- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
03-URL过滤命令
本章节下载: 03-URL过滤命令 (309.76 KB)
目 录
1.1.5 display url-filter category
1.1.6 display url-filter signature information
1.1.7 display url-filter statistics
1.1.9 rename (URL filtering category view)
1.1.10 rename (URL filtering policy view)
1.1.11 reset url-filter statistics
1.1.15 url-filter copy category
1.1.17 url-filter log directory root
1.1.19 url-filter log except pre-defined
1.1.20 url-filter log except user-defined
1.1.22 url-filter signature auto-update
1.1.23 url-filter signature auto-update-now
1.1.24 url-filter signature rollback
1.1.25 url-filter signature update
add命令用来向URL过滤策略中添加黑/白名单规则。
undo add命令用来删除URL过滤策略中指定的或所有黑/白名单规则。
【命令】
add { blacklist | whitelist } [ id ] host { regex host-regex | text host-name } [ uri { regex uri-regex | text uri-name } ]
undo add { blacklist | whitelist } { id | all }
【缺省情况】
URL过滤策略中不存在黑/白名单规则。
【视图】
URL过滤策略视图
【缺省用户角色】
network-admin
【参数】
blacklist:表示URL过滤策略的黑名单规则。
whitelist:表示URL过滤策略的白名单规则。
id:表示黑/白名单规则的编号,取值范围为1~65535。若未指定本参数,系统将从1开始,自动分配一个大于现有最大编号的最小编号,步长为1。若新编号超出了编号上限65535,则选择当前未使用的最小编号作为新的编号。
host:表示匹配URL中的主机名字段。
uri:表示匹配URL中的URI字段。
regex regex:表示使用正则表达式对主机名和URI字段进行模糊匹配。regex是正则表达式,区分大小写,只能以字母、数字和下划线开头,且必须包含连续的3个非通配符。其中,主机名规则的取值范围为3~224个字符的字符串,URI规则的取值范围为3~245个字符的字符串。
text string:表示使用文本对主机名和URI字段进行精确匹配。string是指定的主机名或URI规则字符串,主机名规则的取值范围为3~224个字符的字符串,不区分大小写,主机名只能是字母、数字、下划线“_”、连接符“-”、冒号“:”、左方括号“[”、右方括号“]”和点号“.”,但URI无此限制;URI规则的取值范围为3~245个字符的字符串,不区分大小写。
all:表示所有的黑/白名单规则。
【使用指导】
URL过滤黑/白名单规则功能根据应用层的信息进行URL过滤。如果用户HTTP报文中的URL与URL过滤策略中的黑名单规则匹配成功,则丢弃此报文;如果与白名单规则匹配成功,则允许此报文通过。
正则表达式有如下限制:
· 正则表达式中,总的分支不能超过四个。例如'abc(c|d|e|\x3D)'有效,'abc(c|onreset|onselect|onchange|style\x3D)'无效。
· 正则表达式中,括号不能嵌套,即括号中不能有括号。例如'ab((abcs*?))'无效。
· 正则表达式中,分支不支持串联,即分支后面不能有分支。例如'ab(a|b)(c|d)^\\r\\n]+?'无效。
· 正则表达式中,零次重复量词'*'和'?'前面必须有四个确定字符。例如'abc*'无效,'abcd*DoS\x2d\d{5}\x20\x2bxi\\r\\nJOIN'有效。
【举例】
# 在URL过滤策略news中,添加一条黑名单规则,使用字符串games.com对主机名字段进行精确匹配。
<Sysname> system-view
[Sysname] url-filter policy news
[Sysname-url-filter-policy-news] add blacklist 1 host text games.com
# 添加一条白名单规则,并使用字符串sina.com对主机名字段进行精确匹配。
[Sysname-url-filter-policy-news] add whitelist 1 host text sina.com
category action命令用来配置URL过滤分类动作。
undo category action命令用来删除指定的URL过滤分类动作。
【命令】
category category-name action { drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ]
undo category category-name
【缺省情况】
不存在URL过滤分类动作。
【视图】
URL过滤策略视图
【缺省用户角色】
network-admin
【参数】
category-name:指定URL过滤分类名称,包括预定义和自定义的URL过滤分类名称,为1~63个字符的字符串,不区分大小写。
action:表示对匹配上此URL过滤分类中的任何一条规则的报文所采取的动作。
drop:表示丢弃报文。
permit:表示允许报文通过。
redirect:表示重定向动作,把符合特征的报文重定向到指定的Web页面上。
reset:表示通过发送TCP的reset报文从而使TCP连接断开。
logging:表示生成报文日志。
parameter-profile parameter-name:指定URL过滤动作引用的应用层检测引擎动作参数profile。parameter-name是动作参数profile的名称,为1~63个字符的字符串,不区分大小写。如果URL过滤动作没有引用应用层检测引擎动作参数profile,或者引用的动作参数profile不存在,则使用系统中各动作参数的缺省值。有关应用层检测引擎中动作参数的详细配置请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
【使用指导】
URL过滤功能对报文的处理过程如下:
· 如果报文匹配上该URL过滤分类中的任何一条规则,则设备将会根据该URL过滤分类绑定的动作对此报文进行处理。
· 如果报文没有匹配上该URL过滤分类中的任何规则,但是配置了default-action命令,则设备将根据URL过滤策略中配置的缺省动作来对此报文进行处理。
· 如果报文没有匹配上该URL过滤分类中的任何规则,且也没有配置default-action命令,则设备直接允许此报文通过。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在URL过滤策略news中,配置URL过滤分类sina的动作为丢弃。
<Sysname> system-view
[Sysname] url-filter policy news
[Sysname-url-filter-policy-news] category sina action drop
【相关命令】
· inspect redirect parameter-profile(DPI深度安全命令参考/应用层检测引擎)
· url-filter category
· url-filter policy
default-action命令用来配置URL过滤策略的缺省动作。
undo default-action命令用来恢复缺省情况。
【命令】
default-action { drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ]
undo default-action
【缺省情况】
未配置URL过滤策略的缺省动作。
【视图】
URL过滤策略视图
【缺省用户角色】
network-admin
【参数】
drop:表示丢弃报文。
permit:表示允许报文通过。
redirect:表示重定向动作,把符合特征的报文重定向到指定的Web页面上。
reset:表示通过发送TCP的reset报文从而使TCP连接断开。
logging:表示生成报文日志动作。
parameter-profile parameter-name:指定引用的动作参数。parameter-name是动作参数profile的名称,为1~63个字符的字符串,不区分大小写。如果不指定该参数或指定的参数不存在,则使用动作的缺省参数。这里引用的动作参数是应用层检测引擎中配置的动作参数,有关应用层检测引擎中动作参数的详细配置请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
【使用指导】
配置此命令后,当报文没有匹配上URL过滤策略中的规则时,设备将根据URL过滤策略的缺省动作对此报文进行处理。
【举例】
# 在名为cmcc的URL过滤策略中,配置缺省动作为丢弃。
<Sysname> system-view
[Sysname] url-filter policy cmcc
[Sysname-url-filter-policy-cmcc] default-action drop
【相关命令】
· inspect redirect parameter-profile(DPI深度安全命令参考/应用层检测引擎)
· url-filter policy
description命令用来配置URL过滤分类的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
自定义的URL过滤分类中未配置描述信息。
【视图】
URL过滤分类视图
【缺省用户角色】
network-admin
【参数】
text:URL过滤分类的描述信息,为1~255个字符的字符串,可以包含空格,不区分大小写。
【使用指导】
通过合理编写描述信息,便于管理员快速理解和识别URL过滤分类的作用,有利于后期维护。
【举例】
# 配置URL过滤分类news的描述信息为News information。
<Sysname> system-view
[Sysname] url-filter category news
[Sysname-url-filter-category-news] description News information
display url-filter category命令用来查看URL过滤分类信息。
【命令】
display url-filter category [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
verbose:显示URL过滤分类的详细信息。如果不指定该参数,则显示URL过滤分类的摘要信息。
【举例】
# 查看URL过滤分类信息。
<Sysname> display url-filter category
URL category summary:
Predefined categories: 108
Predefined rules: 2000
User-defined categories: 0
User-defined rules: 0
URL category details:
Name: Pre-3C
Name: Pre-AdultPlace
Name: Pre-Advertisement
Name: Pre-Airplanes
Name: Pre-Alcohol
Name: Pre-Anime
Name: Pre-Arts
Name: Pre-Automobiles
Name: Pre-Bank
Name: Pre-BooksDownload
Name: Pre-Business
Name: Pre-CharityAndPublicInterest
Name: Pre-Clothes
Name: Pre-Community
Name: Pre-Divining
Name: Pre-DomainAndIDCServices
---- More ----
# 查看URL过滤分类的详细信息。
<Sysname> display url-filter category verbose
URL category summary:
Predefined categories: 108
Predefined rules: 2000
User-defined categories: 0
User-defined rules: 0
URL category details:
Name: Pre-3C
Type: Predefined
Severity: 23
Rules: 15
Description: 3C
Name: Pre-AdultPlace
Type: Predefined
Severity: 585
Rules: 5
Description: AdultPlace
Name: Pre-Advertisement
Type: Predefined
Severity: 500
Rules: 21
---- More ----
表1-1 display url-filter category命令显示信息描述表
|
字段 |
描述 |
|
URL category summary |
设备中URL过滤分类总数,包括预定义的分类和自定义的分类 |
|
Predefined categories |
预定义URL过滤分类数目 |
|
Predefined rules |
预定义URL过滤规则数目 |
|
User-defined categories |
自定义URL过滤分类数目 |
|
User-defined rules |
自定义URL过滤规则数目 |
|
URL category details |
URL过滤分类表项 |
|
Name |
URL过滤分类名称 |
|
Type |
URL过滤分类类型,包括如下取值: · Predefined:预定义分类 · User defined:自定义分类 |
|
Severity |
URL过滤严重级别 |
|
Rules |
包含URL过滤规则数目 |
|
Description |
URL过滤分类描述信息 |
display url-filter signature information查看URL过滤特征库信息。
【命令】
display url-filter signature information
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 查看URL过滤特征库信息。
<Sysname> display url-filter signature information
URL filter signature library information:
Type SigVersion ReleaseTime Size
Current 1.0.0 Wed Jan 21 06:43:53 2015 36096
(null) - - -
Factory 1.0.0 Wed Jan 21 06:43:53 2015 36096
表1-2 display url-filter signature information命令显示信息描述表
|
字段 |
描述 |
|
Type |
URL过滤特征库版本,包括如下取值: · Current:当前版本 · Last:上一版本 · Factory:出厂版本 |
|
SigVersion |
URL过滤特征库版本号 |
|
ReleaseTime |
URL过滤特征库发布时间 |
|
Size |
URL过滤特征库文件大小,单位是Bytes |
display url-filter statistics命令用来查看URL过滤的统计信息。
【命令】
display url-filter statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示URL规则命中统计信息。
<Sysname> display url-filter statistics
Total HTTP requests : 0
Total permitted HTTP requests : 0
Total denied HTTP requests : 0
Requests that matched the blacklist : 0
Requests that matched the whitelist : 0
Requests that matched a user-defined rule : 0
Requests that matched a predefined rule : 0
Requests that matched a cached rule : 0
Requests that matched the default action : 0
Predefined URL filtering rules : 2000
--------------------------------------------------------------
表1-3 display url-filter statistics命令显示信息描述表
|
字段 |
描述 |
|
Total HTTP requests |
HTTP报文总数 |
|
Total permitted HTTP requests |
HTTP报文放行个数 |
|
Total denied HTTP requests |
HTTP报文拒绝个数 |
|
Requests that matched the blacklist |
黑名单规则命中数 |
|
Requests that matched the whitelist |
白名单规则命中数 |
|
Requests that matched a user-defined rule |
自定义规则命中数 |
|
Requests that matched a predefined rule |
预定义规则命中数 |
|
Requests that matched a cached rule |
缓存规则命中数 |
|
Requests that matched the default action |
默认动作命中数 |
|
Predefined URL filtering rules |
预定义规则数量 |
include pre-defined命令用来向自定义URL过滤分类中添加预定义URL过滤分类中的规则。
undo include pre-defined命令用来恢复缺省情况。
【命令】
include pre-defined category-name
undo include pre-defined
【缺省情况】
自定义URL过滤分类中不存在预定义URL过滤分类中的规则。
【视图】
URL过滤分类视图
【缺省用户角色】
network-admin
【参数】
category-name:表示预定义URL过滤分类的名称,为1~63个字符的字符串,区分大小写。指定的预定义URL过滤分类必须已存在。
【使用指导】
当新建的URL过滤分类中所需的规则与已存在的预定义URL过滤分类中的规则比较相似时,可通过此命令灵活、快速的创建URL过滤分类。
一个自定义URL过滤分类下只能添加一个预定义URL过滤分类。多次执行本命令,最后一次执行的命令生效。
【举例】
# 在名称为news的URL过滤分类中加预定义URL过滤分类pre-Arts中的规则。
<Sysname> system-view
[Sysname] url-filter category news
[Sysname-url-filter-category-news] include pre-defined pre-Arts
rename命令用来重命名URL过滤分类,并进入新的URL过滤分类视图。
【命令】
rename new-name
【视图】
URL过滤分类视图
【缺省用户角色】
network-admin
【参数】
new-name:表示新的URL过滤分类的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
原有URL过滤分类的名称被修改后,URL过滤策略中引用的同名URL过滤分类的名称也会被同步修改。
【举例】
# 把名称为news的URL过滤分类重命名为hello,并进入新的URL过滤分类视图。
<Sysname> system-view
[Sysname] url-filter category news
[Sysname-url-filter-category-news] rename hello
[Sysname-url-filter-category-hello]
rename命令用来重命名URL过滤策略,并进入新的URL过滤策略视图。
【命令】
rename new-name
【视图】
URL过滤策略视图
【缺省用户角色】
network-admin
【参数】
new-name:表示新的URL过滤策略的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
原有URL过滤策略的名称被修改后,DPI应用profile中引用的同名URL过滤策略的名称也会被同步修改。
【举例】
# 把名称为news的URL过滤策略重命名为hello,并进入新的URL过滤策略视图。
<Sysname> system-view
[Sysname] url-filter policy news
[Sysname-url-filter-policy-news] rename hello
[Sysname-url-filter-policy-hello]
reset url-filter statistics命令用来清除URL过滤的统计信息。
【命令】
reset url-filter statistics
【视图】
用户视图
【缺省用户角色】
network-admin
【举例】
# 清除URL过滤的统计信息。
<Sysname> reset url-filter statistics
【相关命令】
· display url-filter statistics
rule命令用来在自定义URL过滤分类中创建URL过滤规则。
undo rule命令用来在自定义URL过滤分类中删除指定的URL过滤规则。
【命令】
rule rule-id host { regex regex | text string } [ uri { regex regex | text string } ]
undo rule rule-id
【缺省情况】
自定义URL过滤分类中不存在URL过滤规则。
【视图】
URL过滤分类视图
【缺省用户角色】
network-admin
【参数】
rule-id:指定URL过滤规则编号,取值范围为1~65535。
host:表示URL过滤规则匹配URL中的主机名字段。
uri:表示URL过滤规则匹配URL中的URI字段。
regex regex:表示URL过滤规则使用正则表达式对主机名和URI字段进行模糊匹配。regex表示正则表达式,区分大小写,只能以字母、数字和下划线开头,且必须包含连续的3个非通配符。其中,主机名正则表达式的取值范围为3~224个字符的字符串;URI正则表达式的取值范围为3~253个字符的字符串。
text string:表示URL过滤规则使用文本对主机名和URI字段进行精确匹配。string表示主机名或URI规则字符串,主机名规则的取值范围为3~224个字符的字符串,不区分大小写,主机名只能是字母、数字、下划线“_”、连接符“-”、冒号“:”、左方括号“[”、右方括号“]”和点号“.”,但URI无此限制;URI规则的取值范围为3~255个字符的字符串,不区分大小写。
【使用指导】
URL过滤规则是指对用户HTTP报文中的URL进行匹配的原则,URL过滤规则支持两种匹配方式:
· 文本匹配:使用指定的字符串对主机名和URI字段进行精确匹配。
¡ 匹配主机名字段时,URL中的主机名字段与规则中指定的主机名字符串必须完全一致,才能匹配成功。例如,规则中配置主机名字符串为abc.com.cn,则主机名为abc.com.cn的URL会匹配成功,而主机名为dfabc.com.cn的URL将与该规则匹配失败。
¡ 匹配URI字段时,从URL中URI字段的首字符开始,只要URI字段中连续若干个字符与规则中指定的URI字符串完全一致,就算匹配成功。例如,规则中配置URI字符串为/sina/news,则URI为/sina/news、/sina/news/sports或/sina/news_sports的URL会匹配成功,而URI为/sina的URL将与该规则匹配失败。
· 正则表达式匹配:使用正则表达式对主机名和URI字段进行模糊匹配。例如,规则中配置主机名的正则表达式为sina.*cn,则主机名为news.sina.com.cn的URL会匹配成功。
正则表达式有如下限制:
· 正则表达式中,总的分支不能超过四个。例如'abc(c|d|e|\x3D)'有效,'abc(c|onreset|onselect|onchange|style\x3D)'无效。
· 正则表达式中,括号不能嵌套,即括号中不能有括号。例如'ab((abcs*?))'无效。
· 正则表达式中,分支不支持串联,即分支后面不能有分支。例如'ab(a|b)(c|d)^\\r\\n]+?'无效。
· 正则表达式中,零次重复量词'*'和'?'前面必须有四个确定字符。例如'abc*'无效,'abcd*DoS\x2d\d{5}\x20\x2bxi\\r\\nJOIN'有效。
【举例】
# 在URL过滤分类news中添加一条URL过滤规则,并使用字符串sina.com对主机名字段进行精确匹配。
<Sysname> system-view
[Sysname] url-filter category news
[Sysname-url-filter-category-news] rule 10 host text sina.com
【相关命令】
· url-filter category
update schedule命令用来配置定期自动在线升级URL过滤特征库的时间。
undo update schedule命令用来恢复缺省情况。
【命令】
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
undo update schedule
【缺省情况】
设备在每天01:00:00至03:00:00之间自动在线升级URL过滤特征库。
【视图】
自动升级配置视图
【缺省用户角色】
network-admin
【参数】
daily:表示自动升级周期为每天。
weekly:表示以一周为周期,在指定的一天进行自动升级。
fri:表示星期五。
mon:表示星期一。
sat:表示星期六。
sun:表示星期日。
thu:表示星期四。
tue:表示星期二。
wed:表示星期三。
start-time time:指定自动升级开始时间,time的格式为hh:mm:ss,取值范围为00:00~23:59:59。
tingle minutes:指定抖动时间,即实际自动升级开始时间的偏差范围,取值范围为0~120,单位为分钟。在start-time指定时间的前后各偏移抖动时间的一半作为自动升级的时间范围,例如,指定自动升级的开始时间为01:00:00,抖动时间为60分钟,则自动升级的时间范围为00:30:00至01:30:00。
【举例】
# 配置URL过滤特征库的定期自动在线升级时间为每周日20:30:00,抖动时间为10分钟。
<Sysname> system-view
[Sysname] url-filter signature auto-update
[Sysname-url-filter-autoupdate] update schedule weekly sun start-time 20:30:00 tingle 10
【相关命令】
· url-filter signatures auto-update
url-filter category命令用来创建URL过滤分类,并进入URL过滤分类视图。如果指定的URL过滤分类已经存在,则直接进入该URL过滤分类视图。
undo url-filter category命令用来删除指定的URL过滤分类。
【命令】
url-filter category category-name [ severity severity-level ]
undo url-filter category category-name
【缺省情况】
只存在预定义的URL过滤分类,且分类名称以字符串Pre-开头。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
category-name:表示URL过滤分类的名称,为1~63个字符的字符串,不区分大小写。不能以字符”Pre-“开头,因为Pre-是预定义的URL过滤分类名称。
severity severity-value:表示URL过滤分类的严重级别属性。severity-value为严重级别,取值范围为1000~65535,创建URL过滤分类时必须配置此参数,数值越大表示严重级别越高,且不同的URL过滤分类的严重级别不能相同。
【使用指导】
为便于管理员对数目众多的URL过滤规则进行统一部署,URL过滤模块提供了URL过滤分类功能,以便对具有相似特征的URL过滤规则进行归纳以及为匹配这些规则的URL统一指定处理动作。每个URL过滤分类具有一个严重级别属性,该属性值表示对属于此过滤分类URL的处理优先级。
URL过滤分类包括两种类型:
· 预定义分类:根据设备中的URL过滤特征库自动生成,其内容和严重级别不可被修改。
· 自定义分类:由管理员手动配置,可修改其严重级别,可添加URL过滤规则。
当报文匹配成功的URL过滤规则同属于多个URL过滤分类时,设备将根据严重级别最高的URL过滤分类中指定的动作对此报文进行处理。
【举例】
# 创建一个名为news的URL过滤分类,指定其严重级别为2000。
<Sysname> system-view
[Sysname] url-filter category news severity 2000
[Sysname-url-filter-category-news]
【相关命令】
· display url-filter category
url-filter copy category命令用来复制URL过滤分类。
【命令】
url-filter copy category old-name new-name severity severity-level
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
old-name:原有分类名称。必须为已创建的自定义分类。
new-name:新分类名称,为1~63个字符的字符串,不区分大小写。不能以字符“Pre-”开头,因为Pre-是预定义的URL过滤分类名称。
severity severity-level:表示URL过滤分类的严重级别。severity-level为严重级别,取值范围为1000~65535。数值越大表示严重级别越高,且不同的分类严重级别不能相同,如果相同,则复制失败。
【使用指导】
本命令用来复制已存在的URL过滤分类,可以方便用户快速创建新的URL过滤分类。
【举例】
# 通过复制名称为news的URL过滤分类来创建一个名为test的URL过滤分类。
<Sysname> system-view
[Sysname] url-filter copy category news test severity 1001
[Sysname-url-filter-category-test]
【相关命令】
· url-filter category
url-filter copy policy命令用来复制URL过滤策略。
【命令】
url-filter copy policy old-name new-name
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
old-name:原有策略名称。为1~31个字符的字符串,不区分大小写。
new-name:新策略名称。为1~31个字符的字符串,不区分大小写。
【使用指导】
本命令用来复制已存在的URL过滤策略,可以方便用户快速创建新的URL过滤策略。
【举例】
# 通过复制名称为news的URL过滤策略来创建2个新的URL过滤策略。
<Sysname> system-view
[Sysname] url-filter copy policy news news1
[Sysname-url-filter-policy-news_1] quit
[Sysname] url-filter copy policy news new2
[Sysname-url-filter-policy-news_2] quit
【相关命令】
· url-filter policy
url-filter log directory root命令用来配置URL过滤仅对网站根目录下资源的访问进行日志记录。
undo url-filter log directory root命令用来恢复缺省情况。
【命令】
url-filter log directory root
undo url-filter log directory root
【缺省情况】
URL过滤对网站所有路径下资源的访问均进行日志记录。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
配置此命令后,url-filter log except pre-defined和url-filter log except user-defined命令将失效。
【举例】
# 配置URL过滤仅对网站根目录下资源的访问进行日志记录。
<Sysname> system-view
[Sysname] url-filter log directory root
【相关命令】
· category action logging
· default-action logging
· url-filter log except pre-defined
· url-filter log except user-defined
url-filter log enable命令用来开启应用层检测引擎日志信息功能。
undo url-filter log enable命令用来关闭应用层检测引擎日志信息功能。
【命令】
url-filter log enable
undo url-filter log enable
【缺省情况】
应用层检测引擎日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
应用层检测引擎日志是为了满足管理员审计需求。设备生成应用层检测引擎日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“设备管理配置指导”中的“信息中心”。
【举例】
# 开启应用层检测引擎日志信息功能。
<Sysname> system-view
[Sysname] url-filter log enable
url-filter log except pre-defined命令用来配置URL过滤对预定义类型网页资源的访问不进行日志记录。
undo url-filter log except pre-defined命令用来配置URL过滤对预定义类型网页资源的访问进行日志记录。
【命令】
url-filter log except pre-defined { css | gif | ico | jpg | js | png | swf | xml }
undo url-filter log except pre-defined { css | gif | ico | jpg | js | png | swf | xml }
【缺省情况】
URL过滤对所有预定义类型网页资源的访问不进行日志记录。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
css:表示网页资源类型为css。
gif:表示网页资源类型为gif。
ico:表示网页资源类型为ico。
jpg:表示网页资源类型为jpg。
js:表示网页资源类型为js。
png:表示网页资源类型为png。
swf:表示网页资源类型为swf。
xml:表示网页资源类型为xml。
【使用指导】
此命令生效的优先级低于url-filter log directory root命令,如果已经配置url-filter log directory root命令,则本配置不能生效。因此,如果要本配置生效,则需要执行undo url-filter log directory root命令。
可多次执行此命令,指定多种不记录访问日志的预定义网页资源类型。
【举例】
# 配置URL过滤对预定义css类型网页资源的访问不进行日志记录。
<Sysname> system-view
[Sysname] url-filter log except pre-defined css
【相关命令】
· category action logging
· default-action logging
· url-filter log directory root
· url-filter log except user-defined
url-filter log except user-defined命令用来配置URL过滤对自定义类型网页资源的访问不进行日志记录。
undo url-filter log except user-defined命令用来配置URL过滤对自定义类型网页资源的访问进行日志记录。
【命令】
url-filter log except user-defined text
undo url-filter log except user-defined [ text ]
【缺省情况】
未配置自定义类型网页资源,URL过滤对除预定义类型之外的所有网页资源的访问均进行日志记录。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
text:表示自定义网页资源类型,取值范围为1~63个字符的字符串,不区分大小写。
【使用指导】
此命令生效的优先级低于url-filter log directory root命令,如果已经配置url-filter log directory root命令,则本配置不能生效。因此,如果要本配置生效,则需要执行undo url-filter log directory root命令。
可多次执行此命令,指定多种不记录访问日志的自定义网页资源类型。
执行undo url-filter log except user-defined命令时,若未指定任何参数,则表示URL过滤对所有自定义类型网页资源的访问均进行日志记录。
【举例】
# 配置URL过滤对自定义html类型网页资源的访问不进行日志记录。
<Sysname> system-view
[Sysname] url-filter log except user-defined html
【相关命令】
· category action logging
· default-action logging
· url-filter log directory root
· url-filter log except pre-defined
url-filter policy命令用来创建URL过滤策略,并进入URL过滤策略视图。如果指定的URL过滤策略已经存在,则直接进入URL过滤策略视图。
undo url-filter policy命令用来删除指定的URL过滤策略。
【命令】
url-filter policy policy-name
undo url-filter policy policy-name
【缺省情况】
不存在URL过滤策略。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
policy-name:表示URL过滤策略的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
一个URL过滤策略中可以为每个URL过滤分类配置动作,也可以在URL过滤策略中定义URL过滤策略的缺省动作。
URL过滤策略仅在被DPI应用profile中引用后生效。有关DPI应用profile的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
在开启DRS功能后,即配置wlan drs enable命令的情况下,URL过滤策略的名称不能为drs,否则设备重启后会出现配置变更等问题。有关DRS功能的详细介绍请参见“WLAN安全命令参考”中的“WLAN DRS”。
【举例】
# 创建一个名为news的URL过滤策略
<Sysname> system-view
[Sysname] url-filter policy news
[Sysname-url-filter-policy-news]
url-filter signature auto-update命令用来开启定期自动在线升级URL过滤特征库功能,并进入自动升级配置视图。
undo url-filter signature auto-update命令用来关闭定期自动在线升级URL过滤特征库功能。
【命令】
url-filter signature auto-update
undo url-filter signature auto-update
【缺省情况】
定期自动在线升级URL过滤特征库功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
如果设备可以访问官方网站上的特征库服务专区,可以采用定期自动在线升级方式来对设备上的URL过滤特征库进行升级。
【举例】
# 开启定期自动在线升级URL过滤特征库功能,并进入自动升级配置视图。
<Sysname> system-view
[Sysname] url-filter signature auto-update
[Sysname-url-filter-autoupdate]
【相关命令】
· update schedule
url-filter signature auto-update-now命令用来立即自动在线升级URL过滤特征库。
【命令】
url-filter signature auto-update-now
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
当管理员发现官方网站上的特征库服务专区中的URL过滤特征库有更新时,可以选择立即自动在线升级方式来及时升级URL过滤特征库版本。
【举例】
# 立即自动在线升级URL过滤特征库版本。
<Sysname> system-view
[Sysname] url-filter signature auto-update-now
url-filter signature rollback命令用来回滚URL过滤特征库版本。
【命令】
url-filter signature rollback { factory | last }
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
factory:表示URL过滤特征库的出厂版本。
last:表示URL过滤特征库的上一版本。
【使用指导】
URL过滤特征库回滚是指将当前的URL过滤特征库版本回滚到指定的URL过滤特征库版本。如果管理员发现设备对用户访问Web的URL过滤的误报率较高或出现异常情况,则可以对当前URL过滤特征库版本进行回滚。目前支持将设备中的URL过滤特征库版本回滚到出厂版本和上一版本。
URL过滤特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如当前URL过滤特征库版本是V2,上一版本是V1,第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。
【举例】
# 配置URL过滤特征库回滚到上一版本。
<Sysname> system-view
[Sysname] url-filter signature rollback last
url-filter signature update命令用来手动离线升级URL过滤特征库。
【命令】
url-filter signature update file-path
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
file-path:指定特征库文件的路径,为1~255个字符的字符串。
【使用指导】
如果设备不能访问官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级URL过滤特征库版本。
· 本地升级:使用本地保存的特征库文件升级系统上的URL过滤特征库版本。
· FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的URL过滤特征库版本。
参数file-path的取值与手动离线升级的操作方式有关。本地升级时参数file-path取值请参见表1-4;FTP/TFTP升级时参数file-path取值请参见表1-5。
表1-4 本地升级时参数file-path取值说明表
|
升级场景 |
参数file-path取值 |
说明 |
|
特征库文件的存储位置与当前工作路径一致 |
filename |
可以执行pwd命令查看当前工作路径 有关pwd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
|
特征库文件的存储位置与当前工作路径不一致,且在相同存储介质上 |
filename |
需要先执行cd命令将工作路径切换至特征库文件所在目录下 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
|
特征库文件的存储位置与当前工作路径不在相同存储介质上 |
path/ filename |
需要先执行cd命令将工作路径切换至特征库文件所在存储介质的根目录下,再指定特征库文件的相对路径 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
表1-5 FTP/TFTP升级时参数file-path取值说明表
|
升级场景 |
参数file-path取值 |
说明 |
|
特征库文件存储在开启FTP服务的远程服务器上 |
ftp://username:password@server/filename |
username为登录FTP服务器的用户名,password为登录FTP服务器的密码,server为FTP服务器的IP地址或主机名 当FTP的用户名和密码中使用了“:”、“@”和“/”三种特殊字符时,需要将这三种特殊字符替换为其对应的转义字符。“:”、“@”和“/”三种特殊字符对应的转义字符分别为“%3A或%3a”、“%40”和“%2F或%2f” |
|
特征库文件存储在开启TFTP服务的远程服务器上 |
tftp://server/filename |
server为TFTP服务器的IP地址或主机名 |
当采用FTP/TFTP方式升级特征库时,如果指定的是服务器的主机名,则需要确保设备能通过静态或动态域名解析方式获得FTP/TFTP服务器的IP地址,并与之路由可达。否则设备升级特征库会失败。有关域名解析功能的详细配置请参见“网络互通配置指导”中的“域名解析”。
【举例】
# 配置手动离线升级URL过滤特征库,且采用TFTP方式,URL过滤特征库文件的远程路径为tftp://192.168.0.10/url-filter-1.0.2-en.dat。
<Sysname> system-view
[Sysname] url-filter signature update tftp://192.168.0.10/url-filter-1.0.2-en.dat
# 配置手动离线升级URL过滤特征库,且采用FTP方式,URL过滤特征库文件的远程路径为ftp://192.168.0.10/url-filter-1.0.2-en.dat,用户名为user:123,密码为user@abc/123。
<Sysname> system-view
[Sysname] url-filter signature update ftp://user%3A123:user%40abc%2F123@192.168.0.10/url-filter-1.0.2-en.dat
# 配置手动离线升级URL过滤特征库,且采用本地方式,URL过滤特征库文件的本地路径为cfa0:/url-filter-1.0.23-en.dat,且当前工作路径为cfa0:。
<Sysname> system-view
[Sysname] url-filter signature update url-filter-1.0.23-en.dat
# 配置手动离线升级URL过滤特征库,且采用本地方式,URL过滤特征库文件的本地路径为cfa0:/dpi/url-filter-1.0.23-en.dat,且当前工作路径为cfa0:。
<Sysname> cd dpi
<Sysname> system-view
[Sysname] url-filter signature update url-filter-1.0.23-en.dat
# 配置手动离线升级URL过滤特征库,且采用本地方式,URL过滤特征库文件的本地路径为cfb0:/dpi/url-filter-1.0.23-en.dat,当前工作路径为cfa0:。
<Sysname> cd cfb0:/
<Sysname> system-view
[Sysname] url-filter signature update dpi/url-filter-1.0.23-en.dat
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
