- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
20-服务器外联防护命令
本章节下载: 20-服务器外联防护命令 (236.09 KB)
目 录
1.1.2 display scd auto-learn config
1.1.3 display scd learning record
auto-learn enable命令用来开启服务器外联自动学习功能。
undo auto-learn enable命令用来关闭服务器外联自动学习功能。
【命令】
auto-learn enable period { one-day | one-hour | seven-day | twelve-hour }
undo auto-learn enable
【缺省情况】
服务器外联自动学习功能处于关闭状态。
【视图】
服务器外联学习视图
【缺省用户角色】
network-admin
context-admin
【参数】
period:配置服务器外联自动学习的时长,达到设置的学习时长后系统自动关闭服务器外联学习功能。
one-day:表示连续学习一天。
one-hour:表示连续学习一小时。
seven-day:表示连续学习七天。
twelve-hour:表示连续学习12小时。
【使用指导】
当服务器外联学习视图下不存在待防护的服务器或系统正在对服务器外联行为进行学习时,无法开启自动学习功能。
不能通过重复执行本命令来修改学习时长。如需修改学习时长,请先通过undo auto-learn enable命令关闭服务器外联自动学习功能,再执行auto-learn enable命令。
【举例】
# 开启服务器外联自动学习功能,并配置连续学习时间为一天。
<Sysname> system-view
[Sysname] scd learning
[Sysname-scd-learning] auto-learn enable period one-day
【相关命令】
· source-ip
display scd auto-learn config命令用来显示服务器外联学习的相关配置信息。
【命令】
display scd auto-learn config
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示服务器外联学习的相关配置信息。
<Sysname> display scd auto-learn config
Learning status : Active
Learning time : One-hour
Server address object groups : 146
Progress : 6%
Start time : 2018/03/27 10:50
End time : 2018/03/27 11:50
表1-1 display scd auto-learn config命令显示信息描述表
|
字段 |
描述 |
|
Learning status |
表示服务器外联学习的状态,其取值包括如下: · Active:表示服务器外联学习处于开启状态 · 短横杠“-”:表示服务器外联学习处于关闭状态 |
|
Learning time |
表示服务器外联学习的时间,其取值包括如下: · One-day:表示持续学习一天 · One-hour:表示持续学习一小时 · Seven-day:表示持续学习7天 · Twelve-hour:表示持续学习12个小时 |
|
Server address object groups |
表示服务器外联学习中引用了几个地址对象组 |
|
Progress |
表示服务器外联学习完成的进度,以百分比形式表示 |
|
Start time |
表示服务器外联学习开始的时间 |
|
End time |
表示服务器外联学习结束的时间 |
display scd learning record命令用来显示服务器外联学习的结果。
【命令】
display scd learning record [ protected-server ip-address ] [ destination-ip ip-address ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
protected-server ip-address:表示显示有关指定待防护服务器的外联学习结果,ip-address是待防护服务器的IP地址。
destination-ip ip-address:表示显示有关指定外联IP地址的外联学习结果,ip-address是外联的IP地址。
【使用指导】
管理员可以通过学习结果来判断服务器的哪些外联是正常,哪些外联是异常,可为管理员配置服务器外联防护策略提供数据依据。
若不指定任何参数,则显示服务器外联学习的所有结果。
【举例】
# 显示服务器外联学习的所有结果。
<Sysname> display scd learning record
Id Protected server Destination IPv4 address Protocol Port
1 192.168.102.1 192.168.101.21 TCP 443
Total entries: 1
# 显示有关指定待防护服务器192.168.102.1的外联学习结果。
<Sysname> display scd learning record protected-server 192.168.102.1
Id Protected server Destination IPv4 address Protocol Port
1 192.168.102.1 192.168.101.21 TCP 443
Total entries: 1
# 显示有关指定外联IP地址为192.168.101.21的外联学习结果。
<Sysname> display scd learning record destination-ip 192.168.101.21
Id Protected server Destination IPv4 address Protocol Port
1 192.168.102.1 192.168.101.21 TCP 443
Total entries: 1
表1-2 display scd learning record命令显示信息描述表
|
字段 |
描述 |
|
ID |
表示显示信息的行号 |
|
Protected server |
表示被防护服务器的IP地址 |
|
Destination IPv4 address |
表示服务器外联的IPv4地址 |
|
Protocol |
表示服务器外联的协议 |
|
Port |
表示服务器外联的目的端口号 |
|
Total entries |
表示学习到表项的条数 |
【相关命令】
· reset scd learning record
display scd policy命令用来显示服务器外联防护策略的配置信息。
【命令】
display scd policy [ name policy-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
name policy-name:表示服务器外联防护策略的名称,为1~63个字符的字符串,不区分大小写。若不指定本参数,则显示所有服务器外联防护策略的摘要配置信息。
【举例】
# 显示所有服务器外联防护策略的摘要配置信息。
<Sysname> display scd policy
Id Name Protected server Rules Logging Policy status
1 policy1 1.1.1.1 0 Disabled Disabled
Total entries: 1
表1-3 display scd policy命令显示信息描述表
|
字段 |
描述 |
|
Id |
表示显示信息的行号 |
|
Name |
表示服务器外联防护策略的名称 |
|
Protected server |
表示被防护服务器的IP地址 |
|
Rules |
表示服务器外联防护策略中配置的规则数量 |
|
Logging |
表示服务器外联防护策略中日志功能的状态,其取值包括如下: · Enabled:表示处于开启状态 · Disabled:表示处于关闭状态 |
|
Policy status |
表示服务器外联防护策略的开启状态,其取值包括如下: · Enabled:表示处于开启状态 · Disabled:表示处于关闭状态 |
|
Total entries |
表示服务器外联防护策略的条数 |
# 显示名称为policy1服务器外联防护策略的详细配置信息。
<Sysname> display scd policy name policy1
SCD policy name: policy1
Protected server IPv4: 1.1.1.1
Logging: Enabled
Policy status: Enabled
Rule ID: 1
Permitted dest IPv4: 1.1.2.1
Protocol: TCP port 1-4
Protocol: UDP port 1,3,5,7,9,11,13,15,17,19,21,23
Protocol: ICMP
表1-4 display scd policy name命令显示信息描述表
|
字段 |
描述 |
|
SCD policy name |
表示服务器外联防护策略的名称 |
|
Protected server IPv4 |
表示被防护服务器的IP地址 |
|
Rule ID |
表示服务器外联防护规则的ID |
|
Permitted dest IPv4 |
表示允许服务器外联的IP地址 |
|
Protocol |
表示服务器外联的协议 |
|
Logging |
表示服务器外联防护策略中日志功能的状态,其取值包括如下: · Enabled:表示处于开启状态 · Disabled:表示处于关闭状态 |
|
Policy status |
表示服务器外联防护策略的开启状态,其取值包括如下: · Enabled:表示处于开启状态 · Disabled:表示处于关闭状态 |
logging enable命令用来开启服务器外联防护策略记录日志的功能。
undo logging enable命令用来关闭服务器外联防护策略记录日志的功能。
【命令】
logging enable
undo logging enable
【缺省情况】
服务器外联防护策略记录日志的功能处于关闭状态。
【视图】
服务器外联防护策略视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
开启此功能后,当服务器外联防护策略检测到服务器出现异常外联行为时会输出日志进行告警。此日志信息将会被交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。有关信息中心的详细描述,请参见“网络管理和监控配置指导”中的“信息中心”。
【举例】
# 开启服务器外联防护策略记录日志的功能。
<Sysname> system-view
[Sysname] scd policy name policy1
[Sysname-scd-policy-policy1] logging enable
【相关命令】
· display scd policy
permit-dest-ip命令用来配置服务器允许外联的IP地址。
undo permit-dest-ip命令用来删除服务器允许外联的IP地址。
【命令】
permit-dest-ip ip-address
undo permit-dest-ip [ ip-address ]
【缺省情况】
未配置服务器允许外联的IP地址。
【视图】
服务器外联防护规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip-address:指定服务器允许外联的IP地址,点分十进制格式。目前仅支持IPv4类型的IP地址。
【使用指导】
在服务器外联防护策略中,可以通过创建多条规则为服务器配置多个允许外联的IP地址。如果服务器外联的IP地址不在所允许的范围内,则防护策略认为服务器到此IP地址的连接为异常外联。
同一服务器外联防护策略下不同规则中的服务器允许外联IP地址不能相同。
多次执行本命令,最后一次执行的命令生效。
建议首先配置服务器外联学习功能,然后参考学习结果配置允许外联的IP地址。可通过display scd learning record命令用来查看服务器目前外联的IP地址等信息。
【举例】
# 在编号为1的服务器外联防护规则中配置服务器允许外联的IP地址为1.1.1.1。
<Sysname> system-view
[Sysname] scd policy name policy1
[Sysname-scd-policy-policy1] rule 1
[Sysname-scd-policy-policy1-1] permit-dest-ip 1.1.1.1
【相关命令】
· display scd policy
policy enable命令用来开启服务器外联防护功能。
undo policy enable命令用来关闭服务器外联防护功能。
【命令】
policy enable
undo policy enable
【缺省情况】
服务器外联防护功能处于关闭状态。
【视图】
服务器外联防护策略视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
只有开启服务器外联防护功能后,此服务器外联防护策略才能生效。
【举例】
# 开启服务器外联防护功能。
<Sysname> system-view
[Sysname] scd policy name policy1
[Sysname-scd-policy-policy1] policy enable
【相关命令】
· display scd policy
protected-server命令用来配置待防护服务器的IP地址。
undo protected-server命令用来删除待防护服务器的IP地址。
【命令】
protected-server ip-address
undo protected-server [ ip-address ]
【缺省情况】
不存在待防护服务器的IP地址。
【视图】
服务器外联防护策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip-address:指定服务器外联防护策略待防护服务器的IP地址,点分十进制格式。目前仅支持IPv4类型的IP地址。
【使用指导】
设备仅对指定的待防护服务器发起的外联行为进行检测。
不同服务器外联防护策略中配置的待防护服务器IP地址不能相同。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置待防护服务器的IP地址为192.168.1.10。
<Sysname> system-view
[Sysname] scd policy name policy1
[Sysname-scd-policy-policy1] protected-server 192.168.1.10
【相关命令】
· display scd policy
protocol命令用来配置服务器允许外联的协议。
undo protocol命令用来删除服务器允许外联的协议。
【命令】
protocol { icmp | tcp port port-list | udp port port-list }
undo protocol { icmp | tcp | udp }
【缺省情况】
未配置服务器允许外联的协议。
【视图】
服务器外联防护规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
icmp:表示允许外联的协议为ICMP协议。
tcp:表示允许外联的协议为TCP协议。
udp:表示允许外联的协议为UDP协议。
port port-list:指定TCP或UDP允许外联的目的端口号列表。表示方式为port-list = { port-number [ to port-number ] }其中port-number表示端口号,取值范围是1~65535。当使用to关键字指定端口号范围时,起始端口号必须小于或等于结束端口号。此参数一次可以配置多个,设备会对多个连续的端口和端口段进行合并,合并后的端口参数不能超过20个。
【使用指导】
如果服务器外联的协议和端口号不在所允许的范围内,则防护策略认为服务器到此协议和端口号的连接为异常外联。
多次执行本命令,可以指定多种允许外联的协议。
对于相同协议多次执行本命令,最后一次执行的命令生效。
【举例】
# 在编号为1的服务器外联防护规则中配置服务器允许外联的协议为TCP,端口号为80、1000-2000。
<Sysname> system-view
[Sysname] scd policy name policy1
[Sysname-scd-policy-policy1] rule 1
[Sysname-scd-policy-policy1-1] protocol tcp port 80 1000 to 2000
【相关命令】
· display scd policy
reset scd learning record命令用来清除服务器外联学习的结果。
【命令】
reset scd learning record
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【举例】
# 清除服务器外联学习的结果。
<Sysname> reset scd learning record
【相关命令】
· display scd learning record
rule命令用来创建服务器外联防护规则,并进入服务器外联防护规则视图。如果指定的服务器外联防护规则已经存在,则直接进入服务器外联防护规则视图。
undo rule命令用来删除指定的服务器外联防护规则。
【命令】
rule rule-id
undo rule [ rule-id ]
【缺省情况】
不存在服务器外联防护规则。
【视图】
服务器外联防护策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
rule-id:表示服务器外联防护规则的编号,取值范围为1~65535。
【使用指导】
服务器外联防护规则中可以配置服务器允许外联的IP地址、协议和端口号,在指定范围之外的连接都认为是非法外联行为。
执行undo命令时若不指定rule-id参数,则表示删除所有的服务器外联防护规则。
【举例】
# 创建编号为1的服务器外联防护规则,并进入此服务器外联防护规则视图。
<Sysname> system-view
[Sysname] scd policy name policy1
[Sysname-scd-policy-policy1] rule 1
[Sysname-scd-policy-policy1-1]
【相关命令】
· display scd policy
scd learning命令用来进入服务器外联学习视图。
undo scd learning命令用来删除服务器外联学习视图下的所有配置。
【命令】
scd learning
undo scd learning
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
服务器外联学习功能会对指定服务器主动外联的流量进行检测,识别出服务器的所有外联行为。管理员可以通过学习结果来判断服务器的哪些外联是正常,哪些外联是异常,可为管理员配置服务器外联防护策略提供数据依据。
服务器外联学习中,无法删除服务器外联学习视图下的任何配置。
【举例】
<Sysname> system-view
[Sysname] scd learning
[Sysname-scd-learning]
scd policy命令用来创建服务器外联防护策略,并进入服务器外联防护策略视图。如果指定的服务器外联防护策略已经存在,则直接进入服务器外联防护策略视图。
undo scd policy命令用来删除指定的服务器外联防护策略。
【命令】
scd policy name policy-name
undo scd policy [ name policy-name ]
【缺省情况】
不存在服务器外联防护策略。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
name policy-name:表示服务器外联防护策略的名称,为1~63个字符的字符串,不区分大小写,且全局唯一。
【使用指导】
服务器外联防护策略中可以配置监测对象、监测规则、防护开关和日志功能。当发现待保护服务器出现异常外联系行为时,设备可以对其进行告警。此功能可以满足管理员对僵尸网络或内网持续渗透等行为的检测。
执行undo命令时若不指定name参数,则表示删除所有的服务器外联防护策略。
【举例】
# 创建名称为policy1的服务器外联防护策略,并进入此服务器外联防护策略视图。
<Sysname> system-view
[Sysname] scd policy name policy1
[Sysname-scd-policy-policy1]
【相关命令】
· display scd policy
source-ip命令用来配置待防护的服务器。
undo source-ip命令用来删除指定的待防护服务器。
【命令】
source-ip object-group-name
undo source-ip [ object-group-name ]
【缺省情况】
未配置待防护的服务器。
【视图】
服务器外联学习视图
【缺省用户角色】
network-admin
context-admin
【参数】
object-group-name:表示地址对象组的名称,为1~31个字符的字符串,不区分大小写。有关地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。
【使用指导】
服务器外联学习功能通过引用地址对象组的方式指定待防护的服务器。指定待防护服务器后系统将对此服务器的外联行为进行学习。
多次执行本命令,可引用多个不同名称的地址对象组,最多不能超过1024个地址对象组。
若指定的地址对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置地址对象组。
服务器外联学习中,无法添加或删除待防护的服务器。
执行undo命令时若不指定object-group-name参数,则表示删除所有待防护的服务器。
【举例】
# 配置待防的护服务器,引用地址对象组abc。
<Sysname> system-view
[Sysname] scd learning
[Sysname-scd-learning] source-ip abc
【相关命令】
· object-group(安全命令参考/对象组)
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
