对象或者地址组,any表示源地址为任意地址。
service-name:安全策略匹配的服务对象,可以引用服务对象或者服务组。
USER:user-name指定安全策略匹配的用户对象名称。
APPLICATION:application-name指定安全策略匹配的应用对象名称。
SCHEDULE:schedule-name指定安全策略生效的时间对象名称。
permit:允许匹配的流量通过,并且审计匹配的流量。
deny:丢弃匹配的流量。
id:安全策略的唯一标识。范围是1~9999和50001~65535,其中50001~65535是集中网关创建的策略。
ref-id:参考策略标识。范围是1~9999和50001~65535,其中50001~65535是集中网关创建的策略。
【使用指导】
出入接口、源目的ip地址、服务、应用、用户、时间等匹配条件除了any或者always外,需要配置具体的对象,才能被安全策略引用。
【举例】
# 在安全策略1之前插入一条新的ID为3的安全策略。
host# system-view
host(config)# policy insert any any any any any any any alwalys deny 3 before 1
policy default-action命令用来修改安全策略的默认策略配置。
【命令】
policy default-action { permit | deny }
【缺省情况】
缺省情况下,默认策略的行为是允许。
【视图】
系统视图
【参数】
permit:允许匹配的流量通过。
deny:丢弃匹配的流量。
【举例】
# 修改默认策略的值为permit。
host# system-view
host(config)# policy default-action permit
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
