- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
10-APT防御命令
本章节下载: 10-APT防御命令 (237.08 KB)
本特性的支持情况与设备型号有关,请以设备实际情况为准。
|
系列 |
型号 |
说明 |
|
F50X0系列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN系列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI系列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V系列 |
F5000-V30 |
支持 |
|
F1000-AI系列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
F1000-L系列 |
F1003-L、F1003-L-S、F1005-L、F1010-L |
支持 |
|
F1003-L-C |
不支持 |
|
|
F10X0系列 |
F1003-M、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
F1003-C、F1003-S |
不支持 |
|
|
F1000-V系列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE系列 |
F1000-SASE100、F1000-SASE200 |
支持 |
|
F1000-AK系列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
F1000-AK9109 |
不支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW系列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
application命令用来配置需要送到沙箱检测的应用层协议。
undo application命令用来删除需要送到沙箱检测的应用层协议。
【命令】
application { all | type { ftp | http | https | imap | nfs | pop3 | smb | smtp } * }
undo application { all | type { ftp | http | https | imap | nfs | pop3 | smb | smtp } * }
【缺省情况】
未配置需要送到沙箱检测的应用层协议类型。
【视图】
APT防御策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
all:表示所有支持的应用层协议。
type:表示规则生效的协议类型。
ftp:表示FTP协议。
http:表示HTTP协议。
https:表示HTTPS协议。
imap:表示IMAP协议。
nfs:表示NFS协议,NFS协议仅支持NFSv3版本。
pop3:表示POP3协议。
smb:表示SMB协议,SMB协议支持SMBv1和SMBv2版本。
smtp:表示SMTP协议。
【使用指导】
通过配置此命令,可以根据文件传输所采用的应用层协议类型来灵活控制对哪些协议类型的报文送往沙箱检测。
多次执行本命令,可配置多个需要送到沙箱检测的应用层协议。
【举例】
# 在APT防御策略policy1中,配置送到沙箱检测的应用层协议类型为http协议。
<Sysname> system-view
[Sysname] apt policy policy1
[Sysname-apt-policy-policy1] application type http
apt apply policy命令用来在DPI应用profile中引用APT防御策略。
undo apt apply policy命令用来删除引用的APT防御策略。
【命令】
apt apply policy policy-name
undo apt apply policy
【缺省情况】
DPI应用profile中未引用APT防御策略。
【视图】
DPI应用profile视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:表示APT防御策略的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
APT防御策略仅在被DPI应用profile引用后生效。一个DPI应用profile视图下只能引用一个APT防御策略,引用的APT防御策略必须已存在。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在名称为profile1的DPI应用profile下引用APT防御策略policy1。
<Sysname> system-view
[Sysname] app-profile profile1
[Sysname-app-profile-profile1] apt apply policy policy1
apt cache size命令用来配置APT防御缓存记录的上限。
undo apt cache size命令用来恢复缺省情况。
【命令】
apt cache size cache-size
undo apt cache size
【缺省情况】
APT防御缓存记录的上限为10万条。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
cache-size:指定APT防御缓存记录的上限,取值范围为100000~200000条。
【使用指导】
仅支持在缺省Context下配置本命令。有关Context的详细介绍,请参见“虚拟化技术配置指导”中的“Context”。
沙箱检测返回的检测结果将被缓存在APT防御缓存中用于后续报文匹配。
当用户修改APT防御缓存参数时,配置的缓存记录上限值小于当前已缓存的数目,设备将从APT防御缓存中删除缓存时间最老的记录。
【举例】
# 配置APT防御缓存记录的上限为200000条。
<Sysname> system-view
[Sysname] apt cache size 200000
apt policy命令用来创建或进入APT防御策略视图。如果指定的APT防御护策略已存在,则直接进入APT防御策略视图。
undo apt policy命令用来删除指定的APT防御策略。
【命令】
apt policy policy-name
undo apt policy policy-name
【缺省情况】
存在一个名称为default的APT防御策略。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:表示APT防御策略的名称,为1~31个字符的字符串,不区分大小写。新建的APT防御策略名称不能为default。
【使用指导】
APT防御策略仅在被DPI应用profile中引用后生效。
【举例】
# 创建一个名称为policy1的APT防御策略,并进入该防御策略视图。
<Sysname> system-view
[Sysname] apt policy policy1
[Sysname-apt-policy-policy1]
【相关命令】
· apt apply policy
description命令用来配置APT防御策略的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description description-string
undo description
【缺省情况】
未配置APT防御策略的描述信息。
【视图】
APT防御策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
description-string:表示APT防御策略的描述信息,为1~255个字符的字符串,不区分大小写。
【使用指导】
通过合理编写描述信息,便于管理员快速理解和识别本APT防御策略的作用,有利于后期维护。
【举例】
# 配置APT防御策略policy1的描述信息为description1。
<Sysname> system-view
[Sysname] apt policy policy1
[Sysname-apt-policy-policy1] description description1
display apt cache命令行用来显示APT防御缓存中的信息。
【命令】
display apt cache [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
slot slot-number:显示指定成员设备上APT防御缓存的信息。slot-number为设备在IRF中的成员编号。若不指定该参数,则表示所有成员设备。
【使用指导】
可通过本命令查看APT防御缓存的信息以及沙箱检测功能相关信息。其中,APT防御缓存包含命中列表和非命中列表。命中列表表示检测出威胁的文件列表,非命中列表表示无威胁或未检测出威胁的文件列表。
【举例】
# 显示APT防御缓存中的信息。
<Sysname> display apt cache
Slot 1:
APT cache information:
Sandbox-query state : Disabled
Total cached non-hit entries : 0
Total cached hit entries : 0
Non-hit list min update interval : 0 seconds
Hit list min update interval : 0 seconds
表1-1 display apt cache命令显示信息描述表
|
字段 |
描述 |
|
APT cache information |
APT防御缓存信息 |
|
Sandbox-query state |
沙箱检测功能的状态,取值包括: · Enabled:表示此功能已启用 · Disabled:表示此功能已关闭 |
|
Total cached non-hit entries |
非命中列表中节点的总数目 |
|
Total cached hit entries |
命中列表中节点的总数目 |
|
Non-hit list min update interval |
非命中列表表项中,距离上一次刷新时间最短的时间间隔,单位为秒 |
|
Hit list min update interval |
命中列表表项中,距离上一次刷新时间最短的时间间隔,单位为秒 |
display apt linkage state命令用来显示设备与沙箱的连接状态。
【命令】
display apt linkage state
【视图】
任意视图
【缺省用户角色】
network-admin
context-admin
【举例】
# 显示设备与沙箱的连接状态。
<Sysname> display apt linkage state
The sandbox state is connected
file max-size命令用来配置送往沙箱检测的文件大小上限。
undo file max-size命令用来恢复缺省情况。
【命令】
file file-type max-size max-file-size
undo file file-type max-size
【缺省情况】
未配置送往沙箱检测的文件大小上限,设备使用各类文件类型大小上限的缺省值。
【视图】
沙箱视图
【缺省用户角色】
network-admin
context-admin
【参数】
file-type:表示需要送到沙箱检测的文件类型名称,不区分大小写。可通过输入“?”获取支持的文件类型。
max-file-size:表示文件大小上限值,单位为KB。不同文件类型的取值范围不同,可通过输入“?”获取不同文件类型的上限值取值范围。
【使用指导】
超出上限的文件不会被送往沙箱进行检测。
【举例】
# 配置送往沙箱检测的EXE文件大小的上限为10240KB。
<Sysname> system-view
[Sysname] sandbox
[Sysname-sandbox] file exe max-size 10240
file-direction命令用来配置送往沙箱检测的文件传输方向。
undo file-direction命令用来恢复缺省情况。
【命令】
file-direction { both | download | upload }
undo file-direction
【缺省情况】
送往沙箱检测的文件传输方向为both。
【视图】
APT防御策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
both:表示送往沙箱检测的文件传输方向为上传和下载。
download:表示送往沙箱检测的文件传输方向为下载。
upload:表示送往沙箱检测的文件传输方向为上传。
【使用指导】
文件传输方向是一种筛选条件,设备仅将匹配指定传输方向的文件送往沙箱检测。
多次配置本命令,最后一次执行的命令生效。
【举例】
# 在APT防御策略policy1中,配置送往沙箱检测的文件传输方向为上传。
<Sysname> system-view
[Sysname] apt policy policy1
[Sysname-apt-policy-policy1] file-direction upload
file-type命令用来配置需要送往沙箱检测的文件类型。
undo file-type命令用来删除需要送往沙箱检测的文件类型。
【命令】
file-type { all | name &<1-8> }
undo file-type { all | name &<1-8> }
【缺省情况】
未配置需要送往沙箱检测的文件类型。
【视图】
APT防御策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
all:表示所有文件类型。
name &<1-8>:表示需要送往沙箱检测的文件类型名称,不区分大小写。可通过输入“?”获取支持的文件类型。&<1-8>表示前面的参数最多可以输入8次。
【使用指导】
文件类型是一种筛选条件,设备仅将指定类型的文件送往沙箱检测。
多次执行本命令,可配置多个配置需要送往沙箱检测的文件类型。
其中,如下类型的文件包含多种格式,配置指定类型对其包含的所有格式均生效。
· bmp文件类型包含bmp、dib
· jpg文件类型包含jpg、jpe、jpeg、jfif
· xml文件类型包含msc、xml
· rmvb文件类型包含rmvb,rm
· tgz文件类型包含tgz、tar.gz
【举例】
# 在APT防御策略policy1中,配置送往沙箱检测的文件类型为doc。
<Sysname> system-view
[Sysname] apt policy policy1
[Sysname-apt-policy-policy1] file-type doc
linkage enable命令用来开启沙箱联动功能。
undo linkage enable命令用来关闭沙箱联动功能。
【命令】
linkage enable
undo linkage enable
【缺省情况】
沙箱联动功能处于关闭状态。
【视图】
沙箱视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
本命令用于开启设备和沙箱的联动功能,配置本命令后,设备不会向沙箱发起连接请求,还需要执行linkage try命令触发与沙箱建立连接。
【举例】
# 开启沙箱联动功能。
<Sysname> system-view
[Sysname] sandbox
[Sysname-sandbox] linkage enable
【相关命令】
· linkage try
· password
· sandbox-address
· username
linkage try命令用来触发设备与沙箱建立连接。
【命令】
linkage try
【视图】
沙箱视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
本命令仅在配置沙箱参数(沙箱地址、用户名和密码)并开启沙箱联动功能后生效。
执行本命令后,设备将向沙箱发起连接请求,成功连接后,设备会将待检测文件送往沙箱检测。
【举例】
# 触发设备与沙箱建立连接。
<Sysname> system-view
[Sysname] sandbox
[Sysname-sandbox] linkage try
【相关命令】
· linkage enable
· password
· sandbox-address
· username
password命令用来配置登录沙箱的密码。
undo password命令用来恢复缺省情况。
【命令】
password { cipher | simple } string
undo password
【缺省情况】
未配置登录沙箱的密码。
【视图】
沙箱视图
【缺省用户角色】
network-admin
context-admin
【参数】
cipher:表示以密文方式设置用户密码。
simple:表示以明文方式设置用户密码,该密码将以密文形式存储。
string:表示登录沙箱的密码。明文密码为6~32个字符的字符串,区分大小写,必须包含字母、数字和特殊字符中两种及以上组合;密文密码为32个字符的字符串,区分大小写,必须包含字母和数字。
【使用指导】
如果设备已经与沙箱建立了连接,执行本命令修改登录沙箱的密码后,需要再次执行linkage try命令重新与沙箱建立连接。
【举例】
# 配置登录沙箱的明文密码为123456abc。
<Sysname> system-view
[Sysname] sandbox
[Sysname-sandbox] password simple 123456abc
【相关命令】
· sandbox-address
· username
sandbox命令用来进入沙箱视图。
undo sandbox命令用来删除沙箱视图下的所有配置。
【命令】
sandbox
undo sandbox
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【举例】
# 进入沙箱视图。
<Sysname> system-view
[Sysname] sandbox
[Sysname-sandbox]
sandbox-address命令用来配置沙箱地址。
undo sandbox-address命令用来恢复缺省情况。
【命令】
sandbox-address address-string
undo sandbox-address
【缺省情况】
未配置沙箱地址。
【视图】
沙箱视图
【缺省用户角色】
network-admin
context-admin
【参数】
address-string:表示沙箱的IP地址或者域名,为1~64个字符的字符串,只能是字母、数字、下划线“_”、连接符“-”、点号“·”和冒号“:”,不区分大小写。
【使用指导】
如果设备已经与沙箱建立了连接,执行本命令修改沙箱地址后,需要再次执行linkage try命令重新与沙箱建立连接。
【举例】
# 配置沙箱地址为www.example.com。
<Sysname> system-view
[Sysname] sandbox
[Sysname-sandbox] sandbox-address www.example.com
【相关命令】
· username
· password
username命令用来配置登录沙箱的用户名。
undo username命令用来恢复缺省情况。
【命令】
username user-name
undo username
【缺省情况】
未配置登录沙箱的用户名。
【视图】
沙箱视图
【缺省用户角色】
network-admin
context-admin
【参数】
user-name:登录沙箱的用户名,为5~12个字符的字符串,不区分大小写。
【使用指导】
如果设备已经与沙箱建立了连接,执行本命令修改登录沙箱的用户名后,需要再次执行linkage try命令重新与沙箱建立连接。
【举例】
# 配置登录沙箱的用户名为userabc。
<Sysname> system-view
[Sysname] sandbox
[Sysname-sandbox] username userabc
【相关命令】
· password
· sandbox-address
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
