- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
06-文件過濾命令
本章節下載: 06-文件過濾命令 (174.23 KB)
目 錄
1.1.3 description (file-filter policy view)
1.1.4 description (filetype-group view)
1.1.6 file-filter apply policy
1.1.7 file-filter false-extension action
1.1.8 file-filter filetype-group
action命令用來配置文件過濾規則的動作。
undo action命令用來恢複缺省情況。
【命令】
action { drop | permit } [ logging ]
undo action
【缺省情況】
文件過濾規則的動作為丟棄。
【視圖】
文件過濾規則視圖
【缺省用戶角色】
network-admin
【參數】
drop:表示丟棄報文。
permit:表示允許報文通過。
logging:表示生成日誌信息。
【使用指導】
如果文件的擴展名信息同時與多個規則匹配成功,則執行這些動作中優先級最高的動作,且動作優先級從高到低的順序為:丟棄 > 允許,但是對於生成日誌動作隻要匹配成功的規則中存在就會執行。如果文件的擴展名信息隻與一個規則匹配成功,則執行此規則中的動作。
【舉例】
# 創建一個名稱為def的文件過濾策略。
<Sysname> system-view
[Sysname] file-filter policy def
# 在名稱為ch1的文件過濾規則中配置其動作為允許報文通過。
[Sysname-file-filter-policy-def] rule ch1
[Sysname-file-filter-policy-def-rule-ch1] action permit
application命令用來配置文件過濾規則的應用層協議類型。
undo application命令用來刪除指定的應用層協議類型。
【命令】
application { all | type { ftp | http | imap | nfs | pop3 | rtmp | smb | smtp } * }
undo application { all | type { ftp | http | imap | nfs | pop3 | rtmp | smb | smtp } * }
【缺省情況】
文件過濾規則中不存在應用層協議類型。
【視圖】
文件過濾規則視圖。
【缺省用戶角色】
network-admin
【參數】
all:表示文件過濾支持的所有應用層協議。
type:表示規則生效的協議類型。
ftp:表示FTP協議。
http:表示HTTP協議。
imap:表示IMAP協議。
nfs:表示NFS協議。
pop3:表示POP3協議。
rtmp:表示RTMP協議。
smb:表示SMB協議。
smtp:表示SMTP協議。
【使用指導】
通過配置此命令,可以根據文件傳輸所采用的應用層協議類型來靈活控製對哪些協議類型的報文進行文件過濾。
NFS協議僅支持NFSv3版本;SMB協議支持SMBv1和SMBv2版本。
【舉例】
# 創建一個名稱為def的文件過濾策略。
<Sysname> system-view
[Sysname] file-filter policy def
# 在名稱為ch1的文件過濾規則中配置其應用協議類型為HTTP。
[Sysname-file-filter-policy-def] rule ch1
[Sysname-file-filter-policy-def-rule-ch1] application type http
description 命令用來配置文件過濾策略的描述信息。
undo description命令用來恢複缺省情況。
【命令】
description string
undo description
【缺省情況】
未配置文件過濾策略的描述信息。
【視圖】
文件過濾策略視圖
【缺省用戶角色】
network-admin
【參數】
string:表示文件過濾策略的描述信息,為1~255個字符的字符串,區分大小寫。
【使用指導】
通過合理編寫描述信息,便於管理員快速理解和識別本文件過濾策略的作用,有利於後期維護。
【舉例】
# 配置文件過濾策略def的描述信息為The file filter。
<Sysname> system-view
[Sysname] file-filter policy def
[Sysname-file-filter-policy-def] description The file filter
【相關命令】
· file-filter policy
description命令用來配置文件類型組的描述信息。
undo description命令用來恢複缺省情況。
【命令】
description string
undo description
【缺省情況】
未配置文件類型組的描述信息。
【視圖】
文件類型組視圖
【缺省用戶角色】
network-admin
【參數】
string:文件類型組的描述信息,為1~255個字符的字符串,區分大小寫。
【使用指導】
通過合理編寫描述信息,便於管理員快速理解和識別本文件類型組的作用,有利於後期維護。
【舉例】
# 為文件類型組abc配置描述信息def。
<Sysname> system-view
[Sysname] file-filter filetype-group abc
[Sysname-file-filter-fgroup-abc] description def
【相關命令】
· file-filter filetype-group
direction命令用來配置文件過濾規則的匹配方向。
undo direction命令用來恢複缺省情況。
【命令】
direction { both | download | upload }
undo direction
【缺省情況】
文件過濾規則的匹配方向為上傳方向。
【視圖】
文件過濾規則視圖
【缺省用戶角色】
network-admin
【參數】
both:在上傳方向和下載方向都進行匹配。
download:在下載方向進行匹配。
upload:在上傳方向進行匹配。
【使用指導】
通過配置此命令,可以根據報文傳輸的方向來靈活控製對那個方向的報文進行文件過濾。
對於FTP和SMTP協議上傳方向和下載方向是指會話的上傳和下載方向;對於HTTP協議上傳方向是指HTTP協議POST類型的請求方法,下載方向是指HTTP協議GET類型的請求方法。
【舉例】
# 創建一個名稱為def的文件過濾策略。
<Sysname> system-view
[Sysname] file-filter policy def
# 在名稱為ch1的文件過濾規則中配置其匹配方向為下載方向。
[Sysname-file-filter-policy-def] rule ch1
[Sysname-file-filter-policy-def-rule-ch1] direction download
file-filter apply policy命令用來在DPI應用profile中引用文件過濾策略。
undo file-filter apply policy命令用來刪除引用的文件過濾策略。
【命令】
file-filter apply policy policy-name
undo file-filter apply policy
【缺省情況】
DPI應用profile中未引用文件過濾策略。
【視圖】
DPI應用profile視圖
【缺省用戶角色】
network-admin
【參數】
policy-name:文件過濾策略的名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
文件過濾策略僅在被DPI應用profile引用後生效。一個DPI(Deep Packet Inspection,深度報文檢測)應用profile下隻能引用一個文件過濾策略。多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在名稱為abc的DPI應用profile下引用文件過濾策略def。
<Sysname> system-view
[Sysname] app-profile abc
[Sysname-app-profile-abc] file-filter apply policy def
【相關命令】
· app-profile
· file-filter policy
file-filter false-extension action命令用來配置文件的真實類型與擴展名不一致時執行的動作。
undo file-filter false-extension action命令用來恢複缺省情況。
【命令】
file-filter false-extension action { drop | permit }
undo file-filter false-extension action
【缺省情況】
文件的真實類型與擴展名不一致時執行的動作為允許。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
drop:表示丟棄報文。
permit:表示允許報文通過。
【使用指導】
當設備識別出的文件的真實類型和文件的擴展名不一致時,如果動作配置為允許,則根據識別出的真實的文件類型與文件過濾規則進行匹配,並執行文件過濾規則中的動作;如果動作配置為阻斷,則直接對報文進行阻斷,不再進行文件過濾規則的匹配。
例如,file.txt文件可通過修改擴展名,將其改為file.exe文件。文件過濾將會識別出其真實的文件類型為txt,這與該文件的擴展名不一致,設備將根據本命令中配置的動作對該文件進行處理。
【舉例】
# 配置文件的真實類型與擴展名不一致時執行的動作為丟棄。
<Sysname> system-view
[Sysname] file-filter false-extension action drop
file-filter filetype-group命令用來創建文件類型組,並進入文件類型組視圖。如果指定的文件類型組已經存在,則直接進入文件類型組視圖。
undo file-filter filetype-group命令用來刪除指定的文件類型組。
【命令】
file-filter filetype-group group-name
undo file-filter filetype-group group-name
【缺省情況】
不存在文件類型組。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
group-name:表示文件類型組的名字,為1~31個字符的字符串,不區分大小寫。
【使用指導】
文件類型組用來統一組織和管理設備中配置的文件過濾特征。一個文件類型組中可以配置多個文件過濾特征,且它們之間是或的關係。
【舉例】
# 創建一個名稱為fg1的文件類型組,並進入文件類型組視圖。
<Sysname> system-view
[Sysname] file-filter filetype-group fg1
[Sysname-file-filter-fgroup-fg1]
file-filter policy命令用來創建文件過濾策略,並進入文件過濾策略視圖。如果指定的文件過濾策略已經存在,則直接進入文件過濾策略視圖。
undo file-filter policy命令用來刪除指定的文件過濾策略。
【命令】
file-filter policy policy-name
undo file-filter policy policy-name
【缺省情況】
不存在文件過濾策略。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
policy-name:文件過濾策略的名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
一個文件過濾策略中最多可以定義32個文件過濾規則。
【舉例】
# 創建一個名稱為def的文件過濾策略,並進入該文件過濾策略視圖。
<Sysname> system-view
[Sysname] file-filter policy def
[Sysname-file-filter-policy-def]
【相關命令】
· file-filter apply policy
filetype-group命令用來在文件過濾規則中引用文件類型組。
undo filetype-group命令用來恢複缺省情況。
【命令】
filetype-group group-name
undo filetype-group
【缺省情況】
文件過濾規則中未引用文件類型組。
【視圖】
文件過濾規則視圖
【缺省用戶角色】
network-admin
【參數】
group-name:表示文件類型組的名稱,為1~31個字符的字符串,不區分大小寫。被引用的文件類型組必須存在。
【使用指導】
在文件過濾規則中通過引用文件類型組來對文件的擴展名信息進行精確匹配。
在同一個文件過濾規則視圖下,多次執行本命令,最後一次執行的命令生效。
【舉例】
# 創建一個名稱為def的文件過濾策略。
<Sysname> system-view
[Sysname] file-filter policy def
# 在名稱為ch1的文件過濾規則中引用文件類型組fg1。
[Sysname-file-filter-policy-def] rule ch1
[Sysname-file-filter-policy-def-rule-ch1] filetype-group fg1
【相關命令】
· file-filter filetype-group
pattern命令用來配置文件過濾特征。
undo pattern命令用來刪除指定的文件過濾特征。
【命令】
pattern pattern-name text pattern-string
undo pattern pattern-name
【缺省情況】
文件類型組中不存在文件過濾特征。
【視圖】
文件類型組視圖
【缺省用戶角色】
network-admin
【參數】
pattern-name:表示文件過濾特征的名字,為1~31個字符的字符串,不區分大小寫。
text pattern-string:表示對文件的擴展名信息進行精確匹配的文本,pattern-string是文本內容,為1~8個字符的字符串,不區分大小寫。
【使用指導】
文件過濾特征是設備執行文件過濾功能時係統需要對文件的擴展名信息進行識別的內容。
一個文件類型組中可以配置32個文件過濾特征,且它們之間是或的關係。
【舉例】
# 在文件類型組fg1中配置文件過濾特征為doc。
<Sysname> system-view
[Sysname] file-filter filetype-group fg1
[Sysname-file-filter-fgroup-fg1] pattern 1 text doc
rule命令用來創建文件過濾規則,並進入文件過濾規則視圖。如果指定的文件過濾視圖已經存在,則直接進入文件過濾視圖。
undo rule命令用來刪除指定的文件過濾規則。
【命令】
rule rule-name
undo rule rule-name
【缺省情況】
不存在文件過濾規則。
【視圖】
文件過濾策略視圖
【缺省用戶角色】
network-admin
【參數】
rule-name:文件過濾規則的名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
在文件過濾規則中可以配置匹配報文的一係列匹配項,比如規則匹配的方向、規則生效的協議類型、規則引用的文件類型組和規則的動作。
隻有文件屬性(包括文件的應用類型、傳輸方向和擴展名)成功匹配規則中包含的所有檢測條件才算與此規則匹配成功。
一個文件過濾策略中最多可以定義32個文件過濾規則。
【舉例】
# 在名稱為def的文件過濾策略下創建一個名稱為ch1的文件過濾規則,並進入文件過濾規則視圖。
<Sysname> system-view
[Sysname] file-filter policy def
[Sysname-file-filter-policy-def]rule ch1
[Sysname-file-filter-policy-def-rule-ch1]
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
