- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
10-APT防禦命令
本章節下載: 10-APT防禦命令 (237.08 KB)
本特性的支持情況與設備型號有關,請以設備實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
F1000-L係列 |
F1003-L、F1003-L-S、F1005-L、F1010-L |
支持 |
|
F1003-L-C |
不支持 |
|
|
F10X0係列 |
F1003-M、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
F1003-C、F1003-S |
不支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
F1000-AK9109 |
不支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
application命令用來配置需要送到沙箱檢測的應用層協議。
undo application命令用來刪除需要送到沙箱檢測的應用層協議。
【命令】
application { all | type { ftp | http | https | imap | nfs | pop3 | smb | smtp } * }
undo application { all | type { ftp | http | https | imap | nfs | pop3 | smb | smtp } * }
【缺省情況】
未配置需要送到沙箱檢測的應用層協議類型。
【視圖】
APT防禦策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
all:表示所有支持的應用層協議。
type:表示規則生效的協議類型。
ftp:表示FTP協議。
http:表示HTTP協議。
https:表示HTTPS協議。
imap:表示IMAP協議。
nfs:表示NFS協議,NFS協議僅支持NFSv3版本。
pop3:表示POP3協議。
smb:表示SMB協議,SMB協議支持SMBv1和SMBv2版本。
smtp:表示SMTP協議。
【使用指導】
通過配置此命令,可以根據文件傳輸所采用的應用層協議類型來靈活控製對哪些協議類型的報文送往沙箱檢測。
多次執行本命令,可配置多個需要送到沙箱檢測的應用層協議。
【舉例】
# 在APT防禦策略policy1中,配置送到沙箱檢測的應用層協議類型為http協議。
<Sysname> system-view
[Sysname] apt policy policy1
[Sysname-apt-policy-policy1] application type http
apt apply policy命令用來在DPI應用profile中引用APT防禦策略。
undo apt apply policy命令用來刪除引用的APT防禦策略。
【命令】
apt apply policy policy-name
undo apt apply policy
【缺省情況】
DPI應用profile中未引用APT防禦策略。
【視圖】
DPI應用profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:表示APT防禦策略的名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
APT防禦策略僅在被DPI應用profile引用後生效。一個DPI應用profile視圖下隻能引用一個APT防禦策略,引用的APT防禦策略必須已存在。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在名稱為profile1的DPI應用profile下引用APT防禦策略policy1。
<Sysname> system-view
[Sysname] app-profile profile1
[Sysname-app-profile-profile1] apt apply policy policy1
apt cache size命令用來配置APT防禦緩存記錄的上限。
undo apt cache size命令用來恢複缺省情況。
【命令】
apt cache size cache-size
undo apt cache size
【缺省情況】
APT防禦緩存記錄的上限為10萬條。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
cache-size:指定APT防禦緩存記錄的上限,取值範圍為100000~200000條。
【使用指導】
僅支持在缺省Context下配置本命令。有關Context的詳細介紹,請參見“虛擬化技術配置指導”中的“Context”。
沙箱檢測返回的檢測結果將被緩存在APT防禦緩存中用於後續報文匹配。
當用戶修改APT防禦緩存參數時,配置的緩存記錄上限值小於當前已緩存的數目,設備將從APT防禦緩存中刪除緩存時間最老的記錄。
【舉例】
# 配置APT防禦緩存記錄的上限為200000條。
<Sysname> system-view
[Sysname] apt cache size 200000
apt policy命令用來創建或進入APT防禦策略視圖。如果指定的APT防禦護策略已存在,則直接進入APT防禦策略視圖。
undo apt policy命令用來刪除指定的APT防禦策略。
【命令】
apt policy policy-name
undo apt policy policy-name
【缺省情況】
存在一個名稱為default的APT防禦策略。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:表示APT防禦策略的名稱,為1~31個字符的字符串,不區分大小寫。新建的APT防禦策略名稱不能為default。
【使用指導】
APT防禦策略僅在被DPI應用profile中引用後生效。
【舉例】
# 創建一個名稱為policy1的APT防禦策略,並進入該防禦策略視圖。
<Sysname> system-view
[Sysname] apt policy policy1
[Sysname-apt-policy-policy1]
【相關命令】
· apt apply policy
description命令用來配置APT防禦策略的描述信息。
undo description命令用來恢複缺省情況。
【命令】
description description-string
undo description
【缺省情況】
未配置APT防禦策略的描述信息。
【視圖】
APT防禦策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
description-string:表示APT防禦策略的描述信息,為1~255個字符的字符串,不區分大小寫。
【使用指導】
通過合理編寫描述信息,便於管理員快速理解和識別本APT防禦策略的作用,有利於後期維護。
【舉例】
# 配置APT防禦策略policy1的描述信息為description1。
<Sysname> system-view
[Sysname] apt policy policy1
[Sysname-apt-policy-policy1] description description1
display apt cache命令行用來顯示APT防禦緩存中的信息。
【命令】
display apt cache [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
slot slot-number:顯示指定成員設備上APT防禦緩存的信息。slot-number為設備在IRF中的成員編號。若不指定該參數,則表示所有成員設備。
【使用指導】
可通過本命令查看APT防禦緩存的信息以及沙箱檢測功能相關信息。其中,APT防禦緩存包含命中列表和非命中列表。命中列表表示檢測出威脅的文件列表,非命中列表表示無威脅或未檢測出威脅的文件列表。
【舉例】
# 顯示APT防禦緩存中的信息。
<Sysname> display apt cache
Slot 1:
APT cache information:
Sandbox-query state : Disabled
Total cached non-hit entries : 0
Total cached hit entries : 0
Non-hit list min update interval : 0 seconds
Hit list min update interval : 0 seconds
表1-1 display apt cache命令顯示信息描述表
|
字段 |
描述 |
|
APT cache information |
APT防禦緩存信息 |
|
Sandbox-query state |
沙箱檢測功能的狀態,取值包括: · Enabled:表示此功能已啟用 · Disabled:表示此功能已關閉 |
|
Total cached non-hit entries |
非命中列表中節點的總數目 |
|
Total cached hit entries |
命中列表中節點的總數目 |
|
Non-hit list min update interval |
非命中列表表項中,距離上一次刷新時間最短的時間間隔,單位為秒 |
|
Hit list min update interval |
命中列表表項中,距離上一次刷新時間最短的時間間隔,單位為秒 |
display apt linkage state命令用來顯示設備與沙箱的連接狀態。
【命令】
display apt linkage state
【視圖】
任意視圖
【缺省用戶角色】
network-admin
context-admin
【舉例】
# 顯示設備與沙箱的連接狀態。
<Sysname> display apt linkage state
The sandbox state is connected
file max-size命令用來配置送往沙箱檢測的文件大小上限。
undo file max-size命令用來恢複缺省情況。
【命令】
file file-type max-size max-file-size
undo file file-type max-size
【缺省情況】
未配置送往沙箱檢測的文件大小上限,設備使用各類文件類型大小上限的缺省值。
【視圖】
沙箱視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
file-type:表示需要送到沙箱檢測的文件類型名稱,不區分大小寫。可通過輸入“?”獲取支持的文件類型。
max-file-size:表示文件大小上限值,單位為KB。不同文件類型的取值範圍不同,可通過輸入“?”獲取不同文件類型的上限值取值範圍。
【使用指導】
超出上限的文件不會被送往沙箱進行檢測。
【舉例】
# 配置送往沙箱檢測的EXE文件大小的上限為10240KB。
<Sysname> system-view
[Sysname] sandbox
[Sysname-sandbox] file exe max-size 10240
file-direction命令用來配置送往沙箱檢測的文件傳輸方向。
undo file-direction命令用來恢複缺省情況。
【命令】
file-direction { both | download | upload }
undo file-direction
【缺省情況】
送往沙箱檢測的文件傳輸方向為both。
【視圖】
APT防禦策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
both:表示送往沙箱檢測的文件傳輸方向為上傳和下載。
download:表示送往沙箱檢測的文件傳輸方向為下載。
upload:表示送往沙箱檢測的文件傳輸方向為上傳。
【使用指導】
文件傳輸方向是一種篩選條件,設備僅將匹配指定傳輸方向的文件送往沙箱檢測。
多次配置本命令,最後一次執行的命令生效。
【舉例】
# 在APT防禦策略policy1中,配置送往沙箱檢測的文件傳輸方向為上傳。
<Sysname> system-view
[Sysname] apt policy policy1
[Sysname-apt-policy-policy1] file-direction upload
file-type命令用來配置需要送往沙箱檢測的文件類型。
undo file-type命令用來刪除需要送往沙箱檢測的文件類型。
【命令】
file-type { all | name &<1-8> }
undo file-type { all | name &<1-8> }
【缺省情況】
未配置需要送往沙箱檢測的文件類型。
【視圖】
APT防禦策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
all:表示所有文件類型。
name &<1-8>:表示需要送往沙箱檢測的文件類型名稱,不區分大小寫。可通過輸入“?”獲取支持的文件類型。&<1-8>表示前麵的參數最多可以輸入8次。
【使用指導】
文件類型是一種篩選條件,設備僅將指定類型的文件送往沙箱檢測。
多次執行本命令,可配置多個配置需要送往沙箱檢測的文件類型。
其中,如下類型的文件包含多種格式,配置指定類型對其包含的所有格式均生效。
· bmp文件類型包含bmp、dib
· jpg文件類型包含jpg、jpe、jpeg、jfif
· xml文件類型包含msc、xml
· rmvb文件類型包含rmvb,rm
· tgz文件類型包含tgz、tar.gz
【舉例】
# 在APT防禦策略policy1中,配置送往沙箱檢測的文件類型為doc。
<Sysname> system-view
[Sysname] apt policy policy1
[Sysname-apt-policy-policy1] file-type doc
linkage enable命令用來開啟沙箱聯動功能。
undo linkage enable命令用來關閉沙箱聯動功能。
【命令】
linkage enable
undo linkage enable
【缺省情況】
沙箱聯動功能處於關閉狀態。
【視圖】
沙箱視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
本命令用於開啟設備和沙箱的聯動功能,配置本命令後,設備不會向沙箱發起連接請求,還需要執行linkage try命令觸發與沙箱建立連接。
【舉例】
# 開啟沙箱聯動功能。
<Sysname> system-view
[Sysname] sandbox
[Sysname-sandbox] linkage enable
【相關命令】
· linkage try
· password
· sandbox-address
· username
linkage try命令用來觸發設備與沙箱建立連接。
【命令】
linkage try
【視圖】
沙箱視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
本命令僅在配置沙箱參數(沙箱地址、用戶名和密碼)並開啟沙箱聯動功能後生效。
執行本命令後,設備將向沙箱發起連接請求,成功連接後,設備會將待檢測文件送往沙箱檢測。
【舉例】
# 觸發設備與沙箱建立連接。
<Sysname> system-view
[Sysname] sandbox
[Sysname-sandbox] linkage try
【相關命令】
· linkage enable
· password
· sandbox-address
· username
password命令用來配置登錄沙箱的密碼。
undo password命令用來恢複缺省情況。
【命令】
password { cipher | simple } string
undo password
【缺省情況】
未配置登錄沙箱的密碼。
【視圖】
沙箱視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
cipher:表示以密文方式設置用戶密碼。
simple:表示以明文方式設置用戶密碼,該密碼將以密文形式存儲。
string:表示登錄沙箱的密碼。明文密碼為6~32個字符的字符串,區分大小寫,必須包含字母、數字和特殊字符中兩種及以上組合;密文密碼為32個字符的字符串,區分大小寫,必須包含字母和數字。
【使用指導】
如果設備已經與沙箱建立了連接,執行本命令修改登錄沙箱的密碼後,需要再次執行linkage try命令重新與沙箱建立連接。
【舉例】
# 配置登錄沙箱的明文密碼為123456abc。
<Sysname> system-view
[Sysname] sandbox
[Sysname-sandbox] password simple 123456abc
【相關命令】
· sandbox-address
· username
sandbox命令用來進入沙箱視圖。
undo sandbox命令用來刪除沙箱視圖下的所有配置。
【命令】
sandbox
undo sandbox
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【舉例】
# 進入沙箱視圖。
<Sysname> system-view
[Sysname] sandbox
[Sysname-sandbox]
sandbox-address命令用來配置沙箱地址。
undo sandbox-address命令用來恢複缺省情況。
【命令】
sandbox-address address-string
undo sandbox-address
【缺省情況】
未配置沙箱地址。
【視圖】
沙箱視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
address-string:表示沙箱的IP地址或者域名,為1~64個字符的字符串,隻能是字母、數字、下劃線“_”、連接符“-”、點號“·”和冒號“:”,不區分大小寫。
【使用指導】
如果設備已經與沙箱建立了連接,執行本命令修改沙箱地址後,需要再次執行linkage try命令重新與沙箱建立連接。
【舉例】
# 配置沙箱地址為www.example.com。
<Sysname> system-view
[Sysname] sandbox
[Sysname-sandbox] sandbox-address www.example.com
【相關命令】
· username
· password
username命令用來配置登錄沙箱的用戶名。
undo username命令用來恢複缺省情況。
【命令】
username user-name
undo username
【缺省情況】
未配置登錄沙箱的用戶名。
【視圖】
沙箱視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
user-name:登錄沙箱的用戶名,為5~12個字符的字符串,不區分大小寫。
【使用指導】
如果設備已經與沙箱建立了連接,執行本命令修改登錄沙箱的用戶名後,需要再次執行linkage try命令重新與沙箱建立連接。
【舉例】
# 配置登錄沙箱的用戶名為userabc。
<Sysname> system-view
[Sysname] sandbox
[Sysname-sandbox] username userabc
【相關命令】
· password
· sandbox-address
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
