- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
08-代理策略命令
本章節下載: 08-代理策略命令 (379.77 KB)
目 錄
1.1.2 app-proxy internal-server-certificate delete
1.1.3 app-proxy internal-server-certificate import
1.1.4 app-proxy ssl whitelist activate
1.1.5 app-proxy ssl whitelist predefined-hostname enable
1.1.6 app-proxy ssl whitelist user-defined-hostname
1.1.7 app-proxy ssl-decrypt-certificate delete
1.1.8 app-proxy ssl-decrypt-certificate import
1.1.9 app-proxy ssl-decrypt-certificate modify
1.1.12 default ssl-decrypt protect-mode
1.1.13 destination-ip object-group
1.1.16 display app-proxy imported internal-server-certificate
1.1.17 display app-proxy server-certificate
1.1.18 display app-proxy ssl whitelist hostname
1.1.19 display app-proxy ssl whitelist { ipv4 | ipv6 }
1.1.20 display app-proxy ssl-decrypt-certificate
1.1.21 display app-proxy-policy
1.1.22 reset app-proxy server-certificate
1.1.23 reset app-proxy ssl whitelist ip
action命令用來配置代理策略規則的動作。
undo action命令用來恢複缺省情況。
【命令】
action { no-proxy | ssl-decrypt | tcp-proxy }
undo action
【缺省情況】
代理策略規則動作為no-proxy。
【視圖】
代理策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
no-proxy:表示動作為不代理。
ssl-decrypt:表示動作為SSL解密。
tcp-proxy:表示動作為TCP代理。
【使用指導】
設備將根據代理策略規則的動作對命中規則的流量進行如下處理:
· 代理策略的動作配置為不代理時,設備將對命中策略的流量進行透傳。
· 代理策略的動作配置為SSL解密時,設備將對命中策略的流量進行SSL代理,並基於此對SSL流量進行解密,並對解密後的流量進行深度安全檢測和七層負載均衡。其中,SSL代理是基於TCP代理實現的。
· 代理策略的動作配置為TCP代理時,設備將對命中策略的流量進行TCP代理,為客戶端和服務器端之間提供TCP層隔離,可有效地攔截惡意連接和攻擊。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置代理策略規則rule1的動作為SSL解密。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-0-rule1] action ssl-decrypt
【相關命令】
· display app-proxy-policy
· rule
app-proxy internal-server-certificate delete命令用來刪除SSL代理時使用的內網服務器證書。
【命令】
app-proxy internal-server-certificate delete md5 md5-value
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
md5 md5-value:表示SSL代理時使用的內網服務器證書的MD5值。
【使用指導】
當服務器證書過期或不需要保護該服務器時,可通過本命令刪除導入的證書。
可通過display app-proxy imported internal-server-certificate命令查看內網服務器證書的MD5值。
【舉例】
# 刪除MD5值為c4f5f2c41ca1de4258d893c9887bf287的SSL代理時使用的內網服務器證書。
<Sysname> system-view
[Sysname] app-proxy internal-server-certificate delete md5 c4f5f2c41ca1de4258d893c9887bf287
【相關命令】
· display app-proxy imported internal-server-certificate
app-proxy internal-server-certificate import命令用來導入SSL代理時使用的內部服務器證書。
【命令】
app-proxy internal-server-certificate import { p12 | pem } filename filename
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
p12:表示導入的證書的格式為PKCS#12編碼。
pem:表示導入的證書的格式為PEM編碼。
filename filename:表示導入的證書文件的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
在SSL代理保護內網服務器的場景下,需要用戶導入受保護的內網服務器證書。導入證書後,設備將對證書進行解析,並生成一個CER格式的證書文件和一個密鑰文件。CER證書用於校驗服務器身份,密鑰文件用於後續SSL代理過程中加解密報文。設備將計算CER證書文件的MD5值,並將MD5值作為證書的唯一標識。
在SSL代理過程中,設備收到服務器發來的證書後,會先計算證書的MD5值,並與已導入的內網服務器證書的MD5值進行匹配。如果MD5值相同,則認為該證書可信,並使用導入的內網服務器證書與客戶端進行SSL協商;如果MD5值不同,則認為證書不可信,不進行SSL代理。
多次執行本命令,可導入多個內網服務器證書。若導入證書的MD5值已存在,則覆蓋MD5值相同的已有證書。
【舉例】
# 導入PKCS#12編碼格式的SSL代理時使用的內網服務器證書。
<Sysname> system-view
[Sysname] app-proxy internal-server-certificate import p12 filename server.p12
Password:
【相關命令】
· display app-proxy imported internal-server-certificate
app-proxy ssl whitelist activate命令用來激活SSL代理白名單的配置。
【命令】
app-proxy ssl whitelist activate
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
需要激活SSL代理域名白名單配置的場景如下:
· 對自定義SSL代理域名白名單進行添加、修改和刪除操作。
· 對預定義SSL代理域名白名單進行啟用或禁用操作。
僅支持在缺省Context下配置本命令。有關Context的詳細介紹,請參見“虛擬化技術配置指導”中的“Context”。
【舉例】
# 配置example.com加入SSL代理域名白名單,並激活配置。
<Sysname> system-view
[Sysname] app-proxy ssl whitelist user-defined-hostname example.com
To activate the setting, execute app-proxy ssl whitelist activate.
[Sysname] app-proxy ssl whitelist activate
【相關命令】
· app-proxy ssl whitelist predefined-hostname enable
· app-proxy ssl whitelist user-defined-hostname
app-proxy ssl whitelist predefined-hostname enable命令用來啟用預定義SSL代理域名白名單。
undo app-proxy ssl whitelist predefined-hostname enable命令用來禁用預定義SSL代理域名白名單。
【命令】
app-proxy ssl whitelist predefined-hostname { chrome-hsts [ hostname ] | hostname } enable
undo app-proxy ssl whitelist predefined-hostname { chrome-hsts [ hostname ] | hostname } enable
【缺省情況】
預定義SSL代理域名白名單處於啟用狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
chrome-hsts [ host-name ]:表示Chrome瀏覽器強製使用HTTPS方式訪問的域名。host-name,表示域名,為1~63個字符的字符串,不區分大小寫。當名稱中包含空格時,需要使用雙引號將名稱括起來”例如"user for test"。若不指定本參數,則表示所有Chrome-hsts類型的域名。
host-name:表示不被Chrome瀏覽器強製使用HTTPS方式訪問的域名,為1~63個字符的字符串,不區分大小寫。當名稱中包含空格時,需要使用雙引號將名稱括起來”例如"user for test"。
【使用指導】
HSTS(HTTP Strict Transport Security)國際互聯網工程組織IETF正在推行一種新的Web安全協議。HSTS的作用是強製客戶端(如瀏覽器)使用HTTPS與服務器創建連接。當chrome-hsts白名單整體處於禁用狀態時,單獨啟用或禁用指定的chrome-hsts域名不生效。
當chrome-hsts白名單整體處於開啟狀態時,可單獨啟用或禁用指定的chrome-hsts域名。
僅支持在缺省Context下配置本命令。有關Context的詳細介紹,請參見“虛擬化技術配置指導”中的“Context”。
【舉例】
# 整體禁用預定義SSL代理域名白名單中的chrome-hsts。
<Sysname> system-view
[Sysname] undo app-proxy ssl whitelist predefined-hostname chrome-hsts enable
To activate the setting, execute app-proxy ssl whitelist activate.
# 禁用預定義SSL代理域名白名單中的12306.cn。
<Sysname> system-view
[Sysname] undo app-proxy ssl whitelist predefined-hostname 12306.cn enable
To activate the setting, execute app-proxy ssl whitelist activate.
【相關命令】
· app-proxy ssl whitelist activate
· display app-proxy ssl whitelist
app-proxy ssl whitelist user-defined-hostname命令用來添加自定義SSL代理域名白名單。
undo app-proxy ssl whitelist user-defined-hostname命令用來刪除自定義SSL代理域名白名單。
【命令】
app-proxy ssl whitelist user-defined-hostname host-name
undo app-proxy ssl whitelist user-defined-hostname { host-name | all }
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
host-name:表示服務器域名,為1~63個字符的字符串,不區分大小寫。當名稱中包含空格時,需要使用雙引號將名稱括起來,例如"user for test"。
all:表示刪除自定義SSL代理域名白名單中的所有域名。
【使用指導】
設備使用host-name與SSL請求報文中攜帶的服務器證書的“DNS Name”或“Common Name”字段進行匹配,隻要含有host-name的域名均會匹配成功。若匹配成功,則透傳該SSL連接。
配置本命令後需要執行app-proxy ssl whitelist activate命令,使配置生效。
僅支持在缺省Context下配置本命令。有關Context的詳細介紹,請參見“虛擬化技術配置指導”中的“Context”。
【舉例】
# 添加名為example.com的自定義SSL代理域名白名單,並提交配置。
<Sysname> system-view
[Sysname] app-proxy ssl whitelist user-defined-hostname example.com
To activate the setting, execute app-proxy ssl whitelist activate.
[Sysname] app-proxy ssl whitelist activate
【相關命令】
· app-proxy ssl whitelist activate
· display app-proxy ssl whitelist
app-proxy ssl-decrypt-certificate delete命令用來刪除SSL解密證書。
【命令】
app-proxy ssl-decrypt-certificate delete filename filename
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
filename:表示SSL解密證書的文件名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
如果刪除SSL解密證書,設備將不能簽發SSL代理服務器證書發送到客戶端,SSL代理連接失敗,設備將直接透傳報文。
當證書成功導入設備後,文件類型會被改為CER格式,刪除證書時需要將指定的證書後綴名改為.cer。
【舉例】
# 刪除SSL解密證書。
<Sysname> system-view
[Sysname] app-proxy ssl-decrypt-certificate delete filename aaa.cer
【相關命令】
· display app-proxy ssl-decrypt-certificate
app-proxy ssl-decrypt-certificate import命令用來導入SSL解密證書。
【命令】
app-proxy ssl-decrypt-certificate import { trusted | untrusted } { pem | p12 } filename filename
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
trusted:表示SSL解密證書可以用於簽發標識為可信的SSL代理服務器證書。用於傳遞真實服務器證書合法的信息給客戶端。
untrusted:表示SSL解密證書可以用於簽發標識為不可信的SSL代理服務器證書。客戶端不信任的CA證書。用於傳遞真實服務器證書非法的信息給客戶端,讓用戶感知到可能存在的安全風險。
pem:表示導入的證書的格式為PEM編碼。
P12:表示導入的證書的格式為PKCS#12編碼。
filename filename:表示導入的證書文件的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
導入SSL解密證書時需要為其標識可以簽發的SSL代理服務器證書的可信度。
當設備接收到服務器證書後,將代替客戶端對服務器的合法性進行驗證,並使用具備簽發不同標識功能的SSL解密證書簽發不同標識的SSL代理服務器證書向客戶端傳遞服務器的合法性信息:
· 當服務器合法時:設備將使用可簽發可信標識的SSL解密證書簽發一本可信SSL代理服務器證書,向客戶端傳遞此服務器合法的信息。
· 當服務器不合法時:設備將使用可簽發不可信標識的SSL解密證書簽發一本不可信SSL代理服務器證書,向客戶端傳遞此服務器不合法的信息。
設備上隻能存在一份可信SSL解密證書和一份不可信SSL解密證書,多次執行本命令,後續導入的可信或者不可信證書會覆蓋原有的證書。
同一本 SSL解密證書僅可導入一次,如果需要為同一本證書標識兩種可信度,可執行app-proxy ssl-decrypt-certificate modify命令為證書添加可信度標識。
需要在客戶端瀏覽器上安裝並信任SSL解密證書。防止設備啟用SSL解密功能後,客戶端通過瀏覽器訪問HTTPS類網站時,會彈出服務器證書不是由受信任機構頒發的告警信息,甚至有些應用程序不提示告警信息就直接中斷了連接,影響用戶的正常使用。
默認情況下,火狐瀏覽器不共享係統中的證書庫,如果已經在其他瀏覽器上導入SSL卸載證書,則可以通過修改火狐瀏覽器中的高級設置,使其共享係統中的證書庫,不再單獨導入證書,具體操作步驟如下:
在地址欄中輸入:about:config,搜索框中輸入:security.enterprise_roots.enabled,雙擊選中的條目,或者單擊鼠標右鍵,選擇切換,修改其值為true。
導入成功後,設備將修改證書文件類型為CER格式。
【舉例】
# 導入PKCS#12編碼格式的用於簽發可信SSL代理服務器證書的SSL解密證書。
<Sysname> system-view
[Sysname] app-proxy ssl-decrypt-certificate import trusted p12 filename aaa.p12
Password:
【相關命令】
· display app-proxy ssl-decrypt-certificate certificate
app-proxy ssl-decrypt-certificate modify命令用來添加SSL解密證書可簽發SSL代理服務器證書的可信度。
undo app-proxy ssl-decrypt-certificate modify命令用來刪除SSL解密證書可簽發SSL代理服務器證書的可信度。
【命令】
app-proxy ssl-decrypt-certificate modify { trusted | untrusted } filename filename
undo app-proxy ssl-decrypt-certificate modify { trusted | untrusted }
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
trusted:表示SSL解密證書可以用於簽發標識為可信的SSL代理服務器證書。用於傳遞真實服務器證書合法的信息給客戶端。
untrusted:表示SSL解密證書可以用於簽發標識為不可信的SSL代理服務器證書。客戶端不信任的CA證書。用於傳遞真實服務器證書非法的信息給客戶端,讓用戶感知到可能存在的安全風險。
filename:表示SSL解密證書文件的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
本命令可用於為同一本SSL解密證書添加可簽發SSL代理服務器證書的可信度,即使用一本SSL解密證書同時簽發可信和不可信的SSL代理服務器證書。
為SSL解密證書添加指定的可信度後,原指定可信度的證書將被刪除。
刪除SSL解密證書指定的可信度後,SSL解密證書不可簽發指定可信度的SSL代理服務器證書,但SSL解密證書仍然保存在設備中,不會被刪除,管理員可再次為SSL解密證書添加可信度。
當SSL解密證書成功導入設備後,文件類型會被改為CER格式,修改證書時需要將指定的證書後綴名改為.cer。
【舉例】
# 修改用於簽發SSL代理服務器證書的CA證書為可信證書。
<Sysname> system-view
[Sysname] app-proxy ssl-decrypt-certificate modify trusted filename aaa.cer
[Sysname] A trusted CA certificate already exists. Overwrite the existing trusted CA certificate with the specified certificate? [Y/N]:
【相關命令】
· display app-proxy ssl-decrypt-certificate
app-proxy-policy命令用來進入代理策略視圖。
undo app-proxy-policy命令用來刪除所有代理策略配置。
【命令】
app-proxy-policy
undo app-proxy-policy
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
目前僅支持IPv4代理策略。
【舉例】
# 進入代理策略視圖。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy]
【相關命令】
· display app-proxy-policy
default action命令用來配置代理策略的缺省動作。
undo default action命令用來恢複缺省情況。
【命令】
default action { no-proxy | ssl-decrypt | tcp-proxy }
undo default action
【缺省情況】
缺省動作為no-proxy。
【視圖】
代理策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
no-proxy:表示動作為不代理。
ssl-decrypt:表示動作為SSL解密。
tcp-proxy:表示動作為TCP代理。
【使用指導】
配置此命令後,當報文沒有匹配上代理策略中的規則時,設備將根據缺省動作對此報文進行處理。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置代理策略的缺省動作為SSL解密。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] default action ssl-decrypt
default ssl-decrypt protect-mode命令用來配置代理策略缺省動作為SSL解密時的SSL解密防護類型。
undo default ssl-decrypt protect-mode命令用來恢複缺省情況。
【命令】
default ssl-decrypt protect-mode { client | server }
undo default ssl-decrypt protect-mode
【缺省情況】
缺省SSL解密防護類型為client。
【視圖】
代理策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
client:表示SSL解密防護類型為客戶端。
server:表示SSL解密防護類型為服務器。
【使用指導】
SSL解密功能支持如下防護類型:
· 客戶端:用於保護內網客戶端的場景,可與DPI深度安全功能配合使用。設備解密報文後再對報文進行DPI深度安全業務的檢測,防止內網客戶端受到外部惡意網站的攻擊。在此場景下,設備需要使用代理服務器證書與客戶端進行SSL協商。
· 服務器:用於保護內網服務器的場景,可與DPI深度安全功能配合使用。設備解密報文後再對報文進行DPI深度安全業務的檢測,防止外部惡意流量對內網服務器進行攻擊。在此場景下,設備需要使用導入的內網服務器證書與客戶端進行SSL協商。
有關DPI深度安全功能的詳細介紹,請參見“DPI深度安全”中的“DPI深度安全概述”。
缺省情況下,當代理策略缺省動作為SSL解密時,SSL解密功能處於保護內網客戶端的場景,用戶可根據實際使用場景修改SSL解密防護類型。
請務必根據不同的使用場景正確配置SSL解密功能的防護類型,並配置相應類型的證書與客戶端進行SSL協商。
本命令僅在代理策略缺省動作為SSL解密時生效。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置代理策略缺省動作為SSL解密時的SSL解密防護類型為server。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] default ssl-decrypt protect-mode server
【相關命令】
· display app-proxy-policy
destination-ip object-group命令用來配置作為代理策略規則過濾條件的目的IP地址對象組。
undo destination-ip object-group命令用來刪除作為代理策略規則過濾條件的目的IP地址對象組。
【命令】
destination-ip object-group object-group-name
undo destination-ip object-group [ object-group-name ]
【缺省情況】
未配置作為代理策略規則過濾條件的目的IP地址對象組。
【視圖】
代理策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
object-group-name:表示目的地址對象組的名稱,為1~63個字符的字符串,不區分大小寫,且不能為字符串any。
【使用指導】
多次執行本命令,可配置多個目的IP地址作為代理策略規則的過濾條件。隻要一個目的IP地址匹配成功,則認為目的IP地址過濾條件匹配成功。
指定的對象組必須已存在,若指定一個不存在的對象組,配置將下發失敗。
使用undo命令時若不指定本參數,則表示刪除所有目的IP地址對象組過濾條件。有關地址對象組的詳細介紹,請參見“安全配置指導”中的“對象組”。
【舉例】
# 配置作為代理策略規則rule1過濾條件的目的地址對象組為client1和client2。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-0-rule1] destination-ip object-group client1
[Sysname-app-proxy-policy-0-rule1] destination-ip object-group client2
【相關命令】
· display app-proxy-policy
· object-group(安全命令參考/對象組)
destination-zone命令用來配置作為代理策略規則過濾條件的目的安全域。
undo destination-zone命令用來刪除作為代理策略規則過濾條件的目的安全域。
【命令】
destination-zone destination-zone-name
undo destination-zone [ destination-zone-name ]
【缺省情況】
未配置作為代理策略規則過濾條件的目的安全域。
【視圖】
代理策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
destination-zone-name:表示目的安全域的名稱,為1~31個字符的字符串,不區分大小寫,且不能為字符串any。
【使用指導】
多次執行本命令,可配置多個目的安全域作為代理策略規則的過濾條件。隻要一個目的安全域匹配成功,則認為目的安全域過濾條件匹配成功。
如果指定的安全域不存在,配置可以成功下發,但不生效。
使用undo命令時若不指定此參數,則表示刪除此規則中所有目的安全域類型的過濾條件。有關安全域的詳細介紹,請參見“基礎配置指導”中的“安全域”。
【舉例】
# 配置作為代理策略規則rule1過濾條件的目的安全域為trust和server。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-0-rule1] destination-zone trust
[Sysname-app-proxy-policy-0-rule1] destination-zone server
【相關命令】
· display app-proxy-policy
· security-zone(安全命令參考/安全域)
disable命令用來禁用代理策略規則。
undo disable命令用來啟用代理策略規則。
【命令】
disable
undo disable
【缺省情況】
代理策略規則處於啟用狀態。
【視圖】
代理策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
禁用代理策略規則後,流量不會與代理策略規則進行匹配。
多條規則處於啟用狀態時,流量會按序匹配這些規則,一旦匹配成功就按照當前規則所配置動作處理。
【舉例】
# 在代理策略規則視圖下,禁用代理策略規則rule1。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-0-rule1] disable
【相關命令】
· rule
display app-proxy imported internal-server-certificate命令用來顯示導入的SSL代理時使用的內網服務器證書。
【命令】
display app-proxy imported internal-server-certificate
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【使用指導】
可通過本命令查看導入的內網服務器證書信息,包括證書的MD5值、數據和簽名算法等。
【舉例】
# 顯示導入的SSL代理時使用的內網服務器證書。
<Sysname> display app-proxy imported internal-server-certificate
Certificate Md5: c4f5f2c41ca1de4258d893c9887bf287
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
aa:31:f8:3d:06:b0:9b: Signature Algorithm: sha1WithRSAEncryption
Issuer: C=CN, ST=bj, L=cp, O=dpi, OU=sec, CN=trustca
Validity
Not Before: Sep 7 12:00:43 2017 GMT
Not After : Aug 28 12:00:43 2057 GMT
Subject: C=CN, ST=bj, L=cp, O=dpi, OU=sec, CN=trustca
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:ec:d7:73:af:03:07:07:86:e6:31:4d:e5:32:09:
20:7f:93:19:20:b2:25:c4:cc:32:8e:e4:29:fd:e0:
30:48:4c:8d:0a:83:66:28:af:6a:e0:69:81:08:58:
ca:cf:e4:3d:5a:e8:69:92:67:71:e3:c0:66:87:8e:
16:cc:6a:89:1d:d4:22:5f:93:14:47:bd:39:60:44:
3c:ee:0a:d1:8d:d4:16:84:65:e9:b7:b1:0f:6d:af:
6e:ef:21:b5:5a:02:4f:63:46:6e:8b:73:b5:95:70:
8a:ed:5d:23:8b:d8:0e:45:2d:8b:52:ab:34:6d:3b:
d5:85:ae:1c:d4:26:6e:fb:2c:1e:18:db:55:22:96:
d8:1f:1a:33:e9:ff:1f:8c:be:28:9d:de:77:d8:9b:
a7:27:0f:7e:e2:52:3e:bd:02:ee:c3:06:93:d0:16:
b0:c7:96:bb:c8:b1:96:8d:ee:ca:6e:76:63:1e:b1:
b6:fb:31:bf:d0:13:66:ad:f6:97:cf:0b:37:f7:6c:
f8:46:b6:76:f1:70:6f:24:6c:92:a6:dd:c2:3b:cf:
3c:35:c7:74:60:dd:db:a3:bf:70:b4:55:05:4b:d7:
cd:dd:c1:1b:59:0d:41:e7:95:5a:79:44:9d:b0:8b:
a7:f2:f4:67:0e:0c:4a:b6:35:97:1e:e6:99:88:fc:
c8:e9
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Alternative Name:
IP Address:1.1.1.1, DNS:trustca, email:[email protected]
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Key Usage: critical
Certificate Sign, CRL Sign
X509v3 Subject Key Identifier:
D4:35:A8:66:63:03:04:2B:CA:4E:91:06:11:F5:72:1C:26:E0:BE:33
Netscape Cert Type:
SSL CA
Netscape Comment:
example comment extension
Signature Algorithm: sha1WithRSAEncryption
b9:d2:eb:98:bd:f9:8d:7e:03:a8:0e:b4:29:cf:3a:a1:fd:f4:
2a:fa:56:1c:cf:40:a4:9e:7f:5a:15:6b:88:8a:dd:86:d2:03:
c3:38:49:7a:11:09:78:81:8c:8f:0a:3b:fb:d6:60:59:c4:0b:
12:0e:38:b0:92:f3:2e:b5:96:ab:d3:a4:2d:cb:ef:fd:a0:97:
d0:63:43:8e:91:1f:f1:fc:39:c8:cf:e5:ee:4b:e7:8c:8b:f8:
3b:ff:5e:dc:00:df:5b:2f:98:53:f2:c7:da:fa:b8:2e:92:dd:
33:6a:80:df:0e:22:62:62:5d:2f:6c:eb:4c:80:c4:56:c9:00:
01:a6:82:60:e4:32:69:f7:7b:8f:6c:93:e5:c3:64:65:fe:aa:
e1:0b:10:92:bd:ea:2f:2f:e5:b6:fd:b5:5b:df:34:c8:5d:5a:
91:9a:0d:89:10:76:b8:ed:28:ef:6a:c4:7b:48:d7:88:57:7c:
cf:4e:c8:38:84:ad:54:6d:3f:40:a0:38:d7:36:61:23:7a:82:
62:34:41:3d:cc:b2:ee:4a:23:f1:7d:12:e2:23:26:10:df:c8:
a1:6f:00:00:b7:c2:1f:ce:1b:63:60:e0:63:33:e0:59:31:78:
bc:27:99:b6:27:40:95:da:1b:37:07:75:2f:99:97:56:33:f5:
4f:ad:14:31
圖1-1 display app-proxy imported internal-server-certificate命令顯示信息描述表
|
字段 |
描述 |
|
Certificate Md5 |
證書的MD5值 |
|
Certificate |
證書的信息 |
|
Data |
證書的數據 |
|
Version |
證書的版本 |
|
Serial Number |
證書的序列號 |
|
Signature Algorithm |
證書的簽名算法 |
|
Issuer |
證書的頒發者 |
|
Validity |
證書的有效期 |
|
Subject |
證書的主題 |
|
Subject Public Key Info |
證書的主題公鑰信息 |
|
Public Key Algorithm |
公鑰算法 |
|
Public-Key |
公鑰信息 |
|
Modulus |
密鑰模數 |
|
Exponent |
密鑰指數 |
|
X509v3 extensions |
X.509v3證書擴展項 |
|
X509v3 Subject Alternative Name |
主題的備用名稱 |
|
IP Address |
實體的IP地址 |
|
DNS |
實體的DNS名 |
|
|
實體的電子郵箱地址 |
|
X509v3 Basic Constraints |
基本約束,指出一個證書是否是CA證書 |
|
X509v3 Key Usage |
密鑰用法,指出有效用途 |
|
X509v3 Subject Key Identifier |
主題密鑰標識符 |
|
Netscape Cert Type |
Netscape證書類型,可以用於指定網景軟件的密鑰用途 |
|
Netscape Comment |
Netscape注釋,在某些瀏覽器中可以用於展示注釋信息 |
【相關命令】
· app-proxy server-certificate import
· app-proxy server-certificate delete
display app-proxy server-certificate命令用來顯示客戶端訪問的服務器的證書。
【命令】
display app-proxy server-certificate [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
slot slot-number:顯示指定成員設備上客戶端訪問的服務器的證書,slot-number表示設備在IRF中的成員編號。不指定該參數時,顯示所有成員設備上客戶端訪問的服務器的證書。
【使用指導】
可通過本命令查看設備作為SSL代理客戶端時接收到的客戶端訪問的服務器證書。
【舉例】
# 顯示指定slot上的客戶端訪問的服務器的證書。
<Sysname> display app-proxy server-certificate slot 1
Slot1:
Total server certificates: --
Certificate info: /cn=h3c-https-self-signed-certificate-13a73249669cc70a
Proxy count: 198
Most recent proxy time: 2017/10/25 10:7:7
First proxy at: 2017/10/23 15:52:59
圖1-2 display app-proxy ssl certificate命令顯示信息描述表
|
字段 |
描述 |
|
Total server certificates |
客戶端訪問的服務器證書總數 |
|
Certificate info |
證書的一些關鍵信息,取值包括: · Certificate Info: example.com:表示證書中有“DNS Name”字段,example.com是證書的“DNS Name”。 · Certificate Info: /cn=example.com:表示證書中無“DNS Name”字段,example.com是證書的“Common Name”。 |
|
Proxy count |
進行SSL代理的次數 |
|
Most recent proxy time |
最近一次進行SSL代理的時間 |
|
First proxy at |
第一次進行SSL代理的時間 |
【相關命令】
· reset app-proxy server-certificate
display app-proxy ssl whitelist hostname命令用來顯示SSL代理域名白名單。
【命令】
display app-proxy ssl whitelist hostname { predefined | user-defined }
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
user-defined:表示顯示自定義SSL代理域名白名單。
predefined:表示顯示預定義SSL代理域名白名單。
【使用指導】
僅支持在缺省Context下配置本命令。有關Context的詳細介紹,請參見“虛擬化技術配置指導”中的“Context”。
【舉例】
# 顯示自定義SSL代理域名白名單。
<Sysname> display app-proxy ssl whitelist hostname user-defined
Hostname
example1.com
example2.com
# 顯示預定義SSL代理域名白名單。
<Sysname> display app-proxy ssl whitelist hostname predefined
Chrome HSTS-defined hostnames:
status Hostname
enabled 2mdn.net
enabled accounts.firefox.com
enabled aclu.org
enabled activiti.alfresco.com
enabled adamkostecki.de
enabled addvocate.com
enabled adsfund.org
enabled aie.de
enabled airbnb.com
enabled aladdinschools.appspot.com
enabled alexsexton.com
enabled alpha.irccloud.com
enabled android.com
enabled ansdell.net
enabled anycoin.me
enabled apadvantage.com
enabled api.intercom.io
enabled api.lookout.com
enabled api.mega.co.nz
enabled api.recurly.com
enabled api.simple.com
---- More ----
圖1-3 display app-proxy ssl whitelist命令顯示信息描述表
|
字段 |
描述 |
|
Chrome HSTS-defined hostnames |
表示Chrome瀏覽器強製使用HTTPS方式訪問的域名 |
|
Hostname |
表示域名 |
|
Status |
表示域名白名單的生效狀態,取值包括: · Enabled:表示啟用 · Disabled:表示禁用 |
【相關命令】
· app-proxy ssl whitelist predefined-hostname enable
· app-proxy ssl whitelist user-defined-hostname
display app-proxy ssl whitelist { ipv4 | ipv6 }命令用來顯示SSL代理IP地址白名單。
【命令】
display app-proxy ssl whitelist { ipv4 | ipv6 } { all [ slot slot-number ] | ip-address }
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
ipv4:表示IPv4地址。
ipv6:表示IPv6地址。
all:顯示SSL代理IP地址白名單的所有IP地址。
ip-address:顯示SSL代理IP地址白名單中指定的IP地址。
slot slot-number:顯示指定成員設備上SSL代理IP地址白名單,slot-number表示設備在IRF中的成員編號。不指定該參數時,顯示所有成員設備上SSL代理IP地址白名單。
【舉例】
# 顯示指定slot上的所有SSL代理IPv4地址白名單。
<Sysname> display app-proxy ssl whitelist ipv4 all slot 1
Slot 1:IPv4 address Port
10.1.1.1 443
10.10.1.1 443
圖1-4 display app-proxy ssl whitelist ip命令顯示信息描述表
|
字段 |
描述 |
|
IPv4 address |
SSL代理白名單的IPv4地址 |
|
IPv6 address |
SSL代理白名單的IPv6地址 |
|
Port |
SSL代理白名單的IP地址對應的端口號 |
display app-proxy ssl-decrypt-certificate命令用來顯示SSL解密證書。
【命令】
display app-proxy ssl-decrypt-certificate
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【舉例】
# 顯示SSL解密證書。
<Sysname> display app-proxy ssl-decrypt-certificate
Trusted:
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
aa:31:f8:3d:06:b0:9b: Signature Algorithm: sha1WithRSAEncryption
Issuer: C=CN, ST=bj, L=cp, O=dpi, OU=sec, CN=trustca
Validity
Not Before: Sep 7 12:00:43 2017 GMT
Not After : Aug 28 12:00:43 2057 GMT
Subject: C=CN, ST=bj, L=cp, O=dpi, OU=sec, CN=trustca
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:ec:d7:73:af:03:07:07:86:e6:31:4d:e5:32:09:
20:7f:93:19:20:b2:25:c4:cc:32:8e:e4:29:fd:e0:
30:48:4c:8d:0a:83:66:28:af:6a:e0:69:81:08:58:
ca:cf:e4:3d:5a:e8:69:92:67:71:e3:c0:66:87:8e:
16:cc:6a:89:1d:d4:22:5f:93:14:47:bd:39:60:44:
3c:ee:0a:d1:8d:d4:16:84:65:e9:b7:b1:0f:6d:af:
6e:ef:21:b5:5a:02:4f:63:46:6e:8b:73:b5:95:70:
8a:ed:5d:23:8b:d8:0e:45:2d:8b:52:ab:34:6d:3b:
d5:85:ae:1c:d4:26:6e:fb:2c:1e:18:db:55:22:96:
d8:1f:1a:33:e9:ff:1f:8c:be:28:9d:de:77:d8:9b:
a7:27:0f:7e:e2:52:3e:bd:02:ee:c3:06:93:d0:16:
b0:c7:96:bb:c8:b1:96:8d:ee:ca:6e:76:63:1e:b1:
b6:fb:31:bf:d0:13:66:ad:f6:97:cf:0b:37:f7:6c:
f8:46:b6:76:f1:70:6f:24:6c:92:a6:dd:c2:3b:cf:
3c:35:c7:74:60:dd:db:a3:bf:70:b4:55:05:4b:d7:
cd:dd:c1:1b:59:0d:41:e7:95:5a:79:44:9d:b0:8b:
a7:f2:f4:67:0e:0c:4a:b6:35:97:1e:e6:99:88:fc:
c8:e9
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Alternative Name:
IP Address:1.1.1.1, DNS:trustca, email:[email protected]
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Key Usage: critical
Certificate Sign, CRL Sign
X509v3 Subject Key Identifier:
D4:35:A8:66:63:03:04:2B:CA:4E:91:06:11:F5:72:1C:26:E0:BE:33
Netscape Cert Type:
SSL CA
Netscape Comment:
example comment extension
Signature Algorithm: sha1WithRSAEncryption
b9:d2:eb:98:bd:f9:8d:7e:03:a8:0e:b4:29:cf:3a:a1:fd:f4:
2a:fa:56:1c:cf:40:a4:9e:7f:5a:15:6b:88:8a:dd:86:d2:03:
c3:38:49:7a:11:09:78:81:8c:8f:0a:3b:fb:d6:60:59:c4:0b:
12:0e:38:b0:92:f3:2e:b5:96:ab:d3:a4:2d:cb:ef:fd:a0:97:
d0:63:43:8e:91:1f:f1:fc:39:c8:cf:e5:ee:4b:e7:8c:8b:f8:
3b:ff:5e:dc:00:df:5b:2f:98:53:f2:c7:da:fa:b8:2e:92:dd:
33:6a:80:df:0e:22:62:62:5d:2f:6c:eb:4c:80:c4:56:c9:00:
01:a6:82:60:e4:32:69:f7:7b:8f:6c:93:e5:c3:64:65:fe:aa:
e1:0b:10:92:bd:ea:2f:2f:e5:b6:fd:b5:5b:df:34:c8:5d:5a:
91:9a:0d:89:10:76:b8:ed:28:ef:6a:c4:7b:48:d7:88:57:7c:
cf:4e:c8:38:84:ad:54:6d:3f:40:a0:38:d7:36:61:23:7a:82:
62:34:41:3d:cc:b2:ee:4a:23:f1:7d:12:e2:23:26:10:df:c8:
a1:6f:00:00:b7:c2:1f:ce:1b:63:60:e0:63:33:e0:59:31:78:
bc:27:99:b6:27:40:95:da:1b:37:07:75:2f:99:97:56:33:f5:
4f:ad:14:31
圖1-5 display app-proxy pki certificate命令顯示信息描述表
|
字段 |
描述 |
|
Trusted |
證書的可信度,取值包括: · Trusted:客戶端信任的證書 · Untrusted:客戶端不信任的證書 |
|
Certificate |
證書的信息 |
|
Data |
證書的數據 |
|
Version |
證書的版本 |
|
Serial Number |
證書的序列號 |
|
Signature Algorithm |
證書的簽名算法 |
|
Issuer |
證書的頒發者 |
|
Validity |
證書的有效期 |
|
Subject |
證書的主題 |
|
Subject Public Key Info |
證書的主題公鑰信息 |
|
Public Key Algorithm |
公鑰算法 |
|
Public-Key |
公鑰信息 |
|
Modulus |
密鑰模數 |
|
Exponent |
密鑰指數 |
|
X509v3 extensions |
X.509v3證書擴展項 |
|
X509v3 Subject Alternative Name |
主題的備用名稱 |
|
IP Address |
實體的IP地址 |
|
DNS |
實體的DNS名 |
|
|
實體的電子郵箱地址 |
|
X509v3 Basic Constraints |
基本約束,指出一個證書是否是CA證書 |
|
X509v3 Key Usage |
密鑰用法,指出有效用途 |
|
X509v3 Subject Key Identifier |
主題密鑰標識符 |
|
Netscape Cert Type |
Netscape證書類型,可以用於指定網景軟件的密鑰用途 |
|
Netscape Comment |
Netscape注釋,在某些瀏覽器中可以用於展示注釋信息 |
display app-proxy-policy命令用來顯示代理策略的配置信息。
【命令】
display app-proxy-policy [ rule rule-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
rule rule-name:表示代理策略規則的名稱,為1~63個字符的字符串,不區分大小寫。若不指定本參數,則顯示所有代理策略規則的配置。
【舉例】
# 顯示代理策略的配置信息。
<Sysname> display app-proxy-policy
Default action: ssl-decrypt(Protect mode:server)
Rule with ID 0 and name rule0:
Action: ssl-decrypt
Status:Enabled
Protect mode: server
Match criteria:
Source security zones: trust
Destination security zones: trust
Source IP address object groups: srcobj
Destination IP address object groups: destobj
Service object groups: serviceobj
Users: user1
User groups: usergroup1
Rule with ID 2 and name rule2:
Action: ssl-decrypt
Status:Enabled
Match criteria:
source-zone: trust
destination-zone: Untrust
Protection mode: Client
圖1-6 display app-proxy-policy命令顯示信息描述表
|
字段 |
描述 |
|
Default action |
表示代理策略的缺省動作,取值包括: · no-proxy:表示不代理 · ssl-decrypt:表示SSL解密 · tcp-proxy:表示TCP代理 |
|
(Protect mode:XXX) |
表示代理策略缺省動作為SSL解密時的SSL解密防護類型,取值包括: · client:表示SSL解密防護類型為客戶端 · server:表示SSL解密防護類型為服務器 該字段僅在代理策略的缺省動作為SSL解密時顯示 |
|
Rule with ID rule-id and name rule-name |
表示代理策略規則,ID為rule-id,名稱為rule-name |
|
Action |
對匹配上代理策略規則的報文執行動作,取值包括: · no-proxy:表示不代理 · ssl-decrypt:表示SSL解密 · tcp-proxy:表示TCP代理 |
|
Protect mode |
表示SSL解密防護類型,取值包括: · client:表示SSL解密防護類型為客戶端 · server:表示SSL解密防護類型為服務器 |
|
Source security zones |
表示規則過濾條件中的源安全域名稱 |
|
Destination security zones |
表示規則過濾條件中的目的安全域名稱 |
|
Source IP address object groups |
表示規則過濾條件中的源IP地址對象組名稱 |
|
Destination IP address object groups |
表示規則過濾條件中的目的IP地址對象組名稱 |
|
Service object groups |
表示規則過濾條件中的服務對象組名稱 |
|
Users |
表示規則過濾條件中的用戶名稱 |
|
User groups |
表示規則過濾條件中的用戶組名稱 |
reset app-proxy server-certificate命令用來清除客戶端訪問的服務器的證書。
【命令】
reset app-proxy server-certificate
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【舉例】
# 清除客戶端訪問的服務器的證書。
<Sysname> reset app-proxy server-certificate
【相關命令】
· display app-proxy server-certificate
reset app-proxy ssl whitelist ip命令用來清除SSL代理IP地址白名單。
【命令】
reset app-proxy ssl whitelist ip
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【舉例】
# 清除SSL代理IP地址白名單。
<Sysname> reset app-proxy ssl whitelist ip
【相關命令】
· display app-proxy ssl whitelist ip
rule命令用來創建代理策略規則,並進入代理策略規則視圖。如果指定的代理策略規則已經存在,則直接進入代理策略規則視圖。
undo rule命令用來刪除指定的代理策略規則。
【命令】
rule { rule-id | [ rule-id ] name rule-name }
undo rule { rule-id | name rule-name }
【視圖】
代理策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
rule-id:表示代理策略規則的編號,取值範圍為1~65535。若未指定本參數,係統將從1開始,自動分配一個大於現有最大編號的最小編號,步長為1。如果現有最大編號已經達到規格上限,則選擇當前未使用的最小編號作為新的編號。
name rule-name:表示代理策略規則的名稱,為1~63個字符的字符串,不區分大小寫,創建規則時必須配置名稱,規則名稱不能為default。
【舉例】
# 創建名為rule1的代理策略規則。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-1-rule1]
【相關命令】
· display app-proxy-policy
rule move id命令用來移動代理策略規則。
【命令】
rule move id rule-id before insert-rule-id
【視圖】
代理策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
rule-id:表示待移動代理策略規則編號,取值範圍為1~65535。
before:表示將rule-id移動到insert-rule-id之前。
insert-rule-id:表示移動到指定編號的規則之前,取值範圍為1~65536。配置最大編號時,表示待移動代理策略規則移動到所有規則之後。
【使用指導】
如果待移動規則與參考規則相同或不存在,則不執行任何移動操作。
【舉例】
# 移動代理策略規則5到規則2之前。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule move id 5 before 2
【相關命令】
· rule
rule move name命令用來使用規則名稱移動代理策略規則的位置。
【命令】
rule move name rule-name1 { before [ rule-name2 ] | after rule-name2 }
【視圖】
代理策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
rule-name1:表示待移動代理策略規則名稱。
before:表示將rule-name1移動到rule-name2之前。如果未指定rule-name2,則表示將rule-name1移動到所有規則之前。
after:表示rule-name1移動到rule-name2之後。
rule-name2:表示目的代理策略規則名稱。
【使用指導】
如果待移動規則與目的規則相同或不存在,則不執行任何移動操作。
【舉例】
# 移動代理策略規則a到規則b之前。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule move name a before b
service object-group命令用來配置作為代理策略規則過濾條件的服務對象組。
undo service object-group命令用來刪除作為代理策略規則過濾條件的服務對象組。
【命令】
service object-group{ object-group-name }
undo service object-group [ object-group-name ]
【缺省情況】
未配置作為代理策略規則過濾條件的服務對象組。
【視圖】
代理策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
object-group-name:服務對象組的名稱,為1~63個字符的字符串,不區分大小寫,且不能為any。
【使用指導】
多次執行本命令,可配置多個服務對象組作為代理策略規則的過濾條件。隻要一個服務對象組匹配成功,則認為服務對象組過濾條件匹配成功。
指定的服務對象組必須已存在,若指定一個不存在的對象組,配置將下發失敗。
使用undo命令時若不指定任何參數,則表示刪除此規則中所有服務類型的過濾條件。
【舉例】
# 配置作為代理策略規則rule1過濾條件的服務對象組為ftp。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-0-rule1] service object-group ftp
【相關命令】
· display app-proxy-policy
· object-group(安全命令參考/對象組)
source-ip object-group命令用來配置作為代理策略規則過濾條件的源IP地址對象組。
undo source-ip object-group命令用來刪除作為代理策略規則過濾條件的源IP地址對象組。
【命令】
source-ip object-group object-group-name
undo source-ip object-group [ object-group-name ]
【缺省情況】
未配置作為代理策略規則過濾條件的源IP地址對象組。
【視圖】
代理策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
object-group-name:表示源地址對象組的名稱,為1~63個字符的字符串,不區分大小寫,且不能為字符串any。
【使用指導】
多次執行本命令,可配置多個源IP地址作為代理策略規則的過濾條件。隻要一個源IP地址匹配成功,則認為源IP地址過濾條件匹配成功。
指定的對象組必須已存在,若指定一個不存在的對象組,配置將下發失敗。
使用undo命令時若不指定此參數,則表示刪除此規則中所有源IP地址類型的過濾條件。有關地址對象組的詳細介紹,請參見“安全配置指導”中的“對象組”。
【舉例】
# 配置作為代理策略規則rule1過濾條件的源地址對象組為server1和server2。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-0-rule1] source-ip object-group server1
[Sysname-app-proxy-policy-0-rule1] source-ip object-group server2
【相關命令】
· display app-proxy-policy
· object-group(安全命令參考/對象組)
source-zone命令用來配置作為代理策略規則過濾條件的源安全域。
undo source-zone命令用來刪除作為代理策略規則過濾條件的源安全域。
【命令】
source-zone source-zone-name
undo source-zone [ source-zone-name ]
【缺省情況】
未配置作為代理策略規則過濾條件的源安全域。
【視圖】
代理策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
source-zone-name:表示源安全域的名稱,為1~31個字符的字符串,不區分大小寫,且不能為字符串any。
【使用指導】
多次執行本命令,可配置多個源安全域作為代理策略規則的過濾條件,隻要一個源安全域匹配成功,則認為源安全域過濾條件匹配成功。
如果指定的安全域不存在,配置可以成功下發,但不生效。
使用undo命令時若不指定此參數,則表示刪除此規則中所有源安全域類型的過濾條件。有關安全域的詳細介紹,請參見“安全配置指導”中的“安全域”。
【舉例】
# 配置作為代理策略規則rule1過濾條件的源安全域為trust和server。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-0-rule1] source-zone trust
[Sysname-app-proxy-policy-0-rule1] source-zone server
【相關命令】
· display app-proxy-policy
· security-zone(安全命令參考/安全域)
ssl-decrypt protect-mode命令用來配置SSL解密防護類型。
undo ssl-decrypt protect-mode命令用來恢複缺省情況。
【命令】
ssl-decrypt protect-mode { client | server }
undo ssl-decrypt protect-mode
【缺省情況】
SSL解密防護類型為client。
【視圖】
代理策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
client:表示SSL解密防護類型為客戶端。
server:表示SSL解密防護類型為服務器。
【使用指導】
SSL解密功能支持如下防護類型:
· 客戶端:用於保護內網客戶端的場景,可與DPI深度安全功能配合使用。設備解密報文後再對報文進行DPI深度安全業務的檢測,防止內網客戶端受到外部惡意網站的攻擊。在此場景下,設備需要使用代理服務器證書與客戶端進行SSL協商。
· 服務器:用於保護內網服務器的場景,可與DPI深度安全功能配合使用。設備解密報文後再對報文進行DPI深度安全業務的檢測,防止外部惡意流量對內網服務器進行攻擊。在此場景下,設備需要使用導入的內網服務器證書與客戶端進行SSL協商。
有關DPI深度安全功能的詳細介紹,請參見“DPI深度安全”中的“DPI深度安全概述”。
請務必根據不同的使用場景正確配置SSL解密功能的防護類型,並配置相應類型的證書與客戶端進行SSL協商。
本命令僅在代理策略規則中動作為SSL解密時生效。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在名稱為rule1的代理策略規則中,配置SSL解密防護類型為server。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-0-rule1] ssl-decrypt protect-mode server
【相關命令】
user命令用來配置作為代理策略規則過濾條件的用戶。
undo user命令用來刪除作為代理策略規則過濾條件的用戶。
【命令】
user user-name [ domain domain-name ]
undo user [ username [ domain domain-name ] ]
【缺省情況】
未配置作為代理策略規則過濾條件的用戶。
【視圖】
代理策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
username:表示用戶的名稱,為1~55個字符的字符串,區分大小寫,不能是a、al和all,且不能包含特殊字符“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”、和“@”。
domain domain-name:表示身份識別域的名稱,為1~255個字符的字符串,不區分大小寫,不能包括“/”、“\”、“|”、“:”、“*”、“?”、“<”、“>”和“@”字符。
【使用指導】
多次執行配置命令,可配置多個用戶作為規則的過濾條件,隻要一個用戶匹配成功,則認為用戶過濾條件匹配成功。
若指定的用戶或身份識別域不存在或者用戶和身份識別域不匹配,配置可以成功下發,但不生效。
使用undo命令時若不指定username,則表示刪除此規則中所有用戶過濾條件。
使用undo命令時若不指定domain-name,則表示刪除此規則中所有身份識別域之外的用戶過濾條件。
【舉例】
# 配置作為代理策略規則rule1過濾條件的用戶為usera和userb,身份識別域均為test。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-0-rule1] user usera domain test
[Sysname-app-proxy-policy-0-rule1] user userb domain test
【相關命令】
· display app-proxy-policy
· user-identity enable(安全命令參考/用戶身份識別與管理)
· user-identity static-user(安全命令參考/用戶身份識別與管理)
user-group命令用來配置作為代理策略規則過濾條件的用戶組。
undo user-group命令用來刪除作為代理策略規則過濾條件的用戶組。
【命令】
user-group user-group-name [ domain domain-name ]
undo user-group [ user-group-name [ domain domain-name ] ]
【缺省情況】
未配置作為代理策略規則過濾條件的用戶組。
【視圖】
代理策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
user-group-name:表示用戶組的名稱,為1~200個字符的字符串,不區分大小寫。
domain domain-name:表示在指定的身份識別域中匹配此用戶組,domain-name是身份識別域的名稱,為1~255個字符的字符串,不區分大小寫,不能包括“/”、“\”、“|”、“:”、“*”、“?”、“<”、“>”以及“@”字符。
【使用指導】
多次執行配置命令,可配置多個用戶組作為規則的過濾條件,隻要一個用戶組匹配成功,則認為用戶組過濾條件匹配成功。
若指定的用戶組不存在,配置可以成功下發,但不生效。
使用undo命令時若不指定user-group-name,則表示刪除此規則中所有用戶組過濾條件。有關用戶組的詳細介紹,請參見“安全配置指導”中的“用戶身份識別與管理”。
使用undo命令時若不指定domain-name,則表示刪除此規則中所有身份識別域之外的用戶組過濾條件。
【舉例】
# 配置作為代理策略規則rule1過濾條件的用戶組為groupa和groupb,身份識別域均為test。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-0-rule1] user-group groupa domain test
[Sysname-app-proxy-policy-0-rule1] user-group groupb domain test
【相關命令】
· display app-proxy-policy
· user-group(安全命令參考/AAA)
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
