- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
12-URL過濾命令
本章節下載: 12-URL過濾命令 (318.70 KB)
目 錄
1.1.5 display url-filter category
1.1.6 display url-filter signature information
1.1.7 display url-filter statistics
1.1.9 rename (URL filtering category view)
1.1.10 rename (URL filtering policy view)
1.1.11 reset url-filter statistics
1.1.14 url-filter apply policy
1.1.16 url-filter copy category
1.1.18 url-filter log directory root
1.1.20 url-filter log except pre-defined
1.1.21 url-filter log except user-defined
1.1.23 url-filter signature auto-update
1.1.24 url-filter signature auto-update-now
1.1.25 url-filter signature rollback
1.1.26 url-filter signature update
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
產品係列 |
產品型號 |
產品代碼 |
說明 |
|
WX1800H係列 |
WX1804H-PWR |
EWP-WX1804H-PWR-CN |
支持 |
|
WX2500H係列 |
WX2508H-PWR-LTE WX2510H-PWR WX2510H-F-PWR WX2540H WX2540H-F WX2560H |
EWP-WX2508H-PWR-LTE EWP-WX2510H-PWR EWP-WX2510H-F-PWR EWP-WX2540H EWP-WX2540H-F EWP-WX2560H |
支持 |
|
MAK係列 |
MAK204 MAK206 |
EWP-MAK204 EWP-MAK206 |
支持 |
|
WX3000H係列 |
WX3010H WX3010H-X-PWR WX3010H-L-PWR WX3024H WX3024H-L-PWR WX3024H-F |
EWP-WX3010H EWP-WX3010H-X-PWR EWP-WX3010H-L-PWR EWP-WX3024H EWP-WX3024H-L-PWR EWP-WX3024H-F |
WX3010H:支持 WX3010H-X-PWR:支持 WX3010H-L-PWR:不支持 WX3024H:支持 WX3024H-L-PWR:不支持 WX3024H-F:支持 |
|
WX3500H係列 |
WX3508H WX3508H WX3510H WX3510H WX3520H WX3520H-F WX3540H WX3540H |
EWP-WX3508H EWP-WX3508H-F EWP-WX3510H EWP-WX3510H-F EWP-WX3520H EWP-WX3520H-F EWP-WX3540H EWP-WX3540H-F |
支持 |
|
WX5500E係列 |
WX5510E WX5540E |
EWP-WX5510E EWP-WX5540E |
支持 |
|
WX5500H係列 |
WX5540H WX5560H WX5580H |
EWP-WX5540H EWP-WX5560H EWP-WX5580H |
支持 |
|
AC插卡係列 |
LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F |
LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F |
支持 |
|
產品係列 |
產品型號 |
產品代碼 |
說明 |
|
WX1800H係列 |
WX1804H-PWR WX1810H-PWR WX1820H WX1840H |
EWP-WX1804H-PWR EWP-WX1810H-PWR EWP-WX1820H EWP-WX1840H-GL |
支持 |
|
WX3800H係列 |
WX3820H WX3840H |
EWP-WX3820H-GL EWP-WX3840H-GL |
不支持 |
|
WX5800H係列 |
WX5860H |
EWP-WX5860H-GL |
不支持 |
add命令用來向URL過濾策略中添加黑/白名單規則。
undo add命令用來刪除URL過濾策略中指定的或所有黑/白名單規則。
【命令】
add { blacklist | whitelist } [ id ] host { regex host-regex | text host-name } [ uri { regex uri-regex | text uri-name } ]
undo add { blacklist | whitelist } { id | all }
【缺省情況】
URL過濾策略中不存在黑/白名單規則。
【視圖】
URL過濾策略視圖
【缺省用戶角色】
network-admin
【參數】
blacklist:表示URL過濾策略的黑名單規則。
whitelist:表示URL過濾策略的白名單規則。
id:表示黑/白名單規則的編號,取值範圍為1~65535。若未指定本參數,係統將從1開始,自動分配一個大於現有最大編號的最小編號,步長為1。若新編號超出了編號上限65535,則選擇當前未使用的最小編號作為新的編號。
host:表示匹配URL中的主機名字段。
uri:表示匹配URL中的URI字段。
regex regex:表示使用正則表達式對主機名和URI字段進行模糊匹配。regex是正則表達式,區分大小寫,隻能以字母、數字和下劃線開頭,且必須包含連續的3個非通配符。其中,主機名規則的取值範圍為3~224個字符的字符串,URI規則的取值範圍為3~245個字符的字符串。
text string:表示使用文本對主機名和URI字段進行精確匹配。string是指定的主機名或URI規則字符串,主機名規則的取值範圍為3~224個字符的字符串,不區分大小寫,主機名隻能是字母、數字、下劃線“_”、連接符“-”、冒號“:”、左方括號“[”、右方括號“]”和點號“.”,但URI無此限製;URI規則的取值範圍為3~245個字符的字符串,不區分大小寫。
all:表示所有的黑/白名單規則。
【使用指導】
URL過濾黑/白名單規則功能根據應用層的信息進行URL過濾。如果用戶HTTP報文中的URL與URL過濾策略中的黑名單規則匹配成功,則丟棄此報文;如果與白名單規則匹配成功,則允許此報文通過。
正則表達式有如下限製:
· 正則表達式中,總的分支不能超過四個。例如'abc(c|d|e|\x3D)'有效,'abc(c|onreset|onselect|onchange|style\x3D)'無效。
· 正則表達式中,括號不能嵌套,即括號中不能有括號。例如'ab((abcs*?))'無效。
· 正則表達式中,分支不支持串聯,即分支後麵不能有分支。例如'ab(a|b)(c|d)^\\r\\n]+?'無效。
· 正則表達式中,零次重複量詞'*'和'?'前麵必須有四個確定字符。例如'abc*'無效,'abcd*DoS\x2d\d{5}\x20\x2bxi\\r\\nJOIN'有效。
【舉例】
# 在URL過濾策略news中,添加一條黑名單規則,使用字符串games.com對主機名字段進行精確匹配。
<Sysname> system-view
[Sysname] url-filter policy news
[Sysname-url-filter-policy-news] add blacklist 1 host text games.com
# 添加一條白名單規則,並使用字符串sina.com對主機名字段進行精確匹配。
[Sysname-url-filter-policy-news] add whitelist 1 host text sina.com
category action命令用來配置URL過濾分類動作。
undo category action命令用來刪除指定的URL過濾分類動作。
【命令】
category category-name action { drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ]
undo category category-name
【缺省情況】
不存在URL過濾分類動作。
【視圖】
URL過濾策略視圖
【缺省用戶角色】
network-admin
【參數】
category-name:指定URL過濾分類名稱,包括預定義和自定義的URL過濾分類名稱,為1~63個字符的字符串,不區分大小寫。
action:表示對匹配上此URL過濾分類中的任何一條規則的報文所采取的動作。
drop:表示丟棄報文。
permit:表示允許報文通過。
redirect:表示重定向動作,把符合特征的報文重定向到指定的Web頁麵上。
reset:表示通過發送TCP的reset報文從而使TCP連接斷開。
logging:表示生成報文日誌。
parameter-profile parameter-name:指定URL過濾動作引用的應用層檢測引擎動作參數profile。parameter-name是動作參數profile的名稱,為1~63個字符的字符串,不區分大小寫。如果URL過濾動作沒有引用應用層檢測引擎動作參數profile,或者引用的動作參數profile不存在,則使用係統中各動作參數的缺省值。有關應用層檢測引擎中動作參數的詳細配置請參見“安全命令參考”中的“應用層檢測引擎”。
【使用指導】
URL過濾功能對報文的處理過程如下:
· 如果報文匹配上該URL過濾分類中的任何一條規則,則設備將會根據該URL過濾分類綁定的動作對此報文進行處理。
· 如果報文沒有匹配上該URL過濾分類中的任何規則,但是配置了default-action命令,則設備將根據URL過濾策略中配置的缺省動作來對此報文進行處理。
· 如果報文沒有匹配上該URL過濾分類中的任何規則,且也沒有配置default-action命令,則設備直接允許此報文通過。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在URL過濾策略news中,配置URL過濾分類sina的動作為丟棄。
<Sysname> system-view
[Sysname] url-filter policy news
[Sysname-url-filter-policy-news] category sina action drop
【相關命令】
· inspect redirect parameter-profile(安全命令參考/應用層檢測引擎)
· url-filter category
· url-filter policy
default-action命令用來配置URL過濾策略的缺省動作。
undo default-action命令用來恢複缺省情況。
【命令】
default-action { drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ]
undo default-action
【缺省情況】
未配置URL過濾策略的缺省動作。
【視圖】
URL過濾策略視圖
【缺省用戶角色】
network-admin
【參數】
drop:表示丟棄報文。
permit:表示允許報文通過。
redirect:表示重定向動作,把符合特征的報文重定向到指定的Web頁麵上。
reset:表示通過發送TCP的reset報文從而使TCP連接斷開。
logging:表示生成報文日誌動作。
parameter-profile parameter-name:指定引用的動作參數。parameter-name是動作參數profile的名稱,為1~63個字符的字符串,不區分大小寫。如果不指定該參數或指定的參數不存在,則使用動作的缺省參數。這裏引用的動作參數是應用層檢測引擎中配置的動作參數,有關應用層檢測引擎中動作參數的詳細配置請參見“安全命令參考”中的“應用層檢測引擎”。
【使用指導】
配置此命令後,當報文沒有匹配上URL過濾策略中的規則時,設備將根據URL過濾策略的缺省動作對此報文進行處理。
【舉例】
# 在名為cmcc的URL過濾策略中,配置缺省動作為丟棄。
<Sysname> system-view
[Sysname] url-filter policy cmcc
[Sysname-url-filter-policy-cmcc] default-action drop
【相關命令】
· inspect redirect parameter-profile(安全命令參考/應用層檢測引擎)
· url-filter policy
description命令用來配置URL過濾分類的描述信息。
undo description命令用來恢複缺省情況。
【命令】
description text
undo description
【缺省情況】
自定義的URL過濾分類中未配置描述信息。
【視圖】
URL過濾分類視圖
【缺省用戶角色】
network-admin
【參數】
text:URL過濾分類的描述信息,為1~255個字符的字符串,可以包含空格,不區分大小寫。
【使用指導】
通過合理編寫描述信息,便於管理員快速理解和識別URL過濾分類的作用,有利於後期維護。
【舉例】
# 配置URL過濾分類news的描述信息為News information。
<Sysname> system-view
[Sysname] url-filter category news
[Sysname-url-filter-category-news] description News information
display url-filter category命令用來查看URL過濾分類信息。
【命令】
display url-filter category [ verbose ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
verbose:顯示URL過濾分類的詳細信息。如果不指定該參數,則顯示URL過濾分類的摘要信息。
【舉例】
# 查看URL過濾分類信息。
<Sysname> display url-filter category
URL category summary:
Predefined categories: 108
Predefined rules: 2000
User-defined categories: 0
User-defined rules: 0
URL category details:
Name: Pre-3C
Name: Pre-AdultPlace
Name: Pre-Advertisement
Name: Pre-Airplanes
Name: Pre-Alcohol
Name: Pre-Anime
Name: Pre-Arts
Name: Pre-Automobiles
Name: Pre-Bank
Name: Pre-BooksDownload
Name: Pre-Business
Name: Pre-CharityAndPublicInterest
Name: Pre-Clothes
Name: Pre-Community
Name: Pre-Divining
Name: Pre-DomainAndIDCServices
---- More ----
# 查看URL過濾分類的詳細信息。
<Sysname> display url-filter category verbose
URL category summary:
Predefined categories: 108
Predefined rules: 2000
User-defined categories: 0
User-defined rules: 0
URL category details:
Name: Pre-3C
Type: Predefined
Severity: 23
Rules: 15
Description: 3C
Name: Pre-AdultPlace
Type: Predefined
Severity: 585
Rules: 5
Description: AdultPlace
Name: Pre-Advertisement
Type: Predefined
Severity: 500
Rules: 21
---- More ----
表1-1 display url-filter category命令顯示信息描述表
|
字段 |
描述 |
|
URL category summary |
設備中URL過濾分類總數,包括預定義的分類和自定義的分類 |
|
Predefined categories |
預定義URL過濾分類數目 |
|
Predefined rules |
預定義URL過濾規則數目 |
|
User-defined categories |
自定義URL過濾分類數目 |
|
User-defined rules |
自定義URL過濾規則數目 |
|
URL category details |
URL過濾分類表項 |
|
Name |
URL過濾分類名稱 |
|
Type |
URL過濾分類類型,包括如下取值: · Predefined:預定義分類 · User defined:自定義分類 |
|
Severity |
URL過濾嚴重級別 |
|
Rules |
包含URL過濾規則數目 |
|
Description |
URL過濾分類描述信息 |
display url-filter signature information查看URL過濾特征庫信息。
【命令】
display url-filter signature information
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 查看URL過濾特征庫信息。
<Sysname> display url-filter signature information
URL filter signature library information:
Type SigVersion ReleaseTime Size
Current 1.0.0 Wed Jan 21 06:43:53 2015 36096
(null) - - -
Factory 1.0.0 Wed Jan 21 06:43:53 2015 36096
表1-2 display url-filter signature information命令顯示信息描述表
|
字段 |
描述 |
|
Type |
URL過濾特征庫版本,包括如下取值: · Current:當前版本 · Last:上一版本 · Factory:出廠版本 |
|
SigVersion |
URL過濾特征庫版本號 |
|
ReleaseTime |
URL過濾特征庫發布時間 |
|
Size |
URL過濾特征庫文件大小,單位是Bytes |
display url-filter statistics命令用來查看URL過濾的統計信息。
【命令】
display url-filter statistics
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示URL規則命中統計信息。
<Sysname> display url-filter statistics
Total HTTP requests : 0
Total permitted HTTP requests : 0
Total denied HTTP requests : 0
Requests that matched the blacklist : 0
Requests that matched the whitelist : 0
Requests that matched a user-defined rule : 0
Requests that matched a predefined rule : 0
Requests that matched a cached rule : 0
Requests that matched the default action : 0
Predefined URL filtering rules : 2000
--------------------------------------------------------------
表1-3 display url-filter statistics命令顯示信息描述表
|
字段 |
描述 |
|
Total HTTP requests |
HTTP報文總數 |
|
Total permitted HTTP requests |
HTTP報文放行個數 |
|
Total denied HTTP requests |
HTTP報文拒絕個數 |
|
Requests that matched the blacklist |
黑名單規則命中數 |
|
Requests that matched the whitelist |
白名單規則命中數 |
|
Requests that matched a user-defined rule |
自定義規則命中數 |
|
Requests that matched a predefined rule |
預定義規則命中數 |
|
Requests that matched a cached rule |
緩存規則命中數 |
|
Requests that matched the default action |
默認動作命中數 |
|
Predefined URL filtering rules |
預定義規則數量 |
include pre-defined命令用來向自定義URL過濾分類中添加預定義URL過濾分類中的規則。
undo include pre-defined命令用來恢複缺省情況。
【命令】
include pre-defined category-name
undo include pre-defined
【缺省情況】
自定義URL過濾分類中不存在預定義URL過濾分類中的規則。
【視圖】
URL過濾分類視圖
【缺省用戶角色】
network-admin
【參數】
category-name:表示預定義URL過濾分類的名稱,為1~63個字符的字符串,區分大小寫。指定的預定義URL過濾分類必須已存在。
【使用指導】
當新建的URL過濾分類中所需的規則與已存在的預定義URL過濾分類中的規則比較相似時,可通過此命令靈活、快速的創建URL過濾分類。
一個自定義URL過濾分類下隻能添加一個預定義URL過濾分類。多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在名稱為news的URL過濾分類中加預定義URL過濾分類pre-Arts中的規則。
<Sysname> system-view
[Sysname] url-filter category news
[Sysname-url-filter-category-news] include pre-defined pre-Arts
rename命令用來重命名URL過濾分類,並進入新的URL過濾分類視圖。
【命令】
rename new-name
【視圖】
URL過濾分類視圖
【缺省用戶角色】
network-admin
【參數】
new-name:表示新的URL過濾分類的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
原有URL過濾分類的名稱被修改後,URL過濾策略中引用的同名URL過濾分類的名稱也會被同步修改。
【舉例】
# 把名稱為news的URL過濾分類重命名為hello,並進入新的URL過濾分類視圖。
<Sysname> system-view
[Sysname] url-filter category news
[Sysname-url-filter-category-news] rename hello
[Sysname-url-filter-category-hello]
rename命令用來重命名URL過濾策略,並進入新的URL過濾策略視圖。
【命令】
rename new-name
【視圖】
URL過濾策略視圖
【缺省用戶角色】
network-admin
【參數】
new-name:表示新的URL過濾策略的名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
原有URL過濾策略的名稱被修改後,DPI應用profile中引用的同名URL過濾策略的名稱也會被同步修改。
【舉例】
# 把名稱為news的URL過濾策略重命名為hello,並進入新的URL過濾策略視圖。
<Sysname> system-view
[Sysname] url-filter policy news
[Sysname-url-filter-policy-news] rename hello
[Sysname-url-filter-policy-hello]
reset url-filter statistics命令用來清除URL過濾的統計信息。
【命令】
reset url-filter statistics
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【舉例】
# 清除URL過濾的統計信息。
<Sysname> reset url-filter statistics
【相關命令】
· display url-filter statistics
rule命令用來在自定義URL過濾分類中創建URL過濾規則。
undo rule命令用來在自定義URL過濾分類中刪除指定的URL過濾規則。
【命令】
rule rule-id host { regex regex | text string } [ uri { regex regex | text string } ]
undo rule rule-id
【缺省情況】
自定義URL過濾分類中不存在URL過濾規則。
【視圖】
URL過濾分類視圖
【缺省用戶角色】
network-admin
【參數】
rule-id:指定URL過濾規則編號,取值範圍為1~65535。
host:表示URL過濾規則匹配URL中的主機名字段。
uri:表示URL過濾規則匹配URL中的URI字段。
regex regex:表示URL過濾規則使用正則表達式對主機名和URI字段進行模糊匹配。regex表示正則表達式,區分大小寫,隻能以字母、數字和下劃線開頭,且必須包含連續的3個非通配符。其中,主機名正則表達式的取值範圍為3~224個字符的字符串;URI正則表達式的取值範圍為3~253個字符的字符串。
text string:表示URL過濾規則使用文本對主機名和URI字段進行精確匹配。string表示主機名或URI規則字符串,主機名規則的取值範圍為3~224個字符的字符串,不區分大小寫,主機名隻能是字母、數字、下劃線“_”、連接符“-”、冒號“:”、左方括號“[”、右方括號“]”和點號“.”,但URI無此限製;URI規則的取值範圍為3~255個字符的字符串,不區分大小寫。
【使用指導】
URL過濾規則是指對用戶HTTP報文中的URL進行匹配的原則,URL過濾規則支持兩種匹配方式:
· 文本匹配:使用指定的字符串對主機名和URI字段進行精確匹配。
¡ 匹配主機名字段時,URL中的主機名字段與規則中指定的主機名字符串必須完全一致,才能匹配成功。例如,規則中配置主機名字符串為abc.com.cn,則主機名為abc.com.cn的URL會匹配成功,而主機名為dfabc.com.cn的URL將與該規則匹配失敗。
¡ 匹配URI字段時,從URL中URI字段的首字符開始,隻要URI字段中連續若幹個字符與規則中指定的URI字符串完全一致,就算匹配成功。例如,規則中配置URI字符串為/sina/news,則URI為/sina/news、/sina/news/sports或/sina/news_sports的URL會匹配成功,而URI為/sina的URL將與該規則匹配失敗。
· 正則表達式匹配:使用正則表達式對主機名和URI字段進行模糊匹配。例如,規則中配置主機名的正則表達式為sina.*cn,則主機名為news.sina.com.cn的URL會匹配成功。
正則表達式有如下限製:
· 正則表達式中,總的分支不能超過四個。例如'abc(c|d|e|\x3D)'有效,'abc(c|onreset|onselect|onchange|style\x3D)'無效。
· 正則表達式中,括號不能嵌套,即括號中不能有括號。例如'ab((abcs*?))'無效。
· 正則表達式中,分支不支持串聯,即分支後麵不能有分支。例如'ab(a|b)(c|d)^\\r\\n]+?'無效。
· 正則表達式中,零次重複量詞'*'和'?'前麵必須有四個確定字符。例如'abc*'無效,'abcd*DoS\x2d\d{5}\x20\x2bxi\\r\\nJOIN'有效。
【舉例】
# 在URL過濾分類news中添加一條URL過濾規則,並使用字符串sina.com對主機名字段進行精確匹配。
<Sysname> system-view
[Sysname] url-filter category news
[Sysname-url-filter-category-news] rule 10 host text sina.com
【相關命令】
· url-filter category
update schedule命令用來配置定期自動在線升級URL過濾特征庫的時間。
undo update schedule命令用來恢複缺省情況。
【命令】
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
undo update schedule
【缺省情況】
設備在每天01:00:00至03:00:00之間自動在線升級URL過濾特征庫。
【視圖】
自動升級配置視圖
【缺省用戶角色】
network-admin
【參數】
daily:表示自動升級周期為每天。
weekly:表示以一周為周期,在指定的一天進行自動升級。
fri:表示星期五。
mon:表示星期一。
sat:表示星期六。
sun:表示星期日。
thu:表示星期四。
tue:表示星期二。
wed:表示星期三。
start-time time:指定自動升級開始時間,time的格式為hh:mm:ss,取值範圍為00:00~23:59:59。
tingle minutes:指定抖動時間,即實際自動升級開始時間的偏差範圍,取值範圍為0~120,單位為分鍾。在start-time指定時間的前後各偏移抖動時間的一半作為自動升級的時間範圍,例如,指定自動升級的開始時間為01:00:00,抖動時間為60分鍾,則自動升級的時間範圍為00:30:00至01:30:00。
【舉例】
# 配置URL過濾特征庫的定期自動在線升級時間為每周日20:30:00,抖動時間為10分鍾。
<Sysname> system-view
[Sysname] url-filter signature auto-update
[Sysname-url-filter-autoupdate] update schedule weekly sun start-time 20:30:00 tingle 10
【相關命令】
· url-filter signatures auto-update
url-filter apply policy命令用來在DPI應用profile中引用指定的URL過濾策略。
undo url-filter apply policy命令用來刪除引用的URL過濾策略。
【命令】
url-filter apply policy policy-name
undo url-filter apply policy
【缺省情況】
DPI應用profile中未引用URL過濾策略。
【視圖】
DPI應用profile視圖
【缺省用戶角色】
network-admin
【參數】
policy-name:URL過濾策略名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
URL過濾策略僅在被DPI應用profile引用後生效。一個DPI應用profile下隻能引用一個URL過濾策略。多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在名為abc的DPI應用profile下引用URL過濾策略news。
<Sysname> system-view
[Sysname] app-profile abc
[Sysname-app-profile-abc]url-filter apply policy news
【相關命令】
· app-profile(安全命令參考/應用層檢測引擎)
· display app-profile
· display url-filter policy
url-filter category命令用來創建URL過濾分類,並進入URL過濾分類視圖。如果指定的URL過濾分類已經存在,則直接進入該URL過濾分類視圖。
undo url-filter category命令用來刪除指定的URL過濾分類。
【命令】
url-filter category category-name [ severity severity-level ]
undo url-filter category category-name
【缺省情況】
隻存在預定義的URL過濾分類,且分類名稱以字符串Pre-開頭。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
category-name:表示URL過濾分類的名稱,為1~63個字符的字符串,不區分大小寫。不能以字符”Pre-“開頭,因為Pre-是預定義的URL過濾分類名稱。
severity severity-value:表示URL過濾分類的嚴重級別屬性。severity-value為嚴重級別,取值範圍為1000~65535,創建URL過濾分類時必須配置此參數,數值越大表示嚴重級別越高,且不同的URL過濾分類的嚴重級別不能相同。
【使用指導】
為便於管理員對數目眾多的URL過濾規則進行統一部署,URL過濾模塊提供了URL過濾分類功能,以便對具有相似特征的URL過濾規則進行歸納以及為匹配這些規則的URL統一指定處理動作。每個URL過濾分類具有一個嚴重級別屬性,該屬性值表示對屬於此過濾分類URL的處理優先級。
URL過濾分類包括兩種類型:
· 預定義分類:根據設備中的URL過濾特征庫自動生成,其內容和嚴重級別不可被修改。
· 自定義分類:由管理員手動配置,可修改其嚴重級別,可添加URL過濾規則。
當報文匹配成功的URL過濾規則同屬於多個URL過濾分類時,設備將根據嚴重級別最高的URL過濾分類中指定的動作對此報文進行處理。
【舉例】
# 創建一個名為news的URL過濾分類,指定其嚴重級別為2000。
<Sysname> system-view
[Sysname] url-filter category news severity 2000
[Sysname-url-filter-category-news]
【相關命令】
· display url-filter category
url-filter copy category命令用來複製URL過濾分類。
【命令】
url-filter copy category old-name new-name severity severity-level
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
old-name:原有分類名稱。必須為已創建的自定義分類。
new-name:新分類名稱,為1~63個字符的字符串,不區分大小寫。不能以字符“Pre-”開頭,因為Pre-是預定義的URL過濾分類名稱。
severity severity-level:表示URL過濾分類的嚴重級別。severity-level為嚴重級別,取值範圍為1000~65535。數值越大表示嚴重級別越高,且不同的分類嚴重級別不能相同,如果相同,則複製失敗。
【使用指導】
本命令用來複製已存在的URL過濾分類,可以方便用戶快速創建新的URL過濾分類。
【舉例】
# 通過複製名稱為news的URL過濾分類來創建一個名為test的URL過濾分類。
<Sysname> system-view
[Sysname] url-filter copy category news test severity 1001
[Sysname-url-filter-category-test]
【相關命令】
· url-filter category
url-filter copy policy命令用來複製URL過濾策略。
【命令】
url-filter copy policy old-name new-name
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
old-name:原有策略名稱。為1~31個字符的字符串,不區分大小寫。
new-name:新策略名稱。為1~31個字符的字符串,不區分大小寫。
【使用指導】
本命令用來複製已存在的URL過濾策略,可以方便用戶快速創建新的URL過濾策略。
【舉例】
# 通過複製名稱為news的URL過濾策略來創建2個新的URL過濾策略。
<Sysname> system-view
[Sysname] url-filter copy policy news news1
[Sysname-url-filter-policy-news_1] quit
[Sysname] url-filter copy policy news new2
[Sysname-url-filter-policy-news_2] quit
【相關命令】
· url-filter policy
url-filter log directory root命令用來配置URL過濾僅對網站根目錄下資源的訪問進行日誌記錄。
undo url-filter log directory root命令用來恢複缺省情況。
【命令】
url-filter log directory root
undo url-filter log directory root
【缺省情況】
URL過濾對網站所有路徑下資源的訪問均進行日誌記錄。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
配置此命令後,url-filter log except pre-defined和url-filter log except user-defined命令將失效。
【舉例】
# 配置URL過濾僅對網站根目錄下資源的訪問進行日誌記錄。
<Sysname> system-view
[Sysname] url-filter log directory root
【相關命令】
· category action logging
· default-action logging
· url-filter log except pre-defined
· url-filter log except user-defined
url-filter log enable命令用來開啟應用層檢測引擎日誌信息功能。
undo url-filter log enable命令用來關閉應用層檢測引擎日誌信息功能。
【命令】
url-filter log enable
undo url-filter log enable
【缺省情況】
應用層檢測引擎日誌信息功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
應用層檢測引擎日誌是為了滿足管理員審計需求。設備生成應用層檢測引擎日誌信息會交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“設備管理配置指導”中的“信息中心”。
【舉例】
# 開啟應用層檢測引擎日誌信息功能。
<Sysname> system-view
[Sysname] url-filter log enable
url-filter log except pre-defined命令用來配置URL過濾對預定義類型網頁資源的訪問不進行日誌記錄。
undo url-filter log except pre-defined命令用來配置URL過濾對預定義類型網頁資源的訪問進行日誌記錄。
【命令】
url-filter log except pre-defined { css | gif | ico | jpg | js | png | swf | xml }
undo url-filter log except pre-defined { css | gif | ico | jpg | js | png | swf | xml }
【缺省情況】
URL過濾對所有預定義類型網頁資源的訪問不進行日誌記錄。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
css:表示網頁資源類型為css。
gif:表示網頁資源類型為gif。
ico:表示網頁資源類型為ico。
jpg:表示網頁資源類型為jpg。
js:表示網頁資源類型為js。
png:表示網頁資源類型為png。
swf:表示網頁資源類型為swf。
xml:表示網頁資源類型為xml。
【使用指導】
此命令生效的優先級低於url-filter log directory root命令,如果已經配置url-filter log directory root命令,則本配置不能生效。因此,如果要本配置生效,則需要執行undo url-filter log directory root命令。
可多次執行此命令,指定多種不記錄訪問日誌的預定義網頁資源類型。
【舉例】
# 配置URL過濾對預定義css類型網頁資源的訪問不進行日誌記錄。
<Sysname> system-view
[Sysname] url-filter log except pre-defined css
【相關命令】
· category action logging
· default-action logging
· url-filter log directory root
· url-filter log except user-defined
url-filter log except user-defined命令用來配置URL過濾對自定義類型網頁資源的訪問不進行日誌記錄。
undo url-filter log except user-defined命令用來配置URL過濾對自定義類型網頁資源的訪問進行日誌記錄。
【命令】
url-filter log except user-defined text
undo url-filter log except user-defined [ text ]
【缺省情況】
未配置自定義類型網頁資源,URL過濾對除預定義類型之外的所有網頁資源的訪問均進行日誌記錄。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
text:表示自定義網頁資源類型,取值範圍為1~63個字符的字符串,不區分大小寫。
【使用指導】
此命令生效的優先級低於url-filter log directory root命令,如果已經配置url-filter log directory root命令,則本配置不能生效。因此,如果要本配置生效,則需要執行undo url-filter log directory root命令。
可多次執行此命令,指定多種不記錄訪問日誌的自定義網頁資源類型。
執行undo url-filter log except user-defined命令時,若未指定任何參數,則表示URL過濾對所有自定義類型網頁資源的訪問均進行日誌記錄。
【舉例】
# 配置URL過濾對自定義html類型網頁資源的訪問不進行日誌記錄。
<Sysname> system-view
[Sysname] url-filter log except user-defined html
【相關命令】
· category action logging
· default-action logging
· url-filter log directory root
· url-filter log except pre-defined
url-filter policy命令用來創建URL過濾策略,並進入URL過濾策略視圖。如果指定的URL過濾策略已經存在,則直接進入URL過濾策略視圖。
undo url-filter policy命令用來刪除指定的URL過濾策略。
【命令】
url-filter policy policy-name
undo url-filter policy policy-name
【缺省情況】
不存在URL過濾策略。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
policy-name:表示URL過濾策略的名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
一個URL過濾策略中可以為每個URL過濾分類配置動作,也可以在URL過濾策略中定義URL過濾策略的缺省動作。
URL過濾策略僅在被DPI應用profile中引用後生效。有關DPI應用profile的詳細介紹請參見“安全配置指導”中的“應用層檢測引擎”。
在開啟DRS功能後,即配置wlan drs enable命令的情況下,URL過濾策略的名稱不能為drs,否則設備重啟後會出現配置變更等問題。有關DRS功能的詳細介紹請參見“WLAN命令參考”中的“WLAN DRS”。
【舉例】
# 創建一個名為news的URL過濾策略
<Sysname> system-view
[Sysname] url-filter policy news
[Sysname-url-filter-policy-news]
url-filter signature auto-update命令用來開啟定期自動在線升級URL過濾特征庫功能,並進入自動升級配置視圖。
undo url-filter signature auto-update命令用來關閉定期自動在線升級URL過濾特征庫功能。
【命令】
url-filter signature auto-update
undo url-filter signature auto-update
【缺省情況】
定期自動在線升級URL過濾特征庫功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
如果設備可以訪問官方網站上的特征庫服務專區,可以采用定期自動在線升級方式來對設備上的URL過濾特征庫進行升級。
【舉例】
# 開啟定期自動在線升級URL過濾特征庫功能,並進入自動升級配置視圖。
<Sysname> system-view
[Sysname] url-filter signature auto-update
[Sysname-url-filter-autoupdate]
【相關命令】
· update schedule
url-filter signature auto-update-now命令用來立即自動在線升級URL過濾特征庫。
【命令】
url-filter signature auto-update-now
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
當管理員發現官方網站上的特征庫服務專區中的URL過濾特征庫有更新時,可以選擇立即自動在線升級方式來及時升級URL過濾特征庫版本。
【舉例】
# 立即自動在線升級URL過濾特征庫版本。
<Sysname> system-view
[Sysname] url-filter signature auto-update-now
url-filter signature rollback命令用來回滾URL過濾特征庫版本。
【命令】
url-filter signature rollback { factory | last }
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
factory:表示URL過濾特征庫的出廠版本。
last:表示URL過濾特征庫的上一版本。
【使用指導】
URL過濾特征庫回滾是指將當前的URL過濾特征庫版本回滾到指定的URL過濾特征庫版本。如果管理員發現設備對用戶訪問Web的URL過濾的誤報率較高或出現異常情況,則可以對當前URL過濾特征庫版本進行回滾。目前支持將設備中的URL過濾特征庫版本回滾到出廠版本和上一版本。
URL過濾特征庫版本每次回滾前,設備都會備份當前版本。多次回滾上一版本的操作將會在當前版本和上一版本之間反複切換。例如當前URL過濾特征庫版本是V2,上一版本是V1,第一次執行回滾到上一版本的操作後,特征庫替換成V1版本,再執行回滾上一版本的操作則特征庫重新變為V2版本。
【舉例】
# 配置URL過濾特征庫回滾到上一版本。
<Sysname> system-view
[Sysname] url-filter signature rollback last
url-filter signature update命令用來手動離線升級URL過濾特征庫。
【命令】
url-filter signature update file-path
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
file-path:指定特征庫文件的路徑,為1~255個字符的字符串。
【使用指導】
如果設備不能訪問官方網站上的特征庫服務專區,管理員可以采用如下幾種方式手動離線升級URL過濾特征庫版本。
· 本地升級:使用本地保存的特征庫文件升級係統上的URL過濾特征庫版本。
· FTP/TFTP升級:通過FTP或TFTP方式下載遠程服務器上保存的特征庫文件,並升級係統上的URL過濾特征庫版本。
使用本地升級方式離線升級特征庫版本時,特征庫文件隻能存儲在當前主用設備上,否則設備升級特征庫會失敗。(IRF模式)
參數file-path的取值與手動離線升級的操作方式有關。本地升級時參數file-path取值請參見表1-4;FTP/TFTP升級時參數file-path取值請參見表1-5。
表1-4 本地升級時參數file-path取值說明表
|
升級場景 |
參數file-path取值 |
說明 |
|
特征庫文件的存儲位置與當前工作路徑一致 |
filename |
可以執行pwd命令查看當前工作路徑 有關pwd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
|
特征庫文件的存儲位置與當前工作路徑不一致,且在相同存儲介質上 |
filename |
需要先執行cd命令將工作路徑切換至特征庫文件所在目錄下 有關cd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
|
特征庫文件的存儲位置與當前工作路徑不在相同存儲介質上 |
path/ filename |
需要先執行cd命令將工作路徑切換至特征庫文件所在存儲介質的根目錄下,再指定特征庫文件的相對路徑 有關cd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
表1-5 FTP/TFTP升級時參數file-path取值說明表
|
升級場景 |
參數file-path取值 |
說明 |
|
特征庫文件存儲在開啟FTP服務的遠程服務器上 |
ftp://username:password@server/filename |
username為登錄FTP服務器的用戶名,password為登錄FTP服務器的密碼,server為FTP服務器的IP地址或主機名 當FTP的用戶名和密碼中使用了“:”、“@”和“/”三種特殊字符時,需要將這三種特殊字符替換為其對應的轉義字符。“:”、“@”和“/”三種特殊字符對應的轉義字符分別為“%3A或%3a”、“%40”和“%2F或%2f” |
|
特征庫文件存儲在開啟TFTP服務的遠程服務器上 |
tftp://server/filename |
server為TFTP服務器的IP地址或主機名 |
當采用FTP/TFTP方式升級特征庫時,如果指定的是服務器的主機名,則需要確保設備能通過靜態或動態域名解析方式獲得FTP/TFTP服務器的IP地址,並與之路由可達。否則設備升級特征庫會失敗。有關域名解析功能的詳細配置請參見“網絡互通配置指導”中的“域名解析”。
【舉例】
# 配置手動離線升級URL過濾特征庫,且采用TFTP方式,URL過濾特征庫文件的遠程路徑為tftp://192.168.0.10/url-filter-1.0.2-en.dat。
<Sysname> system-view
[Sysname] url-filter signature update tftp://192.168.0.10/url-filter-1.0.2-en.dat
# 配置手動離線升級URL過濾特征庫,且采用FTP方式,URL過濾特征庫文件的遠程路徑為ftp://192.168.0.10/url-filter-1.0.2-en.dat,用戶名為user:123,密碼為user@abc/123。
<Sysname> system-view
[Sysname] url-filter signature update ftp://user%3A123:user%40abc%[email protected]/url-filter-1.0.2-en.dat
# 配置手動離線升級URL過濾特征庫,且采用本地方式,URL過濾特征庫文件的本地路徑為cfa0:/url-filter-1.0.23-en.dat,且當前工作路徑為cfa0:。
<Sysname> system-view
[Sysname] url-filter signature update url-filter-1.0.23-en.dat
# 配置手動離線升級URL過濾特征庫,且采用本地方式,URL過濾特征庫文件的本地路徑為cfa0:/dpi/url-filter-1.0.23-en.dat,且當前工作路徑為cfa0:。
<Sysname> cd dpi
<Sysname> system-view
[Sysname] url-filter signature update url-filter-1.0.23-en.dat
# 配置手動離線升級URL過濾特征庫,且采用本地方式,URL過濾特征庫文件的本地路徑為cfb0:/dpi/url-filter-1.0.23-en.dat,當前工作路徑為cfa0:。
<Sysname> cd cfb0:/
<Sysname> system-view
[Sysname] url-filter signature update dpi/url-filter-1.0.23-en.dat
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
