- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
20-服務器外聯防護命令
本章節下載: 20-服務器外聯防護命令 (236.09 KB)
目 錄
1.1.2 display scd auto-learn config
1.1.3 display scd learning record
auto-learn enable命令用來開啟服務器外聯自動學習功能。
undo auto-learn enable命令用來關閉服務器外聯自動學習功能。
【命令】
auto-learn enable period { one-day | one-hour | seven-day | twelve-hour }
undo auto-learn enable
【缺省情況】
服務器外聯自動學習功能處於關閉狀態。
【視圖】
服務器外聯學習視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
period:配置服務器外聯自動學習的時長,達到設置的學習時長後係統自動關閉服務器外聯學習功能。
one-day:表示連續學習一天。
one-hour:表示連續學習一小時。
seven-day:表示連續學習七天。
twelve-hour:表示連續學習12小時。
【使用指導】
當服務器外聯學習視圖下不存在待防護的服務器或係統正在對服務器外聯行為進行學習時,無法開啟自動學習功能。
不能通過重複執行本命令來修改學習時長。如需修改學習時長,請先通過undo auto-learn enable命令關閉服務器外聯自動學習功能,再執行auto-learn enable命令。
【舉例】
# 開啟服務器外聯自動學習功能,並配置連續學習時間為一天。
<Sysname> system-view
[Sysname] scd learning
[Sysname-scd-learning] auto-learn enable period one-day
【相關命令】
· source-ip
display scd auto-learn config命令用來顯示服務器外聯學習的相關配置信息。
【命令】
display scd auto-learn config
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【舉例】
# 顯示服務器外聯學習的相關配置信息。
<Sysname> display scd auto-learn config
Learning status : Active
Learning time : One-hour
Server address object groups : 146
Progress : 6%
Start time : 2018/03/27 10:50
End time : 2018/03/27 11:50
表1-1 display scd auto-learn config命令顯示信息描述表
|
字段 |
描述 |
|
Learning status |
表示服務器外聯學習的狀態,其取值包括如下: · Active:表示服務器外聯學習處於開啟狀態 · 短橫杠“-”:表示服務器外聯學習處於關閉狀態 |
|
Learning time |
表示服務器外聯學習的時間,其取值包括如下: · One-day:表示持續學習一天 · One-hour:表示持續學習一小時 · Seven-day:表示持續學習7天 · Twelve-hour:表示持續學習12個小時 |
|
Server address object groups |
表示服務器外聯學習中引用了幾個地址對象組 |
|
Progress |
表示服務器外聯學習完成的進度,以百分比形式表示 |
|
Start time |
表示服務器外聯學習開始的時間 |
|
End time |
表示服務器外聯學習結束的時間 |
display scd learning record命令用來顯示服務器外聯學習的結果。
【命令】
display scd learning record [ protected-server ip-address ] [ destination-ip ip-address ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
protected-server ip-address:表示顯示有關指定待防護服務器的外聯學習結果,ip-address是待防護服務器的IP地址。
destination-ip ip-address:表示顯示有關指定外聯IP地址的外聯學習結果,ip-address是外聯的IP地址。
【使用指導】
管理員可以通過學習結果來判斷服務器的哪些外聯是正常,哪些外聯是異常,可為管理員配置服務器外聯防護策略提供數據依據。
若不指定任何參數,則顯示服務器外聯學習的所有結果。
【舉例】
# 顯示服務器外聯學習的所有結果。
<Sysname> display scd learning record
Id Protected server Destination IPv4 address Protocol Port
1 192.168.102.1 192.168.101.21 TCP 443
Total entries: 1
# 顯示有關指定待防護服務器192.168.102.1的外聯學習結果。
<Sysname> display scd learning record protected-server 192.168.102.1
Id Protected server Destination IPv4 address Protocol Port
1 192.168.102.1 192.168.101.21 TCP 443
Total entries: 1
# 顯示有關指定外聯IP地址為192.168.101.21的外聯學習結果。
<Sysname> display scd learning record destination-ip 192.168.101.21
Id Protected server Destination IPv4 address Protocol Port
1 192.168.102.1 192.168.101.21 TCP 443
Total entries: 1
表1-2 display scd learning record命令顯示信息描述表
|
字段 |
描述 |
|
ID |
表示顯示信息的行號 |
|
Protected server |
表示被防護服務器的IP地址 |
|
Destination IPv4 address |
表示服務器外聯的IPv4地址 |
|
Protocol |
表示服務器外聯的協議 |
|
Port |
表示服務器外聯的目的端口號 |
|
Total entries |
表示學習到表項的條數 |
【相關命令】
· reset scd learning record
display scd policy命令用來顯示服務器外聯防護策略的配置信息。
【命令】
display scd policy [ name policy-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
name policy-name:表示服務器外聯防護策略的名稱,為1~63個字符的字符串,不區分大小寫。若不指定本參數,則顯示所有服務器外聯防護策略的摘要配置信息。
【舉例】
# 顯示所有服務器外聯防護策略的摘要配置信息。
<Sysname> display scd policy
Id Name Protected server Rules Logging Policy status
1 policy1 1.1.1.1 0 Disabled Disabled
Total entries: 1
表1-3 display scd policy命令顯示信息描述表
|
字段 |
描述 |
|
Id |
表示顯示信息的行號 |
|
Name |
表示服務器外聯防護策略的名稱 |
|
Protected server |
表示被防護服務器的IP地址 |
|
Rules |
表示服務器外聯防護策略中配置的規則數量 |
|
Logging |
表示服務器外聯防護策略中日誌功能的狀態,其取值包括如下: · Enabled:表示處於開啟狀態 · Disabled:表示處於關閉狀態 |
|
Policy status |
表示服務器外聯防護策略的開啟狀態,其取值包括如下: · Enabled:表示處於開啟狀態 · Disabled:表示處於關閉狀態 |
|
Total entries |
表示服務器外聯防護策略的條數 |
# 顯示名稱為policy1服務器外聯防護策略的詳細配置信息。
<Sysname> display scd policy name policy1
SCD policy name: policy1
Protected server IPv4: 1.1.1.1
Logging: Enabled
Policy status: Enabled
Rule ID: 1
Permitted dest IPv4: 1.1.2.1
Protocol: TCP port 1-4
Protocol: UDP port 1,3,5,7,9,11,13,15,17,19,21,23
Protocol: ICMP
表1-4 display scd policy name命令顯示信息描述表
|
字段 |
描述 |
|
SCD policy name |
表示服務器外聯防護策略的名稱 |
|
Protected server IPv4 |
表示被防護服務器的IP地址 |
|
Rule ID |
表示服務器外聯防護規則的ID |
|
Permitted dest IPv4 |
表示允許服務器外聯的IP地址 |
|
Protocol |
表示服務器外聯的協議 |
|
Logging |
表示服務器外聯防護策略中日誌功能的狀態,其取值包括如下: · Enabled:表示處於開啟狀態 · Disabled:表示處於關閉狀態 |
|
Policy status |
表示服務器外聯防護策略的開啟狀態,其取值包括如下: · Enabled:表示處於開啟狀態 · Disabled:表示處於關閉狀態 |
logging enable命令用來開啟服務器外聯防護策略記錄日誌的功能。
undo logging enable命令用來關閉服務器外聯防護策略記錄日誌的功能。
【命令】
logging enable
undo logging enable
【缺省情況】
服務器外聯防護策略記錄日誌的功能處於關閉狀態。
【視圖】
服務器外聯防護策略視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
開啟此功能後,當服務器外聯防護策略檢測到服務器出現異常外聯行為時會輸出日誌進行告警。此日誌信息將會被交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。有關信息中心的詳細描述,請參見“網絡管理和監控配置指導”中的“信息中心”。
【舉例】
# 開啟服務器外聯防護策略記錄日誌的功能。
<Sysname> system-view
[Sysname] scd policy name policy1
[Sysname-scd-policy-policy1] logging enable
【相關命令】
· display scd policy
permit-dest-ip命令用來配置服務器允許外聯的IP地址。
undo permit-dest-ip命令用來刪除服務器允許外聯的IP地址。
【命令】
permit-dest-ip ip-address
undo permit-dest-ip [ ip-address ]
【缺省情況】
未配置服務器允許外聯的IP地址。
【視圖】
服務器外聯防護規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip-address:指定服務器允許外聯的IP地址,點分十進製格式。目前僅支持IPv4類型的IP地址。
【使用指導】
在服務器外聯防護策略中,可以通過創建多條規則為服務器配置多個允許外聯的IP地址。如果服務器外聯的IP地址不在所允許的範圍內,則防護策略認為服務器到此IP地址的連接為異常外聯。
同一服務器外聯防護策略下不同規則中的服務器允許外聯IP地址不能相同。
多次執行本命令,最後一次執行的命令生效。
建議首先配置服務器外聯學習功能,然後參考學習結果配置允許外聯的IP地址。可通過display scd learning record命令用來查看服務器目前外聯的IP地址等信息。
【舉例】
# 在編號為1的服務器外聯防護規則中配置服務器允許外聯的IP地址為1.1.1.1。
<Sysname> system-view
[Sysname] scd policy name policy1
[Sysname-scd-policy-policy1] rule 1
[Sysname-scd-policy-policy1-1] permit-dest-ip 1.1.1.1
【相關命令】
· display scd policy
policy enable命令用來開啟服務器外聯防護功能。
undo policy enable命令用來關閉服務器外聯防護功能。
【命令】
policy enable
undo policy enable
【缺省情況】
服務器外聯防護功能處於關閉狀態。
【視圖】
服務器外聯防護策略視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
隻有開啟服務器外聯防護功能後,此服務器外聯防護策略才能生效。
【舉例】
# 開啟服務器外聯防護功能。
<Sysname> system-view
[Sysname] scd policy name policy1
[Sysname-scd-policy-policy1] policy enable
【相關命令】
· display scd policy
protected-server命令用來配置待防護服務器的IP地址。
undo protected-server命令用來刪除待防護服務器的IP地址。
【命令】
protected-server ip-address
undo protected-server [ ip-address ]
【缺省情況】
不存在待防護服務器的IP地址。
【視圖】
服務器外聯防護策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip-address:指定服務器外聯防護策略待防護服務器的IP地址,點分十進製格式。目前僅支持IPv4類型的IP地址。
【使用指導】
設備僅對指定的待防護服務器發起的外聯行為進行檢測。
不同服務器外聯防護策略中配置的待防護服務器IP地址不能相同。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置待防護服務器的IP地址為192.168.1.10。
<Sysname> system-view
[Sysname] scd policy name policy1
[Sysname-scd-policy-policy1] protected-server 192.168.1.10
【相關命令】
· display scd policy
protocol命令用來配置服務器允許外聯的協議。
undo protocol命令用來刪除服務器允許外聯的協議。
【命令】
protocol { icmp | tcp port port-list | udp port port-list }
undo protocol { icmp | tcp | udp }
【缺省情況】
未配置服務器允許外聯的協議。
【視圖】
服務器外聯防護規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
icmp:表示允許外聯的協議為ICMP協議。
tcp:表示允許外聯的協議為TCP協議。
udp:表示允許外聯的協議為UDP協議。
port port-list:指定TCP或UDP允許外聯的目的端口號列表。表示方式為port-list = { port-number [ to port-number ] }其中port-number表示端口號,取值範圍是1~65535。當使用to關鍵字指定端口號範圍時,起始端口號必須小於或等於結束端口號。此參數一次可以配置多個,設備會對多個連續的端口和端口段進行合並,合並後的端口參數不能超過20個。
【使用指導】
如果服務器外聯的協議和端口號不在所允許的範圍內,則防護策略認為服務器到此協議和端口號的連接為異常外聯。
多次執行本命令,可以指定多種允許外聯的協議。
對於相同協議多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在編號為1的服務器外聯防護規則中配置服務器允許外聯的協議為TCP,端口號為80、1000-2000。
<Sysname> system-view
[Sysname] scd policy name policy1
[Sysname-scd-policy-policy1] rule 1
[Sysname-scd-policy-policy1-1] protocol tcp port 80 1000 to 2000
【相關命令】
· display scd policy
reset scd learning record命令用來清除服務器外聯學習的結果。
【命令】
reset scd learning record
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【舉例】
# 清除服務器外聯學習的結果。
<Sysname> reset scd learning record
【相關命令】
· display scd learning record
rule命令用來創建服務器外聯防護規則,並進入服務器外聯防護規則視圖。如果指定的服務器外聯防護規則已經存在,則直接進入服務器外聯防護規則視圖。
undo rule命令用來刪除指定的服務器外聯防護規則。
【命令】
rule rule-id
undo rule [ rule-id ]
【缺省情況】
不存在服務器外聯防護規則。
【視圖】
服務器外聯防護策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
rule-id:表示服務器外聯防護規則的編號,取值範圍為1~65535。
【使用指導】
服務器外聯防護規則中可以配置服務器允許外聯的IP地址、協議和端口號,在指定範圍之外的連接都認為是非法外聯行為。
執行undo命令時若不指定rule-id參數,則表示刪除所有的服務器外聯防護規則。
【舉例】
# 創建編號為1的服務器外聯防護規則,並進入此服務器外聯防護規則視圖。
<Sysname> system-view
[Sysname] scd policy name policy1
[Sysname-scd-policy-policy1] rule 1
[Sysname-scd-policy-policy1-1]
【相關命令】
· display scd policy
scd learning命令用來進入服務器外聯學習視圖。
undo scd learning命令用來刪除服務器外聯學習視圖下的所有配置。
【命令】
scd learning
undo scd learning
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
服務器外聯學習功能會對指定服務器主動外聯的流量進行檢測,識別出服務器的所有外聯行為。管理員可以通過學習結果來判斷服務器的哪些外聯是正常,哪些外聯是異常,可為管理員配置服務器外聯防護策略提供數據依據。
服務器外聯學習中,無法刪除服務器外聯學習視圖下的任何配置。
【舉例】
<Sysname> system-view
[Sysname] scd learning
[Sysname-scd-learning]
scd policy命令用來創建服務器外聯防護策略,並進入服務器外聯防護策略視圖。如果指定的服務器外聯防護策略已經存在,則直接進入服務器外聯防護策略視圖。
undo scd policy命令用來刪除指定的服務器外聯防護策略。
【命令】
scd policy name policy-name
undo scd policy [ name policy-name ]
【缺省情況】
不存在服務器外聯防護策略。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
name policy-name:表示服務器外聯防護策略的名稱,為1~63個字符的字符串,不區分大小寫,且全局唯一。
【使用指導】
服務器外聯防護策略中可以配置監測對象、監測規則、防護開關和日誌功能。當發現待保護服務器出現異常外聯係行為時,設備可以對其進行告警。此功能可以滿足管理員對僵屍網絡或內網持續滲透等行為的檢測。
執行undo命令時若不指定name參數,則表示刪除所有的服務器外聯防護策略。
【舉例】
# 創建名稱為policy1的服務器外聯防護策略,並進入此服務器外聯防護策略視圖。
<Sysname> system-view
[Sysname] scd policy name policy1
[Sysname-scd-policy-policy1]
【相關命令】
· display scd policy
source-ip命令用來配置待防護的服務器。
undo source-ip命令用來刪除指定的待防護服務器。
【命令】
source-ip object-group-name
undo source-ip [ object-group-name ]
【缺省情況】
未配置待防護的服務器。
【視圖】
服務器外聯學習視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
object-group-name:表示地址對象組的名稱,為1~31個字符的字符串,不區分大小寫。有關地址對象組的詳細介紹,請參見“安全配置指導”中的“對象組”。
【使用指導】
服務器外聯學習功能通過引用地址對象組的方式指定待防護的服務器。指定待防護服務器後係統將對此服務器的外聯行為進行學習。
多次執行本命令,可引用多個不同名稱的地址對象組,最多不能超過1024個地址對象組。
若指定的地址對象組不存在,該配置仍會配置成功,同時也會在係統中創建一個名稱為指定名稱的空配置地址對象組。
服務器外聯學習中,無法添加或刪除待防護的服務器。
執行undo命令時若不指定object-group-name參數,則表示刪除所有待防護的服務器。
【舉例】
# 配置待防的護服務器,引用地址對象組abc。
<Sysname> system-view
[Sysname] scd learning
[Sysname-scd-learning] source-ip abc
【相關命令】
· object-group(安全命令參考/對象組)
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
