- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
04-对象策略命令
本章节下载: 04-对象策略命令 (279.93 KB)
目 录
1.1.3 display object-policy accelerate
1.1.4 display object-policy ip
1.1.5 display object-policy ipv6
1.1.6 display object-policy statistics zone-pair security
1.1.7 display object-policy zone-pair security
1.1.10 object-policy apply ipv6
1.1.13 reset object-policy statistics
1.1.14 rule (IPv4 object-policy view)
accelerate命令用来开启对象策略加速功能。
undo accelerate命令用来关闭对象策略加速功能。
【命令】
accelerate
undo accelerate
【缺省情况】
对象策略的加速功能处于开启状态。
【视图】
对象策略视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
设备上存在大量对象策略规则时,执行此命令可能导致设备提前进入门限状态,不再进行正常业务处理。
对象策略使能加速,资源不足会导致对象策略加速失败,但是匹配依然生效。规则修改、增加或者重新加速,在资源足够的前提下加速会生效。
对象策略加速成功后,再去修改或添加新的规则,可能由于资源不足,会导致新的规则加速失败,规则匹配不生效,但是不影响之前加速成功的规则。
若对象策略规则中指定的IP地址对象组中包含排除地址和通配符掩码,则会导致此对象策略加速功能失效。
若对象策略规则中指定的IP地址对象组中包含用户或用户组,则设备不对该条规则进行加速,且也不会影响已加速成功的规则。
当设备的对象策略加速功能处于开启状态,设备会按照固定时间间隔进行周期性判断是否需要对象策略加速,在一个时间间隔内若对象策略的过滤条件发生变化,则间隔时间到达后会进行对象策略加速,否则,不会进行加速。当每种类型对象策略规则小于等于100条时,此时间间隔为2秒;当每种类型对象策略规则大于100条时,此时间间隔为20秒。
【举例】
# 关闭对象策略op的加速功能。
<Sysname> system-view
[Sysname] object-policy ip op
[Sysname-object-policy-ip-op] undo accelerate
【相关命令】
· display object-policy accelerate
description命令用来配置对象策略的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
对象策略未配置对象策略的描述信息。
【视图】
对象策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
text:表示对象策略的描述信息,为1~127个字符的字符串,区分大小写。
【使用指导】
使用description命令时,如果当前对象策略没有描述信息,则为其添加描述信息,否则修改其描述信息。
【举例】
# 配置对象策略的描述信息为“zone-pair security office to library”。
<Sysname> system-view
[Sysname] object-policy ip permit
[Sysname-object-policy-ip-permit] description zone-pair security office to library
【相关命令】
· display object-policy ip
· display object-policy ipv6
display object-policy accelerate命令用来显示对象策略的加速状态。
【命令】
(独立运行模式)
display object-policy accelerate { summary { ip | ipv6 } | verbose { ip object-policy-name | ipv6 object-policy-name } slot slot-number [ cpu cpu-number ] }
(IRF模式)
display object-policy accelerate { summary { ip | ipv6 } | verbose { ip object-policy-name | ipv6 object-policy-name } chassis chassis-number slot slot-number [ cpu cpu-number ] }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
summary:显示对象策略加速的概要信息。
verbose:显示对象策略加速的详细信息。
ip:显示IPv4对象策略的加速状态。
ipv6:显示IPv6对象策略的加速状态。
object-policy-name:指定对象策略的名称,为1~63个字符的字符串,不区分大小写。
slot slot-number:显示指定单板的对象策略加速信息,该单板必须为加速芯片所在单板,slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的对象策略加速信息,该单板必须为加速芯片所在单板,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
cpu cpu-number:显示指定CPU上对象策略加速信息,cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示加速状态的概要信息。
<Sysname> display object-policy accelerate summary ip
Object-policy ip a
Object-policy ip c
# 显示加速状态的详细信息。(独立运行模式)
<Sysname> display object-policy accelerate verbose ip permit slot 1
Object-policy ip a
rule 1 drop
rule 0 pass (failed)
# 显示加速状态的详细信息。(IRF模式)
<Sysname> display object-policy accelerate verbose ip permit chassis 1 slot 1
Object-policy ip a
rule 1 drop
rule 0 pass (failed)
表1-1 display object-policy accelerate verbose命令显示信息描述表
|
字段 |
描述 |
|
failed |
表示此规则加速失败,匹配不生效 |
display object-policy ip命令用来显示指定名称的IPv4对象策略的配置信息。
【命令】
display object-policy ip [ object-policy-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
object-policy-name表示对象策略的名称,为1~63个字符的字符串,不区分大小写。若未指定本参数,将显示所有IPv4对象策略配置信息。
【使用指导】
本命令将按照实际匹配顺序即规则配置的先后顺序来排列对象策略内的IPv4规则。
【举例】
# 显示所有的IPv4对象策略配置信息。
<Sysname> display object-policy ip
Object-policy ip pass
This is an IPv4 object policy for zone-pair security source office destination library
Object-policy accelerated
rule 5 pass source-ip sourceip
rule 5 pass user user1
rule 5 pass user-group usergroup1
rule 5 pass source-ip work
rule 5 comment This rule is used for source-ip sourceip
表1-2 display object-policy ip命令显示信息描述表
|
字段 |
描述 |
|
Object-policy ip pass |
对象策略的名称 |
|
This is an IPv4 object policy for zone-pair security source office destination library |
该对象策略的描述信息 |
|
Object-policy accelerated |
该对象策略使能了加速功能 |
|
rule 5 pass source-ip sourceip |
规则5的具体内容,sourceip为源IP地址对象组的名称 |
|
rule 5 pass user user1 |
规则5的具体内容,user1为用户名 |
|
rule 5 pass user-group usergroup1 |
规则5的具体内容,usergroup1为用户组名 |
|
rule 5 comment This rule is used for source-ip sourceip |
规则5的描述信息 |
display object-policy ipv6命令用来显示指定名称的IPv6对象策略的配置信息。
【命令】
display object-policy ipv6 [ object-policy-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
object-policy-name表示对象策略的名称,为1~63个字符的字符串,不区分大小写。若未指定本参数,将显示所有IPv6对象策略配置信息。
【使用指导】
本命令将按照实际匹配顺序即规则配置的先后顺序来排列对象策略内的IPv6规则。
【举例】
# 显示所有的IPv6对象策略配置信息。
<Sysname> display object-policy ipv6
Object-policy ipv6 pass
This is an IPv6 object policy for zone-pair security source office destination library
Object-policy accelerated
rule 5 pass source-ip sourceipv6
rule 5 pass user user1
rule 5 pass user-group usergroup1
rule 5 comment This rule is used for source-ip sourceipv6
表1-3 display object-policy ipv6命令显示信息描述表
|
字段 |
描述 |
|
Object-policy ipv6 pass |
对象策略的名称 |
|
This is an IPv6 object policy for zone-pair security source office destination library |
该对象策略的描述信息 |
|
Object-policy accelerated |
该对象策略使能了加速功能 |
|
rule 5 pass source-ip sourceipv6 |
规则5的具体内容,sourceipv6为源IPv6地址对象组的名称 |
|
rule 5 pass user user1 |
规则5的具体内容,user1为用户名 |
|
rule 5 pass user-group usergroup1 |
规则5的具体内容,usergroup1为用户组名 |
|
rule 5 comment This rule is used for source-ip sourceipv6 |
规则5的描述信息 |
display object-policy statistics zone-pair security命令用来显示指定安全域间实例的统计信息。
【命令】
display object-policy statistics zone-pair security source source-zone-name destination destination-zone-name [ ip | ipv6 ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
source source-zone-name:表示安全域间实例源安全域的名称,为1~31个字符的字符串,不区分大小写。
destination destination-zone-name:表示安全域间实例目的安全域的名称,为1~31个字符的字符串,不区分大小写。
ip:表示显示IP对象策略的统计信息。
ipv6:表示显示IPv6对象策略的统计信息。
【使用指导】
如果不指定ip或者ipv6,则显示指定安全域间实例应用的所有对象策略的统计信息。
【举例】
# 显示所有的安全域间实例应用对象策略的统计信息。
<Sysname> display object-policy statistics zone-pair security source office destination library
Object-policy apply ip OfficeToLibrary
rule 0 pass source-ip sourceip1 (5 packets,10 bytes)
Object-policy apply ipv6 OfficeToLibraryIPv6
rule 0 pass source-ip sourceip3(6 packets,13 bytes)
表1-4 display object-policy statistics zone-pair security命令显示信息描述表
|
字段 |
描述 |
|
Object-policy apply ip OfficeToLibrary |
安全域间实例应用IPv4对象策略名称 |
|
rule 0 pass source-ip sourceip1 |
安全域间实例应用IPv4对象策略规则,sourceip1为源IP地址对象组的名称 |
|
Object-policy apply ipv6 OfficeToLibraryIPv6 |
安全域间实例应用IPv6对象策略名称 |
|
rule 0 pass source-ip sourceip3 |
安全域间实例应用IPv6对象策略规则,sourceip3为源IPv6地址对象组的名称 |
|
x packets,y bytes |
该规则匹配x个报文,共y字节(本字段仅在配置对象策略规则选择counting或logging参数时显示,当未匹配任何报文时不显示本字段) |
【相关命令】
· reset object-policy statistics
display object-policy zone-pair security命令用来显示指定安全域间实例应用对象策略的配置信息。
【命令】
display object-policy zone-pair security [ source source-zone-name destination destination-zone-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
source source-zone-name:表示安全域间实例源安全域的名称,为1~31个字符的字符串,不区分大小写。
destination destination-zone-name:表示安全域间实例目的安全域的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
若未指定安全域间实例,将显示所有安全域间实例应用对象策略的配置信息。
【举例】
# 显示所有的安全域间实例应用对象策略的配置信息。
<Sysname> display object-policy zone-pair security
Zone-pair source office destination library
object-policy apply ip permit
object-policy apply ipv6 drop
表1-5 display object-policy zone-pair security命令显示信息描述表
|
字段 |
描述 |
|
Zone-pair source office destination library |
安全域间实例 |
|
object-policy apply ip permit |
安全域间实例应用IPv4对象策略配置信息 |
|
object-policy apply ipv6 drop |
安全域间实例应用IPv6对象策略配置信息 |
move rule命令用来移动对象策略规则。
【命令】
move rule rule-id before insert-rule-id
【视图】
对象策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
rule-id:指定待移动的对象策略规则编号,取值范围为0~65534。
insert-rule-id:表示移动到指定编号的规则之前,取值范围为0~65535,其中指定编号为65535时表示移动到所有规则之后。
【使用指导】
如果insert-rule-id与rule-id相同或其指定的规则不存在,则不执行任何移动操作。
【举例】
# 在IPv4对象策略permit上,将对象策略规则5移动到规则2之前。
<Sysname> system-view
[Sysname] object-policy ip permit
[Sysname-object-policy-ip-permit] move rule 5 before 2
【相关命令】
· object-policy apply ipv6
· object-policy ip
· rule(ipv4 object-policy view)
· rule(ipv6 object-policy view)
object-policy apply ip命令用来在安全域间实例内应用IPv4对象策略。
undo object-policy apply ip命令用来恢复缺省情况。
【命令】
object-policy apply ip object-policy-name
undo object-policy apply ip object-policy-name
【缺省情况】
安全域间实例内未应用IPv4对象策略。
【视图】
安全域间实例视图
【缺省用户角色】
network-admin
context-admin
【参数】
object-policy-name:指定对象策略的名称。为1~63个字符的字符串,不区分大小写。
【使用指导】
使用object-policy apply ip时,对应的IPv4对象策略必须已经创建,否则将配置失败。
每个安全域间实例只能应用一个IPv4对象策略。如果使用object-policy apply ip时对应安全域间实例已经应用其他IPv4策略,则会配置失败。若要应用新的IPv4对象策略,需要先将已经应用的IPv4对象策略删掉。
【举例】
# 创建IPv4对象策略,并将该对象策略应用于一个安全域间实例中。
<Sysname> system-view
[Sysname] object-policy ip permit
[Sysname-object-policy-ip-permit]quit
[Sysname] zone-pair security source office destination library
[Sysname-zone-pair-security-office-library] object-policy apply ip permit
【相关命令】
· display object-policy zone-pair security
· object-policy apply ipv6
· object-policy ip
object-policy apply ipv6命令用来在安全域间实例内应用IPv6对象策略。
undo object-policy apply ipv6命令用来恢复缺省情况。
【命令】
object-policy apply ipv6 object-policy-name
undo object-policy apply ipv6 object-policy-name
【缺省情况】
安全域间实例内未应用IPv6对象策略。
【视图】
安全域间实例视图
【缺省用户角色】
network-admin
context-admin
【参数】
object-policy-name:指定对象策略的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
使用object-policy apply ipv6时,对应的IPv6对象策略必须已经创建,否则将配置失败。
每个安全域间实例只能应用一个IPv6对象策略。如果使用object-policy apply ipv6时对应安全域间实例已经应用其他IPv6策略,则会配置失败。若要应用新的IPv6对象策略,需要先将已经应用的IPv6对象策略删掉。
【举例】
# 创建IPv6对象策略,并将该对象策略应用于一个安全域间实例中。
<Sysname> system-view
[Sysname] object-policy ipv6 permit
[Sysname-object-policy-ipv6-permit] quit
[Sysname] zone-pair security source office destination library
[Sysname-zone-pair-security-office-library] object-policy apply ipv6 permit
【相关命令】
· object-policy ipv6
· object-policy apply ip
· display object-policy zone-pair security
object-policy ip命令用来创建一个IPv4对象策略,并进入对象策略视图。如果指定的IPv4对象策略视图已经存在,则直接进入相应IPv4对象策略视图。
undo object-policy ip命令用来删除指定IPv4对象策略。
【命令】
object-policy ip object-policy-name
undo object-policy ip object-policy-name
【缺省情况】
不存在IPv4对象策略。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
object-policy-name:指定对象策略的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
IPv4对象策略的名称只能在创建时设置。对象策略一旦创建,便不允许再修改其原有名称。
使用undo object-policy ip时,必须保证无安全域间实例应用指定IPv4对象策略,否则,将删除失败。
【举例】
# 创建一个IPv4对象策略,并进入该IPv4对象策略视图。
<Sysname> system-view
[Sysname] object-policy ip permit
[Sysname-object-policy-ip-permit] rule pass
【相关命令】
· display object-policy ip
· object-policy ipv6
object-policy ipv6命令用来创建一个IPv6对象策略,并进入对象策略视图。如果指定的IPv6对象策略视图已经存在,则直接进入相应IPv6对象策略视图。
undo object-policy ipv6命令用来删除指定IPv6对象策略。
【命令】
object-policy ipv6 object-policy-name
undo object-policy ipv6 object-policy-name
【缺省情况】
不存在IPv6对象策略。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
object-policy-name:指定对象策略的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
IPv6对象策略的名称只能在创建时设置。对象策略一旦创建,便不允许再修改其原有名称。
使用undo object-policy ipv6时,必须保证无安全域间实例应用指定IPv6对象策略,否则,将删除失败。
【举例】
# 创建一个IPv6对象策略,并进入该IPv6对象策略视图。
<Sysname> system-view
[Sysname] object-policy ipv6 permit
[Sysname-object-policy-ipv6-permit] rule pass
【相关命令】
· display object-policy ipv6
· object-policy ip
reset object-policy statistics命令用来清除对象策略在安全域间实例中的统计信息。
【命令】
reset object-policy statistics [ zone-pair security source source-zone-name destination destination-zone-name ] [ ip | ipv6 ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
source source-zone-name:表示安全域间实例源安全域的名称,为1~31个字符的字符串,不区分大小写。
destination destination-zone-name:表示安全域间实例目的安全域的名称,为1~31个字符的字符串,不区分大小写。
ip:表示清除IPv4对象策略的统计信息。
ipv6:表示清除IPv6对象策略的统计信息。
【使用指导】
若未指定安全域间实例,则清除所有安全域间实例指定类型对象策略的统计信息。若未指定ip或ipv6,则清除所有类型对象策略的统计信息。
【举例】
# 清除源域office,目的域library域间实例的IPv4对象策略的统计信息。
<Sysname> reset object-policy statistics zone-pair security source office destination library ip
【相关命令】
· display object-policy statistics zone-pair security
rule命令用来创建一条IPv4对象策略规则。
undo rule命令用来删除一条IPv4对象策略规则或删除规则中的部分内容。
【命令】
rule [ rule-id ] { drop | pass | inspect app-profile-name } [ [ source-ip { object-group-name | any } ] [ destination-ip { object-group-name | any } ] [ service { object-group-name | any } ] [ vrf vrf-name ] [ application application-name ] [ app-group app-group-name ] [ counting ] [ disable ] [ logging ] [ track [ negative ] track-entry-number ] [ time-range time-range-name ] ] *
undo rule rule-id [ source-ip | destination-ip | service | vrf | application | app-group | counting |disable | logging | track | time-range ] *
【缺省情况】
IPv4对象策略内不存在对象策略规则。
【视图】
IPv4对象策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
rule-id:指定IPv4对象策略规则的编号,取值范围为0~65534。若未指定本参数,系统将从0开始,自动分配一个大于现有最大编号的最小编号,步长为1。若新编号超出了编号上限(65534),则选择当前未使用的最小编号作为新的编号。
drop:表示丢弃符合条件的报文。
pass:表示允许符合条件的报文。
inspect app-profile-name:表示将符合条件的报文进行DPI(Deep Packet Inspection,深度报文检测)处理。app-profile-name表示DPI应用profile的名称,为1~100个字符的字符串,不区分大小写,且只能为字母、数字、下划线。应用profile中引用了DPI各业务(例如IPS)的策略配置。
source-ip object-group-name:指定IPv4源IP地址对象组的名称。object-group-name表示源IP地址对象组的名称,为1~31个字符的字符串,不区分大小写。
source-ip any:表示任意源IP地址对象组。
destination-ip object-group-name:指定IPv4目的IP地址对象组的名称。object-group-name表示IPv4目的IP地址对象组的名称,为1~31个字符的字符串,不区分大小写。
destination-ip any:表示任意目的IP地址对象组。
service object-group-name:指定服务对象组的名称。object-group-name表示服务对象组的名称,为1~31个字符的字符串,不区分大小写。
service any:表示任意服务对象组。
vrf vrf-name:表示对入接口指定VRF中的报文有效。vrf-name表示VRF的名称,为1~31个字符的字符串,区分大小写。若未指定本参数,表示该规则仅对公网报文有效。
application application-name:指定应用的名称。application-name表示应用的名称,为1~63个字符的字符串,不区分大小写。禁止引用invalid和other的应用。
app-group app-group-name:指定应用组的名称。app-group-name表示应用组的名称,为1~63个字符的字符串,不区分大小写。禁止引用invalid和other的应用组。
counting:表示使能当前IPv4对象策略规则匹配统计功能,缺省为关闭。
disable:表示关闭当前IPv4对象策略规则。
logging:表示对符合条件的报文记录日志信息。
track track-entry-number:指定规则生效状态与Track项关联。track-entry-number表示关联的Track项序号,取值范围为1~1024。有关Track的详细介绍和具体配置过程,请参见“可靠性配置指导”中的“Track”。
negative:指定规则生效状态与Track项的Negative状态关联,不指定该参数时,规则的生效状态与Track项的Positive状态关联。
time-range time-range-name:指定本规则生效的时间段。time-range-name表示时间段的名称,为1~32个字符的字符串,不区分大小写。若该时间段尚未配置,该规则仍会成功创建但系统将给出提示信息,并在该时间段的配置完成后此规则才会生效。有关时间段的详细介绍和具体配置过程,请参见“ACL配置指导”中的“时间段”。
【使用指导】
使用rule命令时,如果指定编号的规则不存在,则创建一条新的规则;如果指定编号的规则已存在,则对旧规则进行修改,即在其原有内容的基础上叠加新的内容。
创建规则时可以不指定任何对象组,则规则对任意报文生效。
创建规则时,若指定的对象组不存在,该规则仍会成功创建,同时也会在系统中创建一个名称为指定名称的空配置对象组,但不会匹配任何报文。
使用undo rule命令时,如果没有指定任何可选参数,则删除整条规则;如果指定了可选参数,则只删除该参数所对应的内容。
使用undo rule命令时必须指定一个已存在规则的编号,可以使用display object-policy ip命令来查看当前对象策略所有已存在的规则。
需要注意的是,在对象策略规则中引用应用和应用组时,请只引用PBAR(Port Based Application Recognition,基于端口的应用层协议识别)类型的应用。若引用NBAR(Network Based Application Recognition,基于内容特征的应用层协议识别)类型的应用,则此规则不会与任何报文匹配成功。有关PBAR和NBAR的详细介绍请参见“安全配置指导”中的“APR”。
对象策略记录日志功能开启后,设备对匹配规则的报文生成对象策略日志信息,此日志信息将会被交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。
对象策略日志不会输出到控制台和监视终端。当信息中心配置的规则将对象策略日志输出到控制台和监视终端时,若仍需要查看对象策略日志,可通过执行display logbuffer命令查看。有关信息中心和display logbuffer命令的详细描述,请参见“网络管理和监控配置指导”中的“信息中心”。
【举例】
# 创建IPv4对象策略规则,允许源IP地址对象组sourceip1对应的报文在时间段time1通过。
<Sysname> system-view
[Sysname] object-policy ip permit
[Sysname-object-policy-ip-permit] rule pass source-ip sourceip1 logging time-range time1
# 创建IPv4对象策略规则,源IP地址对象组sourceip1对应的报文要做DPI处理,引用的DPI应用profile名称为profile1。
<Sysname> system-view
[Sysname] object-policy ip dpiproc
[Sysname-object-policy-ip-dpiproc] rule inspect profile1 source-ip sourceip1 logging
# 创建IPv4对象策略创建规则,引用的应用名称为aaa。
<Sysname> system-view
[Sysname] object-policy ip dpiproc
[Sysname-object-policy-ip-dpiproc] rule pass application aaa
【相关命令】
· app-profile(DPI深度安全命令参考/应用层检测引擎)
· display object-policy ip
· move rule
· object-policy ip
· time-range(ACL命令参考/时间段)
· track(可靠性命令参考/Track)
rule命令用来创建一条IPv6对象策略规则。
undo rule命令用来删除一条IPv6对象策略规则或删除规则中的部分内容。
【命令】
rule [ rule-id ] { drop | pass | inspect app-profile-name } [ [ source-ip { object-group-name | any } ] [ destination-ip { object-group-name | any } ] [ service { object-group-name | any } ] [vrf vrf-name ] [ application application-name ] [ app-group app-group-name ] [ counting ] [ disable ] [ logging ] [ track [ negative ] track-entry-number ] [ time-range time-range-name ] ] *
undo rule rule-id [ source-ip | destination-ip | service | vrf | application | app-group | counting | disable | logging | track | time-range ] *
【缺省情况】
IPv6对象策略内不存在对象策略规则。
【视图】
IPv6对象策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
rule-id:指定IPv6对象策略规则的编号,取值范围为0~65534。若未指定本参数,系统将从0开始,自动分配一个大于现有最大编号的最小编号,步长为1。若新编号超出了编号上限(65534),则选择当前未使用的最小编号作为新的编号。
drop:表示丢弃符合条件的报文。
pass:表示允许符合条件的报文。
inspect app-profile-name:表示将符合条件的报文进行DPI(Deep Packet Inspection,深度报文检测)处理。app-profile-name表示DPI应用profile的名称,为1~100个字符的字符串,不区分大小写,且只能为字母、数字、下划线。应用profile中引用了DPI各业务(例如IPS,内容过滤)的策略配置。
source-ip object-group-name:指定源IPv6地址对象组的名称。object-group-name表示源IPv6地址对象组的名称,为1~31个字符的字符串,不区分大小写。
source-ip any:表示任意源IPv6地址对象组。
destination-ip object-group-name:指定目的IPv6地址对象组的名称。object-group-name表示目的IPv6地址对象组的名称,为1~31个字符的字符串,不区分大小写。
destination-ip any:表示任意目的IPv6地址对象组。
service object-group-name:指定服务对象组的名称。object-group-name表示服务对象组的名称,为1~31个字符的字符串,不区分大小写。
service any:表示任意服务对象组。
vrf vrf-name:表示对入接口指定VRF中的报文有效。vrf-name表示VRF的名称,为1~31个字符的字符串,区分大小写。若未指定本参数,表示该规则仅对公网报文有效。
application application-name:指定应用的名称。application-name表示应用的名称,为1~63个字符的字符串,不区分大小写。禁止引用invalid和other的应用。
app-group app-group-name:指定应用组的名称。app-group-name表示应用组的名称,为1~63个字符的字符串,不区分大小写。禁止引用invalid和other的应用组。
counting:表示使能当前IPv6对象策略规则匹配统计功能,缺省为关闭。
disable:表示关闭当前IPv6对象策略规则。
logging:表示对符合条件的报文记录日志信息。
track track-entry-number:指定规则生效状态与Track项关联。track-entry-number表示关联的Track项序号,取值范围为1~1024。有关Track的详细介绍和具体配置过程,请参见“可靠性配置指导”中的“Track”。
negative:指定规则生效状态与Track项的Negative状态关联,不指定该参数时,规则的生效状态与Track项的Positive状态关联。
time-range time-range-name:指定本规则生效的时间段。time-range-name表示时间段的名称,为1~32个字符的字符串,不区分大小写。若该时间段尚未配置,该规则仍会成功创建但系统将给出提示信息,并在该时间段的配置完成后此规则才会生效。有关时间段的详细介绍和具体配置过程,请参见“ACL配置指导”中的“时间段”。
【使用指导】
使用rule命令时,如果指定编号的规则不存在,则创建一条新的规则;如果指定编号的规则已存在,则对旧规则进行修改,即在其原有内容的基础上叠加新的内容。
创建规则时可以不指定任何对象组,则规则对任意报文生效。
创建规则时,若指定的对象组不存在,该规则仍会成功创建,同时也会在系统中创建一个名称为指定名称的空配置对象组,但不会匹配任何报文。
使用undo rule命令时,如果没有指定任何可选参数,则删除整条规则;如果指定了可选参数,则只删除该参数所对应的内容。
使用undo rule命令时必须指定一个已存在规则的编号,可以使用display object-policy ipv6命令来查看当前对象策略所有已存在的规则。
需要注意的是,在对象策略规则中引用应用和应用组时,请只引用PBAR(Port Based Application Recognition,基于端口的应用层协议识别)类型的应用。若引用NBAR(Network Based Application Recognition,基于内容特征的应用层协议识别)类型的应用,则此规则不会与任何报文匹配成功。有关PBAR和NBAR的详细介绍请参见“安全配置指导”中的“APR”。
对象策略记录日志功能开启后,设备对匹配规则的报文生成对象策略日志信息,此日志信息将会被交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。
对象策略日志不会输出到控制台和监视终端。当信息中心配置的规则将对象策略日志输出到控制台和监视终端时,若仍需要查看对象策略日志,可通过执行display logbuffer命令查看。有关信息中心和display logbuffer命令的详细描述,请参见“网络管理和监控配置指导”中的“信息中心”。
【举例】
# 创建IPv6对象策略规则,允许源IPv6地址对象组sourceip1对应的报文在时间段time1通过。
<Sysname> system-view
[Sysname] object-policy ipv6 permit
[Sysname-object-policy-ipv6-permit] rule pass source-ip sourceip1 logging time-range time1
# 创建IPv6对象策略规则,源IPv6地址对象组sourceip1对应的报文要做DPI处理,引用的DPI应用profile名称为profile1。
<Sysname> system-view
[Sysname] object-policy ipv6 dpiproc
[Sysname-object-policy-ipv6-dpiproc] rule inspect profile1 source-ip sourceip1 logging
# 创建IPv6对象策略创建规则,引用的应用名称为aaa。
<Sysname> system-view
[Sysname] object-policy ipv6 dpiproc
[Sysname-object-policy-ipv6-dpiproc] rule pass application aaa
【相关命令】
· app-profile(DPI深度安全命令参考/应用层检测引擎)
· display object-policy ipv6
· move rule
· object-policy ipv6
· time-range(ACL命令参考/时间段)
· track(可靠性命令参考/Track)
rule append命令用来为对象策略规则附加过滤条件。
undo rule append命令用来在对象策略规则中删除附加的过滤条件。
【命令】
rule rule-id append { application application-name | app-group app-group-name | destination-ip object-group-name | service object-group-name | source-ip object-group-name }
undo rule rule-id append { application [ application-name ] | app-group [ app-group-name ] | destination-ip [ object-group-name ] | service [ object-group-name ] | source-ip [ object-group-name ] }
【缺省情况】
不存在对象策略规则的附加过滤条件。
【视图】
对象策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
rule-id:指定对象策略规则的编号,该规则必须已存在。取值范围为0~65534。
application application-name:表示在对象策略规则中附加应用作为过滤条件。application-name是应用的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串invalid和other。
app-group app-group-name:表示在对象策略规则中附加应用组作为过滤条件。app-group-name是应用组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串invalid和other。
destination-ip object-group-name:表示在对象策略规则中附加目的IPv4/IPv6地址作为过滤条件。object-group-name是目的IPv4/IPv6地址对象组的名称,为1~31个字符的字符串,不区分大小写,且不能为字符串any。
service object-group-name:表示在对象策略规则中附加服务作为过滤条件。object-group-name是服务对象组的名称,为1~31个字符的字符串,不区分大小写,且不能为字符串any。
source-ip object-group-name:表示在对象策略规则中附加源IPv4/IPv6地址作为过滤条件。object-group-name是源IPv4/IPv6地址对象组的名称,为1~31个字符的字符串,不区分大小写,且不能为字符串any。
【使用指导】
此功能仅对已存在的对象策略规则生效。
重复执行该命令在同一个对象策略规则中即可以附加多个相同类型的过滤条件,也可以附加多个不同类型的过滤条件。比如在同一个对象策略规则中可以附加多个源IPv4/IPv6地址对象组和多个用户作为此规则的过滤条件。
附加过滤条件的动作为创建该对象策略规则时指定的动作。
在对象策略规则中删除某类附加的过滤条件时,若不指定具体的值,则表示删除该规则中属于此类附加过滤条件的所有过滤条件。比如在规则中删除附加的用户时,不指定具体的用户名,则表示删除此规则中附加的所有用户。
【举例】
# 为对象策略规则1附加一个源IPv4地址对象组sourceip2和sourceip3。
<Sysname> system-view
[Sysname] object-policy ip permit
[Sysname-object-policy-ip-permit] rule 1 pass source-ip sourceip1 logging
[Sysname-object-policy-ip-permit] rule 1 append source-ip sourceip2
[Sysname-object-policy-ip-permit] rule 1 append source-ip sourceip3
【相关命令】
· app-group(安全命令参考/APR)
· display object-policy ip
· display object-policy ipv6
· nbar application(安全命令参考/APR)
· object-group(安全命令参考/对象组)
· object-policy ip
· object-policy ipv6
· rule (IPv4 object policy view)
· rule (IPv6 object policy view)
rule comment命令用来为指定规则配置描述信息。
undo rule comment命令用来删除指定规则的描述信息。
【命令】
rule rule-id comment text
undo rule rule-id comment
【缺省情况】
未配置规则的描述信息。
【视图】
对象策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
rule-id:指定规则的编号,该规则必须存在。取值范围为0~65534。
text:表示规则的描述信息,为1~127个字符的字符串,区分大小写。
【使用指导】
使用rule comment命令时,指定的规则必须已经创建,如果没有创建,则会配置失败。
使用rule comment命令时,如果指定的规则没有描述信息,则为其添加描述信息,否则修改其描述信息。
【举例】
<Sysname> system-view
[Sysname] object-policy ip permit
[Sysname-object-policy-ip-permit] rule 0 pass source-ip ip1
[Sysname-object-policy-ip-permit] rule 0 comment This rule is used for source-ip ip1
【相关命令】
· display object-policy ip
· display object-policy ipv6
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
