- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-應用審計與管理命令
本章節下載: 02-應用審計與管理命令 (280.92 KB)
目 錄
本特性會解析出用戶報文中的敏感信息和私密信息,請保證將本特性僅用於合法用途。
application命令用來配置作為應用審計與管理策略過濾條件的應用。
undo application命令用來刪除作為應用審計與管理策略過濾條件的應用。
【命令】
application { app application-name | app-group application-group-name }
undo application { app application-name | app-group application-group-name }
【缺省情況】
不存在應用過濾條件。
【視圖】
應用審計與管理策略視圖
【缺省用戶角色】
network-admin
【參數】
app application-name:表示應用的名稱,為1~63個字符的字符串,不區分大小寫。
app-group application-group-name:表示應用組的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
僅在免審計和阻斷類型的策略中可配置此命令。
多次執行本命令,可配置多個應用作為應用審計與管理策略的過濾條件。
【舉例】
# 配置應用審計與管理阻斷策略mypolicy2過濾條件的應用為app1和app2,應用組為group1和group2。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy2 deny
[Sysname-uapp-control-policy-mypolicy2] application app app1
[Sysname-uapp-control-policy-mypolicy2] application app app2
[Sysname-uapp-control-policy-mypolicy2] application app-group group1
[Sysname-uapp-control-policy-mypolicy2] application app-group group2
【相關命令】
· app-group(DPI深度安全命令參考/APR)
· nbar application(DPI深度安全命令參考/APR)
· port-mapping(DPI深度安全命令參考/APR)
description命令用來配置關鍵字組的描述信息。
undo description命令用來恢複缺省情況。
【命令】
description text
undo description
【缺省情況】
不存在關鍵字組的描述信息。
【視圖】
關鍵字組視圖
【缺省用戶角色】
network-admin
【參數】
text:表示關鍵字組的描述信息,為1~255個字符的字符串,區分大小寫。
【舉例】
# 配置關鍵字組的描述信息為account limit。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] keyword-group name mykeywordgroup
[Sysname-uapp-control-keyword-group-mykeywordgroup] description account limit
destination-address命令用來配置作為應用審計與管理策略過濾條件的目的IP地址。
undo destination-address命令用來刪除作為應用審計與管理策略過濾條件的目的IP地址。
【命令】
destination-address { ipv4 | ipv6 } object-group-name
undo destination-address { ipv4 | ipv6 } object-group-name
【缺省情況】
不存在目的IP地址過濾條件。
【視圖】
應用審計與管理策略視圖
【缺省用戶角色】
network-admin
【參數】
ipv4:表示指定IPv4地址對象組。
ipv6:表示指定IPv6地址對象組。
object-group-name:表示地址對象組的名稱,為1~63個字符的字符串,不區分大小寫,且必須已存在。
【使用指導】
多次執行本命令,可配置多個目的IPv4/IPv6地址對象組作為應用審計與管理策略的過濾條件。
【舉例】
# 配置應用審計與管理審計策略mypolicy1過濾條件的目的IPv4地址。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
[Sysname-uapp-control-policy-mypolicy1] destination-address ipv4 obgroup3
[Sysname-uapp-control-policy-mypolicy1] destination-address ipv4 obgroup4
【相關命令】
· object-group(安全命令參考/對象組)
disable命令用來關閉應用審計與管理策略。
undo disable命令用來開啟應用審計與管理策略。
【命令】
disable
undo disable
【缺省情況】
應用審計與管理策略處於開啟狀態。
【視圖】
應用審計與管理策略視圖
【缺省用戶角色】
network-admin
【使用指導】
如果在某些組網環境中某條應用審計與管理策略暫時不會被用到,則可以使用此命令來關閉此條應用審計與管理策略。關閉應用審計與管理策略後,此策略將不能對流量進行匹配,但依然可以對其進行複製、重命名和移動的操作。
【舉例】
# 關閉應用審計與管理策略mypolicy1。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1
[Sysname-uapp-control-policy-mypolicy1] disable
keyword命令用來配置關鍵字。
undo keyword命令用來刪除指定的關鍵字。
【命令】
keyword keyword-value
undo keyword keyword-value
【缺省情況】
不存在關鍵字。
【視圖】
關鍵字組視圖
【缺省用戶角色】
network-admin
【參數】
keyword-value:表示關鍵字,為1~63個字符的字符串,區分大小寫。
【舉例】
# 配置應用審計與管理的關鍵字為keywordname。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] keyword-group name mykeywordgroup
[Sysname-uapp-control-keyword-group-mykeywordgroup] keyword keywordname
keyword-group name命令用來創建關鍵字組,並進入關鍵字組視圖。如果指定的關鍵字組已經存在,則直接進入關鍵字組視圖。
undo keyword-group name命令用來刪除指定的關鍵字組。
【命令】
keyword-group name keyword-group-name
undo keyword-group name keyword-group-name
【缺省情況】
不存在關鍵字組。
【視圖】
應用審計與管理視圖
【缺省用戶角色】
network-admin
【參數】
keyword-group-name:表示關鍵字組的名稱,為1~63個字符的字符串,不區分大小寫。
【舉例】
# 創建名稱為mykeywordgroup的關鍵字組,並進入關鍵字組視圖。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] keyword-group name mykeywordgroup
[Sysname-uapp-control-keyword-group-mykeywordgroup]
policy copy命令用來複製應用審計與管理策略。
【命令】
policy copy policy-name new-policy-name
【缺省情況】
不存在應用審計與管理策略。
【視圖】
應用審計與管理視圖
【缺省用戶角色】
network-admin
【參數】
policy-name:表示被複製應用審計與管理策略的名稱,為1~63個字符的字符串,不區分大小寫。
new-policy-name:表示新建應用審計與管理策略的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
當需要新建的應用審計與管理策略和已存在的策略比較相似時,可通過複製已經存在的策略來快速的創建新的應用審計與管理策略。
【舉例】
# 複製應用審計與管理策略policy1,複製後的策略名稱為policy2。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy copy policy1 policy2
policy default-action命令用來配置應用審計與管理策略的缺省動作。
【命令】
policy default-action { deny | permit }
【缺省情況】
應用審計與管理策略的缺省動作是允許。
【視圖】
應用審計與管理視圖
【缺省用戶角色】
network-admin
【參數】
deny:表示阻斷報文。
permit:表示允許報文通過。
【使用指導】
若報文未與任何一個應用審計與管理策略匹配成功,則設備將根據應用審計與管理策略的缺省動作對報文進行處理。
【舉例】
# 配置應用審計與管理策略的缺省動作為丟棄。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy default-action deny
policy move命令用來移動應用審計與管理策略的位置。
【命令】
policy move policy-name1 { after | before } policy-name2
【視圖】
應用審計與管理視圖
【缺省用戶角色】
network-admin
【參數】
policy-name1:表示需要被移動的應用審計與管理策略的名稱,為1~63個字符的字符串,不區分大小寫。
after:表示把應用審計與管理策略policy-name1移動到應用審計與管理策略policy-name2的後麵。
before:表示把應用審計與管理策略policy-name1移動到應用審計與管理策略policy-name2的前麵。
policy-name2:表示移動目標的應用審計與管理策略的名稱,為1~63個字符的字符串,不區分大小寫。
【舉例】
# 創建應用審計與管理策略,名稱為policy1。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name policy1 audit
[Sysname-uapp-control-policy-policy1] quit
# 創建應用審計與管理策略,名稱為policy2。
[Sysname-uapp-control] policy name policy2 audit
[Sysname-uapp-control-policy-policy2] quit
# 移動應用審計與管理策略policy1到policy2之後。
[Sysname-uapp-control] policy move policy1 after policy2
policy name命令用來創建應用審計與管理策略,並進入應用審計與管理策略視圖。如果指定的應用審計與管理策略已經存在,則直接進入應用審計與管理策略視圖。
undo policy name命令用來刪除指定的應用審計與管理策略。
【命令】
policy name policy-name [ audit | deny | noaudit ]
undo policy name policy-name
【缺省情況】
不存在應用審計與管理策略。
【視圖】
應用審計與管理視圖
【缺省用戶角色】
network-admin
【參數】
policy-name:表示應用審計與管理策略的名稱,為1~63個字符的字符串,不區分大小寫,且名稱必須全局唯一。
audit:表示審計類型的策略。
deny:表示阻斷類型的策略。
noaudit:表示免審計類型的策略。
【使用指導】
本命令用來創建應用審計與管理策略,創建策略時必須指定策略類型,應用審計與管理策略分為如下三類:
· 審計策略:對匹配策略中所有過濾條件的報文,根據審計規則對此報文進行審計。
· 免審計策略:對匹配策略中所有過濾條件的報文進行免審計。
· 阻斷策略:對匹配策略中所有過濾條件的報文進行阻斷。
每類策略中具體可配置的內容不同,其中application命令隻能在免審計和阻斷類型的策略下配置,rule、rule default-action和rule match-method命令隻能在審計類型的策略下配置。
【舉例】
# 創建一個名稱為mypolicy1的應用審計與管理策略,並對用戶的應用行為進行審計,並進入應用審計與管理策略視圖。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
[Sysname-uapp-control-policy-mypolicy1]
policy rename命令用來重命名應用審計與管理策略。
【命令】
policy rename old-policy-name new-policy-name
【視圖】
應用審計與管理視圖
【缺省用戶角色】
network-admin
【參數】
old-policy-name:表示應用審計與管理策略的原有名稱,為1~63個字符的字符串,不區分大小寫。
new-policy-name:表示應用審計與管理策略的新名稱,為1~63個字符的字符串,不區分大小寫。
【舉例】
# 創建應用審計與管理策略,名稱為policy1。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name policy1 audit
[Sysname-uapp-control-policy-policy1] quit
# 修改應用審計與管理策略policy1的名稱為policy2
[Sysname-uapp-control] policy rename policy1 policy2
rule命令用來配置應用審計與管理策略的審計規則。
undo rule id命令用來刪除指定的審計規則。
【命令】
rule rule-id { app app-name | app-category app-category-name | any } behavior { behavior-name | any } bhcontent { bhcontent-name | any } { keyword { equal | exclude | include | unequal } { keyword-group-name | any } | integer { equal | greater | greater-equal | less | less-equal | unequal } { number } } action { deny | permit } [ audit-logging ]
rule rule-id { email-bomb-defense [ interval interval max-number email-number ] | email-send-restriction } * action { deny | permit } [ audit-logging ]
undo rule rule-id
【缺省情況】
不存在審計規則。
【視圖】
應用審計與管理策略視圖
【缺省用戶角色】
network-admin
【參數】
rule-id:表示審計規則ID,取值範圍為1~64。
app app-name:表示對指定的應用進行審計。
app-category app-category-name:表示對指定的應用分類進行審計。
any:表示對所有應用和應用分類進行審計。
behavior behavior-name:表示對指定應用或應用分類的某一具體行為進行審計。behavior-name是行為名稱。
any表示所有行為。
bhcontent bhcontent-name:表示對該行為中的某一具體內容進行審計。bhcontent-name是行為內容。
any表示所有行為內容。
keyword:表示行為內容的匹配方式為字符串形式的關鍵字。
· equal:表示審計規則對行為內容的匹配方式為與關鍵字完全相等。
· exclude:表示審計規則對行為內容的匹配方式為不包含關鍵字。
· include:表示審計規則對行為內容的匹配方式為包含關鍵字。
· unequal:表示審計規則對行為內容的匹配方式為與關鍵字不相等。
keyword-group-name:表示審計規則引用的關鍵字組。
any表示對指定應用或應用分類行為的所有內容進行審計。
integer:表示行為內容的匹配方式為數字。
· equal:表示對等於指定數字的行為內容進行審計。
· greater:表示對大於指定數字的行為內容進行審計。
· greater-equal:表示對大於等於指定數字的行為內容進行審計。
· less:表示對小於指定數字的行為內容進行審計。
· less-equal:表示對小於等於指定數字的行為內容進行審計。
· unequal:表示對不等於指定數字的行為內容進行審計。
number:表示審計規則使用的數字,取值範圍為0~4294967295。
action:表示審計規則的動作,即對與審計規則匹配成功的報文執行的動作。
· deny:表示審計規則動作為阻斷報文。
· permit:表示審計規則動作為允許報文通過。
· audit-logging:表示審計規則動作為生成審計日誌。若未配置本參數,則與此審計規則匹配成功的報文不會生成審計日誌。
email-bomb-defense:表示郵件炸彈攻擊防禦功能。
interval interval:表示郵件炸彈攻擊的檢測時長,取值範圍為1~5,單位為分鍾,缺省值為1。
max-number email-number:表示檢測時長內,允許向相同收件人發送郵件數量的最大值,取值範圍為1~300,缺省值為5。
email-send-restriction:表示限製郵件發送功能。
【使用指導】
當報文與策略中配置的所有過濾條件均匹配成功後,會根據審計規則對此報文進行更加精細化的審計。根據報文與審計規則的匹配結果,將對報文進行如下處理:
· 若報文與審計規則的所有審計項匹配成功,則執行審計規則配置的動作。
· 若報文僅與審計規則的應用/應用分類審計項匹配成功,則放行報文。
· 若報文與審計規則的應用/應用分類審計項匹配失敗,則執行審計規則缺省動作。
僅在審計類型的策略中可配置此命令。
對於微信和QQ,不支持對指定的消息內容進行阻斷。
審計規則提供如下功能:
· 通用應用審計功能:對用戶的具體應用行為進行精細化控製。
· 郵件保護功能:設備對接收到的郵件進行檢測,並基於收件人進行統計,保護收件人不受到郵件攻擊,具體功能如下。
¡ 限製郵件發送功能:用於禁止不同域之間的郵件發送。例如,郵箱地址為[email protected]的用戶不能向[email protected]發送郵件。
¡ 郵件炸彈攻擊防禦功能:用於防止發件人在短時間內向相同的收件人發送大量郵件。
【舉例】
# 創建一個名稱為mypolicy1的應用審計與管理審計策略。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
# 創建第一條審計規則:對IM應用組行為是登錄,行為內容為賬號且包含關鍵字0的用戶報文進行阻斷,並生成審計日誌。
[Sysname-uapp-control-policy-mypolicy1] rule 1 app-category IM behavior Login bhcontent Account keyword include mykeywd2 action deny audit-logging
# 創建第二條審計規則:開啟防禦郵件炸彈功能,其中判斷郵件炸彈的依據是發件人向同一收件人1分鍾內有大於等於5封郵件,允許包含該郵件的報文通過,並生成審計日誌。
[Sysname-uapp-control-policy-mypolicy1] rule 2 email-bomb-defense interval 1 max-number 5 action permit audit-logging
# 創建第三條審計規則:開啟限製郵件發送功能,對包含該郵件的報文進行放行,並生成審計日誌。
[Sysname-uapp-control-policy-mypolicy1] rule 3 email-send-restriction action permit audit-logging
【相關命令】
· keyword
· keyword-group name
rule default-action命令用來配置審計規則的缺省動作。
【命令】
rule default-action { deny | permit }
【缺省情況】
審計規則的缺省動作為允許。
【視圖】
應用審計與管理策略視圖
【缺省用戶角色】
network-admin
【參數】
deny:表示阻斷匹配審計規則的報文。
permit:表示允許匹配審計規則的報文通過。
【使用指導】
若報文未與策略的任何一條審計規則中的應用或應用分類匹配成功,則設備將根據該策略中審計規則的缺省動作對報文進行處理。
【舉例】
# 配置審計規則的缺省動作為阻斷。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
[Sysname-uapp-control-policy-mypolicy1] rule default-action deny
rule match-method命令用來配置審計規則的匹配模式。
【命令】
rule match-method { all | in-order }
【缺省情況】
審計規則的匹配模式為順序匹配。
【視圖】
應用審計與管理策略視圖
【缺省用戶角色】
network-admin
【參數】
all:表示審計規則匹配模式為全匹配。
in-order:表示審計規則匹配模式為順序匹配。
【使用指導】
順序匹配表示審計規則按照規則ID從小到大的順序進行逐一匹配,一旦報文與某條審計規則匹配成功就結束此匹配過程,並根據該審計規則中的動作對此報文進行相應處理。
全匹配表示審計規則按照審計規則ID從小到大的順序進行匹配,若報文與其條動作為允許的規則匹配成功,則繼續匹配後續規則直到最後一條規則;若報文與某條動作為阻斷的規則匹配成功,則不再進行後續規則的匹配。設備將根據所有匹配成功的審計規則中優先級最高的動作(阻斷的優先級高於允許)對此報文進行相應處理。
【舉例】
# 配置審計規則的匹配模式為全匹配。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
[Sysname-uapp-control-policy-mypolicy1] rule match-method all
service命令用來配置作為應用審計與管理策略過濾條件的服務。
undo service命令用來刪除作為應用審計與管理策略過濾條件的服務。
【命令】
service service-name
undo service [ service-name ]
【缺省情況】
不存在服務過濾條件。
【視圖】
應用審計與管理策略視圖
【缺省用戶角色】
network-admin
【參數】
service-name:是服務對象組的名稱,為1~63個字符的字符串,不區分大小寫,且必須已存在。如果不指定該參數,則刪除所有服務過濾條件。
【使用指導】
多次執行本命令,可配置多個服務作為應用審計與管理策略的過濾條件。
配置undo service命令時,如果指定的服務對象組為any,則表示刪除所有服務過濾條件。
【舉例】
# 配置應用審計與管理審計策略mypolicy1過濾條件的服務為dns-tcp和dns-udp。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
[Sysname-uapp-control-policy-mypolicy1] service dns-tcp
[Sysname-uapp-control-policy-mypolicy1] service dns-udp
【相關命令】
· object-group(安全命令參考/對象組)
source-address命令用來配置作為應用審計與管理策略過濾條件的源IP地址。
undo source-address命令用來刪除作為應用審計與管理策略過濾條件的源IP地址。
【命令】
source-address { ipv4 | ipv6 } object-group-name
undo source-address { ipv4 | ipv6 } object-group-name
【缺省情況】
不存在源IP地址過濾條件。
【視圖】
應用審計與管理策略視圖
【缺省用戶角色】
network-admin
【參數】
ipv4:表示指定IPv4地址對象組。
ipv6:表示指定IPv6地址對象組。
object-group-name:表示地址對象組的名稱,為1~63個字符的字符串,不區分大小寫,且必須已存在。
【使用指導】
多次執行本命令,可配置多個源IP/IPv6地址對象組作為應用審計與管理策略的過濾條件。
【舉例】
# 配置應用審計與管理審計策略mypolicy1過濾條件的源IP地址。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy audit
[Sysname-uapp-control-policy-mypolicy] source-address ipv4 obgroup1
[Sysname-uapp-control-policy-mypolicy] source-address ipv4 obgroup2
【相關命令】
· object-group(安全命令參考/對象組)
time-range命令用來配置應用審計與管理策略的生效時間。
undo time-range命令用來恢複缺省情況。
【命令】
time-range time-range-name
undo time-range
【缺省情況】
應用審計與管理策略在任何時間下都生效。
【視圖】
應用審計與管理策略視圖
【缺省用戶角色】
network-admin
【參數】
time-range-name:指定時間段的名稱,為1~32個字符的字符串,不區分大小寫。為避免混淆,時間段的名稱不允許使用英文單詞all。
【舉例】
# 配置應用審計與管理審計策略mypolicy1的生效時間段為work-time。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
[Sysname-uapp-control-policy-mypolicy1] time-range work-time
【相關命令】
· time-range(安全命令參考/時間段)
uapp-control命令用來進入應用審計與管理視圖。
undo uapp-control命令用來刪除應用審計與管理策略中的所有配置。
【命令】
uapp-control
undo uapp-control
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
在應用審計與管理視圖下可完成應用審計與管理策略的創建、複製、移動和重命名以及關鍵字組的創建。應用審計與管理策略分為三種類型:審計(audit),免審計(noaudit)和阻斷(deny),其中免審計和阻斷類型的策略用來做粗粒度的應用審計與管理,審計類型的策略用來做精細化的應用審計與管理。
【舉例】
# 進入應用審計與管理視圖。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control]
user命令用來配置作為應用審計與管理策略過濾條件的用戶。
undo user命令用來刪除作為應用審計與管理策略過濾條件的用戶。
【命令】
user user-name [ domain domain-name ]
undo user user-name [ domain domain-name ]
【缺省情況】
不存在用戶過濾條件。
【視圖】
應用審計與管理策略視圖
【缺省用戶角色】
network-admin
【參數】
user-name:表示身份識別用戶的賬戶名稱,為1~55個字符的字符串,區分大小寫,不能是a、al和all,且不能包含特殊字符“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”、和“@”。
domain domain-name:表示在指定的身份識別域中匹配此用戶。domain-name是身份識別域的名稱,為1~255個字符的字符串,不區分大小寫,不能包含特殊字符“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”。若不指定此參數,則表示在不屬於任何身份識別域的用戶中匹配此用戶。有關身份識別域的詳細介紹,請參見“用戶接入與認證配置指導”中的“用戶身份識別與管理”。
【使用指導】
多次執行本命令,可配置多個用戶作為應用審計與管理策略的過濾條件。
【舉例】
# 配置應用審計與管理審計策略mypolicy1過濾條件的用戶為managers1和managers2。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
[Sysname-uapp-control-policy-mypolicy1] user managers1
[Sysname-uapp-control-policy-mypolicy1] user managers2
# 引用用戶名為managers1,身份識別域為dpi的用戶作為應用審計與管理策略的過濾條件。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
[Sysname-uapp-control-policy-mypolicy1] user managers1 domain dpi
【相關命令】
· user-identity enable(用戶接入與認證命令參考/用戶身份識別與管理)
user-group命令用來配置作為應用審計與管理策略過濾條件的用戶組。
undo user-group命令用來刪除作為應用審計與管理策略過濾條件的用戶組。
【命令】
user-group user-group-name [ domain domain-name ]
undo user-group user-group-name [ domain domain-name ]
【缺省情況】
不存在用戶組過濾條件。
【視圖】
應用審計與管理策略視圖
【缺省用戶角色】
network-admin
【參數】
user-group-name:表示身份識別用戶組的名稱,為1~200個字符的字符串,不區分大小寫。
domain domain-name:表示在指定的身份識別域中匹配此用戶組。domain-name是身份識別域的名稱,為1~255個字符的字符串,不區分大小寫,不能包含特殊字符“/”、“\”、“|”、“:”、“*”、“?”、“<”、“>”以及“@”。若不指定此參數,則表示在不屬於任何身份識別域的用戶組中匹配此用戶組。有關身份識別域的詳細介紹,請參見“用戶接入與認證配置指導”中的“用戶身份識別與管理”。
【使用指導】
多次執行本命令,可配置多個用戶組作為應用審計與管理策略的過濾條件。
【舉例】
# 配置應用審計與管理審計策略mypolicy1過濾條件的用戶組為group1和group2。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
[Sysname-uapp-control-policy-mypolicy1] user-group group1
[Sysname-uapp-control-policy-mypolicy1] user-group group2
# 引用用戶組名為group1,域為dpi的用戶組作為應用審計與管理審計策略規則的匹配條件。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
[Sysname-uapp-control-policy-mypolicy1] user-group group1 domain dpi
【相關命令】
· user-identity enable(用戶接入與認證命令參考/用戶身份識別與管理)
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
