- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
11-安全策略配置
本章節下載: 11-安全策略配置 (369.80 KB)
目 錄
安全策略是根據報文的屬性信息對報文進行轉發控製和DPI(Deep Packet Inspection,深度報文檢測)深度安全檢測的防控策略。
安全策略對報文的控製是通過安全策略規則實現的,規則中可以設置匹配報文的過濾條件,處理報文的動作和對於報文內容進行深度檢測等功能。
安全策略中的每條規則都由唯一的名稱和編號標識。名稱必須在創建規則時由用戶手工指定;而編號既可以手工指定,也可以由係統自動分配。
每條規則中均可以配置多種過濾條件,具體包括:源安全域、目的安全域、源IP地址、目的IP地址、用戶、用戶組、應用、應用組、VPN和服務。每種過濾條件中(除VPN外)均可以配置多個匹配項,比如源安全域過濾條件中可以指定多個源安全域等。
規則基於會話對報文進行處理。規則允許報文通過後,設備會創建與此報文對應的會話表項,用於記錄有關此報文的相關信息。
安全策略規則觸發創建的會話,不僅可以根據報文的協議狀態或所屬的應用設置會話的老化時間,還可以基於規則設置會話的老化時間。規則中設置的會話老化時間優先級高於會話管理模塊設置的會話老化時間。有關會話的詳細介紹,請參見“安全配置指導”中的“會話管理”。
安全策略對報文的處理流程如圖1-1所示:
安全策略對報文的處理過程如下:
(1) 將報文的屬性信息與過濾條件中的匹配項進行匹配。每種過濾條件的多個匹配項之間是或的關係,即報文與某一個過濾條件中的任意一項匹配成功,則報文與此過濾條件匹配成功;若報文與某一個過濾條件中的所有項都匹配失敗,則報文與此過濾條件匹配失敗。
(2) 若報文與某條規則中的所有過濾條件都匹配成功(用戶與用戶組匹配一項即可,應用與應用組匹配一項即可),則報文與此條規則匹配成功。若有一個過濾條件不匹配,則報文與此條規則匹配失敗,報文繼續匹配下一條規則。以此類推,直到最後一條規則,若報文還未與規則匹配成功,則設備會丟棄此報文。
(3) 若報文與某條規則匹配成功,則結束此匹配過程,並對此報文執行規則中配置的動作。
¡ 若規則的動作為“丟棄”,則設備會丟棄此報文;
¡ 若規則的動作為“允許”,則設備繼續對報文做第4步處理;
(4) 若引用了DPI業務,則會對此報文進行DPI深度安全檢測;若未引用DPI業務,則直接允許此報文通過。
安全策略加速功能用來提高安全策略規則的匹配速度。當有大量用戶同時通過設備新建連接時,若安全策略內包含大量規則,此功能可以提高規則的匹配速度,保證網絡通暢;若安全策略加速功能失效,則匹配的過程將會很長,導致用戶建立連接的時間超長,同時也會占用係統大量的CPU資源。
安全策略組可以實現對安全策略規則的批量操作,例如批量啟用、禁用、刪除和移動安全策略規則。隻有當安全策略規則及其所屬的安全策略組均處於啟用狀態時,安全策略規則才能生效。
· 當安全策略與包過濾同時配置時,因為安全策略對報文的處理在包過濾之前,報文與安全策略規則匹配成功後,不再進行包過濾處理,所以請合理配置安全策略和包過濾,否則可能會導致配置的包過濾不生效。
· 配置安全策略時,請按照“深度優先”的原則(即控製範圍小的、條件細化的在前,範圍大的在後)進行配置。
· 安全策略規則中不可配置包含用戶或用戶組的IP地址對象組作為過濾條件,如需過濾用戶,推薦直接在安全策略規則中配置用戶或用戶組作為過濾條件。
安全策略的基本配置思路如圖1-2所示,在配置安全策略之前需要完成的配置包括:創建安全域、配置接口並加入安全域、配置對象、配置DPI業務。
在配置安全策略之前,需完成以下任務:
· 配置時間段(請參見“ACL和QoS配置指導”中的“時間段”)。
· 配置IP地址對象組和服務對象組(請參見“安全配置指導”中的“對象組”)。
· 配置應用和應用組(請參見“安全配置指導”中的“APR”)。
· 配置安全域(請參見“安全配置指導”中的“安全域”)。
· 配置DPI業務(請參見“DPI深度安全配置指導”中的各模塊)。
安全策略配置任務如下:
(1) 配置IPv4安全策略規則
a. 配置安全策略缺省規則
b. 創建安全策略規則
c. 配置規則過濾條件
d. 配置規則動作
e. (可選)配置規則生效時間
f. (可選)配置規則引用DPI應用profile
g. (可選)配置基於規則的會話老化時間
h. (可選)配置規則與Track項聯動
i. (可選)開啟規則記錄日誌功能
j. (可選)開啟規則匹配統計功能
(2) 配置IPv6安全策略規則
a. 配置安全策略缺省規則
b. 創建安全策略規則
c. 配置規則過濾條件
d. 配置規則動作
e. (可選)配置規則生效時間
f. (可選)配置規則引用DPI應用profile
g. (可選)配置基於規則的會話老化時間
h. (可選)配置規則與Track項聯動
i. (可選)開啟規則記錄日誌功能
j. (可選)開啟規則匹配統計功能
(3) (可選)管理安全策略
a. 移動安全策略規則
b. 激活安全策略加速功能
(4) 配置安全策略組
a. 創建安全策略組
c. 移動安全策略組
d. 重命名安全策略組
當報文未匹配到任何自定義的安全策略規則時,則執行安全策略缺省規則相應的動作,若缺省規則的動作為drop,則丟棄該報文。
(1) 進入係統視圖。
system-view
(2) 進入IPv4安全策略視圖。
security-policy ip
(3) 配置安全策略缺省規則的動作。
default rule action { drop | pass }
缺省情況下,安全策略缺省規則的動作是丟棄。
(4) 開啟安全策略缺省規則匹配統計功能。
default rule counting enable
缺省情況下,安全策略缺省規則匹配統計功能處於關閉狀態。
(5) 開啟安全策略缺省規則記錄日誌的功能。
default rule logging enable
缺省情況下,安全策略規則記錄日誌的功能處於關閉狀態。
缺省情況下安全策略中不存在規則,設備僅允許Management安全域和Local安全域之間的報文通過。因此需要在如下場景中配置安全策略規則:
· 使設備能夠正常處理各安全域之間的報文。
· 當設備接收的報文(如動態路由協議報文、隧道報文和VPN報文等)需要本機處理時,需要配置安全策略規則保證相應安全域與Local安全域之間的報文互通。
(1) 進入係統視圖。
system-view
(2) 進入IPv4安全策略視圖。
security-policy ip
(3) (可選)配置安全策略的描述信息。
description text
缺省情況下,未配置安全策略的描述信息。
(4) 創建安全策略規則,並進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(5) (可選)配置安全策略規則的描述信息。
description text
缺省情況下,未配置安全策略規則的描述信息。
當安全策略規則中未配置任何過濾條件時,則該規則將匹配所有報文。
若規則中已引用對象組的內容為空,則此規則將不能匹配任何報文。
Management和Local安全域間之間的報文隻能匹配Management與Local安全域之間的安全策略。
(1) 進入係統視圖。
system-view
(2) 進入IPv4安全策略視圖。
security-policy ip
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置源過濾條件。
¡ 配置作為安全策略規則過濾條件的源安全域。
source-zone source-zone-name
缺省情況下,未配置源安全域過濾條件。
¡ 配置作為安全策略規則過濾條件的源IPv4地址對象組。
source-ip object-group-name
缺省情況下,未配置源IPv4地址對象組過濾條件。
(5) 配置目的過濾條件。
¡ 配置作為安全策略規則過濾條件的目的安全域。
destination-zone destination-zone-name
缺省情況下,未配置目的安全域過濾條件。
¡ 配置作為安全策略規則過濾條件的目的IPv4地址對象組。
destination-ip object-group-name
缺省情況下,未配置目的IPv4地址對象組過濾條件。
(6) 配置作為安全策略規則過濾條件的服務對象組。
service { object-group-name | any }
缺省情況下,未配置服務對象組過濾條件。
(7) 配置應用類過濾條件。
¡ 配置作為安全策略規則過濾條件的應用。
application application-name
缺省情況下,未配置應用過濾條件。
為使安全策略中配置的應用可以被識別,必須先放行應用所依賴的基礎協議報文。
¡ 配置作為安全策略規則過濾條件的應用組。
app-group app-group-name
缺省情況下,未配置應用組過濾條件。
(8) 配置用戶類過濾條件。
¡ 配置作為安全策略規則過濾條件的用戶。
user username [ domain domain-name ]
缺省情況下,未配置用戶過濾條件。
¡ 配置作為安全策略規則過濾條件的用戶組。
user-group user-group-name [ domain domain-name ]
缺省情況下,未配置用戶組過濾條件。
(9) 配置安全策略規則對入接口指定VPN多實例中的報文有效。
vrf vrf-name
缺省情況下,安全策略規則對公網的報文有效。
(1) 進入係統視圖。
system-view
(2) 進入IPv4安全策略視圖。
security-policy ip
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則的動作。
action { drop | pass }
缺省情況下,安全策略規則動作是丟棄。
此功能用來啟用安全策略規則,未啟用的安全策略規則不會對報文進行匹配和控製。
(1) 進入係統視圖。
system-view
(2) 進入IPv4安全策略視圖。
security-policy ip
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 啟用安全策略規則。
undo disable
缺省情況下,安全策略規則處於禁用狀態。
(1) 進入係統視圖。
system-view
(2) 進入IPv4安全策略視圖。
security-policy ip
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則生效的時間段。
time-range time-range-name
缺省情況下,不限製安全策略規則生效的時間。
通過在安全策略規則中引用DPI應用profile可實現對符合安全策略過濾條件的報文進行DPI相關業務的處理。有關DPI各業務的詳細介紹,請參見“DPI深度安全配置指導”中的相關業務模塊。
此功能僅在安全策略規則動作為允許的情況下才生效。
(1) 進入係統視圖。
system-view
(2) 進入IPv4安全策略視圖。
security-policy ip
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則的動作為允許。
action pass
缺省情況下,安全策略規則動作是丟棄。
(5) 配置安全策略規則引用DPI應用profile。
profile app-profile-name
缺省情況下,安全策略規則中未引用DPI應用profile。
此功能用來為匹配某條安全策略規則而生成的穩態會話和長連接會話設置老化時間。且此命令的配置僅影響後續生成的會話,對於已經生效的會話不產生作用。
此功能設置的會話老化時間優先級高於會話管理模塊設置的會話老化時間。有關會話管理模塊會話老化時間的詳細介紹,請參見“安全配置指導”中的“會話管理”。
長連接老化時間僅在TCP會話進入穩態(TCP-EST狀態)時生效。長連接會話老化時間優先級高於session aging-time命令配置的會話老化時間
(1) 進入係統視圖。
system-view
(2) 進入IPv4安全策略視圖。
security-policy ip
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置基於安全策略規則的會話老化時間。
session aging-time time-value
缺省情況下,未配置基於安全策略規則的會話老化時間。
(5) 配置基於安全策略規則的長連接會話老化時間。
session persistent aging-time time-value
缺省情況下,未配置基於安全策略規則的長連接會話老化時間。
在安全策略中可以配置規則與Track項進行聯動,規則與Track項聯動後,規則的狀態由Track的狀態決定。有關Track的詳細配置請參見“可靠性配置指導”中的“Track”。
配置安全策略規則與Track項的Negative狀態關聯後,當安全策略規則收到Negative狀態的Track通知時,將此規則置為有效狀態(Active),當安全策略規則收到Positive狀態的Track通知時,將此規則置為失效狀態(Inactive)。
配置安全策略規則與Track項的Positive狀態關聯後,當安全策略規則收到Positive狀態的Track通知時,將此規則置為有效狀態(Active),當安全策略規則收到Negative狀態的Track通知時,將此規則置為失效狀態(Inactive)。
(1) 進入係統視圖。
system-view
(2) 進入IPv4安全策略視圖。
security-policy ip
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則與Track項聯動。
track { negative | positive } track-entry-number
缺省情況下,安全策略規則未與Track項聯動。
開啟此功能後,設備對匹配規則的報文生成安全策略日誌信息,此日誌信息將會被交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。有關信息中心的詳細描述,請參見“設備管理配置指導”中的“信息中心”。
(1) 進入係統視圖。
system-view
(2) 進入IPv4安全策略視圖。
security-policy ip
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 開啟對符合過濾條件的報文記錄日誌信息的功能。
logging enable
缺省情況下,對符合過濾條件的報文記錄日誌信息的功能處於關閉狀態。
(5) (可選)開啟安全策略日誌的實時發送功能。
security-policy log real-time-sending enable
缺省情況下,日誌的實時發送功能處於關閉狀態。
此功能用來對匹配規則的報文進行統計,可通過執行display security-policy statistics命令來查看相關報文的統計信息。
在跨VLAN模式Bridge轉發的應用場景中,此功能僅統計安全策略和DPI業務丟棄的報文,不統計安全策略和DPI業務允許通過的報文。有關跨VLAN模式Bridge轉發的詳細介紹,請參見“二層技術-以太網交換配置指導”中的“二層轉發”。
(1) 進入係統視圖。
system-view
(2) 進入IPv4安全策略視圖。
security-policy ip
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 開啟安全策略規則匹配統計功能。
counting enable
缺省情況下,安全策略規則匹配統計功能處於關閉狀態。
當報文未匹配到任何自定義的安全策略規則時,則執行安全策略缺省規則相應的動作,若缺省規則的動作為drop,則丟棄該報文。
(1) 進入係統視圖。
system-view
(2) 進入IPv6安全策略視圖。
security-policy ipv6
(3) 配置安全策略缺省規則的動作。
default rule action { drop | pass }
缺省情況下,安全策略缺省規則的動作是丟棄。
(4) 開啟安全策略缺省規則匹配統計功能。
default rule counting enable
缺省情況下,安全策略缺省規則匹配統計功能處於關閉狀態。
(5) 開啟安全策略缺省規則記錄日誌的功能。
default rule logging enable
缺省情況下,安全策略規則記錄日誌的功能處於關閉狀態。
缺省情況下安全策略中不存在規則,設備僅允許Management安全域和Local安全域之間的報文通過。因此需要在如下場景中配置安全策略規則:
· 使設備能夠正常處理各安全域之間的報文。
· 當設備接收的報文(如動態路由協議報文、隧道報文和VPN報文等)需要本機處理時,需要配置安全策略規則保證相應安全域與Local安全域之間的報文互通。
(1) 進入係統視圖。
system-view
(2) 進入IPv6安全策略視圖。
security-policy ipv6
(3) (可選)配置安全策略的描述信息。
description text
缺省情況下,未配置安全策略的描述信息。
(4) 創建安全策略規則,並進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(5) (可選)配置安全策略規則的描述信息。
description text
缺省情況下,未配置安全策略規則的描述信息。
當安全策略規則中未配置任何過濾條件時,則該規則將匹配所有報文。
若規則中已引用對象組的內容為空,則此規則將不能匹配任何報文。
Management和Local安全域間之間的報文隻能匹配Management與Local安全域之間的安全策略
(1) 進入係統視圖。
system-view
(2) 進入IPv6安全策略視圖。
security-policy ipv6
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置源過濾條件。
¡ 配置作為安全策略規則過濾條件的源安全域。
source-zone source-zone-name
缺省情況下,未配置源安全域過濾條件。
¡ 配置作為安全策略規則過濾條件的源IPv6地址對象組。
source-ip object-group-name
缺省情況下,未配置源IPv6地址對象組過濾條件。
(5) 配置目的過濾條件。
¡ 配置作為安全策略規則過濾條件的目的安全域。
destination-zone destination-zone-name
缺省情況下,未配置目的安全域過濾條件。
¡ 配置作為安全策略規則過濾條件的目的IPv6地址對象組。
destination-ip object-group-name
缺省情況下,未配置目的IPv6地址對象組過濾條件。
(6) 配置作為安全策略規則過濾條件的服務對象組。
service { object-group-name | any }
缺省情況下,未配置服務對象組過濾條件。
(7) 配置應用類過濾條件。
¡ 配置作為安全策略規則過濾條件的應用。
application application-name
缺省情況下,未配置應用過濾條件。
為使安全策略中配置的應用可以被識別,必須先放行應用所依賴的基礎協議報文。
¡ 配置作為安全策略規則過濾條件的應用組。
app-group app-group-name
缺省情況下,未配置應用組過濾條件。
(8) 配置用戶類過濾條件。
¡ 配置作為安全策略規則過濾條件的用戶。
user username [ domain domain-name ]
缺省情況下,未配置用戶過濾條件。
¡ 配置作為安全策略規則過濾條件的用戶組。
user-group user-group-name [ domain domain-name ]
缺省情況下,未配置用戶組過濾條件。
(9) 配置安全策略規則對入接口指定VPN多實例中的報文有效。
vrf vrf-name
缺省情況下,安全策略規則對公網的報文有效。
(1) 進入係統視圖。
system-view
(2) 進入IPv6安全策略視圖。
security-policy ipv6
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則的動作。
action { drop | pass }
缺省情況下,安全策略規則動作是丟棄。
此功能用來啟用安全策略規則,未啟用的安全策略規則不會對報文進行匹配和控製。
(1) 進入係統視圖。
system-view
(2) 進入IPv6安全策略視圖。
security-policy ipv6
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 啟用安全策略規則。
undo disable
缺省情況下,安全策略規則處於禁用狀態。
(1) 進入係統視圖。
system-view
(2) 進入IPv6安全策略視圖。
security-policy ipv6
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則生效的時間段。
time-range time-range-name
缺省情況下,不限製安全策略規則生效的時間。
通過在安全策略規則中引用DPI應用profile可實現對符合安全策略過濾條件的報文進行DPI相關業務的處理。有關DPI各業務的詳細介紹,請參見“DPI深度安全配置指導”中的相關業務模塊。
此功能僅在安全策略規則動作為允許的情況下才生效。
(1) 進入係統視圖。
system-view
(2) 進入IPv6安全策略視圖。
security-policy ipv6
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則的動作為允許。
action pass
缺省情況下,安全策略規則動作是丟棄。
(5) 配置安全策略規則引用DPI應用profile。
profile app-profile-name
缺省情況下,安全策略規則中未引用DPI應用profile。
此功能用來為匹配某條安全策略規則而生成的穩態會話和長連接會話設置老化時間。且此命令的配置僅影響後續生成的會話,對於已經生效的會話不產生作用。
此功能設置的會話老化時間優先級高於會話管理模塊設置的會話老化時間。有關會話管理模塊會話老化時間的詳細介紹,請參見“安全配置指導”中的“會話管理”。
長連接老化時間僅在TCP會話進入穩態(TCP-EST狀態)時生效。長連接會話老化時間優先級高於session aging-time命令配置的會話老化時間
(1) 進入係統視圖。
system-view
(2) 進入IPv6安全策略視圖。
security-policy ipv6
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置基於安全策略規則的會話老化時間。
session aging-time time-value
缺省情況下,未配置基於安全策略規則的會話老化時間。
(5) 配置基於安全策略規則的長連接會話老化時間。
session persistent aging-time time-value
缺省情況下,未配置基於安全策略規則的長連接會話老化時間。
在安全策略中可以配置規則與Track項進行聯動,規則與Track項聯動後,規則的狀態由Track的狀態決定。有關Track的詳細配置請參見“可靠性配置指導”中的“Track”。
配置安全策略規則與Track項的Negative狀態關聯後,當安全策略規則收到Negative狀態的Track通知時,將此規則置為有效狀態(Active),當安全策略規則收到Positive狀態的Track通知時,將此規則置為失效狀態(Inactive)。
配置安全策略規則與Track項的Positive狀態關聯後,當安全策略規則收到Positive狀態的Track通知時,將此規則置為有效狀態(Active),當安全策略規則收到Negative狀態的Track通知時,將此規則置為失效狀態(Inactive)。
(1) 進入係統視圖。
system-view
(2) 進入IPv6安全策略視圖。
security-policy ipv6
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則與Track項聯動。
track { negative | positive } track-entry-number
缺省情況下,安全策略規則未與Track項聯動。
開啟此功能後,設備對匹配規則的報文生成安全策略日誌信息,此日誌信息將會被交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。有關信息中心的詳細描述,請參見“設備管理配置指導”中的“信息中心”。
(1) 進入係統視圖。
system-view
(2) 進入IPv6安全策略視圖。
security-policy ipv6
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 開啟對符合過濾條件的報文記錄日誌信息的功能。
logging enable
缺省情況下,對符合過濾條件的報文記錄日誌信息的功能處於關閉狀態。
(5) (可選)開啟安全策略日誌的實時發送功能。
security-policy log real-time-sending enable
缺省情況下,日誌的實時發送功能處於關閉狀態。
此功能用來對匹配規則的報文進行統計,可通過執行display security-policy statistics命令來查看相關報文的統計信息。
在跨VLAN模式Bridge轉發的應用場景中,此功能僅統計安全策略和DPI業務丟棄的報文,不統計安全策略和DPI業務允許通過的報文。有關跨VLAN模式Bridge轉發的詳細介紹,請參見“二層技術-以太網交換配置指導”中的“二層轉發”。
(1) 進入係統視圖。
system-view
(2) 進入IPv6安全策略視圖。
security-policy ipv6
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 開啟安全策略規則匹配統計功能。
counting enable
缺省情況下,安全策略規則匹配統計功能處於關閉狀態。
由於安全策略規則缺省按照其被創建的先後順序進行匹配,因此為了使用戶能夠靈活調整規則的匹配順序,可通過本功能來移動規則的位置,從而改變規則的匹配順序。
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 移動安全策略規則。
¡ 通過安全策略規則ID移動規則。
move rule rule-id before insert-rule-id
缺省情況下,係統按照固定時間間隔判斷是否需要激活安全策略規則的加速功能,並對本周期內發生變化(新增、刪除、修改或移動)的安全策略規則進行加速。當安全策略規則小於等於100條時,係統判斷是否需要激活的時間間隔為2秒;當安全策略規則大於100條時,此時間間隔為20秒。如果希望對發生變化的安全策略規則立即進行加速,可執行accelerate enhanced enable命令手工激活安全策略規則加速功能。
激活加速功能後,若係統判定安全策略規則發生了變化(新增、刪除、修改或移動),則會對當前所有的安全策略規則進行重新加速,否則,不會重新加速。
激活安全策略規則加速功能時,內存資源不足會導致安全策略規則加速失敗。加速失敗後,本間隔內發生變化的安全策略規則未進行加速,從而導致變化的安全策略規則不生效,之前已經加速成功的規則不受影響。在下一個時間間隔到達後,係統會再次嚐試對安全策略規則進行加速。
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 激活安全策略規則的加速功能。
accelerate enhanced enable
將安全策略規則加入安全策略組時,會將指定範圍內若幹連續的安全策略規則加入同一個安全策略組。
執行undo命令行時的具體功能如下:
· undo group name group-name命令用來僅刪除安全策略組,但不刪除策略組中的規則。
· undo group name group-name description命令用來僅刪除安全策略組的描述信息。
· undo group name group-name include-member命令用來刪除安全策略組及其策略組中的所有規則。
將安全策略規則加入安全策略組時,起始規則要在結束規則前麵,並且起始規則和結束規則之間的規則不能屬於其他安全策略組。
同一個安全策略組中的安全策略規則類型必須相同。
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 創建安全策略組,並將指定的安全策略規則加入此安全策略組。
group name group-name [ from rule-name1 to rule-name2 ] [ description description-text ] [ disable | enable ]
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則所屬的安全策略組。
parent-group group-name
通過移動安全策略組可以批量改變安全策略規則的優先級。
如果目標安全策略規則已經屬於其他安全策略組,按照其在安全策略組中的位置,受如下原則的約束。
· 如果規則位於策略組中間位置,則不能移動。
· 如果規則位於策略組開始位置,隻可以移動到目標規則之前。
· 如果規則位於策略組結束位置,隻可以移動到目標規則之後。
僅能在相同類型的安全策略規則或安全策略組之間移動安全策略組。
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 移動安全策略組。
group move group-name1 { after | before } { group group-name2 | rule rule-name }
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 重命名安全策略組。
group rename old-name new-name
請在用戶視圖下執行以下命令,清除安全策略的統計信息。
reset security-policy statistics [ ip | ipv6 ] [ rule rule-name ]
可在任意視圖下執行以下命令:
· 顯示安全策略的配置信息。
display security-policy { ip | ipv6 }
· 顯示安全策略的統計信息。
display security-policy statistics { ip | ipv6 } [ rule rule-name ]
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
