• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

03-安全命令参考

目录

02-安全策略命令

本章节下载 02-安全策略命令  (493.75 KB)

02-安全策略命令

  录

1 安全策略

1.1 安全策略配置命令

1.1.1 accelerate enhanced enable

1.1.2 action

1.1.3 app-group

1.1.4 application

1.1.5 counting enable

1.1.6 description (security-policy rule view)

1.1.7 description (security-policy view)

1.1.8 destination-ip

1.1.9 destination-ip-host (IPv4 security policy view)

1.1.10 destination-ip-host (IPv6 security policy view)

1.1.11 destination-ip-range (IPv4 security policy view)

1.1.12 destination-ip-range (IPv6 security policy view)

1.1.13 destination-ip-subnet (IPv4 security policy view)

1.1.14 destination-ip-subnet (IPv6 security policy view)

1.1.15 destination-zone

1.1.16 disable

1.1.17 display security-policy

1.1.18 display security-policy statistics

1.1.19 display security-policy switch-result

1.1.20 group move

1.1.21 group name

1.1.22 group rename

1.1.23 logging enable

1.1.24 move rule

1.1.25 move rule name

1.1.26 parent-group

1.1.27 profile

1.1.28 reset security-policy statistics

1.1.29 rule

1.1.30 rule rename

1.1.31 security-policy

1.1.32 security-policy config-changelog enable

1.1.33 security-policy config-logging send-time

1.1.34 security-policy disable

1.1.35 security-policy switch-from object-policy

1.1.36 service

1.1.37 service-port

1.1.38 session aging-time

1.1.39 session persistent aging-time

1.1.40 source-ip

1.1.41 source-ip-host (IPv4 security policy view)

1.1.42 source-ip-host (IPv6 security policy view)

1.1.43 source-ip-range (IPv4 security policy view)

1.1.44 source-ip-range (IPv6 security policy view)

1.1.45 source-ip-subnet (IPv4 security policy view)

1.1.46 source-ip-subnet (IPv6 security policy view)

1.1.47 source-mac

1.1.48 source-zone

1.1.49 time-range

1.1.50 track

1.1.51 url-category

1.1.52 user

1.1.53 user-group

1.1.54 vrf


1 安全策略

1.1  安全策略配置命令

1.1.1  accelerate enhanced enable

accelerate enhanced enable命令用来激活安全策略规则的加速功能。

【命令】

accelerate enhanced enable

【视图】

安全策略视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

加速功能用于提高报文对安全策略规则的匹配速度。激活安全策略规则加速功能是指对变化(新增、删除、修改或移动)的安全策略规则进行加速。

进入安全策略视图后,系统按照固定时间间隔判断是否需要激活安全策略规则的加速功能。在一个时间间隔内若安全策略规则发生变化,则间隔时间到达后会对当前所有的安全策略规则进行重新加速,否则,不会重新加速。当安全策略规则小于等于100条时,此时间间隔为2秒;当安全策略规则大于100条时,此时间间隔为20秒。

如安全策略规则发生变化后,也可以手动执行accelerate enhanced enable命令立即对发生变化的安全策略规则进行加速。

安全策略中的规则发生变化后必须对其加速成功,否则这些变化的规则无法进行报文匹配。

激活安全策略规则加速功能时,内存资源不足会导致安全策略规则加速失败。加速失败后,本间隔内发生变化的安全策略规则未进行加速,从而导致变化的安全策略规则不生效,之前已经加速成功的规则不受影响。在下一个时间间隔到达后,系统会再次尝试对安全策略规则进行加速。

【举例】

# 激活安全策略规则的加速功能。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] accelerate enhanced enable

1.1.2  action

action命令用来配置安全策略规则的动作。

【命令】

action { drop | pass }

【缺省情况】

安全策略规则动作是丢弃。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

drop:表示丢弃符合条件的报文。

pass:表示允许符合条件的报文通过。

【使用指导】

多次执行本命令,最后一次执行的命令生效。

【举例】

# 为安全策略规则rule1配置动作为丢弃。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] action drop

【相关命令】

·     display security-policy

1.1.3  app-group

app-group命令用来配置作为安全策略规则过滤条件的应用组。

undo app-group命令用来删除作为安全策略规则过滤条件的应用组。

【命令】

app-group app-group-name

undo app-group [ app-group-name ]

【缺省情况】

不存在应用组过滤条件。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

app-group-name:表示应用组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串invalid和other。使用undo命令时若不指定此参数,则表示删除此规则中所有应用组类型的过滤条件。有关应用组的详细介绍,请参见“安全配置指导”中的“APR”。

【使用指导】

多次执行本命令,可配置多个应用组作为安全策略规则的过滤条件。

【举例】

# 配置作为安全策略规则rule1过滤条件的应用组为app1和app2。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] app-group app1

[Sysname-security-policy-ip-0-rule1] app-group app2

【相关命令】

·     app-group(安全命令参考/APR)

·     display security-policy

1.1.4  application

application命令用来配置作为安全策略规则过滤条件的应用。

undo application命令用来删除作为安全策略规则过滤条件的应用。

【命令】

application application-name

undo application [ application-name ]

【缺省情况】

不存在应用过滤条件。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

application-name:表示应用的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串invalid和other。使用undo命令时若不指定此参数,则表示删除此规则中所有应用类型的过滤条件。有关应用的详细介绍,请参见“安全配置指导”中的“APR”。

【使用指导】

多次执行本命令,可配置多个应用作为安全策略规则的过滤条件。

为使安全策略中配置的应用可以被识别,必须先放行应用所依赖的基础协议报文。

在端口仿冒网络环境中,必须先放行仿冒的基础协议报文,才能识别出仿冒报文中的应用。

【举例】

# 配置作为安全策略规则rule1过滤条件的应用为139Mail和51job。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] application 139Mail

[Sysname-security-policy-ip-0-rule1] application 51job

【相关命令】

·     display security-policy

·     nbar application(安全命令参考/APR)

·     port-mapping(安全命令参考/APR)

1.1.5  counting enable

counting enable命令用来开启安全策略规则匹配统计功能。

undo counting enable命令用来关闭安全策略规则匹配统计功能。

【命令】

counting enable

undo counting enable

【缺省情况】

安全策略规则匹配统计功能处于关闭状态。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

此功能用来对匹配安全策略规则的报文进行统计,可通过执行display security-policy statistics命令来查看相关报文的统计信息。

【举例】

# 为安全策略规则rule1开启规则匹配统计功能。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] counting enable

【相关命令】

·     display security-policy

·     display security-policy statistics

1.1.6  description (security-policy rule view)

description命令用来配置安全策略规则的描述信息。

undo description命令用来恢复缺省情况。

【命令】

description text

undo description

【缺省情况】

不存在安全策略规则的描述信息。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

text:表示安全策略规则的描述信息,为1~127个字符的字符串,区分大小写。

【举例】

# 为IPv4安全策略规则0配置描述信息为This rule is used for source-ip ip1。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] description This rule is used for source-ip ip1

【相关命令】

·     display security-policy ip

·     display security-policy ipv6

1.1.7  description (security-policy view)

description命令用来配置安全策略的描述信息。

undo description命令用来恢复缺省情况。

【命令】

description text

undo description

【缺省情况】

不存在安全策略的描述信息。

【视图】

安全策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

text:表示安全策略的描述信息,为1~127个字符的字符串,区分大小写。

【举例】

# 配置安全策略的描述信息为“zone-pair security office to library”。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] description zone-pair security office to library

【相关命令】

·     display security-policy

1.1.8  destination-ip

destination-ip命令用来配置作为安全策略规则过滤条件的目的IP地址。

undo destination-ip命令用来删除作为安全策略规则过滤条件的目的IP地址。

【命令】

destination-ip object-group-name

undo destination-ip [ object-group-name ]

【缺省情况】

不存在目的IP地址过滤条件。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

object-group-name:表示目的地址对象组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串any。使用undo命令时若不指定此参数,则表示删除此规则中所有目的IP地址类型的过滤条件。有关地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。

【使用指导】

多次执行本命令,可配置多个目的IP地址作为安全策略规则的过滤条件。

配置目的IP地址作为安全策略规则的过滤条件时,若指定的地址对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置地址对象组,但此条过滤条件不会匹配任何报文。

【举例】

# 配置作为安全策略规则rule1过滤条件的目的地址对象组为client1和client2。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] destination-ip client1

[Sysname-security-policy-ip-0-rule1] destination-ip client2

【相关命令】

·     display security-policy

·     object-group(安全命令参考/对象组)

1.1.9  destination-ip-host (IPv4 security policy view)

destination-ip-host命令用来配置作为安全策略规则过滤条件的目的IPv4主机地址。

undo destination-ip-host命令用来删除作为安全策略规则过滤条件的目的IPv4主机地址。

【命令】

destination-ip-host ip-address

undo destination-ip-host [ ip-address ]

【缺省情况】

不存在目的IPv4主机地址过滤条件。

【视图】

IPv4安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address:指定主机IPv4地址。

【使用指导】

destination-ip-host命令用来配置单个目的IPv4主机地址过滤条件。

多次执行本命令,可配置多个目的IPv4主机地址作为安全策略规则的过滤条件。

新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。

一条规则下配置的目的主机地址、目的子网地址、目的范围地址和目的对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

【举例】

# 配置作为安全策略规则rule1过滤条件的目的地址为192.167.0.1的IPv4主机地址。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] destination-ip-host 192.167.0.1

【相关命令】

·     display security-policy

1.1.10  destination-ip-host (IPv6 security policy view)

destination-ip-host命令用来配置作为安全策略规则过滤条件的目的IPv6主机地址。

undo destination-ip-host命令用来删除作为安全策略规则过滤条件的目的IPv6主机地址。

【命令】

destination-ip-host ipv6-address

undo destination-ip-host [ ipv6-address ]

【缺省情况】

不存在目的IPv6主机地址过滤条件。

【视图】

IPv6安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address:指定主机IPv6地址。

【使用指导】

destination-ip-host命令用来配置单个目的IPv6主机地址过滤条件。

多次执行本命令,可配置多个目的IPv6主机地址作为安全策略规则的过滤条件。

新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。

一条规则下配置的目的主机地址、目的子网地址、目的范围地址和目的对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

【举例】

# 配置作为安全策略规则rule1过滤条件的目的地址为192::167:1 的IPv6主机地址。

<Sysname> system-view

[Sysname] security-policy ipv6

[Sysname-security-policy-ipv6] rule 0 name rule1

[Sysname-security-policy-ipv6-0-rule1] destination-ip-host 192::167:1

【相关命令】

·     display security-policy

1.1.11  destination-ip-range (IPv4 security policy view)

destination-ip-range命令用来配置作为安全策略规则过滤条件的目的IPv4范围地址。

undo destination-ip-range命令用来删除作为安全策略规则过滤条件的目的IPv4范围地址。

【命令】

destination-ip-range ip-address1 ip-address2

undo destination-ip-range [ ip-address1 ip-address2 ]

【缺省情况】

不存在目的IPv4范围地址过滤条件。

【视图】

IPv4安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address1 ip-address2:指定范围IPv4地址。ip-address1表示范围起始IPv4地址,ip-address2表示范围结束IPv4地址。

【使用指导】

destination-ip-range命令用来配置指定范围的目的IPv4地址过滤条件。

多次执行本命令,可配置多个目的IP范围地址作为安全策略规则的过滤条件。

新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。

一条规则下配置的目的主机地址、目的子网地址、目的范围地址和目的对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

在配置时,需要注意的是:

·     如果指定的ip-address1ip-address2相同,则该配置被视为主机地址对象配置。

·     如果指定的ip-address1ip-address2是一个子网的起始地址和结束地址,则该配置被视为子网地址配置。

·     如果指定的ip-address1ip-address2大,会自动调整范围为[ ip-address2, ip-address1 ]

【举例】

# 配置作为安全策略规则rule1过滤条件的目的地址为192.165.0.100到192.165.0.200的IPv4范围地址。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] destination-ip-range 192.165.0.100 192.165.0.200

【相关命令】

·     display security-policy

1.1.12  destination-ip-range (IPv6 security policy view)

destination-ip-range命令用来配置作为安全策略规则过滤条件的目的IPv6范围地址。

undo destination-ip-range命令用来删除作为安全策略规则过滤条件的目的IPv6范围地址。

【命令】

destination-ip-range ipv6-address1 ipv6-address2

undo destination-ip-range [ ipv6-address1 ipv6-address2 ]

【缺省情况】

不存在目的IPv6范围地址过滤条件。

【视图】

IPv6安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv6-address1 ipv6-address2:指定范围IPv6地址。ipv6-address1表示范围起始IPv6地址,ipv6-address2表示范围结束IPv6地址。

【使用指导】

destination-ip-range命令用来配置指定范围的目的IPv6地址过滤条件。

多次执行本命令,可配置多个目的IP范围地址作为安全策略规则的过滤条件。

新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。

一条规则下配置的目的主机地址、目的子网地址、目的范围地址和目的对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

在配置时,需要注意的是:

·     如果指定的ipv6-address1ipv6-address2相同,则该配置被视为主机地址对象配置。

·     如果指定的ipv6-address1ipv6-address2是一个子网的起始地址和结束地址,则该配置被视为子网地址配置。

·     如果指定的ipv6-address1ipv6-address2大,会自动调整范围为[ ipv6-address2, ipv6-address1 ]

【举例】

# 配置作为安全策略规则rule1过滤条件的目的地址为192:165::100到192:165::200的IPv6范围地址。

<Sysname> system-view

[Sysname] security-policy ipv6

[Sysname-security-policy-ipv6] rule 0 name rule1

[Sysname-security-policy-ipv6-0-rule1] destination-ip-range 192:165::100 192:165::200

【相关命令】

·     display security-policy

1.1.13  destination-ip-subnet (IPv4 security policy view)

destination-ip-subnet命令用来配置作为安全策略规则过滤条件的目的IPv4子网地址。

undo destination-ip-subnet命令用来删除作为安全策略规则过滤条件的目的IPv4子网地址。

【命令】

destination-ip-subnet ip-address { mask-length | mask }

undo destination-ip-subnet [ ip-address { mask-length | mask } ]

【缺省情况】

不存在目的IPv4子网地址过滤条件。

【视图】

IPv4安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address { mask-length | mask }:指定子网IPv4地址。mask-length表示子网掩码长度,取值范围为0~32。mask表示接口IPv4地址相应的子网掩码,为点分十进制格式。如果指定mask-length为32或者mask为255.255.255.255,则该配置被视为主机地址配置。

【使用指导】

destination-ip-subnet命令用来配置指定子网的目的IPv4地址过滤条件。

多次执行本命令,可配置多个目的IP地址作为安全策略规则的过滤条件。

新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。

一条规则下配置的目的主机地址、目的子网地址、目的范围地址和目的对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

【举例】

# 配置作为安全策略规则rule1过滤条件的目的地址为192.167.0.0,掩码长度为24的IPv4子网地址。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] destination-ip-subnet 192.167.0.0 24

# 配置作为安全策略规则rule1过滤条件的目的地址为192.166.0.0,掩码为255.255.0.0的IPv4子网地址。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] destination-ip-subnet 192.166.0.0 255.255.0.0

【相关命令】

·     display security-policy

1.1.14  destination-ip-subnet (IPv6 security policy view)

destination-ip-subnet命令用来配置作为安全策略规则过滤条件的目的IPv6子网地址。

undo destination-ip-subnet命令用来删除作为安全策略规则过滤条件的目的IPv6子网地址。

【命令】

destination-ip-subnet ipv6-address prefix-length

undo destination-ip-subnet [ ipv6-address prefix-length ]

【缺省情况】

不存在目的IPv6子网地址过滤条件。

【视图】

IPv6安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address prefix-length:指定子网IPv6地址。prefix-length表示子网前缀长度,取值范围为1~128。如果指定mask-length为128,则该配置被视为主机地址配置。

【使用指导】

destination-ip-subnet命令用来配置指定子网的目的IPv6地址过滤条件。

多次执行本命令,可配置多个目的IP地址作为安全策略规则的过滤条件。

新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。

一条规则下配置的目的主机地址、目的子网地址、目的范围地址和目的对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

【举例】

# 配置作为安全策略规则rule1过滤条件的目的地址为192::167:0,地址前缀长度为64的IPv6子网地址。

<Sysname> system-view

[Sysname] security-policy ipv6

[Sysname-security-policy-ipv6] rule 0 name rule1

[Sysname-security-policy-ipv6-0-rule1] destination-ip-subnet 192::167:0 64

【相关命令】

·     display security-policy

1.1.15  destination-zone

destination-zone命令用来配置作为安全策略规则过滤条件的目的安全域。

undo destination-zone命令用来删除作为安全策略规则过滤条件的目的安全域。

【命令】

destination-zone destination-zone-name

undo destination-zone [ destination-zone-name ]

【缺省情况】

不存在目的安全域过滤条件。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

destination-zone-name:表示目的安全域的名称,为1~31个字符的字符串,不区分大小写。使用undo命令时若不指定此参数,则表示删除此规则中所有目的安全域类型的过滤条件。有关安全域的详细介绍,请参见“安全配置指导”中的“安全域”。

【使用指导】

多次执行本命令,可配置多个目的安全域作为安全策略规则的过滤条件。

【举例】

# 配置作为安全策略规则rule1过滤条件的目的安全域为Trust和server。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] destination-zone trust

[Sysname-security-policy-ip-0-rule1] destination-zone server

【相关命令】

·     display security-policy

·     security-zone(安全命令参考/安全域)

1.1.16  disable

disable命令用来禁用安全策略规则。

undo disable命令用来启用安全策略规则。

【命令】

disable

undo disable

【缺省情况】

安全策略规则处于启用状态。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【举例】

# 禁用安全策略规则rule1。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] disable

【相关命令】

·     display security-policy

1.1.17  display security-policy

display security-policy命令用来显示安全策略的配置信息。

【命令】

display security-policy { ip | ipv6 } [ rule name rule-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

ip:表示显示IPv4安全策略的配置信息。

ipv6:表示显示IPv6安全策略的配置信息。

rule:表示显示指定安全策略规则的配置信息。若不指定此参数,则显示指定IP类型安全策略的所有配置信息。

name rule-name:表示安全策略规则的名称,为1~127个字符的字符串,不区分大小写

【举例】

# 显示IPv4安全策略的所有配置信息。

<Sysname> display security-policy ip

Security-policy ip

 

 rule 0 name der (Inactive)

  action pass

  profile er

  vrf re

  logging enable

  counting enable

  time-range dere

  track positive 23

  session aging-time 5000

  session persistent aging-time 2400

  source-zone trust

  destination-zone trust

  source-ip erer

  destination-ip client1

  service ftp

  app-group ere

  application 110Wang

  user der

  user-group ere

# 显示IPv4安全策略规则名称为der的配置信息。

<Sysname> display security-policy ip rule name der

 rule 0 name der (Inactive)

  action pass

  profile er

  vrf re

  logging enable

  counting enable period 20

  counting enable TTL 1200

  time-range dere

  track positive 23

  session aging-time 5000

  session persistent aging-time 2400

  source-zone trust

  destination-zone trust

  source-ip erer

  source-ip-host 1.1.1.4

  source-ip-subnet 1.1.1.0 255.255.255.0

  source-ip-range 2.2.1.1 3.3.3.3

  source-location location1

  source-location-group location-group1

  destination-ip client1

  destination-ip-host 5.5.1.2

  destination-ip-subnet 5.5.1.0 255.255.255.0

  destination-ip-range 2.2.1.1 3.3.3.3

  destination-location location2

  destination-location-group location-group2

  service ftp

  service-port tcp

  service-port tcp source lt 100 destination eq 104

  service-port tcp source eq 100 destination range 104 2000

  service-port udp

  service-port udp source gt 100 destination eq 104

  service-port udp destination eq 100

  service-port icmp 100 122

  service-port icmp

  app-group ere

  application 110Wang

  terminal-group group1

  terminal terminal1

  user der

  user-group ere

表1-1 display security-policy命令显示信息描述表

字段

描述

rule id name rule-name (Inactive)

表示规则的ID、名称和生效状态,此安全策略规则生效状态与Track项联动,且此规则的状态为Inactive,规则的生效状态取值包括:

·     Active:表示生效状态

·     Inative:表示禁用状态

action pass

表示规则动作,其取值如下:

·     pass:表示允许报文通过

·     drop:表示丢弃报文

profile app-profile-name

表示引用的DPI应用profile

vrf vrf-name

表示MPLS L3VPN的VPN实例名称

logging enable

表示开启了对符合规则过滤条件的报文记录日志信息的功能

counting enable

表示开启了安全策略规则匹配统计的功能

time-range time-range-name

表示此规则生效的时间段

track negative 1

表示安全策略规则生效状态与Track项的Negative状态关联

track positive 1

表示安全策略规则生效状态与Track项的Positive或NotReady状态关联

session aging-time time-value

表示此规则中设置的会话老化时间,单位为秒

session persistent aging-time time-value

表示此规则中设置的长连接会话的老化时间,单位为小时

source-zone zone-name

表示规则配置了源安全域作为过滤条件

destination-zone zone-name

表示规则配置了目的安全域作为过滤条件

source-ip object-group-name

表示规则配置了源IP地址作为过滤条件

destination-ip object-group-name

表示规则配置了目的IP地址作为过滤条件

service object-group-name

表示规则配置了服务作为过滤条件

app-group app-group-name

表示规则配置了应用组作为过滤条件

application application-name

表示规则配置了应用作为过滤条件

user user-name

表示规则配置了用户作为过滤条件

user-group user-group-name

表示规则配置了用户组作为过滤条件

 

【相关命令】

·     security-policy ip

·     security-policy ipv6

1.1.18  display security-policy statistics

display security-policy statistics命令用来显示安全策略的统计信息。

【命令】

display security-policy statistics { ip | ipv6 } [ rule rule-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

ip:表示显示IPv4安全策略的统计信息。

ipv6:表示显示IPv6安全策略的统计信息。

rule rule-name:表示显示指定安全策略规则的统计信息。rule-name是安全策略规则的名称,为1~127个字符的字符串,不区分大小写。若不指定此参数,则显示指定IP类型的所有安全策略统计信息。

【举例】

# 显示IPv4安全策略下名称为abc的规则的统计信息。

<Sysname> display security-policy statistics ip rule abc

rule 0 name abc

 action: pass (5 packets, 1000 bytes)

表1-2 display security-policy statistics命令显示信息描述表

字段

描述

rule id name rule-name

表示规则的ID和名称

action

表示安全策略规则动作,其取值包括如下:

·     pass:表示允许报文通过

·     drop:表示丢弃报文

x packets, y bytes

该安全策略规则匹配x个报文,共y字节(本字段仅在配置安全策略规则配置了counting enablelogging enable命令时显示,当未匹配任何报文时不显示本字段)

 

【相关命令】

·     reset security-policy statistics

1.1.19  display security-policy switch-result

display security-policy switch-result命令用来显示对象策略转换为安全策略的转换结果。

【命令】

display security-policy switch-result

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【使用指导】

若系统中未执行过security-policy switch-from object-policy命令,则执行此命令时不显示任何信息。执行security-policy switch-from object-policy命令后,无论配置是否转换成功,执行此命令均可以查看到转换结果。

【举例】

# 显示对象策略转换成为安全策略成功的转换结果。

<Sysname> display security-policy switch-result

Time: 2017-03-13 18-11-17

Result: Successful

Object policy file: flash:/chenlu_concon.cfg

Security policy file: flash:/chenlu_concon_secp.cfg

# 显示对象策略转换成为安全策略失败的转换结果。

<Sysname> display security-policy switch-result

Time: 2017-03-13 18-11-15

Result: Failed

Object policy file: flash:/chenlu_convert.cfg

Security policy file: flash:/chenlu_convert_secp.cfg

Failure reason: The switching operation fails because the source or destination security zone is set to any for the zone pair and the action of an object policy rule is set to drop.

表1-3 display security-policy switch result命令显示信息描述表

字段

描述

Time

配置转换的时间,应格式为:年-月-日 时-分-秒

Result

配置转换的结果,取值包括如下:

·     Successful:表示配置转换成功

·     Failed:表示配置转换失败

Object policy file

转换前配置文件的名称

Security policy file

转换后生成的配置文件的名称

Failure reason

转换失败的原因,若配置转换成功,则不显示此项

 

【相关命令】

·     security-policy switch-from object-policy

1.1.20  group move

group move group-name1 { after | before } { group group-name2 | rule rule-name }命令用来移动安全策略组。

【命令】

group move group-name1 { after | before } { group group-name2 | rule rule-name }

【视图】

安全策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

group-name1:表示需要被移动的安全策略组的名称,为1~63个字符的字符串,不区分大小写。

after:表示将安全策略组group-name1移动到安全策略组group-name2或安全策略规则rule-name之后。

before:表示将安全策略组group-name1移动到安全策略组group-name2或安全策略规则rule-name之前。

group group-name2:表示目标安全策略组的名称,为1~63个字符的字符串,不区分大小写。

rule rule-name:表示目标安全策略规则的名称,为1~127个字符的字符串,不区分大小写。

【使用指导】

通过移动安全策略组可以批量改变安全策略规则的优先级。

如果目标安全策略规则已经属于其他安全策略组,按照其在安全策略组中的位置,受如下原则的约束。

·     如果规则位于策略组中间位置,则不能移动。

·     如果规则位于策略组开始位置,只可以移动到目标规则之前。

·     如果规则位于策略组结束位置,只可以移动到目标规则之后。

【举例】

# 将安全策略组group1移动到安全策略组group2之前。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] group move group1 before group group2

1.1.21  group name

group name命令用来创建安全策略组,并将指定的安全策略规则加入此安全策略组。如果指定的安全策略组已经存在,则将指定的安全策略规则加入此安全策略组。

undo group name命令用来删除安全策略组。

【命令】

group name group-name [ from rule-name1 to rule-name2 ] [ description description-text ] [ disable | enable ]

undo group name group-name [ description | include-member ]

【缺省情况】

不存在安全策略组。

【视图】

安全策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

group-name:表示安全策略组的名称,为1~63个字符的字符串,不区分大小写。

from rule-name1:表示加入安全策略组规则的起始规则,rule-name1是安全策略规则的名称,为1~127个字符的字符串,不区分大小写。若不指定本参数,则表示创建空的安全策略组。

to rule-name2:表示加入安全策略组规则的结束规则,rule-name2是安全策略规则的名称,为1~127个字符的字符串,不区分大小写。

description description-text:表示安全策略组的描述信息,为1~127个字符的字符串,区分大小写。缺省情况下,安全策略组不存在描述信息。

disable:表示禁用安全策略组。

enable:表示启用安全策略组,安全策略组缺省处于启用状态。

include-member:执行undo命令行时,若指定本参数,则表示删除安全策略组及其策略组中的所有安全策略规则。

【使用指导】

安全策略组可以实现对安全策略规则的批量操作,例如批量启用、禁用、删除和移动安全策略规则。

将安全策略规则加入安全策略组时,会将指定范围内若干连续的安全策略规则加入同一个安全策略组。

只有当安全策略规则及其所属的安全策略组均处于启用状态时,安全策略规则才能生效。

将安全策略规则加入安全策略组时,起始规则要在结束规则前面,并且起始规则和结束规则之间的规则不能属于其他安全策略组。

执行undo命令行时的具体功能如下:

·     undo group name group-name命令用来仅删除安全策略组,但不删除策略组中的规则。

·     undo group name group-name description命令用来仅删除安全策略组的描述信息。

·     undo group name group-name include-member命令用来删除安全策略组及其策略组中的所有规则。

【举例】

# 创建一个名称为group1的安全策略组,并将安全策略规则rule-name1到rule-name10之间的所有安全策略规则加入此安全策略组,其描述信息为marketing。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] group name group1 from rule-name1 to rule-name10 enable description marketing

1.1.22  group rename

group rename命令用来重命名安全策略组。

【命令】

group rename old-name new-name

【视图】

安全策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

old-name:表示安全策略组的原有名称,为1~63个字符的字符串,不区分大小写。

new-name:表示安全策略组的新名称,为1~63个字符的字符串,不区分大小写。

【举例】

# 把安全策略组group1重命名为group2。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] group rename group1 group2

1.1.23  logging enable

logging enable命令用来开启安全策略规则记录日志的功能。

undo logging enable命令用来关闭安全策略规则记录日志的功能。

【命令】

logging enable

undo logging enable

【缺省情况】

安全策略规则记录日志的功能处于关闭状态。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

开启此功能后,设备对匹配规则的报文生成安全策略日志信息,此日志信息将会被交给信息中心模块处理或快速日志输出模块,信息中心模块或快速日志输出模块的配置将决定日志信息的发送规则和发送方向。

安全策略日志不会输出到控制台和监视终端。当信息中心配置的规则将安全策略日志输出到控制台和监视终端时,若仍需要查看安全策略日志,可通过执行display logbuffer命令或在Web页面中查看。有关信息中心和display logbuffer命令的详细描述,请参见“网络管理和监控配置指导”中的“信息中心”。

【举例】

# 在安全策略规则rule1中开启安全策略规则记录日志的功能。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] logging enable

【相关命令】

·     display security-policy

1.1.24  move rule

move rule命令用来移动安全策略规则。

【命令】

move rule rule-id before insert-rule-id

【视图】

安全策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

rule-id:指定待移动安全策略规则的编号,取值范围为0~4294967290。

insert-rule-id:表示移动到指定编号的规则之前,取值范围为0~4294967295,其中指定编号为4294967295时表示移动到所有规则之后。

【使用指导】

如果insert-rule-idrule-id相同或其指定的规则不存在,则不执行任何移动操作。

【举例】

# 在IPv4安全策略上,将安全策略规则5移动到规则2之前。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] move rule 5 before 2

【相关命令】

·     rule

·     security-policy ip

·     security-policy ipv6

1.1.25  move rule name

move rule name命令用来通过安全策略规则名称移动规则。

【命令】

move rule name rule-name1 { { after | before } name rule-name2 | bottom | down | top | up }

【视图】

安全策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

rule-name1:待移动的安全策略规则的名称,为1~127个字符的字符串,不区分大小写。

after:表示移动到指定名称的目标安全策略规则之后。

before:表示移动到指定名称的目标安全策略规则之前。

name rule-name2指定目标安全策略规则的名称,为1~127个字符的字符串,不区分大小写。

bottom:表示移动到所有安全策略规则之后。

down:表示移动到下一条安全策略规则之后。

top:表示移动到所有安全策略规则之前。

up:表示移动到上一条安全策略规则之前。

【使用指导】

通过移动安全策略规则可以改变报文匹配安全策略规则的优先级。

【举例】

# 在IPv4安全策略上,将安全策略规则rule1移动到安全策略规则rule2之前。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] move rule name rule1 before name rule2

【相关命令】

·     rule

·     security-policy ip

·     security-policy ipv6

1.1.26  parent-group

parent-group group-name命令用来配置安全策略规则所属的安全策略组。

undo parent-group命令用来恢复缺省情况。

【命令】

parent-group group-name

undo parent-group

【缺省情况】

安全策略规则不属于安全策略组。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

group-name:表示安全策略规则需要加入的安全策略组的名称,为1~63个字符的字符串,不区分大小写。

【举例】

# 配置安全策略规则rule1属于安全策略组group1。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 1 name rule1

[Sysname-security-policy-ip-1-rule1] parent-group group1

1.1.27  profile

profile命令用来在安全策略规则中引用DPI应用profile。

undo profile命令用来删除在安全策略规则中引用的DPI应用profile。

【命令】

profile app-profile-name

undo profile

【缺省情况】

安全策略规则中未引用DPI应用profile。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

app-profile-name:表示DPI应用profile的名称,为1~63个字符的字符串,不区分大小写。有关DPI应用profile的详细介绍,请参见“DPI深度安全命令参考”中的“应用层检测引擎”。

【使用指导】

通过在安全策略规则中引用DPI应用profile可实现对符合安全策略过滤条件的报文进行相关DPI业务的处理。有关DPI各业务的详细介绍,请参见“DPI深度安全配置指导”中的相关模块。

此命令仅在安全策略规则动作为允许的情况下才生效。

【举例】

# 在IPv4安全策略规则rule1中引用名称为p1的DPI应用profile。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] action pass

[Sysname-security-policy-ip-0-rule1] profile p1

【相关命令】

·     action pass

·     app-profile(DPI深度安全命令参考/应用层检测引擎)

·     display security-policy ip

1.1.28  reset security-policy statistics

reset security-policy statistics命令用来清除安全策略的统计信息。

【命令】

reset security-policy statistics [ ip | ipv6 ] [ rule rule-name ]

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip:表示清除IPv4安全策略的统计信息。

ipv6:表示清除IPv6安全策略的统计信息。

rule rule-name:表示清除安全策略规则的统计信息。rule-name是安全策略规则的名称,为1~127个字符的字符串,不区分大小写。

【使用指导】

若未指定任何参数,则清除所有安全策略的统计信息。

【举例】

# 清除IPv4安全策略下名称为abc的规则的统计信息。

<Sysname> reset security-policy statistics ip rule abc

【相关命令】

·     display security-policy statistics

1.1.29  rule

rule命令用来创建安全策略规则,并进入安全策略规则视图。如果指定的安全策略规则已经存在,则直接进入安全策略规则视图。

undo rule命令用来删除指定的安全策略规则。

【命令】

rule { rule-id | [ rule-id ] name rule-name }

undo rule { rule-id | name rule-name } *

【缺省情况】

不存在安全策略规则。

【视图】

安全策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

rule-id:指定安全策略规则的编号,取值范围为0~4294967290。若未指定本参数,系统将从0开始,自动分配一个大于现有最大编号的最小编号,步长为1。若新编号超出了编号上限(4294967290),则选择当前未使用的最小编号作为新的编号。

rule-name:表示安全策略规则的名称,为1~127个字符的字符串,不区分大小写,且全局唯一,不能为default,创建规则时必须配置名称。

【举例】

# 为IPv4安全策略创建规则0,并为该规则配置规则名称为rule1。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1]

【相关命令】

·     display security-policy ip

·     display security-policy ipv6

1.1.30  rule rename

rule rename命令用来重命名安全策略规则。

【命令】

rule rename old-name new-name

【视图】

安全策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

old-name:被重命名安全策略规则的名称,为1~127个字符的字符串,不区分大小写。

new-name:重命名后的安全策略规则名称,为1~127个字符的字符串,不区分大小写,且全局唯一,不能为default。

【举例】

# 重命名安全策略规则rule1的名称为rule2。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule rename rule1 rule2

【相关命令】

·     rule

·     security-policy ip

·     security-policy ipv6

1.1.31  security-policy

security-policy命令用来进入安全策略视图。

undo security-policy命令用来删除安全策略视图下面的所有配置。

【命令】

security-policy { ip | ipv6 }

undo security-policy { ip | ipv6 }

【缺省情况】

安全策略视图下不存在配置。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip:表示IPv4安全策略视图。

ipv6:表示IPv6安全策略视图。

【使用指导】

注意

·     undo security-policy { ip | ipv6 }命令会直接删除所有安全策略配置,可能导致网络中断。

·     安全策略功能与对象策略功能在设备上不能同时使用,当对象策略处于生效状态时,进入安全策略视图,对象策略功能会立即失效,可能导致网络中断。

 

【举例】

# 进入IPv4安全策略视图。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip]

【相关命令】

·     display security-policy

1.1.32  security-policy config-changelog enable

security-policy config-changelog enable命令用来开启安全策略配置变更日志输出功能。

undo security-policy config-changelog enable命令用来关闭安全策略配置变更日志输出功能。

【命令】

security-policy config-changelog enable

undo security-policy config-changelog enable

【缺省情况】

安全策略配置变更日志输出功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

若无需关注或记录安全策略配置发生的变更,则可关闭安全策略配置变更日志输出功能。该功能关闭后,安全策略配置发生变更时将不再生成配置变更日志信息。

【举例】

# 关闭安全策略配置变更日志输出功能。

<Sysname> system-view

[Sysname] security-policy config-changelog enable

1.1.33  security-policy config-logging send-time

security-policy config-logging send-time命令用来配置每天发送安全策略内容日志的时间。

undo security-policy config-logging send-time命令用来恢复缺省情况。

【命令】

security-policy config-logging send-time time

undo security-policy config-logging send-time

【缺省情况】

发送安全策略内容日志的时间为每天的零点。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

time:配置每天发送安全策略内容日志的时间,time的格式为hh:mm,取值范围为00:00~23:59。

【使用指导】

在快速日志输出模块中开启生成安全策略国家电网日志功能后(即执行customlog format security-policy sgcc命令),设备会在每天指定的时间以国家电网日志的格式发送此时所有处于生效状态安全策略规则的配置信息。有关快速日志输出的详细介绍,请参见“网络管理和监控配置指导”中的“快速日志输出”。

【举例】

# 配置每天发送安全策略内容日志的时间为13点15分。

<Sysname>system-view

[Sysname] security-policy config-loggging send-time 13:15

【相关命令】

·     customlog format security-policy sgcc(网络管理和监控命令参考/快速日志输出)

·     customlog host export security-policy(网络管理和监控命令参考/快速日志输出)

1.1.34  security-policy disable

security-policy disable命令用来关闭安全策略功能。

undo security-policy disable命令用来开启安全策略功能。

【命令】

security-policy disable

undo security-policy disable

【缺省情况】

安全策略功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

注意

security-policy disable命令会直接关闭所有安全策略,可能导致网络中断。

 

只有开启安全策略功能后,配置的安全策略才能生效。

设备启动时,如果配置文件中仅存在对象策略,则设备会自动执行security-policy disable命令关闭安全策略功能;如果配置文件中对象策略和安全策略均不存在或存在安全策略,则设备自动开启安全策略功能。

安全策略功能与对象策略功能在设备上不能同时使用,当安全策略功能处于开启状态时,首次进入安全策略视图后,对象策略功能立即失效。因此在管理员手工逐条将对象策略切换为安全策略时,为避免切换过程中造成业务长期中断,建议管理员在对象策略切换完成后再开启安全策略功能。

配置回滚后,如果需要对象策略生效,配置回滚完成后,则建议用户手工执行security-policy disable命令将安全策略功能关闭。

【举例】

# 关闭安全策略功能

<Sysname> system-view

[Sysname] security-policy disable

1.1.35  security-policy switch-from object-policy

security-policy switch-from object-policy命令用来将对象策略配置转换为安全策略配置。

【命令】

security-policy switch-from object-policy object-filename security-filename

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

object-filename:表示待转换对象策略配置内容所在配置文件的名称,为1~255个字符的字符串,区分大小写,以.cfg结尾,不能包含“/”字符。此配置文件必须在设备存储介质的根目录下已存在。

security-filename:表示新生成的配置文件的名称,为1~255个字符的字符串,区分大小写,以.cfg结尾,不能包含“/”字符。新生成的配置文件保存在存储设备根目录下。

【使用指导】

此功能可以将指定配置文件中的所有对象策略规则批量转换为对应的安全策略规则,从而实现将对象策略快速切换到为安全策略的目的,为使转换后的安全策略规则生效必须重启设备。

【举例】

# 将配置文件startup.cfg中的对象策略配置转换为安全策略配置。

<Sysname> system-view

[Sysname] security-policy switch-from object-policy startup.cfg startup_secp.cfg

Configuration switching begins...

 

 

Object policies in the specified configuration file have been switched to securi

ty policies.

This command will reboot the device. Continus? [Y/N]:

1.1.36  service

service命令用来配置作为安全策略规则过滤条件的服务。

undo service命令用来删除作为安全策略规则过滤条件的服务。

【命令】

service { object-group-name | any }

undo service [ object-group-name | any ]

【缺省情况】

不存在服务过滤条件。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

object-group-name:表示服务对象组的名称,为1~63个字符的字符串,不区分大小写。

any:表示将设备中的所有服务作为安全策略规则的过滤条件。

【使用指导】

多次执行本命令,可配置多个服务对象组作为安全策略规则的过滤条件。

配置服务作为安全策略规则的过滤条件时,若指定的服务对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置服务对象组,但此条过滤条件不会匹配任何报文。

使用undo命令时若不指定任何参数,则表示删除此规则中所有服务类型的过滤条件。

【举例】

# 配置作为安全策略规则rule1过滤条件的服务对象组为http和ftp。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] service http

[Sysname-security-policy-ip-0-rule1] service ftp

【相关命令】

·     display security-policy

·     object-group(安全命令参考/对象组)

1.1.37  service-port

service-port命令用来配置作为安全策略规则过滤条件的服务端口。

undo service-port命令用来删除作为安全策略规则过滤条件的服务端口。

【命令】

service-port protocol [ { destination { { eq | lt | gt } port | range port1 port2 } | source { { eq | lt | gt } port | range port1 port2 } } * | icmp-type icmp-code | icmpv6-type icmpv6-code ]

undo service-port [ protocol [ { destination { { eq | lt | gt } port | range port1 port2 } | source { { eq | lt | gt } port | range port1 port2 } } * | icmp-type icmp-code | icmpv6-type icmpv6-code ] ]

【缺省情况】

不存在服务端口过滤条件。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

protocol:协议类型,可选取tcp(6)、udp(17)或icmp(1)。

可输入的形式如下:

·     数字:在IPv4安全策略规则视图下,取值范围为0~57、59~255;在IPv6安全策略规则视图下,取值范围为0、2~255;

·     名称:在IPv4安全策略规则视图下,可选取tcp(6)、udp(17)、icmp(1);在IPv6安全策略规则视图下,可选取tcp(6)、udp(17)、icmpv6(58)。

source:指定源端口。只在protocoltcpudp时有效。

destination:指定目的端口。只在protocoltcpudp时有效。

eq:表示等于。

lt表示小于。

gt表示大于。

port:指定端口号,取值范围为0~65535。

range port1 port2:指定端口号范围。port1表示端口号1,取值范围为0~65535。port2表示端口号2,取值范围为0~65535。

icmp-type:ICMP消息类型,取值范围为0~255,只在protocolicmp时有效。

icmp-code:ICMP消息码,取值范围为0~255。

icmpv6-type:ICMPv6消息类型,取值范围为0~255,只在protocolicmpv6时有效。

icmpv6-code:ICMPv6消息码,取值范围为0~255。

【使用指导】

本命令与service命令的区别在于本命令仅可匹配服务端口号,而service命令仅可匹配服务对象组。

新创建的服务端口号不能与已有的服务端口号完全相同,否则该命令执行失败。

一条规则下匹配的服务和服务对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

在配置lt参数时,需要注意的是:

·     不能指定port为0。

·     如果指定port为1,则该配置被视为eq 0。

·     如果指定port为2~65535,则实际生效的端口号为[0,port-1]

在配置gt参数时,需要注意的是:

·     不能指定port为65535。

·     如果指定port为65534,该配置被视为eq 65535。

·     如果指定port为0~65533,则实际生效的端口号为[port+1,65535]

在配置range参数时,需要注意的是:

·     如果指定的port1port2相同,则该配置被视为等于指定的端口号。

·     如果指定port1为0,则该配置被视为lt配置,譬如配置range 0 999,被视为lt 1000。

·     如果指定port2为65535,则该配置被视为gt配置,譬如配置range 50001 65535,被视为gt 50000。

·     如果指定的port1port2大,会自动调整范围为[port2,port1]

【举例】

# 配置作为安全策略规则rule1过滤条件的服务为tcp协议的源端口和目的端口的报文。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] service-port tcp destination range 100 200 source eq 100

# 配置作为安全策略规则rule1过滤条件的服务为icmp协议的源端口和目的端口的报文。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] service-port icmp 100 150

【相关命令】

·     display security-policy

1.1.38  session aging-time

session aging-time命令用来为安全策略规则配置会话的老化时间。

undo session aging-time命令用来恢复缺省情况。

【命令】

session aging-time time-value

undo session aging-time

【缺省情况】

未配置安全策略规则的会话老化时间。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

time-value:指定会话的老化时间,取值范围为1~2000000,单位为秒。

【使用指导】

此命令用来为匹配某条安全策略规则而生成的稳态会话设置老化时间。此命令的配置不仅影响后续生成的会话,对已经生成的会话同样生效。

若某安全策略规则中配置了会话的老化时间,则匹配上该规则且进入稳定状态的会话需要遵循规则中配置的老化时间进行老化;非稳态会话按照缺省的会话老化时间进行老化。

若进入稳态的会话报文匹配上的安全策略规则中未配置会话老化时间,则该会话基于会话管理模块配置的老化时间(session aging-time applicationsession aging-time state命令的配置)进行老化。有关会话管理相关配置的详细介绍,请参见“安全配置指导”中的“会话管理”。

【举例】

# 为IPv4安全策略的规则rule1配置会话老化时间为5000秒。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] action pass

[Sysname-security-policy-ip-0-rule1] session aging-time 5000

【相关命令】

·     display security-policy

·     session aging-time application(安全命令参考/会话管理)

·     session aging-time state(安全命令参考/会话管理)

·     session persistent acl(安全命令参考/会话管理)

1.1.39  session persistent aging-time

session persistent aging-time命令用来为安全策略规则配置长连接会话的老化时间。

undo session persistent aging-time命令用来恢复缺省情况。

【命令】

session persistent aging-time time-value

undo session persistent aging-time

【缺省情况】

未配置安全策略规则的长连接会话老化时间。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

time-value:指定长连接会话的老化时间,取值范围为0~24000,单位为小时,0表示永不老化。

【使用指导】

此命令用来为匹配某条安全策略规则而生成的长连接会话设置老化时间。此命令的配置不仅影响后续生成的会话,对已经生成的会话同样生效。

此命令配置的长连接会话老化时间优先级高于session aging-time命令配置的会话老化时间和会话管理模块session persistent acl命令配置的长连接老化时间。有关session persistent acl命令的详细介绍,请参见“安全命令参考”中的“会话管理”。

长连接老化时间仅在TCP会话进入稳态(TCP-EST状态)时生效。

【举例】

# 为IPv4安全策略中规则rule1配置长连接会话老化时间为1小时。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] action pass

[Sysname-security-policy-ip-0-rule1] session persistent aging-time 1

【相关命令】

·     display security-policy ip

·     session persistent acl(安全命令参考/会话管理)

1.1.40  source-ip

source-ip命令用来配置作为安全策略规则过滤条件的源IP地址。

undo source-ip命令用来删除作为安全策略规则过滤条件的源IP地址。

【命令】

source-ip object-group-name

undo source-ip [ object-group-name ]

【缺省情况】

不存在源IP地址过滤条件。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

object-group-name:表示源地址对象组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串any。使用undo命令时若不指定此参数,则表示删除此规则中所有源IP地址类型的过滤条件。有关地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。

【使用指导】

多次执行本命令,可配置多个源IP地址作为安全策略规则的过滤条件。

配置源IP地址作为安全策略规则的过滤条件时,若指定的地址对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置地址对象组,但此条过滤条件不会匹配任何报文。

【举例】

# 配置作为安全策略规则rule1过滤条件的源地址对象组为server1和server2。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] source-ip server1

[Sysname-security-policy-ip-0-rule1] source-ip server2

【相关命令】

·     display security-policy

·     object-group(安全命令参考/对象组)

1.1.41  source-ip-host (IPv4 security policy view)

source-ip-host命令用来配置作为安全策略规则过滤条件的源IPv4主机地址。

undo source-ip-host命令用来删除作为安全策略规则过滤条件的源IPv4主机地址。

【命令】

source-ip-host ip-address

undo source-ip-host [ ip-address ]

【缺省情况】

不存在源IPv4主机地址过滤条件。

【视图】

IPv4安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address:指定主机IPv4地址。

【使用指导】

source-ip-host命令用来配置单个源IPv4主机地址过滤条件。

多次执行本命令,可配置多个源IPv4主机地址作为安全策略规则的过滤条件。

新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。

一条规则下配置的源主机地址、源子网地址、源范围地址和源对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

【举例】

# 配置作为安全策略规则rule1过滤条件的源地址为192.167.0.1的IPv4主机地址。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] source-ip-host 192.167.0.1

【相关命令】

·     display security-policy

1.1.42  source-ip-host (IPv6 security policy view)

source-ip-host命令用来配置作为安全策略规则过滤条件的源IPv6主机地址。

undo source-ip-host命令用来删除作为安全策略规则过滤条件的源IPv6主机地址。

【命令】

source-ip-host ipv6-address

undo source-ip-host [ ipv6-address ]

【缺省情况】

不存在源IPv6主机地址过滤条件。

【视图】

IPv6安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv6-address:指定主机IPv6地址。

【使用指导】

source-ip-host命令用来配置单个源IPv6主机地址过滤条件。

多次执行本命令,可配置多个源IPv6主机地址作为安全策略规则的过滤条件。

新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。

一条规则下配置的源主机地址、源子网地址、源范围地址和源对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

【举例】

# 配置作为安全策略规则rule1过滤条件的源地址为192::167:1的IPv6主机地址。

<Sysname> system-view

[Sysname] security-policy ipv6

[Sysname-security-policy-ipv6] rule 0 name rule1

[Sysname-security-policy-ipv6-0-rule1] source-ip-host 192::167:1

【相关命令】

·     display security-policy

1.1.43  source-ip-range (IPv4 security policy view)

source-ip-range命令用来配置作为安全策略规则过滤条件的源IPv4范围地址。

undo source-ip-range命令用来删除作为安全策略规则过滤条件的源IPv4范围地址。

【命令】

source-ip-range ip-address1 ip-address2

undo source-ip-range [ ip-address1 ip-address2 ]

【缺省情况】

不存在源IPv4范围地址过滤条件。

【视图】

IPv4安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address1 ip-address2:指定范围IPv4地址。ip-address1表示范围起始IPv4地址,ip-address2表示范围结束IPv4地址。

【使用指导】

source-ip-range命令用来配置指定范围的源IPv4地址过滤条件。

多次执行本命令,可配置多个源IP范围地址作为安全策略规则的过滤条件。

新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。

一条规则下配置的源主机地址、源子网地址、源范围地址和源对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

配置需要注意的是:

·     如果指定的ip-address1ip-address2相同,则该配置被视为主机地址配置。

·     如果指定的ip-address1ip-address2是一个子网的起始地址和结束地址,则该配置被视为子网地址对象配置。

·     如果指定的ip-address1ip-address2大,会自动调整范围为[ ip-address2, ip-address1 ]

【举例】

# 配置作为安全策略规则rule1过滤条件的源地址为192.165.0.100到192.165.0.200的IPv4范围地址。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] source-ip-range 192.165.0.100 192.165.0.200

【相关命令】

·     display security-policy

1.1.44  source-ip-range (IPv6 security policy view)

source-ip-range命令用来配置作为安全策略规则过滤条件的源IPv6范围地址。

undo source-ip-range命令用来删除作为安全策略规则过滤条件的源IPv6范围地址。

【命令】

source-ip-range ipv6-address1 ipv6-address2

undo source-ip-range [ ipv6-address1 ipv6-address2 ]

【缺省情况】

不存在源IPv6范围地址过滤条件。

【视图】

IPv6安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv6-address1 ipv6-address2:指定范围IPv6地址。ipv6-address1表示范围起始IPv6地址,ipv6-address2表示范围结束IPv6地址。

【使用指导】

source-ip-range命令用来配置指定范围的源IPv6地址过滤条件。

多次执行本命令,可配置多个源IP范围地址作为安全策略规则的过滤条件。

新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。

一条规则下配置的源主机地址、源子网地址、源范围地址和源对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

配置需要注意的是:

·     如果指定的ipv6-address1ipv6-address2相同,则该配置被视为主机地址配置。

·     如果指定的ipv6-address1ipv6-address2是一个子网的起始地址和结束地址,则该配置被视为子网地址对象配置。

·     如果指定的ipv6-address1ipv6-address2大,会自动调整范围为[ ipv6-address2, ipv6-address1 ]

【举例】

# 配置作为安全策略规则rule1过滤条件的源地址为192::165:100到192::165:200的IPv6范围地址。

<Sysname> system-view

[Sysname] security-policy ipv6

[Sysname-security-policy-ipv6] rule 0 name rule1

[Sysname-security-policy-ipv6-0-rule1] source-ip-range 192::165:100 192::165:200

【相关命令】

·     display security-policy

1.1.45  source-ip-subnet (IPv4 security policy view)

source-ip-subnet命令用来配置作为安全策略规则过滤条件的源IPv4子网地址。

undo source-ip-subnet命令用来删除作为安全策略规则过滤条件的源IPv4子网地址。

【命令】

source-ip-subnet ip-address { mask-length | mask }

undo source-ip-subnet [ ip-address { mask-length | mask } ]

【缺省情况】

不存在源IPv4子网地址过滤条件。

【视图】

IPv4安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address { mask-length | mask }:指定子网IPv4地址。mask-length表示子网掩码长度,取值范围为0~32。mask表示接口IPv4地址相应的子网掩码,为点分十进制格式。如果指定mask-length为32或者mask为255.255.255.255,则该配置被视为主机地址配置。

【使用指导】

source-ip-subnet命令用来配置指定子网的源IPv4地址过滤条件。

多次执行本命令,可配置多个源IP子网地址作为安全策略规则的过滤条件。

新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。

一条规则下配置的源主机地址、源子网地址、源范围地址和源对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

【举例】

# 配置作为安全策略规则rule1过滤条件的源地址为192.167.0.0,掩码长度为24的IPv4子网地址。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] source-ip-subnet 192.167.0.0 24

# 配置作为安全策略规则rule1过滤条件的源地址为192.166.0.0,掩码为255.255.0.0的IPv4子网地址。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] source-ip-subnet 192.166.0.0 255.255.0.0

【相关命令】

·     display security-policy

1.1.46  source-ip-subnet (IPv6 security policy view)

source-ip-subnet命令用来配置作为安全策略规则过滤条件的源IPv6子网地址。

undo source-ip-subnet命令用来删除作为安全策略规则过滤条件的源IPv6子网地址。

【命令】

source-ip-subnet ipv6-address prefix-length

undo source-ip-subnet [ ipv6-address prefix-length ]

【缺省情况】

不存在源IPv6子网地址过滤条件。

【视图】

IPv6安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv6-address prefix-length:指定子网IPv6地址。prefix-length表示子网前缀长度,取值范围为1~128。如果指定prefix-length为128,则该配置被视为主机地址配置。

【使用指导】

source-ip-subnet命令用来配置指定子网的源IPv6地址过滤条件。

多次执行本命令,可配置多个源IPv6子网地址作为安全策略规则的过滤条件。

新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。

一条规则下配置的源主机地址、源子网地址、源范围地址和源对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

【举例】

# 配置作为安全策略规则rule1过滤条件的源地址为192: 167::0,地址前缀长度为64的IPv6子网地址。

<Sysname> system-view

[Sysname] security-policy ipv6

[Sysname-security-policy-ipv6] rule 0 name rule1

[Sysname-security-policy-ipv6-0-rule1] source-ip-subnet 192:167::0 64

【相关命令】

·     display security-policy

1.1.47  source-mac

source-mac命令用来配置作为安全策略规则过滤条件的源MAC地址。

undo source-mac命令用来删除作为安全策略规则过滤条件的源MAC地址。

【命令】

source-mac object-group-name

undo source-mac [ object-group-name ]

【缺省情况】

安全策略规则中不存在过滤条件。

【视图】

IPv4安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

object-group-name:表示源MAC地址对象组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串any。使用undo命令时若不指定此参数,则表示删除此规则中所有源MAC地址类型的过滤条件。有关MAC地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。

【使用指导】

多次执行本命令,可配置多个源MAC地址作为安全策略规则的过滤条件。

配置源MAC地址作为安全策略规则的过滤条件时,若指定的地址对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置地址对象组,但此条过滤条件不会匹配任何报文。

【举例】

# 配置作为安全策略规则rule1过滤条件的源MAC地址对象组为mac1和mac2。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] source-mac mac1

[Sysname-security-policy-ip-0-rule1] source-mac mac2

【相关命令】

·     display security-policy

·     object-group(安全命令参考/对象组)

1.1.48  source-zone

source-zone命令用来配置作为安全策略规则过滤条件的源安全域。

undo source-zone命令用来删除作为安全策略规则过滤条件的源安全域。

【命令】

source-zone source-zone-name

undo source-zone [ source-zone-name ]

【缺省情况】

不存在源安全域过滤条件。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

source-zone-name:表示源安全域的名称,为1~31个字符的字符串,不区分大小写。使用undo命令时若不指定此参数,则表示删除此规则中所有源安全域类型的过滤条件。有关安全域的详细介绍,请参见“安全配置指导”中的“安全域”。

【使用指导】

多次执行本命令,可配置多个源安全域作为安全策略规则的过滤条件。

【举例】

# 配置作为安全策略规则rule1过滤条件的源安全域为Trust和DMZ。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] source-zone trust

[Sysname-security-policy-ip-0-rule1] source-zone dmz

【相关命令】

·     display security-policy

·     security-zone(安全命令参考/安全域)

1.1.49  time-range

time-range命令用来配置安全策略规则生效的时间段。

undo time-range命令用来恢复缺省情况。

【命令】

time-range time-range-name

undo time-range [ time-range-name ]

【缺省情况】

不限制安全策略规则生效的时间。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

time-range-name:表示时间段的名称,为1~32个字符的字符串,不区分大小写。使用undo命令时若不指定此参数,表示删除此规则的生效时间段。有关时间段的详细介绍,请参见“ACL和QoS配置指导”中的“时间段”。

【配置指导】

多次执行本命令,最后一次执行的命令生效。

【举例】

# 为安全策略规则rule1配置生效时间段为work。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] time-range work

【相关命令】

·     display security-policy

·     time-range(ACL和QoS命令参考/时间段)

1.1.50  track

track命令用来配置安全策略规则与Track项联动。

undo track命令用来取消安全策略规则与Track项联动。

【命令】

track { negative | positive } track-entry-number

undo track

【缺省情况】

安全策略规则未与Track项联动。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

negative:指定安全策略规则与Track项的Negative状态联动。

positive:指定安全策略规则与Track项的Positive状态联动。

track-entry-number:表示关联的Track项序号,取值范围为1~1024。有关Track的详细介绍,请参见“网络管理和监控配置指导”中的“Track”。

【使用指导】

配置安全策略规则与Track项的Negative状态联动后,当安全策略规则收到Negative状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Positive状态的Track通知时,将此规则置为失效状态(Inactive)。

配置安全策略规则与Track项的Positive状态联动后,当安全策略规则收到Positive状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Negative状态的Track通知时,将此规则置为失效状态(Inactive)。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 为安全策略规则rule1配置规则与Track项的Positive状态联动。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] track positive 10

【相关命令】

·     display security-policy

·     track bfd(网络管理和监控命令参考/Track)

·     track interface(网络管理和监控命令参考/Track)

·     track ip route reachability(网络管理和监控命令参考/Track)

·     track nqa(网络管理和监控命令参考/Track)

1.1.51  url-category

url-category命令用来配置作为安全策略规则过滤条件的URL过滤分类。

undo url-category命令用来删除作为安全策略规则过滤条件的URL过滤分类。

【命令】

url-category url-category-name

undo url-category [ url-category-name ]

【缺省情况】

不存在URL过滤分类过滤条件。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

url-category-name:表示URL过滤分类的名称,为1~63个字符的字符串,不区分大小写。使用undo命令时若不指定此参数,则表示删除此规则中所有URL过滤分类类型的过滤条件。有关URL过滤分类的详细介绍,请参见“DPI深度安全配置指导”中的“URL过滤”。

【使用指导】

多次执行本命令,可配置多个URL过滤分类作为安全策略规则的过滤条件。

【举例】

# 配置作为安全策略规则rule1过滤条件的URL过滤分类名称为category1。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] url-category category1

【相关命令】

·     display security-policy

·     url-filter category(DPI深度安全命令参考/URL过滤)

1.1.52  user

user命令用来配置作为安全策略规则过滤条件的用户。

undo user命令用来删除作为安全策略规则过滤条件的用户。

【命令】

user username [ domain domain-name ]

undo user [ username [ domain domain-name ] ]

【缺省情况】

不存在用户过滤条件。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

username:表示用户的名称,为1~55个字符的字符串,区分大小写,不能是a、al和all,且不能包含特殊字符“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”、和“@”。使用undo命令时若不指定此参数,则表示删除此规则中所有用户类型的过滤条件。有关用户的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。

domain domain-name:表示在指定的身份识别域中匹配此用户。domain-name是身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“:”、“*”、“?”、“<”、“>”和“@”字符。若不指定此参数,则表示在不属于任何身份识别域的用户中匹配此用户。

【使用指导】

多次执行本命令,可配置多个用户作为安全策略规则的过滤条件。

使用undo命令时若不指定用户,则表示删除此规则中所有用户类型的过滤条件;若不指定身份识别域,则表示删除此规则中不属于任何身份识别域的用户。

有关身份识别用户和身份识别域的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。

【举例】

# 配置作为安全策略规则rule1过滤条件的用户为usera和userb,身份识别域均为test。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] user usera domain test

[Sysname-security-policy-ip-0-rule1] user userb domain test

【相关命令】

·     display security-policy

·     user-identity enable(安全命令参考/用户身份识别与管理)

·     user-identity static-user(安全命令参考/用户身份识别与管理)

1.1.53  user-group

user-group命令用来配置作为安全策略规则过滤条件的用户组。

undo user-group命令用来删除作为安全策略规则过滤条件的用户组。

【命令】

user-group user-group-name [ domain domain-name ]

undo user-group [ user-group-name [ domain domain-name ] ]

【缺省情况】

不存在用户组过滤条件。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

user-group-name:表示用户组的名称,为1~200个字符的字符串,不区分大小写。使用undo命令时若不指定此参数,则表示删除此规则中所有用户组类型的过滤条件。有关用户组的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。

domain domain-name:表示在指定的身份识别域中匹配此用户组,domain-name是身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“:”、“*”、“?”、“<”、“>”以及“@”字符。若不指定此参数,则表示在不属于任何身份识别域的用户组中匹配此用户组。

【使用指导】

多次执行本命令,可配置多个用户组作为安全策略规则的过滤条件。

使用undo命令时若不指定用户组,则表示删除此规则中所有用户组类型的过滤条件;若不指定身份识别域,则表示删除此规则中不属于任何身份识别域的用户组。

有关身份识别用户组和身份识别域的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。

【举例】

# 配置作为安全策略规则rule1过滤条件的用户组为groupa和groupb,身份识别域均为test。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] user-group groupa domain test

[Sysname-security-policy-ip-0-rule1] user-group groupb domain test

【相关命令】

·     display security-policy

·     user-group(安全命令参考/AAA)

1.1.54  vrf

vrf命令用来配置安全策略规则对入接口指定VPN多实例中的报文有效。

undo vrf命令用来恢复缺省情况。

【命令】

vrf vrf-name

undo vrf

【缺省情况】

安全策略规则对公网的报文有效。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

vrf-name:表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

【配置指导】

多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置安全策略规则rule1对入接口的VPN多实例vpn1中的报文生效。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] vrf vpn1

【相关命令】

·     display security-policy

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们