02-应用审计与管理命令
本章节下载: 02-应用审计与管理命令 (273.67 KB)
目 录
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
产品系列 |
产品型号 |
产品代码 |
说明 |
WX3500X系列 |
· WX3510X · WX3520X · WX3540X |
· EWP-WX3510X · EWP-WX3520X · EWP-WX3540X |
支持 |
WX3500X-E系列 |
WX3508X-E |
EWP-WX3508X-E |
支持 |
WCG380系列 |
WCG382 |
EWP-WCG382 |
不支持 |
产品系列 |
产品型号 |
产品代码 |
说明 |
WX3800X系列 |
· WX3820X · WX3840X |
· EWP-WX3820X · EWP-WX3840X |
支持 |
本特性会解析出用户报文中的敏感信息和私密信息,请保证将本特性仅用于合法用途。
application命令用来配置作为应用审计与管理策略过滤条件的应用。
undo application命令用来删除作为应用审计与管理策略过滤条件的应用。
【命令】
application { app application-name | app-group application-group-name }
undo application { app application-name | app-group application-group-name }
【缺省情况】
不存在应用过滤条件。
【视图】
应用审计与管理策略视图
【缺省用户角色】
network-admin
【参数】
app application-name:表示应用的名称,为1~63个字符的字符串,不区分大小写。
app-group application-group-name:表示应用组的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
仅在免审计和阻断类型的策略中可配置此命令。
多次执行本命令,可配置多个应用作为应用审计与管理策略的过滤条件。
【举例】
# 配置应用审计与管理阻断策略mypolicy2过滤条件的应用为app1和app2,应用组为group1和group2。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy2 deny
[Sysname-uapp-control-policy-mypolicy2] application app app1
[Sysname-uapp-control-policy-mypolicy2] application app app2
[Sysname-uapp-control-policy-mypolicy2] application app-group group1
[Sysname-uapp-control-policy-mypolicy2] application app-group group2
【相关命令】
· app-group(DPI深度安全命令参考/APR)
· nbar application(DPI深度安全命令参考/APR)
· port-mapping(DPI深度安全命令参考/APR)
description命令用来配置关键字组的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
不存在关键字组的描述信息。
【视图】
关键字组视图
【缺省用户角色】
network-admin
【参数】
text:表示关键字组的描述信息,为1~255个字符的字符串,区分大小写。
【举例】
# 配置关键字组的描述信息为account limit。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] keyword-group name mykeywordgroup
[Sysname-uapp-control-keyword-group-mykeywordgroup] description account limit
destination-address命令用来配置作为应用审计与管理策略过滤条件的目的IP地址。
undo destination-address命令用来删除作为应用审计与管理策略过滤条件的目的IP地址。
【命令】
destination-address { ipv4 | ipv6 } object-group-name
undo destination-address { ipv4 | ipv6 } object-group-name
【缺省情况】
不存在目的IP地址过滤条件。
【视图】
应用审计与管理策略视图
【缺省用户角色】
network-admin
【参数】
ipv4:表示指定IPv4地址对象组。
ipv6:表示指定IPv6地址对象组。
object-group-name:表示地址对象组的名称,为1~31个字符的字符串,不区分大小写,且必须已存在。
【使用指导】
多次执行本命令,可配置多个目的IPv4/IPv6地址对象组作为应用审计与管理策略的过滤条件。
【举例】
# 配置应用审计与管理审计策略mypolicy1过滤条件的目的IPv4地址。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
[Sysname-uapp-control-policy-mypolicy1] destination-address ipv4 obgroup3
[Sysname-uapp-control-policy-mypolicy1] destination-address ipv4 obgroup4
【相关命令】
· object-group(安全命令参考/对象组)
disable命令用来关闭应用审计与管理策略。
undo disable命令用来开启应用审计与管理策略。
【命令】
disable
undo disable
【缺省情况】
应用审计与管理策略处于开启状态。
【视图】
应用审计与管理策略视图
【缺省用户角色】
network-admin
【使用指导】
如果在某些组网环境中某条应用审计与管理策略暂时不会被用到,则可以使用此命令来关闭此条应用审计与管理策略。关闭应用审计与管理策略后,此策略将不能对流量进行匹配,但依然可以对其进行复制、重命名和移动的操作。
【举例】
# 关闭应用审计与管理策略mypolicy1。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1
[Sysname-uapp-control-policy-mypolicy1] disable
keyword命令用来配置关键字。
undo keyword命令用来删除指定的关键字。
【命令】
keyword keyword-value
undo keyword keyword-value
【缺省情况】
不存在关键字。
【视图】
关键字组视图
【缺省用户角色】
network-admin
【参数】
keyword-value:表示关键字,为1~63个字符的字符串,区分大小写。
【举例】
# 配置应用审计与管理的关键字为keywordname。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] keyword-group name mykeywordgroup
[Sysname-uapp-control-keyword-group-mykeywordgroup] keyword keywordname
keyword-group name命令用来创建关键字组,并进入关键字组视图。如果指定的关键字组已经存在,则直接进入关键字组视图。
undo keyword-group name命令用来删除指定的关键字组。
【命令】
keyword-group name keyword-group-name
undo keyword-group name keyword-group-name
【缺省情况】
不存在关键字组。
【视图】
应用审计与管理视图
【缺省用户角色】
network-admin
【参数】
keyword-group-name:表示关键字组的名称,为1~63个字符的字符串,不区分大小写。
【举例】
# 创建名称为mykeywordgroup的关键字组,并进入关键字组视图。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] keyword-group name mykeywordgroup
[Sysname-uapp-control-keyword-group-mykeywordgroup]
policy copy命令用来复制应用审计与管理策略。
【命令】
policy copy policy-name new-policy-name
【缺省情况】
不存在应用审计与管理策略。
【视图】
应用审计与管理视图
【缺省用户角色】
network-admin
【参数】
policy-name:表示被复制应用审计与管理策略的名称,为1~63个字符的字符串,不区分大小写。
new-policy-name:表示新建应用审计与管理策略的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
当需要新建的应用审计与管理策略和已存在的策略比较相似时,可通过复制已经存在的策略来快速的创建新的应用审计与管理策略。
【举例】
# 复制应用审计与管理策略policy1,复制后的策略名称为policy2。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy copy policy1 policy2
policy default-action命令用来配置应用审计与管理策略的缺省动作。
【命令】
policy default-action { deny | permit }
【缺省情况】
应用审计与管理策略的缺省动作是允许。
【视图】
应用审计与管理视图
【缺省用户角色】
network-admin
【参数】
deny:表示阻断报文。
permit:表示允许报文通过。
【使用指导】
若报文未与任何一个应用审计与管理策略匹配成功,则设备将根据应用审计与管理策略的缺省动作对报文进行处理。
【举例】
# 配置应用审计与管理策略的缺省动作为丢弃。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy default-action deny
policy move命令用来移动应用审计与管理策略的位置。
【命令】
policy move policy-name1 { after | before } policy-name2
【视图】
应用审计与管理视图
【缺省用户角色】
network-admin
【参数】
policy-name1:表示需要被移动的应用审计与管理策略的名称,为1~63个字符的字符串,不区分大小写。
after:表示把应用审计与管理策略policy-name1移动到应用审计与管理策略policy-name2的后面。
before:表示把应用审计与管理策略policy-name1移动到应用审计与管理策略policy-name2的前面。
policy-name2:表示移动目标的应用审计与管理策略的名称,为1~63个字符的字符串,不区分大小写。
【举例】
# 创建应用审计与管理策略,名称为policy1。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name policy1 audit
[Sysname-uapp-control-policy-policy1] quit
# 创建应用审计与管理策略,名称为policy2。
[Sysname-uapp-control] policy name policy2 audit
[Sysname-uapp-control-policy-policy2] quit
# 移动应用审计与管理策略policy1到policy2之后。
[Sysname-uapp-control] policy move policy1 after policy2
policy name命令用来创建应用审计与管理策略,并进入应用审计与管理策略视图。如果指定的应用审计与管理策略已经存在,则直接进入应用审计与管理策略视图。
undo policy name命令用来删除指定的应用审计与管理策略。
【命令】
policy name policy-name [ audit | deny | noaudit ]
undo policy name policy-name
【缺省情况】
不存在应用审计与管理策略。
【视图】
应用审计与管理视图
【缺省用户角色】
network-admin
【参数】
policy-name:表示应用审计与管理策略的名称,为1~63个字符的字符串,不区分大小写,且名称必须全局唯一。
audit:表示审计类型的策略。
deny:表示阻断类型的策略。
noaudit:表示免审计类型的策略。
【使用指导】
本命令用来创建应用审计与管理策略,创建策略时必须指定策略类型,应用审计与管理策略分为如下三类:
· 审计策略:对匹配策略中所有过滤条件的报文,根据审计规则对此报文进行审计。
· 免审计策略:对匹配策略中所有过滤条件的报文进行免审计。
· 阻断策略:对匹配策略中所有过滤条件的报文进行阻断。
每类策略中具体可配置的内容不同,其中application命令只能在免审计和阻断类型的策略下配置,rule、rule default-action和rule match-method命令只能在审计类型的策略下配置。
【举例】
# 创建一个名称为mypolicy1的应用审计与管理策略,并对用户的应用行为进行审计,并进入应用审计与管理策略视图。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
[Sysname-uapp-control-policy-mypolicy1]
policy rename命令用来重命名应用审计与管理策略。
【命令】
policy rename old-policy-name new-policy-name
【视图】
应用审计与管理视图
【缺省用户角色】
network-admin
【参数】
old-policy-name:表示应用审计与管理策略的原有名称,为1~63个字符的字符串,不区分大小写。
new-policy-name:表示应用审计与管理策略的新名称,为1~63个字符的字符串,不区分大小写。
【举例】
# 创建应用审计与管理策略,名称为policy1。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name policy1 audit
[Sysname-uapp-control-policy-policy1] quit
# 修改应用审计与管理策略policy1的名称为policy2
[Sysname-uapp-control] policy rename policy1 policy2
rule命令用来配置应用审计与管理策略的审计规则。
undo rule id命令用来删除指定的审计规则。
【命令】
rule rule-id { app app-name | app-category app-category-name | any } behavior { behavior-name | any } bhcontent { bhcontent-name | any } { keyword { equal | exclude | include | unequal } { keyword-group-name | any } | integer { equal | greater | greater-equal | less | less-equal | unequal } { number } } action { deny | permit } [ audit-logging ]
undo rule rule-id
【缺省情况】
不存在审计规则。
【视图】
应用审计与管理策略视图
【缺省用户角色】
network-admin
【参数】
rule-id:表示审计规则ID,取值范围为1~64。
app app-name:表示对指定的应用进行审计。
app-category app-category-name:表示对指定的应用分类进行审计。
any:表示对所有应用和应用分类进行审计。
behavior behavior-name:表示对指定应用或应用分类的某一具体行为进行审计。behavior-name是行为名称。
any表示所有行为。
bhcontent bhcontent-name:表示对该行为中的某一具体内容进行审计。bhcontent-name是行为内容。
any表示所有行为内容。
keyword:表示行为内容的匹配方式为字符串形式的关键字。
· equal:表示审计规则对行为内容的匹配方式为与关键字完全相等。
· exclude:表示审计规则对行为内容的匹配方式为不包含关键字。
· include:表示审计规则对行为内容的匹配方式为包含关键字。
· unequal:表示审计规则对行为内容的匹配方式为与关键字不相等。
keyword-group-name:表示审计规则引用的关键字组。
any表示对指定应用或应用分类行为的所有内容进行审计。
integer:表示行为内容的匹配方式为数字。
· equal:表示对等于指定数字的行为内容进行审计。
· greater:表示对大于指定数字的行为内容进行审计。
· greater-equal:表示对大于等于指定数字的行为内容进行审计。
· less:表示对小于指定数字的行为内容进行审计。
· less-equal:表示对小于等于指定数字的行为内容进行审计。
· unequal:表示对不等于指定数字的行为内容进行审计。
number:表示审计规则使用的数字,取值范围为0~4294967295。
action:表示审计规则的动作,即对与审计规则匹配成功的报文执行的动作。
· deny:表示审计规则动作为阻断报文。
· permit:表示审计规则动作为允许报文通过。
· audit-logging:表示审计规则动作为生成审计日志。若未配置本参数,则与此审计规则匹配成功的报文不会生成审计日志。
【使用指导】
审计规则用来对用户的具体应用行为进行更加精细化控制。
当报文与策略中配置的所有过滤条件均匹配成功后,会根据审计规则对此报文进行更加精细化的审计。
仅在审计类型的策略中可配置此命令。
对于微信和QQ,仅支持对整个应用进行阻断,不支持对指定的行为和内容进行阻断。
【举例】
# 创建一个名称为mypolicy1的应用审计与管理审计策略。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
# 创建第一条审计规则:对QQ应用行为是登录,行为内容为账号且包含关键字1234的用户报文进行放行审计,并生成审计日志。
[Sysname-uapp-control-policy-mypolicy1] rule 1 app qq behavior Login bhcontent Account keyword include mykeywd1 action permit audit-logging
# 创建第二条审计规则:对QQ应用行为是登录,行为内容为账号但不等于数字785的用户报文进行放行审计,但不生成审计日志。
[Sysname-uapp-control-policy-mypolicy1] rule 2 app qq behavior Login bhcontent Account integer unequal 785 action permit
# 创建第三条审计规则:对IM应用组行为是登录,行为内容为账号且包含关键字0的用户报文进行阻断,并生成审计日志。
[Sysname-uapp-control-policy-mypolicy1] rule 3 app-category IM behavior Login bhcontent Account keyword include mykeywd2 action deny audit-logging
【相关命令】
· keyword
· keyword-group name
rule default-action命令用来配置审计规则的缺省动作。
【命令】
rule default-action { deny | permit }
【缺省情况】
审计规则的缺省动作为允许。
【视图】
应用审计与管理策略视图
【缺省用户角色】
network-admin
【参数】
deny:表示阻断匹配审计规则的报文。
permit:表示允许匹配审计规则的报文通过。
【使用指导】
若报文未与策略中的任何一条审计规则匹配成功,则设备将根据该策略中审计规则的缺省动作对报文进行处理。
【举例】
# 配置审计规则的缺省动作为阻断。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
[Sysname-uapp-control-policy-mypolicy1] rule default-action deny
rule match-method命令用来配置审计规则的匹配模式。
【命令】
rule match-method { all | in-order }
【缺省情况】
审计规则的匹配模式为顺序匹配。
【视图】
应用审计与管理策略视图
【缺省用户角色】
network-admin
【参数】
all:表示审计规则匹配模式为全匹配。
in-order:表示审计规则匹配模式为顺序匹配。
【使用指导】
顺序匹配表示审计规则按照规则ID从小到大的顺序进行逐一匹配,一旦报文与某条审计规则匹配成功就结束此匹配过程,并根据该审计规则中的动作对此报文进行相应处理。
全匹配表示审计规则按照审计规则ID从小到大的顺序进行匹配,若报文与其条动作为允许的规则匹配成功,则继续匹配后续规则直到最后一条规则;若报文与某条动作为阻断的规则匹配成功,则不再进行后续规则的匹配。设备将根据所有匹配成功的审计规则中优先级最高的动作(阻断的优先级高于允许)对此报文进行相应处理。
【举例】
# 配置审计规则的匹配模式为全匹配。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
[Sysname-uapp-control-policy-mypolicy1] rule match-method all
service命令用来配置作为应用审计与管理策略过滤条件的服务。
undo service命令用来删除作为应用审计与管理策略过滤条件的服务。
【命令】
service service-name
undo service [ service-name ]
【缺省情况】
不存在服务过滤条件。
【视图】
应用审计与管理策略视图
【缺省用户角色】
network-admin
【参数】
service-name:是服务对象组的名称,为1~31个字符的字符串,不区分大小写,且必须已存在。如果不指定该参数,则删除所有服务过滤条件。
【使用指导】
多次执行本命令,可配置多个服务作为应用审计与管理策略的过滤条件。
配置undo service命令时,如果指定的服务对象组为any,则表示删除所有服务过滤条件。
【举例】
# 配置应用审计与管理审计策略mypolicy1过滤条件的服务为dns-tcp和dns-udp。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
[Sysname-uapp-control-policy-mypolicy1] service dns-tcp
[Sysname-uapp-control-policy-mypolicy1] service dns-udp
【相关命令】
· object-group(安全命令参考/对象组)
source-address命令用来配置作为应用审计与管理策略过滤条件的源IP地址。
undo source-address命令用来删除作为应用审计与管理策略过滤条件的源IP地址。
【命令】
source-address { ipv4 | ipv6 } object-group-name
undo source-address { ipv4 | ipv6 } object-group-name
【缺省情况】
不存在源IP地址过滤条件。
【视图】
应用审计与管理策略视图
【缺省用户角色】
network-admin
【参数】
ipv4:表示指定IPv4地址对象组。
ipv6:表示指定IPv6地址对象组。
object-group-name:表示地址对象组的名称,为1~31个字符的字符串,不区分大小写,且必须已存在。
【使用指导】
多次执行本命令,可配置多个源IP/IPv6地址对象组作为应用审计与管理策略的过滤条件。
【举例】
# 配置应用审计与管理审计策略mypolicy1过滤条件的源IP地址。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy audit
[Sysname-uapp-control-policy-mypolicy] source-address ipv4 obgroup1
[Sysname-uapp-control-policy-mypolicy] source-address ipv4 obgroup2
【相关命令】
· object-group(安全命令参考/对象组)
time-range命令用来配置应用审计与管理策略的生效时间。
undo time-range命令用来恢复缺省情况。
【命令】
time-range time-range-name
undo time-range
【缺省情况】
应用审计与管理策略在任何时间下都生效。
【视图】
应用审计与管理策略视图
【缺省用户角色】
network-admin
【参数】
time-range-name:表示时间段的名称,为1~32个字符的字符串,不区分大小写。
【举例】
# 配置应用审计与管理审计策略mypolicy1的生效时间段为work-time。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
[Sysname-uapp-control-policy-mypolicy1] time-range work-time
【相关命令】
· time-range(安全命令参考/时间段)
uapp-control命令用来进入应用审计与管理视图。
undo uapp-control命令用来删除应用审计与管理策略中的所有配置。
【命令】
uapp-control
undo uapp-control
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
在应用审计与管理视图下可完成应用审计与管理策略的创建、复制、移动和重命名以及关键字组的创建。应用审计与管理策略分为三种类型:审计(audit),免审计(noaudit)和阻断(deny),其中免审计和阻断类型的策略用来做粗粒度的应用审计与管理,审计类型的策略用来做精细化的应用审计与管理。
【举例】
# 进入应用审计与管理视图。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control]
user命令用来配置作为应用审计与管理策略过滤条件的用户。
undo user命令用来删除作为应用审计与管理策略过滤条件的用户。
【命令】
user user-name [ domain domain-name ]
undo user user-name [ domain domain-name ]
【缺省情况】
不存在用户过滤条件。
【视图】
应用审计与管理策略视图
【缺省用户角色】
network-admin
【参数】
user-name:表示身份识别用户的账户名称,为1~55个字符的字符串,区分大小写,不能是a、al和all,且不能包含特殊字符“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”、和“@”。
domain domain-name:表示在指定的身份识别域中匹配此用户。domain-name是身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包含特殊字符“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”。若不指定此参数,则表示在不属于任何身份识别域的用户中匹配此用户。有关身份识别域的详细介绍,请参见“用户接入与认证配置指导”中的“用户身份识别与管理”。
【使用指导】
多次执行本命令,可配置多个用户作为应用审计与管理策略的过滤条件。
【举例】
# 配置应用审计与管理审计策略mypolicy1过滤条件的用户为managers1和managers2。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
[Sysname-uapp-control-policy-mypolicy1] user managers1
[Sysname-uapp-control-policy-mypolicy1] user managers2
# 引用用户名为managers1,身份识别域为dpi的用户作为应用审计与管理策略的过滤条件。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
[Sysname-uapp-control-policy-mypolicy1] user managers1 domain dpi
【相关命令】
· user-identity enable(用户接入与认证命令参考/用户身份识别与管理)
user-group命令用来配置作为应用审计与管理策略过滤条件的用户组。
undo user-group命令用来删除作为应用审计与管理策略过滤条件的用户组。
【命令】
user-group user-group-name [ domain domain-name ]
undo user-group user-group-name [ domain domain-name ]
【缺省情况】
不存在用户组过滤条件。
【视图】
应用审计与管理策略视图
【缺省用户角色】
network-admin
【参数】
user-group-name:表示身份识别用户组的名称,为1~200个字符的字符串,不区分大小写。
domain domain-name:表示在指定的身份识别域中匹配此用户组。domain-name是身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包含特殊字符“/”、“\”、“|”、“:”、“*”、“?”、“<”、“>”以及“@”。若不指定此参数,则表示在不属于任何身份识别域的用户组中匹配此用户组。有关身份识别域的详细介绍,请参见“用户接入与认证配置指导”中的“用户身份识别与管理”。
【使用指导】
多次执行本命令,可配置多个用户组作为应用审计与管理策略的过滤条件。
【举例】
# 配置应用审计与管理审计策略mypolicy1过滤条件的用户组为group1和group2。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
[Sysname-uapp-control-policy-mypolicy1] user-group group1
[Sysname-uapp-control-policy-mypolicy1] user-group group2
# 引用用户组名为group1,域为dpi的用户组作为应用审计与管理审计策略规则的匹配条件。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
[Sysname-uapp-control-policy-mypolicy1] user-group group1 domain dpi
【相关命令】
· user-identity enable(用户接入与认证命令参考/用户身份识别与管理)
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!