- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-URL過濾命令
本章節下載: 03-URL過濾命令 (340.68 KB)
目 錄
1.1.6 display url-filter cache
1.1.7 display url-filter category
1.1.8 display url-filter signature information
1.1.9 display url-filter statistics
1.1.11 rename (URL filtering category view)
1.1.12 rename (URL filtering policy view)
1.1.13 reset url-filter statistics
1.1.16 url-filter apply policy
1.1.17 url-filter cache deploy-interval
1.1.21 url-filter category-server
1.1.22 url-filter copy category
1.1.24 url-filter log directory root
1.1.26 url-filter log except pre-defined
1.1.27 url-filter log except user-defined
1.1.29 url-filter signature auto-update
1.1.30 url-filter signature auto-update-now
1.1.31 url-filter signature rollback
1.1.32 url-filter signature update
設備各款型對於本節所描述的特性支持情況有所不同,詳細差異信息如下:
|
型號 |
特性 |
描述 |
|
F5010/F5020/F5030/F5030-6GW/F5040/F5060/F5080/F5000-M/F5000-S/F5000-C |
URL過濾 |
支持 |
|
F1005/F1010/F1020/F1030/F1050/F1060/F1070/F1080/F1070-GM |
· F1005/F1010:不支持 · F1020/F1030/F1050/F1060/F1070/F1080/F1070-GM:支持 |
|
|
F1000-AK108/AK109/AK110/AK115/AK120/AK125/AK130/AK135/AK140/AK145/AK150/AK155/AK160/AK165/AK170/AK175/AK180/AK185/AK710/AK711 |
· F1000-AK108/AK109/AK110/AK115/AK120/AK125/AK710:不支持 · F1000-AK130/AK135/AK140/AK145/AK150/AK155/AK160/AK165/AK170/AK175/AK180/AK185/AK711:支持 |
|
|
F1000-GM-AK370/F1000-GM-AK380 |
支持 |
|
|
LSU3FWCEA0/LSUM1FWCEAB0/LSX1FWCEA1 |
支持 |
|
|
LSXM1FWDF1/LSUM1FWDEC0/IM-NGFWX-IV/LSQM1FWDSC0/LSWM1FWD0/LSPM6FWD |
支持 |
add命令用來向URL過濾策略中添加黑/白名單規則。
undo add命令用來刪除URL過濾策略中指定的或所有黑/白名單規則。
【命令】
add { blacklist | whitelist } [ id ] host { regex host-regex | text host-name } [ uri { regex uri-regex | text uri-name } ]
undo add { blacklist | whitelist } { id | all }
【缺省情況】
URL過濾策略中不存在黑/白名單規則。
【視圖】
URL過濾策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
blacklist:表示URL過濾策略的黑名單規則。
whitelist:表示URL過濾策略的白名單規則。
id:表示黑/白名單規則的編號,取值範圍為1~65535。若未指定本參數,係統將從1開始,自動分配一個大於現有最大編號的最小編號,步長為1。若新編號超出了編號上限65535,則選擇當前未使用的最小編號作為新的編號。
host:表示匹配URL中的主機名字段。
uri:表示匹配URL中的URI字段。
regex regex:表示使用正則表達式對主機名和URI字段進行模糊匹配。regex是正則表達式,主機名規則的取值範圍為4~224個字符的字符串,不區分大小寫,隻能以字母、數字和下劃線開頭;URI規則的取值範圍為4~253個字符的字符串,區分大小寫,隻能以字母、數字和下劃線開頭。
text string:表示使用文本對主機名和URI字段進行精確匹配。string是指定的主機名或URI規則字符串,主機名規則的取值範圍為3~224個字符的字符串,不區分大小寫主機名隻能是字母、數字、下劃線“_”、連接符“-”、冒號“:”、左方括號“[”、右方括號“]”和點號“.”,但URI無此限製;URI規則的取值範圍為3~255個字符的字符串,區分大小寫。
all:表示所有的黑/白名單規則。
【使用指導】
URL過濾黑/白名單規則功能根據應層的信息進行URL過濾。如果用戶HTTP報文中的URL與URL過濾策略中的黑名單規則匹配成功,則丟棄此報文;如果與白名單規則匹配成功,則允許此報文通過。
【舉例】
# 在URL過濾策略news中,添加一條黑名單規則,使用字符串games.com對主機名字段進行精確匹配。
<Sysname> system-view
[Sysname] url-filter policy news
[System-url-filter-policy-news] add blacklist 1 host text games.com
# 添加一條白名單規則,並使用字符串sina.com對主機名字段進行精確匹配。
[System-url-filter-policy-news] add whitelist 1 host text sina.com
category action命令用來配置URL過濾分類動作。
undo category action命令用來刪除指定的URL過濾分類動作。
【命令】
category category-name action { block-source [ parameter-profile parameter-name ] | drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ]
undo category category-name
【缺省情況】
不存在URL過濾分類動作。
【視圖】
URL過濾策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
category-name:指定URL過濾分類名稱,包括預定義和自定義的URL過濾分類名稱,為1~63個字符的字符串,不區分大小寫。
action:表示對匹配上此URL過濾分類中的任何一條規則的報文所采取的動作。
block-source:表示阻斷報文,並會將該報文的源IP地址加入IP黑名單。如果設備上同時開啟了IP黑名單過濾功能,則一定時間內(由block-period命令指定)來自此IP地址的所有報文將被直接丟棄;否則,此IP黑名單不生效。有關IP黑名過濾單功能的詳細介紹請參見“安全命令參考”中的“攻擊檢測與防範”,有關block-period命令的詳細介紹請參見“DPI深度安全”中的“應用層檢測引擎”。
drop:表示丟棄報文。
permit:表示允許報文通過。
redirect:表示重定向動作,把符合特征的報文重定向到指定的Web頁麵上。
reset:表示通過發送TCP的reset報文從而使TCP連接斷開。
logging:表示生成報文日誌。
parameter-profile parameter-name:指定引用的動作參數。parameter-name是動作參數profile的名稱,為1~63個字符的字符串,不區分大小寫。如果不指定該參數或指定的參數不存在,則使用動作的缺省參數。這裏引用的動作參數是應用層檢測引擎中配置的動作參數,有關應用層檢測引擎中動作參數的詳細配置請參見“DPI深度安全命令參考”中的“應用層檢測引擎”。
【使用指導】
URL過濾功能對報文的處理過程如下:
· 如果報文匹配上該URL過濾分類中的任何一條規則,則設備將會根據該URL過濾分類綁定的動作對此報文進行處理。
· 如果報文沒有匹配上該URL過濾分類中的任何規則,但是配置了default-action命令,則設備將根據URL過濾策略中配置的缺省動作來對此報文進行處理。
· 如果報文沒有匹配上該URL過濾分類中的任何規則,且也沒有配置default-action命令,則設備直接允許此報文通過。
【舉例】
# 在URL過濾策略news中,配置URL過濾分類sina的動作為丟棄。
<Sysname> system-view
[Sysname] url-filter policy news
[System-url-filter-policy-news] category sina action drop
【相關命令】
· inspect block-source parameter-profile(DPI深度安全命令參考/應用層檢測引擎)
· inspect redirect parameter-profile(DPI深度安全命令參考/應用層檢測引擎)
· url-filter category
· url-filter policy
cloud-query enable命令用來開啟URL過濾分類雲端查詢功能。
undo cloud-query enable命令用來關閉URL過濾分類雲端查詢功能。
【命令】
cloud-query enable
undo cloud-query enable
【缺省情況】
URL過濾分類雲端查詢功能處於關閉狀態。
【視圖】
URL過濾策略視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
在URL過濾策略中開啟URL過濾分類雲端查詢功能後,如果流經設備HTTP報文中的URL與該URL過濾策略中的過濾規則匹配失敗,則此URL將會被發向雲端URL過濾分類服務器進行查詢。雲端URL過濾分類服務器響應該請求,並向設備發送查詢結果,該結果中包含了URL過濾規則及其所屬的分類名稱,設備根據該結果執行相應的分類處理動作。如果雲端返回的分類在設備上沒有與其對應的分類動作或者雲端URL查詢失敗,則設備將對此報文執行URL過濾策略中的缺省動作。
【舉例】
# 在URL過濾策略中開啟URL過濾分類雲端查詢功能。
<Sysname> system-view
[Sysname] url-filter policy news
[Sysname-url-filter-policy-news] cloud-query enable
【相關命令】
· url-filter policy
default-action命令用來配置URL過濾策略的缺省動作。
undo default-action命令用來恢複缺省情況。
【命令】
default-action { block-source [ parameter-profile parameter-name ] | drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ]
undo default-action
【缺省情況】
URL過濾策略中不存在缺省動作。
【視圖】
URL過濾策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
block-source:表示阻斷報文,並會將該報文的源IP地址加入IP黑名單。如果設備上同時開啟了IP黑名單過濾功能,則一定時間內(由block-period命令指定)來自此IP地址的所有報文將被直接丟棄;否則,此IP黑名單不生效。有關IP黑名過濾單功能的詳細介紹請參見“安全命令參考”中的“攻擊檢測與防範”,有關block-period命令的詳細介紹請參見“DPI深度安全”中的“應用層檢測引擎”。
drop:表示丟棄報文。
permit:表示允許報文通過。
redirect:表示重定向動作,把符合特征的報文重定向到指定的Web頁麵上。
reset:表示通過發送TCP的reset報文從而使TCP連接斷開。
logging:表示生成報文日誌動作。
parameter-profile parameter-name:指定引用的動作參數。parameter-name是動作參數profile的名稱,為1~63個字符的字符串,不區分大小寫。如果不指定該參數或指定的參數不存在,則使用動作的缺省參數。這裏引用的動作參數是應用層檢測引擎中配置的動作參數,有關應用層檢測引擎中動作參數的詳細配置請參見“DPI深度安全命令參考”中的“應用層檢測引擎”。
【使用指導】
配置此命令後,當報文沒有匹配上URL過濾策略中的規則時,設備將根據URL過濾策略的缺省動作對此報文進行處理。
【舉例】
# 在URL過濾策略news中,配置缺省動作為丟棄。
<Sysname> system-view
[Sysname] url-filter policy cmcc
[Sysname-url-filter-policy-cmcc] default-action drop
【相關命令】
· inspect block-source parameter-profile(DPI深度安全命令參考/應用層檢測引擎)
· inspect redirect parameter-profile(DPI深度安全命令參考/應用層檢測引擎)
· url-filter policy
description命令用來配置URL過濾分類的描述信息。
undo description命令用來恢複缺省情況。
【命令】
description text
undo description
【缺省情況】
自定義的URL過濾分類中不存在描述信息。
【視圖】
URL過濾分類視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
text:URL過濾分類的描述信息,為1~255個字符的字符串,可以包含空格,不區分大小寫。
【使用指導】
通過合理編寫描述信息,便於管理員快速理解和識別URL過濾分類的作用,有利於後期維護。
【舉例】
# 配置URL過濾分類news的描述信息為News information。
<Sysname> system-view
[Sysname] url-filter category news
[Sysname-url-filter-category-news] description News information
display url-filter cache命令行用來查看URL過濾緩存中的信息。
【命令】
display url-filter cache [ existence { eq | lt | gt } existence-time | category category-name | hitcount { eq | lt | gt } hit-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
existence existence-time:指定緩存URL過濾規則的保存時間,取值範圍為0~4294967295,單位為秒。
eq:表示等於指定的保存時間。
lt:表示小於指定的保存時間。
gt:表示大於指定的保存時間。
category category-name:指定URL過濾分類,category-name為URL過濾分類名稱。
hitcount hitnumber:指定URL過濾規則命中次數,取值範圍為0~4294967295,單位為次。
eq:表示等於指定的命中次數。
lt:表示小於指定的命中次數。
gt:表示大於指定的命中次數。
【舉例】
# 查看URL過濾緩存中的信息。
<Sysname> display url-filter cache
URL: sina.com
Category: Unknown
Hitcount: 20
Existence: 7200 seconds (cached on 2014/11/12 at 15:00:00)
URL: baidu.com
Category: Search
Hitcount: 20
Existence: 3600 seconds (cached on 2014/11/12 at 16:00:00)
表1-1 display url-filter cache命令顯示信息描述表
|
字段 |
描述 |
|
URL |
緩存中URL過濾規則的內容 |
|
Category |
URL過濾分類名稱,這裏是從服務器學習到名稱,若還沒有查詢到,則顯示為Unknown |
|
Hitcount |
該URL過濾規則被命中的次數 |
|
Existence |
該URL過濾規則在緩存中的時間,同時顯示首次進入緩存的UTC時間 |
【相關命令】
· url-filter category
display url-filter category命令用來查看URL過濾分類信息。
【命令】
display url-filter category [ verbose ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
verbose:顯示URL過濾分類的詳細信息。如果不指定該參數,則顯示URL過濾分類的摘要信息。
【舉例】
# 查看URL過濾分類信息。
<Sysname> display url-filter category
Url-filter categories total
Predefine category count : 53
Predefine rule count : 2000
User define category count : 5
User define rule count : 4
Url-filter categories
Name : 23
Name : 24
Name : 33
Name : Pre-AdvertisementsAndPop-Ups
Name : Pre-AlcoholAndTobacco
Name : Pre-Anonymizers
Name : Pre-Arts
Name : Pre-Business
Name : Pre-Chat
Name : Pre-ComputersAndTechnology
Name : Pre-CriminalActivity
Name : Pre-Cults
Name : Pre-DatingAndPersonals
Name : Pre-DownloadSites
Name : Pre-Education
Name : Pre-Entertainment
Name : Pre-FashionAndBeauty
---- More ----
# 查看URL過濾分類的詳細信息。
<Sysname> display url-filter category verbose
Url-filter categories total
Predefine category count : 53
Predefine rule count : 2000
User define category count : 5
User define rule count : 4
Url-filter categories
Name : 23
Type : User defined
Critical : 1001
Rule count : 1
Description :
Name : 24
Type : User defined
Critical : 1002
Rule count : 1
Description :
Name : Pre-AdvertisementsAndPop-Ups
Type : Predefined
Critical : 300
Rule count : 32
Description : Sites that provide advertising graphics or other ad content fi
les such as banners and pop-ups.
Name : Pre-AlcoholAndTobacco
Type : Predefined
Critical : 960
Rule count : 7
Description : Sites that promote or sell alcohol- or tobacco-related product
s or services.
---- More ----
表1-2 display url-filter category命令顯示信息描述表
|
字段 |
描述 |
|
URL-filter categories total |
設備中URL過濾分類總數,包括預定義的分類和自定義的分類 |
|
Predefine category count |
預定義URL過濾分類數目 |
|
Predefine rule count |
預定義URL過濾規則數目 |
|
User define category count |
自定義URL過濾分類數目 |
|
User define rule count |
自定義URL過濾規則數目 |
|
URL-filter categories |
URL過濾分類表項 |
|
Name |
URL過濾分類名稱 |
|
Type |
URL過濾分類類型,包括如下取值: · Predefined:預定義分類 · User defined:自定義分類 |
|
Critical |
URL過濾嚴重級別 |
|
Description |
URL過濾分類描述信息 |
display url-filter signature information查看URL過濾特征庫信息。
【命令】
display url-filter signature information
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【舉例】
# 查看URL過濾特征庫信息。
<Sysname> display url-filter signature information
URL filter signature library information:
Type SigVersion ReleaseTime Size
Current 1.0.0 Wed Jan 21 06:43:53 2015 36096
(null) - - -
Factory 1.0.0 Wed Jan 21 06:43:53 2015 36096
表1-3 display url-filter signature information命令顯示信息描述表
|
字段 |
描述 |
|
Type |
URL過濾特征庫版本,包括如下取值: · Current:當前版本 · Last:上一版本 · Factory:出廠版本 |
|
SigVersion |
URL過濾特征庫版本號 |
|
ReleaseTime |
URL過濾特征庫發布時間 |
|
Size |
URL過濾特征庫文件大小,單位是Bytes |
display url-filter statistics命令用來查看URL過濾的統計信息。
【命令】
display url-filter statistics
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【舉例】
# 顯示URL規則命中統計信息。
<Sysname> display url-filter statistics
Total HTTP requests : 0
Total permitted HTTP requests : 0
Total denied HTTP requests : 0
Requests that matched the blacklist : 0
Requests that matched the whitelist : 0
Requests that matched a user-defined rule : 0
Requests that matched a predefined rule : 0
Requests that matched a cached rule : 0
Requests that matched the default action : 0
Predefined URL filtering rules : 2000
--------------------------------------------------------------
表1-4 display url-filter statistics命令顯示信息描述表
|
字段 |
描述 |
|
Total HTTP requests |
HTTP報文總數 |
|
Total permitted HTTP requests |
HTTP報文放行個數 |
|
Total denied HTTP requests |
HTTP報文拒絕個數 |
|
Requests that matched the blacklist |
黑名單規則命中數 |
|
Requests that matched the whitelist |
白名單規則命中數 |
|
Requests that matched a user-defined rule |
自定義規則命中數 |
|
Requests that matched a predefined rule |
預定義規則命中數 |
|
Requests that matched a cached rule |
緩存規則命中數 |
|
Requests that matched the default action |
默認動作命中數 |
|
Predefined URL filtering rules |
預定義規則數量 |
include pre-defined命令用來添加預定義URL過濾分類中的規則。
undo include pre-defined命令用來恢複缺省情況。
【命令】
include pre-defined category-name
undo include pre-defined
【缺省情況】
URL過濾分類中未添加預定義URL過濾分類中的規則。
【視圖】
URL過濾分類視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
category-name:表示預定義URL過濾分類的名稱,為1~63個字符的字符串,區分大小寫。指定的預定義URL過濾分類必須已存在。
【使用指導】
當新建的URL過濾分類中所需的規則與已存在的預定義URL過濾分類中的規則比較相似時,可通過此命令靈活、快速的創建URL過濾分類。
一個URL過濾分類下隻能添加一個預定義URL過濾分類。多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在名稱為news的URL過濾分類中加預定義URL過濾分類pre-Arts中的規則。
<Sysname> system-view
[Sysname] url-filter category news
[Sysname-url-filter-category-news] include pre-defined pre-Arts
rename命令用來重命名URL過濾分類,並進入新的URL過濾分類視圖。
【命令】
rename new-name
【視圖】
URL過濾分類視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
new-name:表示新的URL過濾分類的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
原有URL過濾分類的名稱被修改後,URL過濾策略中引用的同名URL過濾分類的名稱也會被同步修改。
【舉例】
# 把名稱為news的URL過濾分類重命名為hello,並進入新的URL過濾分類視圖。
<Sysname> system-view
[Sysname] url-filter category news
[Sysname-url-filter-category-news] rename hello
[Sysname-url-filter-category-hello]
rename命令用來重命名URL過濾策略,並進入新的URL過濾策略視圖。
【命令】
rename new-name
【視圖】
URL過濾策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
new-name:表示新的URL過濾策略的名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
原有URL過濾策略的名稱被修改後,DPI應用profile中引用的同名URL過濾策略的名稱也會被同步修改。
【舉例】
# 把名稱為news的URL過濾策略重命名為hello,並進入新的URL過濾策略視圖。
<Sysname> system-view
[Sysname] url-filter policy news
[Sysname-url-filter-policy-news] rename hello
[Sysname-url-filter-policy-hello]
reset url-filter statistics命令用來清除URL過濾的統計信息。
【命令】
reset url-filter statistics
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【舉例】
# 清除URL過濾的統計信息。
<Sysname> reset url-filter statistics
【相關命令】
· display url-filter statistics
rule命令用來在自定義URL過濾分類中創建URL過濾規則。
undo rule命令用來在自定義URL過濾分類中刪除指定的URL過濾規則。
【命令】
rule rule-id host { regex regex | text string } [ uri { regex regex | text string } ]
undo rule rule-id
【缺省情況】
自定義URL過濾分類中不存在URL過濾規則。
【視圖】
URL過濾分類視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
rule-id:指定URL過濾規則編號,取值範圍為1~65535。
host:表示URL過濾規則匹配URL中的主機名字段。
uri:表示URL過濾規則匹配URL中的URI字段。
regex regex:表示URL過濾規則使用正則表達式對主機名和URI字段進行模糊匹配。regex表示正則表達式,主機名正則表達式的取值範圍為4~224個字符的字符串,不區分大小寫,隻能以字母、數字和下劃線開頭;URI正則表達式的取值範圍為4~253個字符的字符串,區分大小寫,隻能以字母、數字和下劃線開頭。
text string:表示URL過濾規則使用文本對主機名和URI字段進行精確匹配。string表示主機名或URI規則字符串,主機名規則的取值範圍為3~224個字符的字符串,不區分大小寫,主機名隻能是字母、數字、下劃線“_”、連接符“-”、冒號“:”、左方括號“[”、右方括號“]”和點號“.”,但URI無此限製;URI規則的取值範圍為3~255個字符的字符串,區分大小寫。
【使用指導】
URL過濾規則是指對用戶HTTP報文中的URL進行匹配的原則,URL過濾規則支持兩種匹配方式:
· 文本匹配:使用指定的字符串對主機名和URI字段進行精確匹配。
¡ 匹配主機名字段時,URL中的主機名字段與規則中指定的主機名字符串必須完全一致,才能匹配成功。例如,規則中配置主機名字符串為abc.com.cn,則主機名為abc.com.cn的URL會匹配成功,而主機名為dfabc.com.cn的URL將與該規則匹配失敗。
¡ 匹配URI字段時,從URL中URI字段的首字符開始,隻要URI字段中連續若幹個字符與規則中指定的URI字符串完全一致,就算匹配成功。例如,規則中配置URI字符串為/sina/news,則URI為/sina/news、/sina/news/sports或/sina/news_sports的URL會匹配成功,而URI為/sina的URL將與該規則匹配失敗。
· 正則表達式匹配:使用正則表達式對主機名和URI字段進行模糊匹配。例如,規則中配置主機名的正則表達式為sina.*cn,則主機名為news.sina.com.cn的URL會匹配成功。
【舉例】
# 在URL過濾分類news中添加一條URL過濾規則,並使用字符串sina.com對主機名字段進行精確匹配。
<Sysname> system-view
[Sysname] url-filter category news
[Sysname-url-filter-category-news] rule 10 host text sina.com
【相關命令】
· url-filter category
update schedule命令用來配置定期自動在線升級URL過濾特征庫的時間。
undo update schedule命令用來恢複缺省情況。
【命令】
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
undo update schedule
【缺省情況】
設備在每天01:00:00至03:00:00之間自動在線升級URL過濾特征庫。
【視圖】
自動升級配置視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
daily:表示自動升級周期為每天。
weekly:表示以一周為周期,在指定的一天進行自動升級。
fri:表示星期五。
mon:表示星期一。
sat:表示星期六。
sun:表示星期日。
thu:表示星期四。
tue:表示星期二。
wed:表示星期三。
start-time time:指定自動升級開始時間,time的格式為hh:mm:ss,取值範圍為00:00~23:59:59。
tingle minutes:指定抖動時間,即實際自動升級開始時間的偏差範圍,取值範圍為0~120,單位為分鍾。在start-time指定時間的前後各偏移抖動時間的一半作為自動升級的時間範圍,例如,指定自動升級的開始時間為01:00:00,抖動時間為60分鍾,則自動升級的時間範圍為00:30:00至01:30:00。
【舉例】
# 配置URL過濾特征庫的定期自動在線升級時間為每周日20:30:00,抖動時間為10分鍾。
<Sysname> system-view
[Sysname] url-filter signature auto-update
[Sysname-url-filter-autoupdate] update schedule weekly sun start-time 20:30:00 tingle 10
【相關命令】
· url-filter signatures auto-update
url-filter apply policy命令用來在DPI應用profile中引用指定的URL過濾策略。
undo url-filter apply policy命令用來刪除引用的URL過濾策略。
【命令】
url-filter apply policy policy-name
undo url-filter apply policy
【缺省情況】
DPI應用profile中未引用URL過濾策略。
【視圖】
DPI應用profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:URL過濾策略名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
一個DPI應用profile下隻能引用一個URL過濾策略。多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在名為abc的DPI應用profile下引用URL過濾策略news。
<Sysname> system-view
[Sysname] app-profile abc
[Sysname-app-profile-abc]url-filter apply policy news
【相關命令】
· app-profile(DPI深度安全命令參考/應用層檢測引擎)
· display app-profile
· display url-filter policy
url-filter cache deploy-interval命令用來配置向應用層檢測引擎下發緩存中規則的時間間隔。
undo url-filter cache deploy-interval命令用來恢複缺省情況。
【命令】
url-filter cache deploy-interval interval
undo url-filter cache deploy-interval
【缺省情況】
向應用層檢測引擎下發緩存中規則的時間間隔為12小時。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
interval:指定向應用層檢測引擎下發緩存中規則的時間間隔,取值範圍為1~65535,單位為小時。
【使用指導】
設備會根據配置的下發時間間隔將URL過濾緩存中的URL過濾規則定期下發到應用層檢測引擎。
配置的下發時間間隔不能太短,因為頻繁下發URL過濾緩存規則可能會導致應用層檢測引擎停止工作,從而會影響設備對其他DPI業務的處理。
【舉例】
# 配置向應用層檢測引擎下發緩存中規則的時間間隔為24小時。
<Sysname> system-view
[Sysname] url-filter cache deploy-interval 24
url-filter cache size命令用來配置URL過濾緩存區可緩存記錄的上限。
undo url-filter cache size命令用來恢複缺省情況。
【命令】
url-filter cache size cache-size
undo url-filter cache size
【缺省情況】
URL過濾緩存區可緩存記錄的上限根據設備內存的實際大小由係統計算得出。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
cache-size:指定URL過濾緩存區可緩存記錄的上限,取值範圍為1~65535。
【使用指導】
設備會把雲端URL過濾分類服務器返回的查詢結果緩存在URL過濾緩存中。後續符合此URL過濾規則的報文在流經設備時就會在本地匹配成功,而無需再進行雲端查詢。
配置的URL過濾緩存區可緩存記錄的上限不能太大,因為大量URL過濾緩存規則的下發可能會導致應用層檢測引擎停止工作,從而會影響設備對其他DPI業務的處理。
【舉例】
# 配置URL過濾緩存區可緩存記錄的上限為20000。
<Sysname> system-view
[Sysname] url-filter cache size 20000
url-filter cache-time命令用來配置URL過濾緩存規則的最短保留時間。
undo url-filter cache-time命令用來恢複缺省情況。
【命令】
url-filter cache-time value
undo url-filter cache-time
【缺省情況】
URL過濾緩存規則的最短保留時間為43200秒。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
value:指定URL過濾緩存規則的最短保留時間,取值範圍為1~4294967295,單位為秒。
【使用指導】
當從雲端學習到的URL過濾規則在緩存中的保存時間達到指定的最短保留時間時,並不會被立刻刪除,而是在如下情況下會被刪除:
URL過濾緩存已滿後,如果從雲端URL過濾分類服務器繼續學習到了新的URL過濾規則,設備則從緩存中將保存時間超過最大緩存時間的最老URL過濾規則刪除,然後將此新URL過濾規則添加到緩存中。
【舉例】
# 配置URL過濾緩存規則的最短保留時間為36000秒。
<Sysname> system-view
[Sysname] url-filter cache-time 36000
url-filter category命令用來創建URL過濾分類,並進入URL過濾分類視圖。如果指定的URL過濾分類已經存在,則直接進入該URL過濾分類視圖。
undo url-filter category命令用來刪除指定的URL過濾分類。
【命令】
url-filter category category-name [ severity severity-level ]
undo url-filter category category-name
【缺省情況】
隻存在預定義的URL過濾分類,且分類名稱以字符串Pre-開頭。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
category-name:表示URL過濾分類的名稱,為1~63個字符的字符串,不區分大小寫。不能以字符”Pre-“開頭,因為Pre-是預定義的URL過濾分類名稱。
severity severity-value:表示URL過濾分類的嚴重級別屬性。severity-value為嚴重級別,取值範圍為1000~65535,創建URL過濾分類時必須配置此參數,數值越大表示嚴重級別越高,且不同的URL過濾分類的嚴重級別不能相同。
【使用指導】
為便於管理員對數目眾多的URL過濾規則進行統一部署,URL過濾模塊提供了URL過濾分類功能,以便對具有相似特征的URL過濾規則進行歸納以及為匹配這些規則的URL統一指定處理動作。每個URL過濾分類具有一個嚴重級別屬性,該屬性值表示對屬於此過濾分類URL的處理優先級。
URL過濾分類包括兩種類型:
· 預定義分類:根據設備中的URL過濾特征庫自動生成,其內容和嚴重級別不可被修改。
· 自定義分類:由管理員手動配置,可修改其嚴重級別,可添加URL過濾規則。
當報文匹配成功的URL過濾規則同屬於多個URL過濾分類時,設備將根據嚴重級別最高的URL過濾分類中指定的動作對此報文進行處理。
【舉例】
# 創建一個名為news的URL過濾分類,指定其嚴重級別為2000。
<Sysname> system-view
[Sysname] url-filter category news severity 2000
[Sysname-url-filter-category-news]
【相關命令】
· display url-filter category
url-filter category-server命令用來配置雲端URL過濾分類服務器的主機名。
undo url-filter category-server命令用來刪除指定的雲端URL過濾分類服務器。
【命令】
url-filter category-server host-name
undo url-filter category-server host-name
【缺省情況】
不存在雲端URL過濾分類服務器的主機名。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
host-name:表示雲端URL過濾分類服務器主機名的名稱,為1~255個字符的字符串,隻能是字母、數字、下劃線“_”、連接符“-”和點號“.”,不區分大小寫。
【使用指導】
配置URL過濾分類雲端查詢功能時,需要確保設備能通過靜態或動態域名解析方式獲得雲端URL過濾分類服務器的IP地址,並與之路由可達,否則設備進行URL過濾分類雲端查詢會失敗。有關域名解析功能的配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
【舉例】
# 指定URL過濾分類服務器的主機名為urlservice.h3c.com。
<Sysname> system-view
[Sysname] url-filter category-server urlservice.h3c.com
url-filter copy category命令用來複製URL過濾分類。
【命令】
url-filter copy category old-name [ new-name ] severity severity-level
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
old-name:原有分類名稱。
new-name:新分類名稱。如果不輸入new-name,則新創建URL過濾分類的名稱默認為“old-name_n”,其中n為分類的複製次數,取值為整數形式,從1開始增加。
severity severity-level:表示URL過濾分類的嚴重級別。severity-level為嚴重級別,取值範圍為1000~65535。數值越大表示嚴重級別越高,且不同的分類嚴重級別不能相同,如果相同,則複製失敗。
【使用指導】
命令用來複製已存在的URL過濾分類,可以方便用戶快速創建新的URL過濾分類。
【舉例】
# 通過複製名稱為news的URL過濾分類來創建2個新的URL過濾分類。
<Sysname> system-view
[Sysname] url-filter copy category news severity 1001
[Sysname-url-filter- category-news_1] quit
[Sysname] url-filter copy category news severity 1002
[Sysname-url-filter- category-news_2] quit
【相關命令】
· url-filter category
url-filter copy policy命令用來複製URL過濾策略。
【命令】
url-filter copy policy old-name new-name
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
old-name:原有策略名稱。為1~31個字符的字符串,不區分大小寫。
new-name:新策略名稱。為1~31個字符的字符串,不區分大小寫。
【使用指導】
命令用來複製已存在的URL過濾策略,可以方便用戶快速創建新的URL過濾策略。
【舉例】
# 通過複製名稱為news的URL過濾策略來創建2個新的URL過濾策略。
<Sysname> system-view
[Sysname] url-filter copy policy news news1
[Sysname-url-filter-policy-news_1] quit
[Sysname] url-filter copy policy news new2
[Sysname-url-filter-policy-news_2] quit
【相關命令】
· url-filter policy
url-filter log directory root命令用來配置URL過濾僅對網站根目錄下資源的訪問進行日誌記錄。
undo url-filter log directory root命令用來恢複缺省情況。
【命令】
url-filter log directory root
undo url-filter log directory root
【缺省情況】
URL過濾對網站所有路徑下資源的訪問均進行日誌記錄。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
配置此命令後,url-filter log except pre-defined和url-filter log except user-defined命令將失效。
【舉例】
# 配置URL過濾僅對網站根目錄下資源的訪問進行日誌記錄。
<Sysname> system-view
[Sysname] url-filter log directory root
【相關命令】
· category action logging
· default-action logging
· url-filter log except pre-defined
· url-filter log except user-defined
url-filter log enable命令用來開啟應用層檢測引擎日誌信息功能。
undo url-filter log enable命令用來關閉應用層檢測引擎日誌信息功能。
【命令】
url-filter log enable
undo url-filter log enable
【缺省情況】
生成應用層檢測引擎日誌信息功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
應用層檢測引擎日誌是為了滿足管理員審計需求。設備生成應用層檢測引擎日誌信息會交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“網絡管理和監控配置指導”中的“信息中心”。
【舉例】
# 開啟應用層檢測引擎日誌信息功能。
<Sysname> system-view
[Sysname] url-filter log enable
url-filter log except pre-defined命令用來配置URL過濾對指定的預定義類型網頁資源的訪問不進行日誌記錄。
undo url-filter log except pre-defined命令用來配置URL過濾對指定的預定義類型網頁資源的訪問進行日誌記錄。
【命令】
url-filter log except pre-defined { css | gif | ico | jpg | js | png | swf | xml }
undo url-filter log except pre-defined { css | gif | ico | jpg | js | png | swf | xml }
【缺省情況】
URL過濾對所有預定義類型網頁資源的訪問不進行日誌記錄。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
css:表示網頁資源類型為css。
gif:表示網頁資源類型為gif。
ico:表示網頁資源類型為ico。
jpg:表示網頁資源類型為jpg。
js:表示網頁資源類型為js。
png:表示網頁資源類型為png。
swf:表示網頁資源類型為swf。
xml:表示網頁資源類型為xml。
【使用指導】
此命令生效的優先級低於url-filter log directory root命令,如果已經配置url-filter log directory root命令,則本配置不能生效。因此,如果要本配置生效,則需要執行undo url-filter log directory root命令。
可多次執行此命令,指定多種不記錄訪問日誌的預定義網頁資源類型。
【舉例】
# 配置URL過濾對預定義css類型網頁資源的訪問不進行日誌記錄。
<Sysname> system-view
[Sysname] url-filter log except pre-defined css
【相關命令】
· category action logging
· default-action logging
· url-filter log directory root
· url-filter log except user-defined
url-filter log except user-defined命令用來配置URL過濾對指定的自定義類型網頁資源的訪問不進行日誌記錄。
undo url-filter log except user-defined命令用來配置URL過濾對指定的自定義類型網頁資源的訪問進行日誌記錄。
【命令】
url-filter log except user-defined text
undo url-filter log except user-defined [ text ]
【缺省情況】
未配置任何自定義類型網頁資源。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
text:表示自定義網頁資源類型,取值範圍為1~63個字符的字符串,不區分大小寫。
【使用指導】
此命令生效的優先級低於url-filter log directory root命令,如果已經配置url-filter log directory root命令,則本配置不能生效。因此,如果要本配置生效,則需要執行undo url-filter log directory root命令。
可多次執行此命令,指定多種不記錄訪問日誌的自定義網頁資源類型。
執行undo url-filter log except user-defined命令時,若未指定任何參數,則表示URL過濾對所有自定義類型網頁資源的訪問均進行日誌記錄。
【舉例】
# 配置URL過濾對自定義html類型網頁資源的訪問不進行日誌記錄。
<Sysname> system-view
[Sysname] url-filter log except user-defined html
【相關命令】
· category action logging
· default-action logging
· url-filter log directory root
· url-filter log except pre-defined
url-filter policy命令用來創建URL過濾策略,並進入URL過濾策略視圖。如果指定的URL過濾策略已經存在,則直接進入URL過濾策略視圖。
undo url-filter policy命令用來刪除指定的URL過濾策略。
【命令】
url-filter policy policy-name
undo url-filter policy policy-name
【缺省情況】
不存在URL過濾策略。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:表示URL過濾策略的名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
一個URL過濾策略中可以配置多個URL過濾分類動作,也可以在URL過濾策略中定義URL過濾策略的缺省動作。
隻有在DPI應用profile中引用URL過濾策略後,設備的URL過濾功能才會生效。有關DPI應用profile的詳細介紹請參見“DPI深度安全配置指導”中的“應用層檢測引擎”。
【舉例】
# 創建一個名為news的URL過濾策略
<Sysname> system-view
[Sysname] url-filter policy news
[Sysname-url-filter-policy-news]
url-filter signature auto-update命令用來開啟定期自動在線升級URL過濾特征庫功能,並進入自動升級配置視圖。
undo url-filter signature auto-update命令用來關閉定期自動在線升級URL過濾特征庫功能。
【命令】
url-filter signature auto-update
undo url-filter signature auto-update
【缺省情況】
定期自動在線升級URL過濾特征庫功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
如果設備可以訪問H3C官方網站上的特征庫服務專區,可以采用定期自動在線升級方式來對設備上的URL過濾特征庫進行升級。
【舉例】
# 開啟定期自動在線升級URL過濾特征庫功能,並進入自動升級配置視圖。
<Sysname> system-view
[Sysname] url-filter signature auto-update
[Sysname-url-filter-autoupdate]
【相關命令】
· update schedule
url-filter signature auto-update-now命令用來立即自動在線升級URL過濾特征庫。
【命令】
url-filter signature auto-update-now
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
當管理員發現H3C官方網站上的特征庫服務專區中的URL過濾特征庫有更新時,可以選擇立即自動在線升級方式來及時升級URL過濾特征庫版本。
【舉例】
# 立即自動在線升級URL過濾特征庫版本。
<Sysname> system-view
[Sysname] url-filter signature auto-update-now
url-filter signature rollback命令用來回滾URL過濾特征庫版本。
【命令】
url-filter signature rollback { factory | last }
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
factory:表示URL過濾特征庫的出廠版本。
last:表示URL過濾特征庫的上一版本。
【使用指導】
URL過濾特征庫回滾是指將當前的URL過濾特征庫版本回滾到指定的URL過濾特征庫版本。如果管理員發現設備對用戶訪問Web的URL過濾的誤報率較高或出現異常情況,則可以對當前URL過濾特征庫版本進行回滾。目前支持將設備中的URL過濾特征庫版本回滾到出廠版本和上一版本。
URL過濾特征庫版本每次回滾前,設備都會備份當前版本。多次回滾上一版本的操作將會在當前版本和上一版本之間反複切換。例如當前URL過濾特征庫版本是V2,上一版本是V1,第一次執行回滾到上一版本的操作後,特征庫替換成V1版本,再執行回滾上一版本的操作則特征庫重新變為V2版本。
【舉例】
# 配置URL過濾特征庫回滾到上一版本。
<Sysname> system-view
[Sysname] url-filter signature rollback last
url-filter signature update命令用來手動離線升級URL過濾特征庫。
【命令】
url-filter signature update file-path
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
file-path:指定特征庫文件的路徑,為1~256個字符的字符串。
【使用指導】
如果設備不能訪問H3C官方網站上的特征庫服務專區,管理員可以采用如下幾種方式手動離線升級URL過濾特征庫版本。
· 本地升級:使用本地保存的特征庫文件升級係統上的URL過濾特征庫版本。特征庫文件隻能存儲在當前主用設備上,否則設備升級特征庫會失敗。
· FTP/TFTP升級:通過FTP或TFTP方式下載遠程服務器上保存的特征庫文件,並升級係統上的URL過濾特征庫版本。
參數file-path的取值與手動離線升級的操作方式有關。本地升級時參數file-path取值請參見表1-5;FTP/TFTP升級時參數file-path取值請參見表1-6。
|
升級場景 |
參數file-path取值 |
說明 |
|
特征庫文件的存儲位置與當前工作路徑一致 |
filename |
可以執行pwd命令查看當前工作路徑 有關pwd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
|
特征庫文件的存儲位置與當前工作路徑不一致,且在相同存儲介質上 |
path/ filename |
- |
|
特征庫文件的存儲位置與當前工作路徑不在相同存儲介質上 |
path/ filename |
需要先執行cd命令將工作路徑切換至特征庫文件所在存儲介質的根目錄下,再指定特征庫文件的相對路徑 有關cd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
表1-6 FTP/TFTP升級時參數file-path取值說明表
|
升級場景 |
參數file-path取值 |
說明 |
|
特征庫文件存儲在開啟FTP服務的遠程服務器上 |
ftp://username:password@server/filename |
username為登錄FTP服務器的用戶名,password為登錄FTP服務器的密碼,server為FTP服務器的IP地址或主機名 當FTP的用戶名和密碼中使用了“:”、“@”和“/”三種特殊字符時,需要將這三種特殊字符替換為其對應的轉義字符。“:”、“@”和“/”三種特殊字符對應的轉義字符分別為“%3A或%3a”、“%40”和“%2F或%2f” |
|
特征庫文件存儲在開啟TFTP服務的遠程服務器上 |
tftp://server/filename |
server為TFTP服務器的IP地址或主機名 |
當采用FTP/TFTP方式升級特征庫時,如果指定的是服務器的主機名,則需要確保設備能通過靜態或動態域名解析方式獲得FTP/TFTP服務器的IP地址,並與之路由可達。否則設備升級特征庫會失敗。有關域名解析功能的詳細配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
【舉例】
# 配置手動離線升級URL過濾特征庫,且采用TFTP方式,URL過濾特征庫文件的遠程路徑為tftp://192.168.0.10/url-filter-1.0.2-en.dat。
<Sysname> system-view
[Sysname] url-filter signature update tftp://192.168.0.10/url-filter-1.0.2-en.dat
# 配置手動離線升級URL過濾特征庫,且采用FTP方式,URL過濾特征庫文件的遠程路徑為ftp://192.168.0.10/url-filter-1.0.2-en.dat,用戶名為user:123,密碼為user@abc/123。
<Sysname> system-view
[Sysname] url-filter signature update ftp://user%3A123:user%40abc%[email protected]/url-filter-1.0.2-en.dat
# 配置手動離線升級URL過濾特征庫,且采用本地方式,URL過濾特征庫文件的本地路徑為cfa0:/url-filter-1.0.23-en.dat,且當前工作路徑為cfa0:。
<Sysname> system
[Sysname] url-filter signature update url-filter-1.0.23-en.dat
# 配置手動離線升級URL過濾特征庫,且采用本地方式,URL過濾特征庫文件的本地路徑為cfa0:/dpi/url-filter-1.0.23-en.dat,且當前工作路徑為cfa0:。
<Sysname> system
[Sysname] url-filter signature update dpi/url-filter-1.0.23-en.dat
# 配置手動離線升級URL過濾特征庫,且采用本地方式,URL過濾特征庫文件的本地路徑為cfb0:/dpi/url-filter-1.0.23-en.dat,當前工作路徑為cfa0:。
<Sysname> cd cfb0:/
<Sysname> system
[Sysname] url-filter signature update dpi/url-filter-1.0.23-en.dat
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
