- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-安全策略命令
本章節下載: 02-安全策略命令 (280.74 KB)
目 錄
1.1.1 accelerate enhanced enable
1.1.6 description (security-policy rule view)
1.1.7 description (security-policy view)
1.1.11 display security-policy
1.1.12 display security-policy statistics
1.1.13 display security-policy switch-result
1.1.17 reset security-policy statistics
1.1.20 security-policy disable
1.1.21 security-policy switch-from object-policy
accelerate enhanced enable命令用來激活安全策略規則的加速功能。
【命令】
accelerate enhanced enable
【視圖】
IPv4安全策略視圖
IPv6安全策略視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
安全策略加速功能生效後,使用激活規則的加速功能可以使後續新增或修改規則的加速功能生效。激活規則的加速功能包括如下方式:
· 手動激活:是指新增或修改規則後,手動執行accelerate enhanced enable命令使這些規則的加速功能生效。
· 自動激活:是指在安全策略視圖中停止配置規則的20秒後,係統會自動激活這些規則的加速功能,這種方式能夠避免因忘記手工激活規則而導致新增或修改規則不生效的問題。
激活安全策略規則的加速功能時,需要注意的是:
· 設備上的安全策略加速功能默認開啟,且不能手動關閉。但是如下幾種情況會導致安全策略加速功能失效。
¡ 激活安全策略規則加速功能時,內存資源不足會導致安全策略加速失效。
¡ 若安全策略規則中指定的IP地址對象組中包含排除地址和通配符掩碼,則會導致安全策略加速功能失效。
· 安全策略加速失效後,設備無法對報文進行快速匹配,但是仍然可以進行原始的慢速匹配。
· 為使新增或修改的規則可以對報文進行匹配,必須激活這些規則的加速功能。
· 激活安全策略規則的加速功能時比較消耗內存資源,不建議頻繁激活加速功能。建議在所有安全策略規則配置和修改完成後,統一執行accelerate enhanced enable命令。
· 若安全策略規則中指定的IP地址對象組中包含用戶或用戶組,則此條安全策略規則失效,將無法匹配任何報文。
· 安全策略規則中引用對象組的內容發生變化後,也需要重新激活該規則的加速功能。
【舉例】
# 激活安全策略規則的加速功能。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] accelerate enhanced enable
action命令用來配置安全策略規則的動作。
【命令】
action { drop | pass }
【缺省情況】
安全策略規則動作是丟棄。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
drop:表示丟棄符合條件的報文。
pass:表示允許符合條件的報文通過。
【使用指導】
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 為安全策略規則rule1配置動作為丟棄。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] action drop
【相關命令】
· app-profile(DPI深度安全命令參考/應用層檢測引擎)
· display security-policy
app-group命令用來配置作為安全策略規則過濾條件的應用組。
undo app-group命令用來刪除作為安全策略規則過濾條件的應用組。
【命令】
app-group app-group-name
undo app-group [ app-group-name ]
【缺省情況】
安全策略規則中不存在過濾條件。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
app-group-name:表示應用組的名稱,為1~63個字符的字符串,不區分大小寫,且不能為字符串invalid和other。使用undo命令時若不指定此參數,則表示刪除此規則中所有應用組類型的過濾條件。有關應用組的詳細介紹,請參見“安全配置指導”中的“APR”。
【使用指導】
多次執行本命令,可配置多個應用組作為安全策略規則的過濾條件。
【舉例】
# 配置作為安全策略規則rule1過濾條件的應用組為app1和app2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] app-group app1
[Sysname-security-policy-ip-0-rule1] app-group app2
【相關命令】
· app-group(安全命令參考/APR)
· display security-policy
application命令用來配置作為安全策略規則過濾條件的應用。
undo application命令用來刪除作為安全策略規則過濾條件的應用。
【命令】
application application-name
undo application [ application-name ]
【缺省情況】
安全策略規則中不存在過濾條件。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
application-name:表示應用的名稱,為1~63個字符的字符串,不區分大小寫,且不能為字符串invalid和other。使用undo命令時若不指定此參數,則表示刪除此規則中所有應用類型的過濾條件。有關應用的詳細介紹,請參見“安全配置指導”中的“APR”。
【使用指導】
多次執行本命令,可配置多個應用作為安全策略規則的過濾條件。
【舉例】
# 配置作為安全策略規則rule1過濾條件的應用為139Mail和51job。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] application 139Mail
[Sysname-security-policy-ip-0-rule1] application 51job
【相關命令】
· display security-policy
· nbar application(安全命令參考/APR)
· port-mapping(安全命令參考/APR)
counting enable命令用來開啟安全策略規則匹配統計功能。
undo counting enable命令用來關閉安全策略規則匹配統計功能。
【命令】
counting enable
undo counting enable
【缺省情況】
安全策略規則匹配統計功能處於關閉狀態。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
此功能用來對匹配安全策略規則的報文進行統計,可通過執行display security-policy statistics命令來查看相關報文的統計信息。
【舉例】
# 為安全策略規則rule1開啟規則匹配統計功能。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] counting enable
【相關命令】
· display security-policy
· display security-policy statistics
description命令用來配置安全策略規則的描述信息。
undo description命令用來刪除指定規則的描述信息。
【命令】
description text
undo description
【缺省情況】
未配置安全策略規則的描述信息。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
text:表示安全策略規則的描述信息,為1~127個字符的字符串,區分大小寫。
【舉例】
# 為IPv4安全策略規則0配置描述信息為This rule is used for source-ip ip1。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] description This rule is used for source-ip ip1
【相關命令】
· display security-policy ip
· display security-policy ipv6
description命令用來配置安全策略的描述信息。
undo description命令用來恢複缺省情況。
【命令】
description text
undo description
【缺省情況】
未配置安全策略的描述信息。
【視圖】
IPv4安全策略視圖
IPv6安全策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
text:表示安全策略的描述信息,為1~127個字符的字符串,區分大小寫。
【舉例】
# 配置安全策略的描述信息為“zone-pair security office to library”。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] description zone-pair security office to library
【相關命令】
· display security-policy
destination-ip命令用來配置作為安全策略規則過濾條件的目的IP地址。
undo destination-ip命令用來刪除作為安全策略規則過濾條件的目的IP地址。
【命令】
destination-ip object-group-name
undo destination-ip [ object-group-name ]
【缺省情況】
安全策略規則中不存在過濾條件。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
object-group-name:表示目的地址對象組的名稱,為1~31個字符的字符串,不區分大小寫,且不能為字符串any。使用undo命令時若不指定此參數,則表示刪除此規則中所有目的IP地址類型的過濾條件。有關地址對象組的詳細介紹,請參見“安全配置指導”中的“對象組”。
【使用指導】
多次執行本命令,可配置多個目的IP地址作為安全策略規則的過濾條件。
配置目的IP地址作為安全策略規則的過濾條件時,若指定的地址對象組不存在,該配置仍會配置成功,同時也會在係統中創建一個名稱為指定名稱的空配置地址對象組,但此條過濾條件不會匹配任何報文。
【舉例】
# 配置作為安全策略規則rule1過濾條件的目的地址對象組為client1和client2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] destination-ip client1
[Sysname-security-policy-ip-0-rule1] destination-ip client2
【相關命令】
· display security-policy
· object-group(安全命令參考/對象組)
destination-zone命令用來配置作為安全策略規則過濾條件的目的安全域。
undo destination-zone命令用來刪除作為安全策略規則過濾條件的目的安全域。
【命令】
destination-zone destination-zone-name
undo destination-zone [ destination-zone-name ]
【缺省情況】
安全策略規則中不存在過濾條件。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
destination-zone-name:表示目的安全域的名稱,為1~31個字符的字符串,不區分大小寫。使用undo命令時若不指定此參數,則表示刪除此規則中所有目的安全域類型的過濾條件。有關安全域的詳細介紹,請參見“安全配置指導”中的“安全域”。
【使用指導】
多次執行本命令,可配置多個目的安全域作為安全策略規則的過濾條件。
【舉例】
# 配置作為安全策略規則rule1過濾條件的目的安全域為Trust和server。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] destination-zone trust
[Sysname-security-policy-ip-0-rule1] destination-zone server
【相關命令】
· display security-policy
· security-zone(安全命令參考/安全域)
disable命令用來禁用安全策略規則。
undo disable命令用來啟用安全策略規則。
【命令】
disable
undo disable
【缺省情況】
安全策略規則處於啟用狀態。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【舉例】
# 禁用安全策略規則rule1。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] disable
【相關命令】
· display security-policy
display security-policy命令用來顯示安全策略的配置信息。
【命令】
display security-policy { ip | ipv6 }
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
ip:表示顯示IPv4安全策略的配置信息。
ipv6:表示顯示IPv6安全策略的配置信息。
【舉例】
# 顯示IPv4安全策略的配置信息。
<Sysname> display security-policy ip
Security-policy ip
rule 0 name der (Inactive)
action pass
profile er
vrf re
logging enable
counting enable
time-range dere
track positive 23
session aging-time 5000
session persistent aging-time 2400
source-zone trust
destination-zone trust
source-ip erer
destination-ip client1
service ftp
app-group ere
application 110Wang
user der
user-group ere
表1-1 display security-policy命令顯示信息描述表
|
表示規則的ID和名稱 |
|
|
action pass |
表示規則動作,其取值如下: · pass:表示允許報文通過 · drop:表示丟棄報文 |
|
profile app-profile-name |
表示引用的DPI應用profile |
|
vrf vrf-name |
表示VPN多實例的名稱 |
|
logging enable |
表示開啟了對符合規則過濾條件的報文記錄日誌信息的功能 |
|
counting enable |
表示開啟了安全策略規則匹配統計的功能 |
|
time-range time-range-name |
表示此規則生效的時間段 |
|
track negative 1 (Active) |
表示安全策略規則生效狀態與Track項的Negative狀態關聯,且此規則的狀態為Active,規則的生效狀態取值包括: · Active:表示生效狀態 · Inative:表示禁用狀態 |
|
track positive 1 (Inactive) |
表示安全策略規則生效狀態與Track項的Positive或NotReady狀態關聯,且此規則的狀態為Active,規則的生效狀態取值包括: · Active:表示生效狀態 · Inative:表示禁用狀態 |
|
session aging-time time-value |
表示此規則中設置的會話老化時間,單位為秒 |
|
session persistent aging-time time-value |
表示此規則中設置的長連接會話的老化時間,單位為小時 |
|
source-zone zone-name |
表示規則配置了源安全域作為過濾條件 |
|
destination-zone zone-name |
表示規則配置了目的安全域作為過濾條件 |
|
source-ip object-group-name |
表示規則配置了源IP地址作為過濾條件 |
|
destination-ip object-group-name |
表示規則配置了目的IP地址作為過濾條件 |
|
service object-group-name |
表示規則配置了服務作為過濾條件 |
|
app-group app-group-name |
表示規則配置了應用組作為過濾條件 |
|
application application-name |
表示規則配置了應用作為過濾條件 |
|
user user-name |
表示規則配置了用戶作為過濾條件 |
|
user-group user-group-name |
表示規則配置了用戶組作為過濾條件 |
【相關命令】
· security-policy ip
· security-policy ipv6
display security-policy statistics命令用來顯示安全策略的統計信息。
【命令】
display security-policy statistics { ip | ipv6 } [ rule rule-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
ip:表示顯示IPv4安全策略的統計信息。
ipv6:表示顯示IPv6安全策略的統計信息。
rule rule-name:表示顯示指定安全策略規則的統計信息。rule-name是安全策略規則的名稱,為1~127個字符的字符串,不區分大小寫。若不指定此參數,則顯示所有IPv4或IPv6類型的安全策略統計信息。
【舉例】
# 顯示IPv4安全策略下名稱為abc的規則的統計信息。
<Sysname> display security-policy statistics ip rule abc
IPv4 security policy rule: abc
Action: pass (5 packets, 1000 bytes)
表1-2 display security-policy statistics命令顯示信息描述表
|
字段 |
描述 |
|
IPv4 security policy rule name |
IPv4安全策略規則,名稱為name |
|
Action |
表示安全策略規則動作,其取值包括如下: · pass:表示允許報文通過 · drop:表示丟棄報文 |
|
x packets, y bytes |
該安全策略規則匹配x個報文,共y字節(本字段僅在配置安全策略規則配置了counting enable或logging enable命令時顯示,當未匹配任何報文時不顯示本字段) |
【相關命令】
· reset security-policy statistics
display security-policy switch-result命令用來顯示對象策略轉換為安全策略的轉換結果。
【命令】
display security-policy switch-result
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【使用指導】
若係統中未執行過security-policy switch-from object-policy命令,則執行此命令時不顯示任何信息。執行security-policy switch-from object-policy命令後,無論配置是否轉換成功,執行此命令均可以看到轉換結果。
【舉例】
# 顯示對象策略轉換成為安全策略成功的轉換結果。
<Sysname> display security-policy switch-result
Time: 2017-03-13 18-11-17
Result: Successful
Object policy file: flash:/chenlu_concon.cfg
Security policy file: flash:/chenlu_concon_secp.cfg
# 顯示對象策略轉換成為安全策略失敗的轉換結果。
<Sysname> display security-policy switch-result
Time: 2017-03-13 18-11-15
Result: Failed
Object policy file: flash:/chenlu_convert.cfg
Security policy file: flash:/chenlu_convert_secp.cfg
Failure reason: The switching operation fails because the source or destination security zone is set to any for the zone pair and the action of an object policy rule is set to drop.
表1-3 display security-policy switch result命令顯示信息描述表
|
字段 |
描述 |
|
Time |
配置轉換的時間,應格式為:年-月-日 時-分-秒 |
|
Result |
配置轉換的結果,取值包括如下: · Successful:表示配置轉換成功 · Failed:表示配置轉換失敗 |
|
Object policy file |
轉換前配置文件的名稱 |
|
Security policy file |
轉換後生成的配置文件的名稱 |
|
Failure reason |
轉換失敗的原因,若配置轉換成功,則不顯示此項 |
【相關命令】
· security-policy switch-from object-policy
logging enable命令用來開啟安全策略規則記錄日誌的功能。
undo logging enable命令用來關閉安全策略規則記錄日誌的功能。
【命令】
logging enable
undo logging enable
【缺省情況】
安全策略規則記錄日誌的功能處於關閉狀態。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
開啟此功能後,設備對匹配規則的報文生成安全策略日誌信息,此日誌信息將會被交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。有於信息中心的詳細描述,請參見“網絡管理和監控配置指導”中的“信息中心”。
【舉例】
# 在安全策略規則rule1中開啟安全策略規則記錄日誌的功能。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] logging enable
【相關命令】
· display security-policy
move rule命令用來移動安全策略規則。
【命令】
move rule rule-id before insert-rule-id
【視圖】
IPv4安全策略視圖
IPv6安全策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
rule-id:指定待移動安全策略規則的編號,取值範圍為0~65534。
insert-rule-id:表示移動到指定編號的規則之前,取值範圍為0~65535,其中指定編號為65535時表示移動到所有規則之後。
【使用指導】
如果insert-rule-id與rule-id相同或其指定的規則不存在,則不執行任何移動操作。
【舉例】
# 在IPv4安全策略上,將安全策略規則5移動到規則2之前。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] move rule 5 before 2
【相關命令】
· rule
· security-policy ip
· security-policy ipv6
profile命令用來在安全策略規則中引用DPI應用profile。
undo profile命令用來刪除在安全策略規則中引用的DPI應用profile。
【命令】
profile app-profile-name
undo profile
【缺省情況】
安全策略規則中未引用DPI應用profile。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
app-profile-name:表示DPI應用profile的名稱,為1~63個字符的字符串,不區分大小寫。有關DPI應用profile的詳細介紹,請參見“DPI深度安全命令參考”中的“應用層檢測引擎”。
【使用指導】
通過在安全策略規則中引用DPI應用profile可實現對符合安全策略過濾條件的報文進行相關DPI業務的處理。有關DPI各業務的詳細介紹,請參見“DPI深度安全配置指導”中的相關模塊。
此命令僅在安全策略規則動作為允許的情況下才生效。
【舉例】
# 在IPv4安全策略規則rule1中引用名稱為p1的DPI應用profile。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] action pass
[Sysname-security-policy-ip-0-rule1] profile p1
【相關命令】
· action pass
· app-profile(DPI深度安全命令參考/應用層檢測引擎)
· display security-policy ip
reset security-policy statistics命令用來清除安全策略的統計信息。
【命令】
reset security-policy statistics [ ip | ipv6 ] [ rule rule-name ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip:表示清除IPv4安全策略的統計信息。
ipv6:表示清除IPv6安全策略的統計信息。
rule rule-name:表示清除指定安全策略規則的統計信息。rule-name是安全策略規則的名稱,為1~127個字符的字符串,不區分大小寫。
【使用指導】
若未指定參數rule,則清除所有指定類型安全策略的統計信息;若未指定參數ip或ipv6,則清除所有類型安全策略的統計信息。
【舉例】
# 清除IPv4安全策略下名稱為abc的規則的統計信息。
<Sysname> reset security-policy statistics ip rule abc
【相關命令】
· display security-policy statistics
rule命令用來創建安全策略規則,並進入安全策略規則視圖。如果指定的安全策略規則已經存在,則直接進入安全策略規則視圖。
undo rule命令用來刪除指定的安全策略規則。
【命令】
rule { rule-id | name name } *
undo rule { rule-id | name name } *
【缺省情況】
不存在安全策略規則。
【視圖】
IPv4安全策略視圖
IPv6安全策略視圖
【缺省用戶角色】
context-admin
【參數】
rule-id:指定IPv4/IPv6安全策略規則的編號,取值範圍為0~65534。若未指定本參數,係統將從0開始,自動分配一個大於現有最大編號的最小編號,步長為1。若新編號超出了編號上限(65534),則選擇當前未使用的最小編號作為新的編號。
name:表示IPv4/IPv6安全策略規則的名稱,為1~127個字符的字符串,不區分大小寫,且全局唯一,不能為default,創建規則時必須配置名稱。
【舉例】
# 為IPv4安全策略創建規則0,並為該規則配置規則名稱為rule1。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1]
【相關命令】
· display security-policy ipv6
security-policy命令用來進入安全策略視圖。
undo security-policy命令用來刪除安全策略視圖下的所有配置。
【命令】
security-policy { ip | ipv6 }
undo security-policy { ip | ipv6 }
缺省情況】
安全策略視圖下不存在配置。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip:表示IPv4安全策略視圖。
ipv6:表示IPv6安全策略視圖。
【舉例】
# 進入IPv4安全策略視圖。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip]
【相關命令】
· display security-policy
security-policy disable命令用來關閉安全策略功能。
undo security-policy disable命令用來開啟安全策略功能。
【命令】
security-policy disable
undo security-policy disable
【缺省情況】
安全策略功能處於開啟狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
隻有開啟安全策略功能後,配置的安全策略才能生效。
設備啟動時,如果配置文件中僅存在對象策略,則設備會自動執行security-policy disable命令關閉安全策略功能;如果配置文件中對象策略和安全策略均不存在或存在安全策略,則設備自動開啟安全策略功能。
安全策略功能與對象策略功能在設備上不能同時使用,當安全策略功能處於開啟狀態時,首次進入安全策略視圖後,對象策略功能立即失效。因此在管理員手工逐條將對象策略切換為安全策略時,為避免切換過程中造成業務長期中斷,建議管理員在對象策略切換完成後再開啟安全策略功能。
配置回滾後,如果需要對象策略生效,配置回滾完成後,則建議用戶手工執行security-policy disable命令將安全策略功能關閉。
【舉例】
# 關閉安全策略功能
<Sysname> system-view
[Sysname] security-policy disable
security-policy switch-from object-policy命令用來將對象策略配置一鍵轉換為安全策略配置。
【命令】
security-policy switch-from object-policy object-filename security-filename
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
object-filename:表示待轉換對象策略配置內容所在配置文件的名稱,為1~255個字符的字符串,區分大小寫,以.cfg結尾,不能包含“/”字符。此配置文件必須在設備存儲介質的根目錄下已存在。
security-filename:表示新生成的配置文件的名稱,為1~255個字符的字符串,區分大小寫,以.cfg結尾,不能包含“/”字符。新生成的配置文件保存在存儲設備根目錄下。
【使用指導】
此功能可以將指定配置文件中的所有對象策略規則批量轉換為對應的安全策略規則,從而實現將對象策略快速切換到為安全策略的目的,為使轉換後的安全策略規則生效必須重啟設備。
【舉例】
# 將配置文件startup.cfg中的對象策略配置轉換為安全策略配置。
<Sysname> system-view
[Sysname] security-policy switch-from object-policy startup.cfg startup_secp.cfg
Configuration switching begins...
Object policies in the specified configuration file have been switched to securi
ty policies.
This command will reboot the device. Continus? [Y/N]:
service命令用來配置作為安全策略規則過濾條件的服務。
undo service命令用來刪除作為安全策略規則過濾條件的服務。
【命令】
service { object-group-name | any }
undo service [ object-group-name | any ]
【缺省情況】
安全策略規則中不存在過濾條件。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
object-group-name:表示服務對象組的名稱,為1~31個字符的字符串,不區分大小寫。
any:表示將設備中的所有服務作為安全策略規則的過濾條件。
【使用指導】
多次執行本命令,可配置多個服務對象組作為安全策略規則的過濾條件。
配置服務作為安全策略規則的過濾條件時,若指定的服務對象組不存在,該配置仍會配置成功,同時也會在係統中創建一個名稱為指定名稱的空配置服務對象組,但此條過濾條件不會匹配任何報文。
使用undo命令時若不指定任何參數,則表示刪除此規則中所有服務類型的過濾條件。
【舉例】
# 配置作為安全策略規則rule1過濾條件的服務對象組為http和ftp。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] service http
[Sysname-security-policy-ip-0-rule1] service ftp
【相關命令】
· display security-policy
· object-group(安全命令參考/對象組)
session aging-time命令用來為安全策略規則配置會話的老化時間。
undo session aging-time命令用來恢複缺省情況。
【命令】
session aging-time time-value
undo session aging-time
【缺省情況】
未配置安全策略規則的會話老化時間。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
time-value:指定會話的老化時間,取值範圍為1~2000000,單位為秒。
【使用指導】
此命令用來為匹配某條安全策略規則而生成的穩態會話設置老化時間。且此命令的配置僅影響後續生成的會話,對於已經生效的會話不產生作用。
若某安全策略規則中配置了會話的老化時間,則匹配上該規則且進入穩定狀態的會話需要遵循規則中配置的老化時間進行老化;非穩態會話按照缺省的會話老化時間(1小時)進行老化。
若進入穩態的會話報文匹配上的安全策略規則中未配置會話老化時間,則該會話基於會話管理模塊配置的老化時間(session aging-time application和session aging-time state命令的配置)進行老化。有關會話管理相關配置的詳細介紹,請參見“安全配置指導”中的“會話管理”。
【舉例】
# 為IPv4安全策略的規則rule1配置會話老化時間為5000秒。
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] action pass
[Sysname-security-policy-ip-0-rule1] session aging-time 5000
【相關命令】
· session aging-time application(安全命令參考/會話管理)
· session aging-time state(安全命令參考/會話管理)
· session persistent acl(安全命令參考/會話管理)
session persistent aging-time命令用來為安全策略規則配置長連接會話的老化時間。
undo session persistent aging-time命令用來恢複缺省情況。
【命令】
session persistent aging-time time-value
undo session persistent aging-time
【缺省情況】
未配置安全策略規則的長連接會話老化時間。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
time-value:指定長連接會話的老化時間,取值範圍為0~24000,單位為小時,0表示永不老化。
【使用指導】
此命令用來為匹配某條安全策略規則而生成的長連接會話設置老化時間。且此命令的配置僅影響後續生成的會話,對於已經生效的會話不產生作用。
此命令配置的長連接會話老化時間優先級高於session aging-time命令配置的會話老化時間和會話管理模塊session persistent acl命令配置的長連接老化時間。有關session persistent acl命令的詳細介紹,請參見“安全命令參考”中的“會話管理”。
長連接老化時間僅在TCP會話進入穩態(TCP-EST狀態)時生效。
【舉例】
# 為IPv4安全策略中規則rule1配置長連接會話老化時間為1小時。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] action pass
[Sysname-security-policy-ip-0-rule1] session persistent aging-time 1
【相關命令】
· display security-policy ip
· session persistent acl(安全命令參考/會話管理)
source-ip命令用來配置作為安全策略規則過濾條件的源IP地址。
undo source-ip命令用來刪除作為安全策略規則過濾條件的源IP地址。
【命令】
source-ip object-group-name
undo source-ip [ object-group-name ]
【缺省情況】
安全策略規則中不存在過濾條件。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
object-group-name:表示源地址對象組的名稱,為1~31個字符的字符串,不區分大小寫,且不能為字符串any。使用undo命令時若不指定此參數,則表示刪除此規則中所有源IP地址類型的過濾條件。有關地址對象組的詳細介紹,請參見“安全配置指導”中的“對象組”。
【使用指導】
多次執行本命令,可配置多個源IP地址作為安全策略規則的過濾條件。
配置源IP地址作為安全策略規則的過濾條件時,若指定的地址對象組不存在,該配置仍會配置成功,同時也會在係統中創建一個名稱為指定名稱的空配置地址對象組,但此條過濾條件不會匹配任何報文。
【舉例】
# 配置作為安全策略規則rule1過濾條件的源地址對象組為server1和server2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-ip server1
[Sysname-security-policy-ip-0-rule1] source-ip server2
【相關命令】
· display security-policy
· object-group(安全命令參考/對象組)
source-zone命令用來配置作為安全策略規則過濾條件的源安全域。
undo source-zone命令用來刪除作為安全策略規則過濾條件的源安全域。
【命令】
source-zone source-zone-name
undo source-zone [ source-zone-name ]
【缺省情況】
安全策略規則中不存在過濾條件。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
source-zone-name:表示源安全域的名稱,為1~31個字符的字符串,不區分大小寫。使用undo命令時若不指定此參數,則表示刪除此規則中所有源安全域類型的過濾條件。有關安全域的詳細介紹,請參見“安全配置指導”中的“安全域”。
【使用指導】
多次執行本命令,可配置多個源安全域作為安全策略規則的過濾條件。
【舉例】
# 配置作為安全策略規則rule1過濾條件的源安全域為Trust和DMZ。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-zone trust
[Sysname-security-policy-ip-0-rule1] source-zone dmz
【相關命令】
· display security-policy
· security-zone(安全命令參考/安全域)
time-range命令用來配置安全策略規則生效的時間段。
undo time-range命令用來恢複缺省情況。
【命令】
time-range time-range-name
undo time-range
【缺省情況】
不限製安全策略規則生效的時間。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
time-range-name:表示時間段的名稱,為1~32個字符的字符串,不區分大小寫。有關時間段的詳細介紹,請參見“ACL和QoS配置指導”中的“時間段”。
【配置指導】
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 為安全策略規則rule1配置生效時間段為work。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] time-range work
【相關命令】
· display security-policy
· time-range(ACL和QoS命令參考/時間段)
track命令用來配置安全策略規則與Track項聯動。
undo track命令用來取消安全策略規則與Track項聯動。
【命令】
track { negative | positive } track-entry-number
undo track
【缺省情況】
安全策略規則未與Track項聯動。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
negative:指定安全策略規則與Track項的Negative狀態聯動。
positive:指定安全策略規則與Track項的Positive狀態聯動。
track-entry-number:表示關聯的Track項序號,取值範圍為1~1024。有關Track的詳細介紹,請參見“可靠性配置指導”中的“Track”。
【使用指導】
配置安全策略規則與Track項的Negative狀態聯動後,當安全策略規則收到Negative狀態的Track通知時,將此規則置為有效狀態(Active),當安全策略規則收到Positive狀態的Track通知時,將此規則置為失效狀態(Inactive)。
配置安全策略規則與Track項的Positive狀態聯動後,當安全策略規則收到Positive狀態的Track通知時,將此規則置為有效狀態(Active),當安全策略規則收到Negative狀態的Track通知時,將此規則置為失效狀態(Inactive)。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 為安全策略規則rule1配置規則與Track項的Positive狀態聯動。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] track positive 10
【相關命令】
· display security-policy
· track bfd(可靠性命令參考/Track)
· track cfd(可靠性命令參考/Track)
· track interface(可靠性命令參考/Track)
· track ip route reachability(可靠性命令參考/Track)
· track nqa(可靠性命令參考/Track)
user命令用來配置作為安全策略規則過濾條件的用戶。
undo user命令用來刪除作為安全策略規則過濾條件的用戶。
【命令】
user username
undo user [ username ]
【缺省情況】
安全策略規則中不存在過濾條件。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
username:表示用戶的名稱,為1~55個字符的字符串,區分大小寫,不能是a、al和all,且不能包含特殊字符“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”、和“@”。使用undo命令時若不指定此參數,則表示刪除此規則中所有用戶類型的過濾條件。有關用戶的詳細介紹,請參見“安全配置指導”中的“用戶身份識別與管理”。
【使用指導】
多次執行本命令,可配置多個用戶作為安全策略規則的過濾條件。
【舉例】
# 配置作為安全策略規則rule1過濾條件的用戶為usera和userb。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] user usera
[Sysname-security-policy-ip-0-rule1] user userb
【相關命令】
· display security-policy
· user-identity enable(安全命令參考/用戶身份識別與管理)
· user-identity static-user(安全命令參考/用戶身份識別與管理)
user-group命令用來配置作為安全策略規則過濾條件的用戶組。
undo user-group命令用來刪除作為安全策略規則過濾條件的用戶組。
【命令】
user-group user-group-name
undo user-group [ user-group-name ]
【缺省情況】
安全策略規則中不存在過濾條件。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
user-group-name:表示用戶組的名稱,為1~32個字符的字符串,不區分大小寫。使用undo命令時若不指定此參數,則表示刪除此規則中所有用戶組類型的過濾條件。有關用戶組的詳細介紹,請參見“安全配置指導”中的“用戶身份識別與管理”。
【使用指導】
多次執行本命令,可配置多個用戶組作為安全策略規則的過濾條件。
【舉例】
# 配置作為安全策略規則rule1過濾條件的用戶組為groupa和groupb。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] user-group groupa
[Sysname-security-policy-ip-0-rule1] user-group groupb
【相關命令】
· display security-policy
· user-group(安全命令參考/AAA)
vrf命令用來配置安全策略規則對指定VPN多實例中的報文有效。
undo vrf命令用來恢複缺省情況。
【命令】
vrf vrf-name
undo vrf
【缺省情況】
安全策略規則對公網的報文有效。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
vrf-name:表示VPN多實例的名稱,為1~31個字符的字符串,區分大小寫。
【配置指導】
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置安全策略規則rule1對VPN多實例vpn1中的報文生效。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] vrf vpn1
【相關命令】
· display security-policy
· ip vpn-instance
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
