- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
02-安全策略命令
本章节下载: 02-安全策略命令 (489.41 KB)
目 录
1.1.1 accelerate enhanced enable
1.1.6 description (security-policy rule view)
1.1.7 description (security-policy view)
1.1.9 destination-ip-host (IPv4 security policy view)
1.1.10 destination-ip-host (IPv6 security policy view)
1.1.11 destination-ip-range (IPv4 security policy view)
1.1.12 destination-ip-range (IPv6 security policy view)
1.1.13 destination-ip-subnet (IPv4 security policy view)
1.1.14 destination-ip-subnet (IPv6 security policy view)
1.1.17 display security-policy
1.1.18 display security-policy statistics
1.1.27 reset security-policy statistics
1.1.31 security-policy config-logging send-time
1.1.32 security-policy disable
1.1.36 session persistent aging-time
1.1.38 source-ip-host (IPv4 security policy view)
1.1.39 source-ip-host (IPv6 security policy view)
1.1.40 source-ip-range (IPv4 security policy view)
1.1.41 source-ip-range (IPv6 security policy view)
1.1.42 source-ip-subnet (IPv4 security policy view)
accelerate enhanced enable命令用来激活安全策略规则的加速功能。
【命令】
accelerate enhanced enable
【视图】
IPv4安全策略视图
IPv6安全策略视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
加速功能用于提高报文对安全策略规则的匹配速度。激活安全策略规则加速功能是指对变化(新增、删除、修改或移动)的安全策略规则进行加速。
进入安全策略视图后,系统按照固定时间间隔判断是否需要激活安全策略规则的加速功能。在一个时间间隔内若安全策略规则发生变化,则间隔时间到达后会对当前所有的安全策略规则进行重新加速,否则,不会重新加速。当安全策略规则小于等于100条时,此时间间隔为2秒;当安全策略规则大于100条时,此时间间隔为20秒。
如安全策略规则发生变化后,也可以手动执行accelerate enhanced enable命令立即对发生变化的安全策略规则进行加速。
安全策略中的规则发生变化后必须对其加速成功,否则这些变化的规则无法进行报文匹配。
激活安全策略规则加速功能时,内存资源不足会导致安全策略规则加速失败。加速失败后,本间隔内发生变化的安全策略规则未进行加速,从而导致变化的安全策略规则不生效,之前已经加速成功的规则不受影响。在下一个时间间隔到达后,系统会再次尝试对安全策略规则进行加速。
【举例】
# 激活安全策略规则的加速功能。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] accelerate enhanced enable
action命令用来配置安全策略规则的动作。
undo action命令用来恢复缺省情况。
【命令】
action { drop | pass }
undo action pass
【缺省情况】
安全策略规则动作是丢弃。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
drop:表示丢弃符合条件的报文。
pass:表示允许符合条件的报文通过。
【使用指导】
多次执行本命令,最后一次执行的命令生效。
【举例】
# 为安全策略规则rule1配置动作为丢弃。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] action drop
【相关命令】
· display security-policy
app-group命令用来配置作为安全策略规则过滤条件的应用组。
undo app-group命令用来删除作为安全策略规则过滤条件的应用组。
【命令】
app-group app-group-name
undo app-group [ app-group-name ]
【缺省情况】
不存在应用组过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
app-group-name:表示应用组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串invalid和other。使用undo命令时若不指定此参数,则表示删除此规则中所有应用组类型的过滤条件。有关应用组的详细介绍,请参见“安全配置指导”中的“APR”。
【使用指导】
多次执行本命令,可配置多个应用组作为安全策略规则的过滤条件。
【举例】
# 配置作为安全策略规则rule1过滤条件的应用组为app1和app2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] app-group app1
[Sysname-security-policy-ip-0-rule1] app-group app2
【相关命令】
· app-group(安全命令参考/APR)
· display security-policy
application命令用来配置作为安全策略规则过滤条件的应用。
undo application命令用来删除作为安全策略规则过滤条件的应用。
【命令】
application application-name
undo application [ application-name ]
【缺省情况】
不存在应用过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
application-name:表示应用的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串invalid和other。使用undo命令时若不指定此参数,则表示删除此规则中所有应用类型的过滤条件。有关应用的详细介绍,请参见“安全配置指导”中的“APR”。
【使用指导】
多次执行本命令,可配置多个应用作为安全策略规则的过滤条件。
为使安全策略中配置的应用可以被识别,必须先放行应用所依赖的基础协议报文。
在端口仿冒网络环境中,必须先放行仿冒的基础协议报文,才能识别出仿冒报文中的应用。
【举例】
# 配置作为安全策略规则rule1过滤条件的应用为139Mail和51job。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] application 139Mail
[Sysname-security-policy-ip-0-rule1] application 51job
【相关命令】
· display security-policy
· nbar application(安全命令参考/APR)
· port-mapping(安全命令参考/APR)
counting enable命令用来开启安全策略规则匹配统计功能。
undo counting enable命令用来关闭安全策略规则匹配统计功能。
【命令】
counting enable [ period value ]
undo counting enable
【缺省情况】
安全策略规则匹配统计功能处于关闭状态。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
period value:指定安全策略规则匹配统计功能开启的时长,取值范围为1~4294967295,单位为分钟。若不指定该参数,则表示永久开启统计功能。
【使用指导】
此功能用来对匹配安全策略规则的报文进行统计,可通过执行display security-policy statistics命令来查看相关报文的统计信息。
开启安全策略规则匹配统计功能时,若指定了period参数,则当到达指定时长后,系统会自动关闭该功能,并删除该配置;若没有指定period参数,则永久开启统计功能,只有执行undo命令后才可以关闭该功能。
【举例】
# 为安全策略规则rule1开启规则匹配统计功能,并指定开启时长为20分钟。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] counting enable period 20
【相关命令】
· display security-policy
· display security-policy statistics
description命令用来配置安全策略规则的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
不存在安全策略规则的描述信息。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
text:表示安全策略规则的描述信息,为1~127个字符的字符串,区分大小写。
【举例】
# 为IPv4安全策略规则0配置描述信息为This rule is used for source-ip ip1。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] description This rule is used for source-ip ip1
【相关命令】
· display security-policy ip
· display security-policy ipv6
description命令用来配置安全策略的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
不存在安全策略的描述信息。
【视图】
IPv4安全策略视图
IPv6安全策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
text:表示安全策略的描述信息,为1~127个字符的字符串,区分大小写。
【举例】
# 配置安全策略的描述信息为“zone-pair security office to library”。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] description zone-pair security office to library
【相关命令】
· display security-policy
destination-ip命令用来配置作为安全策略规则过滤条件的目的IP地址。
undo destination-ip命令用来删除作为安全策略规则过滤条件的目的IP地址。
【命令】
destination-ip object-group-name
undo destination-ip [ object-group-name ]
【缺省情况】
不存在目的IP地址过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
object-group-name:表示目的地址对象组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串any。使用undo命令时若不指定此参数,则表示删除此规则中所有目的IP地址类型的过滤条件。有关地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。
【使用指导】
多次执行本命令,可配置多个目的IP地址作为安全策略规则的过滤条件。
配置目的IP地址作为安全策略规则的过滤条件时,若指定的地址对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置地址对象组,但此条过滤条件不会匹配任何报文。
一条规则下配置的目的IP地址对象组最多为1024个,超出时命令会执行失败并提示出错。
【举例】
# 配置作为安全策略规则rule1过滤条件的目的地址对象组为client1和client2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] destination-ip client1
[Sysname-security-policy-ip-0-rule1] destination-ip client2
【相关命令】
· display security-policy
· object-group(安全命令参考/对象组)
destination-ip-host命令用来配置作为安全策略规则过滤条件的目的IPv4主机地址。
undo destination-ip-host命令用来删除作为安全策略规则过滤条件的目的IPv4主机地址。
【命令】
destination-ip-host ip-address
undo destination-ip-host [ ip-address ]
【缺省情况】
不存在目的IPv4主机地址过滤条件。
【视图】
IPv4安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip-address:指定主机IPv4地址。
【使用指导】
destination-ip-host命令用来配置单个目的IPv4主机地址过滤条件。
多次执行本命令,可配置多个目的IPv4主机地址作为安全策略规则的过滤条件。
新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。
一条规则下配置的目的主机地址、目的子网地址和目的范围地址数量之和最多为1024个,超出时命令会执行失败并提示出错。
【举例】
# 配置作为安全策略规则rule1过滤条件的目的地址为192.167.0.1的IPv4主机地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] destination-ip-host 192.167.0.1
【相关命令】
· display security-policy
destination-ip-host命令用来配置作为安全策略规则过滤条件的目的IPv6主机地址。
undo destination-ip-host命令用来删除作为安全策略规则过滤条件的目的IPv6主机地址。
【命令】
destination-ip-host ipv6-address
undo destination-ip-host [ ipv6-address ]
【缺省情况】
不存在目的IPv6主机地址过滤条件。
【视图】
IPv6安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv6-address:指定主机IPv6地址。
【使用指导】
destination-ip-host命令用来配置单个目的IPv6主机地址过滤条件。
多次执行本命令,可配置多个目的IPv6主机地址作为安全策略规则的过滤条件。
新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。
一条规则下配置的目的主机地址、目的子网地址和目的范围地址数量之和最多为1024个,超出时命令会执行失败并提示出错。
【举例】
# 配置作为安全策略规则rule1过滤条件的目的地址为192::167:1 的IPv6主机地址。
<Sysname> system-view
[Sysname] security-policy ipv6
[Sysname-security-policy-ipv6] rule 0 name rule1
[Sysname-security-policy-ipv6-0-rule1] destination-ip-host 192::167:1
【相关命令】
· display security-policy
destination-ip-range命令用来配置作为安全策略规则过滤条件的目的IPv4范围地址。
undo destination-ip-range命令用来删除作为安全策略规则过滤条件的目的IPv4范围地址。
【命令】
destination-ip-range ip-address1 ip-address2
undo destination-ip-range [ ip-address1 ip-address2 ]
【缺省情况】
不存在目的IPv4范围地址过滤条件。
【视图】
IPv4安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip-address1 ip-address2:指定范围IPv4地址。ip-address1表示范围起始IPv4地址,ip-address2表示范围结束IPv4地址。
【使用指导】
destination-ip-range命令用来配置指定范围的目的IPv4地址过滤条件。
多次执行本命令,可配置多个目的IP范围地址作为安全策略规则的过滤条件。
新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。
一条规则下配置的目的主机地址、目的子网地址和目的范围地址数量之和最多为1024个,超出时命令会执行失败并提示出错。
在配置时,需要注意的是:
· 如果指定的ip-address1和ip-address2相同,则该配置被视为主机地址对象配置。
· 如果指定的ip-address1和ip-address2是一个子网的起始地址和结束地址,则该配置被视为子网地址配置。
· 如果指定的ip-address1比ip-address2大,会自动调整范围为[ ip-address2, ip-address1 ]。
【举例】
# 配置作为安全策略规则rule1过滤条件的目的地址为192.165.0.100到192.165.0.200的IPv4范围地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] destination-ip-range 192.165.0.100 192.165.0.200
【相关命令】
· display security-policy
destination-ip-range命令用来配置作为安全策略规则过滤条件的目的IPv6范围地址。
undo destination-ip-range命令用来删除作为安全策略规则过滤条件的目的IPv6范围地址。
【命令】
destination-ip-range ipv6-address1 ipv6-address2
undo destination-ip-range [ ipv6-address1 ipv6-address2 ]
【缺省情况】
不存在目的IPv6范围地址过滤条件。
【视图】
IPv6安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv6-address1 ipv6-address2:指定范围IPv6地址。ipv6-address1表示范围起始IPv6地址,ipv6-address2表示范围结束IPv6地址。
【使用指导】
destination-ip-range命令用来配置指定范围的目的IPv6地址过滤条件。
多次执行本命令,可配置多个目的IP范围地址作为安全策略规则的过滤条件。
新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。
一条规则下配置的目的主机地址、目的子网地址和目的范围地址数量之和最多为1024个,超出时命令会执行失败并提示出错。
在配置时,需要注意的是:
· 如果指定的ipv6-address1和ipv6-address2相同,则该配置被视为主机地址对象配置。
· 如果指定的ipv6-address1和ipv6-address2是一个子网的起始地址和结束地址,则该配置被视为子网地址配置。
· 如果指定的ipv6-address1比ipv6-address2大,会自动调整范围为[ ipv6-address2, ipv6-address1 ]。
【举例】
# 配置作为安全策略规则rule1过滤条件的目的地址为192:165::100到192:165::200的IPv6范围地址。
<Sysname> system-view
[Sysname] security-policy ipv6
[Sysname-security-policy-ipv6] rule 0 name rule1
[Sysname-security-policy-ipv6-0-rule1] destination-ip-range 192:165::100 192:165::200
【相关命令】
· display security-policy
destination-ip-subnet命令用来配置作为安全策略规则过滤条件的目的IPv4子网地址。
undo destination-ip-subnet命令用来删除作为安全策略规则过滤条件的目的IPv4子网地址。
【命令】
destination-ip-subnet ip-address { mask-length | mask }
undo destination-ip-subnet [ ip-address { mask-length | mask } ]
【缺省情况】
不存在目的IPv4子网地址过滤条件。
【视图】
IPv4安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip-address { mask-length | mask }:指定子网IPv4地址。mask-length表示子网掩码长度,取值范围为0~32。mask表示接口IPv4地址相应的子网掩码,为点分十进制格式。如果指定mask-length为32或者mask为255.255.255.255,则该配置被视为主机地址配置。
【使用指导】
destination-ip-subnet命令用来配置指定子网的目的IPv4地址过滤条件。
多次执行本命令,可配置多个目的IP地址作为安全策略规则的过滤条件。
新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。
一条规则下配置的目的主机地址、目的子网地址和目的范围地址数量之和最多为1024个,超出时命令会执行失败并提示出错。
【举例】
# 配置作为安全策略规则rule1过滤条件的目的地址为192.167.0.0,掩码长度为24的IPv4子网地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] destination-ip-subnet 192.167.0.0 24
# 配置作为安全策略规则rule1过滤条件的目的地址为192.166.0.0,掩码为255.255.0.0的IPv4子网地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] destination-ip-subnet 192.166.0.0 255.255.0.0
【相关命令】
· display security-policy
destination-ip-subnet命令用来配置作为安全策略规则过滤条件的目的IPv6子网地址。
undo destination-ip-subnet命令用来删除作为安全策略规则过滤条件的目的IPv6子网地址。
【命令】
destination-ip-subnet ipv6-address prefix-length
undo destination-ip-subnet [ ipv6-address prefix-length ]
【缺省情况】
不存在目的IPv6子网地址过滤条件。
【视图】
IPv6安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv6-address prefix-length:指定子网IPv6地址。prefix-length表示子网前缀长度,取值范围为1~128。如果指定prefix-length为128,则该配置被视为主机地址配置。
【使用指导】
destination-ip-subnet命令用来配置指定子网的目的IPv6地址过滤条件。
多次执行本命令,可配置多个目的IP地址作为安全策略规则的过滤条件。
新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。
一条规则下配置的目的主机地址、目的子网地址和目的范围地址数量之和最多为1024个,超出时命令会执行失败并提示出错。
【举例】
# 配置作为安全策略规则rule1过滤条件的目的地址为192::167:0,地址前缀长度为64的IPv6子网地址。
<Sysname> system-view
[Sysname] security-policy ipv6
[Sysname-security-policy-ipv6] rule 0 name rule1
[Sysname-security-policy-ipv6-0-rule1] destination-ip-subnet 192::167:0 64
【相关命令】
· display security-policy
destination-zone命令用来配置作为安全策略规则过滤条件的目的安全域。
undo destination-zone命令用来删除作为安全策略规则过滤条件的目的安全域。
【命令】
destination-zone destination-zone-name
undo destination-zone [ destination-zone-name ]
【缺省情况】
不存在目的安全域过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
destination-zone-name:表示目的安全域的名称,为1~31个字符的字符串,不区分大小写。使用undo命令时若不指定此参数,则表示删除此规则中所有目的安全域类型的过滤条件。有关安全域的详细介绍,请参见“安全配置指导”中的“安全域”。
【使用指导】
多次执行本命令,可配置多个目的安全域作为安全策略规则的过滤条件。
【举例】
# 配置作为安全策略规则rule1过滤条件的目的安全域为Trust和server。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] destination-zone trust
[Sysname-security-policy-ip-0-rule1] destination-zone server
【相关命令】
· display security-policy
· security-zone(安全命令参考/安全域)
disable命令用来禁用安全策略规则。
undo disable命令用来启用安全策略规则。
【命令】
disable
undo disable
【缺省情况】
安全策略规则处于启用状态。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【举例】
# 禁用安全策略规则rule1。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] disable
【相关命令】
· display security-policy
display security-policy命令用来显示安全策略的配置信息。
【命令】
display security-policy { ip | ipv6 }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
ip:表示显示IPv4安全策略的配置信息。
ipv6:表示显示IPv6安全策略的配置信息。
【举例】
# 显示IPv4安全策略的配置信息。
<Sysname> display security-policy ip
Security-policy ip
rule 0 name der (Inactive)
action pass
profile er
vrf re
logging enable
counting enable period 20
counting enable TTL 1200
time-range dere
track positive 23
session aging-time 5000
session persistent aging-time 2400
source-zone trust
destination-zone trust
source-ip erer
source-ip-host 1.1.1.4
source-ip-subnet 1.1.1.0 255.255.255.0
source-ip-range 2.2.1.1 3.3.3.3
destination-ip client1
destination-ip-host 5.5.1.2
destination-ip-subnet 5.5.1.0 255.255.255.0
destination-ip-range 2.2.1.1 3.3.3.3
service ftp
service-port tcp
service-port tcp source lt 100 destination eq 104
service-port tcp source eq 100 destination range 104 2000
service-port udp
service-port udp source gt 100 destination eq 104
service-port udp destination eq 100
service-port icmp 100 122
service-port icmp
app-group ere
application 110Wang
user der
user-group ere
表1-1 display security-policy命令显示信息描述表
|
rule id name rule-name |
表示规则的ID和名称 |
|
action pass |
表示规则动作,其取值如下: · pass:表示允许报文通过 · drop:表示丢弃报文 |
|
profile app-profile-name |
表示引用的DPI应用profile |
|
vrf vrf-name |
表示MPLS L3VPN的VPN实例名称 |
|
logging enable |
表示开启了对符合规则过滤条件的报文记录日志信息的功能 |
|
counting enable period value |
表示开启了安全策略规则匹配统计功能并设置了开启时长,单位为分钟 |
|
counting enable TTL time-value |
表示开启了安全策略规则匹配统计功能后的剩余生效时间,单位为秒 |
|
time-range time-range-name |
表示此规则生效的时间段 |
|
track negative 1 (Active) |
表示安全策略规则生效状态与Track项的Negative状态关联,且此规则的状态为Active,规则的生效状态取值包括: · Active:表示生效状态 · Inative:表示禁用状态 |
|
track positive 1 (Inactive) |
表示安全策略规则生效状态与Track项的Positive或NotReady状态关联,且此规则的状态为Active,规则的生效状态取值包括: · Active:表示生效状态 · Inative:表示禁用状态 |
|
session aging-time time-value |
表示此规则中设置的会话老化时间,单位为秒 |
|
session persistent aging-time time-value |
表示此规则中设置的长连接会话的老化时间,单位为小时 |
|
source-zone zone-name |
表示规则配置了源安全域作为过滤条件 |
|
destination-zone zone-name |
表示规则配置了目的安全域作为过滤条件 |
|
source-ip object-group-name |
表示规则配置了源IP地址作为过滤条件 |
|
source-ip-host ip-address |
表示规则配置了源IP主机地址作为过滤条件 |
|
source-ip-subnet ip-address |
表示规则配置了源IP子网地址作为过滤条件 |
|
source-ip-range ip-address1 ip-address2 |
表示规则配置了源IP范围地址作为过滤条件 |
|
destination-ip object-group-name |
表示规则配置了目的IP地址作为过滤条件 |
|
destination-ip-host ip-address |
表示规则配置了目的IP主机地址作为过滤条件 |
|
destination-ip-subnet ip-address |
表示规则配置了目的IP子网地址作为过滤条件 |
|
destination-ip-range ip-address1 ip-address2 |
表示规则配置了目的IP范围地址作为过滤条件 |
|
service object-group-name |
表示规则配置了服务作为过滤条件 |
|
service-port protocol |
表示规则配置了协议的端口号作为过滤条件 |
|
app-group app-group-name |
表示规则配置了应用组作为过滤条件 |
|
application application-name |
表示规则配置了应用作为过滤条件 |
|
user user-name |
表示规则配置了用户作为过滤条件 |
|
user-group user-group-name |
表示规则配置了用户组作为过滤条件 |
【相关命令】
· security-policy ip
· security-policy ipv6
display security-policy statistics命令用来显示安全策略的统计信息。
【命令】
display security-policy statistics { ip | ipv6 } [ rule rule-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
ip:表示显示IPv4安全策略的统计信息。
ipv6:表示显示IPv6安全策略的统计信息。
rule rule-name:表示显示指定安全策略规则的统计信息。rule-name是安全策略规则的名称,为1~127个字符的字符串,不区分大小写。若不指定此参数,则显示指定IP类型的所有安全策略统计信息。
【举例】
# 显示IPv4安全策略下名称为abc的规则的统计信息。
<Sysname> display security-policy statistics ip rule abc
rule 0 name abc
action: pass (5 packets, 1000 bytes)
表1-2 display security-policy statistics命令显示信息描述表
|
字段 |
描述 |
|
rule id name rule-name |
表示规则的ID和名称 |
|
action |
表示安全策略规则动作,其取值包括如下: · pass:表示允许报文通过 · drop:表示丢弃报文 |
|
x packets, y bytes |
该安全策略规则匹配x个报文,共y字节(本字段仅在配置安全策略规则配置了counting enable或logging enable命令时显示,当未匹配任何报文时不显示本字段) |
【相关命令】
· reset security-policy statistics
group move group-name1 { after | before } { group group-name2 | rule rule-name }命令用来移动安全策略组。
【命令】
group move group-name1 { after | before } { group group-name2 | rule rule-name }
【视图】
安全策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
group-name1:表示需要被移动的安全策略组的名称,为1~63个字符的字符串,不区分大小写。
after:表示将安全策略组group-name1移动到安全策略组group-name2或安全策略规则rule-name之后。
before:表示将安全策略组group-name1移动到安全策略组group-name2或安全策略规则rule-name之前。
group group-name2:表示目标安全策略组的名称,为1~63个字符的字符串,不区分大小写。
rule rule-name:表示目标安全策略规则的名称,为1~127个字符的字符串,不区分大小写。
【使用指导】
通过移动安全策略组可以批量改变安全策略规则的优先级。
如果目标安全策略规则已经属于其他安全策略组,按照其在安全策略组中的位置,受如下原则的约束。
· 如果规则位于策略组中间位置,则不能移动。
· 如果规则位于策略组开始位置,只可以移动到目标规则之前。
· 如果规则位于策略组结束位置,只可以移动到目标规则之后。
【举例】
# 将安全策略组group1移动到安全策略组group2之前。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] group move group1 before group group2
group name命令用来创建安全策略组,并将指定的安全策略规则加入此安全策略组。如果指定的安全策略组已经存在,则将指定的安全策略规则加入此安全策略组。
undo group name命令用来删除安全策略组。
【命令】
group name group-name [ from rule-name1 to rule-name2 ] [ description description-text ] [ disable | enable ]
undo group name group-name [ description | include-member ]
【缺省情况】
不存在安全策略组。
【视图】
安全策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
group-name:表示安全策略组的名称,为1~63个字符的字符串,不区分大小写。
from rule-name1:表示加入安全策略组规则的起始规则,rule-name1是安全策略规则的名称,为1~127个字符的字符串,不区分大小写。若不指定本参数,则表示创建空的安全策略组。
to rule-name2:表示加入安全策略组规则的结束规则,rule-name2是安全策略规则的名称,为1~127个字符的字符串,不区分大小写。
description description-text:表示安全策略组的描述信息,为1~127个字符的字符串,区分大小写。缺省情况下,安全策略组不存在描述信息。
disable:表示禁用安全策略组。
enable:表示启用安全策略组,安全策略组缺省处于启用状态。
include-member:执行undo命令行时,若指定本参数,则表示删除安全策略组及其策略组中的所有安全策略规则。
【使用指导】
安全策略组可以实现对安全策略规则的批量操作,例如批量启用、禁用、删除和移动安全策略规则。
将安全策略规则加入安全策略组时,会将指定范围内若干连续的安全策略规则加入同一个安全策略组。
只有当安全策略规则及其所属的安全策略组均处于启用状态时,安全策略规则才能生效。
将安全策略规则加入安全策略组时,起始规则要在结束规则前面,并且起始规则和结束规则之间的规则不能属于其他安全策略组。
执行undo命令行时的具体功能如下:
· undo group name group-name命令用来仅删除安全策略组,但不删除策略组中的规则。
· undo group name group-name description命令用来仅删除安全策略组的描述信息。
· undo group name group-name include-member命令用来删除安全策略组及其策略组中的所有规则。
【举例】
# 创建一个名称为group1的安全策略组,并将安全策略规则rule-name1到rule-name10之间的所有安全策略规则加入此安全策略组,其描述信息为marketing。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] group name group1 from rule-name1 to rule-name10 enable description marketing
group rename命令用来重命名安全策略组。
【命令】
group rename old-name new-name
【视图】
安全策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
old-name:表示安全策略组的原有名称,为1~63个字符的字符串,不区分大小写。
new-name:表示安全策略组的新名称,为1~63个字符的字符串,不区分大小写。
【举例】
# 把安全策略组group1重命名为group2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] group rename group1 group2
logging enable命令用来开启安全策略规则记录日志的功能。
undo logging enable命令用来关闭安全策略规则记录日志的功能。
【命令】
logging enable
undo logging enable
【缺省情况】
安全策略规则记录日志的功能处于关闭状态。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
开启此功能后,设备对匹配规则的报文生成安全策略日志信息,此日志信息将会被交给信息中心模块处理或快速日志输出模块,信息中心模块或快速日志输出模块的配置将决定日志信息的发送规则和发送方向。
安全策略日志不会输出到控制台和监视终端。当信息中心配置的规则将安全策略日志输出到控制台和监视终端时,若仍需要查看安全策略日志,可通过执行display logbuffer命令或在Web页面中查看。有关信息中心和display logbuffer命令的详细描述,请参见“网络管理和监控配置指导”中的“信息中心”。
【举例】
# 在安全策略规则rule1中开启安全策略规则记录日志的功能。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] logging enable
【相关命令】
· display security-policy
move rule命令用来通过安全策略规则编号移动规则。
【命令】
move rule rule-id1 { { after | before } rule-id2 | bottom | down | top | up }
【视图】
IPv4安全策略视图
IPv6安全策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
rule-id1:指定待移动安全策略规则的编号,取值范围为0~4294967290。
after:表示移动到指定编号的目标安全策略规则之后。
before:表示移动到指定编号的目标安全策略规则之前。
rule-id2:指定目标安全策略规则的编号,取值范围为0~4294967295,其中指定编号为4294967295时表示移动到所有规则之后。
bottom:表示移动到所有安全策略规则之后。
down:表示移动到下一条安全策略规则之后。
top:表示移动到所有安全策略规则之前。
up:表示移动到上一条安全策略规则之前。
【使用指导】
如果rule-id2与rule-id1相同或其指定的规则不存在,则不执行任何移动操作。
【举例】
# 在IPv4安全策略上,将安全策略规则5移动到规则2之前。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] move rule 5 before 2
【相关命令】
· rule
· security-policy ip
· security-policy ipv6
move rule name命令用来通过安全策略规则名称移动规则。
【命令】
move rule name rule-name1 { { after | before } name rule-name2 | bottom | down | top | up }
【视图】
安全策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
rule-name1:待移动的安全策略规则的名称,为1~127个字符的字符串,不区分大小写。
after:表示移动到指定名称的目标安全策略规则之后。
before:表示移动到指定名称的目标安全策略规则之前。
name rule-name2:指定目标安全策略规则的名称,为1~127个字符的字符串,不区分大小写。
bottom:表示移动到所有安全策略规则之后。
down:表示移动到下一条安全策略规则之后。
top:表示移动到所有安全策略规则之前。
up:表示移动到上一条安全策略规则之前。
【使用指导】
通过移动安全策略规则可以改变报文匹配安全策略规则的优先级。
【举例】
# 在IPv4安全策略上,将安全策略规则rule1移动到安全策略规则rule2之前。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] move rule name rule1 before name rule2
【相关命令】
· rule
· security-policy ip
· security-policy ipv6
parent-group group-name命令用来配置安全策略规则所属的安全策略组。
undo parent-group命令用来恢复缺省情况。
【命令】
parent-group group-name
undo parent-group
【缺省情况】
安全策略规则不属于安全策略组。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
group-name:表示安全策略规则需要加入的安全策略组的名称,为1~63个字符的字符串,不区分大小写。
【举例】
# 配置安全策略规则rule1属于安全策略组group1。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 1 name rule1
[Sysname-security-policy-ip-1-rule1] parent-group group1
profile命令用来在安全策略规则中引用DPI应用profile。
undo profile命令用来删除在安全策略规则中引用的DPI应用profile。
【命令】
profile app-profile-name
undo profile
【缺省情况】
安全策略规则中未引用DPI应用profile。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
app-profile-name:表示DPI应用profile的名称,为1~63个字符的字符串,不区分大小写。有关DPI应用profile的详细介绍,请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
【使用指导】
通过在安全策略规则中引用DPI应用profile可实现对符合安全策略过滤条件的报文进行相关DPI业务的处理。有关DPI各业务的详细介绍,请参见“DPI深度安全配置指导”中的相关模块。
此命令仅在安全策略规则动作为允许的情况下才生效。
【举例】
# 在IPv4安全策略规则rule1中引用名称为p1的DPI应用profile。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] action pass
[Sysname-security-policy-ip-0-rule1] profile p1
【相关命令】
· action pass
· app-profile(DPI深度安全命令参考/应用层检测引擎)
· display security-policy ip
reset security-policy statistics命令用来清除安全策略的统计信息。
【命令】
reset security-policy statistics [ ip | ipv6 ] [ rule rule-name ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip:表示清除IPv4安全策略的统计信息。
ipv6:表示清除IPv6安全策略的统计信息。
rule rule-name:表示清除安全策略规则的统计信息。rule-name是安全策略规则的名称,为1~127个字符的字符串,不区分大小写。
【使用指导】
若未指定任何参数,则清除所有安全策略的统计信息。
【举例】
# 清除IPv4安全策略下名称为abc的规则的统计信息。
<Sysname> reset security-policy statistics ip rule abc
【相关命令】
· display security-policy statistics
rule命令用来创建安全策略规则,并进入安全策略规则视图。如果指定的安全策略规则已经存在,则直接进入安全策略规则视图。
undo rule命令用来删除指定的安全策略规则。
【命令】
rule { rule-id | [ rule-id ] name rule-name }
undo rule { rule-id | name rule-name } *
【缺省情况】
不存在安全策略规则。
【视图】
IPv4安全策略视图
IPv6安全策略视图
【缺省用户角色】
context-admin
【参数】
rule-id:指定安全策略规则的编号,取值范围为0~4294967290。若未指定本参数,系统将从0开始,自动分配一个大于现有最大编号的最小编号,步长为1。若新编号超出了编号上限(4294967290),则选择当前未使用的最小编号作为新的编号。
rule-name:表示安全策略规则的名称,为1~127个字符的字符串,不区分大小写,且全局唯一,不能为default,创建规则时必须配置名称。
【举例】
# 为IPv4安全策略创建规则0,并为该规则配置规则名称为rule1。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1]
【相关命令】
· display security-policy ipv6
rule rename命令用来重命名安全策略规则。
【命令】
rule rename old-name new-name
【视图】
安全策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
old-name:被重命名安全策略规则的名称,为1~127个字符的字符串,不区分大小写。
new-name:重命名后的安全策略规则名称,为1~127个字符的字符串,不区分大小写,且全局唯一,不能为default。
【举例】
# 重命名安全策略规则rule1的名称为rule2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule rename rule1 rule2
【相关命令】
· rule
· security-policy ip
· security-policy ipv6
security-policy命令用来进入安全策略视图。
undo security-policy命令用来删除安全策略视图下面的所有配置。
【命令】
security-policy { ip | ipv6 }
undo security-policy { ip | ipv6 }
【缺省情况】
安全策略视图下不存在配置。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip:表示IPv4安全策略视图。
ipv6:表示IPv6安全策略视图。
【使用指导】
· undo security-policy { ip | ipv6 }命令会直接删除所有安全策略配置,可能导致网络中断。
· 安全策略功能与对象策略功能在设备上不能同时使用,当对象策略处于生效状态时,进入安全策略视图,对象策略功能会立即失效,可能导致网络中断。
【举例】
# 进入IPv4安全策略视图。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip]
# 删除IPv4安全策略视图下面的所有配置。
<Sysname> system-view
[Sysname] undo security-policy ip
This command willdelete all rules from the current policy. Continue anyway? [Y/N]:
【相关命令】
· display security-policy
security-policy config-logging send-time命令用来配置每天发送安全策略内容日志的时间。
undo security-policy config-logging send-time命令用来恢复缺省情况。
【命令】
security-policy config-logging send-time time
undo security-policy config-logging send-time
【缺省情况】
发送安全策略内容日志的时间为每天的零点。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
time:配置每天发送安全策略内容日志的时间,time的格式为hh:mm,取值范围为00:00~23:59。
【使用指导】
在快速日志输出模块中开启生成安全策略国家电网日志功能后(即执行customlog format security-policy sgcc命令),设备会在每天指定的时间以国家电网日志的格式发送此时所有处于生效状态安全策略规则的配置信息。有关快速日志输出的详细介绍,请参见“网络管理和监控配置指导”中的“快速日志输出”。
【举例】
# 配置每天发送安全策略内容日志的时间为13点15分。
<Sysname>system-view
[Sysname] security-policy config-loggging send-time 13:15
【相关命令】
· customlog format security-policy sgcc(网络管理和监控命令参考/快速日志输出)
· customlog host export security-policy(网络管理和监控命令参考/快速日志输出)
security-policy disable命令用来关闭安全策略功能。
undo security-policy disable命令用来开启安全策略功能。
【命令】
security-policy disable
undo security-policy disable
【缺省情况】
安全策略功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
security-policy disable命令会直接关闭所有安全策略,可能导致网络中断。
只有开启安全策略功能后,配置的安全策略才能生效。
【举例】
# 关闭安全策略功能
<Sysname> system-view
[Sysname] security-policy disable
service命令用来配置作为安全策略规则过滤条件的服务。
undo service命令用来删除作为安全策略规则过滤条件的服务。
【命令】
service { object-group-name | any }
undo service [ object-group-name | any ]
【缺省情况】
不存在服务过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
object-group-name:表示服务对象组的名称,为1~63个字符的字符串,不区分大小写。
any:表示将设备中的所有服务作为安全策略规则的过滤条件。
【使用指导】
多次执行本命令,可配置多个服务对象组作为安全策略规则的过滤条件。
配置服务作为安全策略规则的过滤条件时,若指定的服务对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置服务对象组,但此条过滤条件不会匹配任何报文。
使用undo命令时若不指定任何参数,则表示删除此规则中所有服务类型的过滤条件。
一条规则下配置的服务对象组最多为1024个,超出时命令会执行失败并提示出错。
【举例】
# 配置作为安全策略规则rule1过滤条件的服务对象组为http和ftp。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] service http
[Sysname-security-policy-ip-0-rule1] service ftp
【相关命令】
· display security-policy
· object-group(安全命令参考/对象组)
service-port命令用来配置作为安全策略规则过滤条件的服务端口。
undo service-port命令用来删除作为安全策略规则过滤条件的服务端口。
【命令】
service-port protocol [ { destination { { eq | lt | gt } port | range port1 port2 } | source { { eq | lt | gt } port | range port1 port2 } } * | icmp-type icmp-code | icmpv6-type icmpv6-code ]
undo service-port [ protocol [ { destination { { eq | lt | gt } port | range port1 port2 } | source { { eq | lt | gt } port | range port1 port2 } } * | icmp-type icmp-code | icmpv6-type icmpv6-code ] ]
【缺省情况】
不存在服务端口过滤条件。
【视图】
IPv4安全策略规则视图
IPv6安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
protocol:协议类型,可选取tcp(6)、udp(17)或icmp(1)。
可输入的形式如下:
· 数字:在IPv4安全策略规则视图下,取值范围为0~57、59~255;在IPv6安全策略规则视图下,取值范围为0、2~255;
· 名称:在IPv4安全策略规则视图下,可选取tcp(6)、udp(17)、icmp(1);在IPv6安全策略规则视图下,可选取tcp(6)、udp(17)、icmpv6(58)。
source:指定源端口。只在protocol为tcp或udp时有效。
destination:指定目的端口。只在protocol为tcp或udp时有效。
eq:表示等于。
lt:表示小于。
gt:表示大于。
port:指定端口号,取值范围为0~65535。
range port1 port2:指定端口号范围。port1表示端口号1,取值范围为0~65535。port2表示端口号2,取值范围为0~65535。
icmp-type:ICMP消息类型,取值范围为0~255,只在protocol为icmp时有效。
icmp-code:ICMP消息码,取值范围为0~255。
icmpv6-type:ICMPv6消息类型,取值范围为0~255,只在protocol为icmpv6时有效。
icmpv6-code:ICMPv6消息码,取值范围为0~255。
【使用指导】
本命令与service命令的区别在于本命令仅可匹配服务端口号,而service命令仅可匹配服务对象组。
新创建的服务端口号不能与已有的服务端口号完全相同,否则该命令执行失败。
一条规则下匹配的服务数量最多为1024个,超出时命令会执行失败并提示出错。
在配置lt参数时,需要注意的是:
· 不能指定port为0。
· 如果指定port为1,则该配置被视为eq 0。
· 如果指定port为2~65535,则实际生效的端口号为[0,port-1]。
在配置gt参数时,需要注意的是:
· 不能指定port为65535。
· 如果指定port为65534,该配置被视为eq 65535。
· 如果指定port为0~65533,则实际生效的端口号为[port+1,65535]。
在配置range参数时,需要注意的是:
· 如果指定的port1和port2相同,则该配置被视为等于指定的端口号。
· 如果指定port1为0,则该配置被视为lt配置,譬如配置range 0 999,被视为lt 1000。
· 如果指定port2为65535,则该配置被视为gt配置,譬如配置range 50001 65535,被视为gt 50000。
· 如果指定的port1比port2大,会自动调整范围为[port2,port1]。
【举例】
# 配置作为安全策略规则rule1过滤条件的服务为tcp协议的源端口和目的端口的报文。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] service-port tcp destination range 100 200 source eq 100
# 配置作为安全策略规则rule1过滤条件的服务为icmp协议的源端口和目的端口的报文。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] service-port icmp 100 150
【相关命令】
· display security-policy
session aging-time命令用来为安全策略规则配置会话的老化时间。
undo session aging-time命令用来恢复缺省情况。
【命令】
session aging-time time-value
undo session aging-time
【缺省情况】
未配置安全策略规则的会话老化时间。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
time-value:指定会话的老化时间,取值范围为1~2000000,单位为秒。
【使用指导】
此命令用来为匹配某条安全策略规则而生成的稳态会话设置老化时间。此命令的配置不仅影响后续生成的会话,对已经生成的会话同样生效。
若某安全策略规则中配置了会话的老化时间,则匹配上该规则且进入稳定状态的会话需要遵循规则中配置的老化时间进行老化;非稳态会话按照缺省的会话老化时间进行老化。
若进入稳态的会话报文匹配上的安全策略规则中未配置会话老化时间,则该会话基于会话管理模块配置的老化时间(session aging-time application和session aging-time state命令的配置)进行老化。有关会话管理相关配置的详细介绍,请参见“安全配置指导”中的“会话管理”。
【举例】
# 为IPv4安全策略的规则rule1配置会话老化时间为5000秒。
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] action pass
[Sysname-security-policy-ip-0-rule1] session aging-time 5000
【相关命令】
· session aging-time application(安全命令参考/会话管理)
· session aging-time state(安全命令参考/会话管理)
· session persistent acl(安全命令参考/会话管理)
session persistent aging-time命令用来为安全策略规则配置长连接会话的老化时间。
undo session persistent aging-time命令用来恢复缺省情况。
【命令】
session persistent aging-time time-value
undo session persistent aging-time
【缺省情况】
未配置安全策略规则的长连接会话老化时间。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
time-value:指定长连接会话的老化时间,取值范围为0~24000,单位为小时,0表示永不老化。
【使用指导】
若长连接会话老化时间配置过长,设备会话数量可能会激增,从而导致设备内存使用率过高。
此命令用来为匹配某条安全策略规则而生成的长连接会话设置老化时间。此命令的配置不仅影响后续生成的会话,对已经生成的会话同样生效。
此命令配置的长连接会话老化时间优先级高于session aging-time命令配置的会话老化时间和会话管理模块session persistent acl命令配置的长连接老化时间。有关session persistent acl命令的详细介绍,请参见“安全命令参考”中的“会话管理”。
长连接老化时间仅在TCP会话进入稳态(TCP-EST状态)时生效。
【举例】
# 为IPv4安全策略中规则rule1配置长连接会话老化时间为1小时。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] action pass
[Sysname-security-policy-ip-0-rule1] session persistent aging-time 1
【相关命令】
· display security-policy ip
· session persistent acl(安全命令参考/会话管理)
source-ip命令用来配置作为安全策略规则过滤条件的源IP地址。
undo source-ip命令用来删除作为安全策略规则过滤条件的源IP地址。
【命令】
source-ip object-group-name
undo source-ip [ object-group-name ]
【缺省情况】
不存在源IP地址过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
object-group-name:表示源地址对象组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串any。使用undo命令时若不指定此参数,则表示删除此规则中所有源IP地址类型的过滤条件。有关地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。
【使用指导】
多次执行本命令,可配置多个源IP地址作为安全策略规则的过滤条件。
配置源IP地址作为安全策略规则的过滤条件时,若指定的地址对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置地址对象组,但此条过滤条件不会匹配任何报文。
一条规则下配置的源IP地址对象组最多为1024个,超出时命令会执行失败并提示出错。
【举例】
# 配置作为安全策略规则rule1过滤条件的源地址对象组为server1和server2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-ip server1
[Sysname-security-policy-ip-0-rule1] source-ip server2
【相关命令】
· display security-policy
· object-group(安全命令参考/对象组)
source-ip-host命令用来配置作为安全策略规则过滤条件的源IPv4主机地址。
undo source-ip-host命令用来删除作为安全策略规则过滤条件的源IPv4主机地址。
【命令】
source-ip-host ip-address
undo source-ip-host [ ip-address ]
【缺省情况】
不存在源IPv4主机地址过滤条件。
【视图】
IPv4安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip-address:指定主机IPv4地址。
【使用指导】
source-ip-host命令用来配置单个源IPv4主机地址过滤条件。
多次执行本命令,可配置多个源IPv4主机地址作为安全策略规则的过滤条件。
新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。
一条规则下配置的源主机地址、源子网地址和源范围地址数量之和最多为1024个,超出时命令会执行失败并提示出错。
【举例】
# 配置作为安全策略规则rule1过滤条件的源地址为192.167.0.1的IPv4主机地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-ip-host 192.167.0.1
【相关命令】
· display security-policy
source-ip-host命令用来配置作为安全策略规则过滤条件的源IPv6主机地址。
undo source-ip-host命令用来删除作为安全策略规则过滤条件的源IPv6主机地址。
【命令】
source-ip-host ipv6-address
undo source-ip-host [ ipv6-address ]
【缺省情况】
不存在源IPv6主机地址过滤条件。
【视图】
IPv6安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv6-address:指定主机IPv6地址。
【使用指导】
source-ip-host命令用来配置单个源IPv6主机地址过滤条件。
多次执行本命令,可配置多个源IPv6主机地址作为安全策略规则的过滤条件。
新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。
一条规则下配置的源主机地址、源子网地址和源范围地址数量之和最多为1024个,超出时命令会执行失败并提示出错。
【举例】
# 配置作为安全策略规则rule1过滤条件的源地址为192::167:1的IPv6主机地址。
<Sysname> system-view
[Sysname] security-policy ipv6
[Sysname-security-policy-ipv6] rule 0 name rule1
[Sysname-security-policy-ipv6-0-rule1] source-ip-host 192::167:1
【相关命令】
· display security-policy
source-ip-range命令用来配置作为安全策略规则过滤条件的源IPv4范围地址。
undo source-ip-range命令用来删除作为安全策略规则过滤条件的源IPv4范围地址。
【命令】
source-ip-range ip-address1 ip-address2
undo source-ip-range [ ip-address1 ip-address2 ]
【缺省情况】
不存在源IPv4范围地址过滤条件。
【视图】
IPv4安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip-address1 ip-address2:指定范围IPv4地址。ip-address1表示范围起始IPv4地址,ip-address2表示范围结束IPv4地址。
【使用指导】
source-ip-range命令用来配置指定范围的源IPv4地址过滤条件。
多次执行本命令,可配置多个源IP范围地址作为安全策略规则的过滤条件。
新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。
一条规则下配置的源主机地址、源子网地址和源范围地址数量之和最多为1024个,超出时命令会执行失败并提示出错。
配置需要注意的是:
· 如果指定的ip-address1和ip-address2相同,则该配置被视为主机地址配置。
· 如果指定的ip-address1和ip-address2是一个子网的起始地址和结束地址,则该配置被视为子网地址对象配置。
· 如果指定的ip-address1比ip-address2大,会自动调整范围为[ ip-address2, ip-address1 ]。
【举例】
# 配置作为安全策略规则rule1过滤条件的源地址为192.165.0.100到192.165.0.200的IPv4范围地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-ip-range 192.165.0.100 192.165.0.200
【相关命令】
· display security-policy
source-ip-range命令用来配置作为安全策略规则过滤条件的源IPv6范围地址。
undo source-ip-range命令用来删除作为安全策略规则过滤条件的源IPv6范围地址。
【命令】
source-ip-range ipv6-address1 ipv6-address2
undo source-ip-range [ ipv6-address1 ipv6-address2 ]
【缺省情况】
不存在源IPv6范围地址过滤条件。
【视图】
IPv6安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv6-address1 ipv6-address2:指定范围IPv6地址。ipv6-address1表示范围起始IPv6地址,ipv6-address2表示范围结束IPv6地址。
【使用指导】
source-ip-range命令用来配置指定范围的源IPv6地址过滤条件。
多次执行本命令,可配置多个源IP范围地址作为安全策略规则的过滤条件。
新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。
一条规则下配置的源主机地址、源子网地址和源范围地址数量之和最多为1024个,超出时命令会执行失败并提示出错。
配置需要注意的是:
· 如果指定的ipv6-address1和ipv6-address2相同,则该配置被视为主机地址配置。
· 如果指定的ipv6-address1和ipv6-address2是一个子网的起始地址和结束地址,则该配置被视为子网地址对象配置。
· 如果指定的ipv6-address1比ipv6-address2大,会自动调整范围为[ ipv6-address2, ipv6-address1 ]。
【举例】
# 配置作为安全策略规则rule1过滤条件的源地址为192::165:100到192::165:200的IPv6范围地址。
<Sysname> system-view
[Sysname] security-policy ipv6
[Sysname-security-policy-ipv6] rule 0 name rule1
[Sysname-security-policy-ipv6-0-rule1] source-ip-range 192::165:100 192::165:200
【相关命令】
· display security-policy
source-ip-subnet命令用来配置作为安全策略规则过滤条件的源IPv4子网地址。
undo source-ip-subnet命令用来删除作为安全策略规则过滤条件的源IPv4子网地址。
【命令】
source-ip-subnet ip-address { mask-length | mask }
undo source-ip-subnet [ ip-address { mask-length | mask } ]
【缺省情况】
不存在源IPv4子网地址过滤条件。
【视图】
IPv4安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip-address { mask-length | mask }:指定子网IPv4地址。mask-length表示子网掩码长度,取值范围为0~32。mask表示接口IPv4地址相应的子网掩码,为点分十进制格式。如果指定mask-length为32或者mask为255.255.255.255,则该配置被视为主机地址配置。
【使用指导】
source-ip-subnet命令用来配置指定子网的源IPv4地址过滤条件。
多次执行本命令,可配置多个源IP子网地址作为安全策略规则的过滤条件。
新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。
一条规则下配置的源主机地址、源子网地址和源范围地址数量之和最多为1024个,超出时命令会执行失败并提示出错。
【举例】
# 配置作为安全策略规则rule1过滤条件的源地址为192.167.0.0,掩码长度为24的IPv4子网地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-ip-subnet 192.167.0.0 24
# 配置作为安全策略规则rule1过滤条件的源地址为192.166.0.0,掩码为255.255.0.0的IPv4子网地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-ip-subnet 192.166.0.0 255.255.0.0
【相关命令】
· display security-policy
source-ip-subnet命令用来配置作为安全策略规则过滤条件的源IPv6子网地址。
undo source-ip-subnet命令用来删除作为安全策略规则过滤条件的源IPv6子网地址。
【命令】
source-ip-subnet ipv6-address prefix-length
undo source-ip-subnet [ ipv6-address prefix-length ]
【缺省情况】
不存在源IPv6子网地址过滤条件。
【视图】
IPv6安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv6-address prefix-length:指定子网IPv6地址。prefix-length表示子网前缀长度,取值范围为1~128。如果指定prefix-length为128,则该配置被视为主机地址配置。
【使用指导】
source-ip-subnet命令用来配置指定子网的源IPv6地址过滤条件。
多次执行本命令,可配置多个源IPv6子网地址作为安全策略规则的过滤条件。
新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。
一条规则下配置的源主机地址、源子网地址和源范围地址数量之和最多为1024个,超出时命令会执行失败并提示出错。
【举例】
# 配置作为安全策略规则rule1过滤条件的源地址为192: 167::0,地址前缀长度为64的IPv6子网地址。
<Sysname> system-view
[Sysname] security-policy ipv6
[Sysname-security-policy-ipv6] rule 0 name rule1
[Sysname-security-policy-ipv6-0-rule1] source-ip-subnet 192:167::0 64
【相关命令】
· display security-policy
source-mac命令用来配置作为安全策略规则过滤条件的源MAC地址。
undo source-mac命令用来删除作为安全策略规则过滤条件的源MAC地址。
【命令】
source-mac object-group-name
undo source-mac [ object-group-name ]
【缺省情况】
安全策略规则中不存在过滤条件。
【视图】
IPv4安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
object-group-name:表示源MAC地址对象组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串any。使用undo命令时若不指定此参数,则表示删除此规则中所有源MAC地址类型的过滤条件。有关MAC地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。
【使用指导】
多次执行本命令,可配置多个源MAC地址作为安全策略规则的过滤条件。
配置源MAC地址作为安全策略规则的过滤条件时,若指定的地址对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置地址对象组,但此条过滤条件不会匹配任何报文。
【举例】
# 配置作为安全策略规则rule1过滤条件的源MAC地址对象组为mac1和mac2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-mac mac1
[Sysname-security-policy-ip-0-rule1] source-mac mac2
【相关命令】
· display security-policy
· object-group(安全命令参考/对象组)
source-zone命令用来配置作为安全策略规则过滤条件的源安全域。
undo source-zone命令用来删除作为安全策略规则过滤条件的源安全域。
【命令】
source-zone source-zone-name
undo source-zone [ source-zone-name ]
【缺省情况】
不存在源安全域过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
source-zone-name:表示源安全域的名称,为1~31个字符的字符串,不区分大小写。使用undo命令时若不指定此参数,则表示删除此规则中所有源安全域类型的过滤条件。有关安全域的详细介绍,请参见“安全配置指导”中的“安全域”。
【使用指导】
多次执行本命令,可配置多个源安全域作为安全策略规则的过滤条件。
【举例】
# 配置作为安全策略规则rule1过滤条件的源安全域为Trust和DMZ。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-zone trust
[Sysname-security-policy-ip-0-rule1] source-zone dmz
【相关命令】
· display security-policy
· security-zone(安全命令参考/安全域)
time-range命令用来配置安全策略规则生效的时间段。
undo time-range命令用来恢复缺省情况。
【命令】
time-range time-range-name
undo time-range [ time-range-name ]
【缺省情况】
不限制安全策略规则生效的时间。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
time-range-name:表示时间段的名称,为1~32个字符的字符串,不区分大小写。使用undo命令时若不指定此参数,表示删除此规则的生效时间段。有关时间段的详细介绍,请参见“ACL和QoS配置指导”中的“时间段”。
【配置指导】
多次执行本命令,最后一次执行的命令生效。
【举例】
# 为安全策略规则rule1配置生效时间段为work。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] time-range work
【相关命令】
· display security-policy
· time-range(ACL和QoS命令参考/时间段)
track命令用来配置安全策略规则与Track项联动。
undo track命令用来取消安全策略规则与Track项联动。
【命令】
track { negative | positive } track-entry-number
undo track
【缺省情况】
安全策略规则未与Track项联动。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
negative:指定安全策略规则与Track项的Negative状态联动。
positive:指定安全策略规则与Track项的Positive状态联动。
track-entry-number:表示关联的Track项序号,取值范围为1~1024。有关Track的详细配置请参见“网络管理和监控配置指导”中的“Track”。
【使用指导】
配置安全策略规则与Track项的Negative状态联动后,当安全策略规则收到Negative状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Positive状态的Track通知时,将此规则置为失效状态(Inactive)。
配置安全策略规则与Track项的Positive状态联动后,当安全策略规则收到Positive状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Negative状态的Track通知时,将此规则置为失效状态(Inactive)。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 为安全策略规则rule1配置规则与Track项的Positive状态联动。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] track positive 10
【相关命令】
· display security-policy
· track bfd(网络管理和监控命令参考/Track)
· track interface(网络管理和监控命令参考/Track)
· track ip route reachability(网络管理和监控命令参考/Track)
· track nqa(网络管理和监控命令参考/Track)
user命令用来配置作为安全策略规则过滤条件的用户。
undo user命令用来删除作为安全策略规则过滤条件的用户。
【命令】
user username [ domain domain-name ]
undo user [ username [ domain domain-name ] ]
【缺省情况】
不存在用户过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
username:表示用户的名称,为1~55个字符的字符串,区分大小写,不能是a、al和all,且不能包含“@”。使用undo命令时若不指定此参数,则表示删除此规则中所有用户类型的过滤条件。有关用户的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。
domain domain-name:表示在指定的身份识别域中匹配此用户。domain-name是身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“:”、“*”、“?”、“<”、“>”和“@”字符。若不指定此参数,则表示在不属于任何身份识别域的用户中匹配此用户。
【使用指导】
多次执行本命令,可配置多个用户作为安全策略规则的过滤条件。
使用undo命令时若不指定用户,则表示删除此规则中所有用户类型的过滤条件;若不指定身份识别域,则表示删除此规则中不属于任何身份识别域的用户。
有关身份识别用户和身份识别域的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。
【举例】
# 配置作为安全策略规则rule1过滤条件的用户为usera和userb,身份识别域均为test。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] user usera domain test
[Sysname-security-policy-ip-0-rule1] user userb domain test
【相关命令】
· display security-policy
· user-identity enable(安全命令参考/用户身份识别与管理)
· user-identity static-user(安全命令参考/用户身份识别与管理)
user-group命令用来配置作为安全策略规则过滤条件的用户组。
undo user-group命令用来删除作为安全策略规则过滤条件的用户组。
【命令】
user-group user-group-name [ domain domain-name ]
undo user-group [ user-group-name [ domain domain-name ] ]
【缺省情况】
不存在用户组过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
user-group-name:表示用户组的名称,为1~200个字符的字符串,不区分大小写。使用undo命令时若不指定此参数,则表示删除此规则中所有用户组类型的过滤条件。有关用户组的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。
domain domain-name:表示在指定的身份识别域中匹配此用户组,domain-name是身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“:”、“*”、“?”、“<”、“>”以及“@”字符。若不指定此参数,则表示在不属于任何身份识别域的用户组中匹配此用户组。
【使用指导】
多次执行本命令,可配置多个用户组作为安全策略规则的过滤条件。
使用undo命令时若不指定用户组,则表示删除此规则中所有用户组类型的过滤条件;若不指定身份识别域,则表示删除此规则中不属于任何身份识别域的用户组。
有关身份识别用户组和身份识别域的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。
【举例】
# 配置作为安全策略规则rule1过滤条件的用户组为groupa和groupb,身份识别域均为test。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] user-group groupa domain test
[Sysname-security-policy-ip-0-rule1] user-group groupb domain test
【相关命令】
· display security-policy
· user-group(安全命令参考/AAA)
vrf命令用来配置安全策略规则对入接口指定VPN多实例中的报文有效。
undo vrf命令用来恢复缺省情况。
【命令】
vrf vrf-name
undo vrf
【缺省情况】
安全策略规则对公网的报文有效。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
vrf-name:表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
【配置指导】
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置安全策略规则rule1对入接口的VPN多实例vpn1中的报文生效。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] vrf vpn1
【相关命令】
· display security-policy
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
