- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
14-ASPF命令
本章節下載: 14-ASPF命令 (214.87 KB)
aspf apply policy命令用來在安全域間實例上應用ASPF策略。
undo aspf apply policy命令用來取消應用在安全域間實例上的指定ASPF策略。
【命令】
aspf apply policy aspf-policy-number
undo aspf apply policy aspf-policy-number
【缺省情況】
安全域間實例上應用了一個缺省的ASPF策略。
【視圖】
安全域間實例視圖
【支持的缺省用戶角色】
network-admin
context-admin
【參數】
aspf-policy-number:ASPF策略號,取值範圍為1~256。
【使用指導】
創建安全域間實例時,係統默認為該實例應用一個缺省的ASPF策略。該策略支持對所有傳輸層協議和FTP協議報文進行ASPF檢測,但是ICMP差錯報文檢查功能和非SYN的TCP首報文丟棄功能處於關閉狀態,並且默認的策略不可改變,如果需要調整ASPF策略,需要自定義一個ASPF策略,並在安全域間實例上引用。
【舉例】
# 在安全域間實例上應用ASPF策略。
<Sysname> system-view
[Sysname] security-zone name trust
[Sysname-security-zone-Trust] import interface gigabitethernet 1/0/1
[Sysname-security-zone-Trust] quit
[Sysname] security-zone name untrust
[Sysname-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Sysname-security-zone-Untrust] quit
[Sysname] zone-pair security source trust destination untrust
[Sysname-zone-pair-security-Trust-Untrust] aspf apply policy 1
【相關命令】
· aspf policy
· display aspf all
· zone-pair security(安全命令參考/安全域)
aspf icmp-error reply命令用來開啟設備在域間策略丟包時,發送ICMP差錯報文功能。
undo aspf icmp-error reply命令用來恢複缺省情況。
【命令】
aspf icmp-error reply
undo aspf icmp-error reply
【缺省情況】
在域間策略丟包時,設備不發送ICMP差錯報文。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
缺省情況下,設備在安全域間實例下配置安全域間策略,丟棄不符合策略的報文,但不發送ICMP差錯報文,這樣可以減少網絡上的無用報文,節約帶寬。
使用traceroute功能時,需要用到ICMP差錯報文,需要開啟發送ICMP差錯報文的功能。
【舉例】
# 開啟設備在域間策略丟包時,發送ICMP差錯報文功能。
<Sysname> system-view
[Sysname] aspf icmp-error reply
aspf log sending-realtime enable命令用來開啟對象策略、安全策略和包過濾日誌的實時發送功能。
undo aspf log sending-realtime enable命令用來關閉對象策略、安全策略和包過濾日誌的實時發送功能。
【命令】
aspf log sending-realtime enable
undo aspf log sending-realtime enable
【缺省情況】
對象策略、安全策略和包過濾日誌的實時發送功能處於關閉狀態,使用緩存方式發送。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
對象策略、安全策略和包過濾日誌的發送方式支持如下兩種:
· 緩存發送方式:同一數據流的首報文匹配對象策略、安全策略或包過濾生成並發送日誌後,設備緩存此日誌,同時啟動發送日誌的時間間隔定時器,隻有時間間隔到達後,才會判斷是否繼續發送此日誌。在此時間間隔內若有流量匹配此日誌,則發送日誌,若沒有則刪除緩存的此日誌。日誌緩存達到上限後,當後續新增數據流匹配對象策略、安全策略或包過濾時將不能生成日誌。日誌發送時間間隔缺省為5分鍾,且不能修改。
· 實時發送方式:同一數據流的首報文匹配對象策略、安全策略或包過濾生成並發送日誌後,設備不緩存此日誌,因此此方式沒有日誌上限限製。對於一條不間斷的流量,若匹配的策略允許報文通過,則設備僅發送一次日誌,若匹配的策略拒絕報文通過,則設備將對此條數據流的每個報文均發送一次日誌。
有關對象策略、安全策略和包過濾開啟記錄日誌功能的詳細介紹,請參見各自模塊的相關配置介紹。
【舉例】
# 開啟對象策略、安全策略和包過濾日誌的實時發送功能。
<Sysname> system-view
[Sysname] aspf log sending-realtime enable
【相關命令】
· logging enable(安全命令參考/安全策略)
· rule rule-id logging(安全命令參考/對象策略)
· rule rule-id logging(ACL和QoS命令參考/ACL)
aspf policy命令用來創建ASPF策略,並進入ASPF策略視圖。如果指定的ASPF策略已經存在,則直接進入ASPF策略視圖。
undo aspf policy命令用來刪除指定的ASPF策略。
【命令】
aspf policy aspf-policy-number
undo aspf policy aspf-policy-number
【缺省情況】
不存在ASPF策略。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
aspf-policy-number:ASPF策略號,取值範圍為1~256。
【舉例】
# 創建ASPF策略1,並進入該ASPF策略視圖。
<Sysname> system-view
[Sysname] aspf policy 1
[Sysname-aspf-policy-1]
【相關命令】
· display aspf all
· display aspf policy
detect命令用來為應用層協議配置ASPF檢測。
undo detect命令用來恢複缺省情況。
【命令】
detect { { dns [ action { drop | logging } * ] | ftp | h323 | http | sccp | sip | smtp } [ action drop ] | gtp | ils | mgcp | nbt | pptp | rsh | rtsp | sqlnet | tftp | xdmcp }
undo detect { dns | ftp | gtp | h323 | http | ils | mgcp | nbt | pptp | rsh | rtsp | sccp | sip | smtp | sqlnet | tftp | xdmcp }
【缺省情況】
僅對傳輸層協議進行檢測,不對應用層協議進行ASPF檢測。
【視圖】
ASPF策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
dns:表示DNS協議,屬於應用層協議;
ftp:表示FTP協議,屬於應用層協議;
gtp:表示GTP(GPRS Tunneling Protocol,GPRS隧道協議)協議,屬於應用層協議;
h323:表示H.323協議族,屬於應用層協議;
http:表示HTTP協議,屬於應用層協議;
ils:表示ILS(Internet Locator Service,互聯網定位服務)協議,屬於應用層協議;
mgcp:表示MGCP(Media Gateway Control Protocol,媒體網關控製協議)協議,屬於應用層協議;
nbt:表示NBT(NetBIOS over TCP/IP,基於TCP/IP的網絡基本輸入輸出係統)協議,屬於應用層協議;
pptp:表示PPTP(Point-to-Point Tunneling Protocol,點到點隧道協議)協議,屬於應用層協議;
rsh:表示RSH(Remote Shell,遠程外殼)協議,屬於應用層協議;
rtsp:表示RTSP(Real Time Streaming Protocol,實時流協議)協議,屬於應用層協議;
sccp:表示SCCP(Skinny Client Control Protocol,瘦小客戶端控製協議)協議,屬於應用層協議;
sip:表示SIP(Session Iniation Protocol,會話初始化協議)協議,屬於應用層協議;
smtp:表示SMTP協議,屬於應用層協議;
sqlnet:表示SQLNET協議,屬於應用層協議;
tftp:表示TFTP協議,屬於應用層協議;
xdmcp:表示XDMCP(X Display Manager Control Protocol,X顯示監控)協議,屬於應用層協議;
action:設置對檢測到的非法報文的處理行為。若不指定該參數,則表示放行報文。
drop:表示丟棄報文。
logging:表示生成日誌信息。
【使用指導】
若配置了此命令,則對報文的應用層協議進行ASPF檢查;若沒有配置此命令,則僅對報文的傳輸層協議進行ASPF檢查。
如果設備上其他業務模塊開啟ALG功能時,即便未配置多通道應用層協議的ASPF檢測,多通道協議的數據連接也可以建立成功。例如:開啟DPI相關業務功能時會打開ALG功能,此時DPI處理的多通道協議(如SIP等)報文進行ASPF處理時,即便未配置SIP協議的ASPF檢測,SIP協議的數據連接也可以建立成功;開啟NAT ALG功能時,即便未配置多通道協議的ASPF檢測,多通道協議的數據連接也可以建立成功。但是在設備上未配置DPI(Deep Packet Inspection,深度報文檢測)相關業務功能隻配置了ASPF功能的情況下,必須配置此命令,否則會導致數據連接無法建立。此命令支持的應用層協議中除HTTP、SMTP和TFTP之外的所有應用層協議均為多通道應用層協議。
可通過多次執行本命令配置多種協議類型的ASPF檢測。
ASPF策略默認已經開啟對傳輸層協議的檢測,無需進行配置,也不能修改。檢測的傳輸層協議包括:TCP協議、UDP協議、UDP-Lite協議、SCTP協議、Raw IP協議、ICMP協議、ICMPv6協議和DCCP協議。
ASPF策略可以根據需要配置應用層協議的檢測。目前,設備對支持action參數的應用層協議(DNS、FTP、H323、HTTP、SCCP、SIP、SMTP)進行協議狀態合法性檢查,對不符合協議狀態的報文根據action參數的配置進行丟棄處理。對於其它應用層協議,僅進行連接狀態信息的維護,不做協議狀態合法性檢查。
【舉例】
# 配置對FTP協議報文進行ASPF檢測。
<Sysname> system-view
[Sysname] aspf policy 1
[Sysname-aspf-policy-1] detect ftp
# 配置對DNS協議進行應用層協議檢測,丟棄不符合協議狀態的報文,並生成日誌信息。
<Sysname> system-view
[Sysname] aspf policy 1
[Sysname-aspf-policy-1] detect dns action drop logging
【相關命令】
· display aspf policy
display aspf all命令用來查看ASPF策略配置信息及應用ASPF策略的信息。
【命令】
display aspf all
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【舉例】
# 查看所有的ASPF策略配置信息。
<Sysname> display aspf all
ASPF policy configuration:
Policy default:
ICMP error message check: Disabled
TCP SYN packet check: Disabled
Inspected protocol Action
FTP None
Policy number: 1
ICMP error message check: Disabled
TCP SYN packet check: Disabled
Inspected protocol Action
FTP None
Interface configuration:
GigabitEthernet1/0/1
Inbound policy : 1
Outbound policy: none
表1-1 display aspf all命令顯示信息描述表
|
字段 |
描述 |
|
ASPF policy configuration |
ASPF策略的配置信息 |
|
Policy default |
缺省ASPF策略 |
|
Policy number |
ASPF策略號 |
|
ICMP error message check |
ICMP差錯報文檢測功能的開啟狀態 |
|
TCP SYN packet check |
非SYN的TCP首報文丟棄功能的開啟狀態 |
|
Inspected protocol |
需要檢測的應用層協議 |
|
Action |
對檢測到的非法協議報文的處理行為 · Drop:丟棄 · Log:生成日誌信息 · None:不做處理,放行 “-”表示該協議不支持此配置項 |
|
Interface configuration |
接口下應用ASPF策略的配置信息 |
|
Inbound policy |
接口入方向上應用的ASPF策略編號 |
|
Outbound policy |
接口出方向上應用的ASPF策略編號 |
【相關命令】
· aspf apply policy
· aspf policy
· display aspf policy
display aspf policy命令用來查看ASPF策略的配置信息。
【命令】
display aspf policy { aspf-policy-number | default }
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
aspf-policy-number:ASPF策略號,取值範圍為1~256。
default:缺省ASPF策略。
【舉例】
# 查看策略號為1的ASPF策略的配置信息。
<Sysname> display aspf policy 1
ASPF policy configuration:
Policy number: 1
ICMP error message check: Disabled
TCP SYN packet check: Enabled
Inspected protocol Action
FTP Drop
HTTP None
RSH -
表1-2 display aspf policy命令顯示信息描述表
|
字段 |
描述 |
|
ASPF policy configuration |
ASPF策略的配置信息 |
|
Policy number |
ASPF策略號 |
|
ICMP error message check |
ICMP差錯報文檢測功能的開啟狀態 |
|
TCP SYN packet check |
非SYN的TCP首報文丟棄功能的開啟狀態 |
|
Inspected protocol |
需要檢測的應用層協議 |
|
Action |
對檢測到的非法報文的處理行為 · Drop:丟棄 · Log:生成日誌信息 · None:不做處理,放行 “-”表示該協議不支持此配置項 |
【相關命令】
· aspf policy
display aspf session命令用來查看ASPF的會話表信息。
【命令】
display aspf session [ ipv4 | ipv6 ] [ slot slot-number ] [ verbose ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
ipv4:查看ASPF創建的IPv4會話表。
ipv6:查看ASPF創建的IPv6會話表。
slot slot-number:顯示指定成員設備上的ASPF會話表,slot-number表示設備在IRF中的成員編號。不指定該參數時,顯示所有成員設備上的ASPF會話表。
verbose:查看ASPF會話表的詳細信息。若不指定該參數,則表示查看ASPF會話表的概要信息。
【使用指導】
不指定ipv4和ipv6參數時,表示查看所有的ASPF會話表信息。
【舉例】
# 顯示ASPF創建的IPv4會話表的概要信息。
<Sysname> display aspf session ipv4
Slot 1:
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 192.168.1.55/22
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: SrcZone
Initiator:
Source IP/port: 192.168.1.18/1792
Destination IP/port: 192.168.1.55/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/1
Source security zone: SrcZone
Total sessions found: 2
# 顯示IPv4 ASPF會話的詳細信息。
<Sysname> display aspf session ipv4 verbose
Slot 1:
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 192.168.1.55/22
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: SrcZone
Responder:
Source IP/port: 192.168.1.55/22
Destination IP/port: 192.168.1.18/1877
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: DestZone
State: TCP_SYN_SENT
Application: SSH
Start time: 2011-07-29 19:12:36 TTL: 28s
Initiator->Responder: 1 packets 48 bytes
Responder->Initiator: 0 packets 0 bytes
Initiator:
Source IP/port: 192.168.1.18/1792
Destination IP/port: 192.168.1.55/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/1
Source security zone: SrcZone
Responder:
Source IP/port: 192.168.1.55/1792
Destination IP/port: 192.168.1.18/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/2
Source security zone: DestZone
State: ICMP_REQUEST
Application: OTHER
Start time: 2011-07-29 19:12:33 TTL: 55s
Initiator->Responder: 1 packets 6048 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 2
表1-3 display aspf session命令顯示信息描述表
|
字段 |
描述 |
|
Initiator |
發起方到響應方的連接對應的會話信息 |
|
Responder |
響應方到發起方的連接對應的會話信息 |
|
Source IP/port |
源IP地址/端口號 |
|
Destination IP/port |
目的IP地址/端口號 |
|
DS-Lite tunnel peer |
DS-Lite隧道對端地址。會話不屬於任何DS-Lite隧道時,本字段顯示為“-” |
|
VPN-instance/VLAN ID/Inline ID |
會話所屬的VPN/二層轉發時會話所屬的VLAN ID/二層轉發時會話所屬的INLINE。未指定的參數則顯示為“-” |
|
Protocol |
傳輸層協議類型,取值包括:DCCP、ICMP、ICMPv6、Raw IP 、SCTP、TCP、UDP、UDP-Lite 括號中的數字表示協議號 |
|
Inbound interface |
報文的入接口 |
|
Source security zone |
源安全域,即入接口所屬的安全域。若接口不屬於任何安全域,則顯示為“-” |
|
State |
會話的協議狀態 |
|
Application |
應用層協議類型,取值包括:FTP、DNS等,OTHER表示未知協議類型,其對應的端口為非知名端口 |
|
Start time |
會話的創建時間 |
|
TTL |
會話剩餘存活時間,單位為秒 |
|
Initiator->Responder |
發起方到響應方的報文數、報文字節數 |
|
Responder->Initiator |
響應方到發起方的報文數、報文字節數 |
|
Total sessions found |
當前查找到的會話總數 |
【相關命令】
· reset aspf session
icmp-error drop命令用來開啟ICMP差錯報文檢測功能。
undo icmp-error drop命令用來關閉ICMP差錯報文檢測功能。
【命令】
icmp-error drop
undo icmp-error drop
【缺省情況】
ICMP差錯報文檢測功能處於關閉狀態。
【視圖】
ASPF策略視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
正常ICMP差錯報文中均攜帶有本報文對應連接的相關信息,根據這些信息可以匹配到相應的連接。如果匹配失敗,則根據當前配置決定是否丟棄該ICMP報文。
【舉例】
# 設置ASPF策略1丟棄非法的ICMP差錯報文。
<Sysname> system-view
[Sysname] aspf policy 1
[Sysname-aspf-policy-1] icmp-error drop
· aspf policy
· display aspf policy
reset aspf session命令用來刪除ASPF的會話表項。
【命令】
reset aspf session [ ipv4 | ipv6 ] [ slot slot-number ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv4:刪除ASPF創建的IPv4會話表項。
ipv6:刪除ASPF創建的IPv6會話表項。
slot slot-number:刪除指定成員設備上的所有ASPF創建的會話表項,slot-number表示設備在IRF中的成員編號。不指定該參數時,刪除所有成員設備上的所有ASPF創建的會話表項。
【使用指導】
如果不指定ipv4和ipv6參數,則表示刪除ASPF創建的所有會話表項。
【舉例】
# 清除ASPF創建的所有會話表項。
<Sysname> reset aspf session
· display aspf session
tcp syn-check命令用來開啟非SYN的TCP首報文丟棄功能。
undo tcp syn-check命令用來關閉非SYN的TCP首報文丟棄功能。
【命令】
tcp syn-check
undo tcp syn-check
【缺省情況】
非SYN的TCP首報文丟棄功能處於關閉狀態。
【視圖】
ASPF策略視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
ASPF對TCP連接的首報文進行檢測,查看是否為SYN報文,如果不是SYN報文則根據當前配置決定是否丟棄該報文。
【舉例】
# 設置ASPF策略1丟棄非SYN的TCP首報文。
<Sysname> system-view
[Sysname] aspf policy 1
[Sysname-aspf-policy-1] tcp syn-check
【相關命令】
· aspf policy
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
