登錄

歡迎userBOB登陆 退出

簡體中文

  • 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

04-DPI深度安全命令參考

目錄

03-URL過濾命令

本章節下載 03-URL過濾命令  (608.24 KB)

03-URL過濾命令

  錄

1 URL過濾

1.1 URL過濾配置命令

1.1.1 add

1.1.2 attack-category action

1.1.3 category action

1.1.4 cloud-query enable

1.1.5 default-action

1.1.6 description

1.1.7 display url-filter cache

1.1.8 display url-filter category

1.1.9 display url-filter signature library

1.1.10 display url-filter statistics

1.1.11 display url-reputation attack-category

1.1.12 display url-reputation signature library

1.1.13 https-filter enable

1.1.14 include pre-defined

1.1.15 referer-whitelist enable

1.1.16 rename (URL filtering category view)

1.1.17 rename (URL filtering policy view)

1.1.18 reset url-filter statistics

1.1.19 rule

1.1.20 update schedule

1.1.21 update schedule

1.1.22 url-filter apply policy

1.1.23 url-filter cache size

1.1.24 url-filter cache-time

1.1.25 url-filter category

1.1.26 url-filter copy category

1.1.27 url-filter copy policy

1.1.28 url-filter log directory root

1.1.29 url-filter log enable

1.1.30 url-filter log except pre-defined

1.1.31 url-filter log except user-defined

1.1.32 url-filter policy

1.1.33 url-filter signature auto-update

1.1.34 url-filter signature auto-update-now

1.1.35 url-filter signature rollback

1.1.36 url-filter signature update

1.1.37 url-reputation enable

1.1.38 url-reputation signature auto-update

1.1.39 url-reputation signature auto-update-now

1.1.40 url-reputation signature rollback

1.1.41 url-reputation signature update

1.1.42 whitelist-only enable

 

1 URL過濾

本特性的支持情況與設備型號有關,請以設備實際情況為準。

係列

型號

說明

F50X0係列

F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M

支持

F5000-CN係列

F5000-CN30、F5000-CN60

支持

F5000-AI係列

F5000-AI-15、F5000-AI-20、F5000-AI-40

支持

F5000-V係列

F5000-V30

支持

F1000-AI係列

F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90

支持

F1000-L係列

F1003-L、F1003-L-S、F1005-L、F1010-L

支持

F1003-L-C

不支持

F10X0係列

F1003-M、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090

支持

F1003-C、F1003-S

不支持

F1000-V係列

F1000-V50、F1000-V60、F1000-V70、F1000-V90

支持

F1000-SASE係列

F1000-SASE100、F1000-SASE200

支持

F1000-AK係列

F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9110、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190、F1000-AK9210

支持

F1000-AK9109

不支持

插卡

IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1

支持

vFW係列

vFW1000、vFW2000、vFW-E-Cloud

支持

1.1  URL過濾配置命令

1.1.1  add

add命令用來向URL過濾策略中添加黑/白名單規則。

undo add命令用來刪除URL過濾策略中指定的或所有黑/白名單規則。

【命令】

add { blacklist | whitelist } [ id ] host { regex host-regex | text host-name } [ uri { regex uri-regex | text uri-name } ]

undo add { blacklist | whitelist } { id | all }

【缺省情況】

URL過濾策略中不存在黑/白名單規則。

【視圖】

URL過濾策略視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

blacklist:表示URL過濾策略的黑名單規則。

whitelist:表示URL過濾策略的白名單規則。

id:表示黑/白名單規則的編號,取值範圍為1~65535。若未指定本參數,係統將從1開始,自動分配一個大於現有最大編號的最小編號,步長為1。若新編號超出了編號上限65535,則選擇當前未使用的最小編號作為新的編號。

host:表示匹配URL中的主機名字段。

uri:表示匹配URL中的URI字段。

regex regex:表示使用正則表達式對主機名和URI字段進行匹配。regex是正則表達式,區分大小寫,隻能以字母、數字和下劃線開頭,且至少包含連續的3個非通配符。其中,主機名規則的取值範圍為3~224個字符,URI規則的取值範圍為3~245個字符。

text string:表示使用文本對主機名和URI字段進行匹配。string是指定的主機名或URI規則字符串。主機名規則的取值範圍為3~224個字符,不區分大小寫,且至少包含連續的3個非通配符,主機名隻能是字母、數字、下劃線“_”、連接符“-”、冒號“:”、左方括號“[”、右方括號“]”、點號“.”和星號“*”,但URI無此限製;URI規則的取值範圍為3~245個字符,不區分大小寫,且至少包含連續的3個非通配符。

all:表示所有的黑/白名單規則。

【使用指導】

URL過濾黑/白名單規則功能根據應用層的信息進行URL過濾。如果用戶HTTP報文中的URL與URL過濾策略中的黑名單規則匹配成功,則丟棄此報文;如果與白名單規則匹配成功,則允許此報文通過。

使用文本方式對主機名和URI字段進行匹配時,對星號“*”有如下的限製:

·     匹配主機名字段時,“*”隻能出現在開頭或結尾,表示通配符,代表0到多個任意字符。

·     匹配URI字段時,當“*”出現在開頭或結尾,表示通配符,代表0到多個任意字符;當“*”出現在其他位置時,則作為普通字符進行匹配。

正則表達式有如下限製:

·     正則表達式中,總的分支不能超過四個。例如'abc(c|d|e|\x3D)'有效,'abc(c|onreset|onselect|onchange|style\x3D)'無效。

·     正則表達式中,括號不能嵌套,即括號中不能有括號。例如'ab((abcs*?))'無效。

·     正則表達式中,分支不支持串聯,即分支後麵不能有分支。例如'ab(a|b)(c|d)^\\r\\n]+?'無效。

·     正則表達式中,零次重複量詞'*'和'?'前麵必須有四個確定字符。例如'abc*'無效,'abcd*DoS\x2d\d{5}\x20\x2bxi\\r\\nJOIN'有效。

【舉例】

# 在URL過濾策略news中,添加一條黑名單規則,使用以example.com開頭的字符串對主機名字段進行匹配。

<Sysname> system-view

[Sysname] url-filter policy news

[Sysname-url-filter-policy-news] add blacklist 1 host text example.com*

1.1.2  attack-category action

attack-category action命令用來配置對指定URL信譽攻擊分類執行的操作。

undo attack-category action命令用來恢複缺省情況。

【命令】

attack-category attack-id action { block-source [ parameter-profile parameter-name ] | drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ]

undo attack-category attack-id

【缺省情況】

未配置對指定URL信譽攻擊分類執行的操作,設備對匹配攻擊分類的報文執行允許動作,並記錄日誌。

【視圖】

URL過濾策略視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

attack-id:攻擊分類的ID,取值範圍為1~65535。可通過輸入“?”查看攻擊分類名稱對應的攻擊分類ID,也可以通過display url-reputaion attack-category命令查看。

action:表示對匹配攻擊分類的報文執行的動作。

block-source:表示阻斷報文,並將該報文的源IP地址加入IP黑名單。如果設備上同時開啟了IP黑名單過濾功能,則一定時間內(由block-period命令指定)來自此IP地址的所有報文將被直接丟棄;否則,設備會丟棄該報文,並將報文的源IP地址加入IP黑名單。但是,此IP黑名單不生效,後續來自此IP地址的報文不會被直接丟棄,仍需要進行URL信譽功能處理。有關IP黑名過濾單功能的詳細介紹請參見“安全命令參考”中的“攻擊檢測與防範”,有關block-period命令的詳細介紹請參見“DPI深度安全”中的“應用層檢測引擎”。

drop:表示丟棄報文。

permit:表示允許報文通過。

redirect:表示重定向動作,把符合特征的報文重定向到指定的Web頁麵上。

reset:表示通過發送TCP的reset報文從而使TCP連接斷開。

logging:表示生成日誌。

parameter-profile parameter-name:指定動作引用的應用層檢測引擎動作參數profile。parameter-name表示動作參數profile的名稱,為1~63個字符的字符串,不區分大小寫。如果動作沒有引用應用層檢測引擎動作參數profile,或者引用的動作參數profile不存在,則使用係統中各動作參數的缺省值。有關應用層檢測引擎中動作參數的詳細配置請參見“DPI深度安全命令參考”中的“應用層檢測引擎”。

【使用指導】

本功能僅在開啟URL信譽功能後生效。

URL信譽特征庫中,一個URL可對應多種攻擊分類。管理員可以根據實際需求,為每種攻擊分類配置相應執行的動作。

當URL隻屬於一種攻擊分類時,設備將對匹配上該URL的報文執行攻擊分類對應的動作;當URL屬於多種攻擊分類時,設備將對匹配上該URL的報文執行多種攻擊分類中優先級最高的動作。其中,動作的優先級從高到底依次為:阻斷>允許。

隻要URL所屬的任一攻擊分類開啟了日誌功能,則對匹配上該URL的報文執行記錄日誌動作。

【舉例】

# 在URL過濾策略news中,配置URL信譽特征庫中ID為1的攻擊分類對應的動作為drop。

<Sysname> system-view

[Sysname] url-filter policy news

[Sysname-url-filter-policy-news] attack-category 1 action drop

【相關命令】

·     display url-reputation attack-category

·     url-reputation enable

1.1.3  category action

category action命令用來配置URL過濾分類動作。

undo category命令用來刪除指定的URL過濾分類動作。

【命令】

category category-name action { block-source [ parameter-profile parameter-name ] | drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ]

undo category category-name

【缺省情況】

不存在URL過濾分類動作。

【視圖】

URL過濾策略視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

category-name:指定URL過濾分類名稱,包括預定義和自定義的URL過濾分類名稱,為1~63個字符的字符串,不區分大小寫。

action:表示對匹配上此URL過濾分類中的任何一條規則的報文所采取的動作。

block-source:表示阻斷報文,並會將該報文的源IP地址加入IP黑名單。如果設備上同時開啟了IP黑名單過濾功能,則一定時間內(由block-period命令指定)來自此IP地址的所有報文將被直接丟棄;否則,此IP黑名單不生效。有關IP黑名過濾單功能的詳細介紹請參見“安全命令參考”中的“攻擊檢測與防範”,有關block-period命令的詳細介紹請參見“DPI深度安全”中的“應用層檢測引擎”。

drop:表示丟棄報文。

permit:表示允許報文通過。

redirect:表示重定向動作,把符合特征的報文重定向到指定的Web頁麵上。

reset:表示通過發送TCP的reset報文從而使TCP連接斷開。

logging:表示生成報文日誌。

parameter-profile parameter-name:指定URL過濾動作引用的應用層檢測引擎動作參數profile。parameter-name是動作參數profile的名稱,為1~63個字符的字符串,不區分大小寫。如果URL過濾動作沒有引用應用層檢測引擎動作參數profile,或者引用的動作參數profile不存在,則使用係統中各動作參數的缺省值。有關應用層檢測引擎中動作參數的詳細配置請參見“DPI深度安全命令參考”中的“應用層檢測引擎”。

【使用指導】

URL過濾功能對報文的處理過程如下:

·     如果報文匹配上該URL過濾分類中的任何一條規則,則設備將會根據該URL過濾分類綁定的動作對此報文進行處理。

·     如果報文沒有匹配上該URL過濾分類中的任何規則,但是配置了default-action命令,則設備將根據URL過濾策略中配置的缺省動作來對此報文進行處理。

·     如果報文沒有匹配上該URL過濾分類中的任何規則,且也沒有配置default-action命令,則設備直接允許此報文通過。

多次執行本命令,最後一次執行的命令生效。

【舉例】

# 在URL過濾策略news中,配置URL過濾分類sina的動作為丟棄。

<Sysname> system-view

[Sysname] url-filter policy news

[Sysname-url-filter-policy-news] category sina action drop

【相關命令】

·     inspect block-source parameter-profile(DPI深度安全命令參考/應用層檢測引擎)

·     inspect redirect parameter-profile(DPI深度安全命令參考/應用層檢測引擎)

·     url-filter category

·     url-filter policy

1.1.4  cloud-query enable

cloud-query enable命令用來開啟URL過濾分類雲端查詢功能。

undo cloud-query enable命令用來關閉URL過濾分類雲端查詢功能。

【命令】

cloud-query enable

undo cloud-query enable

【缺省情況】

URL過濾分類雲端查詢功能處於關閉狀態。

【視圖】

URL過濾策略視圖

【缺省用戶角色】

network-admin

context-admin

【使用指導】

在URL過濾策略中開啟URL過濾分類雲端查詢功能後,如果流經設備HTTP報文中的URL與該URL過濾策略中的過濾規則匹配失敗,則此URL將會被發往雲端服務器進行查詢。雲端服務器響應該請求,並向設備發送查詢結果,該結果中包含了URL過濾規則及其所屬的分類名稱,設備根據該結果執行相應的分類處理動作。如果雲端返回的分類在設備上沒有與其對應的分類動作或者雲端URL查詢失敗,則設備將對此報文執行URL過濾策略中的缺省動作。

【舉例】

# 在URL過濾策略中開啟URL過濾分類雲端查詢功能。

<Sysname> system-view

[Sysname] url-filter policy news

[Sysname-url-filter-policy-news] cloud-query enable

【相關命令】

·     url-filter policy

1.1.5  default-action

default-action命令用來配置URL過濾策略的缺省動作。

undo default-action命令用來恢複缺省情況。

【命令】

default-action { block-source [ parameter-profile parameter-name ] | drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ]

undo default-action

【缺省情況】

未配置URL過濾策略的缺省動作。

【視圖】

URL過濾策略視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

block-source:表示阻斷報文,並會將該報文的源IP地址加入IP黑名單。如果設備上同時開啟了IP黑名單過濾功能,則一定時間內(由block-period命令指定)來自此IP地址的所有報文將被直接丟棄;否則,此IP黑名單不生效。有關IP黑名過濾單功能的詳細介紹請參見“安全命令參考”中的“攻擊檢測與防範”,有關block-period命令的詳細介紹請參見“DPI深度安全”中的“應用層檢測引擎”。

drop:表示丟棄報文。

permit:表示允許報文通過。

redirect:表示重定向動作,把符合特征的報文重定向到指定的Web頁麵上。

reset:表示通過發送TCP的reset報文從而使TCP連接斷開。

logging:表示生成報文日誌動作。

parameter-profile parameter-name:指定引用的動作參數。parameter-name是動作參數profile的名稱,為1~63個字符的字符串,不區分大小寫。如果不指定該參數或指定的參數不存在,則使用動作的缺省參數。這裏引用的動作參數是應用層檢測引擎中配置的動作參數,有關應用層檢測引擎中動作參數的詳細配置請參見“DPI深度安全命令參考”中的“應用層檢測引擎”。

【使用指導】

配置此命令後,當報文沒有匹配上URL過濾策略中的規則時,設備將根據URL過濾策略的缺省動作對此報文進行處理。

【舉例】

# 在名為cmcc的URL過濾策略中,配置缺省動作為丟棄。

<Sysname> system-view

[Sysname] url-filter policy cmcc

[Sysname-url-filter-policy-cmcc] default-action drop

【相關命令】

·     inspect block-source parameter-profile(DPI深度安全命令參考/應用層檢測引擎)

·     inspect redirect parameter-profile(DPI深度安全命令參考/應用層檢測引擎)

·     url-filter policy

1.1.6  description

description命令用來配置URL過濾分類的描述信息。

undo description命令用來恢複缺省情況。

【命令】

description text

undo description

【缺省情況】

自定義的URL過濾分類中未配置描述信息。

【視圖】

URL過濾分類視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

text:URL過濾分類的描述信息,為1~255個字符的字符串,可以包含空格,不區分大小寫。

【使用指導】

通過合理編寫描述信息,便於管理員快速理解和識別URL過濾分類的作用,有利於後期維護。

【舉例】

# 配置URL過濾分類news的描述信息為News information。

<Sysname> system-view

[Sysname] url-filter category news

[Sysname-url-filter-category-news] description News information

1.1.7  display url-filter cache

display url-filter cache命令行用來查看URL過濾緩存中的信息。

【命令】

display url-filter cache [ category category-name ] [ slot slot-number ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

context-admin

context-operator

【參數】

category category-name:指定URL過濾分類,category-name表示URL過濾分類名稱,為1~63個字符的字符串,不區分大小寫。

slot slot-number:顯示指定成員設備上的URL過濾緩存中的信息。slot-number表示設備在IRF中的成員編號。若不指定該參數,則表示所有成員設備。

【使用指導】

可通過此命令查看緩存的URL信息以及雲端查詢功能相關信息。

【舉例】

# 查看URL過濾緩存中的信息。

<Sysname> display url-filter cache

Slot 1 :

Url-filter cache information:

Cloud-query status: Enabled

Total cached entries: 35

Min update interval: 906 seconds

Max update interval: 46760 seconds

Last query message sent: 906 seconds ago

Last query result received: 906 seconds ago

 

Slot 1 :Url-filter cache verbose:

Host: 192.168.56.99

URI: /wnm/get.j?sessionid=200001a5de59aebeb0877f982e5c31f58728

Hit count: 15

Time elapsed since last update: 906 seconds

Category ID: 152

Cache query state: Query ended

表1-1 display url-filter cache命令顯示信息描述表

字段

描述

Url_filter cache information

URL過濾緩存信息

Cloud-query status

雲端查詢功能狀態,取值包括:

·     Enabled:表示雲端查詢功能處於開啟狀態

·     Disabled:表示雲端查詢功能處於關閉狀態

Total cached entries

緩存的URL的總數

Min update interval

所有緩存表項中,距離上一次刷新時間最短的間隔時間,單位為秒

Max update interval

所有緩存表項中,距離上一次刷新時間最長的間隔時間,單位為秒

Last query message sent

最近一次發送查詢消息的時間與當前時間的間隔,單位為秒

Last query result received

最近一次接收到查詢返回的結果的時間與當前時間的間隔,單位為秒

Url-filter cache verbose

URL過濾緩存詳細信息

Host

緩存URL的Host字段

URI

緩存URL的URI字段

Hit count

該URL過濾規則被命中的次數

Time elapsed since last update

距離上一次刷新時間的時間間隔,單位為秒

Category ID

URL過濾分類的ID,若未查詢到,則顯示為空;如果屬於多個分類,則顯示所有分類ID並以空格相隔

Cache query state

URL過濾緩存的查詢狀態,取值包括:

·     In the cloud query:表示正在進行雲端查詢

·     Query end:表示完成雲端查詢

 

【相關命令】

·     url-filter category

1.1.8  display url-filter category

display url-filter category命令用來查看URL過濾父分類或子分類信息。

【命令】

display url-filter { category | parent-category } [ verbose ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

context-admin

context-operator

【參數】

category顯示URL過濾子分類的信息。

parent-category顯示URL過濾父分類的信息。僅支持預定義父分類,且父分類下僅包含預定義子分類。

verbose:顯示URL過濾子分類或父分類的詳細信息。如果不指定該參數,則顯示URL過濾子分類或父分類的摘要信息。

【使用指導】

URL過濾支持兩級分類,包含父分類和子分類。

【舉例】

# 查看URL過濾子分類信息。

<Sysname> display url-filter category

URL category statistics:

  Predefined categories: 53

  Predefined rules: 2000

  User-defined categories: 5

  User-defined rules: 4

 

URL categories:

  Name : 23

  Name : 24

  Name : 33

  Name : Pre-AdvertisementsAndPop-Ups

  Name : Pre-AlcoholAndTobacco

  Name : Pre-Anonymizers

  Name : Pre-Arts

  Name : Pre-Business

  Name : Pre-Chat

  Name : Pre-ComputersAndTechnology

  Name : Pre-CriminalActivity

  Name : Pre-Cults

  Name : Pre-DatingAndPersonals

  Name : Pre-DownloadSites

  Name : Pre-Education

  Name : Pre-Entertainment

  Name : Pre-FashionAndBeauty

---- More ----

 

# 查看URL過濾子分類的詳細信息。

<Sysname> display url-filter category verbose

URL category statistics:

  Predefined categories: 53

  Predefined rules: 2000

  User-defined categories: 5

  User-defined rules: 4

 

URL category details:

  Name: 23

  Type: User defined

  Severity: 1001

  Rules: 1

  Description:

 

  Name: 24

  Type: User defined

  Severity: 1002

  Rules: 1

  Description:

 

  Name: Pre-AdvertisementsAndPop-Ups

  Type: Predefined

  Severity: 300

  Rules: 32

  Description: Sites that provide advertising graphics or other ad content fi

               les such as banners and pop-ups.

 

  Name: Pre-AlcoholAndTobacco

  Type: Predefined

  Severity: 960

  Rules: 7

  Description: Sites that promote or sell alcohol- or tobacco-related product

                  s or services.

---- More ----

表1-2 display url-filter category命令顯示信息描述表

字段

描述

URL category statistics

設備中URL過濾子分類總數,包括預定義和自定義的分類

Predefined categories

預定義URL過濾子分類數目

Predefined rules

預定義URL過濾規則數目

User-defined categories

自定義URL過濾子分類數目

User-defined rules

自定義URL過濾規則數目

URL category details

URL過濾子分類詳細信息

Name

URL過濾子分類名稱

Type

URL過濾子分類類型,包括如下取值:

·     Predefined:預定義分類

·     User defined:自定義分類

Severity

URL過濾嚴重級別

Rules

指定URL分類下的規則數目

Description

URL過濾子分類描述信息

 

# 查看URL過濾父分類信息。

<Sysname> display url-filter parent-category

URL parent category statistics:

  Predefined parent categories: 40

  Included predefined categories: 14

 

URL parent categories:

  Parent category name: SearchEngineAndPortal

  Parent category name: P2PAndDownload

  Parent category name: OrdinaryDownload

  Parent category name: House

  Parent category name: EducationAndScientificResearch

  Parent category name: Finance

  Parent category name: StreamMediaAndVideo

  Parent category name: Shopping

  Parent category name: TransportationVehicle

  Parent category name: Travel

 

---- More ----

# 查看URL過濾父分類的詳細信息。

<Sysname> display url-filter parent-category verbose

URL parent category statistics:

  Predefined parent categories: 46

  Included predefined categories: 139

URL parent category details:

  Parent category name: Pre-Adult

  Type: Predefined

  Description: Adult

  Included categories: 7

    Pre-Abortion

    Pre-AdultSuppliers

    Pre-Homosexual

    Pre-Nudity

    Pre-OtherAdult

    Pre-SexualHealth

    Pre-Vulgar

  Parent category name: Pre-Arts

  Type: Predefined

  Description: Arts

  Included categories: 1

    Pre-Arts

---- More ----

表1-3 display url-filter parent-category命令顯示信息描述表

字段

描述

URL parent category statistics

設備中URL過濾父分類總數,僅支持預定義的父分類

Predefined parent categories

URL過濾父分類數目

Included predefined categories

URL過濾所有父分類下包含的預定義URL過濾子分類總數

URL parent category details

URL過濾父分類詳細信息

Parent category name

URL過濾父分類名稱

Type

URL過濾父分類的類型,僅支持預定義類型

Description

URL過濾父分類描述信息

Included categories

指定URL過濾父分類下包含的分類數目

 

1.1.9  display url-filter signature library

display url-filter signature library查看URL過濾特征庫信息。

【命令】

display url-filter signature library

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

context-admin

context-operator

【舉例】

# 查看URL過濾特征庫信息。

<Sysname> display url-filter signature library

URL filter signature library information:

Type      SigVersion         ReleaseTime               Size

Current   1.0.0              Wed Jan 21 06:43:53 2015  36096

(null)    -                  -                         -

Factory   1.0.0              Wed Jan 21 06:43:53 2015  36096

表1-4 display url-filter signature library命令顯示信息描述表

字段

描述

Type

URL過濾特征庫版本,包括如下取值:

·     Current:當前版本

·     Last:上一版本

·     Factory:出廠版本

SigVersion

URL過濾特征庫版本號

ReleaseTime

URL過濾特征庫發布時間

Size

URL過濾特征庫文件大小,單位是Bytes

 

1.1.10  display url-filter statistics

display url-filter statistics命令用來查看URL過濾的統計信息。

【命令】

display url-filter statistics

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

context-admin

context-operator

【舉例】

# 顯示URL規則命中統計信息。

<Sysname> display url-filter statistics

--------------------------------------------------------

Slot 1 :

Total HTTP requests                         : 0

Total HTTPS handshakes                      : 0

Total logged requests                       : 0

Total logging rate                          : 0/s

Total permitted requests and handshakes     : 0

Total denied requests                       : 0

Requests that matched the blacklist         : 0

Requests that matched the whitelist         : 0

Requests that matched the referer-whitelist : 0

Requests that matched a user-defined rule   : 0

Requests that matched a predefined rule     : 0

Requests that matched a cached rule         : 0

Requests that matched the default action    : 0

Requests that matched URLs in URL reputation library : 0

Predefined URL filtering rules              : 2000

--------------------------------------------------------

表1-5 display url-filter statistics命令顯示信息描述表

字段

描述

Total HTTP requests

HTTP報文總數

Total HTTPS handshakes

加密流量命中次數

Total logged HTTP requests

打印日誌的HTTP報文總數

Total HTTP logging rate

打印日誌的HTTP報文的速率

Total permitted HTTP requests

HTTP報文放行個數

Total denied HTTP requests

HTTP報文拒絕個數

Requests that matched the blacklist

黑名單規則命中數

Requests that matched the whitelist

白名單規則命中數

Requests that matched the referer-whitelist

內嵌白名單命中次數

Requests that matched a user-defined rule

自定義規則命中數

Requests that matched a predefined rule

預定義規則命中數

Requests that matched a cached rule

緩存規則命中數

Requests that matched the default action

默認動作命中數

Requests that matched URLs in URL reputation library

URL信譽特征庫中URL的總庫命中總次數

Predefined URL filtering rules

預定義規則數量

 

1.1.11  display url-reputation attack-category

display url-reputation attack-category命令用來顯示指定URL過濾策略下的URL信譽攻擊分類信息。

【命令】

display url-reputation attack-category

【視圖】

URL過濾策略視圖

【缺省用戶角色】

network-admin

network-operator

context-admin

context-operator

【使用指導】

僅在URL信譽功能處於開啟狀態時,才能查看到URL信譽攻擊分類信息。

如果未配置對指定攻擊分類執行的動作,則所有攻擊分類的動作均顯示為允許,且日誌功能處於啟用狀態。

【舉例】

# 顯示名稱為abc的URL過濾策略下的URL信譽攻擊分類信息。

<Sysname> system-view

[Sysname] url-filter policy abc

[Sysname-url-filter-policy-abc] display url-reputation attack-category

Attack id    Attack name          Action        Logging

  -------------------------------------------------------

  1            C&C                  permit        enable

  2            Network_Worm         permit        enable

  3            Risk_Software        permit        enable

  4            Malware              permit        enable

  5            Trojan               permit        enable

  6            Infectious_Virus     permit        enable

  7            Trojan_the_Thief     permit        enable

  8            Ransomware           permit        enable

  9            miner                permit        enable

  10           Botnet               permit        enable

  15           tor                  permit        enable

  16           Porn_Website         permit        enable

  17           Gambling_Website     permit        enable

  18           Phishing_Website     permit        enable

  19           Fraud_Website        permit        enable

  20           spam                 permit        enable

  21           Malicious_Email      permit        enable

  22           DGA                  permit        enable

  23           APT                  permit        enable

表1-6 display url-reputation attack-category命令顯示信息描述表

字段

描述

Attack id

攻擊分類ID

Attack name

攻擊分類名稱

Action

對匹配上攻擊分類的報文執行動作,取值包括:

·     block-source:表示阻斷報文,並將該報文的源IP地址加入IP黑名單

·     drop:表示丟棄報文

·     permit:表示允許報文通過

·     reset:表示發送TCP的reset報文或UDP的ICMP端口不可達報文使TCP或UDP連接斷開

·     redirect:表示重定向報文

Logging

表示日誌功能啟用狀態,取值包括:

·     enable:開啟狀態

·     disable:關閉狀態

 

【相關命令】

·     attack-category

1.1.12  display url-reputation signature library

display url-reputation signature library命令用來顯示URL信譽特征庫信息。

【命令】

display url-reputation signature library

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

context-admin

context-operator

【舉例】

# 顯示URL信譽特征庫信息。

<Sysname> display url-reputation signature library

URL reputation signature library information:

Type      SigVersion         ReleaseTime               Size

Current   1.0.6              Tue Jul 28 12:32:55 2020  10492240

Last      -                  -                         -

Factory   -                  -                         -

表1-7 display url-reputation signature library命令顯示信息描述表

字段

描述

Type

URL信譽特征庫版本,包括如下取值:

·     Current:表示當前版本

·     Last:表示上一版本

·     Factory:表示出廠版本(暫不支持)

SigVersion

URL信譽特征庫版本號

ReleaseTime

URL信譽特征庫發布時間

Size

URL信譽特征庫文件大小,單位是Bytes

 

1.1.13  https-filter enable

https-filter enable命令用來開啟HTTPS流量過濾功能。

undo https-filter enable命令用來關閉HTTPS流量過濾功能。

【命令】

https-filter enable

undo https-filter enable

【缺省情況】

HTTPS流量過濾功能處於關閉狀態。

【視圖】

URL過濾策略視圖

【缺省用戶角色】

network-admin

context-admin

【使用指導】

缺省情況下,設備僅對HTTP流量進行URL過濾,如果需要對HTTPS流量進行URL過濾,則可以選擇如下方式:

·     使用SSL解密功能:先對HTTPS流量進行解密,然後再進行URL過濾。有關SSL解密功能的詳細介紹,請參見“DPI深度安全配置指導”中的“代理策略”。

·     開啟HTTPS流量過濾:不對HTTPS流量進行解密,直接對客戶端發送的HTTPS的Client HELLO報文中的SNI(Sever Name Indication extension)字段進行檢測,從中獲取用戶訪問的服務器域名,使用獲取到的域名與URL過濾策略進行匹配。

由於SSL解密功能涉及大量的加解密操作,會對設備的轉發性能會產生較大的影響,建議在僅需要對HTTPS流量進行URL過濾業務處理的場景下開啟HTTPS流量過濾功能。

如果同時配置SSL解密功能,則本功能失效。有關SSL解密功能的詳細介紹,請參見“DPI深度安全配置指導”中的“代理策略”。

本功能僅能基於URL過濾規則中的HOST字段過濾,對於URI字段的信息無法匹配。

本功能僅在訪問的服務器地址字段為域名的情況下生效,如果服務器地址字段為IP地址,本功能不生效。

如果客戶端瀏覽器啟用TLS 1.3降級強化機製功能選項,報文中的SNI字段將會被加密,本功能將失效。

如果HTTPS報文不支持SNI字段,本功能將失效。

【舉例】

# 在名為news的URL過濾策略中,開啟HTTPS流量過濾功能。

<Sysname> system-view

[Sysname] url-filter policy news

[Sysname-url-filter-policy-news] https-filter enable

【相關命令】

·     action ssl-decrypt(DPI深度安全/代理策略)

1.1.14  include pre-defined

include pre-defined命令用來向自定義URL過濾分類中添加預定義URL過濾分類中的規則。

undo include pre-defined命令用來恢複缺省情況。

【命令】

include pre-defined category-name

undo include pre-defined

【缺省情況】

自定義URL過濾分類中不存在預定義URL過濾分類中的規則。

【視圖】

URL過濾分類視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

category-name:表示預定義URL過濾分類的名稱,為1~63個字符的字符串,區分大小寫。指定的預定義URL過濾分類必須已存在。

【使用指導】

當新建的URL過濾分類中所需的規則與已存在的預定義URL過濾分類中的規則比較相似時,可通過此命令靈活、快速的創建URL過濾分類。

一個自定義URL過濾分類下隻能添加一個預定義URL過濾分類。多次執行本命令,最後一次執行的命令生效。

【舉例】

# 在名稱為news的URL過濾分類中加預定義URL過濾分類Pre-Arts中的規則。

<Sysname> system-view

[Sysname] url-filter category news

[Sysname-url-filter-category-news] include pre-defined Pre-Arts

1.1.15  referer-whitelist enable

referer-whitelist enable命令用來開啟內嵌白名單功能。

undo referer-white enable命令用來關閉內嵌白名單功能。

【命令】

referer-whitelist enable

undo referer-whitelist enable

【缺省情況】

內嵌白名單功能處於開啟狀態。

【視圖】

URL過濾策略視圖

【缺省用戶角色】

network-admin

context-admin

【使用指導】

本功能用於實現允許訪問白名單網頁下內嵌的其他網頁鏈接。例如,用戶訪問的網頁中內嵌了一個其他網站的視頻鏈接,如果僅將該網頁加入白名單,則用戶無法訪問內嵌的視頻,還需要將該視頻的鏈接網站加入白名單才可正常訪問。

開啟本功能後,設備將獲取HTTP請求報文中的referer字段(用於標識從哪個網頁發起的請求)與白名單進行匹配。如果匹配成功,則允許訪問請求的網站;如果匹配失敗,則禁止訪問請求的網站。這樣,隻需將用戶請求的網頁加入白名單,該網頁下的其他網站鏈接也會被允許訪問,簡化了配置。

當不希望用戶可以訪問網頁中內嵌的其他網站鏈接時,可關閉本功能。

【舉例】

# 在名為news的URL過濾策略中,開啟內嵌白名單功能。

<Sysname> system-view

[Sysname] url-filter policy news

[Sysname-url-filter-policy-news] referer-whitelist enable

【相關命令】

·     add whitelist

1.1.16  rename (URL filtering category view)

rename命令用來重命名URL過濾分類,並進入新的URL過濾分類視圖。

【命令】

rename new-name

【視圖】

URL過濾分類視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

new-name:表示新的URL過濾分類的名稱,為1~63個字符的字符串,不區分大小寫。

【使用指導】

原有URL過濾分類的名稱被修改後,URL過濾策略中引用的同名URL過濾分類的名稱也會被同步修改。

【舉例】

# 把名稱為news的URL過濾分類重命名為hello,並進入新的URL過濾分類視圖。

<Sysname> system-view

[Sysname] url-filter category news

[Sysname-url-filter-category-news] rename hello

[Sysname-url-filter-category-hello]

1.1.17  rename (URL filtering policy view)

rename命令用來重命名URL過濾策略,並進入新的URL過濾策略視圖。

【命令】

rename new-name

【視圖】

URL過濾策略視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

new-name:表示新的URL過濾策略的名稱,為1~31個字符的字符串,不區分大小寫。

【使用指導】

原有URL過濾策略的名稱被修改後,DPI應用profile中引用的同名URL過濾策略的名稱也會被同步修改。

【舉例】

# 把名稱為news的URL過濾策略重命名為hello,並進入新的URL過濾策略視圖。

<Sysname> system-view

[Sysname] url-filter policy news

[Sysname-url-filter-policy-news] rename hello

[Sysname-url-filter-policy-hello]

1.1.18  reset url-filter statistics

reset url-filter statistics命令用來清除URL過濾的統計信息。

【命令】

reset url-filter statistics

【視圖】

用戶視圖

【缺省用戶角色】

network-admin

context-admin

【舉例】

# 清除URL過濾的統計信息。

<Sysname> reset url-filter statistics

【相關命令】

·     display url-filter statistics

1.1.19  rule

rule命令用來在自定義URL過濾分類中創建URL過濾規則。

undo rule命令用來在自定義URL過濾分類中刪除指定的URL過濾規則。

【命令】

rule rule-id host { regex regex | text string } [ uri { regex regex | text string } ]

undo rule rule-id

【缺省情況】

自定義URL過濾分類中不存在URL過濾規則。

【視圖】

URL過濾分類視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

rule-id:指定URL過濾規則編號,取值範圍為1~65535。

host:表示URL過濾規則匹配URL中的主機名字段。

uri:表示URL過濾規則匹配URL中的URI字段。

regex regex:表示URL過濾規則使用正則表達式對主機名和URI字段進行匹配。regex表示正則表達式,區分大小寫,隻能以字母、數字和下劃線開頭,且至少包含連續的3個非通配符。其中,主機名正則表達式的取值範圍為3~224個字符;URI正則表達式的取值範圍為3~253個字符。

text string:表示URL過濾規則使用文本對主機名和URI字段進行匹配。string表示主機名或URI規則字符串,主機名規則的取值範圍為3~224個字符,不區分大小寫,且至少包含連續的3個非通配符,主機名隻能是字母、數字、下劃線“_”、連接符“-”、冒號“:”、左方括號“[”、右方括號“]”、點號“.”和星號“*”,但URI無此限製;URI規則的取值範圍為3~255個字符,不區分大小寫,且至少包含連續的3個非通配符。

【使用指導】

URL過濾規則是指對用戶HTTP報文中的URL進行匹配的原則,URL過濾規則支持兩種匹配方式:

·     文本匹配:使用指定的字符串對主機名和URI字段進行匹配。

¡     匹配主機名字段時,首先判斷主機名開頭或結尾位置是否含有通配符“*”,若均未出現,則URL中的主機名字段與規則中指定的主機名字符串必須完全一致,才能匹配成功;若“*”出現在開頭位置,則該字符串或以該字符串結尾的URL會匹配成功;若“*”出現在結尾位置,則該字符串或以該字符串開頭的URL會匹配成功。若“*”同時出現在開頭或結尾位置,則該字符串或含有該字符串的URL均會匹配成功。

¡     匹配URI字段時,和主機名字段匹配規則一致。

·     正則表達式匹配:使用正則表達式對主機名和URI字段進行匹配。例如,規則中配置主機名的正則表達式為sina.*cn,則主機名為news.sina.com.cn的URL會匹配成功。

使用文本方式對主機名和URI字段進行匹配時,對星號“*”有如下的限製:

·     匹配主機名字段時,“*”隻能出現在開頭或結尾,表示通配符,代表0到多個任意字符。

·     匹配URI字段時,當“*”出現在開頭或結尾,表示通配符,代表0到多個任意字符;當“*”出現在其他位置時,則作為普通字符進行匹配。

正則表達式有如下限製:

·     正則表達式中,總的分支不能超過四個。例如'abc(c|d|e|\x3D)'有效,'abc(c|onreset|onselect|onchange|style\x3D)'無效。

·     正則表達式中,括號不能嵌套,即括號中不能有括號。例如'ab((abcs*?))'無效。

·     正則表達式中,分支不支持串聯,即分支後麵不能有分支。例如'ab(a|b)(c|d)^\\r\\n]+?'無效。

·     正則表達式中,零次重複量詞'*'和'?'前麵必須有四個確定字符。例如'abc*'無效,'abcd*DoS\x2d\d{5}\x20\x2bxi\\r\\nJOIN'有效。

【舉例】

# 在URL過濾分類news中添加一條URL過濾規則,並使用以exmple.com開頭的字符串對主機名字段進行匹配。

<Sysname> system-view

[Sysname] url-filter category news

[Sysname-url-filter-category-news] rule 10 host text example.com*

【相關命令】

·     url-filter category

1.1.20  update schedule

update schedule命令用來配置定期自動在線升級URL過濾特征庫的時間。

undo update schedule命令用來恢複缺省情況。

【命令】

update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes

undo update schedule

【缺省情況】

設備在每天01:00:00至03:00:00之間自動在線升級URL過濾特征庫。

【視圖】

自動升級配置視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

daily:表示自動升級周期為每天。

weekly:表示以一周為周期,在指定的一天進行自動升級。

fri:表示星期五。

mon:表示星期一。

sat:表示星期六。

sun:表示星期日。

thu:表示星期四。

tue:表示星期二。

wed:表示星期三。

start-time time:指定自動升級開始時間,time的格式為hh:mm:ss,取值範圍為00:00~23:59:59。

tingle minutes:指定抖動時間,即實際自動升級開始時間的偏差範圍,取值範圍為0~120,單位為分鍾。在start-time指定時間的前後各偏移抖動時間的一半作為自動升級的時間範圍,例如,指定自動升級的開始時間為01:00:00,抖動時間為60分鍾,則自動升級的時間範圍為00:30:00至01:30:00。

【舉例】

# 配置URL過濾特征庫的定期自動在線升級時間為每周日20:30:00,抖動時間為10分鍾。

<Sysname> system-view

[Sysname] url-filter signature auto-update

[Sysname-url-filter-autoupdate] update schedule weekly sun start-time 20:30:00 tingle 10

【相關命令】

·     url-filter signatures auto-update

1.1.21  update schedule

update schedule命令用來配置定期自動在線升級URL信譽特征庫的時間。

undo update schedule命令用來恢複缺省情況。

【命令】

update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes

undo update schedule

【缺省情況】

設備在每天01:00:00至03:00:00之間開始自動在線升級URL信譽特征庫。

【視圖】

自動升級配置視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

daily:表示自動升級周期為每天。

weekly:表示以一周為周期,在指定的一天進行自動升級。

fri:表示星期五。

mon:表示星期一。

sat:表示星期六。

sun:表示星期日。

thu:表示星期四。

tue:表示星期二。

wed:表示星期三。

start-time time:指定自動升級開始時間,time的格式為hh:mm:ss,取值範圍為00:00:00~23:59:59。

tingle minutes:指定抖動時間,即實際自動升級開始時間的偏差範圍,取值範圍為0~120,單位為分鍾。在start-time指定時間的前後各偏移抖動時間的一半作為自動升級的時間範圍,例如,指定自動升級的開始時間為01:00:00,抖動時間為60分鍾,則開始自動升級的時間範圍為00:30:00至01:30:00。

【舉例】

# 配置URL信譽特征庫的定期自動在線升級時間為每周一20:30:00,抖動時間為10分鍾。

<Sysname> system-view

[Sysname] url-reputation signature auto-update

[Sysname-url-reputation-autoupdate] update schedule weekly mon start-time 20:30:00 tingle 10

【相關命令】

·     url-reputation signature auto-update

1.1.22  url-filter apply policy

url-filter apply policy命令用來在DPI應用profile中引用指定的URL過濾策略。

undo url-filter apply policy命令用來刪除引用的URL過濾策略。

【命令】

url-filter apply policy policy-name

undo url-filter apply policy

【缺省情況】

DPI應用profile中未引用URL過濾策略。

【視圖】

DPI應用profile視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

policy-name:URL過濾策略名稱,為1~31個字符的字符串,不區分大小寫。

【使用指導】

URL過濾策略僅在被DPI應用profile引用後生效。一個DPI應用profile下隻能引用一個URL過濾策略。多次執行本命令,最後一次執行的命令生效。

【舉例】

# 在名為abc的DPI應用profile下引用URL過濾策略news。

<Sysname> system-view

[Sysname] app-profile abc

[Sysname-app-profile-abc]url-filter apply policy news

【相關命令】

·     app-profile(DPI深度安全命令參考/應用層檢測引擎)

·     display app-profile

·     display url-filter policy

1.1.23  url-filter cache size

url-filter cache size命令用來配置URL過濾緩存區可緩存記錄的上限。

undo url-filter cache size命令用來恢複缺省情況。

【命令】

url-filter cache size cache-size

undo url-filter cache size

【缺省情況】

URL過濾緩存區可緩存記錄的上限為16384。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

cache-size:指定URL過濾緩存區可緩存記錄的上限,取值範圍為8192~65535。

【使用指導】

設備會把雲端服務器返回的查詢結果緩存在URL過濾緩存中。後續符合此URL過濾規則的報文在流經設備時就會在本地匹配成功,而無需再進行雲端查詢。

僅支持在缺省Context下配置本命令。有關Context的詳細介紹,請參見“虛擬化技術配置指導”中的“Context”。

【舉例】

# 配置URL過濾緩存區可緩存記錄的上限為20000。

<Sysname> system-view

[Sysname] url-filter cache size 20000

1.1.24  url-filter cache-time

url-filter cache-time命令用來配置URL過濾緩存規則的最短保留時間。

undo url-filter cache-time命令用來恢複缺省情況。

【命令】

url-filter cache-time value

undo url-filter cache-time

【缺省情況】

URL過濾緩存規則的最短保留時間為10分鍾。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

value:指定URL過濾緩存規則的最短保留時間,取值範圍為10~720,單位為分鍾。

【使用指導】

當從雲端學習到的URL過濾規則在緩存中的保存時間達到指定的最短保留時間時,並不會被立刻刪除,而是在如下情況下會被刪除:

URL過濾緩存已滿後,如果從雲端服務器繼續學習到了新的URL過濾規則,設備則從緩存中將保存時間超過最大緩存時間的最老URL過濾規則刪除,然後將此新URL過濾規則添加到緩存中。

僅支持在缺省Context下配置本命令。有關Context的詳細介紹,請參見“虛擬化技術配置指導”中的“Context”。

【舉例】

# 配置URL過濾緩存規則的最短保留時間為36分鍾。

<Sysname> system-view

[Sysname] url-filter cache-time 36

1.1.25  url-filter category

url-filter category命令用來創建URL過濾分類,並進入URL過濾分類視圖。如果指定的URL過濾分類已經存在,則直接進入該URL過濾分類視圖。

undo url-filter category命令用來刪除指定的URL過濾分類。

【命令】

url-filter category category-name [ severity severity-level ]

undo url-filter category category-name

【缺省情況】

隻存在預定義的URL過濾分類,且分類名稱以字符串Pre-開頭。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

category-name:表示URL過濾分類的名稱,為1~63個字符的字符串,不區分大小寫。不能以字符”Pre-“開頭,因為Pre-是預定義的URL過濾分類名稱。

severity severity-value:表示URL過濾分類的嚴重級別屬性。severity-value為嚴重級別,取值範圍為1000~65535,創建URL過濾分類時必須配置此參數,數值越大表示嚴重級別越高,且不同的URL過濾分類的嚴重級別不能相同。

【使用指導】

為便於管理員對數目眾多的URL過濾規則進行統一部署,URL過濾模塊提供了URL過濾分類功能,以便對具有相似特征的URL過濾規則進行歸納以及為匹配這些規則的URL統一指定處理動作。每個URL過濾分類具有一個嚴重級別屬性,該屬性值表示對屬於此過濾分類URL的處理優先級。

URL過濾分類包括兩種類型:

·     預定義分類:根據設備中的URL過濾特征庫自動生成,其內容和嚴重級別不可被修改。

·     自定義分類:由管理員手動配置,可修改其嚴重級別,可添加URL過濾規則。

當報文匹配成功的URL過濾規則同屬於多個URL過濾分類時,設備將根據嚴重級別最高的URL過濾分類中指定的動作對此報文進行處理。

【舉例】

# 創建一個名為news的URL過濾分類,指定其嚴重級別為2000。

<Sysname> system-view

[Sysname] url-filter category news severity 2000

[Sysname-url-filter-category-news]

【相關命令】

·     display url-filter category

1.1.26  url-filter copy category

url-filter copy category命令用來複製URL過濾分類。

【命令】

url-filter copy category old-name new-name severity severity-level

【視圖】

係統視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

old-name:原有分類名稱。必須為已創建的自定義分類。

new-name:新分類名稱,為1~63個字符的字符串,不區分大小寫。不能以字符“Pre-”開頭,因為Pre-是預定義的URL過濾分類名稱。

severity severity-level:表示URL過濾分類的嚴重級別。severity-level為嚴重級別,取值範圍為1000~65535。數值越大表示嚴重級別越高,且不同的分類嚴重級別不能相同,如果相同,則複製失敗。

【使用指導】

本命令用來複製已存在的URL過濾分類,可以方便用戶快速創建新的URL過濾分類。

目前,僅支持複製自定義URL過濾分類。

【舉例】

# 通過複製名稱為news的URL過濾分類來創建一個名為test的URL過濾分類。

<Sysname> system-view

[Sysname] url-filter copy category news test severity 1001

[Sysname-url-filter-category-test]

【相關命令】

·     url-filter category

1.1.27  url-filter copy policy

url-filter copy policy命令用來複製URL過濾策略。

【命令】

url-filter copy policy old-name new-name

【視圖】

係統視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

old-name:原有策略名稱。為1~31個字符的字符串,不區分大小寫。

new-name:新策略名稱。為1~31個字符的字符串,不區分大小寫。

【使用指導】

本命令用來複製已存在的URL過濾策略,可以方便用戶快速創建新的URL過濾策略。

【舉例】

# 通過複製名稱為news的URL過濾策略來創建2個新的URL過濾策略。

<Sysname> system-view

[Sysname] url-filter copy policy news news1

[Sysname-url-filter-policy-news_1] quit

[Sysname] url-filter copy policy news new2

[Sysname-url-filter-policy-news_2] quit

【相關命令】

·     url-filter policy

1.1.28  url-filter log directory root

url-filter log directory root命令用來配置URL過濾僅對網站根目錄下資源的訪問進行日誌記錄。

undo url-filter log directory root命令用來恢複缺省情況。

【命令】

url-filter log directory root

undo url-filter log directory root

【缺省情況】

URL過濾對網站所有路徑下資源的訪問均進行日誌記錄。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

context-admin

【使用指導】

配置此命令後,url-filter log except pre-definedurl-filter log except user-defined命令將失效。

【舉例】

# 配置URL過濾僅對網站根目錄下資源的訪問進行日誌記錄。

<Sysname> system-view

[Sysname] url-filter log directory root

【相關命令】

·     category action logging

·     default-action logging

·     url-filter log except pre-defined

·     url-filter log except user-defined

1.1.29  url-filter log enable

url-filter log enable命令用來開啟應用層檢測引擎日誌信息功能。

undo url-filter log enable命令用來關閉應用層檢測引擎日誌信息功能。

【命令】

url-filter log enable

undo url-filter log enable

【缺省情況】

應用層檢測引擎日誌信息功能處於關閉狀態。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

context-admin

【使用指導】

應用層檢測引擎日誌是為了滿足管理員審計需求。設備生成應用層檢測引擎日誌信息會交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“網絡管理和監控配置指導”中的“信息中心”。

【舉例】

# 開啟應用層檢測引擎日誌信息功能。

<Sysname> system-view

[Sysname] url-filter log enable

1.1.30  url-filter log except pre-defined

url-filter log except pre-defined命令用來配置URL過濾對預定義類型網頁資源的訪問不進行日誌記錄。

undo url-filter log except pre-defined命令用來配置URL過濾對預定義類型網頁資源的訪問進行日誌記錄。

【命令】

url-filter log except pre-defined { css | gif | ico | jpg | js | png | swf | xml }

undo url-filter log except pre-defined { css | gif | ico | jpg | js | png | swf | xml }

【缺省情況】

URL過濾對所有預定義類型網頁資源的訪問不進行日誌記錄。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

css:表示網頁資源類型為css。

gif:表示網頁資源類型為gif。

ico:表示網頁資源類型為ico。

jpg:表示網頁資源類型為jpg。

js:表示網頁資源類型為js。

png:表示網頁資源類型為png。

swf:表示網頁資源類型為swf。

xml:表示網頁資源類型為xml。

【使用指導】

此命令生效的優先級低於url-filter log directory root命令,如果已經配置url-filter log directory root命令,則本配置不能生效。因此,如果要本配置生效,則需要執行undo url-filter log directory root命令。

可多次執行此命令,指定多種不記錄訪問日誌的預定義網頁資源類型。

【舉例】

# 配置URL過濾對預定義css類型網頁資源的訪問不進行日誌記錄。

<Sysname> system-view

[Sysname] url-filter log except pre-defined css

【相關命令】

·     category action logging

·     default-action logging

·     url-filter log directory root

·     url-filter log except user-defined

1.1.31  url-filter log except user-defined

url-filter log except user-defined命令用來配置URL過濾對自定義類型網頁資源的訪問不進行日誌記錄。

undo url-filter log except user-defined命令用來配置URL過濾對自定義類型網頁資源的訪問進行日誌記錄。

【命令】

url-filter log except user-defined text

undo url-filter log except user-defined [ text ]

【缺省情況】

未配置自定義類型網頁資源,URL過濾對除預定義類型之外的所有網頁資源的訪問均進行日誌記錄。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

text:表示自定義網頁資源類型,取值範圍為1~63個字符的字符串,不區分大小寫。

【使用指導】

此命令生效的優先級低於url-filter log directory root命令,如果已經配置url-filter log directory root命令,則本配置不能生效。因此,如果要本配置生效,則需要執行undo url-filter log directory root命令。

可多次執行此命令,指定多種不記錄訪問日誌的自定義網頁資源類型。

執行undo url-filter log except user-defined命令時,若未指定任何參數,則表示URL過濾對所有自定義類型網頁資源的訪問均進行日誌記錄。

【舉例】

# 配置URL過濾對自定義html類型網頁資源的訪問不進行日誌記錄。

<Sysname> system-view

[Sysname] url-filter log except user-defined html

【相關命令】

·     category action logging

·     default-action logging

·     url-filter log directory root

·     url-filter log except pre-defined

1.1.32  url-filter policy

url-filter policy命令用來創建URL過濾策略,並進入URL過濾策略視圖。如果指定的URL過濾策略已經存在,則直接進入URL過濾策略視圖。

undo url-filter policy命令用來刪除指定的URL過濾策略。

【命令】

url-filter policy policy-name

undo url-filter policy policy-name

【缺省情況】

不存在URL過濾策略。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

policy-name:表示URL過濾策略的名稱,為1~31個字符的字符串,不區分大小寫。

【使用指導】

一個URL過濾策略中可以為每個URL過濾分類配置動作,也可以在URL過濾策略中定義URL過濾策略的缺省動作。

URL過濾策略僅在被DPI應用profile中引用後生效。有關DPI應用profile的詳細介紹請參見“DPI深度安全配置指導”中的“應用層檢測引擎”。

【舉例】

# 創建一個名為news的URL過濾策略

<Sysname> system-view

[Sysname] url-filter policy news

[Sysname-url-filter-policy-news]

1.1.33  url-filter signature auto-update

url-filter signature auto-update命令用來開啟定期自動在線升級URL過濾特征庫功能,並進入自動升級配置視圖。

undo url-filter signature auto-update命令用來關閉定期自動在線升級URL過濾特征庫功能。

【命令】

url-filter signature auto-update

undo url-filter signature auto-update

【缺省情況】

定期自動在線升級URL過濾特征庫功能處於關閉狀態。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

context-admin

【使用指導】

如果設備可以訪問官方網站上的特征庫服務專區,可以采用定期自動在線升級方式來對設備上的URL過濾特征庫進行升級。

【舉例】

# 開啟定期自動在線升級URL過濾特征庫功能,並進入自動升級配置視圖。

<Sysname> system-view

[Sysname] url-filter signature auto-update

[Sysname-url-filter-autoupdate]

【相關命令】

·     update schedule

1.1.34  url-filter signature auto-update-now

url-filter signature auto-update-now命令用來立即自動在線升級URL過濾特征庫。

【命令】

url-filter signature auto-update-now

【視圖】

係統視圖

【缺省用戶角色】

network-admin

context-admin

【使用指導】

當管理員發現官方網站上的特征庫服務專區中的URL過濾特征庫有更新時,可以選擇立即自動在線升級方式來及時升級URL過濾特征庫版本。

【舉例】

# 立即自動在線升級URL過濾特征庫版本。

<Sysname> system-view

[Sysname] url-filter signature auto-update-now

1.1.35  url-filter signature rollback

url-filter signature rollback命令用來回滾URL過濾特征庫版本。

【命令】

url-filter signature rollback { factory | last }

【視圖】

係統視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

factory:表示URL過濾特征庫的出廠版本。

last:表示URL過濾特征庫的上一版本。

【使用指導】

URL過濾特征庫回滾是指將當前的URL過濾特征庫版本回滾到指定的URL過濾特征庫版本。如果管理員發現設備對用戶訪問Web的URL過濾的誤報率較高或出現異常情況,則可以對當前URL過濾特征庫版本進行回滾。目前支持將設備中的URL過濾特征庫版本回滾到出廠版本和上一版本。

URL過濾特征庫版本每次回滾前,設備都會備份當前版本。多次回滾上一版本的操作將會在當前版本和上一版本之間反複切換。例如當前URL過濾特征庫版本是V2,上一版本是V1,第一次執行回滾到上一版本的操作後,特征庫替換成V1版本,再執行回滾上一版本的操作則特征庫重新變為V2版本。

【舉例】

# 配置URL過濾特征庫回滾到上一版本。

<Sysname> system-view

[Sysname] url-filter signature rollback last

1.1.36  url-filter signature update

url-filter signature update命令用來手動離線升級URL過濾特征庫。

【命令】

url-filter signature update file-path [ vpn-instance vpn-instance-name ] [ source { ip | ipv6 } { ip-address | interface interface-type interface-number } ]

【視圖】

係統視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

file-path:指定特征庫文件的路徑,為1~255個字符的字符串。

vpn-instance vpn-instance-name:表示TFTP、FTP服務器所屬的VPN實例。vpn-instance-name為MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果不指定該參數,則表示TFTP、FTP服務器位於公網中。

本參數的支持情況與設備型號有關,請以設備實際情況為準。

係列

型號

說明

F50X0係列

F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M

支持

F5000-CN係列

F5000-CN30、F5000-CN60

支持

F5000-AI係列

F5000-AI-15、F5000-AI-20、F5000-AI-40

支持

F5000-V係列

F5000-V30

支持

F1000-AI係列

F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90

支持

F1000-L係列

F1003-L、F1003-L-S、F1005-L、F1010-L

支持

F1003-L-C

不支持

F10X0係列

F1003-M、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090

支持

F1003-C、F1003-S

不支持

F1000-V係列

F1000-V50、F1000-V60、F1000-V70、F1000-V90

支持

F1000-SASE係列

F1000-SASE100、F1000-SASE200

支持

F1000-AK係列

F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190

支持

F1000-AK9109、F1000-AK9110、F1000-AK9210

不支持

插卡

IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1

支持

vFW係列

vFW1000、vFW2000、vFW-E-Cloud

支持

source:指定手動離線升級特征庫時發送給TFTP、FTP服務器的請求報文的源IP地址。如果不指定該參數,則表示使用係統根據路由表項查找到的出接口的地址。

本參數的支持情況與設備型號有關,請以設備實際情況為準。

係列

型號

說明

F50X0係列

F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M

支持

F5000-CN係列

F5000-CN30、F5000-CN60

支持

F5000-AI係列

F5000-AI-15、F5000-AI-20、F5000-AI-40

支持

F5000-V係列

F5000-V30

支持

F1000-AI係列

F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90

支持

F1000-L係列

F1003-L、F1003-L-S、F1005-L、F1010-L

支持

F1003-L-C

不支持

F10X0係列

F1003-M、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090

支持

F1003-C、F1003-S

不支持

F1000-V係列

F1000-V50、F1000-V60、F1000-V70、F1000-V90

支持

F1000-SASE係列

F1000-SASE100、F1000-SASE200

支持

F1000-AK係列

F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190

支持

F1000-AK9109、F1000-AK9110、F1000-AK9210

不支持

插卡

IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1

支持

vFW係列

vFW1000、vFW2000、vFW-E-Cloud

支持

ip ip-address:指定手動離線升級特征庫時發送給TFTP、FTP服務器的請求報文的源IPv4地址。

本參數的支持情況與設備型號有關,請以設備實際情況為準。

係列

型號

說明

F50X0係列

F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M

支持

F5000-CN係列

F5000-CN30、F5000-CN60

支持

F5000-AI係列

F5000-AI-15、F5000-AI-20、F5000-AI-40

支持

F5000-V係列

F5000-V30

支持

F1000-AI係列

F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90

支持

F1000-L係列

F1003-L、F1003-L-S、F1005-L、F1010-L

支持

F1003-L-C

不支持

F10X0係列

F1003-M、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090

支持

F1003-C、F1003-S

不支持

F1000-V係列

F1000-V50、F1000-V60、F1000-V70、F1000-V90

支持

F1000-SASE係列

F1000-SASE100、F1000-SASE200

支持

F1000-AK係列

F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190

支持

F1000-AK9109、F1000-AK9110、F1000-AK9210

不支持

插卡

IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1

支持

vFW係列

vFW1000、vFW2000、vFW-E-Cloud

支持

ipv6 ip-address:指定手動離線升級特征庫時發送給TFTP、FTP服務器的請求報文的源IPv6地址。

本參數的支持情況與設備型號有關,請以設備實際情況為準。

係列

型號

說明

F50X0係列

F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M

支持

F5000-CN係列

F5000-CN30、F5000-CN60

支持

F5000-AI係列

F5000-AI-15、F5000-AI-20、F5000-AI-40

支持

F5000-V係列

F5000-V30

支持

F1000-AI係列

F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90

支持

F1000-L係列

F1003-L、F1003-L-S、F1005-L、F1010-L

支持

F1003-L-C

不支持

F10X0係列

F1003-M、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090

支持

F1003-C、F1003-S

不支持

F1000-V係列

F1000-V50、F1000-V60、F1000-V70、F1000-V90

支持

F1000-SASE係列

F1000-SASE100、F1000-SASE200

支持

F1000-AK係列

F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190

支持

F1000-AK9109、F1000-AK9110、F1000-AK9210

不支持

插卡

IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1

支持

vFW係列

vFW1000、vFW2000、vFW-E-Cloud

支持

interface interface-type interface-number:指定該接口的主IPv4地址或接口上最小的IPv6地址為源IP地址。

本參數的支持情況與設備型號有關,請以設備實際情況為準。

係列

型號

說明

F50X0係列

F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M

支持

F5000-CN係列

F5000-CN30、F5000-CN60

支持

F5000-AI係列

F5000-AI-15、F5000-AI-20、F5000-AI-40

支持

F5000-V係列

F5000-V30

支持

F1000-AI係列

F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90

支持

F1000-L係列

F1003-L、F1003-L-S、F1005-L、F1010-L

支持

F1003-L-C

不支持

F10X0係列

F1003-M、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090

支持

F1003-C、F1003-S

不支持

F1000-V係列

F1000-V50、F1000-V60、F1000-V70、F1000-V90

支持

F1000-SASE係列

F1000-SASE100、F1000-SASE200

支持

F1000-AK係列

F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190

支持

F1000-AK9109、F1000-AK9110、F1000-AK9210

不支持

插卡

IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1

支持

vFW係列

vFW1000、vFW2000、vFW-E-Cloud

支持

【使用指導】

注意

H3C官方網站上的特征庫服務專區根據設備的內存大小以及軟件版本為用戶提供了不同的特征庫。管理員需要根據設備實際情況獲取相應的特征庫,如果為小內存設備(8GB以下)升級了適用於大內存設備(8GB以上)的特征庫,可能會導致設備異常,請謹慎操作。

 

如果設備不能訪問官方網站上的特征庫服務專區,管理員可以采用如下幾種方式手動離線升級URL過濾特征庫版本。

·     本地升級:使用本地保存的特征庫文件升級係統上的URL過濾特征庫版本。

·     FTP/TFTP升級:通過FTP或TFTP方式下載遠程服務器上保存的特征庫文件,並升級係統上的URL過濾特征庫版本。

使用本地升級方式離線升級特征庫版本時,特征庫文件隻能存儲在當前主用設備上,否則設備升級特征庫會失敗。

參數file-path的取值與手動離線升級的操作方式有關。本地升級時參數file-path取值請參見表1-8;FTP/TFTP升級時參數file-path取值請參見表1-9

表1-8 本地升級時參數file-path取值說明表

升級場景

參數file-path取值

說明

特征庫文件的存儲位置與當前工作路徑一致

filename

可以執行pwd命令查看當前工作路徑

有關pwd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理”

特征庫文件的存儲位置與當前工作路徑不一致,且在相同存儲介質上

filename

需要先執行cd命令將工作路徑切換至特征庫文件所在目錄下

有關cd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理”

特征庫文件的存儲位置與當前工作路徑不在相同存儲介質上

path/ filename

需要先執行cd命令將工作路徑切換至特征庫文件所在存儲介質的根目錄下,再指定特征庫文件的相對路徑

有關cd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理”

 

表1-9 FTP/TFTP升級時參數file-path取值說明表

升級場景

參數file-path取值

說明

特征庫文件存儲在開啟FTP服務的遠程服務器上

ftp://username:password@server/filename

username為登錄FTP服務器的用戶名,password為登錄FTP服務器的密碼,server為FTP服務器的IP地址或主機名

當FTP的用戶名和密碼中使用了“:”、“@”和“/”三種特殊字符時,需要將這三種特殊字符替換為其對應的轉義字符。“:”、“@”和“/”三種特殊字符對應的轉義字符分別為“%3A或%3a”、“%40”和“%2F或%2f”

特征庫文件存儲在開啟TFTP服務的遠程服務器上

tftp://server/filename

server為TFTP服務器的IP地址或主機名

 

說明

當采用FTP/TFTP方式升級特征庫時,如果指定的是服務器的主機名,則需要確保設備能通過靜態或動態域名解析方式獲得FTP/TFTP服務器的IP地址,並與之路由可達。否則設備升級特征庫會失敗。有關域名解析功能的詳細配置請參見“三層技術-IP業務配置指導”中的“域名解析”。

 

如果管理員希望手動離線升級特征庫時發送給TFTP、FTP服務器的請求報文的源IP地址是一個特定的地址時,可配置source參數。例如,當組網環境中設備發出的報文需要經過NAT地址轉換後才能訪問TFTP、FTP服務器時,則需要管理員通過source參數指定一個符合NAT地址轉換規則的源IP地址(其中,如果設備需要經過一台獨立的NAT設備進行地址轉換時,本命令指定的IP地址必須可以與NAT設備三層路由可達),使設備發出的報文可以進行NAT地址轉換等處理,正常訪問TFTP、FTP服務器。

當同時配置了sourcevpn-instance參數時,需要保證source中指定的源IP地址或接口所屬VPN實例與vpn-instance中配置的VPN實例相同。

【舉例】

# 配置手動離線升級URL過濾特征庫,且采用TFTP方式,URL過濾特征庫文件的遠程路徑為tftp://192.168.0.10/url-filter-1.0.2-en.dat。

<Sysname> system-view

[Sysname] url-filter signature update tftp://192.168.0.10/url-filter-1.0.2-en.dat

# 配置手動離線升級URL過濾特征庫,且采用FTP方式,URL過濾特征庫文件的遠程路徑為ftp://192.168.0.10/url-filter-1.0.2-en.dat,用戶名為user:123,密碼為user@abc/123。

<Sysname> system-view

[Sysname] url-filter signature update ftp://user%3A123:user%40abc%[email protected]/url-filter-1.0.2-en.dat

# 配置手動離線升級URL過濾特征庫,且采用本地方式,URL過濾特征庫文件的本地路徑為cfa0:/url-filter-1.0.23-en.dat,且當前工作路徑為cfa0:。

<Sysname> system-view

[Sysname] url-filter signature update url-filter-1.0.23-en.dat

# 配置手動離線升級URL過濾特征庫,且采用本地方式,URL過濾特征庫文件的本地路徑為cfa0:/dpi/url-filter-1.0.23-en.dat,且當前工作路徑為cfa0:。

<Sysname> cd dpi

<Sysname> system-view

[Sysname] url-filter signature update url-filter-1.0.23-en.dat

# 配置手動離線升級URL過濾特征庫,且采用本地方式,URL過濾特征庫文件的本地路徑為cfb0:/dpi/url-filter-1.0.23-en.dat,當前工作路徑為cfa0:。

<Sysname> cd cfb0:/

<Sysname> system-view

[Sysname] url-filter signature update dpi/url-filter-1.0.23-en.dat

1.1.37  url-reputation enable

url-reputation enable命令用來開啟URL信譽功能。

undo url-reputation enable命令用來關閉URL信譽功能。

【命令】

url-reputation enable

undo url-reputation enable

【缺省情況】

URL信譽功能處於關閉狀態。

【視圖】

URL過濾策略視圖

【缺省用戶角色】

network-admin

context-admin

【使用指導】

URL信譽功能用於對惡意的URL進行過濾。開啟URL信譽功能後,設備會將流量與URL信譽特征庫中的URL進行匹配,如果匹配成功,則對報文執行相應的動作(通過attack-category action命令配置);如果匹配失敗,則放行報文。

【舉例】

# 在名稱為abc的URL過濾策略中,開啟URL信譽功能。

<Sysname> system-view

[Sysname] url-filter policy abc

[Sysname-url-filter-policy-abc] url-reputation enable

1.1.38  url-reputation signature auto-update

url-reputation signature auto-update命令用來開啟定期自動在線升級URL信譽特征庫功能,並進入自動升級配置視圖。

undo url-reputation signature auto-update命令用來關閉定期自動在線升級URL信譽特征庫功能。

【命令】

url-reputation signature auto-update

undo url-reputation signature auto-update

【缺省情況】

定期自動在線升級URL信譽特征庫功能處於關閉狀態。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

context-admin

【使用指導】

如果設備可以訪問官方網站上的特征庫服務專區,可以采用定期自動在線升級方式來對設備上的URL信譽特征庫進行升級。

【舉例】

# 開啟定期自動在線升級URL信譽特征庫功能,並進入自動升級配置視圖。

<Sysname> system-view

[Sysname] url-reputation signature auto-update

[Sysname-url-reputation-autoupdate]

【相關命令】

·     update schedule

1.1.39  url-reputation signature auto-update-now

url-reputation signature auto-update-now命令用來立即自動在線升級URL信譽特征庫。

【命令】

url-reputation signature auto-update-now

【視圖】

係統視圖

【缺省用戶角色】

network-admin

context-admin

【使用指導】

執行此命令後,將立即自動升級設備上的URL信譽特征庫,且會備份當前的URL信譽特征庫文件。此命令的生效與否,與是否開啟了定期自動升級URL信譽特征庫功能無關。

當管理員發現官方網站上的特征庫服務專區中的URL信譽特征庫有更新時,可以選擇立即自動在線升級方式來及時升級URL信譽特征庫版本。

【舉例】

# 立即自動在線升級URL信譽特征庫版本。

<Sysname> system-view

[Sysname] url-reputation signature auto-update-now

1.1.40  url-reputation signature rollback

url-reputation signature rollback命令用來回滾URL信譽特征庫。

【命令】

url-reputation signature rollback last

【視圖】

係統視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

last:表示URL信譽特征庫的上一版本。

【使用指導】

URL信譽特征庫回滾是指將當前的URL信譽特征庫版本回滾到上一次的版本。如果管理員發現設備當前URL信譽特征庫版本在檢測和防禦網絡攻擊時,誤報率較高或出現異常情況,則可以對當前URL信譽特征庫版本進行回滾。

URL信譽特征庫版本每次回滾前,設備都會備份當前版本。多次回滾上一版本的操作將會在當前版本和上一版本之間反複切換。例如當前URL信譽特征庫是V2,上一版本是V1,第一次執行回滾到上一版本的操作後,特征庫替換成V1版本,再執行回滾上一版本的操作則特征庫重新變為V2版本。

【舉例】

# 配置URL信譽特征庫回滾到上一版本。

<Sysname> system-view

[Sysname] url-reputation signature rollback last

1.1.41  url-reputation signature update

url-reputation signature update命令用來手動離線升級URL信譽特征庫。

【命令】

url-reputation signature update file-path [ vpn-instance vpn-instance-name ] [ source { ip | ipv6 } { ip-address | interface interface-type interface-number } ]

【視圖】

係統視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

file-path:指定特征庫文件的路徑,為1~255個字符的字符串。

vpn-instance vpn-instance-name:表示TFTP、FTP服務器所屬的VPN實例。vpn-instance-name為MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果不指定該參數,則表示TFTP、FTP服務器位於公網中。

本參數的支持情況與設備型號有關,請以設備實際情況為準。

係列

型號

說明

F50X0係列

F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M

支持

F5000-CN係列

F5000-CN30、F5000-CN60

支持

F5000-AI係列

F5000-AI-15、F5000-AI-20、F5000-AI-40

支持

F5000-V係列

F5000-V30

支持

F1000-AI係列

F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90

支持

F1000-L係列

F1003-L、F1003-L-S、F1005-L、F1010-L

支持

F1003-L-C

不支持

F10X0係列

F1003-M、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090

支持

F1003-C、F1003-S

不支持

F1000-V係列

F1000-V50、F1000-V60、F1000-V70、F1000-V90

支持

F1000-SASE係列

F1000-SASE100、F1000-SASE200

支持

F1000-AK係列

F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190

支持

F1000-AK9109、F1000-AK9110、F1000-AK9210

不支持

插卡

IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1

支持

vFW係列

vFW1000、vFW2000、vFW-E-Cloud

支持

source:指定手動離線升級特征庫時發送給TFTP、FTP服務器的請求報文的源IP地址。如果不指定該參數,則表示使用係統根據路由表項查找到的出接口的地址。

本參數的支持情況與設備型號有關,請以設備實際情況為準。

係列

型號

說明

F50X0係列

F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M

支持

F5000-CN係列

F5000-CN30、F5000-CN60

支持

F5000-AI係列

F5000-AI-15、F5000-AI-20、F5000-AI-40

支持

F5000-V係列

F5000-V30

支持

F1000-AI係列

F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90

支持

F1000-L係列

F1003-L、F1003-L-S、F1005-L、F1010-L

支持

F1003-L-C

不支持

F10X0係列

F1003-M、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090

支持

F1003-C、F1003-S

不支持

F1000-V係列

F1000-V50、F1000-V60、F1000-V70、F1000-V90

支持

F1000-SASE係列

F1000-SASE100、F1000-SASE200

支持

F1000-AK係列

F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190

支持

F1000-AK9109、F1000-AK9110、F1000-AK9210

不支持

插卡

IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1

支持

vFW係列

vFW1000、vFW2000、vFW-E-Cloud

支持

ip ip-address:指定手動離線升級特征庫時發送給TFTP、FTP服務器的請求報文的源IPv4地址。

本參數的支持情況與設備型號有關,請以設備實際情況為準。

係列

型號

說明

F50X0係列

F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M

支持

F5000-CN係列

F5000-CN30、F5000-CN60

支持

F5000-AI係列

F5000-AI-15、F5000-AI-20、F5000-AI-40

支持

F5000-V係列

F5000-V30

支持

F1000-AI係列

F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90

支持

F1000-L係列

F1003-L、F1003-L-S、F1005-L、F1010-L

支持

F1003-L-C

不支持

F10X0係列

F1003-M、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090

支持

F1003-C、F1003-S

不支持

F1000-V係列

F1000-V50、F1000-V60、F1000-V70、F1000-V90

支持

F1000-SASE係列

F1000-SASE100、F1000-SASE200

支持

F1000-AK係列

F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190

支持

F1000-AK9109、F1000-AK9110、F1000-AK9210

不支持

插卡

IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1

支持

vFW係列

vFW1000、vFW2000、vFW-E-Cloud

支持

ipv6 ip-address:指定手動離線升級特征庫時發送給TFTP、FTP服務器的請求報文的源IPv6地址。

本參數的支持情況與設備型號有關,請以設備實際情況為準。

係列

型號

說明

F50X0係列

F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M

支持

F5000-CN係列

F5000-CN30、F5000-CN60

支持

F5000-AI係列

F5000-AI-15、F5000-AI-20、F5000-AI-40

支持

F5000-V係列

F5000-V30

支持

F1000-AI係列

F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90

支持

F1000-L係列

F1003-L、F1003-L-S、F1005-L、F1010-L

支持

F1003-L-C

不支持

F10X0係列

F1003-M、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090

支持

F1003-C、F1003-S

不支持

F1000-V係列

F1000-V50、F1000-V60、F1000-V70、F1000-V90

支持

F1000-SASE係列

F1000-SASE100、F1000-SASE200

支持

F1000-AK係列

F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190

支持

F1000-AK9109、F1000-AK9110、F1000-AK9210

不支持

插卡

IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1

支持

vFW係列

vFW1000、vFW2000、vFW-E-Cloud

支持

interface interface-type interface-number:指定該接口的主IPv4地址或接口上最小的IPv6地址為源IP地址。

本參數的支持情況與設備型號有關,請以設備實際情況為準。

係列

型號

說明

F50X0係列

F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M

支持

F5000-CN係列

F5000-CN30、F5000-CN60

支持

F5000-AI係列

F5000-AI-15、F5000-AI-20、F5000-AI-40

支持

F5000-V係列

F5000-V30

支持

F1000-AI係列

F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90

支持

F1000-L係列

F1003-L、F1003-L-S、F1005-L、F1010-L

支持

F1003-L-C

不支持

F10X0係列

F1003-M、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090

支持

F1003-C、F1003-S

不支持

F1000-V係列

F1000-V50、F1000-V60、F1000-V70、F1000-V90

支持

F1000-SASE係列

F1000-SASE100、F1000-SASE200

支持

F1000-AK係列

F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190

支持

F1000-AK9109、F1000-AK9110、F1000-AK9210

不支持

插卡

IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1

支持

vFW係列

vFW1000、vFW2000、vFW-E-Cloud

支持

【使用指導】

如果設備不能訪問官方網站上的特征庫服務專區,管理員可以采用如下幾種方式手動離線升級URL信譽特征庫版本。

·     本地升級:使用設備本地保存的特征庫文件升級係統中的URL信譽特征庫版本。

·     FTP/TFTP升級:通過FTP或TFTP方式下載遠程服務器上保存的特征庫文件,並升級係統中的URL信譽特征庫版本。

使用本地升級方式離線升級特征庫版本時,特征庫文件隻能存儲在當前主用設備上,否則設備升級特征庫會失敗。

參數file-path的取值與手動離線升級的操作方式有關。本地升級時參數file-path取值請參見表1-10;FTP/TFTP升級時參數file-path取值請參見表1-11

表1-10 本地升級時參數file-path取值說明表

升級場景

參數file-path取值

說明

特征庫文件的存儲位置與當前工作路徑一致

filename

可以執行pwd命令查看當前工作路徑

有關pwd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理”

特征庫文件的存儲位置與當前工作路徑不一致,且在相同存儲介質上

Filename

需要先執行cd命令將工作路徑切換至特征庫文件所在目錄下

有關cd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理”

特征庫文件的存儲位置與當前工作路徑不在相同存儲介質上

path/ filename

需要先執行cd命令將工作路徑切換至特征庫文件所在存儲介質的根目錄下,再指定特征庫文件的相對路徑

有關cd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理”

 

表1-11 FTP/TFTP升級時參數file-path取值說明表

升級場景

參數file-path取值

說明

特征庫文件存儲在開啟FTP服務的遠程服務器上

ftp://username:password@server/filename

username為登錄FTP服務器的用戶名,password為登錄FTP服務器的密碼,server為FTP服務器的IP地址或主機名

當FTP的用戶名和密碼中使用了“:”、“@”和“/”三種特殊字符時,需要將這三種特殊字符替換為其對應的轉義字符。“:”、“@”和“/”三種特殊字符對應的轉義字符分別為“%3A或%3a”、“%40”和“%2F或%2f”

特征庫文件存儲在開啟TFTP服務的遠程服務器上

tftp://server/filename

server為TFTP服務器的IP地址或主機名

 

說明

當采用FTP/TFTP方式升級特征庫時,如果指定的是服務器的主機名,則需要確保設備能通過靜態或動態域名解析方式獲得FTP/TFTP服務器的IP地址,並與之路由可達。否則,設備升級特征庫會失敗。有關域名解析功能的詳細配置請參見“三層技術-IP業務配置指導”中的“域名解析”。

 

如果管理員希望手動離線升級特征庫時發送給TFTP、FTP服務器的請求報文的源IP地址是一個特定的地址時,可配置source參數。例如,當組網環境中設備發出的報文需要經過NAT地址轉換後才能訪問TFTP、FTP服務器時,則需要管理員通過source參數指定一個符合NAT地址轉換規則的源IP地址(其中,如果設備需要經過一台獨立的NAT設備進行地址轉換時,本命令指定的IP地址必須可以與NAT設備三層路由可達),使設備發出的報文可以進行NAT地址轉換等處理,正常訪問TFTP、FTP服務器。

當同時配置了sourcevpn-instance參數時,需要保證source中指定的源IP地址或接口所屬VPN實例與vpn-instance中配置的VPN實例相同。

【舉例】

# 配置手動離線升級URL信譽特征庫,且采用TFTP方式,URL信譽特征庫文件的遠程路徑為tftp://192.168.0.10/url-1.0.2-en.dat。

<Sysname> system-view

[Sysname] url-reputation signature update tftp://192.168.0.10/url-1.0.2-en.dat

# 配置手動離線升級URL信譽特征庫,且采用本地方式,URL信譽特征庫文件的本地路徑為cfb0:/dpi/url-1.0.23-en.dat,當前工作路徑為cfa0:。

<Sysname> cd cfb0:/

<Sysname> system-view

[Sysname] url-reputation signature update dpi/url-1.0.23-en.dat

1.1.42  whitelist-only enable

whitelist-only enable命令用來開啟僅支持URL過濾白名單功能。

undo whitelist-only enable命令用來關閉僅支持URL過濾白名單功能。

【命令】

whitelist-only enable

undo whitelist-only enable

【缺省情況】

僅支持URL過濾白名單功能處於關閉狀態。

【視圖】

URL過濾策略視圖

【缺省用戶角色】

network-admin

context-admin

【使用指導】

當管理員隻希望通過配置白名單指定內部用戶可以訪問的網站,不想進行其他複雜配置時(例如配置URL過濾分類和URL過濾分類的動作),可以開啟本功能。

開啟本功能後,設備僅允許用戶訪問白名單中的網站,其他網站均不允許訪問。

【舉例】

# 在名為news的URL過濾策略中,開啟僅支持白名單功能。

<Sysname> system-view

[Sysname] url-filter policy news

[Sysname-url-filter-policy-news] whitelist-only enable

【相關命令】

·     add

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆 官網
聯係我們