• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

07-上网行为管理命令参考

目录

02-应用审计与管理命令

本章节下载 02-应用审计与管理命令  (305.44 KB)

02-应用审计与管理命令


1 应用审计与管理

说明

本特性会解析出用户报文中的敏感信息和私密信息,请保证将本特性仅用于合法用途。

 

说明

vSystem支持本特性的所有功能。有关vSystem的详细介绍请参见“虚拟化技术配置指导”中的“vSystem”。

 

1.1  应用审计与管理配置命令

1.1.1  application

application命令用来配置作为应用审计与管理策略过滤条件的应用。

undo application命令用来删除作为应用审计与管理策略过滤条件的应用。

【命令】

application { app application-name | app-group application-group-name }

undo application { app application-name | app-group application-group-name }

【缺省情况】

不存在应用过滤条件。

【视图】

应用审计与管理策略视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

app application-name:表示应用的名称,为1~63个字符的字符串,不区分大小写。

app-group application-group-name:表示应用组的名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

仅在免审计和阻断类型的策略中可配置此命令。

多次执行本命令,可配置多个应用作为应用审计与管理策略的过滤条件。

【举例】

# 配置应用审计与管理阻断策略mypolicy2过滤条件的应用为app1和app2,应用组为group1和group2。

<Sysname> system-view

[Sysname] uapp-control

[Sysname-uapp-control] policy name mypolicy2 deny

[Sysname-uapp-control-policy-mypolicy2] application app app1

[Sysname-uapp-control-policy-mypolicy2] application app app2

[Sysname-uapp-control-policy-mypolicy2] application app-group group1

[Sysname-uapp-control-policy-mypolicy2] application app-group group2

【相关命令】

·     app-group(安全命令参考/APR)

·     nbar application(安全命令参考/APR)

·     port-mapping(安全命令参考/APR)

1.1.2  description

description命令用来配置关键字组的描述信息。

undo description命令用来恢复缺省情况。

【命令】

description text

undo description

【缺省情况】

不存在关键字组的描述信息。

【视图】

关键字组视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

text:表示关键字组的描述信息,为1~255个字符的字符串,区分大小写。

【举例】

# 配置关键字组的描述信息为account limit。

<Sysname> system-view

[Sysname] uapp-control

[Sysname-uapp-control] keyword-group name mykeywordgroup

[Sysname-uapp-control-keyword-group-mykeywordgroup] description account limit

1.1.3  destination-address

destination-address命令用来配置作为应用审计与管理策略过滤条件的目的IP地址。

undo destination-address命令用来删除作为应用审计与管理策略过滤条件的目的IP地址。

【命令】

destination-address { ipv4 | ipv6 } object-group-name

undo destination-address { ipv4 | ipv6 } object-group-name

【缺省情况】

不存在目的IP地址过滤条件。

【视图】

应用审计与管理策略视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

ipv4:表示指定IPv4地址对象组。

ipv6:表示指定IPv6地址对象组。

object-group-name:表示地址对象组的名称,为1~63个字符的字符串,不区分大小写,且必须已存在。

【使用指导】

多次执行本命令,可配置多个目的IPv4/IPv6地址对象组作为应用审计与管理策略的过滤条件。

【举例】

# 配置应用审计与管理审计策略mypolicy1过滤条件的目的IPv4地址。

<Sysname> system-view

[Sysname] uapp-control

[Sysname-uapp-control] policy name mypolicy1 audit

[Sysname-uapp-control-policy-mypolicy1] destination-address ipv4 obgroup3

[Sysname-uapp-control-policy-mypolicy1] destination-address ipv4 obgroup4

【相关命令】

·     object-group(安全命令参考/对象组)

1.1.4  destination-zone

destination-zone命令用来配置作为应用审计与管理策略过滤条件的目的安全域。

undo destination-zone命令用来删除作为应用审计与管理策略过滤条件的目的安全域。

【命令】

destination-zone destination-zone-name

undo destination-zone destination-zone-name

【缺省情况】

不存在目的安全域过滤条件。

【视图】

应用审计与管理策略视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

destination-zone-name:表示安全域的名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

多次执行本命令,可配置多个目的安全域作为应用审计与管理策略的过滤条件。

【举例】

# 配置应用审计与管理审计策略mypolicy1过滤条件的目的安全域为zone3和zone4。

<Sysname> system-view

[Sysname] uapp-control

[Sysname-uapp-control] policy name mypolicy1 audit

[Sysname-uapp-control-policy-mypolicy1] destination-zone zone3

[Sysname-uapp-control-policy-mypolicy1] destination-zone zone4

【相关命令】

·     security-zone name(安全命令参考/安全域)

1.1.5  disable

disable命令用来关闭应用审计与管理策略。

undo disable命令用来开启应用审计与管理策略。

【命令】

disable

undo disable

【缺省情况】

应用审计与管理策略处于开启状态。

【视图】

应用审计与管理策略视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【使用指导】

如果在某些组网环境中某条应用审计与管理策略暂时不会被用到,则可以使用此命令来关闭此条应用审计与管理策略。关闭应用审计与管理策略后,此策略将不能对流量进行匹配,但依然可以对其进行复制、重命名和移动的操作。

【举例】

# 关闭应用审计与管理策略mypolicy1。

<Sysname> system-view

[Sysname] uapp-control

[Sysname-uapp-control] policy name mypolicy1

[Sysname-uapp-control-policy-mypolicy1] disable

1.1.6  keyword

keyword命令用来配置关键字。

undo keyword命令用来删除指定的关键字。

【命令】

keyword keyword-value

undo keyword keyword-value

【缺省情况】

不存在关键字。

【视图】

关键字组视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

keyword-value:表示关键字,为1~63个字符的字符串,区分大小写。

【举例】

# 配置应用审计与管理的关键字为keywordname。

<Sysname> system-view

[Sysname] uapp-control

[Sysname-uapp-control] keyword-group name mykeywordgroup

[Sysname-uapp-control-keyword-group-mykeywordgroup] keyword keywordname

1.1.7  keyword-group name

keyword-group name命令用来创建关键字组,并进入关键字组视图。如果指定的关键字组已经存在,则直接进入关键字组视图。

undo keyword-group name命令用来删除指定的关键字组。

【命令】

keyword-group name keyword-group-name

undo keyword-group name keyword-group-name

【缺省情况】

不存在关键字组。

【视图】

应用审计与管理视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

keyword-group-name:表示关键字组的名称,为1~63个字符的字符串,不区分大小写。

【举例】

# 创建名称为mykeywordgroup的关键字组,并进入关键字组视图。

<Sysname> system-view

[Sysname] uapp-control

[Sysname-uapp-control] keyword-group name mykeywordgroup

[Sysname-uapp-control-keyword-group-mykeywordgroup]

1.1.8  policy copy

policy copy命令用来复制应用审计与管理策略。

【命令】

policy copy policy-name new-policy-name

【缺省情况】

不存在应用审计与管理策略。

【视图】

应用审计与管理视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

policy-name:表示被复制应用审计与管理策略的名称,为1~63个字符的字符串,不区分大小写。

new-policy-name:表示新建应用审计与管理策略的名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

当需要新建的应用审计与管理策略和已存在的策略比较相似时,可通过复制已经存在的策略来快速的创建新的应用审计与管理策略。

【举例】

# 复制应用审计与管理策略policy1,复制后的策略名称为policy2。

<Sysname> system-view

[Sysname] uapp-control

[Sysname-uapp-control] policy copy policy1 policy2

1.1.9  policy default-action

policy default-action命令用来配置应用审计与管理策略的缺省动作。

【命令】

policy default-action { deny | permit }

【缺省情况】

应用审计与管理策略的缺省动作是允许。

【视图】

应用审计与管理视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

deny:表示阻断报文。

permit:表示允许报文通过。

【使用指导】

若报文未与任何一个应用审计与管理策略匹配成功,则设备将根据应用审计与管理策略的缺省动作对报文进行处理。

【举例】

# 配置应用审计与管理策略的缺省动作为丢弃。

<Sysname> system-view

[Sysname] uapp-control

[Sysname-uapp-control] policy default-action deny

1.1.10  policy move

policy move命令用来移动应用审计与管理策略的位置。

【命令】

policy move policy-name1 { after | before } policy-name2

【视图】

应用审计与管理视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

policy-name1:表示需要被移动的应用审计与管理策略的名称,为1~63个字符的字符串,不区分大小写。

after:表示把应用审计与管理策略policy-name1移动到应用审计与管理策略policy-name2的后面。

before:表示把应用审计与管理策略policy-name1移动到应用审计与管理策略policy-name2的前面。

policy-name2:表示移动目标的应用审计与管理策略的名称,为1~63个字符的字符串,不区分大小写。

【举例】

# 创建应用审计与管理策略,名称为policy1。

<Sysname> system-view

[Sysname] uapp-control

[Sysname-uapp-control] policy name policy1 audit

[Sysname-uapp-control-policy-policy1] quit

# 创建应用审计与管理策略,名称为policy2。

[Sysname-uapp-control] policy name policy2 audit

[Sysname-uapp-control-policy-policy2] quit

# 移动应用审计与管理策略policy1到policy2之后。

[Sysname-uapp-control] policy move policy1 after policy2

1.1.11  policy name

policy name命令用来创建应用审计与管理策略,并进入应用审计与管理策略视图。如果指定的应用审计与管理策略已经存在,则直接进入应用审计与管理策略视图。

undo policy name命令用来删除指定的应用审计与管理策略。

【命令】

policy name policy-name [ audit | deny | noaudit ]

undo policy name policy-name

【缺省情况】

不存在应用审计与管理策略。

【视图】

应用审计与管理视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

policy-name:表示应用审计与管理策略的名称,为1~63个字符的字符串,不区分大小写,且名称必须全局唯一。

audit:表示审计类型的策略。

deny:表示阻断类型的策略。

noaudit:表示免审计类型的策略。

【使用指导】

本命令用来创建应用审计与管理策略,创建策略时必须指定策略类型,应用审计与管理策略分为如下三类:

·     审计策略:对匹配策略中所有过滤条件的报文,根据审计规则对此报文进行审计。

·     免审计策略:对匹配策略中所有过滤条件的报文进行免审计。

·     阻断策略:对匹配策略中所有过滤条件的报文进行阻断。

每类策略中具体可配置的内容不同,其中application命令只能在免审计和阻断类型的策略下配置,rulerule default-actionrule match-method命令只能在审计类型的策略下配置。

【举例】

# 创建一个名称为mypolicy1的应用审计与管理策略,并对用户的应用行为进行审计,并进入应用审计与管理策略视图。

<Sysname> system-view

[Sysname] uapp-control

[Sysname-uapp-control] policy name mypolicy1 audit

[Sysname-uapp-control-policy-mypolicy1]

1.1.12  policy rename

policy rename命令用来重命名应用审计与管理策略。

【命令】

policy rename old-policy-name new-policy-name

【视图】

应用审计与管理视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

old-policy-name:表示应用审计与管理策略的原有名称,为1~63个字符的字符串,不区分大小写。

new-policy-name:表示应用审计与管理策略的新名称,为1~63个字符的字符串,不区分大小写。

【举例】

# 创建应用审计与管理策略,名称为policy1。

<Sysname> system-view

[Sysname] uapp-control

[Sysname-uapp-control] policy name policy1 audit

[Sysname-uapp-control-policy-policy1] quit

# 修改应用审计与管理策略policy1的名称为policy2

[Sysname-uapp-control] policy rename policy1 policy2

1.1.13  rule

rule命令用来配置应用审计与管理策略的审计规则。

undo rule id命令用来删除指定的审计规则。

【命令】

rule rule-id { app app-name | app-category app-category-name | any } behavior { behavior-name | any } bhcontent { bhcontent-name | any } { keyword { equal | exclude | include | unequal } { keyword-group-name | any } | integer { equal | greater | greater-equal | less | less-equal | unequal } { number } } action { deny | permit } [ audit-logging ]

rule rule-id { email-bomb-defense [ interval interval max-number email-number ] | email-send-restriction } * action { deny | permit } [ audit-logging ]

undo rule rule-id

【缺省情况】

不存在审计规则。

【视图】

应用审计与管理策略视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

rule-id:表示审计规则ID,取值范围为1~64。

app app-name:表示对指定的应用进行审计。

app-category app-category-name:表示对指定的应用分类进行审计。

any:表示对所有应用和应用分类进行审计。

behavior behavior-name:表示对指定应用或应用分类的某一具体行为进行审计。behavior-name是行为名称。

any表示所有行为。

bhcontent bhcontent-name:表示对该行为中的某一具体内容进行审计。bhcontent-name是行为内容。

any表示所有行为内容。

keyword:表示行为内容的匹配方式为字符串形式的关键字。

·     equal:表示审计规则对行为内容的匹配方式为与关键字完全相等。

·     exclude:表示审计规则对行为内容的匹配方式为不包含关键字。

·     include:表示审计规则对行为内容的匹配方式为包含关键字。

·     unequal:表示审计规则对行为内容的匹配方式为与关键字不相等。

keyword-group-name:表示审计规则引用的关键字组。

any表示对指定应用或应用分类行为的所有内容进行审计。

integer:表示行为内容的匹配方式为数字。

·     equal:表示对等于指定数字的行为内容进行审计。

·     greater:表示对大于指定数字的行为内容进行审计。

·     greater-equal:表示对大于等于指定数字的行为内容进行审计。

·     less:表示对小于指定数字的行为内容进行审计。

·     less-equal:表示对小于等于指定数字的行为内容进行审计。

·     unequal:表示对不等于指定数字的行为内容进行审计。

number:表示审计规则使用的数字,取值范围为0~4294967295。

action:表示审计规则的动作,即对与审计规则匹配成功的报文执行的动作。

·     deny:表示审计规则动作为阻断报文。

·     permit:表示审计规则动作为允许报文通过。

·     audit-logging:表示审计规则动作为生成审计日志。若未配置本参数,则与此审计规则匹配成功的报文不会生成审计日志。

email-bomb-defense表示邮件炸弹攻击防御功能

interval interval:表示邮件炸弹攻击的检测时长,取值范围为1~5,单位为分钟,缺省值为1。

max-number email-number:表示检测时长内,允许向相同收件人发送邮件数量的最大值,取值范围为1~300,缺省值为5。

email-send-restriction表示限制邮件发送功能。

【使用指导】

当报文与策略中配置的所有过滤条件均匹配成功后,会根据审计规则对此报文进行更加精细化的审计。根据报文与审计规则的匹配结果,将对报文进行如下处理:

·     若报文与审计规则的所有审计项匹配成功,则执行审计规则配置的动作。

·     若报文仅与审计规则的应用/应用分类审计项匹配成功,则放行报文。

·     若报文与审计规则的应用/应用分类审计项匹配失败,则执行审计规则缺省动作。

仅在审计类型的策略中可配置此命令。

对于微信和QQ,不支持对指定的消息内容进行阻断。

审计规则提供如下功能:

·     通用应用审计功能:对用户的具体应用行为进行精细化控制。

·     邮件保护功能:设备对接收到的邮件进行检测,并基于收件人进行统计,保护收件人不受到邮件攻击,具体功能如下。

¡     限制邮件发送功能:用于禁止不同域之间的邮件发送。例如,邮箱地址为[email protected]的用户不能向[email protected]发送邮件。

¡     邮件炸弹攻击防御功能:用于防止发件人在短时间内向相同的收件人发送大量邮件。

【举例】

# 创建一个名称为mypolicy1的应用审计与管理审计策略。

<Sysname> system-view

[Sysname] uapp-control

[Sysname-uapp-control] policy name mypolicy1 audit

# 创建第一条审计规则:对IM应用组行为是登录,行为内容为账号且包含关键字0的用户报文进行阻断,并生成审计日志。

[Sysname-uapp-control-policy-mypolicy1] rule 1 app-category IM behavior Login bhcontent Account keyword include mykeywd2 action deny audit-logging

# 创建第二条审计规则:开启防御邮件炸弹功能,其中判断邮件炸弹的依据是发件人向同一收件人1分钟内有大于等于5封邮件,允许包含该邮件的报文通过,并生成审计日志。

[Sysname-uapp-control-policy-mypolicy1] rule 2 email-bomb-defense interval 1 max-number 5 action permit audit-logging

# 创建第三条审计规则:开启限制邮件发送功能,对包含该邮件的报文进行放行,并生成审计日志。

[Sysname-uapp-control-policy-mypolicy1] rule 3 email-send-restriction action permit audit-logging

【相关命令】

·     keyword

·     keyword-group name

1.1.14  rule default-action

rule default-action命令用来配置审计规则的缺省动作。

【命令】

rule default-action { deny | permit }

【缺省情况】

审计规则的缺省动作为允许。

【视图】

应用审计与管理策略视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

deny:表示阻断匹配审计规则的报文。

permit:表示允许匹配审计规则的报文通过。

【使用指导】

若报文未与策略的任何一条审计规则中的应用或应用分类匹配成功,则设备将根据该策略中审计规则的缺省动作对报文进行处理。

【举例】

# 配置审计规则的缺省动作为阻断。

<Sysname> system-view

[Sysname] uapp-control

[Sysname-uapp-control] policy name mypolicy1 audit

[Sysname-uapp-control-policy-mypolicy1] rule default-action deny

1.1.15  rule match-method

rule match-method命令用来配置审计规则的匹配模式。

【命令】

rule match-method { all | in-order }

【缺省情况】

审计规则的匹配模式为顺序匹配。

【视图】

应用审计与管理策略视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

all:表示审计规则匹配模式为全匹配。

in-order:表示审计规则匹配模式为顺序匹配。

【使用指导】

顺序匹配表示审计规则按照规则ID从小到大的顺序进行逐一匹配,一旦报文与某条审计规则匹配成功就结束此匹配过程,并根据该审计规则中的动作对此报文进行相应处理。

全匹配表示审计规则按照审计规则ID从小到大的顺序进行匹配,若报文与其条动作为允许的规则匹配成功,则继续匹配后续规则直到最后一条规则;若报文与某条动作为阻断的规则匹配成功,则不再进行后续规则的匹配。设备将根据所有匹配成功的审计规则中优先级最高的动作(阻断的优先级高于允许)对此报文进行相应处理。

【举例】

# 配置审计规则的匹配模式为全匹配。

<Sysname> system-view

[Sysname] uapp-control

[Sysname-uapp-control] policy name mypolicy1 audit

[Sysname-uapp-control-policy-mypolicy1] rule match-method all

1.1.16  service

service命令用来配置作为应用审计与管理策略过滤条件的服务。

undo service命令用来删除作为应用审计与管理策略过滤条件的服务。

【命令】

service service-name

undo service [ service-name ]

【缺省情况】

不存在服务过滤条件。

【视图】

应用审计与管理策略视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

service-name:是服务对象组的名称,为1~63个字符的字符串,不区分大小写,且必须已存在。如果不指定该参数,则删除所有服务过滤条件。

【使用指导】

多次执行本命令,可配置多个服务作为应用审计与管理策略的过滤条件。

配置undo service命令时,如果指定的服务对象组为any,则表示删除所有服务过滤条件。

【举例】

# 配置应用审计与管理审计策略mypolicy1过滤条件的服务为dns-tcp和dns-udp。

<Sysname> system-view

[Sysname] uapp-control

[Sysname-uapp-control] policy name mypolicy1 audit

[Sysname-uapp-control-policy-mypolicy1] service dns-tcp

[Sysname-uapp-control-policy-mypolicy1] service dns-udp

【相关命令】

·     object-group(安全命令参考/对象组)

1.1.17  source-address

source-address命令用来配置作为应用审计与管理策略过滤条件的源IP地址。

undo source-address命令用来删除作为应用审计与管理策略过滤条件的源IP地址。

【命令】

source-address { ipv4 | ipv6 } object-group-name

undo source-address { ipv4 | ipv6 } object-group-name

【缺省情况】

不存在源IP地址过滤条件。

【视图】

应用审计与管理策略视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

ipv4:表示指定IPv4地址对象组。

ipv6:表示指定IPv6地址对象组。

object-group-name:表示地址对象组的名称,为1~63个字符的字符串,不区分大小写,且必须已存在。

【使用指导】

多次执行本命令,可配置多个源IP/IPv6地址对象组作为应用审计与管理策略的过滤条件。

【举例】

# 配置应用审计与管理审计策略mypolicy1过滤条件的源IP地址。

<Sysname> system-view

[Sysname] uapp-control

[Sysname-uapp-control] policy name mypolicy audit

[Sysname-uapp-control-policy-mypolicy] source-address ipv4 obgroup1

[Sysname-uapp-control-policy-mypolicy] source-address ipv4 obgroup2

【相关命令】

·     object-group(安全命令参考/对象组)

1.1.18  source-zone

source-zone命令用来配置作为应用审计与管理策略过滤条件的源安全域。

undo source-zone命令用来删除作为应用审计与管理策略过滤条件的源安全域。

【命令】

source-zone source-zone-name

undo source-zone source-zone-name

【缺省情况】

不存在源安全域过滤条件。

【视图】

应用审计与管理策略视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

source-zone-name:表示安全域的名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

多次执行本命令,可配置多个源安全域作为应用审计与管理策略的过滤条件。

【举例】

# 配置应用审计与管理审计策略mypolicy1过滤条件的源安全域为zone1和zone2。

<Sysname> system-view

[Sysname] uapp-control

[Sysname-uapp-control] policy name mypolicy1 audit

[Sysname-uapp-control-policy-mypolicy1] source-zone zone1

[Sysname-uapp-control-policy-mypolicy1] source-zone zone2

【相关命令】

·     security-zone name(安全命令参考/安全域)

1.1.19  time-range

time-range命令用来配置应用审计与管理策略的生效时间。

undo time-range命令用来恢复缺省情况。

【命令】

time-range time-range-name

undo time-range

【缺省情况】

应用审计与管理策略在任何时间下都生效。

【视图】

应用审计与管理策略视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

time-range-name:指定时间段的名称,为1~63个字符的字符串,不区分大小写。为避免混淆,时间段的名称不允许使用英文单词all。

【举例】

# 配置应用审计与管理审计策略mypolicy1的生效时间段为work-time。

<Sysname> system-view

[Sysname] uapp-control

[Sysname-uapp-control] policy name mypolicy1 audit

[Sysname-uapp-control-policy-mypolicy1] time-range work-time

【相关命令】

·     time-range(ACL和QoS命令参考/时间段)

1.1.20  uapp-control

uapp-control命令用来进入应用审计与管理视图。

undo uapp-control命令用来删除应用审计与管理策略中的所有配置。

【命令】

uapp-control

undo uapp-control

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【使用指导】

在应用审计与管理视图下可完成应用审计与管理策略的创建、复制、移动和重命名以及关键字组的创建。应用审计与管理策略分为三种类型:审计(audit),免审计(noaudit)和阻断(deny),其中免审计和阻断类型的策略用来做粗粒度的应用审计与管理,审计类型的策略用来做精细化的应用审计与管理。

【举例】

# 进入应用审计与管理视图。

<Sysname> system-view

[Sysname] uapp-control

[Sysname-uapp-control]

1.1.21  user

user命令用来配置作为应用审计与管理策略过滤条件的用户。

undo user命令用来删除作为应用审计与管理策略过滤条件的用户。

【命令】

user user-name [ domain domain-name ]

undo user user-name [ domain domain-name ]

【缺省情况】

不存在用户过滤条件。

【视图】

应用审计与管理策略视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

user-name:表示身份识别用户的账户名称,为1~55个字符的字符串,区分大小写,不能是a、al和all,且不能包含特殊字符“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”、和“@”。

domain domain-name:表示在指定的身份识别域中匹配此用户。domain-name是身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包含特殊字符“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”。若不指定此参数,则表示在不属于任何身份识别域的用户中匹配此用户。有关身份识别域的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。

【使用指导】

多次执行本命令,可配置多个用户作为应用审计与管理策略的过滤条件。

【举例】

# 配置应用审计与管理审计策略mypolicy1过滤条件的用户为managers1和managers2。

<Sysname> system-view

[Sysname] uapp-control

[Sysname-uapp-control] policy name mypolicy1 audit

[Sysname-uapp-control-policy-mypolicy1] user managers1

[Sysname-uapp-control-policy-mypolicy1] user managers2

# 引用用户名为managers1,身份识别域为dpi的用户作为应用审计与管理策略的过滤条件。

<Sysname> system-view

[Sysname] uapp-control

[Sysname-uapp-control] policy name mypolicy1 audit

[Sysname-uapp-control-policy-mypolicy1] user managers1 domain dpi

【相关命令】

·     user-identity enable(安全命令参考/用户身份识别与管理)

1.1.22  user-group

user-group命令用来配置作为应用审计与管理策略过滤条件的用户组。

undo user-group命令用来删除作为应用审计与管理策略过滤条件的用户组。

【命令】

user-group user-group-name [ domain domain-name ]

undo user-group user-group-name [ domain domain-name ]

【缺省情况】

不存在用户组过滤条件。

【视图】

应用审计与管理策略视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

user-group-name:表示身份识别用户组的名称,为1~200个字符的字符串,不区分大小写。

domain domain-name:表示在指定的身份识别域中匹配此用户组。domain-name是身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包含特殊字符“/”、“\”、“|”、“:”、“*”、“?”、“<”、“>”以及“@”。若不指定此参数,则表示在不属于任何身份识别域的用户组中匹配此用户组。有关身份识别域的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。

【使用指导】

多次执行本命令,可配置多个用户组作为应用审计与管理策略的过滤条件。

【举例】

# 配置应用审计与管理审计策略mypolicy1过滤条件的用户组为group1和group2。

<Sysname> system-view

[Sysname] uapp-control

[Sysname-uapp-control] policy name mypolicy1 audit

[Sysname-uapp-control-policy-mypolicy1] user-group group1

[Sysname-uapp-control-policy-mypolicy1] user-group group2

# 引用用户组名为group1,域为dpi的用户组作为应用审计与管理审计策略规则的匹配条件。

<Sysname> system-view

[Sysname] uapp-control

[Sysname-uapp-control] policy name mypolicy1 audit

[Sysname-uapp-control-policy-mypolicy1] user-group group1 domain dpi

【相关命令】

·     user-identity enable(安全命令参考/用户身份识别与管理)

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们