- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
05-數據過濾命令
本章節下載: 05-數據過濾命令 (180.45 KB)
目 錄
1.1.3 data-filter apply policy
1.1.4 data-filter keyword-group
1.1.6 description (data-filter policy view)
1.1.7 description (keyword-group view)
action命令用來配置數據過濾規則的動作。
undo action命令用來恢複缺省情況。
【命令】
action { drop | permit } [ logging ]
undo action
【缺省情況】
數據過濾規則的動作為丟棄。
【視圖】
數據過濾規則視圖
【缺省用戶角色】
network-admin
【參數】
drop:表示丟棄報文。
permit:表示允許報文通過。
logging:表示生成日誌信息。
【使用指導】
如果報文同時與多個規則匹配成功,則執行這些動作中優先級最高的動作,且動作優先級從高到低的順序為:丟棄 > 允許,但是對於生成日誌動作隻要匹配成功的規則中存在就會執行。
【舉例】
# 創建一個名稱為def的數據過濾策略。
<Sysname> system-view
[Sysname] data-filter policy def
# 在名稱為r1的數據過濾規則中配置其動作為允許報文通過。
[Sysname-data-filter-policy-def] rule r1
[Sysname-data-filter-policy-def-rule-r1] action permit
application命令用來配置數據過濾規則的應用層協議類型。
undo application命令用來刪除指定的應用層協議類型。
【命令】
application { all | type { ftp | http | imap | nfs | pop3 | rtmp | smb | smtp } * }
undo application { all | type { ftp | http | imap | nfs | pop3 | rtmp | smb | smtp } * }
【缺省情況】
數據過濾規則中不存在應用層協議類型。
【視圖】
數據過濾規則視圖
【缺省用戶角色】
network-admin
【參數】
all:表示數據過濾支持的所有應用層協議。
type:表示規則生效的協議類型。
ftp:表示FTP協議。
http:表示HTTP協議。
imap:表示IMAP協議。
nfs:表示NFS協議。
pop3:表示POP3協議。
rtmp:表示RTMP協議。
smb:表示SMB協議。
smtp:表示SMTP協議。
【使用指導】
通過配置此命令,可以根據業務應用所屬的應用層協議類型來靈活控製對那些協議類型的報文進行數據過濾。
NFS協議僅支持NFSv3版本;SMB協議支持SMBv1和SMBv2版本。
【舉例】
# 創建一個名稱為def的數據過濾策略。
<Sysname> system-view
[Sysname] data-filter policy def
# 在名稱為r1的數據過濾規則中配置其應用層協議類型為HTTP。
[Sysname-data-filter-policy-def] rule r1
[Sysname-data-filter-policy-def-rule-r1] application type http
data-filter apply policy命令用來在DPI應用profile中引用指定的數據過濾策略。
undo data-filter apply policy命令用來刪除引用的數據過濾策略。
【命令】
data-filter apply policy policy-name
undo data-filter apply policy
【缺省情況】
DPI應用profile中未引用數據過濾策略。
【視圖】
DPI應用profile視圖
【缺省用戶角色】
network-admin
【參數】
policy-name:指定數據過濾策略的名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
數據過濾規則僅在被DPI應用profile引用後生效。一個DPI應用profile下隻能引用一個數據過濾策略。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在名稱為abc的DPI應用profile下引用數據過濾策略def。
<Sysname> system-view
[Sysname] app-profile abc
[Sysname-app-profile-abc] data-filter apply policy def
【相關命令】
· app-profile(DPI深度安全命令參考/應用層檢測引擎)
· data-filter policy
data-filter keyword-group命令用來創建關鍵字組,並進入關鍵字組視圖。如果指定的關鍵字組已經存在,則直接進入關鍵字組視圖。
undo data-filter keyword-group命令用來刪除指定的關鍵字組。
【命令】
data-filter keyword-group keywordgroup-name
undo data-filter keyword-group keywordgroup-name
【缺省情況】
不存在關鍵字組。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
keywordgroup-name:表示關鍵字組的名字,為1~31個字符的字符串,不區分大小寫。
【使用指導】
關鍵字組用來統一組織和管理設備中配置的數據過濾特征,一個關鍵字組中可以配置多個數據過濾特征,且特征之間是或的關係。
【舉例】
# 創建一個名稱為kg1的關鍵字組,並進入關鍵字組視圖。
<Sysname> system-view
[Sysname] data-filter keyword-group kg1
[Sysname-data-filter-keygroup-kg1]
data-filter policy命令用來創建數據過濾策略,並進入數據過濾策略視圖。如果指定的數據過濾策略已經存在,則直接進入該數據過濾策略視圖。
undo data-filter policy命令用來刪除指定的數據過濾策略。
【命令】
data-filter policy policy-name
undo data-filter policy policy-name
【缺省情況】
不存在數據過濾策略。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
policy-name:表示數據過濾策略的名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
一個數據過濾策略中最多可創建32個數據過濾規則。
【舉例】
# 創建一個名稱為def的數據過濾策略,並進入該數據過濾策略視圖。
<Sysname> system-view
[Sysname] data-filter policy def
[Sysname-data-filter-policy-def]
【相關命令】
· data-filter apply policy
description命令用來配置數據過濾策略的描述信息。
undo description命令用來恢複缺省情況。
【命令】
description string
undo description
【缺省情況】
未配置數據過濾策略的描述信息。
【視圖】
數據過濾策略視圖
【缺省用戶角色】
network-admin
【參數】
string:表示數據過濾策略的描述信息,為1~255個字符的字符串,區分大小寫。
【使用指導】
通過合理編寫描述信息,便於管理員快速理解和識別本數據過濾策略的作用。
【舉例】
# 配置數據過濾策略def的描述信息為The data filter。
<Sysname> system-view
[Sysname] data-filter policy def
[Sysname-data-filter-policy-def] description The data filter
description 命令用來配置關鍵字組的描述信息。
undo description命令用來恢複缺省情況。
【命令】
description string
undo description
【缺省情況】
未配置關鍵字組的描述信息。
【視圖】
關鍵字組視圖
【缺省用戶角色】
network-admin
【參數】
string:關鍵字組的描述信息,為1~255個字符的字符串,區分大小寫。
【使用指導】
通過合理編寫描述信息,便於管理員快速理解和識別本關鍵字組的作用。
【舉例】
# 配置關鍵字組kg1的描述信息為The data filter keyword group。
<Sysname> system-view
[Sysname] data-filter keyword-group kg1
[Sysname-data-filter-kgroup-kg1] description The data filter keyword group
direction命令用來配置數據過濾規則的匹配方向。
undo direction命令用來恢複缺省情況。
【命令】
direction { both | download | upload }
undo direction
【缺省情況】
數據過濾規則的匹配方向為會話的上傳方向。
【視圖】
數據過濾規則視圖
【缺省用戶角色】
network-admin
【參數】
both:在會話的上傳方向和下載方向都進行匹配。
download:在會話的下載方向進行匹配。
upload:在會話的上傳方向進行匹配。
【使用指導】
通過配置此命令,可以根據報文傳輸的方向來靈活控製對哪個方向的報文進行數據過濾。
【舉例】
# 創建一個名稱為def的數據過濾策略。
<Sysname> system-view
[Sysname] data-filter policy def
# 在名稱為r1的數據過濾規則中配置其匹配方向為會話的下載方向。
[Sysname-data-filter-policy-def] rule r1
[Sysname-data-filter-policy-def-rule-r1] direction download
keyword-group命令用來在數據過濾規則中引用關鍵字組。
undo keyword-group命令用來恢複缺省情況。
【命令】
keyword-group keygroup-name
undo keyword-group
【缺省情況】
數據過濾規則中未引用關鍵字組。
【視圖】
數據過濾規則視圖
【缺省用戶角色】
network-admin
【參數】
keygroup-name:表示關鍵字組的名稱,為1~31個字符的字符串,不區分大小寫。引用的關鍵字組必須存在。
【使用指導】
在數據過濾規則中通過引用關鍵字組來對報文的應用層信息進行關鍵字匹配。
在同一個數據過濾規則視圖下,多次執行本命令,最後一次執行的命令生效。
【舉例】
# 創建一個名稱為def的數據過濾策略。
<Sysname> system-view
[Sysname] data-filter policy def
# 在名稱為r1的數據過濾規則中引用關鍵字組kg1。
[Sysname-data-filter-policy-def] rule r1
[Sysname-data-filter-policy-def-rule-r1] keyword-group kg1
【相關命令】
· data-filter keyword-group
pattern命令用來配置數據過濾特征。
undo pattern命令用來刪除指定的數據過濾特征。
【命令】
pattern pattern-name { regex | text } pattern-string
undo pattern pattern-name
【缺省情況】
關鍵字組中不存在數據過濾特征。
【視圖】
關鍵字組視圖
【缺省用戶角色】
network-admin
【參數】
pattern-name:表示數據過濾特征的名稱,為1~31個字符的字符串,不區分大小寫。
regex pattern-string:表示對應用層信息進行模糊匹配的正則表達式,為3~245個字符的字符串,區分大小寫,支持所有可輸入字符,且必須包含連續的3個非通配符。
text pattern-string:表示對應用層信息進行精確匹配的文本,為3~245個字符的字符串,支持所有可輸入字符,區分大小寫。
【使用指導】
一個數據過濾特征隻能定義為一個正則表達式字符串或一個文本字符串。
一個關鍵字組中可以配置32個數據過濾特征,且特征之間是或的關係。
正則表達式有如下限製:
· 正則表達式中,總的分支不能超過四個。例如'abc(c|d|e|\x3D)'有效,'abc(c|onreset|onselect|onchange|style\x3D)'無效。
· 正則表達式中,括號不能嵌套,即括號中不能有括號。例如'ab((abcs*?))'無效。
· 正則表達式中,分支不支持串聯,即分支後麵不能有分支。例如'ab(a|b)(c|d)^\\r\\n]+?'無效。
· 正則表達式中,零次重複量詞'*'和'?'前麵必須有四個確定字符。例如'abc*'無效,'abcd*DoS\x2d\d{5}\x20\x2bxi\\r\\nJOIN'有效。
【舉例】
# 在關鍵字組kg1中配置一條正則表達式,內容為(?i)^.*abc.*。
<Sysname> system-view
[Sysname] data-filter keyword-group kg1
[Sysname-data-filter-kgroup-kg1] pattern 1 regex (?i)^.*abc.*
pre-defined-pattern命令用來啟用指定類型的預定義數據過濾特征。
undo pre-defined-pattern命令用來禁用指定類型的預定義數據過濾特征。
【命令】
pre-defined-pattern name { bank-card-number | credit-card-number | id-card-number | phone-number }
undo pre-defined-pattern name { bank-card-number | credit-card-number | id-card-number | phone-number }
【缺省情況】
關鍵字組中未啟用預定義特征。
【視圖】
關鍵字組視圖
【缺省用戶角色】
network-admin
【參數】
name:表示預定義數據過濾特征的名字。
bank-card-number:表示銀行卡號類型的預定義數據過濾特征。
credit-card-number:表示信用卡號類型的預定義數據過濾特征。
id-card-number:表示身份證號類型的預定義數據過濾特征。
phone-number:表示手機號類型的預定義數據過濾特征。
【使用指導】
啟用指定類型的預定義數據過濾特征後,設備將對包含該特征信息的文件和內容進行識別和過濾。
可多次執行本命令,啟用多種類型的預定義數據過濾特征。
【舉例】
# 在關鍵字組kg1中啟用手機號碼類型的預定義數據過濾特征。
<Sysname> system-view
[Sysname] data-filter keyword-group kg1
[Sysname-data-filter-kgroup-kg1] pre-defined-pattern name phone-number
rule命令用來創建數據過濾規則,並進入數據過濾規則視圖。如果指定的數據過濾規則已經存在,則直接進入數據過濾規則視圖。
undo rule命令用來刪除指定的數據過濾規則。
【命令】
rule rule-name
undo rule rule-name
【缺省情況】
不存在數據過濾規則。
【視圖】
數據過濾策略視圖
【缺省用戶角色】
network-admin
【參數】
rule-name:表示數據過濾規則的名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
在數據過濾規則中可以配置匹配報文的一係列匹配項,比如規則匹配的方向、規則生效的協議類型、規則引用的關鍵字組和規則的動作。
【舉例】
# 在名稱為def的數據過濾策略下創建一個名稱為r1的數據過濾規則,並進入數據過濾規則視圖。
<Sysname> system-view
[Sysname] data-filter policy def
[Sysname-data-filter-policy-def] rule r1
[Sysname-data-filter-policy-def-rule-r1]
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
