- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
20-安全策略配置
本章節下載: 20-安全策略配置 (312.65 KB)
目 錄
安全策略是根據報文的屬性信息對報文進行轉發控製和DPI(Deep Packet Inspection,深度報文檢測)深度安全檢測的防控策略。
安全策略對報文的控製是通過安全策略規則實現的,規則中可以設置匹配報文的過濾條件,處理報文的動作和對於報文內容進行深度檢測等功能。
安全策略中的每條規則都由唯一的名稱和編號標識。名稱必須在創建規則時由用戶手工指定;而編號既可以手工指定,也可以由係統自動分配。
每條規則中均可以配置多種過濾條件,具體包括:AP、AP組、SSID、源IP地址、源MAC地址、目的IP地址、用戶、用戶組、應用、應用組、URL過濾分類和服務。每種過濾條件中均可以配置多個匹配項。
規則基於會話對報文進行處理。規則允許報文通過後,設備會創建與此報文對應的會話表項,用於記錄有關此報文的相關信息。
安全策略規則觸發創建的會話,不僅可以根據報文的協議狀態或所屬的應用設置會話的老化時間,還可以基於規則設置會話的老化時間。規則中設置的會話老化時間優先級高於會話管理模塊設置的會話老化時間。有關會話的詳細介紹,請參見“安全配置指導”中的“會話管理”。
當設備安全策略對報文的處理流程下:
(1) 將報文的屬性信息與過濾條件中的匹配項進行匹配。每種過濾條件的多個匹配項之間是或的關係,即報文與某一個過濾條件中的任意一項匹配成功,則報文與此過濾條件匹配成功;若報文與某一個過濾條件中的所有項都匹配失敗,則報文與此過濾條件匹配失敗。
(2) 若報文與某條規則中的所有過濾條件都匹配成功(用戶與用戶組匹配一項即可,應用與應用組匹配一項即可,源IP地址與源MAC地址匹配一項即可),則報文與此條規則匹配成功。若有一個過濾條件不匹配,則報文與此條規則匹配失敗,報文繼續匹配下一條規則。以此類推,直到最後一條規則,若報文還未與規則匹配成功,則設備會丟棄此報文。
(3) 若報文與某條規則匹配成功,則結束此匹配過程,並對此報文執行規則中配置的動作。
¡ 若規則的動作為“丟棄”,則設備會丟棄此報文;
¡ 若規則的動作為“允許”,則設備繼續對報文做第4步處理;
(4) 若引用了DPI業務,則會對此報文進行DPI深度安全檢測;若未引用DPI業務,則直接允許此報文通過。
安全策略加速功能用來提高安全策略規則的匹配速度。當有大量用戶同時通過設備新建連接時,若安全策略內包含大量規則,此功能可以提高規則的匹配速度,保證網絡通暢;若安全策略加速功能失效,則匹配的過程將會很長,導致用戶建立連接的時間超長,同時也會占用係統大量的CPU資源。
安全策略組可以實現對安全策略規則的批量操作,例如批量啟用、禁用、刪除和移動安全策略規則。隻有當安全策略規則及其所屬的安全策略組均處於啟用狀態時,安全策略規則才能生效。
· 安全策略僅用於控製通過設備轉發的報文,對於源或目的是設備本身的報文不做控製。
· 當安全策略與包過濾同時配置時,因為安全策略對報文的處理在包過濾之前,報文與安全策略規則匹配成功後,不再進行包過濾處理,所以請合理配置安全策略和包過濾,否則可能會導致配置的包過濾不生效。
· 配置安全策略時,請按照“深度優先”的原則(即控製範圍小的、條件細化的在前,範圍大的在後)進行配置。
· 安全策略規則中不可配置包含用戶或用戶組的IP地址對象組作為過濾條件,如需過濾用戶,推薦直接在安全策略規則中配置用戶或用戶組作為過濾條件。
在配置安全策略之前,需完成以下任務:
· 配置時間段(請參見“安全配置指導”中的“時間段”)。
· 配置IP地址對象組和服務對象組(請參見“安全配置指導”中的“對象組”)。
· 配置應用和應用組(請參見“DPI深度安全配置指導”中的“APR”)。
· 配置用戶和用戶組(請參見“用戶接入與認證配置指導”中的“用戶身份識別與管理”)。
· 配置URL過濾分類(請參見“DPI深度安全配置指導”中的“URL過濾”)
安全策略配置任務如下:
(1) 開啟安全策略功能
(2) 配置IPv4安全策略規則
a. 創建安全策略規則
b. 配置規則過濾條件
c. 配置規則動作
d. (可選)配置規則生效時間
e. (可選)配置規則引用DPI應用profile
f. (可選)配置基於規則的會話老化時間
g. (可選)配置規則與Track項聯動
h. (可選)開啟規則記錄日誌功能
i. (可選)開啟規則匹配統計功能
(3) 配置IPv6安全策略規則
a. 創建安全策略規則
b. 配置規則過濾條件
c. 配置規則動作
d. (可選)配置規則生效時間
e. (可選)配置規則引用DPI應用profile
f. (可選)配置基於規則的會話老化時間
g. (可選)配置規則與Track項聯動
h. (可選)開啟規則記錄日誌功能
i. (可選)開啟規則匹配統計功能
(4) (可選)管理安全策略
a. 移動安全策略規則
b. 激活安全策略加速功能
c. 禁用安全策略規則
d. 重命名安全策略規則
(5) 配置安全策略組
a. 創建安全策略組
c. 移動安全策略組
d. 重命名安全策略組
(6) (可選)配置安全策略內容日誌的發送時間
(1) 進入係統視圖。
system-view
(2) 開啟安全策略功能。
undo security-policy disable
缺省情況下,安全策略功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 進入IPv4安全策略視圖。
security-policy ip
(3) (可選)配置安全策略的描述信息。
description text
缺省情況下,未配置安全策略的描述信息。
(4) 創建安全策略規則,並進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(5) (可選)配置安全策略規則的描述信息。
description text
缺省情況下,未配置安全策略規則的描述信息。
當安全策略規則中未配置任何過濾條件時,則該規則將匹配所有報文。
若規則中已引用對象組的內容為空,則此規則將不能匹配任何報文。
(1) 進入係統視圖。
system-view
(2) 進入IPv4安全策略視圖。
security-policy ip
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置源過濾條件。
¡ 配置作為安全策略規則過濾條件的源IPv4地址對象組。
source-ip object-group-name
缺省情況下,未配置源IPv4地址對象組過濾條件。
¡ 配置作為安全策略規則過濾條件的源IPv4主機地址。
source-ip-host ip-address
缺省情況下,未配置源IPv4主機地址過濾條件。
¡ 配置作為安全策略規則過濾條件的源IPv4子網地址。
source-ip-subnet ip-address { mask-length | mask }
缺省情況下,未配置源IPv4子網地址過濾條件。
¡ 配置作為安全策略規則過濾條件的源IPv4範圍地址。
source-ip-range ip-address1 ip-address2
缺省情況下,未配置源IPv4範圍地址過濾條件。
¡ 配置作為安全策略規則過濾條件的源MAC地址對象組。
source-mac object-group-name
缺省情況下,未配置源MAC地址對象組過濾條件。
(5) 配置目的過濾條件。
¡ 配置作為安全策略規則過濾條件的目的IPv4地址對象組。
destination-ip object-group-name
缺省情況下,未配置目的IPv4地址對象組過濾條件。
¡ 配置作為安全策略規則過濾條件的目的IPv4主機地址。
destination-ip-host ip-address
缺省情況下,未配置目的主機IPv4主機地址過濾條件。
¡ 配置作為安全策略規則過濾條件的目的IPv4子網地址。
destination-ip-subnet ip-address { mask-length | mask }
缺省情況下,未配置目的IPv4子網地址過濾條件。
¡ 配置作為安全策略規則過濾條件的目的IPv4範圍地址。
destination-ip-range ip-address1 ip-address2
缺省情況下,未配置目的IPv4範圍地址過濾條件。
(6) 配置作為安全策略規則過濾條件的SSID。
ssid ssid-name
缺省情況下,未配置SSID過濾條件。
(7) 配置AP類過濾條件。
¡ 配置作為安全策略規則過濾條件的AP。
ap ap-name
缺省情況下,未配置AP過濾條件。
¡ 配置作為安全策略規則過濾條件的AP組。
ap-group group-name
缺省情況下,未配置AP組過濾條件。
(8) 配置作為安全策略規則過濾條件的服務對象組。
service { object-group-name | any }
缺省情況下,未配置服務對象組過濾條件。
(9) 配置作為安全策略規則過濾條件的服務端口。
service-port protocol [ { destination { { eq | lt | gt } port | range port1 port2 } | source { { eq | lt | gt } port | range port1 port2 } } * | icmp-type icmp-code | icmpv6-type icmpv6-code ]
缺省情況下,未配置服務端口過濾條件。
(10) 配置應用類過濾條件。
¡ 配置作為安全策略規則過濾條件的應用。
application application-name
缺省情況下,未配置應用過濾條件。
為使安全策略中配置的應用可以被識別,必須先放行應用所依賴的基礎協議報文。
¡ 配置作為安全策略規則過濾條件的應用組。
app-group app-group-name
缺省情況下,未配置應用組過濾條件。
(11) 配置用戶類過濾條件。
¡ 配置作為安全策略規則過濾條件的用戶。
user username [ domain domain-name ]
缺省情況下,未配置用戶過濾條件。
¡ 配置作為安全策略規則過濾條件的用戶組。
user-group user-group-name [ domain domain-name ]
缺省情況下,未配置用戶組過濾條件。
(12) 配置作為安全策略規則過濾條件的URL過濾分類。
url-category url-category-name
缺省情況下,未配置URL過濾分類過濾條件。
(1) 進入係統視圖。
system-view
(2) 進入IPv4安全策略視圖。
security-policy ip
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則的動作。
action { drop | pass }
缺省情況下,安全策略規則動作是丟棄。
(1) 進入係統視圖。
system-view
(2) 進入IPv4安全策略視圖。
security-policy ip
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則生效的時間段。
time-range time-range-name
缺省情況下,不限製安全策略規則生效的時間。
通過在安全策略規則中引用DPI應用profile可實現對符合安全策略過濾條件的報文進行DPI相關業務的處理。
此功能僅在安全策略規則動作為允許的情況下才生效。
(1) 進入係統視圖。
system-view
(2) 進入IPv4安全策略視圖。
security-policy ip
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則的動作為允許。
action pass
缺省情況下,安全策略規則動作是丟棄。
(5) 配置安全策略規則引用DPI應用profile。
profile app-profile-name
缺省情況下,安全策略規則中未引用DPI應用profile。
此功能用來為匹配某條安全策略規則而生成的穩態會話和長連接會話設置老化時間。且此命令的配置僅影響後續生成的會話,對於已經生效的會話不產生作用。
此功能設置的會話老化時間優先級高於會話管理模塊設置的會話老化時間。有關會話管理模塊會話老化時間的詳細介紹,請參見“安全配置指導”中的“會話管理”。
長連接老化時間僅在TCP會話進入穩態(TCP-EST狀態)時生效。長連接會話老化時間優先級高於session aging-time命令配置的會話老化時間
(1) 進入係統視圖。
system-view
(2) 進入IPv4安全策略視圖。
security-policy ip
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置基於安全策略規則的會話老化時間。
session aging-time time-value
缺省情況下,未配置基於安全策略規則的會話老化時間。
(5) 配置基於安全策略規則的長連接會話老化時間。
session persistent aging-time time-value
缺省情況下,未配置基於安全策略規則的長連接會話老化時間。
在安全策略中可以配置規則與Track項進行聯動,規則與Track項聯動後,規則的狀態由Track的狀態決定。有關Track的詳細配置請參見“可靠性配置指導”中的“Track”。
配置安全策略規則與Track項的Negative狀態關聯後,當安全策略規則收到Negative狀態的Track通知時,將此規則置為有效狀態(Active),當安全策略規則收到Positive狀態的Track通知時,將此規則置為失效狀態(Inactive)。
配置安全策略規則與Track項的Positive狀態關聯後,當安全策略規則收到Positive狀態的Track通知時,將此規則置為有效狀態(Active),當安全策略規則收到Negative狀態的Track通知時,將此規則置為失效狀態(Inactive)。
(1) 進入係統視圖。
system-view
(2) 進入IPv4安全策略視圖。
security-policy ip
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則與Track項聯動。
track { negative | positive } track-entry-number
缺省情況下,安全策略規則未與Track項聯動。
開啟此功能後,設備對匹配規則的報文生成安全策略日誌信息,此日誌信息將會被交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。有關信息中心的詳細描述,請參見“設備管理配置指導”中的“信息中心”。
(1) 進入係統視圖。
system-view
(2) 進入IPv4安全策略視圖。
security-policy ip
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 開啟對符合過濾條件的報文記錄日誌信息的功能。
logging enable
缺省情況下,對符合過濾條件的報文記錄日誌信息的功能處於關閉狀態。
此功能用來對匹配規則的報文進行統計,可通過執行display security-policy statistics命令來查看相關報文的統計信息。
開啟安全策略規則匹配統計功能時,若指定了period參數,則當到達指定時長後,係統會自動關閉該功能,並刪除該配置;若沒有指定period參數,則永久開啟統計功能,隻有執行undo命令後才可以關閉該功能。
(1) 進入係統視圖。
system-view
(2) 進入IPv4安全策略視圖。
security-policy ip
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 開啟安全策略規則匹配統計功能。
counting enable [ period value ]
缺省情況下,安全策略規則匹配統計功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 進入IPv6安全策略視圖。
security-policy ipv6
(3) (可選)配置安全策略的描述信息。
description text
缺省情況下,未配置安全策略的描述信息。
(4) 創建安全策略規則,並進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(5) (可選)配置安全策略規則的描述信息。
description text
缺省情況下,未配置安全策略規則的描述信息。
當安全策略規則中未配置任何過濾條件時,則該規則將匹配所有報文。
若規則中已引用對象組的內容為空,則此規則將不能匹配任何報文。
(1) 進入係統視圖。
system-view
(2) 進入IPv6安全策略視圖。
security-policy ipv6
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置源過濾條件。
¡ 配置作為安全策略規則過濾條件的源IPv6地址對象組。
source-ip object-group-name
缺省情況下,未配置源IPv6地址對象組過濾條件。
¡ 配置作為安全策略規則過濾條件的源IPv6主機地址。
source-ip-host ipv6-address
缺省情況下,未配置源IPv6主機地址過濾條件。
¡ 配置作為安全策略規則過濾條件的源IPv6子網地址。
source-ip-subnet ipv6-address prefix-length
缺省情況下,未配置源IPv6子網地址過濾條件。
¡ 配置作為安全策略規則過濾條件的源IPv6範圍地址。
source-ip-range ipv6-address1 ipv6-address2
缺省情況下,未配置源IPv6範圍地址過濾條件。
(5) 配置目的過濾條件。
¡ 配置作為安全策略規則過濾條件的目的IPv6地址對象組。
destination-ip object-group-name
缺省情況下,未配置目的IPv6地址對象組過濾條件。
¡ 配置作為安全策略規則過濾條件的目的IPv6主機地址。
destination-ip-host ipv6-address
缺省情況下,未配置目的主機IPv6主機地址過濾條件。
¡ 配置作為安全策略規則過濾條件的目的IPv6子網地址。
destination-ip-subnet ipv6-address prefix-length
缺省情況下,未配置目的IPv6子網地址過濾條件。
¡ 配置作為安全策略規則過濾條件的目的IPv6範圍地址。
destination-ip-range ipv6-address1 ipv6-address2
缺省情況下,未配置目的IPv6範圍地址過濾條件。
(6) 配置作為安全策略規則過濾條件的服務對象組。
service { object-group-name | any }
缺省情況下,未配置服務對象組過濾條件。
(7) 配置作為安全策略規則過濾條件的服務端口。
service-port protocol [ { destination { { eq | lt | gt } port | range port1 port2 } | source { { eq | lt | gt } port | range port1 port2 } } * | icmp-type icmp-code | icmpv6-type icmpv6-code ]
缺省情況下,未配置服務端口過濾條件。
(8) 配置應用類過濾條件。
¡ 配置作為安全策略規則過濾條件的應用。
application application-name
缺省情況下,未配置應用過濾條件。
為使安全策略中配置的應用可以被識別,必須先放行應用所依賴的基礎協議報文。
¡ 配置作為安全策略規則過濾條件的應用組。
app-group app-group-name
缺省情況下,未配置應用組過濾條件。
(9) 配置用戶類過濾條件。
¡ 配置作為安全策略規則過濾條件的用戶。
user username [ domain domain-name ]
缺省情況下,未配置用戶過濾條件。
¡ 配置作為安全策略規則過濾條件的用戶組。
user-group user-group-name [ domain domain-name ]
缺省情況下,未配置用戶組過濾條件。
(10) 配置作為安全策略規則過濾條件的URL過濾分類。
url-category url-category-name
缺省情況下,未配置URL過濾分類過濾條件。
(1) 進入係統視圖。
system-view
(2) 進入IPv6安全策略視圖。
security-policy ipv6
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則的動作。
action { drop | pass }
缺省情況下,安全策略規則動作是丟棄。
(1) 進入係統視圖。
system-view
(2) 進入IPv6安全策略視圖。
security-policy ipv6
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則生效的時間段。
time-range time-range-name
缺省情況下,不限製安全策略規則生效的時間。
通過在安全策略規則中引用DPI應用profile可實現對符合安全策略過濾條件的報文進行DPI相關業務的處理。
此功能僅在安全策略規則動作為允許的情況下才生效。
(1) 進入係統視圖。
system-view
(2) 進入IPv6安全策略視圖。
security-policy ipv6
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則的動作為允許。
action pass
缺省情況下,安全策略規則動作是丟棄。
(5) 配置安全策略規則引用DPI應用profile。
profile app-profile-name
缺省情況下,安全策略規則中未引用DPI應用profile。
此功能用來為匹配某條安全策略規則而生成的穩態會話和長連接會話設置老化時間。且此命令的配置僅影響後續生成的會話,對於已經生效的會話不產生作用。
此功能設置的會話老化時間優先級高於會話管理模塊設置的會話老化時間。有關會話管理模塊會話老化時間的詳細介紹,請參見“安全配置指導”中的“會話管理”。
長連接老化時間僅在TCP會話進入穩態(TCP-EST狀態)時生效。長連接會話老化時間優先級高於session aging-time命令配置的會話老化時間
(1) 進入係統視圖。
system-view
(2) 進入IPv6安全策略視圖。
security-policy ipv6
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置基於安全策略規則的會話老化時間。
session aging-time time-value
缺省情況下,未配置基於安全策略規則的會話老化時間。
(5) 配置基於安全策略規則的長連接會話老化時間。
session persistent aging-time time-value
缺省情況下,未配置基於安全策略規則的長連接會話老化時間。
在安全策略中可以配置規則與Track項進行聯動,規則與Track項聯動後,規則的狀態由Track的狀態決定。有關Track的詳細配置請參見“可靠性配置指導”中的“Track”。
配置安全策略規則與Track項的Negative狀態關聯後,當安全策略規則收到Negative狀態的Track通知時,將此規則置為有效狀態(Active),當安全策略規則收到Positive狀態的Track通知時,將此規則置為失效狀態(Inactive)。
配置安全策略規則與Track項的Positive狀態關聯後,當安全策略規則收到Positive狀態的Track通知時,將此規則置為有效狀態(Active),當安全策略規則收到Negative狀態的Track通知時,將此規則置為失效狀態(Inactive)。
(1) 進入係統視圖。
system-view
(2) 進入IPv6安全策略視圖。
security-policy ipv6
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則與Track項聯動。
track { negative | positive } track-entry-number
缺省情況下,安全策略規則未與Track項聯動。
開啟此功能後,設備對匹配規則的報文生成安全策略日誌信息,此日誌信息將會被交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。有關信息中心的詳細描述,請參見“設備管理配置指導”中的“信息中心”。
(1) 進入係統視圖。
system-view
(2) 進入IPv6安全策略視圖。
security-policy ipv6
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 開啟對符合過濾條件的報文記錄日誌信息的功能。
logging enable
缺省情況下,對符合過濾條件的報文記錄日誌信息的功能處於關閉狀態。
此功能用來對匹配規則的報文進行統計,可通過執行display security-policy statistics命令來查看相關報文的統計信息。
開啟安全策略規則匹配統計功能時,若指定了period參數,則當到達指定時長後,係統會自動關閉該功能,並刪除該配置;若沒有指定period參數,則永久開啟統計功能,隻有執行undo命令後才可以關閉該功能。
(1) 進入係統視圖。
system-view
(2) 進入IPv6安全策略視圖。
security-policy ipv6
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 開啟安全策略規則匹配統計功能。
counting enable [ period value ]
缺省情況下,安全策略規則匹配統計功能處於關閉狀態。
由於安全策略規則缺省按照其被創建的先後順序進行匹配,因此為了使用戶能夠靈活調整規則的匹配順序,可通過本功能來移動規則的位置,從而改變規則的匹配順序。
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 移動安全策略規則。
¡ 通過安全策略規則ID移動規則。
move rule rule-id before insert-rule-id
¡ 通過安全策略規則名稱移動規則。
move rule name rule-name1 { { after | before } name rule-name2 | bottom | down | top | up }
缺省情況下,係統按照固定時間間隔判斷是否需要激活安全策略規則的加速功能,並對本周期內發生變化(新增、刪除、修改或移動)的安全策略規則進行加速。當安全策略規則小於等於100條時,係統判斷是否需要激活的時間間隔為2秒;當安全策略規則大於100條時,此時間間隔為20秒。如果希望對發生變化的安全策略規則立即進行加速,可執行accelerate enhanced enable命令手工激活安全策略規則加速功能。
激活加速功能後,若係統判定安全策略規則發生了變化(新增、刪除、修改或移動),則會對當前所有的安全策略規則進行重新加速,否則,不會重新加速。
激活安全策略規則加速功能時,內存資源不足會導致安全策略規則加速失敗。加速失敗後,本間隔內發生變化的安全策略規則未進行加速,從而導致變化的安全策略規則不生效,之前已經加速成功的規則不受影響。在下一個時間間隔到達後,係統會再次嚐試對安全策略規則進行加速。
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 激活安全策略規則的加速功能。
accelerate enhanced enable
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 禁用安全策略規則。
disable
缺省情況下,安全策略規則處於啟用狀態。
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 重命名安全策略規則。
rule rename old-name new-name
將安全策略規則加入安全策略組時,會將指定範圍內若幹連續的安全策略規則加入同一個安全策略組。
執行undo命令行時的具體功能如下:
· undo group name group-name命令用來僅刪除安全策略組,但不刪除策略組中的規則。
· undo group name group-name description命令用來僅刪除安全策略組的描述信息。
· undo group name group-name include-member命令用來刪除安全策略組及其策略組中的所有規則。
將安全策略規則加入安全策略組時,起始規則要在結束規則前麵,並且起始規則和結束規則之間的規則不能屬於其他安全策略組。
同一個安全策略組中的安全策略規則類型必須相同。
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 創建安全策略組,並將指定的安全策略規則加入此安全策略組。
group name group-name [ from rule-name1 to rule-name2 ] [ description description-text ] [ disable | enable ]
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則所屬的安全策略組。
parent-group group-name
通過移動安全策略組可以批量改變安全策略規則的優先級。
如果目標安全策略規則已經屬於其他安全策略組,按照其在安全策略組中的位置,受如下原則的約束。
· 如果規則位於策略組中間位置,則不能移動。
· 如果規則位於策略組開始位置,隻可以移動到目標規則之前。
· 如果規則位於策略組結束位置,隻可以移動到目標規則之後。
僅能在相同類型的安全策略規則或安全策略組之間移動安全策略組。
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 移動安全策略組。
group move group-name1 { after | before } { group group-name2 | rule rule-name }
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 重命名安全策略組。
group rename old-name new-name
在快速日誌輸出模塊中開啟生成安全策略國家電網日誌功能後(即執行customlog format security-policy sgcc命令),設備會在每天指定的時間以國家電網日誌的格式發送此時所有處於生效狀態安全策略規則的配置信息。有關快速日誌輸出的詳細介紹,請參見“網絡管理和監控配置指導”中的“快速日誌輸出”。
(1) 進入係統視圖。
system-view
(2) 配置每天發送安全策略內容日誌的時間。
security-policy config-logging send-time time
缺省情況下,發送安全策略內容日誌的時間為每天的零點。
在完成上述配置後,在任意視圖下執行display命令可以顯示安全策略的配置信息,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除安全策略的統計信息。
|
操作 |
命令 |
|
顯示安全策略的配置信息 |
display security-policy { ip | ipv6 } [ rule name rule-name ] |
|
顯示安全策略的統計信息 |
display security-policy statistics { ip | ipv6 } [ rule rule-name ] |
|
清除安全策略的統計信息 |
reset security-policy statistics [ ip | ipv6 ] [ rule rule-name ] |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
