- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-安全策略命令
本章節下載: 02-安全策略命令 (489.41 KB)
目 錄
1.1.1 accelerate enhanced enable
1.1.6 description (security-policy rule view)
1.1.7 description (security-policy view)
1.1.9 destination-ip-host (IPv4 security policy view)
1.1.10 destination-ip-host (IPv6 security policy view)
1.1.11 destination-ip-range (IPv4 security policy view)
1.1.12 destination-ip-range (IPv6 security policy view)
1.1.13 destination-ip-subnet (IPv4 security policy view)
1.1.14 destination-ip-subnet (IPv6 security policy view)
1.1.17 display security-policy
1.1.18 display security-policy statistics
1.1.27 reset security-policy statistics
1.1.31 security-policy config-logging send-time
1.1.32 security-policy disable
1.1.36 session persistent aging-time
1.1.38 source-ip-host (IPv4 security policy view)
1.1.39 source-ip-host (IPv6 security policy view)
1.1.40 source-ip-range (IPv4 security policy view)
1.1.41 source-ip-range (IPv6 security policy view)
1.1.42 source-ip-subnet (IPv4 security policy view)
accelerate enhanced enable命令用來激活安全策略規則的加速功能。
【命令】
accelerate enhanced enable
【視圖】
IPv4安全策略視圖
IPv6安全策略視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
加速功能用於提高報文對安全策略規則的匹配速度。激活安全策略規則加速功能是指對變化(新增、刪除、修改或移動)的安全策略規則進行加速。
進入安全策略視圖後,係統按照固定時間間隔判斷是否需要激活安全策略規則的加速功能。在一個時間間隔內若安全策略規則發生變化,則間隔時間到達後會對當前所有的安全策略規則進行重新加速,否則,不會重新加速。當安全策略規則小於等於100條時,此時間間隔為2秒;當安全策略規則大於100條時,此時間間隔為20秒。
如安全策略規則發生變化後,也可以手動執行accelerate enhanced enable命令立即對發生變化的安全策略規則進行加速。
安全策略中的規則發生變化後必須對其加速成功,否則這些變化的規則無法進行報文匹配。
激活安全策略規則加速功能時,內存資源不足會導致安全策略規則加速失敗。加速失敗後,本間隔內發生變化的安全策略規則未進行加速,從而導致變化的安全策略規則不生效,之前已經加速成功的規則不受影響。在下一個時間間隔到達後,係統會再次嚐試對安全策略規則進行加速。
【舉例】
# 激活安全策略規則的加速功能。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] accelerate enhanced enable
action命令用來配置安全策略規則的動作。
undo action命令用來恢複缺省情況。
【命令】
action { drop | pass }
undo action pass
【缺省情況】
安全策略規則動作是丟棄。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
drop:表示丟棄符合條件的報文。
pass:表示允許符合條件的報文通過。
【使用指導】
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 為安全策略規則rule1配置動作為丟棄。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] action drop
【相關命令】
· display security-policy
app-group命令用來配置作為安全策略規則過濾條件的應用組。
undo app-group命令用來刪除作為安全策略規則過濾條件的應用組。
【命令】
app-group app-group-name
undo app-group [ app-group-name ]
【缺省情況】
不存在應用組過濾條件。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
app-group-name:表示應用組的名稱,為1~63個字符的字符串,不區分大小寫,且不能為字符串invalid和other。使用undo命令時若不指定此參數,則表示刪除此規則中所有應用組類型的過濾條件。有關應用組的詳細介紹,請參見“安全配置指導”中的“APR”。
【使用指導】
多次執行本命令,可配置多個應用組作為安全策略規則的過濾條件。
【舉例】
# 配置作為安全策略規則rule1過濾條件的應用組為app1和app2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] app-group app1
[Sysname-security-policy-ip-0-rule1] app-group app2
【相關命令】
· app-group(安全命令參考/APR)
· display security-policy
application命令用來配置作為安全策略規則過濾條件的應用。
undo application命令用來刪除作為安全策略規則過濾條件的應用。
【命令】
application application-name
undo application [ application-name ]
【缺省情況】
不存在應用過濾條件。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
application-name:表示應用的名稱,為1~63個字符的字符串,不區分大小寫,且不能為字符串invalid和other。使用undo命令時若不指定此參數,則表示刪除此規則中所有應用類型的過濾條件。有關應用的詳細介紹,請參見“安全配置指導”中的“APR”。
【使用指導】
多次執行本命令,可配置多個應用作為安全策略規則的過濾條件。
為使安全策略中配置的應用可以被識別,必須先放行應用所依賴的基礎協議報文。
在端口仿冒網絡環境中,必須先放行仿冒的基礎協議報文,才能識別出仿冒報文中的應用。
【舉例】
# 配置作為安全策略規則rule1過濾條件的應用為139Mail和51job。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] application 139Mail
[Sysname-security-policy-ip-0-rule1] application 51job
【相關命令】
· display security-policy
· nbar application(安全命令參考/APR)
· port-mapping(安全命令參考/APR)
counting enable命令用來開啟安全策略規則匹配統計功能。
undo counting enable命令用來關閉安全策略規則匹配統計功能。
【命令】
counting enable [ period value ]
undo counting enable
【缺省情況】
安全策略規則匹配統計功能處於關閉狀態。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
period value:指定安全策略規則匹配統計功能開啟的時長,取值範圍為1~4294967295,單位為分鍾。若不指定該參數,則表示永久開啟統計功能。
【使用指導】
此功能用來對匹配安全策略規則的報文進行統計,可通過執行display security-policy statistics命令來查看相關報文的統計信息。
開啟安全策略規則匹配統計功能時,若指定了period參數,則當到達指定時長後,係統會自動關閉該功能,並刪除該配置;若沒有指定period參數,則永久開啟統計功能,隻有執行undo命令後才可以關閉該功能。
【舉例】
# 為安全策略規則rule1開啟規則匹配統計功能,並指定開啟時長為20分鍾。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] counting enable period 20
【相關命令】
· display security-policy
· display security-policy statistics
description命令用來配置安全策略規則的描述信息。
undo description命令用來恢複缺省情況。
【命令】
description text
undo description
【缺省情況】
不存在安全策略規則的描述信息。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
text:表示安全策略規則的描述信息,為1~127個字符的字符串,區分大小寫。
【舉例】
# 為IPv4安全策略規則0配置描述信息為This rule is used for source-ip ip1。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] description This rule is used for source-ip ip1
【相關命令】
· display security-policy ip
· display security-policy ipv6
description命令用來配置安全策略的描述信息。
undo description命令用來恢複缺省情況。
【命令】
description text
undo description
【缺省情況】
不存在安全策略的描述信息。
【視圖】
IPv4安全策略視圖
IPv6安全策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
text:表示安全策略的描述信息,為1~127個字符的字符串,區分大小寫。
【舉例】
# 配置安全策略的描述信息為“zone-pair security office to library”。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] description zone-pair security office to library
【相關命令】
· display security-policy
destination-ip命令用來配置作為安全策略規則過濾條件的目的IP地址。
undo destination-ip命令用來刪除作為安全策略規則過濾條件的目的IP地址。
【命令】
destination-ip object-group-name
undo destination-ip [ object-group-name ]
【缺省情況】
不存在目的IP地址過濾條件。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
object-group-name:表示目的地址對象組的名稱,為1~63個字符的字符串,不區分大小寫,且不能為字符串any。使用undo命令時若不指定此參數,則表示刪除此規則中所有目的IP地址類型的過濾條件。有關地址對象組的詳細介紹,請參見“安全配置指導”中的“對象組”。
【使用指導】
多次執行本命令,可配置多個目的IP地址作為安全策略規則的過濾條件。
配置目的IP地址作為安全策略規則的過濾條件時,若指定的地址對象組不存在,該配置仍會配置成功,同時也會在係統中創建一個名稱為指定名稱的空配置地址對象組,但此條過濾條件不會匹配任何報文。
一條規則下配置的目的IP地址對象組最多為1024個,超出時命令會執行失敗並提示出錯。
【舉例】
# 配置作為安全策略規則rule1過濾條件的目的地址對象組為client1和client2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] destination-ip client1
[Sysname-security-policy-ip-0-rule1] destination-ip client2
【相關命令】
· display security-policy
· object-group(安全命令參考/對象組)
destination-ip-host命令用來配置作為安全策略規則過濾條件的目的IPv4主機地址。
undo destination-ip-host命令用來刪除作為安全策略規則過濾條件的目的IPv4主機地址。
【命令】
destination-ip-host ip-address
undo destination-ip-host [ ip-address ]
【缺省情況】
不存在目的IPv4主機地址過濾條件。
【視圖】
IPv4安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip-address:指定主機IPv4地址。
【使用指導】
destination-ip-host命令用來配置單個目的IPv4主機地址過濾條件。
多次執行本命令,可配置多個目的IPv4主機地址作為安全策略規則的過濾條件。
新創建的地址不能與已有的地址完全相同,否則該命令執行失敗,並提示出錯。
一條規則下配置的目的主機地址、目的子網地址和目的範圍地址數量之和最多為1024個,超出時命令會執行失敗並提示出錯。
【舉例】
# 配置作為安全策略規則rule1過濾條件的目的地址為192.167.0.1的IPv4主機地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] destination-ip-host 192.167.0.1
【相關命令】
· display security-policy
destination-ip-host命令用來配置作為安全策略規則過濾條件的目的IPv6主機地址。
undo destination-ip-host命令用來刪除作為安全策略規則過濾條件的目的IPv6主機地址。
【命令】
destination-ip-host ipv6-address
undo destination-ip-host [ ipv6-address ]
【缺省情況】
不存在目的IPv6主機地址過濾條件。
【視圖】
IPv6安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6-address:指定主機IPv6地址。
【使用指導】
destination-ip-host命令用來配置單個目的IPv6主機地址過濾條件。
多次執行本命令,可配置多個目的IPv6主機地址作為安全策略規則的過濾條件。
新創建的地址不能與已有的地址完全相同,否則該命令執行失敗,並提示出錯。
一條規則下配置的目的主機地址、目的子網地址和目的範圍地址數量之和最多為1024個,超出時命令會執行失敗並提示出錯。
【舉例】
# 配置作為安全策略規則rule1過濾條件的目的地址為192::167:1 的IPv6主機地址。
<Sysname> system-view
[Sysname] security-policy ipv6
[Sysname-security-policy-ipv6] rule 0 name rule1
[Sysname-security-policy-ipv6-0-rule1] destination-ip-host 192::167:1
【相關命令】
· display security-policy
destination-ip-range命令用來配置作為安全策略規則過濾條件的目的IPv4範圍地址。
undo destination-ip-range命令用來刪除作為安全策略規則過濾條件的目的IPv4範圍地址。
【命令】
destination-ip-range ip-address1 ip-address2
undo destination-ip-range [ ip-address1 ip-address2 ]
【缺省情況】
不存在目的IPv4範圍地址過濾條件。
【視圖】
IPv4安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip-address1 ip-address2:指定範圍IPv4地址。ip-address1表示範圍起始IPv4地址,ip-address2表示範圍結束IPv4地址。
【使用指導】
destination-ip-range命令用來配置指定範圍的目的IPv4地址過濾條件。
多次執行本命令,可配置多個目的IP範圍地址作為安全策略規則的過濾條件。
新創建的地址不能與已有的地址完全相同,否則該命令執行失敗,並提示出錯。
一條規則下配置的目的主機地址、目的子網地址和目的範圍地址數量之和最多為1024個,超出時命令會執行失敗並提示出錯。
在配置時,需要注意的是:
· 如果指定的ip-address1和ip-address2相同,則該配置被視為主機地址對象配置。
· 如果指定的ip-address1和ip-address2是一個子網的起始地址和結束地址,則該配置被視為子網地址配置。
· 如果指定的ip-address1比ip-address2大,會自動調整範圍為[ ip-address2, ip-address1 ]。
【舉例】
# 配置作為安全策略規則rule1過濾條件的目的地址為192.165.0.100到192.165.0.200的IPv4範圍地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] destination-ip-range 192.165.0.100 192.165.0.200
【相關命令】
· display security-policy
destination-ip-range命令用來配置作為安全策略規則過濾條件的目的IPv6範圍地址。
undo destination-ip-range命令用來刪除作為安全策略規則過濾條件的目的IPv6範圍地址。
【命令】
destination-ip-range ipv6-address1 ipv6-address2
undo destination-ip-range [ ipv6-address1 ipv6-address2 ]
【缺省情況】
不存在目的IPv6範圍地址過濾條件。
【視圖】
IPv6安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6-address1 ipv6-address2:指定範圍IPv6地址。ipv6-address1表示範圍起始IPv6地址,ipv6-address2表示範圍結束IPv6地址。
【使用指導】
destination-ip-range命令用來配置指定範圍的目的IPv6地址過濾條件。
多次執行本命令,可配置多個目的IP範圍地址作為安全策略規則的過濾條件。
新創建的地址不能與已有的地址完全相同,否則該命令執行失敗,並提示出錯。
一條規則下配置的目的主機地址、目的子網地址和目的範圍地址數量之和最多為1024個,超出時命令會執行失敗並提示出錯。
在配置時,需要注意的是:
· 如果指定的ipv6-address1和ipv6-address2相同,則該配置被視為主機地址對象配置。
· 如果指定的ipv6-address1和ipv6-address2是一個子網的起始地址和結束地址,則該配置被視為子網地址配置。
· 如果指定的ipv6-address1比ipv6-address2大,會自動調整範圍為[ ipv6-address2, ipv6-address1 ]。
【舉例】
# 配置作為安全策略規則rule1過濾條件的目的地址為192:165::100到192:165::200的IPv6範圍地址。
<Sysname> system-view
[Sysname] security-policy ipv6
[Sysname-security-policy-ipv6] rule 0 name rule1
[Sysname-security-policy-ipv6-0-rule1] destination-ip-range 192:165::100 192:165::200
【相關命令】
· display security-policy
destination-ip-subnet命令用來配置作為安全策略規則過濾條件的目的IPv4子網地址。
undo destination-ip-subnet命令用來刪除作為安全策略規則過濾條件的目的IPv4子網地址。
【命令】
destination-ip-subnet ip-address { mask-length | mask }
undo destination-ip-subnet [ ip-address { mask-length | mask } ]
【缺省情況】
不存在目的IPv4子網地址過濾條件。
【視圖】
IPv4安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip-address { mask-length | mask }:指定子網IPv4地址。mask-length表示子網掩碼長度,取值範圍為0~32。mask表示接口IPv4地址相應的子網掩碼,為點分十進製格式。如果指定mask-length為32或者mask為255.255.255.255,則該配置被視為主機地址配置。
【使用指導】
destination-ip-subnet命令用來配置指定子網的目的IPv4地址過濾條件。
多次執行本命令,可配置多個目的IP地址作為安全策略規則的過濾條件。
新創建的地址不能與已有的地址完全相同,否則該命令執行失敗,並提示出錯。
一條規則下配置的目的主機地址、目的子網地址和目的範圍地址數量之和最多為1024個,超出時命令會執行失敗並提示出錯。
【舉例】
# 配置作為安全策略規則rule1過濾條件的目的地址為192.167.0.0,掩碼長度為24的IPv4子網地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] destination-ip-subnet 192.167.0.0 24
# 配置作為安全策略規則rule1過濾條件的目的地址為192.166.0.0,掩碼為255.255.0.0的IPv4子網地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] destination-ip-subnet 192.166.0.0 255.255.0.0
【相關命令】
· display security-policy
destination-ip-subnet命令用來配置作為安全策略規則過濾條件的目的IPv6子網地址。
undo destination-ip-subnet命令用來刪除作為安全策略規則過濾條件的目的IPv6子網地址。
【命令】
destination-ip-subnet ipv6-address prefix-length
undo destination-ip-subnet [ ipv6-address prefix-length ]
【缺省情況】
不存在目的IPv6子網地址過濾條件。
【視圖】
IPv6安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6-address prefix-length:指定子網IPv6地址。prefix-length表示子網前綴長度,取值範圍為1~128。如果指定prefix-length為128,則該配置被視為主機地址配置。
【使用指導】
destination-ip-subnet命令用來配置指定子網的目的IPv6地址過濾條件。
多次執行本命令,可配置多個目的IP地址作為安全策略規則的過濾條件。
新創建的地址不能與已有的地址完全相同,否則該命令執行失敗,並提示出錯。
一條規則下配置的目的主機地址、目的子網地址和目的範圍地址數量之和最多為1024個,超出時命令會執行失敗並提示出錯。
【舉例】
# 配置作為安全策略規則rule1過濾條件的目的地址為192::167:0,地址前綴長度為64的IPv6子網地址。
<Sysname> system-view
[Sysname] security-policy ipv6
[Sysname-security-policy-ipv6] rule 0 name rule1
[Sysname-security-policy-ipv6-0-rule1] destination-ip-subnet 192::167:0 64
【相關命令】
· display security-policy
destination-zone命令用來配置作為安全策略規則過濾條件的目的安全域。
undo destination-zone命令用來刪除作為安全策略規則過濾條件的目的安全域。
【命令】
destination-zone destination-zone-name
undo destination-zone [ destination-zone-name ]
【缺省情況】
不存在目的安全域過濾條件。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
destination-zone-name:表示目的安全域的名稱,為1~31個字符的字符串,不區分大小寫。使用undo命令時若不指定此參數,則表示刪除此規則中所有目的安全域類型的過濾條件。有關安全域的詳細介紹,請參見“安全配置指導”中的“安全域”。
【使用指導】
多次執行本命令,可配置多個目的安全域作為安全策略規則的過濾條件。
【舉例】
# 配置作為安全策略規則rule1過濾條件的目的安全域為Trust和server。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] destination-zone trust
[Sysname-security-policy-ip-0-rule1] destination-zone server
【相關命令】
· display security-policy
· security-zone(安全命令參考/安全域)
disable命令用來禁用安全策略規則。
undo disable命令用來啟用安全策略規則。
【命令】
disable
undo disable
【缺省情況】
安全策略規則處於啟用狀態。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【舉例】
# 禁用安全策略規則rule1。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] disable
【相關命令】
· display security-policy
display security-policy命令用來顯示安全策略的配置信息。
【命令】
display security-policy { ip | ipv6 }
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
ip:表示顯示IPv4安全策略的配置信息。
ipv6:表示顯示IPv6安全策略的配置信息。
【舉例】
# 顯示IPv4安全策略的配置信息。
<Sysname> display security-policy ip
Security-policy ip
rule 0 name der (Inactive)
action pass
profile er
vrf re
logging enable
counting enable period 20
counting enable TTL 1200
time-range dere
track positive 23
session aging-time 5000
session persistent aging-time 2400
source-zone trust
destination-zone trust
source-ip erer
source-ip-host 1.1.1.4
source-ip-subnet 1.1.1.0 255.255.255.0
source-ip-range 2.2.1.1 3.3.3.3
destination-ip client1
destination-ip-host 5.5.1.2
destination-ip-subnet 5.5.1.0 255.255.255.0
destination-ip-range 2.2.1.1 3.3.3.3
service ftp
service-port tcp
service-port tcp source lt 100 destination eq 104
service-port tcp source eq 100 destination range 104 2000
service-port udp
service-port udp source gt 100 destination eq 104
service-port udp destination eq 100
service-port icmp 100 122
service-port icmp
app-group ere
application 110Wang
user der
user-group ere
表1-1 display security-policy命令顯示信息描述表
|
rule id name rule-name |
表示規則的ID和名稱 |
|
action pass |
表示規則動作,其取值如下: · pass:表示允許報文通過 · drop:表示丟棄報文 |
|
profile app-profile-name |
表示引用的DPI應用profile |
|
vrf vrf-name |
表示MPLS L3VPN的VPN實例名稱 |
|
logging enable |
表示開啟了對符合規則過濾條件的報文記錄日誌信息的功能 |
|
counting enable period value |
表示開啟了安全策略規則匹配統計功能並設置了開啟時長,單位為分鍾 |
|
counting enable TTL time-value |
表示開啟了安全策略規則匹配統計功能後的剩餘生效時間,單位為秒 |
|
time-range time-range-name |
表示此規則生效的時間段 |
|
track negative 1 (Active) |
表示安全策略規則生效狀態與Track項的Negative狀態關聯,且此規則的狀態為Active,規則的生效狀態取值包括: · Active:表示生效狀態 · Inative:表示禁用狀態 |
|
track positive 1 (Inactive) |
表示安全策略規則生效狀態與Track項的Positive或NotReady狀態關聯,且此規則的狀態為Active,規則的生效狀態取值包括: · Active:表示生效狀態 · Inative:表示禁用狀態 |
|
session aging-time time-value |
表示此規則中設置的會話老化時間,單位為秒 |
|
session persistent aging-time time-value |
表示此規則中設置的長連接會話的老化時間,單位為小時 |
|
source-zone zone-name |
表示規則配置了源安全域作為過濾條件 |
|
destination-zone zone-name |
表示規則配置了目的安全域作為過濾條件 |
|
source-ip object-group-name |
表示規則配置了源IP地址作為過濾條件 |
|
source-ip-host ip-address |
表示規則配置了源IP主機地址作為過濾條件 |
|
source-ip-subnet ip-address |
表示規則配置了源IP子網地址作為過濾條件 |
|
source-ip-range ip-address1 ip-address2 |
表示規則配置了源IP範圍地址作為過濾條件 |
|
destination-ip object-group-name |
表示規則配置了目的IP地址作為過濾條件 |
|
destination-ip-host ip-address |
表示規則配置了目的IP主機地址作為過濾條件 |
|
destination-ip-subnet ip-address |
表示規則配置了目的IP子網地址作為過濾條件 |
|
destination-ip-range ip-address1 ip-address2 |
表示規則配置了目的IP範圍地址作為過濾條件 |
|
service object-group-name |
表示規則配置了服務作為過濾條件 |
|
service-port protocol |
表示規則配置了協議的端口號作為過濾條件 |
|
app-group app-group-name |
表示規則配置了應用組作為過濾條件 |
|
application application-name |
表示規則配置了應用作為過濾條件 |
|
user user-name |
表示規則配置了用戶作為過濾條件 |
|
user-group user-group-name |
表示規則配置了用戶組作為過濾條件 |
【相關命令】
· security-policy ip
· security-policy ipv6
display security-policy statistics命令用來顯示安全策略的統計信息。
【命令】
display security-policy statistics { ip | ipv6 } [ rule rule-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
ip:表示顯示IPv4安全策略的統計信息。
ipv6:表示顯示IPv6安全策略的統計信息。
rule rule-name:表示顯示指定安全策略規則的統計信息。rule-name是安全策略規則的名稱,為1~127個字符的字符串,不區分大小寫。若不指定此參數,則顯示指定IP類型的所有安全策略統計信息。
【舉例】
# 顯示IPv4安全策略下名稱為abc的規則的統計信息。
<Sysname> display security-policy statistics ip rule abc
rule 0 name abc
action: pass (5 packets, 1000 bytes)
表1-2 display security-policy statistics命令顯示信息描述表
|
字段 |
描述 |
|
rule id name rule-name |
表示規則的ID和名稱 |
|
action |
表示安全策略規則動作,其取值包括如下: · pass:表示允許報文通過 · drop:表示丟棄報文 |
|
x packets, y bytes |
該安全策略規則匹配x個報文,共y字節(本字段僅在配置安全策略規則配置了counting enable或logging enable命令時顯示,當未匹配任何報文時不顯示本字段) |
【相關命令】
· reset security-policy statistics
group move group-name1 { after | before } { group group-name2 | rule rule-name }命令用來移動安全策略組。
【命令】
group move group-name1 { after | before } { group group-name2 | rule rule-name }
【視圖】
安全策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
group-name1:表示需要被移動的安全策略組的名稱,為1~63個字符的字符串,不區分大小寫。
after:表示將安全策略組group-name1移動到安全策略組group-name2或安全策略規則rule-name之後。
before:表示將安全策略組group-name1移動到安全策略組group-name2或安全策略規則rule-name之前。
group group-name2:表示目標安全策略組的名稱,為1~63個字符的字符串,不區分大小寫。
rule rule-name:表示目標安全策略規則的名稱,為1~127個字符的字符串,不區分大小寫。
【使用指導】
通過移動安全策略組可以批量改變安全策略規則的優先級。
如果目標安全策略規則已經屬於其他安全策略組,按照其在安全策略組中的位置,受如下原則的約束。
· 如果規則位於策略組中間位置,則不能移動。
· 如果規則位於策略組開始位置,隻可以移動到目標規則之前。
· 如果規則位於策略組結束位置,隻可以移動到目標規則之後。
【舉例】
# 將安全策略組group1移動到安全策略組group2之前。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] group move group1 before group group2
group name命令用來創建安全策略組,並將指定的安全策略規則加入此安全策略組。如果指定的安全策略組已經存在,則將指定的安全策略規則加入此安全策略組。
undo group name命令用來刪除安全策略組。
【命令】
group name group-name [ from rule-name1 to rule-name2 ] [ description description-text ] [ disable | enable ]
undo group name group-name [ description | include-member ]
【缺省情況】
不存在安全策略組。
【視圖】
安全策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
group-name:表示安全策略組的名稱,為1~63個字符的字符串,不區分大小寫。
from rule-name1:表示加入安全策略組規則的起始規則,rule-name1是安全策略規則的名稱,為1~127個字符的字符串,不區分大小寫。若不指定本參數,則表示創建空的安全策略組。
to rule-name2:表示加入安全策略組規則的結束規則,rule-name2是安全策略規則的名稱,為1~127個字符的字符串,不區分大小寫。
description description-text:表示安全策略組的描述信息,為1~127個字符的字符串,區分大小寫。缺省情況下,安全策略組不存在描述信息。
disable:表示禁用安全策略組。
enable:表示啟用安全策略組,安全策略組缺省處於啟用狀態。
include-member:執行undo命令行時,若指定本參數,則表示刪除安全策略組及其策略組中的所有安全策略規則。
【使用指導】
安全策略組可以實現對安全策略規則的批量操作,例如批量啟用、禁用、刪除和移動安全策略規則。
將安全策略規則加入安全策略組時,會將指定範圍內若幹連續的安全策略規則加入同一個安全策略組。
隻有當安全策略規則及其所屬的安全策略組均處於啟用狀態時,安全策略規則才能生效。
將安全策略規則加入安全策略組時,起始規則要在結束規則前麵,並且起始規則和結束規則之間的規則不能屬於其他安全策略組。
執行undo命令行時的具體功能如下:
· undo group name group-name命令用來僅刪除安全策略組,但不刪除策略組中的規則。
· undo group name group-name description命令用來僅刪除安全策略組的描述信息。
· undo group name group-name include-member命令用來刪除安全策略組及其策略組中的所有規則。
【舉例】
# 創建一個名稱為group1的安全策略組,並將安全策略規則rule-name1到rule-name10之間的所有安全策略規則加入此安全策略組,其描述信息為marketing。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] group name group1 from rule-name1 to rule-name10 enable description marketing
group rename命令用來重命名安全策略組。
【命令】
group rename old-name new-name
【視圖】
安全策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
old-name:表示安全策略組的原有名稱,為1~63個字符的字符串,不區分大小寫。
new-name:表示安全策略組的新名稱,為1~63個字符的字符串,不區分大小寫。
【舉例】
# 把安全策略組group1重命名為group2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] group rename group1 group2
logging enable命令用來開啟安全策略規則記錄日誌的功能。
undo logging enable命令用來關閉安全策略規則記錄日誌的功能。
【命令】
logging enable
undo logging enable
【缺省情況】
安全策略規則記錄日誌的功能處於關閉狀態。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
開啟此功能後,設備對匹配規則的報文生成安全策略日誌信息,此日誌信息將會被交給信息中心模塊處理或快速日誌輸出模塊,信息中心模塊或快速日誌輸出模塊的配置將決定日誌信息的發送規則和發送方向。
安全策略日誌不會輸出到控製台和監視終端。當信息中心配置的規則將安全策略日誌輸出到控製台和監視終端時,若仍需要查看安全策略日誌,可通過執行display logbuffer命令或在Web頁麵中查看。有關信息中心和display logbuffer命令的詳細描述,請參見“網絡管理和監控配置指導”中的“信息中心”。
【舉例】
# 在安全策略規則rule1中開啟安全策略規則記錄日誌的功能。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] logging enable
【相關命令】
· display security-policy
move rule命令用來通過安全策略規則編號移動規則。
【命令】
move rule rule-id1 { { after | before } rule-id2 | bottom | down | top | up }
【視圖】
IPv4安全策略視圖
IPv6安全策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
rule-id1:指定待移動安全策略規則的編號,取值範圍為0~4294967290。
after:表示移動到指定編號的目標安全策略規則之後。
before:表示移動到指定編號的目標安全策略規則之前。
rule-id2:指定目標安全策略規則的編號,取值範圍為0~4294967295,其中指定編號為4294967295時表示移動到所有規則之後。
bottom:表示移動到所有安全策略規則之後。
down:表示移動到下一條安全策略規則之後。
top:表示移動到所有安全策略規則之前。
up:表示移動到上一條安全策略規則之前。
【使用指導】
如果rule-id2與rule-id1相同或其指定的規則不存在,則不執行任何移動操作。
【舉例】
# 在IPv4安全策略上,將安全策略規則5移動到規則2之前。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] move rule 5 before 2
【相關命令】
· rule
· security-policy ip
· security-policy ipv6
move rule name命令用來通過安全策略規則名稱移動規則。
【命令】
move rule name rule-name1 { { after | before } name rule-name2 | bottom | down | top | up }
【視圖】
安全策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
rule-name1:待移動的安全策略規則的名稱,為1~127個字符的字符串,不區分大小寫。
after:表示移動到指定名稱的目標安全策略規則之後。
before:表示移動到指定名稱的目標安全策略規則之前。
name rule-name2:指定目標安全策略規則的名稱,為1~127個字符的字符串,不區分大小寫。
bottom:表示移動到所有安全策略規則之後。
down:表示移動到下一條安全策略規則之後。
top:表示移動到所有安全策略規則之前。
up:表示移動到上一條安全策略規則之前。
【使用指導】
通過移動安全策略規則可以改變報文匹配安全策略規則的優先級。
【舉例】
# 在IPv4安全策略上,將安全策略規則rule1移動到安全策略規則rule2之前。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] move rule name rule1 before name rule2
【相關命令】
· rule
· security-policy ip
· security-policy ipv6
parent-group group-name命令用來配置安全策略規則所屬的安全策略組。
undo parent-group命令用來恢複缺省情況。
【命令】
parent-group group-name
undo parent-group
【缺省情況】
安全策略規則不屬於安全策略組。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
group-name:表示安全策略規則需要加入的安全策略組的名稱,為1~63個字符的字符串,不區分大小寫。
【舉例】
# 配置安全策略規則rule1屬於安全策略組group1。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 1 name rule1
[Sysname-security-policy-ip-1-rule1] parent-group group1
profile命令用來在安全策略規則中引用DPI應用profile。
undo profile命令用來刪除在安全策略規則中引用的DPI應用profile。
【命令】
profile app-profile-name
undo profile
【缺省情況】
安全策略規則中未引用DPI應用profile。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
app-profile-name:表示DPI應用profile的名稱,為1~63個字符的字符串,不區分大小寫。有關DPI應用profile的詳細介紹,請參見“DPI深度安全命令參考”中的“應用層檢測引擎”。
【使用指導】
通過在安全策略規則中引用DPI應用profile可實現對符合安全策略過濾條件的報文進行相關DPI業務的處理。有關DPI各業務的詳細介紹,請參見“DPI深度安全配置指導”中的相關模塊。
此命令僅在安全策略規則動作為允許的情況下才生效。
【舉例】
# 在IPv4安全策略規則rule1中引用名稱為p1的DPI應用profile。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] action pass
[Sysname-security-policy-ip-0-rule1] profile p1
【相關命令】
· action pass
· app-profile(DPI深度安全命令參考/應用層檢測引擎)
· display security-policy ip
reset security-policy statistics命令用來清除安全策略的統計信息。
【命令】
reset security-policy statistics [ ip | ipv6 ] [ rule rule-name ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip:表示清除IPv4安全策略的統計信息。
ipv6:表示清除IPv6安全策略的統計信息。
rule rule-name:表示清除安全策略規則的統計信息。rule-name是安全策略規則的名稱,為1~127個字符的字符串,不區分大小寫。
【使用指導】
若未指定任何參數,則清除所有安全策略的統計信息。
【舉例】
# 清除IPv4安全策略下名稱為abc的規則的統計信息。
<Sysname> reset security-policy statistics ip rule abc
【相關命令】
· display security-policy statistics
rule命令用來創建安全策略規則,並進入安全策略規則視圖。如果指定的安全策略規則已經存在,則直接進入安全策略規則視圖。
undo rule命令用來刪除指定的安全策略規則。
【命令】
rule { rule-id | [ rule-id ] name rule-name }
undo rule { rule-id | name rule-name } *
【缺省情況】
不存在安全策略規則。
【視圖】
IPv4安全策略視圖
IPv6安全策略視圖
【缺省用戶角色】
context-admin
【參數】
rule-id:指定安全策略規則的編號,取值範圍為0~4294967290。若未指定本參數,係統將從0開始,自動分配一個大於現有最大編號的最小編號,步長為1。若新編號超出了編號上限(4294967290),則選擇當前未使用的最小編號作為新的編號。
rule-name:表示安全策略規則的名稱,為1~127個字符的字符串,不區分大小寫,且全局唯一,不能為default,創建規則時必須配置名稱。
【舉例】
# 為IPv4安全策略創建規則0,並為該規則配置規則名稱為rule1。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1]
【相關命令】
· display security-policy ipv6
rule rename命令用來重命名安全策略規則。
【命令】
rule rename old-name new-name
【視圖】
安全策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
old-name:被重命名安全策略規則的名稱,為1~127個字符的字符串,不區分大小寫。
new-name:重命名後的安全策略規則名稱,為1~127個字符的字符串,不區分大小寫,且全局唯一,不能為default。
【舉例】
# 重命名安全策略規則rule1的名稱為rule2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule rename rule1 rule2
【相關命令】
· rule
· security-policy ip
· security-policy ipv6
security-policy命令用來進入安全策略視圖。
undo security-policy命令用來刪除安全策略視圖下麵的所有配置。
【命令】
security-policy { ip | ipv6 }
undo security-policy { ip | ipv6 }
【缺省情況】
安全策略視圖下不存在配置。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip:表示IPv4安全策略視圖。
ipv6:表示IPv6安全策略視圖。
【使用指導】
· undo security-policy { ip | ipv6 }命令會直接刪除所有安全策略配置,可能導致網絡中斷。
· 安全策略功能與對象策略功能在設備上不能同時使用,當對象策略處於生效狀態時,進入安全策略視圖,對象策略功能會立即失效,可能導致網絡中斷。
【舉例】
# 進入IPv4安全策略視圖。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip]
# 刪除IPv4安全策略視圖下麵的所有配置。
<Sysname> system-view
[Sysname] undo security-policy ip
This command willdelete all rules from the current policy. Continue anyway? [Y/N]:
【相關命令】
· display security-policy
security-policy config-logging send-time命令用來配置每天發送安全策略內容日誌的時間。
undo security-policy config-logging send-time命令用來恢複缺省情況。
【命令】
security-policy config-logging send-time time
undo security-policy config-logging send-time
【缺省情況】
發送安全策略內容日誌的時間為每天的零點。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
time:配置每天發送安全策略內容日誌的時間,time的格式為hh:mm,取值範圍為00:00~23:59。
【使用指導】
在快速日誌輸出模塊中開啟生成安全策略國家電網日誌功能後(即執行customlog format security-policy sgcc命令),設備會在每天指定的時間以國家電網日誌的格式發送此時所有處於生效狀態安全策略規則的配置信息。有關快速日誌輸出的詳細介紹,請參見“網絡管理和監控配置指導”中的“快速日誌輸出”。
【舉例】
# 配置每天發送安全策略內容日誌的時間為13點15分。
<Sysname>system-view
[Sysname] security-policy config-loggging send-time 13:15
【相關命令】
· customlog format security-policy sgcc(網絡管理和監控命令參考/快速日誌輸出)
· customlog host export security-policy(網絡管理和監控命令參考/快速日誌輸出)
security-policy disable命令用來關閉安全策略功能。
undo security-policy disable命令用來開啟安全策略功能。
【命令】
security-policy disable
undo security-policy disable
【缺省情況】
安全策略功能處於開啟狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
security-policy disable命令會直接關閉所有安全策略,可能導致網絡中斷。
隻有開啟安全策略功能後,配置的安全策略才能生效。
【舉例】
# 關閉安全策略功能
<Sysname> system-view
[Sysname] security-policy disable
service命令用來配置作為安全策略規則過濾條件的服務。
undo service命令用來刪除作為安全策略規則過濾條件的服務。
【命令】
service { object-group-name | any }
undo service [ object-group-name | any ]
【缺省情況】
不存在服務過濾條件。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
object-group-name:表示服務對象組的名稱,為1~63個字符的字符串,不區分大小寫。
any:表示將設備中的所有服務作為安全策略規則的過濾條件。
【使用指導】
多次執行本命令,可配置多個服務對象組作為安全策略規則的過濾條件。
配置服務作為安全策略規則的過濾條件時,若指定的服務對象組不存在,該配置仍會配置成功,同時也會在係統中創建一個名稱為指定名稱的空配置服務對象組,但此條過濾條件不會匹配任何報文。
使用undo命令時若不指定任何參數,則表示刪除此規則中所有服務類型的過濾條件。
一條規則下配置的服務對象組最多為1024個,超出時命令會執行失敗並提示出錯。
【舉例】
# 配置作為安全策略規則rule1過濾條件的服務對象組為http和ftp。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] service http
[Sysname-security-policy-ip-0-rule1] service ftp
【相關命令】
· display security-policy
· object-group(安全命令參考/對象組)
service-port命令用來配置作為安全策略規則過濾條件的服務端口。
undo service-port命令用來刪除作為安全策略規則過濾條件的服務端口。
【命令】
service-port protocol [ { destination { { eq | lt | gt } port | range port1 port2 } | source { { eq | lt | gt } port | range port1 port2 } } * | icmp-type icmp-code | icmpv6-type icmpv6-code ]
undo service-port [ protocol [ { destination { { eq | lt | gt } port | range port1 port2 } | source { { eq | lt | gt } port | range port1 port2 } } * | icmp-type icmp-code | icmpv6-type icmpv6-code ] ]
【缺省情況】
不存在服務端口過濾條件。
【視圖】
IPv4安全策略規則視圖
IPv6安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
protocol:協議類型,可選取tcp(6)、udp(17)或icmp(1)。
可輸入的形式如下:
· 數字:在IPv4安全策略規則視圖下,取值範圍為0~57、59~255;在IPv6安全策略規則視圖下,取值範圍為0、2~255;
· 名稱:在IPv4安全策略規則視圖下,可選取tcp(6)、udp(17)、icmp(1);在IPv6安全策略規則視圖下,可選取tcp(6)、udp(17)、icmpv6(58)。
source:指定源端口。隻在protocol為tcp或udp時有效。
destination:指定目的端口。隻在protocol為tcp或udp時有效。
eq:表示等於。
lt:表示小於。
gt:表示大於。
port:指定端口號,取值範圍為0~65535。
range port1 port2:指定端口號範圍。port1表示端口號1,取值範圍為0~65535。port2表示端口號2,取值範圍為0~65535。
icmp-type:ICMP消息類型,取值範圍為0~255,隻在protocol為icmp時有效。
icmp-code:ICMP消息碼,取值範圍為0~255。
icmpv6-type:ICMPv6消息類型,取值範圍為0~255,隻在protocol為icmpv6時有效。
icmpv6-code:ICMPv6消息碼,取值範圍為0~255。
【使用指導】
本命令與service命令的區別在於本命令僅可匹配服務端口號,而service命令僅可匹配服務對象組。
新創建的服務端口號不能與已有的服務端口號完全相同,否則該命令執行失敗。
一條規則下匹配的服務數量最多為1024個,超出時命令會執行失敗並提示出錯。
在配置lt參數時,需要注意的是:
· 不能指定port為0。
· 如果指定port為1,則該配置被視為eq 0。
· 如果指定port為2~65535,則實際生效的端口號為[0,port-1]。
在配置gt參數時,需要注意的是:
· 不能指定port為65535。
· 如果指定port為65534,該配置被視為eq 65535。
· 如果指定port為0~65533,則實際生效的端口號為[port+1,65535]。
在配置range參數時,需要注意的是:
· 如果指定的port1和port2相同,則該配置被視為等於指定的端口號。
· 如果指定port1為0,則該配置被視為lt配置,譬如配置range 0 999,被視為lt 1000。
· 如果指定port2為65535,則該配置被視為gt配置,譬如配置range 50001 65535,被視為gt 50000。
· 如果指定的port1比port2大,會自動調整範圍為[port2,port1]。
【舉例】
# 配置作為安全策略規則rule1過濾條件的服務為tcp協議的源端口和目的端口的報文。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] service-port tcp destination range 100 200 source eq 100
# 配置作為安全策略規則rule1過濾條件的服務為icmp協議的源端口和目的端口的報文。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] service-port icmp 100 150
【相關命令】
· display security-policy
session aging-time命令用來為安全策略規則配置會話的老化時間。
undo session aging-time命令用來恢複缺省情況。
【命令】
session aging-time time-value
undo session aging-time
【缺省情況】
未配置安全策略規則的會話老化時間。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
time-value:指定會話的老化時間,取值範圍為1~2000000,單位為秒。
【使用指導】
此命令用來為匹配某條安全策略規則而生成的穩態會話設置老化時間。此命令的配置不僅影響後續生成的會話,對已經生成的會話同樣生效。
若某安全策略規則中配置了會話的老化時間,則匹配上該規則且進入穩定狀態的會話需要遵循規則中配置的老化時間進行老化;非穩態會話按照缺省的會話老化時間進行老化。
若進入穩態的會話報文匹配上的安全策略規則中未配置會話老化時間,則該會話基於會話管理模塊配置的老化時間(session aging-time application和session aging-time state命令的配置)進行老化。有關會話管理相關配置的詳細介紹,請參見“安全配置指導”中的“會話管理”。
【舉例】
# 為IPv4安全策略的規則rule1配置會話老化時間為5000秒。
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] action pass
[Sysname-security-policy-ip-0-rule1] session aging-time 5000
【相關命令】
· session aging-time application(安全命令參考/會話管理)
· session aging-time state(安全命令參考/會話管理)
· session persistent acl(安全命令參考/會話管理)
session persistent aging-time命令用來為安全策略規則配置長連接會話的老化時間。
undo session persistent aging-time命令用來恢複缺省情況。
【命令】
session persistent aging-time time-value
undo session persistent aging-time
【缺省情況】
未配置安全策略規則的長連接會話老化時間。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
time-value:指定長連接會話的老化時間,取值範圍為0~24000,單位為小時,0表示永不老化。
【使用指導】
若長連接會話老化時間配置過長,設備會話數量可能會激增,從而導致設備內存使用率過高。
此命令用來為匹配某條安全策略規則而生成的長連接會話設置老化時間。此命令的配置不僅影響後續生成的會話,對已經生成的會話同樣生效。
此命令配置的長連接會話老化時間優先級高於session aging-time命令配置的會話老化時間和會話管理模塊session persistent acl命令配置的長連接老化時間。有關session persistent acl命令的詳細介紹,請參見“安全命令參考”中的“會話管理”。
長連接老化時間僅在TCP會話進入穩態(TCP-EST狀態)時生效。
【舉例】
# 為IPv4安全策略中規則rule1配置長連接會話老化時間為1小時。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] action pass
[Sysname-security-policy-ip-0-rule1] session persistent aging-time 1
【相關命令】
· display security-policy ip
· session persistent acl(安全命令參考/會話管理)
source-ip命令用來配置作為安全策略規則過濾條件的源IP地址。
undo source-ip命令用來刪除作為安全策略規則過濾條件的源IP地址。
【命令】
source-ip object-group-name
undo source-ip [ object-group-name ]
【缺省情況】
不存在源IP地址過濾條件。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
object-group-name:表示源地址對象組的名稱,為1~63個字符的字符串,不區分大小寫,且不能為字符串any。使用undo命令時若不指定此參數,則表示刪除此規則中所有源IP地址類型的過濾條件。有關地址對象組的詳細介紹,請參見“安全配置指導”中的“對象組”。
【使用指導】
多次執行本命令,可配置多個源IP地址作為安全策略規則的過濾條件。
配置源IP地址作為安全策略規則的過濾條件時,若指定的地址對象組不存在,該配置仍會配置成功,同時也會在係統中創建一個名稱為指定名稱的空配置地址對象組,但此條過濾條件不會匹配任何報文。
一條規則下配置的源IP地址對象組最多為1024個,超出時命令會執行失敗並提示出錯。
【舉例】
# 配置作為安全策略規則rule1過濾條件的源地址對象組為server1和server2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-ip server1
[Sysname-security-policy-ip-0-rule1] source-ip server2
【相關命令】
· display security-policy
· object-group(安全命令參考/對象組)
source-ip-host命令用來配置作為安全策略規則過濾條件的源IPv4主機地址。
undo source-ip-host命令用來刪除作為安全策略規則過濾條件的源IPv4主機地址。
【命令】
source-ip-host ip-address
undo source-ip-host [ ip-address ]
【缺省情況】
不存在源IPv4主機地址過濾條件。
【視圖】
IPv4安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip-address:指定主機IPv4地址。
【使用指導】
source-ip-host命令用來配置單個源IPv4主機地址過濾條件。
多次執行本命令,可配置多個源IPv4主機地址作為安全策略規則的過濾條件。
新創建的地址不能與已有的地址完全相同,否則該命令執行失敗,並提示出錯。
一條規則下配置的源主機地址、源子網地址和源範圍地址數量之和最多為1024個,超出時命令會執行失敗並提示出錯。
【舉例】
# 配置作為安全策略規則rule1過濾條件的源地址為192.167.0.1的IPv4主機地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-ip-host 192.167.0.1
【相關命令】
· display security-policy
source-ip-host命令用來配置作為安全策略規則過濾條件的源IPv6主機地址。
undo source-ip-host命令用來刪除作為安全策略規則過濾條件的源IPv6主機地址。
【命令】
source-ip-host ipv6-address
undo source-ip-host [ ipv6-address ]
【缺省情況】
不存在源IPv6主機地址過濾條件。
【視圖】
IPv6安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6-address:指定主機IPv6地址。
【使用指導】
source-ip-host命令用來配置單個源IPv6主機地址過濾條件。
多次執行本命令,可配置多個源IPv6主機地址作為安全策略規則的過濾條件。
新創建的地址不能與已有的地址完全相同,否則該命令執行失敗,並提示出錯。
一條規則下配置的源主機地址、源子網地址和源範圍地址數量之和最多為1024個,超出時命令會執行失敗並提示出錯。
【舉例】
# 配置作為安全策略規則rule1過濾條件的源地址為192::167:1的IPv6主機地址。
<Sysname> system-view
[Sysname] security-policy ipv6
[Sysname-security-policy-ipv6] rule 0 name rule1
[Sysname-security-policy-ipv6-0-rule1] source-ip-host 192::167:1
【相關命令】
· display security-policy
source-ip-range命令用來配置作為安全策略規則過濾條件的源IPv4範圍地址。
undo source-ip-range命令用來刪除作為安全策略規則過濾條件的源IPv4範圍地址。
【命令】
source-ip-range ip-address1 ip-address2
undo source-ip-range [ ip-address1 ip-address2 ]
【缺省情況】
不存在源IPv4範圍地址過濾條件。
【視圖】
IPv4安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip-address1 ip-address2:指定範圍IPv4地址。ip-address1表示範圍起始IPv4地址,ip-address2表示範圍結束IPv4地址。
【使用指導】
source-ip-range命令用來配置指定範圍的源IPv4地址過濾條件。
多次執行本命令,可配置多個源IP範圍地址作為安全策略規則的過濾條件。
新創建的地址不能與已有的地址完全相同,否則該命令執行失敗,並提示出錯。
一條規則下配置的源主機地址、源子網地址和源範圍地址數量之和最多為1024個,超出時命令會執行失敗並提示出錯。
配置需要注意的是:
· 如果指定的ip-address1和ip-address2相同,則該配置被視為主機地址配置。
· 如果指定的ip-address1和ip-address2是一個子網的起始地址和結束地址,則該配置被視為子網地址對象配置。
· 如果指定的ip-address1比ip-address2大,會自動調整範圍為[ ip-address2, ip-address1 ]。
【舉例】
# 配置作為安全策略規則rule1過濾條件的源地址為192.165.0.100到192.165.0.200的IPv4範圍地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-ip-range 192.165.0.100 192.165.0.200
【相關命令】
· display security-policy
source-ip-range命令用來配置作為安全策略規則過濾條件的源IPv6範圍地址。
undo source-ip-range命令用來刪除作為安全策略規則過濾條件的源IPv6範圍地址。
【命令】
source-ip-range ipv6-address1 ipv6-address2
undo source-ip-range [ ipv6-address1 ipv6-address2 ]
【缺省情況】
不存在源IPv6範圍地址過濾條件。
【視圖】
IPv6安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6-address1 ipv6-address2:指定範圍IPv6地址。ipv6-address1表示範圍起始IPv6地址,ipv6-address2表示範圍結束IPv6地址。
【使用指導】
source-ip-range命令用來配置指定範圍的源IPv6地址過濾條件。
多次執行本命令,可配置多個源IP範圍地址作為安全策略規則的過濾條件。
新創建的地址不能與已有的地址完全相同,否則該命令執行失敗,並提示出錯。
一條規則下配置的源主機地址、源子網地址和源範圍地址數量之和最多為1024個,超出時命令會執行失敗並提示出錯。
配置需要注意的是:
· 如果指定的ipv6-address1和ipv6-address2相同,則該配置被視為主機地址配置。
· 如果指定的ipv6-address1和ipv6-address2是一個子網的起始地址和結束地址,則該配置被視為子網地址對象配置。
· 如果指定的ipv6-address1比ipv6-address2大,會自動調整範圍為[ ipv6-address2, ipv6-address1 ]。
【舉例】
# 配置作為安全策略規則rule1過濾條件的源地址為192::165:100到192::165:200的IPv6範圍地址。
<Sysname> system-view
[Sysname] security-policy ipv6
[Sysname-security-policy-ipv6] rule 0 name rule1
[Sysname-security-policy-ipv6-0-rule1] source-ip-range 192::165:100 192::165:200
【相關命令】
· display security-policy
source-ip-subnet命令用來配置作為安全策略規則過濾條件的源IPv4子網地址。
undo source-ip-subnet命令用來刪除作為安全策略規則過濾條件的源IPv4子網地址。
【命令】
source-ip-subnet ip-address { mask-length | mask }
undo source-ip-subnet [ ip-address { mask-length | mask } ]
【缺省情況】
不存在源IPv4子網地址過濾條件。
【視圖】
IPv4安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip-address { mask-length | mask }:指定子網IPv4地址。mask-length表示子網掩碼長度,取值範圍為0~32。mask表示接口IPv4地址相應的子網掩碼,為點分十進製格式。如果指定mask-length為32或者mask為255.255.255.255,則該配置被視為主機地址配置。
【使用指導】
source-ip-subnet命令用來配置指定子網的源IPv4地址過濾條件。
多次執行本命令,可配置多個源IP子網地址作為安全策略規則的過濾條件。
新創建的地址不能與已有的地址完全相同,否則該命令執行失敗,並提示出錯。
一條規則下配置的源主機地址、源子網地址和源範圍地址數量之和最多為1024個,超出時命令會執行失敗並提示出錯。
【舉例】
# 配置作為安全策略規則rule1過濾條件的源地址為192.167.0.0,掩碼長度為24的IPv4子網地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-ip-subnet 192.167.0.0 24
# 配置作為安全策略規則rule1過濾條件的源地址為192.166.0.0,掩碼為255.255.0.0的IPv4子網地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-ip-subnet 192.166.0.0 255.255.0.0
【相關命令】
· display security-policy
source-ip-subnet命令用來配置作為安全策略規則過濾條件的源IPv6子網地址。
undo source-ip-subnet命令用來刪除作為安全策略規則過濾條件的源IPv6子網地址。
【命令】
source-ip-subnet ipv6-address prefix-length
undo source-ip-subnet [ ipv6-address prefix-length ]
【缺省情況】
不存在源IPv6子網地址過濾條件。
【視圖】
IPv6安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6-address prefix-length:指定子網IPv6地址。prefix-length表示子網前綴長度,取值範圍為1~128。如果指定prefix-length為128,則該配置被視為主機地址配置。
【使用指導】
source-ip-subnet命令用來配置指定子網的源IPv6地址過濾條件。
多次執行本命令,可配置多個源IPv6子網地址作為安全策略規則的過濾條件。
新創建的地址不能與已有的地址完全相同,否則該命令執行失敗,並提示出錯。
一條規則下配置的源主機地址、源子網地址和源範圍地址數量之和最多為1024個,超出時命令會執行失敗並提示出錯。
【舉例】
# 配置作為安全策略規則rule1過濾條件的源地址為192: 167::0,地址前綴長度為64的IPv6子網地址。
<Sysname> system-view
[Sysname] security-policy ipv6
[Sysname-security-policy-ipv6] rule 0 name rule1
[Sysname-security-policy-ipv6-0-rule1] source-ip-subnet 192:167::0 64
【相關命令】
· display security-policy
source-mac命令用來配置作為安全策略規則過濾條件的源MAC地址。
undo source-mac命令用來刪除作為安全策略規則過濾條件的源MAC地址。
【命令】
source-mac object-group-name
undo source-mac [ object-group-name ]
【缺省情況】
安全策略規則中不存在過濾條件。
【視圖】
IPv4安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
object-group-name:表示源MAC地址對象組的名稱,為1~63個字符的字符串,不區分大小寫,且不能為字符串any。使用undo命令時若不指定此參數,則表示刪除此規則中所有源MAC地址類型的過濾條件。有關MAC地址對象組的詳細介紹,請參見“安全配置指導”中的“對象組”。
【使用指導】
多次執行本命令,可配置多個源MAC地址作為安全策略規則的過濾條件。
配置源MAC地址作為安全策略規則的過濾條件時,若指定的地址對象組不存在,該配置仍會配置成功,同時也會在係統中創建一個名稱為指定名稱的空配置地址對象組,但此條過濾條件不會匹配任何報文。
【舉例】
# 配置作為安全策略規則rule1過濾條件的源MAC地址對象組為mac1和mac2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-mac mac1
[Sysname-security-policy-ip-0-rule1] source-mac mac2
【相關命令】
· display security-policy
· object-group(安全命令參考/對象組)
source-zone命令用來配置作為安全策略規則過濾條件的源安全域。
undo source-zone命令用來刪除作為安全策略規則過濾條件的源安全域。
【命令】
source-zone source-zone-name
undo source-zone [ source-zone-name ]
【缺省情況】
不存在源安全域過濾條件。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
source-zone-name:表示源安全域的名稱,為1~31個字符的字符串,不區分大小寫。使用undo命令時若不指定此參數,則表示刪除此規則中所有源安全域類型的過濾條件。有關安全域的詳細介紹,請參見“安全配置指導”中的“安全域”。
【使用指導】
多次執行本命令,可配置多個源安全域作為安全策略規則的過濾條件。
【舉例】
# 配置作為安全策略規則rule1過濾條件的源安全域為Trust和DMZ。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-zone trust
[Sysname-security-policy-ip-0-rule1] source-zone dmz
【相關命令】
· display security-policy
· security-zone(安全命令參考/安全域)
time-range命令用來配置安全策略規則生效的時間段。
undo time-range命令用來恢複缺省情況。
【命令】
time-range time-range-name
undo time-range [ time-range-name ]
【缺省情況】
不限製安全策略規則生效的時間。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
time-range-name:表示時間段的名稱,為1~32個字符的字符串,不區分大小寫。使用undo命令時若不指定此參數,表示刪除此規則的生效時間段。有關時間段的詳細介紹,請參見“ACL和QoS配置指導”中的“時間段”。
【配置指導】
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 為安全策略規則rule1配置生效時間段為work。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] time-range work
【相關命令】
· display security-policy
· time-range(ACL和QoS命令參考/時間段)
track命令用來配置安全策略規則與Track項聯動。
undo track命令用來取消安全策略規則與Track項聯動。
【命令】
track { negative | positive } track-entry-number
undo track
【缺省情況】
安全策略規則未與Track項聯動。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
negative:指定安全策略規則與Track項的Negative狀態聯動。
positive:指定安全策略規則與Track項的Positive狀態聯動。
track-entry-number:表示關聯的Track項序號,取值範圍為1~1024。有關Track的詳細配置請參見“網絡管理和監控配置指導”中的“Track”。
【使用指導】
配置安全策略規則與Track項的Negative狀態聯動後,當安全策略規則收到Negative狀態的Track通知時,將此規則置為有效狀態(Active),當安全策略規則收到Positive狀態的Track通知時,將此規則置為失效狀態(Inactive)。
配置安全策略規則與Track項的Positive狀態聯動後,當安全策略規則收到Positive狀態的Track通知時,將此規則置為有效狀態(Active),當安全策略規則收到Negative狀態的Track通知時,將此規則置為失效狀態(Inactive)。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 為安全策略規則rule1配置規則與Track項的Positive狀態聯動。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] track positive 10
【相關命令】
· display security-policy
· track bfd(網絡管理和監控命令參考/Track)
· track interface(網絡管理和監控命令參考/Track)
· track ip route reachability(網絡管理和監控命令參考/Track)
· track nqa(網絡管理和監控命令參考/Track)
user命令用來配置作為安全策略規則過濾條件的用戶。
undo user命令用來刪除作為安全策略規則過濾條件的用戶。
【命令】
user username [ domain domain-name ]
undo user [ username [ domain domain-name ] ]
【缺省情況】
不存在用戶過濾條件。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
username:表示用戶的名稱,為1~55個字符的字符串,區分大小寫,不能是a、al和all,且不能包含“@”。使用undo命令時若不指定此參數,則表示刪除此規則中所有用戶類型的過濾條件。有關用戶的詳細介紹,請參見“安全配置指導”中的“用戶身份識別與管理”。
domain domain-name:表示在指定的身份識別域中匹配此用戶。domain-name是身份識別域的名稱,為1~255個字符的字符串,不區分大小寫,不能包括“/”、“\”、“|”、“:”、“*”、“?”、“<”、“>”和“@”字符。若不指定此參數,則表示在不屬於任何身份識別域的用戶中匹配此用戶。
【使用指導】
多次執行本命令,可配置多個用戶作為安全策略規則的過濾條件。
使用undo命令時若不指定用戶,則表示刪除此規則中所有用戶類型的過濾條件;若不指定身份識別域,則表示刪除此規則中不屬於任何身份識別域的用戶。
有關身份識別用戶和身份識別域的詳細介紹,請參見“安全配置指導”中的“用戶身份識別與管理”。
【舉例】
# 配置作為安全策略規則rule1過濾條件的用戶為usera和userb,身份識別域均為test。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] user usera domain test
[Sysname-security-policy-ip-0-rule1] user userb domain test
【相關命令】
· display security-policy
· user-identity enable(安全命令參考/用戶身份識別與管理)
· user-identity static-user(安全命令參考/用戶身份識別與管理)
user-group命令用來配置作為安全策略規則過濾條件的用戶組。
undo user-group命令用來刪除作為安全策略規則過濾條件的用戶組。
【命令】
user-group user-group-name [ domain domain-name ]
undo user-group [ user-group-name [ domain domain-name ] ]
【缺省情況】
不存在用戶組過濾條件。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
user-group-name:表示用戶組的名稱,為1~200個字符的字符串,不區分大小寫。使用undo命令時若不指定此參數,則表示刪除此規則中所有用戶組類型的過濾條件。有關用戶組的詳細介紹,請參見“安全配置指導”中的“用戶身份識別與管理”。
domain domain-name:表示在指定的身份識別域中匹配此用戶組,domain-name是身份識別域的名稱,為1~255個字符的字符串,不區分大小寫,不能包括“/”、“\”、“|”、“:”、“*”、“?”、“<”、“>”以及“@”字符。若不指定此參數,則表示在不屬於任何身份識別域的用戶組中匹配此用戶組。
【使用指導】
多次執行本命令,可配置多個用戶組作為安全策略規則的過濾條件。
使用undo命令時若不指定用戶組,則表示刪除此規則中所有用戶組類型的過濾條件;若不指定身份識別域,則表示刪除此規則中不屬於任何身份識別域的用戶組。
有關身份識別用戶組和身份識別域的詳細介紹,請參見“安全配置指導”中的“用戶身份識別與管理”。
【舉例】
# 配置作為安全策略規則rule1過濾條件的用戶組為groupa和groupb,身份識別域均為test。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] user-group groupa domain test
[Sysname-security-policy-ip-0-rule1] user-group groupb domain test
【相關命令】
· display security-policy
· user-group(安全命令參考/AAA)
vrf命令用來配置安全策略規則對入接口指定VPN多實例中的報文有效。
undo vrf命令用來恢複缺省情況。
【命令】
vrf vrf-name
undo vrf
【缺省情況】
安全策略規則對公網的報文有效。
【視圖】
安全策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
vrf-name:表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。
【配置指導】
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置安全策略規則rule1對入接口的VPN多實例vpn1中的報文生效。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] vrf vpn1
【相關命令】
· display security-policy
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
