登錄

歡迎userBOB登陆 退出

簡體中文

  • 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

04-DPI深度安全命令參考

目錄

11-IP信譽命令

本章節下載 11-IP信譽命令  (335.70 KB)

11-IP信譽命令

目 

1 IP信譽

1.1 IP信譽配置命令

1.1.1 attack-category

1.1.2 display ip-reputation

1.1.3 display ip-reputation attack-category

1.1.4 display ip-reputation exception

1.1.5 display ip-reputation signature library

1.1.6 display ip-reputation top-hit-statistics

1.1.7 exception

1.1.8 global enable

1.1.9 ip-reputation

1.1.10 ip-reputation signature auto-update

1.1.11 ip-reputation signature auto-update-now

1.1.12 ip-reputation signature rollback

1.1.13 ip-reputation signature update

1.1.14 top-hit-statistics enable

1.1.15 update schedule

 

1 IP信譽

本特性的支持情況與設備型號有關,請以設備實際情況為準。

係列

型號

說明

F50X0係列

F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M

支持

F5000-CN係列

F5000-CN30、F5000-CN60

支持

F5000-AI係列

F5000-AI-15、F5000-AI-20、F5000-AI-40

支持

F5000-V係列

F5000-V30

支持

F1000-AI係列

F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90

支持

F1000-L係列

F1003-L、F1003-L-S、F1005-L、F1010-L

支持

F1003-L-C

不支持

F10X0係列

F1003-M、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090

支持

F1003-C、F1003-S

不支持

F1000-V係列

F1000-V50、F1000-V60、F1000-V70、F1000-V90

支持

F1000-SASE係列

F1000-SASE100、F1000-SASE200

支持

F1000-AK係列

F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190

支持

F1000-AK9109

不支持

插卡

IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1

支持

vFW係列

vFW1000、vFW2000、vFW-E-Cloud

支持

1.1  IP信譽配置命令

1.1.1  attack-category

attack-category命令用來配置對指定攻擊分類執行的操作。

undo attack-category命令用來恢複缺省情況。

【命令】

attack-category attack-id { action { deny | permit } | logging { disable | enable } }*

undo attack-category attack-id

【缺省情況】

未配置對指定攻擊分類執行的操作,設備使用IP信譽特征庫中的缺省配置對匹配該IP地址的報文執行相應的操作。

【視圖】

IP信譽視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

attack-id:攻擊分類的編號。本參數的取值範圍與IP信譽庫特征文件有關,請以設備的實際情況為準。

action表示攻擊分類的匹配動作。

deny:表示動作為丟棄。

permit:表示動作為放行。

logging:表示IP信譽日誌功能,即IP地址匹配到IP信譽攻擊分類時,生成日誌信息的功能。

disable:表示關閉日誌功能。

enable:表示開啟日誌功能。

【使用指導】

本功能僅在開啟IP信譽功能後生效。

IP信譽庫中,一個IP地址可對應多種攻擊分類,每種攻擊分類都有對應執行的動作。

當IP地址隻屬於一種攻擊分類時,設備將對匹配上該IP地址的報文執行攻擊分類對應的動作;當IP地址屬於多種攻擊分類時,設備將對匹配上該IP地址的報文執行多種攻擊分類中優先級最高的動作。其中,動作的優先級從高到底依次為:阻斷>允許。

隻要IP地址所屬的任一攻擊分類開啟了日誌功能,則對匹配上該IP地址的報文執行記錄日誌動作。

設備僅支持以快速日誌輸出的方式輸出IP信譽日誌,有關快速日誌輸出的詳情介紹,請參見“網絡管理和監控命令參考”中的“快速日誌輸出”。

【舉例】

# 配置IP信譽庫中編號為1的攻擊分類對應的動作為deny,並開啟日誌功能。

<Sysname> system-view

[Sysname] ip-reputation

[Sysname-ip-reputation] attack-category 1 action deny logging enable

【相關命令】

·     display ip-reputation attack-category

·     global enable

1.1.2  display ip-reputation

display ip-reputation命令用來顯示IP信譽庫中的IP地址信息。

【命令】

display ip-reputation ipv4 ipv4-address

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

context-admin

context-operator

【參數】

ipv4 ipv4-address:顯示IP信譽庫中指定IPv4地址的信息。

【使用指導】

IP信譽庫中包含IP地址的攻擊分類、匹配方向、匹配動作和命中IP信譽庫次數等信息。

一個IP地址可對應多種攻擊分類,每種攻擊分類都有對應的匹配方式和匹配動作等信息。設備將根據攻擊分類顯示IP地址的相關信息。

【舉例】

# 顯示IP信譽庫中地址為192.168.1.1的信息。

<Sysname> display ip-reputation ipv4 192.168.1.1

IP address    Attack ID    Attack name    Direction    Action    Logging    Hit count

192.168.1.1   1             ddos             src           deny      enabled    1000

                2             web              dst           permit    disabled

圖1-1 display ip-reputation命令顯示信息描述表

字段

描述

IP address

表示查詢的IP信譽庫中的IP地址

Attack ID

表示該IP地址對應的攻擊分類ID

Attack name

表示該IP地址對應的攻擊分類名稱

Direction

表示該IP地址被標識為特定攻擊時的匹配方向,取值包括:

·     src:作為源地址匹配

·     dst:作為目的地址匹配

·     src/dst:即可源地址也可作為目的地址匹配

Action

表示對匹配上該IP地址的報文執行動作,取值包括:

·     permit:表示放行

·     deny:表示丟棄

Logging

表示日誌功能的啟用狀態,取值包括:

·     enabled:表示開啟日誌功能

·     disabled:表示關閉日誌功能

Hit count

表示該IP地址命中IP信譽庫的次數

 

1.1.3  display ip-reputation attack-category

display ip-reputation attack-category命令用來顯示IP信譽特征庫中的攻擊分類信息。

【命令】

display ip-reputation attack-category

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

context-admin

context-operator

【使用指導】

僅在IP信譽功能處於開啟狀態時,才能查看到IP信譽庫中的攻擊分類信息。

如果未配置對指定攻擊分類執行的動作,則顯示特征庫中的缺省配置。

【舉例】

# 顯示IP信譽特征庫中的攻擊分類信息。

<Sysname> display ip-reputation attack-category

ID      Attack name      Action      Logging

1       ddos              permit      enabled

2       web               deny         disabled

圖1-2 display ip-reputation attack-category命令顯示信息描述表

字段

描述

ID

攻擊分類ID

Attack name

攻擊分類名稱

Action

對匹配上攻擊分類的報文執行動作,取值包括:

·     permit:放行

·     deny:丟棄

Logging

表示日誌功能啟用狀態,取值包括:

·     enabled:開啟狀態

·     disabled:關閉狀態

 

【相關命令】

·     attack-category

1.1.4  display ip-reputation exception

display ip-reputation exception命令用來顯示IP信譽例外IP地址。

【命令】

display ip-reputation exception

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

context-admin

context-operator

【使用指導】

僅在IP信譽功能處於開啟狀態時,才能查看到IP信譽例外IP地址。

【舉例】

# 顯示IP信譽例外IP地址。

<Sysname> display ip-reputation exception

IP address

10.1.1.1

10.10.1.1

圖1-3 display ip-reputation exception命令顯示信息描述表

字段

描述

IP address

表示IP信譽例外IP地址

 

1.1.5  display ip-reputation signature library

display ip-reputation signature library命令用來顯示IP信譽特征庫信息。

【命令】

display ip-reputation signature library

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

context-admin

context-operator

【舉例】

# 顯示IP信譽特征庫信息。

<Sysname> display ip-reputation signature library

ip-reputation signature library information:

Type     SigVersion        ReleaseTime Size

Current  1.02               Fri Sep 13 09:05:35 2014    71594

Last      -                   -                               -

Factory  -                   -                                -

表1-1 display ip-reputation signature library命令顯示信息描述表

字段

描述

Type

IP信譽特征庫版本,包括如下取值:

·     Current:表示當前版本

·     Last:表示上一版本

·     Factory:表示出廠版本(暫不支持)

SigVersion

IP信譽特征庫版本號

ReleaseTime

IP信譽特征庫發布時間

Size(bytes)

IP信譽特征庫文件大小,單位是Bytes

 

1.1.6  display ip-reputation top-hit-statistics

display ip-reputation top-hit-statistics命令用來顯示命中IP信譽庫的IP地址Top排名統計信息。

【命令】

display ip-reputation top-hit-statistics [ top-number ] [ slot slot-number ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

context-admin

context-operator

【參數】

top-number:顯示命中IP信譽庫次數排名前top-number名的IP地址統計信息。top-number的取值範圍為10~100,缺省值為10。

slot slot-number:顯示指定成員設備上命中IP信譽庫次數排名前top-number的IP地址統計信息,slot-number表示設備在IRF中的成員編號。不指定該參數時,顯示所有成員設備上命中IP信譽庫次數排名前top-number的IP地址統計信息。

【使用指導】

僅在命中IP信譽庫的IP地址Top排名統計功能處於開啟狀態時,才能查看到排名統計信息。

本命令僅顯示命中次數非零的IP地址排名統計信息,實際顯示條目數可能小於top-number

【舉例】

# 顯示指定slot上的命中IP信譽庫次數排名前10的IP地址排名統計信息。

<Sysname> display ip-reputation top-hit-statistics 10 slot 1

Slot 1:

IP address      Hit count

10.1.1.1        1000

10.1.1.2        999

10.1.1.3        996

10.1.1.4        994

10.1.1.5        994

10.1.1.6        994

圖1-4 display ip-reputation top-hit-statistics命令顯示信息描述表

字段

描述

IP address

命中IP信譽庫的IP地址

Hit count

命中IP信譽庫的次數

 

1.1.7  exception

exception命令用來配置IP信譽例外IP地址。

undo exception命令用來刪除IP信譽例外IP地址。

【命令】

exception ipv4 ipv4-address

undo exception ipv4 ipv4-address

【缺省情況】

未配置IP信譽例外IP地址。

【視圖】

IP信譽視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

ipv4 ipv4-address:表示例外IPv4地址。

【使用指導】

本功能僅在開啟IP信譽功能後生效。

若報文的源/目的IP地址匹配IP信譽例外IP地址,則直接放行該報文。

多次執行本命令,可配置多個例外IP地址。

【舉例】

# 配置IPv4地址192.168.1.1為IP信譽例外IP地址。

<Sysname> system-view

[Sysname] ip-reputation

[Sysname-ip-reputation] exception ipv4 192.168.1.1

【相關命令】

·     display ip-reputation exception

·     global enable

1.1.8  global enable

global enable命令用來開啟全局IP信譽功能。

undo global enable命令用來關閉全局IP信譽功能。

【命令】

global enable

undo global enable

【缺省情況】

全局IP信譽功能處於關閉狀態。

【視圖】

IP信譽視圖

【缺省用戶角色】

network-admin

context-admin

【舉例】

# 開啟全局IP信譽功能。

<Sysname> system-view

[Sysname] ip-reputation

[Sysname-ip-reputation] global enable

1.1.9  ip-reputation

ip-reputation命令用來進入IP信譽視圖。

undo ip-reputation命令用來刪除IP信譽視圖下的所有配置。

【命令】

ip-reputation

undo ip-reputation

【視圖】

係統視圖

【缺省用戶角色】

network-admin

context-admin

【舉例】

# 進入IP信譽視圖。

<Sysname> system-view

[Sysname] ip-reputation

[Sysname-ip-reputation]

1.1.10  ip-reputation signature auto-update

ip-reputation signature auto-update命令用來開啟定期自動在線升級IP信譽特征庫功能,並進入自動升級配置視圖。

undo ip-reputation signature auto-update命令用來關閉定期自動在線升級IP信譽特征庫功能。

【命令】

ip-reputation signature auto-update

undo ip-reputation signature auto-update

【缺省情況】

定期自動在線升級IP信譽特征庫功能處於關閉狀態。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

context-admin

【使用指導】

如果設備可以訪問官方網站上的特征庫服務專區,可以通過開啟本功能定期自動在線升級方式來對設備上的IP信譽特征庫進行升級。

【舉例】

# 開啟定期自動在線升級IP信譽特征庫功能,並進入自動升級配置視圖。

<Sysname> system-view

[Sysname] ip-reputation signature auto-update

[Sysname-ip-reputation-autoupdate]

【相關命令】

·     update schedule

1.1.11  ip-reputation signature auto-update-now

ip-reputation signature auto-update-now命令用來立即自動在線升級IP信譽特征庫。

【命令】

ip-reputation signature auto-update-now

【視圖】

係統視圖

【缺省用戶角色】

network-admin

context-admin

【使用指導】

當管理員發現官方網站上的特征庫服務專區中的IP信譽特征庫有更新時,可以選擇立即自動在線升級方式來及時升級IP信譽特征庫版本。

執行此命令後,將立即自動升級設備上的IP信譽特征庫,且會備份當前的IP信譽特征庫文件到設備存儲介質下名為“ipreputation_sigpack_curr.dat”的文件中。此命令的生效與否,與是否開啟了定期自動升級IP信譽特征庫功能無關。

【舉例】

# 立即自動在線升級IP信譽特征庫版本。

<Sysname> system-view

[Sysname] ip-reputation signature auto-update-now

1.1.12  ip-reputation signature rollback

ip-reputation signature rollback命令用來回滾IP信譽特征庫。

【命令】

ip-reputation signature rollback last

【視圖】

係統視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

last:表示IP信譽特征庫的上一版本。

【使用指導】

IP信譽特征庫回滾是指將當前的IP信譽特征庫版本回滾到上一次的版本。如果管理員發現設備當前IP信譽特征庫版本在檢測和防禦網絡攻擊時,誤報率較高或出現異常情況,則可以對當前IP信譽特征庫版本進行回滾。

IP信譽特征庫版本每次回滾前,設備都會備份當前版本。多次回滾上一版本的操作將會在當前版本和上一版本之間反複切換。例如當前IP信譽特征庫是V2,上一版本是V1,第一次執行回滾到上一版本的操作後,特征庫替換成V1版本,再執行回滾上一版本的操作則特征庫重新變為V2版本。

【舉例】

# 配置IP信譽特征庫回滾到上一版本。

<Sysname> system-view

[Sysname] ip-reputation signature rollback last

【相關命令】

·     display ip-reputation signature library

1.1.13  ip-reputation signature update

ip-reputation signature update命令用來手動離線升級IP信譽特征庫。

【命令】

ip-reputation signature update file-path [ vpn-instance vpn-instance-name ] [ source { ip | ipv6 } { ip-address | interface interface-type interface-number } ]

【視圖】

係統視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

file-path:指定特征庫文件的源路徑,為1~255個字符的字符串。

vpn-instance vpn-instance-name:表示TFTP、FTP服務器所屬的VPN實例。vpn-instance-name為MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果不指定該參數,則表示TFTP、FTP服務器位於公網中。

本參數的支持情況與設備型號有關,請以設備實際情況為準。

係列

型號

說明

F50X0係列

F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M

支持

F5000-CN係列

F5000-CN30、F5000-CN60

支持

F5000-AI係列

F5000-AI-15、F5000-AI-20、F5000-AI-40

支持

F5000-V係列

F5000-V30

支持

F1000-AI係列

F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90

支持

F1000-L係列

F1003-L、F1003-L-S、F1005-L、F1010-L

支持

F1003-L-C

不支持

F10X0係列

F1003-M、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090

支持

F1003-C、F1003-S

不支持

F1000-V係列

F1000-V50、F1000-V60、F1000-V70、F1000-V90

支持

F1000-SASE係列

F1000-SASE100、F1000-SASE200

支持

F1000-AK係列

F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190

支持

F1000-AK9109、F1000-AK9110、F1000-AK9210

不支持

插卡

IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1

支持

vFW係列

vFW1000、vFW2000、vFW-E-Cloud

支持

 

source:指定手動離線升級特征庫時發送給TFTP、FTP服務器的請求報文的源IP地址。如果不指定該參數,則表示使用係統根據路由表項查找到的出接口的地址。

本參數的支持情況與設備型號有關,請以設備實際情況為準。

係列

型號

說明

F50X0係列

F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M

支持

F5000-CN係列

F5000-CN30、F5000-CN60

支持

F5000-AI係列

F5000-AI-15、F5000-AI-20、F5000-AI-40

支持

F5000-V係列

F5000-V30

支持

F1000-AI係列

F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90

支持

F1000-L係列

F1003-L、F1003-L-S、F1005-L、F1010-L

支持

F1003-L-C

不支持

F10X0係列

F1003-M、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090

支持

F1003-C、F1003-S

不支持

F1000-V係列

F1000-V50、F1000-V60、F1000-V70、F1000-V90

支持

F1000-SASE係列

F1000-SASE100、F1000-SASE200

支持

F1000-AK係列

F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190

支持

F1000-AK9109、F1000-AK9110、F1000-AK9210

不支持

插卡

IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1

支持

vFW係列

vFW1000、vFW2000、vFW-E-Cloud

支持

 

ip ip-address:指定手動離線升級特征庫時發送給TFTP、FTP服務器的請求報文的源IPv4地址。

本參數的支持情況與設備型號有關,請以設備實際情況為準。

係列

型號

說明

F50X0係列

F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M

支持

F5000-CN係列

F5000-CN30、F5000-CN60

支持

F5000-AI係列

F5000-AI-15、F5000-AI-20、F5000-AI-40

支持

F5000-V係列

F5000-V30

支持

F1000-AI係列

F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90

支持

F1000-L係列

F1003-L、F1003-L-S、F1005-L、F1010-L

支持

F1003-L-C

不支持

F10X0係列

F1003-M、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090

支持

F1003-C、F1003-S

不支持

F1000-V係列

F1000-V50、F1000-V60、F1000-V70、F1000-V90

支持

F1000-SASE係列

F1000-SASE100、F1000-SASE200

支持

F1000-AK係列

F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190

支持

F1000-AK9109、F1000-AK9110、F1000-AK9210

不支持

插卡

IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1

支持

vFW係列

vFW1000、vFW2000、vFW-E-Cloud

支持

 

ipv6 ip-address:指定手動離線升級特征庫時發送給TFTP、FTP服務器的請求報文的源IPv6地址。

本參數的支持情況與設備型號有關,請以設備實際情況為準。

係列

型號

說明

F50X0係列

F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M

支持

F5000-CN係列

F5000-CN30、F5000-CN60

支持

F5000-AI係列

F5000-AI-15、F5000-AI-20、F5000-AI-40

支持

F5000-V係列

F5000-V30

支持

F1000-AI係列

F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90

支持

F1000-L係列

F1003-L、F1003-L-S、F1005-L、F1010-L

支持

F1003-L-C

不支持

F10X0係列

F1003-M、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090

支持

F1003-C、F1003-S

不支持

F1000-V係列

F1000-V50、F1000-V60、F1000-V70、F1000-V90

支持

F1000-SASE係列

F1000-SASE100、F1000-SASE200

支持

F1000-AK係列

F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190

支持

F1000-AK9109、F1000-AK9110、F1000-AK9210

不支持

插卡

IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1

支持

vFW係列

vFW1000、vFW2000、vFW-E-Cloud

支持

 

interface interface-type interface-number:指定該接口的主IPv4地址或接口上最小的IPv6地址為源IP地址。

本參數的支持情況與設備型號有關,請以設備實際情況為準。

係列

型號

說明

F50X0係列

F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M

支持

F5000-CN係列

F5000-CN30、F5000-CN60

支持

F5000-AI係列

F5000-AI-15、F5000-AI-20、F5000-AI-40

支持

F5000-V係列

F5000-V30

支持

F1000-AI係列

F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90

支持

F1000-L係列

F1003-L、F1003-L-S、F1005-L、F1010-L

支持

F1003-L-C

不支持

F10X0係列

F1003-M、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090

支持

F1003-C、F1003-S

不支持

F1000-V係列

F1000-V50、F1000-V60、F1000-V70、F1000-V90

支持

F1000-SASE係列

F1000-SASE100、F1000-SASE200

支持

F1000-AK係列

F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190

支持

F1000-AK9109、F1000-AK9110、F1000-AK9210

不支持

插卡

IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1

支持

vFW係列

vFW1000、vFW2000、vFW-E-Cloud

支持

【使用指導】

如果設備不能訪問官方網站上的特征庫服務專區,管理員可以采用如下方式手動離線升級IP信譽特征庫版本:

·     本地升級:使用設備本地保存的特征庫文件升級係統中的IP信譽特征庫版本,使用此方式前,請先從官方網站獲取特征庫文件並保存到設備中。

·     FTP/TFTP升級:通過FTP或TFTP方式下載遠程服務器上保存的特征庫文件,並升級係統中的IP信譽特征庫版本。

使用本地升級方式離線升級特征庫版本時,特征庫文件隻能存儲在當前主用設備上,否則設備升級特征庫會失敗。

參數file-path的取值與手動離線升級的操作方式有關。本地升級時參數file-path取值請參見表1-2;FTP/TFTP升級時參數file-path取值請參見表1-3

表1-2 本地升級時參數file-path取值說明表

升級場景

參數file-path取值

說明

特征庫文件的存儲位置與當前工作路徑一致

filename

可以執行pwd命令查看當前工作路徑

有關pwd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理”

特征庫文件的存儲位置與當前工作路徑不一致,且在相同存儲介質上

filename

需要先執行cd命令將工作路徑切換至特征庫文件所在目錄下

有關cd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理”

特征庫文件的存儲位置與當前工作路徑不在相同存儲介質上

path/ filename

需要先執行cd命令將工作路徑切換至特征庫文件所在存儲介質的根目錄下,再指定特征庫文件的相對路徑

有關cd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理”

 

表1-3 FTP/TFTP升級時參數file-path取值說明表

升級場景

參數file-path取值

說明

特征庫文件存儲在開啟FTP服務的遠程服務器上

ftp://username:password@server/filename

username為登錄FTP服務器的用戶名,password為登錄FTP服務器的密碼,server為FTP服務器的IP地址或主機名

當FTP的用戶名和密碼中使用了“:”、“@”和“/”三種特殊字符時,需要將這三種特殊字符替換為其對應的轉義字符。“:”、“@”和“/”三種特殊字符對應的轉義字符分別為“%3A或%3a”、“%40”和“%2F或%2f”

特征庫文件存儲在開啟TFTP服務的遠程服務器上

tftp://server/filename

server為TFTP服務器的IP地址或主機名

 

說明

當采用FTP/TFTP方式升級特征庫時,如果指定的是服務器的主機名,則需要確保設備能通過靜態或動態IP解析方式獲得FTP/TFTP服務器的IP地址,並與之路由可達。否則,設備升級特征庫會失敗。有關IP解析功能的詳細配置請參見“三層技術-IP業務配置指導”中的“IP解析”。

 

如果管理員希望手動離線升級特征庫時發送給TFTP、FTP服務器的請求報文的源IP地址是一個特定的地址時,可配置source參數。例如,當組網環境中設備發出的報文需要經過NAT地址轉換後才能訪問TFTP、FTP服務器時,則需要管理員通過source參數指定一個符合NAT地址轉換規則的源IP地址(其中,如果設備需要經過一台獨立的NAT設備進行地址轉換時,本命令指定的IP地址必須可以與NAT設備三層路由可達),使設備發出的報文可以進行NAT地址轉換等處理,正常訪問TFTP、FTP服務器。

當同時配置了sourcevpn-instance參數時,需要保證source中指定的源IP地址或接口所屬VPN實例與vpn-instance中配置的VPN實例相同。

【舉例】

# 配置手動離線升級IP信譽特征庫,且采用TFTP方式,IP信譽特征庫文件的遠程路徑為tftp://192.168.0.10/ip-1.0.2-en.dat。

<Sysname> system-view

[Sysname] ip-reputation signature update tftp://192.168.0.10/ip-1.0.2-en.dat

# 配置手動離線升級IP信譽特征庫,且采用本地方式,IP信譽特征庫文件的本地路徑為cfb0:/dpi/ip-1.0.23-en.dat,當前工作路徑為cfa0:。

<Sysname> cd cfb0:/

<Sysname> system-view

[Sysname] ip-reputation signature update dpi/ip-1.0.23-en.dat

1.1.14  top-hit-statistics enable

top-hit-statistics enable命令用來開啟命中IP信譽庫的IP地址Top排名統計功能。

undo top-hit-statistics enable命令用來關閉命中IP信譽庫的IP地址Top排名統計功能。

【命令】

top-hit-statistics enable

undo top-hit-statistics enable

【缺省情況】

命中IP信譽庫的IP地址Top排名統計功能處於關閉狀態。

【視圖】

IP信譽視圖

【缺省用戶角色】

network-admin

context-admin

【使用指導】

本功能僅在開啟IP信譽功能後生效。

開啟本功能後,設備將對命中IP信譽庫的IP地址進行統計排名。關閉本功能後,統計信息將自動清空。

【舉例】

# 開啟命中IP信譽庫的IP地址Top排名統計功能。

<Sysname> system-view

[Sysname] ip-reputation

[Sysname-ip-reputation] top-hit-statistics enable

【相關命令】

·     display ip-reputation top-hit-statistics

1.1.15  update schedule

update schedule命令用來配置定期自動在線升級IP信譽特征庫的時間。

undo update schedule命令用來恢複缺省情況。

【命令】

update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes

undo update schedule

【缺省情況】

設備在每天01:00:00至03:00:00之間自動在線升級IP信譽特征庫。

【視圖】

自動升級配置視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

daily:表示自動升級周期為每天。

weekly:表示以一周為周期,在指定的一天進行自動升級。

fri:表示星期五。

mon:表示星期一。

sat:表示星期六。

sun:表示星期日。

thu:表示星期四。

tue:表示星期二。

wed:表示星期三。

start-time time:指定自動升級開始時間,time的格式為hh:mm:ss,取值範圍為00:00:00~23:59:59。

tingle minutes:指定抖動時間,即實際自動升級開始時間的偏差範圍,取值範圍為0~120,單位為分鍾。在start-time指定時間的前後各偏移抖動時間的一半作為自動升級的時間範圍,例如,指定自動升級的開始時間為01:00:00,抖動時間為60分鍾,則自動升級的開始時間在00:30:00至01:30:00之間。

【舉例】

# 配置IP信譽特征庫的定期自動在線升級時間為每周一20:30:00,抖動時間為10分鍾。

<Sysname> system-view

[Sysname] ip-reputation signature auto-update

[Sysname-ip-reputation-autoupdate] update schedule weekly mon start-time 20:30:00 tingle 10

【相關命令】

·     ip-reputation signature auto-update

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆 官網
聯係我們