- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
23-安全策略命令
本章节下载: 23-安全策略命令 (348.27 KB)
目 录
1.1.1 accelerate enhanced enable
1.1.7 default rule counting enable
1.1.8 default rule logging enable
1.1.9 description (security-policy rule view)
1.1.10 description (security-policy view)
1.1.13 display security-policy
1.1.14 display security-policy statistics
1.1.23 reset security-policy statistics
1.1.26 security-policy log real-time-sending enable
本功能的支持情况与设备型号有关,请以设备的实际情况为准。
|
产品系列 |
产品型号 |
产品代码 |
说明 |
|
WX3500X系列 |
· WX3510X · WX3520X · WX3540X |
· EWP-WX3510X · EWP-WX3520X · EWP-WX3540X |
支持 |
|
WX3500X-E系列 |
WX3508X-E |
EWP-WX3508X-E |
支持 |
|
WCG380系列 |
WCG382 |
EWP-WCG382 |
不支持 |
|
产品系列 |
产品型号 |
产品代码 |
说明 |
|
WX3800X系列 |
· WX3820X · WX3840X |
· EWP-WX3820X · EWP-WX3840X |
支持 |
accelerate enhanced enable命令用来激活安全策略规则的加速功能。
【命令】
accelerate enhanced enable
【视图】
IPv4安全策略视图
IPv6安全策略视图
【缺省用户角色】
network-admin
【使用指导】
加速功能用于提高报文对安全策略规则的匹配速度。激活安全策略规则加速功能是指对变化(新增、删除、修改或移动)的安全策略规则进行加速。
进入安全策略视图后,系统按照固定时间间隔判断是否需要激活安全策略规则的加速功能。在一个时间间隔内若安全策略规则发生变化,则间隔时间到达后会对当前所有的安全策略规则进行重新加速,否则,不会重新加速。当安全策略规则小于等于100条时,此时间间隔为2秒;当安全策略规则大于100条时,此时间间隔为20秒。
如安全策略规则发生变化后,也可以手动执行accelerate enhanced enable命令立即对发生变化的安全策略规则进行加速。
安全策略中的规则发生变化后必须对其加速成功,否则这些变化的规则无法进行报文匹配。
激活安全策略规则加速功能时,内存资源不足会导致安全策略规则加速失败。加速失败后,本间隔内发生变化的安全策略规则未进行加速,从而导致变化的安全策略规则不生效,之前已经加速成功的规则不受影响。在下一个时间间隔到达后,系统会再次尝试对安全策略规则进行加速。
【举例】
# 激活安全策略规则的加速功能。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] accelerate enhanced enable
action命令用来配置安全策略规则的动作。
undo action命令用来恢复缺省情况。
【命令】
action { drop | pass }
undo action pass
【缺省情况】
安全策略规则动作是丢弃。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
drop:表示丢弃符合条件的报文。
pass:表示允许符合条件的报文通过。
【使用指导】
多次执行本命令,最后一次执行的命令生效。
【举例】
# 为安全策略规则rule1配置动作为丢弃。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] action drop
【相关命令】
· display security-policy
app-group命令用来配置作为安全策略规则过滤条件的应用组。
undo app-group命令用来删除作为安全策略规则过滤条件的应用组。
【命令】
app-group app-group-name
undo app-group [ app-group-name ]
【缺省情况】
不存在应用组过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
app-group-name:表示应用组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串invalid和other。使用undo命令时若不指定此参数,则表示删除此规则中所有应用组类型的过滤条件。有关应用组的详细介绍,请参见“DPI深度安全配置指导”中的“APR”。
【使用指导】
多次执行本命令,可配置多个应用组作为安全策略规则的过滤条件。
【举例】
# 配置作为安全策略规则rule1过滤条件的应用组为app1和app2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] app-group app1
[Sysname-security-policy-ip-0-rule1] app-group app2
【相关命令】
· app-group(安全命令参考/APR)
· display security-policy
application命令用来配置作为安全策略规则过滤条件的应用。
undo application命令用来删除作为安全策略规则过滤条件的应用。
【命令】
application application-name
undo application [ application-name ]
【缺省情况】
不存在应用过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
application-name:表示应用的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串invalid和other。使用undo命令时若不指定此参数,则表示删除此规则中所有应用类型的过滤条件。有关应用的详细介绍,请参见“DPI深度安全配置指导”中的“APR”。
【使用指导】
多次执行本命令,可配置多个应用作为安全策略规则的过滤条件。
为使安全策略中配置的应用可以被识别,必须先放行应用所依赖的基础协议报文。
在端口仿冒网络环境中,必须先放行仿冒的基础协议报文,才能识别出仿冒报文中的应用。
【举例】
# 配置作为安全策略规则rule1过滤条件的应用为139Mail和51job。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] application 139Mail
[Sysname-security-policy-ip-0-rule1] application 51job
【相关命令】
· display security-policy
· nbar application(安全命令参考/APR)
· port-mapping(安全命令参考/APR)
counting enable命令用来开启安全策略规则匹配统计功能。
undo counting enable命令用来关闭安全策略规则匹配统计功能。
【命令】
counting enable
undo counting enable
【缺省情况】
安全策略规则匹配统计功能处于关闭状态。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【使用指导】
此功能用来对匹配安全策略规则的报文进行统计,可通过执行display security-policy statistics命令来查看相关报文的统计信息。
【举例】
# 为安全策略规则rule1开启规则匹配统计功能。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] counting enable
【相关命令】
· display security-policy
· display security-policy statistics
default rule action命令用来配置安全策略缺省规则的动作。
【命令】
default rule action { drop | pass }
【缺省情况】
安全策略缺省规则的动作是丢弃。
【视图】
安全策略视图
【缺省用户角色】
network-admin
【参数】
drop:表示丢弃符合条件的报文。
pass:表示允许符合条件的报文通过。
【使用指导】
多次执行本命令,最后一次执行的命令生效。
【举例】
# 为安全策略缺省规则配置动作为丢弃。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] default rule action drop
default rule counting enable命令用来开启安全策略缺省规则匹配统计功能。
undo default rule counting enable命令用来关闭安全策略缺省规则匹配统计功能。
【命令】
default rule counting enable
undo default rule counting enable
【缺省情况】
安全策略缺省规则匹配统计功能处于关闭状态。
【视图】
安全策略视图
【缺省用户角色】
network-admin
【使用指导】
此功能用来对匹配安全策略缺省规则的报文进行统计,可通过执行display security-policy statistics命令来查看相关报文的统计信息。
【举例】
# 为安全策略缺省规则开启规则匹配统计功能。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] default rule counting enable
default rule logging enable命令用来开启安全策略缺省规则记录日志的功能。
undo default rule logging enable命令用来关闭安全策略缺省规则记录日志的功能。
【命令】
default rule logging enable
undo default rule logging enable
【缺省情况】
安全策略规则记录日志的功能处于关闭状态。
【视图】
安全策略视图
【缺省用户角色】
network-admin
【使用指导】
开启此功能后,设备对匹配缺省规则的报文生成安全策略日志信息,此日志信息将会被交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向,但安全策略日志不会输出到控制台和监视终端,可通过执行display logbuffer命令或在Web页面上的安全策略日志中查看。有关display logbuffer命令和信息中心的详细描述,请参见“设备管理配置指导”中的“信息中心”。
【举例】
# 在安全策略缺省规则中开启安全策略规则记录日志的功能。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] default rule logging enable
description命令用来配置安全策略规则的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
不存在安全策略规则的描述信息。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
text:表示安全策略规则的描述信息,为1~127个字符的字符串,区分大小写。
【举例】
# 为IPv4安全策略规则0配置描述信息为This rule is used for source-ip ip1。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] description This rule is used for source-ip ip1
【相关命令】
· display security-policy ip
· display security-policy ipv6
description命令用来配置安全策略的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
不存在安全策略的描述信息。
【视图】
IPv4安全策略视图
IPv6安全策略视图
【缺省用户角色】
network-admin
【参数】
text:表示安全策略的描述信息,为1~127个字符的字符串,区分大小写。
【举例】
# 配置安全策略的描述信息为“zone-pair security office to library”。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] description zone-pair security office to library
【相关命令】
· display security-policy
destination-ip命令用来配置作为安全策略规则过滤条件的目的IP地址。
undo destination-ip命令用来删除作为安全策略规则过滤条件的目的IP地址。
【命令】
destination-ip object-group-name
undo destination-ip [ object-group-name ]
【缺省情况】
不存在目的IP地址过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
object-group-name:表示目的地址对象组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串any。使用undo命令时若不指定此参数,则表示删除此规则中所有目的IP地址类型的过滤条件。有关地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。
【使用指导】
多次执行本命令,可配置多个目的IP地址作为安全策略规则的过滤条件。
配置目的IP地址作为安全策略规则的过滤条件时,若指定的地址对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置地址对象组,但此条过滤条件不会匹配任何报文。
【举例】
# 配置作为安全策略规则rule1过滤条件的目的地址对象组为client1和client2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] destination-ip client1
[Sysname-security-policy-ip-0-rule1] destination-ip client2
【相关命令】
· display security-policy
· object-group(安全命令参考/对象组)
disable命令用来禁用安全策略规则。
undo disable命令用来启用安全策略规则。
【命令】
disable
undo disable
【缺省情况】
安全策略规则处于禁用状态。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【举例】
# 禁用安全策略规则rule1。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] disable
【相关命令】
· display security-policy
display security-policy命令用来显示安全策略的配置信息。
【命令】
display security-policy { ip | ipv6 }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ip:表示显示IPv4安全策略的配置信息。
ipv6:表示显示IPv6安全策略的配置信息。
【举例】
# 显示IPv4安全策略的配置信息。
<Sysname> display security-policy ip
Security-policy ip
rule 0 name der (Inactive)
action pass
profile er
vrf re
logging enable
counting enable
counting enable TTL 1200
time-range dere
track positive 23
session aging-time 5000
session persistent aging-time 2400
source-ip erer
destination-ip client1
service ftp
app-group ere
application 110Wang
user der
user-group ere
表1-1 display security-policy命令显示信息描述表
|
rule id name rule-name |
表示规则的ID和名称 |
|
action pass |
表示规则动作,其取值如下: · pass:表示允许报文通过 · drop:表示丢弃报文 |
|
profile app-profile-name |
表示引用的DPI应用profile |
|
vrf vrf-name |
(暂不支持)表示MPLS L3VPN的VPN实例名称 |
|
logging enable |
表示开启了对符合规则过滤条件的报文记录日志信息的功能 |
|
counting enable |
表示开启了安全策略规则匹配统计功能 |
|
counting enable TTL time-value |
表示开启了安全策略规则匹配统计功能后的剩余生效时间,单位为秒 |
|
time-range time-range-name |
表示此规则生效的时间段 |
|
track negative 1 (Active) |
表示安全策略规则生效状态与Track项的Negative状态关联,且此规则的状态为Active,规则的生效状态取值包括: · Active:表示生效状态 · Inative:表示禁用状态 |
|
track positive 1 (Inactive) |
表示安全策略规则生效状态与Track项的Positive或NotReady状态关联,且此规则的状态为Active,规则的生效状态取值包括: · Active:表示生效状态 · Inative:表示禁用状态 |
|
session aging-time time-value |
表示此规则中设置的会话老化时间,单位为秒 |
|
session persistent aging-time time-value |
表示此规则中设置的长连接会话的老化时间,单位为小时 |
|
source-ip object-group-name |
表示规则配置了源IP地址作为过滤条件 |
|
destination-ip object-group-name |
表示规则配置了目的IP地址作为过滤条件 |
|
service object-group-name |
表示规则配置了服务作为过滤条件 |
|
app-group app-group-name |
表示规则配置了应用组作为过滤条件 |
|
application application-name |
表示规则配置了应用作为过滤条件 |
|
user user-name |
表示规则配置了用户作为过滤条件 |
|
user-group user-group-name |
表示规则配置了用户组作为过滤条件 |
|
undo disable |
表示此规则是生效状态 |
【相关命令】
· security-policy ip
· security-policy ipv6
display security-policy statistics命令用来显示安全策略的统计信息。
【命令】
display security-policy statistics { ip | ipv6 } [ rule rule-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ip:表示显示IPv4安全策略的统计信息。
ipv6:表示显示IPv6安全策略的统计信息。
rule rule-name:表示显示指定安全策略规则的统计信息。rule-name是安全策略规则的名称,为1~127个字符的字符串,不区分大小写。若不指定此参数,则显示指定IP类型的所有安全策略统计信息。
【举例】
# 显示IPv4安全策略下名称为abc的规则的统计信息。
<Sysname> display security-policy statistics ip rule abc
rule 0 name abc
action: pass (5 packets, 1000 bytes)
表1-2 display security-policy statistics命令显示信息描述表
|
字段 |
描述 |
|
rule id name rule-name |
表示规则的ID和名称 |
|
action |
表示安全策略规则动作,其取值包括如下: · pass:表示允许报文通过 · drop:表示丢弃报文 |
|
x packets, y bytes |
该安全策略规则匹配x个报文,共y字节(本字段仅在配置安全策略规则配置了counting enable或logging enable命令时显示,当未匹配任何报文时不显示本字段) |
【相关命令】
· reset security-policy statistics
group move group-name1 { after | before } { group group-name2 | rule rule-name }命令用来移动安全策略组。
【命令】
group move group-name1 { after | before } { group group-name2 | rule rule-name }
【视图】
安全策略视图
【缺省用户角色】
network-admin
【参数】
group-name1:表示需要被移动的安全策略组的名称,为1~63个字符的字符串,不区分大小写。
after:表示将安全策略组group-name1移动到安全策略组group-name2或安全策略规则rule-name之后。
before:表示将安全策略组group-name1移动到安全策略组group-name2或安全策略规则rule-name之前。
group group-name2:表示目标安全策略组的名称,为1~63个字符的字符串,不区分大小写。
rule rule-name:表示目标安全策略规则的名称,为1~127个字符的字符串,不区分大小写。
【使用指导】
通过移动安全策略组可以批量改变安全策略规则的优先级。
如果目标安全策略规则已经属于其他安全策略组,按照其在安全策略组中的位置,受如下原则的约束。
· 如果规则位于策略组中间位置,则不能移动。
· 如果规则位于策略组开始位置,只可以移动到目标规则之前。
· 如果规则位于策略组结束位置,只可以移动到目标规则之后。
【举例】
# 将安全策略组group1移动到安全策略组group2之前。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] group move group1 before group group2
group name命令用来创建安全策略组,并将指定的安全策略规则加入此安全策略组。如果指定的安全策略组已经存在,则将指定的安全策略规则加入此安全策略组。
undo group name命令用来删除安全策略组。
【命令】
group name group-name [ from rule-name1 to rule-name2 ] [ description description-text ] [ disable | enable ]
undo group name group-name [ description | include-member ]
【缺省情况】
不存在安全策略组。
【视图】
安全策略视图
【缺省用户角色】
network-admin
【参数】
group-name:表示安全策略组的名称,为1~63个字符的字符串,不区分大小写。
from rule-name1:表示加入安全策略组规则的起始规则,rule-name1是安全策略规则的名称,为1~127个字符的字符串,不区分大小写。若不指定本参数,则表示创建空的安全策略组。
to rule-name2:表示加入安全策略组规则的结束规则,rule-name2是安全策略规则的名称,为1~127个字符的字符串,不区分大小写。
description description-text:表示安全策略组的描述信息,为1~127个字符的字符串,区分大小写。缺省情况下,安全策略组不存在描述信息。
disable:表示禁用安全策略组。
enable:表示启用安全策略组,安全策略组缺省处于启用状态。
include-member:执行undo命令行时,若指定本参数,则表示删除安全策略组及其策略组中的所有安全策略规则。
【使用指导】
安全策略组可以实现对安全策略规则的批量操作,例如批量启用、禁用、删除和移动安全策略规则。
将安全策略规则加入安全策略组时,会将指定范围内若干连续的安全策略规则加入同一个安全策略组。
只有当安全策略规则及其所属的安全策略组均处于启用状态时,安全策略规则才能生效。
将安全策略规则加入安全策略组时,起始规则要在结束规则前面,并且起始规则和结束规则之间的规则不能属于其他安全策略组。
执行undo命令行时的具体功能如下:
· undo group name group-name命令用来仅删除安全策略组,但不删除策略组中的规则。
· undo group name group-name description命令用来仅删除安全策略组的描述信息。
· undo group name group-name include-member命令用来删除安全策略组及其策略组中的所有规则。
【举例】
# 创建一个名称为group1的安全策略组,并将安全策略规则rule-name1到rule-name10之间的所有安全策略规则加入此安全策略组,其描述信息为marketing。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] group name group1 from rule-name1 to rule-name10 enable description marketing
group rename命令用来重命名安全策略组。
【命令】
group rename old-name new-name
【视图】
安全策略视图
【缺省用户角色】
network-admin
【参数】
old-name:表示安全策略组的原有名称,为1~63个字符的字符串,不区分大小写。
new-name:表示安全策略组的新名称,为1~63个字符的字符串,不区分大小写。
【举例】
# 把安全策略组group1重命名为group2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] group rename group1 group2
logging enable命令用来开启安全策略规则记录日志的功能。
undo logging enable命令用来关闭安全策略规则记录日志的功能。
【命令】
logging enable
undo logging enable
【缺省情况】
安全策略规则记录日志的功能处于关闭状态。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【使用指导】
开启此功能后,设备对匹配规则的报文生成安全策略日志信息,此日志信息将会被交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。
安全策略日志不会输出到控制台和监视终端。当信息中心配置的规则将安全策略日志输出到控制台和监视终端时,若仍需要查看安全策略日志,可通过执行display logbuffer命令或在Web页面中查看。有关信息中心和display logbuffer命令的详细描述,请参见“设备管理配置指导”中的“信息中心”。
【举例】
# 在安全策略规则rule1中开启安全策略规则记录日志的功能。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] logging enable
【相关命令】
· display security-policy
move rule命令用来移动安全策略规则。
【命令】
move rule rule-id before insert-rule-id
【视图】
IPv4安全策略视图
IPv6安全策略视图
【缺省用户角色】
network-admin
【参数】
rule-id:指定待移动安全策略规则的编号,取值范围为0~65534。
insert-rule-id:表示移动到指定编号的规则之前,取值范围为0~65535,其中指定编号为65535时表示移动到所有规则之后。
【使用指导】
如果insert-rule-id与rule-id相同或其指定的规则不存在,则不执行任何移动操作。
【举例】
# 在IPv4安全策略上,将安全策略规则5移动到规则2之前。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] move rule 5 before 2
【相关命令】
· rule
· security-policy ip
· security-policy ipv6
move rule name命令用来通过安全策略规则名称移动规则。
【命令】
move rule name rule-name1 { { after | before } name rule-name2 | bottom | down | top | up }
【视图】
安全策略视图
【缺省用户角色】
network-admin
【参数】
rule-name1:待移动的安全策略规则的名称,为1~127个字符的字符串,不区分大小写。
after:表示移动到指定名称的目标安全策略规则之后。
before:表示移动到指定名称的目标安全策略规则之前。
name rule-name2:指定目标安全策略规则的名称,为1~127个字符的字符串,不区分大小写。
bottom:表示移动到所有安全策略规则之后。
down:表示移动到下一条安全策略规则之后。
top:表示移动到所有安全策略规则之前。
up:表示移动到上一条安全策略规则之前。
【使用指导】
通过移动安全策略规则可以改变报文匹配安全策略规则的优先级。
【举例】
# 在IPv4安全策略上,将安全策略规则rule1移动到安全策略规则rule2之前。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] move rule name rule1 before name rule2
【相关命令】
· rule
· security-policy ip
· security-policy ipv6
parent-group group-name命令用来配置安全策略规则所属的安全策略组。
undo parent-group命令用来恢复缺省情况。
【命令】
parent-group group-name
undo parent-group
【缺省情况】
安全策略规则不属于安全策略组。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
group-name:表示安全策略规则需要加入的安全策略组的名称,为1~63个字符的字符串,不区分大小写。
【举例】
# 配置安全策略规则rule1属于安全策略组group1。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 1 name rule1
[Sysname-security-policy-ip-1-rule1] parent-group group1
profile命令用来在安全策略规则中引用DPI应用profile。
undo profile命令用来删除在安全策略规则中引用的DPI应用profile。
【命令】
profile app-profile-name
undo profile
【缺省情况】
安全策略规则中未引用DPI应用profile。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
app-profile-name:表示DPI应用profile的名称,为1~63个字符的字符串,不区分大小写。有关DPI应用profile的详细介绍,请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
【使用指导】
通过在安全策略规则中引用DPI应用profile可实现对符合安全策略过滤条件的报文进行相关DPI业务的处理。有关DPI各业务的详细介绍,请参见“DPI深度安全配置指导”中的相关模块。
此命令仅在安全策略规则动作为允许的情况下才生效。
【举例】
# 在IPv4安全策略规则rule1中引用名称为p1的DPI应用profile。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] action pass
[Sysname-security-policy-ip-0-rule1] profile p1
【相关命令】
· action pass
· app-profile(DPI深度安全命令参考/应用层检测引擎)
· display security-policy ip
reset security-policy statistics命令用来清除安全策略的统计信息。
【命令】
reset security-policy statistics [ ip | ipv6 ] [ rule rule-name ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
ip:表示清除IPv4安全策略的统计信息。
ipv6:表示清除IPv6安全策略的统计信息。
rule rule-name:表示清除安全策略规则的统计信息。rule-name是安全策略规则的名称,为1~127个字符的字符串,不区分大小写。
【使用指导】
若未指定任何参数,则清除所有安全策略的统计信息。
【举例】
# 清除IPv4安全策略下名称为abc的规则的统计信息。
<Sysname> reset security-policy statistics ip rule abc
【相关命令】
· display security-policy statistics
rule命令用来创建安全策略规则,并进入安全策略规则视图。如果指定的安全策略规则已经存在,则直接进入安全策略规则视图。
undo rule命令用来删除指定的安全策略规则。
【命令】
rule { rule-id | [ rule-id ] name rule-name }
undo rule { rule-id | name rule-name } *
【缺省情况】
不存在安全策略规则。
【视图】
IPv4安全策略视图
IPv6安全策略视图
【缺省用户角色】
【参数】
rule-id:指定安全策略规则的编号,取值范围为0~65534。若未指定本参数,系统将从0开始,自动分配一个大于现有最大编号的最小编号,步长为1。若新编号超出了编号上限(65534),则选择当前未使用的最小编号作为新的编号。
rule-name:表示安全策略规则的名称,为1~127个字符的字符串,不区分大小写,且全局唯一,不能为default,创建规则时必须配置名称。
【举例】
# 为IPv4安全策略创建规则0,并为该规则配置规则名称为rule1。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1]
【相关命令】
· display security-policy ipv6
security-policy命令用来进入安全策略视图。
undo security-policy命令用来删除安全策略视图下面的所有配置。
【命令】
security-policy { ip | ipv6 }
undo security-policy { ip | ipv6 }
【缺省情况】
安全策略视图下不存在配置。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip:表示IPv4安全策略视图。
ipv6:表示IPv6安全策略视图。
【举例】
# 进入IPv4安全策略视图。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip]
【相关命令】
· display security-policy
security-policy log real-time-sending enable命令用来开启安全策略日志的实时发送功能。
undo security-policy log real-time-sending enable命令用来关闭日志的实时发送功能。
【命令】
security-policy log real-time-sending enable
undo security-policy log real-time-sending enable
【缺省情况】
日志的实时发送功能处于关闭状态,使用缓存方式发送。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
日志的发送方式支持如下两种:
· 缓存发送方式:同一数据流的首报文匹配安全策略生成并发送日志后,设备缓存此日志,同时启动发送日志的时间间隔定时器,只有时间间隔到达后,才会判断是否继续发送此日志。在此时间间隔内若有流量匹配此日志,则发送日志,若没有则删除缓存的此日志。日志缓存数目达到上限后,后续新增数据流匹配安全策略时不能生成日志。日志发送时间间隔缺省为5分钟,且不能修改。
· 实时发送方式:同一数据流的首报文匹配安全策略生成并发送日志后,设备不缓存此日志,因此这种方式无日志数目的限制。对于一条不间断的流量,若匹配的策略允许报文通过,则设备仅发送一次日志,若匹配的策略拒绝报文通过,则设备将对此条数据流的每个报文均发送一次日志。
【举例】
# 开启安全策略日志的实时发送功能。
<Sysname> system-view
[Sysname] security-policy log real-time-sending enable
【相关命令】
· logging enable
service命令用来配置作为安全策略规则过滤条件的服务。
undo service命令用来删除作为安全策略规则过滤条件的服务。
【命令】
service { object-group-name | any }
undo service [ object-group-name | any ]
【缺省情况】
不存在服务过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
object-group-name:表示服务对象组的名称,为1~63个字符的字符串,不区分大小写。
any:表示将设备中的所有服务作为安全策略规则的过滤条件。
【使用指导】
多次执行本命令,可配置多个服务对象组作为安全策略规则的过滤条件。
配置服务作为安全策略规则的过滤条件时,若指定的服务对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置服务对象组,但此条过滤条件不会匹配任何报文。
使用undo命令时若不指定任何参数,则表示删除此规则中所有服务类型的过滤条件。
【举例】
# 配置作为安全策略规则rule1过滤条件的服务对象组为http和ftp。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] service http
[Sysname-security-policy-ip-0-rule1] service ftp
【相关命令】
· display security-policy
· object-group(安全命令参考/对象组)
session aging-time命令用来为安全策略规则配置会话的老化时间。
undo session aging-time命令用来恢复缺省情况。
【命令】
session aging-time time-value
undo session aging-time
【缺省情况】
未配置安全策略规则的会话老化时间。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
time-value:指定会话的老化时间,取值范围为1~2000000,单位为秒。
【使用指导】
此命令用来为匹配某条安全策略规则而生成的稳态会话设置老化时间。且此命令的配置仅影响后续生成的会话,对于已经生效的会话不产生作用。
若某安全策略规则中配置了会话的老化时间,则匹配上该规则且进入稳定状态的会话需要遵循规则中配置的老化时间进行老化;非稳态会话按照缺省的会话老化时间(1小时)进行老化。
若进入稳态的会话报文匹配上的安全策略规则中未配置会话老化时间,则该会话基于会话管理模块配置的老化时间(session aging-time application和session aging-time state命令的配置)进行老化。有关会话管理相关配置的详细介绍,请参见“安全配置指导”中的“会话管理”。
【举例】
# 为IPv4安全策略的规则rule1配置会话老化时间为5000秒。
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] action pass
[Sysname-security-policy-ip-0-rule1] session aging-time 5000
【相关命令】
· session aging-time application(安全命令参考/会话管理)
· session aging-time state(安全命令参考/会话管理)
· session persistent acl(安全命令参考/会话管理)
session persistent aging-time命令用来为安全策略规则配置长连接会话的老化时间。
undo session persistent aging-time命令用来恢复缺省情况。
【命令】
session persistent aging-time time-value
undo session persistent aging-time
【缺省情况】
未配置安全策略规则的长连接会话老化时间。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
time-value:指定长连接会话的老化时间,取值范围为0~24000,单位为小时,0表示永不老化。
【使用指导】
此命令用来为匹配某条安全策略规则而生成的长连接会话设置老化时间。且此命令的配置仅影响后续生成的会话,对于已经生效的会话不产生作用。
此命令配置的长连接会话老化时间优先级高于session aging-time命令配置的会话老化时间和会话管理模块session persistent acl命令配置的长连接老化时间。有关session persistent acl命令的详细介绍,请参见“安全命令参考”中的“会话管理”。
长连接老化时间仅在TCP会话进入稳态(TCP-EST状态)时生效。
【举例】
# 为IPv4安全策略中规则rule1配置长连接会话老化时间为1小时。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] action pass
[Sysname-security-policy-ip-0-rule1] session persistent aging-time 1
【相关命令】
· display security-policy ip
· session persistent acl(安全命令参考/会话管理)
source-ip命令用来配置作为安全策略规则过滤条件的源IP地址。
undo source-ip命令用来删除作为安全策略规则过滤条件的源IP地址。
【命令】
source-ip object-group-name
undo source-ip [ object-group-name ]
【缺省情况】
不存在源IP地址过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
object-group-name:表示源地址对象组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串any。使用undo命令时若不指定此参数,则表示删除此规则中所有源IP地址类型的过滤条件。有关地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。
【使用指导】
多次执行本命令,可配置多个源IP地址作为安全策略规则的过滤条件。
配置源IP地址作为安全策略规则的过滤条件时,若指定的地址对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置地址对象组,但此条过滤条件不会匹配任何报文。
【举例】
# 配置作为安全策略规则rule1过滤条件的源地址对象组为server1和server2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-ip server1
[Sysname-security-policy-ip-0-rule1] source-ip server2
【相关命令】
· display security-policy
· object-group(安全命令参考/对象组)
source-mac命令用来配置作为安全策略规则过滤条件的源MAC地址。
undo source-mac命令用来删除作为安全策略规则过滤条件的源MAC地址。
【命令】
source-mac object-group-name
undo source-mac [ object-group-name ]
【缺省情况】
安全策略规则中不存在过滤条件。
【视图】
IPv4安全策略规则视图
【缺省用户角色】
network-admin
【参数】
object-group-name:表示源MAC地址对象组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串any。使用undo命令时若不指定此参数,则表示删除此规则中所有源MAC地址类型的过滤条件。有关MAC地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。
【使用指导】
多次执行本命令,可配置多个源MAC地址作为安全策略规则的过滤条件。
配置源MAC地址作为安全策略规则的过滤条件时,若指定的地址对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置地址对象组,但此条过滤条件不会匹配任何报文。
【举例】
# 配置作为安全策略规则rule1过滤条件的源MAC地址对象组为mac1和mac2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-mac mac1
[Sysname-security-policy-ip-0-rule1] source-mac mac2
【相关命令】
· display security-policy
· object-group(安全命令参考/对象组)
time-range命令用来配置安全策略规则生效的时间段。
undo time-range命令用来恢复缺省情况。
【命令】
time-range time-range-name
undo time-range
【缺省情况】
不限制安全策略规则生效的时间。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
time-range-name:表示时间段的名称,为1~32个字符的字符串,不区分大小写。有关时间段的详细介绍,请参见“安全配置指导”中的“时间段”。
【配置指导】
多次执行本命令,最后一次执行的命令生效。
【举例】
# 为安全策略规则rule1配置生效时间段为work。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] time-range work
【相关命令】
· display security-policy
· time-range(安全命令参考/时间段)
track命令用来配置安全策略规则与Track项联动。
undo track命令用来取消安全策略规则与Track项联动。
【命令】
track { negative | positive } track-entry-number
undo track
【缺省情况】
安全策略规则未与Track项联动。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
negative:指定安全策略规则与Track项的Negative状态联动。
positive:指定安全策略规则与Track项的Positive状态联动。
track-entry-number:表示关联的Track项序号,取值范围为1~1024。有关Track的详细介绍,请参见“可靠性配置指导”中的“Track”。
【使用指导】
配置安全策略规则与Track项的Negative状态联动后,当安全策略规则收到Negative状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Positive状态的Track通知时,将此规则置为失效状态(Inactive)。
配置安全策略规则与Track项的Positive状态联动后,当安全策略规则收到Positive状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Negative状态的Track通知时,将此规则置为失效状态(Inactive)。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 为安全策略规则rule1配置规则与Track项的Positive状态联动。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] track positive 10
【相关命令】
· display security-policy
· track bfd(可靠性命令参考/Track)
· track interface(可靠性命令参考/Track)
· track ip route reachability(可靠性命令参考/Track)
· track nqa(可靠性命令参考/Track)
user命令用来配置作为安全策略规则过滤条件的用户。
undo user命令用来删除作为安全策略规则过滤条件的用户。
【命令】
user username [ domain domain-name ]
undo user [ username [ domain domain-name ] ]
【缺省情况】
不存在用户过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
username:表示用户的名称,为1~55个字符的字符串,区分大小写,不能是a、al和all,且不能包含“@”。使用undo命令时若不指定此参数,则表示删除此规则中所有用户类型的过滤条件。有关用户的详细介绍,请参见“用户接入与认证配置指导”中的“用户身份识别与管理”。
domain domain-name:表示在指定的身份识别域中匹配此用户。domain-name是身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“:”、“*”、“?”、“<”、“>”和“@”字符。若不指定此参数,则表示在不属于任何身份识别域的用户中匹配此用户。
【使用指导】
多次执行本命令,可配置多个用户作为安全策略规则的过滤条件。
使用undo命令时若不指定用户,则表示删除此规则中所有用户类型的过滤条件;若不指定身份识别域,则表示删除此规则中不属于任何身份识别域的用户。
有关身份识别用户和身份识别域的详细介绍,请参见“用户接入与认证配置指导”中的“用户身份识别与管理”。
【举例】
# 配置作为安全策略规则rule1过滤条件的用户为usera和userb,身份识别域均为test。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] user usera domain test
[Sysname-security-policy-ip-0-rule1] user userb domain test
【相关命令】
· display security-policy
· user-identity enable(用户接入与认证命令参考/用户身份识别与管理)
· user-identity static-user(用户接入与认证命令参考/用户身份识别与管理)
user-group命令用来配置作为安全策略规则过滤条件的用户组。
undo user-group命令用来删除作为安全策略规则过滤条件的用户组。
【命令】
user-group user-group-name [ domain domain-name ]
undo user-group [ user-group-name [ domain domain-name ] ]
【缺省情况】
不存在用户组过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
user-group-name:表示用户组的名称,为1~200个字符的字符串,不区分大小写。使用undo命令时若不指定此参数,则表示删除此规则中所有用户组类型的过滤条件。有关用户组的详细介绍,请参见“用户接入与认证配置指导”中的“用户身份识别与管理”。
domain domain-name:表示在指定的身份识别域中匹配此用户组,domain-name是身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“:”、“*”、“?”、“<”、“>”以及“@”字符。若不指定此参数,则表示在不属于任何身份识别域的用户组中匹配此用户组。
【使用指导】
多次执行本命令,可配置多个用户组作为安全策略规则的过滤条件。
使用undo命令时若不指定用户组,则表示删除此规则中所有用户组类型的过滤条件;若不指定身份识别域,则表示删除此规则中不属于任何身份识别域的用户组。
有关身份识别用户组和身份识别域的详细介绍,请参见“用户接入与认证配置指导”中的“用户身份识别与管理”。
【举例】
# 配置作为安全策略规则rule1过滤条件的用户组为groupa和groupb,身份识别域均为test。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] user-group groupa domain test
[Sysname-security-policy-ip-0-rule1] user-group groupb domain test
【相关命令】
· display security-policy
· user-group(用户接入与认证命令参考/AAA)
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
