- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
09-WAF命令
本章節下載: 09-WAF命令 (619.71 KB)
目 錄
1.1.1 action(CC-defense policy rule view)
1.1.3 action(waf signature view)
1.1.8 description(CC-defense policy view)
1.1.9 description(waf signature view)
1.1.10 destination-address(CC-defense policy rule view)
1.1.11 destination-address(waf signature rule view)
1.1.12 destination-port(CC-defense policy rule view)
1.1.13 destination-port(waf signature rule view)
1.1.20 display waf signature library
1.1.21 display waf signature pre-defined
1.1.22 display waf signature user-defined
1.1.33 rule(CC-defense policy view)
1.1.34 rule(waf signature view)
1.1.36 severity-level(waf policy view)
1.1.37 severity-level(waf signature view)
1.1.48 waf signature auto-update
1.1.49 waf signature auto-update-now
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15 |
不支持 |
|
F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM |
不支持 |
|
F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
不支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK710、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9150、F1000-AK9210 |
不支持 |
|
F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK711、F1000-AK1125、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
action命令用來配置CC攻擊防護的動作。
undo action命令用來恢複缺省情況。
【命令】
action { block-source [ block-time ] | permit }
undo action
【缺省情況】
CC攻擊防護策略規則的動作為允許。
【視圖】
CC攻擊防護策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
block-source:表示源阻斷動作。該動作阻斷檢測為CC攻擊行為的報文,並會將該報文的源IP地址加入IP黑名單。如果設備上同時開啟了IP黑名單過濾功能,則在block-time指定的阻斷時間內直接丟棄來自此IP地址的所有報文;否則,此IP黑名單不生效。有關IP黑名單過濾功能的詳細介紹請參見“安全命令參考”中的“攻擊檢測與防範”。
block-time:表示阻斷時間,取值範圍為1~86400,單位為秒。如果未配置本參數,則表示使用缺省值,缺省為300秒。
permit:表示允許報文通過。
【使用指導】
當設備檢測出CC攻擊時,執行本命令配置的動作。
【舉例】
# 在名稱為news的CC攻擊防護策略下,配置名稱為test的防護規則動作為源阻斷,阻斷時間為350秒。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news] rule name test
[Sysname-cc-defense-policy-news-rule-test] action block-source 350
action命令用來配置篩選WAF特征的動作屬性。
undo action命令用來恢複缺省情況。
【命令】
action { block-source | drop | permit | reset } *
undo action
【缺省情況】
未配置動作屬性篩選條件。
【視圖】
WAF策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
block-source:表示源阻斷動作,該動作將阻斷符合特征的報文,並將該報文的源IP地址加入IP黑名單。
drop:表示丟棄報文的動作。
permit:表示允許報文通過的動作。
reset:表示重置動作,該動作通過發送TCP的reset報文使TCP連接斷開。
【使用指導】
可通過配置動作分類屬性篩選出具有該屬性的特征,WAF策略將使用篩選出的特征與報文進行匹配。可多次執行本命令,配置多個動作。隻要符合其中一個,具有該動作的特征將會被篩選出來。
特征庫升級過程中,不能成功執行本命令以及undo命令。
【舉例】
# 在名稱為test-policy的WAF策略中配置篩選WAF特征的動作屬性為drop和reset。
<Sysname> system-view
[Sysname] waf policy test-policy
[Sysname-waf-policy-test-policy] action drop reset
【相關命令】
· display waf policy
action命令用來配置WAF自定義特征的動作。
undo action命令用來恢複缺省情況。
【命令】
action { block-source | drop | permit | reset } [ capture | logging ] *
undo action
【缺省情況】
WAF自定義特征的動作是permit。
【視圖】
WAF自定義特征視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
block-source:表示阻斷符合特征的報文,並會將該報文的源IP地址加入IP黑名單。
drop:表示丟棄報文。
permit:表示放行報文動作。
reset:表示通過發送TCP的reset報文使TCP連接斷開。
capture:表示捕獲符合特征的報文。
logging:表示記錄日誌。
【使用指導】
本命令用來配置對匹配上WAF自定義特征的報文所執行的動作。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置WAF自定義特征的動作為permit。
<Sysname> system-view
[Sysname] waf signature user-defined name mysignature
[Sysname-waf-signature-mysignature] action permit
apply cc-defense policy命令用來在WAF策略中引用CC攻擊防護策略。
undo apply cc-defense policy命令用來恢複缺省情況。
【命令】
apply cc-defense policy policy-name
undo apply cc-defense policy
【缺省情況】
WAF策略未引用CC攻擊防護策略。
【視圖】
WAF策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:表示CC攻擊防護策略的名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
CC攻擊防護策略僅在被WAF策略引用後生效。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在WAF策略master中引用CC攻擊防護策略news。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news] quit
[Sysname] waf policy master
[Sysname-waf-policy-master] apply cc-defense policy news
attack-category命令用來配置篩選WAF特征的攻擊分類屬性。
undo attack-category命令用來刪除篩選WAF特征的攻擊分類屬性。
【命令】
attack-category { category [ sub-category subcategory ] | all}
undo attack-category { category [ sub-category subcategory | all] }
【缺省情況】
未配置攻擊分類屬性篩選條件。
【視圖】
WAF策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
category:表示設備中已有的攻擊分類名稱。不區分大小寫,可通過輸入“?”獲取支持的攻擊分類名稱。
sub-category subcategory:表示設備中已有攻擊分類中的子分類名稱。若不指定本參數,則表示指定攻擊分類中的所有子分類。不區分大小寫,可通過輸入“?”獲取支持的子分類名稱。
all:表示設備中已有的所有攻擊分類。
【使用指導】
可通過配置攻擊分類屬性篩選出具有該屬性的特征,WAF策略將使用篩選出的特征與報文進行匹配。可多次執行本命令,配置多個攻擊分類。隻要符合其中一個,具有該攻擊分類的特征將會被篩選出來。
【舉例】
# 在名稱為test-policy的WAF策略中配置篩選WAF特征的攻擊分類為Vulnerability攻擊分類中的SQLInjection子分類。
<Sysname> system-view
[Sysname] waf policy test-policy
[Sysname-waf-policy-test-policy] attack-category Vulnerability sub-category SQLInjection
【相關命令】
· display waf policy
cc-defense policy命令用來創建CC攻擊防護策略,並進入CC攻擊防護策略視圖。如果指定的CC攻擊防護策略已存在,則直接進入CC攻擊防護策略視圖。
undo cc-defense policy命令用來刪除指定的CC攻擊防護策略。
【命令】
cc-defense policy policy-name
undo cc-defense policy policy-name
【缺省情況】
不存在CC攻擊防護策略。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:表示CC攻擊防護策略的名稱,為1~31個字符的字符串,不區分大小寫,不可輸入“-”。
【使用指導】
CC攻擊防護策略僅在被WAF策略引用後生效。
【舉例】
# 創建一個名稱為news的CC攻擊防護策略。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news]
【相關命令】
· apply cc-defense policy
cc-detection-item命令用來配置CC攻擊檢測項。
undo cc-detection-item命令用來恢複缺省情況。
【命令】
cc-detection-item { request-concentration [ concentration-value ] [ request-number number ] | request-rate [ rate-value ] }
undo cc-detection-item { request-concentration | request-rate }
【缺省情況】
未配置CC攻擊檢測項,設備不對檢查項進行檢測。
【視圖】
CC攻擊防護策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
request-concentration concentration-value:表示請求集中度閾值的百分比數值,取值範圍為1~100,缺省值為25。
request-number number:表示訪問次數。取值範圍為10~300,缺省值為100。
request-rate rate-value:表示請求速率。rate-value表示請求速率的閾值,取值範圍為1~65535,缺省值為150,單位為次/檢測周期。
【使用指導】
CC攻擊防護策略規則的檢測項包括請求速率和請求集中度。
· 請求速率:用於檢測客戶端是否過於頻繁地訪問某網站。
· 請求集中度:用於檢測客戶端是否主要針對某網站進行訪問。
設備以檢測周期為單位,對用戶訪問的網站進行統計,並對最常訪問的URL檢驗是否達到檢查項閾值,隻要有一個檢查項達到閾值,則認為客戶端的訪問為CC攻擊。
檢查項的計算方式分別為:
· 請求速率=用戶最常訪問的URL的訪問次數/檢測周期。
· 請求集中度=用戶最常訪問的URL的訪問次數/所有URL的訪問次數*100%。
其中,僅當達到配置的請求次數後,才計算請求集中度。
如果CC攻擊防護策略下配置了防護路徑,則URL為不同域名下的防護路徑;如果CC攻擊防護策略下未配置防護路徑,則URL為用戶訪問的每個網站的URL。
多次執行本命令,配置同一個檢查項時,最後一次執行的命令生效。
【舉例】
# 在CC攻擊防護策略news下名稱為test的規則中配置請求速率的閾值為10次/檢測周期。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news] rule name test
[Sysname-cc-defense-policy-news-rule-test] cc-detection-item request-rate 10
【相關命令】
· detection-interval
· protected-url
description命令用來配置CC攻擊防護策略的描述信息。
undo description命令用來恢複缺省情況。
【命令】
description text-string
undo description
【缺省情況】
未配置CC攻擊防護策略的描述信息。
【視圖】
CC攻擊防護策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
text-string:CC攻擊防護策略的描述信息,為1~255個字符的字符串,可以包含空格,不區分大小寫。
【使用指導】
通過合理編寫描述信息,便於管理員快速理解和識別CC攻擊防護策略的作用,有利於後期維護。
【舉例】
# 配置CC攻擊防護策略news的描述信息為News information。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news] description News information
description命令用來配置WAF自定義特征的描述信息。
undo description命令用來恢複缺省情況。
【命令】
description text
undo description
【缺省情況】
未配置WAF自定義特征的描述信息。
【視圖】
WAF自定義特征視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
text:表示WAF自定義特征的描述信息,為1~127個字符的字符串,可以包含空格,區分大小寫。
【使用指導】
通過合理編寫描述信息,便於管理員快速理解和識別WAF自定義特征的作用,有利於後期維護。
【舉例】
# 在WAF自定義特征mysignature中,配置描述信息為Http protocol check。
<Sysname> system-view
[Sysname] waf signature user-defined name mysignature
[Sysname-waf-signature-mysignature] description Http protocol check
destination-address命令用來配置作為CC攻擊防護策略規則過濾條件的目的IP地址。
undo destination-address命令用來刪除作為CC攻擊防護策略規則過濾條件的目的IP地址。
【命令】
destination-address { ipv4 ipv4-address | ipv6 ipv6-address }
undo destination-address { ipv4 ipv4-address | ipv6 ipv6-address }
【缺省情況】
不存在目的IP地址過濾條件。
【視圖】
CC攻擊防護策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv4 ipv4-address:表示IPv4地址。
ipv6 ipv6-address:表示IPv6地址。
【使用指導】
目的IP地址為受保護的網站服務器的IP地址。
多次執行本命令,可配置多個目的IP地址作為CC攻擊防護策略規則的過濾條件。
【舉例】
# 在CC攻擊防護策略news下名稱為test的規則中配置作為過濾條件的目的IPv4地址為192.168.4.83。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news] rule name test
[Sysname-cc-defense-policy-news-rule-test] destination-address ipv4 192.168.4.83
destination-address命令用來配置WAF自定義特征規則匹配的目的IP地址。
undo destination-address命令用來恢複缺省情況。
【命令】
destination-address ip ip-address
undo destination-address
【缺省情況】
未配置WAF自定義特征規則匹配的目的IP地址。
【視圖】
WAF自定義特征規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip-address:表示WAF自定義特征規則匹配的目的IPv4地址。
【使用指導】
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在WAF自定義特征mysignature中,配置編號為1的關鍵字類型規則,配置自定義特征規則匹配的目的IP地址為10.1.1.1。
<Sysname> system-view
[Sysname] waf signature user-defined name mysignature
[Sysname-waf-signature-mysignature] rule 1 pattern-type keyword
[Sysname-waf-signature-mysignature-rule-1] destination-address ip 10.1.1.1
destination-port命令用來配置作為CC攻擊防護策略規則過濾條件的目的端口。
undo destination-port命令用來刪除作為CC攻擊防護策略規則過濾條件的目的端口。
【命令】
destination-port port-number
undo destination-port port-number
【缺省情況】
不存在目的端口過濾條件。
【視圖】
CC攻擊防護策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
port-number:表示CC攻擊防護策略規則中的目的端口,取值範圍為1~65535。
【使用指導】
多次執行本命令,可配置多個目的端口作為CC攻擊防護策略規則的過濾條件。
【舉例】
# 在CC攻擊防護策略news下名稱為test的規則中配置作為過濾條件的目的端口為8080。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news] rule name test
[Sysname-cc-defense-policy-news-rule-test] destination-port 8080
destination-port命令用來配置WAF自定義特征規則匹配的目的端口。
undo destination-port命令用來恢複缺省情況。
【命令】
destination-port start-port [ to end-port ]
undo destination-port
【缺省情況】
未配置WAF自定義特征規則匹配的目的端口。
【視圖】
WAF自定義特征規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
start-port:表示目的端口的起始端口號,取值範圍為1~65535。
to end-port:指定結束目的端口號。end-port,表示目的端口的結束端口號,取值範圍為1~65535。若不指定本參數,則表示僅匹配起始端口號。
【使用指導】
本命令用於配置基於TCP協議的端口號。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在WAF自定義特征mysignature中,新建編號為1的關鍵字類型規則,配置自定義特征規則匹配的目的端口範圍為1~3550。
<Sysname> system-view
[Sysname] waf signature user-defined name mysignature
[Sysname-waf-signature-mysignature] rule 1 pattern-type keyword
[Sysname-waf-signature-mysignature-rule-1] destination-port 1 to 3550
detection-integer命令用來配置數值類型自定義特征規則的檢查項。
undo detection-integer命令用來刪除數值類型自定義特征規則的檢查項。
【命令】
detection-integer field field-name match-type { eq | gt | gt-eq | lt | lt-eq | nequ } number
undo detection-integer
【缺省情況】
未配置數值類型自定義特征規則的檢查項。
【視圖】
WAF自定義特征規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
field-name:表示待檢測的協議字段。field-name表示待檢測的協議字段名稱,不區分大小寫,需要通過輸入“?”獲取支持的協議字段。
match-type{ eq | gt | gt-eq | lt | lt-eq | nequ }:表示檢查項和待檢測數值的匹配方式。
· eq:等於。
· gt:大於。
· gt-eq:大於等於。
· lt:小於。
· lt-eq:小於等於。
· nequ:不等於。
number:表示檢查項要比較的數值,取值範圍為1~4294967295。
【使用指導】
一條規則可以配多個檢查項,檢查項之間為邏輯與的關係,匹配順序為配置順序。配置檢查項匹配的協議字段時,建議依據HTTP協議中各協議字段順序進行配置,否則可能會影響設備的檢測結果。
【舉例】
# 在WAF自定義特征mysignature中,新建編號為1的數值類型規則,配置編號為1的檢查項的協議字段為http-uri、匹配方式為等於、檢測內容為123456。
<Sysname> system-view
[Sysname] waf signature user-defined name mysignature
[Sysname-waf-signature-mysignature] rule 1 pattern-type integer
[Sysname-waf-signature-mysignature-rule-1] detection-integer field http-uri match-type eq 123456
【相關命令】
· trigger
detection-interval命令用來配置CC攻擊檢查項的檢測周期。
undo detection-interval命令用來恢複缺省情況。
【命令】
detection-interval interval
undo detection-interval
【缺省情況】
CC攻擊檢查項的檢測周期為30秒。
【視圖】
CC攻擊防護策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
interval:表示CC攻擊檢查項的檢測周期,取值範圍為10~720,單位為秒。
【使用指導】
檢測周期是用於檢測是否存在CC攻擊行為的計時周期,從一條流的首個報文命中CC攻擊防護規則時開始計時。
設備使用請求速率和請求集中度兩個檢查項判定是否存在CC攻擊行為。在檢測周期內,如果設備檢測到檢查項已達到閾值,則判定用戶的訪問為CC攻擊,並執行CC攻擊防護動作,包括允許、黑名單和記錄日誌;如果未達到閾值,則不認為遭受到CC攻擊,放行報文。
【舉例】
# 配置CC攻擊檢查項的檢測周期為10秒。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news] detection-interval 10
【相關命令】
· detection
detection-keyword命令用來配置關鍵字類型自定義特征規則的檢查項。
undo detection-keyword命令用來刪除關鍵字類型自定義特征規則的檢查項。
【命令】
detection-keyword detection-id field field-name match-type { exclude | include } { hex hex-string | regex regex-pattern | text text-string } [ offset offset-value [ depth depth-value ] | relative-offset relative-offset-value [ relative-depth relative-depth-value ] ]
undo detection-keyword detection-id
【缺省情況】
未配置關鍵字類型自定義特征規則的檢查項。
【視圖】
WAF自定義特征規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
detection-id:表示檢查項的ID,取值範圍為1~10。
field field-name:表示待檢測的協議字段。field-name表示協議字段名稱,不區分大小寫。需要通過輸入“?”獲取支持的協議字段。
match-type { exclude | include }:表示檢查項和關鍵字的匹配方式。
· include:包含。
· exclude:不包含。
hex hex-string:表示用來匹配的十六進製字符內容,hex-string表示匹配內容,為8~254個字符的字符串,且必須輸入偶數個字符,輸入參數必須在兩個豎杠“|”之間,僅支持輸入“0-9、A-F、a-f”,區分大小寫,例如|1234f5b6|。
regex regex-pattern:表示用來匹配的正則表達式,為3~255個字符的字符串,區分大小寫,隻能以字母、數字、下劃線開頭,不能以特殊符號開頭,支持特殊字符配置,且必須包含連續的3個非通配符。
text text-string:表示用來匹配的文本內容,為3~255個字符的字符串,不區分大小寫。
offset offset-value:表示檢查項的偏移量,從協議字段起始位置開始偏移的長度。取值範圍為1~65535,單位為字節。若不配置該參數,則表示從協議字段的起始位置開始對檢查項進行檢測。
depth depth-value:表示檢查項的檢測深度,從檢查項的起始位置開始,檢測的長度。取值範圍為3~65535,單位為字節。若不配置該參數,則表示檢查項對整個協議字段進行檢測。
relative-offset relative-offset-value:表示當前檢查項與上一個檢查項之間的相對偏移量,取值範圍為-32767~-1,1~32767,單位為字節。從上一個檢查項的檢測結束位置開始偏移。如果取值為正數,則表示向後偏移;如果取值為負數,則表示向前偏移。
relative-depth relative-depth-value:表示檢查項的檢測深度,從檢測的起始位置開始檢測的長度,取值範圍為3~65535,單位為字節。
【使用指導】
本命令僅在配置觸發檢查項之後才可配置。
一條規則可以配多個檢查項,檢查項之間為邏輯與的關係,匹配順序為配置順序。
檢查項僅檢測指定協議字段範圍內的數據,可使用偏移量、檢測深度和相對偏移量、相對檢測深度兩組參數中的任意一組精確定位檢測的起始和終止位置。
配置檢查項匹配的協議字段時,建議依據HTTP協議中各協議字段順序進行配置,否則可能會影響設備的檢測結果。
【舉例】
# 在WAF自定義特征mysignature中,新建編號為1的關鍵字類型規則,配置編號為1的檢查項的協議字段為http-uri、匹配類型為包含、檢測內容為文本abc、偏移量為10字節、檢測深度為50字節。
<Sysname> system-view
[Sysname] waf signature user-defined name mysignature
[Sysname-waf-signature-mysignature] rule 1 pattern-type keyword
[Sysname-waf-signature-mysignature-rule-1] detection-keyword 1 field http-uri match-type include text abc offset 10 depth 50
【相關命令】
· trigger
direction命令用來配置WAF自定義特征的檢測方向。
undo direction命令用來恢複缺省情況。
【命令】
direction { any | to-client | to-server }
undo direction
【缺省情況】
WAF自定義特征的檢測方向是any。
【視圖】
WAF自定義特征視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
any:表示發往服務器和客戶端的兩個方向。
to-client:表示發往客戶端的方向。
to-server:表示發往服務器的方向。
【使用指導】
不支持通過多次執行本命令修改自定義特征的檢測方向,如需修改檢測方向,請先執行undo direction命令。執行undo命令後,將刪除該特征下的所有規則。
【舉例】
# 配置WAF自定義特征的檢測方向為發往客戶端的方向。
<Sysname> system-view
[Sysname] waf signature user-defined name mysignature
[Sysname-waf-signature-mysignature] direction to-client
display waf policy命令用來顯示WAF策略信息。
【命令】
display waf policy policy-name
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
policy-name:表示WAF策略名稱,為1~63個字符的字符串,不區分大小寫。
【舉例】
# 顯示名稱為aa的WAF策略信息。
<Sysname> display waf policy aa
Total signatures : 100
Pre-defined signatures : 10
User-defined signatures : 90
Flags:
B: Block-source D: Drop P: Permit Rs: Reset Rd: Redirect C: Capture L: L
ogging
Pre: pre-defined User: user-defined
Type SigID Target SubTarget Severity Direction Category
SubCategory Status Action
Pre 23723 OperationSystem Any High Any Vulnerability
RemoteCodeExecu Enable RsL
Pre 24728 OperationSystem Any Critical Server Malware
Backdoor Enable DL
Pre 25066 OperationSystem Any Critical Any Malware
Backdoor Enable DL
Pre 25067 OperationSystem Any Critical Server Malware
Backdoor Enable RsL
Pre 25824 OperationSystem Any Critical Server Vulnerability
Overflow Enable RsL
---- More ----
表1-1 display waf policy命令顯示信息描述表
|
字段 |
描述 |
|
Total signatures |
WAF策略中的特征總數 |
|
Pre-defined signatures |
預定義WAF特征數目 |
|
User-defined signatures |
自定義WAF特征數目 |
|
Flags |
標識符縮寫,取值包括: · B: Block-source:表示源阻斷動作 · D: Drop:表示丟棄 · P: Permit:表示允許 · Rs: Reset:表示重置 · C: Capture:表示捕獲 · L: Logging:表示記錄日誌 · Pre: pre-defined:表示預定義特征 · User: user-defined:表示自定義特征 |
|
Type |
WAF特征的類型,包括如下取值: · Pre:表示預定義特征 · User:表示自定義特征 |
|
SigID |
WAF特征編號 |
|
Target |
攻擊對象 |
|
SubTarget |
攻擊子對象 |
|
Severity |
WAF特征的攻擊嚴重程度屬性,從低到高分為四級:Low、Medium、High、Critical |
|
Category |
WAF特征的攻擊類別名稱 |
|
SubCategory |
WAF特征的子攻擊類別名稱 |
|
Status |
WAF特征的狀態,包括如下取值: · Enabled:表示此特征已生效 · Disabled:表示此特征未生效 |
|
Action |
對報文的處理動作,包括如下取值: · Block-source:表示阻斷符合特征的報文,並會將該報文的源IP地址加入IP黑名單 · Drop:表示丟棄符合特征的報文 · Permit:表示允許符合特征的報文通過 · Reset:表示發送TCP的reset報文或UDP的ICMP端口不可達報文使TCP或UDP連接斷開 · Redirect:表示重定向符合特征的報文 · Capture:表示捕獲符合特征的報文 · Logging:表示對符合特征的報文生成日誌 |
display waf signature命令用來顯示WAF特征的簡要信息。
【命令】
display waf signature [ pre-defined | user-defined ] [ direction { any | to-client | to-server } ] [ category category-name | fidelity { high | low | medium } | severity { critical | high | low | medium } ] *
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
pre-defined:顯示預定義WAF特征。
direction { any | to-client | to-server }:顯示符合指定方向屬性的WAF特征。如果未指定此參數,則顯示所有方向上的WAF特征。
· any:表示一個會話的兩個方向。
· to-server:表示一個會話的客戶端到服務器的方向。
· to-client:表示一個會話的服務器到客戶端的方向。
category category-name:顯示符合指定攻擊類別屬性的WAF特征,category-name是攻擊類型的名稱,可通過輸入“?”獲取支持的攻擊類型名稱。如果未指定此參數,則顯示所有攻擊類型的WAF特征。
fidelity { high | low | medium }:顯示符合指定可信度屬性的WAF特征。如果未指定此參數,則顯示所有可信度的WAF特征。可信度是指此WAF特征識別攻擊行為準確度,且從低到高分為如下三個級別:
· low:可信度比較低。
· medium:可信度中等。
· high:可信度比較高。
severity { critical | high | low | medium }:顯示符合指定嚴重級別屬性的WAF特征。如果未指定此參數,則顯示所有嚴重級別的WAF特征。嚴重級別是指匹配此WAF特征的網絡攻擊造成危害的嚴重程度,且從低到高分為四個級別:
· low:攻擊嚴重程度比較低。
· medium:攻擊嚴重程度中等。
· high:攻擊嚴重程度比較高。
· critical:攻擊嚴重程度非常高。
【使用指導】
若不指定任何參數,則顯示所有WAF特征。
【舉例】
# 顯示可信度為中等的所有預定義WAF特征。
<Sysname> display waf signature pre-defined fidelity medium
Pre-defined signatures total:88 failed:0
Flag:
Pre: predefined User: user-defined
Type SigID Direction Severity Fidelity Category Protocol SigName
Pre 3295 To-client Critical Medium Vulnerability TCP
Pre 5379 To-client Critical Medium Vulnerability TCP
Pre 6017 To-client Critical Medium Vulnerability TCP
Pre 7453 To-server High Medium Other TCP
Pre 10033 To-client High Medium Vulnerability TCP
Pre 23227 To-server Medium Medium Vulnerability TCP
Pre 23285 To-server Medium Medium Vulnerability TCP
Pre 23309 To-server Medium Medium Vulnerability TCP
Pre 23482 To-server High Medium Vulnerability TCP
Pre 23530 To-server High Medium Vulnerability TCP
Pre 23666 To-server High Medium Vulnerability TCP
Pre 23722 To-server Medium Medium Vulnerability TCP
Pre 23747 To-server Medium Medium Vulnerability TCP
Pre 24346 To-client Medium Medium Vulnerability TCP
Pre 25044 To-server High Medium Vulnerability TCP
Pre 25086 To-server High Medium Vulnerability TCP
Pre 25100 To-server High Medium Vulnerability TCP
---- More ----
# 顯示攻擊嚴重程度為比較高的所有WAF特征。
<Sysname> display waf signature severity high
Total signatures :45 failed:0
Pre-defined signatures total:45 failed:0
User-defined signatures total:0 failed:0
Flag:
Pre: predefined User: user-defined
Type SigID Direction Severity Fidelity Category Protocol SigName
Pre 7453 To-server High Medium Other TCP
Pre 10033 To-client High Medium Vulnerability TCP
Pre 23192 To-server High High Vulnerability TCP
Pre 23448 To-server High High Vulnerability TCP
Pre 23474 To-server High Low Vulnerability TCP
Pre 23482 To-server High Medium Vulnerability TCP
Pre 23530 To-server High Medium Vulnerability TCP
Pre 23666 To-server High Medium Vulnerability TCP
Pre 24485 To-server High High Vulnerability TCP
Pre 25044 To-server High Medium Vulnerability TCP
Pre 25086 To-server High Medium Vulnerability TCP
Pre 25100 To-server High Medium Vulnerability TCP
Pre 30781 To-server High Medium Vulnerability TCP
Pre 30807 To-server High Medium Vulnerability TCP
Pre 30851 To-server High Medium Vulnerability TCP
---- More ----
表1-2 display waf signature命令顯示信息描述表
|
字段 |
描述 |
|
Total signatures |
WAF特征總數 |
|
Pre-defined signatures total |
預定義WAF特征數目 |
|
User-defined signatures total |
自定義WAF特征數目 |
|
Flags |
標識符縮寫,取值包括: · Pre: pre-defined:表示預定義特征 · User: user-defined:表示自定義特征 |
|
Type |
WAF特征的類型,包括如下取值: · Pre:表示預定義特征 · User:表示自定義特征 |
|
SigID |
WAF特征的編號 |
|
Direction |
WAF特征的方向屬性,包括如下取值: · any:表示一個會話的兩個方向 · To-server:一個會話的客戶端到服務器方向 · To-client:一個會話的服務器到客戶端方向 |
|
Severity |
WAF特征的攻擊嚴重程度屬性,嚴重程度從低到高分為四個級別:Low、Medium、High、Critical |
|
Fidelity |
WAF特征的可信度屬性,可信度從低到高分為三個級別:Low、Medium、High |
|
Category |
WAF特征的攻擊類別名稱 |
|
Protocol |
WAF特征的協議屬性 |
|
SigName |
WAF自定義特征的名稱 |
display waf signature library命令用來顯示WAF特征庫信息。
【命令】
display waf signature library
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【舉例】
# 顯示WAF特征庫信息。
<Sysname> display waf signature library
WAF signature library information:
Type SigVersion ReleaseTime Size (bytes)
Current 1.02 Fri Sep 13 09:05:35 2014 71594
Last - - -
Factory 1.00 Fri Sep 11 09:05:35 2014 71394
表1-3 display waf signature information命令顯示信息描述表
|
字段 |
描述 |
|
Type |
WAF特征庫版本,包括如下取值: · Current:表示當前版本 · Last:表示上一版本 · Factory:表示出廠版本 |
|
SigVersion |
WAF特征庫版本號 |
|
ReleaseTime |
WAF特征庫發布時間 |
|
Size |
WAF特征庫文件大小,單位是Bytes |
display waf signature pre-defined命令用來顯示WAF預定義特征的詳細信息。
【命令】
display waf signature pre-defined signature-id
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
signature-id:指定WAF預定義特征的編號,取值範圍為1~536870911。
【舉例】
# 顯示編號為3295的預定義WAF特征的詳細信息。
<Sysname> display waf signature pre-defined 3295
Type : Pre-defined
Signature ID: 3295
Status : Enable
Action : Permit & Logging
Name : WEB_SERVER_Possible_HTTP_503_XSS_Attempt_(Internal_Source)
Protocol : TCP
Severity : Critical
Fidelity : Medium
Direction : To-client
Category : Vulnerability
Reference :
Description : WEB_SERVER_Possible_HTTP_503_XSS_Attempt_(Internal_Source)
表1-4 display waf signature pre-defined命令顯示信息描述表
|
字段 |
描述 |
|
Type |
WAF特征的類型 |
|
Signature ID |
WAF特征的編號 |
|
Status |
WAF特征的狀態,包括如下取值: · Enabled:表示此特征已生效 · Disabled:表示此特未生效 |
|
Action |
對報文的處理動作,包括如下取值: · Block-source:表示阻斷符合特征的報文,並會將該報文的源IP地址加入IP黑名單 · Drop:表示丟棄符合特征的報文 · Permit:表示允許符合特征的報文通過 · Reset:表示發送TCP的reset報文或UDP的ICMP端口不可達報文使TCP或UDP連接斷開 · Capture:表示捕獲符合特征的報文 · Logging:表示對符合特征的報文生成日誌 |
|
Name |
WAF特征的名稱 |
|
Protocol |
WAF特征的協議屬性 |
|
Severity |
WAF特征的攻擊嚴重程度屬性,嚴重程度從低到高分為四個級別:Low、Medium、High、Critical |
|
Fidelity |
WAF特征的可信度屬性,可信度從低到高分為三個級別:Low、Medium、High |
|
Direction |
WAF特征的方向屬性,包括如下取值: · Any:表示一個會話的兩個方向 · To-server:一個會話的客戶端到服務器方向 · To-client:一個會話的服務器到客戶端方向 |
|
Category |
WAF特征的攻擊類別名稱 |
|
Reference |
WAF特征的參考信息 |
|
Description |
WAF特征的描述信息 |
display waf signature user-defined命令用來顯示WAF自定義特征的詳細信息。
【命令】
display waf signature user-defined signature-id
【視圖】
任意視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
signature-id:表示WAF自定義特征的ID,取值範圍為536870928~1073741808。
【舉例】
# 顯示ID為536870944的WAF自定義特征的詳細信息。
<Sysname> display waf signature user-defined 536870944
Signature ID: 536870944
Signature name: mysignature
Status: Enabled
Action: Permit & Logging
Severity: High
Fidelity: Medium
Direction: To-server
Rulelogic: Or
Description: Http method check
Total rules: 2
Rule list:
Rule ID: 1
Match-type: Keyword
HTTP method: Get
Source address: 10.1.1.1
Source port: 1-35560
Destination address: 20.1.1.1
Destination port: 1-35560
trigger entry:
Field: Http_Uri
Value: abcksdhosihendsid
Offset: 20
Depth: 1000
Detection entry list:
Entry ID Field Match type Content-type Content
1 http_cookie include text sduhskdjs
Rule ID: 2
---- More ----
display waf signature user-defined name my-signature
|
字段 |
描述 |
|
Signature ID |
特征的編號 |
|
Signature name |
特征的名字 |
|
Status |
特征的狀態,取值包括: · Enabled:表示生效狀態 · Disabled:表示失效狀態 |
|
Action |
報文與特征匹配成功後對該報文執行的動作,取值包括: · Permit:允許報文通過 · Drop:丟棄報文 · Reset:表示通過發送TCP的reset報文從而使TCP或UDP連接斷開 · Block-source:阻斷報文 · Logging:生成報文日誌 · Capture:捕獲報文 |
|
Severity |
特征的嚴重程度,從低到高分為四級:Low、Medium、High、Critical |
|
Fidelity |
特征的可信度屬性,可信度從低到高分為三個級別:Low、Medium、High |
|
Direction |
特征匹配的方向,取值包括: · Any:雙向 · To-client:服務器到客戶端的方向 · To-server:客戶端到服務器的方向 |
|
Rulelogic |
特征下規則間的邏輯關係 |
|
Description |
特征的描述信息 |
|
Total rules |
特征下的規則數量 |
|
Rule List |
特征下的規則列表 |
|
Rule ID |
特征下的規則編號 |
|
Match-type |
特征匹配內容的類型,取值包括: · Keyword:關鍵字類型 · Integer:數值類型 |
|
HTTP method |
特征匹配的HTTP報文請求方法 |
|
Source address |
特征匹配的源IP地址 |
|
Source port |
特征匹配的源端口範圍 |
|
Destination address |
特征匹配的目的IP地址 |
|
Destination port |
特征規則匹配的目的端口範圍 |
|
trigger entry |
特征規則的觸發檢查項 |
|
Field |
特征規則觸發檢查項檢測的協議字段 |
|
Value |
特征規則觸發檢查項檢測的內容 |
|
Offset |
特征規則觸發檢查項的絕對偏移量 |
|
Depth |
特征規則觸發檢查項的檢測深度 |
|
Detection entry list |
特征規則的檢查項列表 |
|
Entry ID |
特征規則的檢查項編號 |
|
Field |
特征規則檢查項的協議字段 |
|
Match type |
特征規則檢查項的匹配方式,取值包括: · include:包含 · exclude:不包含 |
|
Content-type |
特征規則檢查項檢查內容的類型,取值包括: · hex:表示十六進製字符 · regex:表示正則表達式 · text:表示文本 |
|
Content |
特征規則檢查項的檢查內容 |
exception命令用來配置CC攻擊防護例外IP地址。
undo exception命令用來刪除CC攻擊防護例外IP地址。
【命令】
exception { ipv4 ipv4-address | ipv6 ipv6-address }
undo exception { all | ipv4 ipv4-address | ipv6 ipv6-address }
【缺省情況】
未配置CC攻擊防護例外IP地址。
【視圖】
CC攻擊防護策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv4 ipv4-address:表示例外IPv4地址。
ipv6 ipv6-address:表示例外IPv6地址。
all:表示所有例外IP地址。
【使用指導】
如果用戶HTTP報文中的源IP地址與例外IP地址匹配成功,則直接允許此報文通過;如果匹配失敗,則繼續進行後續的CC攻擊檢測。
【舉例】
# 在名稱為news的CC攻擊防護策略中,配置IPv4例外地址為192.168.4.83。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news] exception ipv4 192.168.4.83
http-method命令用來配置WAF自定義特征規則匹配的HTTP報文請求方法。
undo http-method命令用來恢複缺省情況。
【命令】
http-method method-name
undo http-method
【缺省情況】
未配置WAF自定義特征規則匹配的HTTP報文的請求方法。
【視圖】
WAF自定義特征規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
method-name:HTTP報文的請求方法,不區分大小寫。如:GET、POST等。需要通過輸入“?”獲取支持的請求方法。
【使用指導】
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在WAF自定義特征mysignature中,新建編號為1的關鍵字類型規則,配置自定義特征規則匹配的HTTP報文的請求方法為GET。
<Sysname> system-view
[Sysname] waf signature user-defined name mysignature
[Sysname-waf-signature-mysignature] rule 1 pattern-type keyword
[Sysname-waf-signature-mysignature-rule-1] http-method get
logging enable命令用來開啟日誌記錄功能。
undo logging enable命令用來關閉日誌記錄功能。
【命令】
logging enable
undo logging enable
【缺省情況】
日誌記錄功能處於關閉。
【視圖】
CC攻擊防護策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
開啟日誌記錄功能後,當設備檢測出存在CC攻擊時,將以快速日誌方式輸出CC攻擊防護日誌到日誌主機。有關快速日誌的詳細介紹請參見“網絡管理和監控命令參考”中的“快速日誌輸出”。
【舉例】
# 在CC攻擊防護策略news下名稱為test的規則中開啟日誌記錄功能。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news] rule name test
[Sysname-cc-defense-policy-news-rule-test] logging enable
method命令用來配置作為CC攻擊防護策略規則過濾條件的請求方法。
undo method命令用來刪除作為CC攻擊防護策略規則過濾條件的請求方法。
【命令】
method { connect | delete | get | head | options | post | put | trace } *
undo method { connect | delete | get | head | options | post | put | trace }
【缺省情況】
不存在請求方法過濾條件。
【視圖】
CC攻擊防護策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
connect:表示CONNECT請求方法,用於要求用隧道協議連接代理。
delete:表示DELETE請求方法,用於刪除文件。
get:表示GET請求方法,用於獲取資源。
head:表示HEAD請求方法,用於獲得報文首部。
options:表示OPTIONS請求方法,用於詢問支持的方法。
post:表示POST請求方法,用於傳輸實體的主體。
put:表示PUT請求方法,用於傳輸文件。
trace:表示TRACE請求方法,用於追蹤路徑。
【使用指導】
多次執行本命令,可配置多個請求方法作為CC攻擊防護策略規則的過濾條件。
【舉例】
# 在CC攻擊防護策略news下名稱為test的規則中配置作為過濾條件的請求方法為POST。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news] rule name test
[Sysname-cc-defense-policy-news-rule-test] method post
object-dir命令用來配置篩選WAF特征的方向屬性。
undo object-dir命令用來恢複缺省情況。
【命令】
object-dir { client | server } *
undo object-dir
【缺省情況】
未配置方向屬性篩選條件。
【視圖】
WAF策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
client:表示從服務器到客戶端方向上的對象。
server:表示從客戶端到服務器方向上的對象。
【使用指導】
可通過配置方向屬性篩選出具有該屬性的特征,WAF策略將使用篩選出的特征與報文進行匹配。可同時配置多個方向,隻要符合其中一個,具有該方向屬性的特征將會被篩選出來。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在名稱為test-policy的WAF策略中配置篩選WAF特征的方向屬性為client。
<Sysname> system-view
[Sysname] waf policy test-policy
[Sysname-waf-policy-test-policy] object-dir client
override-current命令用來配置定期自動在線升級WAF特征庫時覆蓋當前的特征文件。
undo override-current命令用來恢複缺省情況。
【命令】
override-current
undo override-current
本命令的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20 |
不支持 |
|
F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1020、F1010-GM、F1020-GM |
不支持 |
|
F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
不支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK710、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9150、F1000-AK9210 |
不支持 |
|
F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK711、F1000-AK1125、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
【缺省情況】
定期自動在線升級WAF特征庫時不會覆蓋當前的特征庫文件,而是將當前的特征庫文件備份為上一版本。
【視圖】
自動升級配置視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
可以通過開啟此功能解決升級WAF特征庫時設備內存不足的問題。在設備剩餘內存充裕的情況下,不建議配置該功能,因為WAF特征庫升級時,如果沒有備份當前特征庫文件,則不能回滾到上一版本。
【舉例】
# 配置定期自動在線升級WAF特征庫時覆蓋當前的特征文件。
<Sysname> system-view
[Sysname] waf signature auto-update
[Sysname-waf-sig-autoupdate] override-current
【相關命令】
· waf signature auto-update-now
protected-target命令用來配置篩選WAF特征的保護對象屬性。
undo protected-target命令用來刪除篩選WAF特征的保護對象屬性。
【命令】
protected-target { target [ sub-target subtarget ] | all }
undo protected-target { target [ sub-target subtarget ] | all }
【缺省情況】
未配置保護對象屬性篩選條件。
【視圖】
WAF策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
target:表示保護對象分類名稱。不區分大小寫,可通過輸入“?”獲取支持的對象分類名稱。
subtarget:表示保護對象分類中的子對象名稱。若不指定本參數,則表示保護某對象分類中的所有子對象。不區分大小寫,可通過輸入“?”獲取支持的子對象分類名稱。
all:表示所有保護對象。
【使用指導】
可通過配置保護對象屬性篩選出具有該屬性的特征,WAF策略將使用篩選出的特征與報文進行匹配。可多次執行本命令,配置多個保護對象。隻要符合其中一個,具有該保護對象屬性的特征將會被篩選出來。
【舉例】
# 在名稱為test-policy的WAF策略中配置篩選WAF特征的保護對象為WebServer中WebLogic子對象。
<Sysname> system-view
[Sysname] waf policy test-policy
[Sysname-waf-policy-test-policy] protected-target WebServer sub-target WebLogic
【相關命令】
· display waf policy
protected-url命令用來配置CC攻擊防護策略規則防護的路徑。
undo protected-url命令用來刪除CC攻擊防護策略規則防護的路徑。
【命令】
protected-url url
undo protected-url url
【缺省情況】
未配置CC攻擊防護策略規則防護的路徑。
【視圖】
CC攻擊防護策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
url:表示CC攻擊防護策略規則防護的URL,取值範圍為1~255個字符,不區分大小寫,不包含域名以及請求參數部分,以“/”開頭。例如/portal/release/ir/default.jsp。
【使用指導】
本命令用來配置CC攻擊防護的網站資源的路徑。
多次執行本命令,可配置多個CC攻擊防護策略規則防護的路徑。
【舉例】
# 在CC攻擊防護策略news下名稱為test的規則中配置防護的路徑為/portal/release/ir/default.jsp。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news] rule name test
[Sysname-cc-defense-policy-news-rule-test] protected-url /portal/release/ir/default.jsp
rule copy命令用來複製CC攻擊防護策略規則。
【命令】
rule copy rule-name new-rule-name
【視圖】
CC攻擊防護策略規圖
【缺省用戶角色】
network-admin
context-admin
【參數】
rule-name:表示被複製的規則的名稱,為1~31個字符的字符串,不區分大小寫。
new-rule-name:表示新規則的名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
在CC攻擊防護策略中,如果需要創建的新規則的配置和已存在的規則非常相似,可通過複製此規則來生成新規則,再修改差異配置來實現,方便用戶快速創建新規則。
【舉例】
# 在CC攻擊防護策略news下,複製名稱為test的規則為名稱為testtmp的新規則。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news] rule copy test testtmp
rule move命令用來移動CC攻擊防護策略規則。
【命令】
rule move rule-name1 { after | before } rule-name2
【視圖】
CC攻擊防護策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
rule-name1:指定待移動CC攻擊防護策略規則名稱,為1~31個字符的字符串,不區分大小寫。
after:表示將待移動規則移動到目標規則之後。
before:表示將待移動規則移動到目標規則之前。
rule-name2:指定目標CC攻擊防護策略規則的名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
CC攻擊防護策略規則按照配置順序進行匹配,可通過移動規則位置調整規則匹配的順序。
【舉例】
# 在CC攻擊防護策略news的匹配規則列表中,將名稱為rule2的規則移動到名稱為rule1的規則前麵。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news] rule move rule2 before rule1
rule命令用來創建CC攻擊防護策略規則,並進入CC攻擊防護策略規則視圖。如果指定的CC攻擊防護策略規則已經存在,則直接進入CC攻擊防護策略規則視圖。
undo rule命令用來刪除指定的CC攻擊防護策略規則。
【命令】
rule name rule-name
undo rule name rule-name
【缺省情況】
不存在CC攻擊防護策略規則。
【視圖】
CC攻擊防護策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
name rule-name:表示CC攻擊防護策略規則的名稱,rule-name表示規則名稱,為1~31個字符的字符串,不區分大小寫,不可輸入“-”。
【使用指導】
CC攻擊防護策略規則下可以配置如下內容:
· CC攻擊檢測的過濾條件,包括:目的IP地址、目的端口號和請求方法。
· CC攻擊防護策略規則防護的路徑。
· CC攻擊檢測的檢查項閾值。
· CC攻擊防護策略規則的動作。
CC攻擊防護策略規則的匹配順序為配置順序,當報文與一條規則匹配成功時,則結束匹配過程。
【舉例】
# 在名稱為news的CC攻擊防護策略中創建一條名稱為test的CC攻擊防護策略規則,並進入CC攻擊防護策略規則視圖。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news] rule name test
[Sysname-cc-defense-policy-news-rule-test]
rule命令用來創建WAF自定義特征規則,並進入WAF自定義特征規則視圖。如果指定的WAF自定義特征規則已經存在,則直接進入WAF自定義特征規則視圖。
undo rule命令用來刪除WAF自定義特征規則。
【命令】
rule rule-id pattern-type { integer | keyword }
undo rule { rule-id | all }
【缺省情況】
未配置WAF自定義特征規則。
【視圖】
WAF自定義特征視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
rule-id:表示WAF自定義特征規則的ID,取值範圍為1~8。
pattern-type:表示WAF自定義特征匹配內容的類型。
integer:表示數值類型。
keyword:表示關鍵字類型。
all:表示所有WAF自定義特征規則。
【使用指導】
一個自定義特征下可以配置多條規則作為特征的匹配條件,規則間可以配置邏輯關係(即通過rule-logic命令配置)。
不支持通過多次執行本命令修改同一ID的自定義特征規則的匹配類型,如需修改匹配類型,請先執行undo rule命令。
【舉例】
# 在WAF自定義特征mysignature中,創建編號為1的自定義特征規則,並配置匹配內容的類型為字符串。
<Sysname> system-view
[Sysname] waf signature user-defined name mysignature
[Sysname-waf-signature-mysignature] rule 1 pattern-type keyword
[Sysname-waf-signature-mysignature-rule-1]
rule-logic命令用來配置WAF自定義特征下規則間的邏輯關係。
undo rule-logic命令用來恢複缺省情況。
【命令】
rule-logic { and | or }
undo rule-logic
【缺省情況】
WAF自定義特征下規則間的邏輯關係為or。
【視圖】
WAF自定義特征視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
and:表示邏輯與關係。
or:表示邏輯或關係。
【使用指導】
如果規則間是邏輯與的關係,報文需要匹配該自定義特征的所有規則才結束匹配過程;如果規則間是邏輯或的關係,一旦報文與某條規則匹配成功就結束此匹配過程。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置WAF自定義特征下規則間為邏輯與的關係。
<Sysname> system-view
[Sysname] waf signature user-defined name mysignature
[Sysname-waf-signature-mysignature] rule-logic and
severity-level命令用來配置篩選WAF特征的嚴重級別屬性。
undo severity-level命令用來恢複缺省情況。
【命令】
severity-level { critical | high | low | medium } *
undo severity-level
【缺省情況】
未配置嚴重級別屬性篩選條件。
【視圖】
WAF策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
critical:表示嚴重級別最高。
high:表示嚴重級別高。
low:表示嚴重級別低。
medium:表示嚴重級別一般。
【使用指導】
嚴重級別是指匹配此WAF特征的網絡攻擊造成危害的嚴重程度。可通過配置嚴重級別屬性篩選出具有該屬性的特征,WAF策略將使用篩選出的特征與報文進行匹配。可同時配置多個嚴重級別,隻要符合其中一個,具有該嚴重級別屬性的特征將會被篩選出來。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在名稱為test-policy的WAF策略中配置篩選WAF特征的嚴重級別為critical和medium。
<Sysname> system-view
[Sysname] waf policy test-policy
[Sysname-waf-policy-test-policy] severity-level critical medium
【相關命令】
· waf policy
severity命令用來配置WAF自定義特征的嚴重級別。
undo severity命令用來恢複缺省情況。
【命令】
severity-level { critical | high | low | medium }
undo severity-level
【缺省情況】
WAF自定義特征的嚴重級別為low。
【視圖】
WAF自定義特征視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
critical:表示自定義特征的嚴重級別為嚴重。
high:表示自定義特征的嚴重級別為高。
low:表示自定義特征的嚴重級別為低。
medium:表示自定義特征的嚴重級別為中。
【使用指導】
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在WAF自定義特征mysignature中,配置嚴重級別為low。
<Sysname> system-view
[Sysname] waf signature user-defined name mysignature
[Sysname-waf-signature-mysignature] severity low
signature override命令用來修改WAF策略中指定預定義特征的動作和狀態。
undo signature override命令用來恢複WAF策略中指定預定義特征屬性中的動作和狀態。
【命令】
signature override pre-defined signature-id { disable | enable } [ { block-source | drop | permit | redirect | reset } | capture | logging ] *
undo signature override pre-defined signature-id
【缺省情況】
預定義WAF特征使用係統預定義的狀態和動作。
【視圖】
WAF策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
signature-id:WAF預定義特征的編號,取值範圍為1~536870911。
disable:表示禁用此WAF特征。在某些網絡環境中,如果一些WAF特征暫時不會被用到,而且又不想將其從WAF策略中刪除時,可以使用disable參數來禁用這些規則。
enable:表示啟用此WAF特征。
block-source:表示源阻斷,該動作阻斷符合特征的報文,並會將該報文的源IP地址加入IP黑名單。如果設備上同時開啟了IP黑名單過濾功能,則一定時間內(由block-period命令指定)來自此IP地址的所有報文將被直接丟棄;否則,此IP黑名單不生效。有關IP黑名單過濾功能的詳細介紹請參見“安全命令參考”中的“攻擊檢測與防範”,有關block-period命令的詳細介紹請參見“DPI深度安全”中的“應用層檢測引擎”。
drop:表示丟棄報文。
permit:表示允許報文通過。
redirect:表示把符合特征的報文重定向到指定的Web頁麵上。
reset:表示通過發送TCP的reset報文使TCP連接斷開。
capture:表示捕獲報文。
logging:表示生成報文日誌。
【使用指導】
本命令用於修改WAF特征的動作和狀態,名稱為default的缺省WAF策略中特征的動作和狀態不能被修改。
在同一個WAF策略視圖中對同一WAF特征多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在名稱為test-policy的WAF策略中配置編號為2的預定義WAF特征的狀態為開啟,動作為丟棄和捕獲報文,並生成日誌信息。
<Sysname> system-view
[Sysname] waf policy test-policy
[Sysname-waf-policy-test-policy] signature override pre-defined 2 enable drop capture logging
【相關命令】
· blacklist enable (security zone view)(安全命令參考/攻擊檢測與防範)
· signature override all
signature override all命令用來配置WAF策略中所有特征的統一動作。
undo signature override all命令用來恢複缺省情況。
【命令】
signature override all { { block-source | drop | permit | redirect | reset } | capture | logging } *
undo signature override all
【缺省情況】
WAF策略執行特征屬性中的動作。
【視圖】
WAF策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
block-source:表示源阻斷,該動作阻斷符合特征的報文,並會將該報文的源IP地址加入IP黑名單。如果設備上同時開啟了IP黑名單過濾功能,則一定時間內(由block-period命令指定)來自此IP地址的所有報文將被直接丟棄;否則,此IP黑名單不生效。有關IP黑名單過濾功能的詳細介紹請參見“安全命令參考”中的“攻擊檢測與防範”,有關block-period命令的詳細介紹請參見“DPI深度安全”中的“應用層檢測引擎”。
drop:表示丟棄報文。
permit:表示允許報文通過。
redirect:表示把符合特征的報文重定向到指定的Web頁麵上。
reset:表示通過發送TCP的reset報文使TCP連接斷開。
capture:表示捕獲報文。
logging:表示生成報文日誌。
【使用指導】
如果在WAF策略中為所有特征配置了統一動作,則設備將根據該動作對與此策略中特征匹配成功的報文進行處理。否則,設備將根據特征屬性中的動作對報文進行處理。
如果在WAF策略中修改了指定特征的動作,則無論是否為所有特征配置了統一的動作,設備都將根據修改後的動作對報文進行處理。
【舉例】
# 在名稱為test-policy的WAF策略中配置所有特征的統一動作為丟棄,並生成日誌信息和捕獲報文。
<Sysname> system-view
[Sysname] waf policy test-policy
[Sysname-waf-policy-test-policy] signature override all drop logging capture
【相關命令】
· blacklist enable (security zone view)(安全命令參考/攻擊檢測與防範)
· signature override
source-address命令用來配置WAF自定義特征規則匹配的源IP地址。
undo source-address命令用來恢複缺省情況。
【命令】
source-address ip ip-address
undo source-address
【缺省情況】
未配置WAF自定義特征規則匹配的源IP地址。
【視圖】
WAF自定義特征規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip-address:表示自定義特征匹配的源IPv4地址。
【使用指導】
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在WAF自定義特征mysignature中,新建編號為1的關鍵字類型規則,配置自定義特征規則匹配的源IP地址為10.1.1.1。
<Sysname> system-view
[Sysname] waf signature user-defined name mysignature
[Sysname-waf-signature-mysignature] rule 1 pattern-type keyword
[Sysname-waf-signature-mysignature-rule-1] source-address ip 10.1.1.1
source-port命令用來配置WAF自定義特征規則匹配的源端口。
undo source-port命令用來恢複缺省情況。
【命令】
source-port start-port [ to end-port ]
undo source-port
【缺省情況】
未配置WAF自定義特征匹配的源端口。
【視圖】
WAF自定義特征規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
start-port:表示源端口的起始端口號,取值範圍為1~65535。
to end-port:指定結束源端口號。end-port表示源端口的結束端口號,取值範圍為1~65535。若不指定該參數,則表示僅匹配起始端口號。
【使用指導】
本命令用於配置TCP協議的端口號。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在WAF自定義特征mysignature中,新建編號為1的關鍵字類型規則,配置自定義特征規則匹配的源端口範圍為1~3550。
<Sysname> system-view
[Sysname] waf signature user-defined name mysignature
[Sysname-waf-signature-mysignature] rule 1 pattern-type keyword
[Sysname-waf-signature-mysignature-rule-1] source-port 1 to 3550
trigger命令用來配置WAF自定義特征規則的觸發檢查項。
undo trigger命令用來恢複缺省情況。
【命令】
trigger field field-name include { hex hex-string | text text-string } [ offset offset-value ] [ depth depth-value ]
undo trigger
【缺省情況】
未配置WAF自定義特征規則的觸發檢查項。
【視圖】
WAF自定義特征規則視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
field-name:表示協議字段名稱,不區分大小寫。需要通過輸入“?”獲取支持的協議字段。
include:表示觸發檢查項與檢測內容的匹配方式是包含。
hex hex-string:表示觸發檢查項匹配的十六進製字符內容,hex-string表示匹配內容,為8~254個字符的字符串,且必須輸入偶數個字符,輸入參數必須在兩個豎杠“|”之間,僅支持輸入“0-9、A-F、a-f”,區分大小寫,例如|1234f5b6|。
text text-string:表示觸發檢查項匹配的字符串內容,text-string表示匹配內容,為3~255個字符的字符串,不區分大小寫。
offset offset-value:表示觸發檢查項的偏移量,從協議字段的起始位置開始偏移的長度。取值範圍為1~65535,單位為字節。若不配置該參數,則表示觸發檢查項從協議字段的起始位置開始檢測。
depth depth-value:表示觸發檢查項的檢測深度,從觸發檢查項檢測的起始位置開始,檢測的長度。取值範圍為3~65535,單位為字節。若不配置該參數,則表示觸發檢查項檢測整個協議字段。
【使用指導】
隻有自定義特征規則的匹配類型為關鍵字的情況下才需要配置觸發檢查項,觸發檢查項是同一規則下檢查項的觸發條件。如果一條規則的觸發檢查項匹配失敗,則該規則匹配失敗,不會再對該規則下的檢查項進行檢測。
對於關鍵字類型的自定義特征規則,在配置檢查項之前,必須先配置觸發檢查項。
刪除觸發檢查項後,將一並刪除所有的檢查項。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在WAF自定義特征mysignature中,新建編號為1的關鍵字類型規則,配置觸發檢查項的協議檢測字段為http-uri、匹配內容為字符串abc、偏移量為10、檢測深度為50。
<Sysname> system-view
[Sysname] waf signature user-defined name mysignature
[Sysname-waf-signature-mysignature] rule 1 pattern-type keyword
[Sysname-waf-signature-mysignature-rule-1] trigger field http-uri include text abc offset 10 depth 50
update schedule命令用來配置定期自動在線升級WAF特征庫的時間。
undo update schedule命令用來恢複缺省情況。
【命令】
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
undo update schedule
本命令的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15 |
不支持 |
|
F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM |
不支持 |
|
F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
不支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK710、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9150、F1000-AK9210 |
不支持 |
|
F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK711、F1000-AK1125、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
【缺省情況】
設備在每天01:00:00至03:00:00之間自動在線升級WAF特征庫。
【視圖】
自動升級配置視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
daily:表示自動升級周期為每天。
weekly:表示以一周為周期,在指定的一天進行自動升級。
fri:表示星期五。
mon:表示星期一。
sat:表示星期六。
sun:表示星期日。
thu:表示星期四。
tue:表示星期二。
wed:表示星期三。
start-time time:指定自動升級開始時間,time的格式為hh:mm:ss,取值範圍為00:00:00~23:59:59。
tingle minutes:指定抖動時間,即實際自動升級開始時間的偏差範圍,取值範圍為0~120,單位為分鍾。在start-time指定時間的前後各偏移抖動時間的一半作為自動升級的時間範圍,例如,指定自動升級的開始時間為01:00:00,抖動時間為60分鍾,則自動升級的時間範圍為00:30:00至01:30:00。
【舉例】
# 配置WAF特征庫的定期自動在線升級時間為每周一20:30:00,抖動時間為10分鍾。
<Sysname> system-view
[Sysname] waf signature auto-update
[Sysname-waf-sig-autoupdate] update schedule weekly mon start-time 20:30:00 tingle 10
【相關命令】
· waf signature auto-update
· waf signature auto-update-now
waf apply policy命令用來在DPI應用profile中引用WAF策略。
undo waf apply policy命令用來刪除引用的WAF策略。
【命令】
waf apply policy policy-name mode { alert | protect }
undo waf apply policy
【缺省情況】
DPI應用profile中未引用WAF策略。
【視圖】
DPI應用profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:指定WAF策略名稱,為1~63個字符的字符串,不區分大小寫。
mode:表示WAF策略的模式。
alert:告警模式,表示報文匹配上該WAF策略中的特征後,僅可以生成日誌或捕獲報文,但其他動作均不能生效。
protect:保護模式,表示報文匹配上該WAF策略中的特征後,設備按照特征的動作對該報文進行處理。
【使用指導】
WAF策略僅在被DPI應用profile引用後生效。一個DPI應用profile視圖下隻能引用一個WAF策略。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在名稱為sec的DPI應用profile下引用WAF策略waf1,且配置WAF策略為保護模式。
<Sysname> system-view
[Sysname] app-profile sec
[Sysname-app-profile-sec] waf apply policy waf1 mode protect
【相關命令】
· app-profile(DPI深度安全命令參考/應用層檢測引擎)
· waf policy
waf { block-source | capture | logging | redirect } parameter-profile命令用來配置WAF特征動作引用應用層檢測引擎動作參數profile。
undo waf { block-source | capture | logging | redirect } parameter-profile命令用來取消配置WAF特征動作引用應用層檢測引擎動作參數profile。
【命令】
waf { block-source | capture | logging | redirect } parameter-profile parameter-name
undo waf { block-source | capture | logging | redirect } parameter-profile
【缺省情況】
WAF特征動作未引用應用層檢測引擎動作參數profile。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
block-source:表示設置WAF源阻斷動作的參數。
capture:表示設置WAF捕獲動作的參數。
logging:表示設置WAF日誌動作的參數。
redirect:表示設置WAF重定向動作的參數。
parameter-profile parameter-name:指定WAF特征動作引用的應用層檢測引擎動作參數profile。parameter-name表示動作參數profile的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
每類WAF特征動作的具體執行參數由應用層檢測引擎動作參數profile來定義,可通過引用各動作參數proflle為WAF特征動作提供執行參數。有關應用層檢測引擎動作參數proflle的具體配置請參見“DPI深度安全命令參考”中的“應用層檢測引擎”。
如果WAF特征動作沒有引用應用層檢測引擎動作參數profile,或者引用的動作參數profile不存在,則使用係統中各動作參數的缺省值。
【舉例】
# 創建名稱為waf1的應用層檢測引擎源阻斷動作參數profile,配置其阻斷源IP地址的時長為1111秒。
<Sysname> system-view
[Sysname] inspect block-source parameter-profile waf1
[Sysname-inspect-block-source-waf1] block-period 1111
[Sysname-inspect-block-source-waf1] quit
# 配置WAF源阻斷動作引用名稱為waf1的應用層檢測引擎源阻斷動作參數profile。
[Sysname] waf block-source parameter-profile waf1
【相關命令】
· inspect block-source parameter-profile(DPI深度安全命令參考/應用層檢測引擎)
· inspect capture parameter-profile(DPI深度安全命令參考/應用層檢測引擎)
· inspect logging parameter-profile(DPI深度安全命令參考/應用層檢測引擎)
· inspect redirect parameter-profile(DPI深度安全命令參考/應用層檢測引擎)
waf policy命令用來創建WAF策略,並進入WAF策略視圖。如果指定的策略已經存在,則直接進入WAF策略視圖。
undo waf policy命令用來刪除指定的WAF策略。
【命令】
waf policy policy-name
undo waf policy policy-name
【缺省情況】
存在WAF策略,名稱為default。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:表示WAF策略的名稱,為1~63個字符的字符串,不區分大小寫,創建策略時策略名稱不能為default且不能包含“protected-website”字符串。
【使用指導】
WAF策略下可以配置特征過濾條件、匹配特征後執行的動作、防護的網站以及引用CC攻擊防護策略。
名稱為default的策略不可以被刪除。
WAF策略需要在app-profile中引用才生效,有關app-profile的詳細介紹,請參見“DPI深度安全命令參考”中的“應用層檢測引擎”。
【舉例】
# 創建名稱為test-policy的WAF策略,並進入該WAF策略視圖。
<Sysname> system-view
[Sysname] waf policy test-policy
[Sysname-waf-policy-test-policy]
【相關命令】
· app-profile(DPI深度安全命令參考/應用層檢測引擎)
· display waf policy
waf signature命令用來創建WAF自定義特征,並進入WAF自定義特征視圖。如果指定的WAF自定義特征已經存在,則直接進入WAF自定義特征視圖。
undo waf signature命令用來刪除WAF自定義特征。
【命令】
waf signature user-defined name signature-name
undo waf signature user-defined { all | name signature-name }
【缺省情況】
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
signature-name:表示WAF自定義特征的名稱,取值範圍為1~63個字符的字符串,不區分大小寫。
all:表示所有WAF自定義特征。
【使用指導】
多次執行本命令,可配置多個WAF自定義特征。
刪除WAF自定義特征後,將刪除該特征下的所有配置。
# 創建名稱為mysignature的WAF自定義特征。
<Sysname> system-view
[Sysname] waf signature user-defined name mysignature
[Sysname-waf-signature-mysignature]
【相關命令】
· display waf signature user-defined
waf signature auto-update命令用來開啟定期自動在線升級WAF特征庫功能,並進入自動升級配置視圖。
undo waf signature auto-update命令用來關閉定期自動在線升級WAF特征庫功能。
【命令】
waf signature auto-update
undo waf signature auto-update
本命令的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15 |
不支持 |
|
F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM |
不支持 |
|
F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
不支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK710、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9150、F1000-AK9210 |
不支持 |
|
F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK711、F1000-AK1125、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
【缺省情況】
定期自動在線升級WAF特征庫功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
如果設備可以訪問官方網站上的特征庫服務專區,可以采用定期自動在線升級方式來對設備上的WAF特征庫進行升級。
【舉例】
# 開啟定期自動在線升級WAF特征庫功能,並進入自動升級配置視圖。
<Sysname> system-view
[Sysname] waf signature auto-update
[Sysname-waf-sig-autoupdate]
【相關命令】
· update schedule
waf signature auto-update-now命令用來立即自動在線升級WAF特征庫。
【命令】
waf signature auto-update-now
本命令的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15 |
不支持 |
|
F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM |
不支持 |
|
F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
不支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK710、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9150、F1000-AK9210 |
不支持 |
|
F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK711、F1000-AK1125、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
執行此命令後,將立即自動升級設備上的WAF特征庫,且會備份當前的WAF特征庫文件。此命令的生效與否,與是否開啟了定期自動升級WAF特征庫功能無關。
當管理員發現官方網站上的特征庫服務專區中的WAF特征庫有更新時,可以選擇立即自動在線升級方式來及時升級WAF特征庫版本。
【舉例】
# 立即自動在線升級WAF特征庫版本。
<Sysname> system-view
[Sysname] waf signature auto-update-now
waf signature rollback命令用來回滾WAF特征庫。
【命令】
waf signature rollback { factory | last }
本命令的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15 |
不支持 |
|
F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM |
不支持 |
|
F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
不支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK710、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9150、F1000-AK9210 |
不支持 |
|
F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK711、F1000-AK1125、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
factory:表示WAF特征庫的出廠版本。
last:表示WAF特征庫的上一版本。
【使用指導】
WAF特征庫回滾是指將當前的WAF特征庫版本回滾到指定的版本。如果管理員發現設備當前WAF特征庫版本在檢測和防禦網絡攻擊時,誤報率較高或出現異常情況,則可以對當前WAF特征庫版本進行回滾。目前支持將設備中的WAF過濾特征庫版本回滾到出廠版本和上一版本。
WAF特征庫版本每次回滾前,設備都會備份當前版本。多次回滾上一版本的操作將會在當前版本和上一版本之間反複切換。例如當前WAF特征庫是V2,上一版本是V1,第一次執行回滾到上一版本的操作後,特征庫替換成V1版本,再執行回滾上一版本的操作則特征庫重新變為V2版本。
【舉例】
# 配置WAF特征庫回滾到上一版本。
<Sysname> system-view
[Sysname] waf signature rollback last
【相關命令】
· override-current
waf signature update命令用來手動離線升級WAF特征庫。
【命令】
waf signature update [ override-current ] file-path [ vpn-instance vpn-instance-name ] [ source { ip | ipv6 } { ip-address | interface interface-type interface-number } ]
本命令的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15 |
不支持 |
|
F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM |
不支持 |
|
F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
不支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK710、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9150、F1000-AK9210 |
不支持 |
|
F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK711、F1000-AK1125、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
override-current:表示覆蓋當前版本的特征庫文件。如果不指定本參數,則表示當前特征庫在升級之後作為備份特征庫保存在設備上。
file-path:指定特征庫文件的路徑,為1~255個字符的字符串。
vpn-instance vpn-instance-name:表示TFTP、FTP服務器所屬的VPN實例。vpn-instance-name為MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果不指定該參數,則表示TFTP、FTP服務器位於公網中。
本命令的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15 |
不支持 |
|
F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM |
不支持 |
|
F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
不支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK710、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9150、F1000-AK9210 |
不支持 |
|
F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK711、F1000-AK1125、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
source:指定手動離線升級特征庫時發送給TFTP、FTP服務器的請求報文的源IP地址。如果不指定該參數,則表示使用係統根據路由表項查找到的出接口的地址。
本命令的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15 |
不支持 |
|
F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM |
不支持 |
|
F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
不支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK710、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9150、F1000-AK9210 |
不支持 |
|
F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK711、F1000-AK1125、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
ip ip-address:指定手動離線升級特征庫時發送給TFTP、FTP服務器的請求報文的源IPv4地址。
本命令的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15 |
不支持 |
|
F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM |
不支持 |
|
F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
不支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK710、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9150、F1000-AK9210 |
不支持 |
|
F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK711、F1000-AK1125、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
ipv6 ip-address:指定手動離線升級特征庫時發送給TFTP、FTP服務器的請求報文的源IPv6地址。
本命令的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15 |
不支持 |
|
F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM |
不支持 |
|
F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
不支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK710、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9150、F1000-AK9210 |
不支持 |
|
F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK711、F1000-AK1125、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
interface interface-type interface-number:指定該接口的主IPv4地址或接口上最小的IPv6地址為源IP地址。
本命令的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15 |
不支持 |
|
F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM |
不支持 |
|
F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
不支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK710、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9150、F1000-AK9210 |
不支持 |
|
F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK711、F1000-AK1125、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
【使用指導】
如果設備不能訪問官方網站上的特征庫服務專區,管理員可以采用如下幾種方式手動離線升級WAF特征庫版本。
· 本地升級:使用本地保存的特征庫文件升級係統上的WAF特征庫版本。
· FTP/TFTP升級:通過FTP或TFTP方式下載遠程服務器上保存的特征庫文件,並升級係統上的WAF特征庫版本。
使用本地升級方式離線升級特征庫版本時,特征庫文件隻能存儲在當前主用設備上,否則設備升級特征庫會失敗。
參數file-path的取值與手動離線升級的操作方式有關。本地升級時參數file-path取值請參見表1-5;FTP/TFTP升級時參數file-path取值請參見表1-6。
|
升級場景 |
參數file-path取值 |
說明 |
|
特征庫文件的存儲位置與當前工作路徑一致 |
filename |
可以執行pwd命令查看當前工作路徑 有關pwd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
|
特征庫文件的存儲位置與當前工作路徑不一致,且在相同存儲介質上 |
filename |
需要先執行cd命令將工作路徑切換至特征庫文件所在目錄下 有關cd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
|
特征庫文件的存儲位置與當前工作路徑不在相同存儲介質上 |
path/ filename |
需要先執行cd命令將工作路徑切換至特征庫文件所在存儲介質的根目錄下,再指定特征庫文件的相對路徑 有關cd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
表1-6 FTP/TFTP升級時參數file-path取值說明表
|
升級場景 |
參數file-path取值 |
說明 |
|
特征庫文件存儲在開啟FTP服務的遠程服務器上 |
ftp://username:password@server/filename |
username為登錄FTP服務器的用戶名,password為登錄FTP服務器的密碼,server為FTP服務器的IP地址或主機名 當FTP的用戶名和密碼中使用了“:”、“@”和“/”三種特殊字符時,需要將這三種特殊字符替換為其對應的轉義字符。“:”、“@”和“/”三種特殊字符對應的轉義字符分別為“%3A或%3a”、“%40”和“%2F或%2f” |
|
特征庫文件存儲在開啟TFTP服務的遠程服務器上 |
tftp://server/filename |
server為TFTP服務器的IP地址或主機名 |
當采用FTP/TFTP方式升級特征庫時,如果指定的是服務器的主機名,則需要確保設備能通過靜態或動態域名解析方式獲得FTP/TFTP服務器的IP地址,並與之路由可達。否則設備升級特征庫會失敗。有關域名解析功能的詳細配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
如果管理員希望手動離線升級特征庫時發送給TFTP、FTP服務器的請求報文的源IP地址是一個特定的地址時,可配置source參數。例如,當組網環境中設備發出的報文需要經過NAT地址轉換後才能訪問TFTP、FTP服務器時,則需要管理員通過source參數指定一個符合NAT地址轉換規則的源IP地址(其中,如果設備需要經過一台獨立的NAT設備進行地址轉換時,本命令指定的IP地址必須可以與NAT設備三層路由可達),使設備發出的報文可以進行NAT地址轉換等處理,正常訪問TFTP、FTP服務器。
當同時配置了source和vpn-instance參數時,需要保證source中指定的源IP地址或接口所屬VPN實例與vpn-instance中配置的VPN實例相同。
【舉例】
# 配置手動離線升級WAF特征庫,且采用TFTP方式,WAF特征庫文件的遠程路徑為tftp://192.168.0.10/waf-1.0.2-en.dat。
<Sysname> system-view
[Sysname] waf signature update tftp://192.168.0.10/waf-1.0.2-en.dat
# 配置手動離線升級WAF特征庫,且采用FTP方式,WAF特征庫文件的遠程路徑為ftp://192.168.0.10/waf-1.0.2-en.dat,用戶名為user:123,密碼為user@abc/123。
<Sysname> system-view
[Sysname] waf signature update ftp://user%3A123:user%40abc%[email protected]/waf-1.0.2-en.dat
# 配置手動離線升級WAF特征庫,且采用本地方式,WAF特征庫文件的本地路徑為cfa0:/waf-1.0.23-en.dat,且當前工作路徑為cfa0:。
<Sysname> system-view
[Sysname] waf signature update waf-1.0.23-en.dat
# 配置手動離線升級WAF特征庫,且采用本地方式,WAF特征庫文件的本地路徑為cfa0:/dpi/waf-1.0.23-en.dat,且當前工作路徑為cfa0:。
<Sysname> cd dpi
<Sysname> system-view
[Sysname] waf signature update waf-1.0.23-en.dat
# 配置手動離線升級WAF特征庫,且采用本地方式,WAF特征庫文件的本地路徑為cfb0:/dpi/waf-1.0.23-en.dat,當前工作路徑為cfa0:。
<Sysname> cd cfb0:/
<Sysname> system-view
[Sysname] waf signature update dpi/waf-1.0.23-en.dat
xff-detection enable命令用來開啟X-Forwarded-For字段檢測功能。
undo xff-detection enable命令用來恢複缺省情況。
【命令】
xff-detection enable
undo x-forwarded-for enable
【缺省情況】
X-Forwarded-For字段檢測功能處於關閉狀態。
【視圖】
CC攻擊防護策略規則視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
本功能適用於客戶端使用代理方式訪問服務器的場景。
設備需要對客戶端的源IP地址進行檢測,當客戶端使用代理方式訪問服務器時,源IP地址將會發生改變,設備無法獲取真正的源IP地址。開啟X-forward-For字段檢測功能後,設備將從客戶端HTTP請求報文頭的X-forward-for字段獲取真正的源IP地址,避免上述問題。
【舉例】
# 在名稱為news的CC攻擊防護策略下,配置名稱為test的防護規則中開啟X-Forwarded-For字段檢測功能。
<Sysname> system-view
[Sysname] cc-defense policy news
[Sysname-cc-defense-policy-news] rule name test
[Sysname-cc-defense-policy-news-rule-test] xff-detection enable
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
