add命令用来向URL过滤策略中添加黑/白名单规则。
undoadd命令用来删除URL过滤策略中指定的或所有黑/白名单规则。
【命令】
add{blacklist|whitelist}[id]host{regexhost-regex|texthost-name}[uri{regexuri-regex|texturi-name}]
undoadd{blacklist|whitelist}{id|all}
【缺省情况】
URL过滤策略中不存在黑/白名单规则。
【视图】
URL过滤策略视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
blacklist:表示URL过滤策略的黑名单规则。
whitelist:表示URL过滤策略的白名单规则。
id:表示黑/白名单规则的编号,取值范围为1~65535。若未指定本参数,系统将从1开始,自动分配一个大于现有最大编号的最小编号,步长为1。若新编号超出了编号上限65535,则选择当前未使用的最小编号作为新的编号。
host:表示匹配URL中的主机名字段。
uri:表示匹配URL中的URI字段。
regexregex:表示使用正则表达式对主机名和URI字段进行匹配。regex是正则表达式,区分大小写,只能以字母、数字和下划线开头,且至少包含连续的3个非通配符。其中,主机名规则的取值范围为3~224个字符,URI规则的取值范围为3~245个字符。
textstring:表示使用文本对主机名和URI字段进行匹配。string是指定的主机名或URI规则字符串。主机名规则的取值范围为3~224个字符,不区分大小写,且至少包含连续的3个非通配符,主机名只能是字母、数字、下划线“_”、连接符“-”、冒号“:”、左方括号“[”、右方括号“]”、点号“.”和星号“*”,但URI无此限制;URI规则的取值范围为3~245个字符,不区分大小写,且至少包含连续的3个非通配符。
all:表示所有的黑/白名单规则。
【使用指导】
URL过滤黑/白名单规则功能根据应用层的信息进行URL过滤。如果用户HTTP报文中的URL与URL过滤策略中的黑名单规则匹配成功,则丢弃此报文;如果与白名单规则匹配成功,则允许此报文通过。
使用文本方式对主机名和URI字段进行匹配时,对星号“*”有如下的限制:
·匹配主机名字段时,“*”只能出现在开头或结尾,表示通配符,代表0到多个任意字符。
·匹配URI字段时,当“*”出现在开头或结尾,表示通配符,代表0到多个任意字符;当“*”出现在其他位置时,则作为普通字符进行匹配。
正则表达式有如下限制:
·正则表达式中,总的分支不能超过四个。例如'abc(c|d|e|\x3D)'有效,'abc(c|onreset|onselect|onchange|style\x3D)'无效。
·正则表达式中,括号不能嵌套,即括号中不能有括号。例如'ab((abcs*))'无效。
·正则表达式中,分支不支持串联,即分支后面不能有分支。例如'ab(a|b)(c|d)^\\r\\n]+'无效。
·正则表达式中,零次重复量词'*'和''前面必须有四个确定字符。例如'abc*'无效,'abcd*DoS\x2d\d{5}\x20\x2bxi\\r\\nJOIN'有效。
【举例】
#在URL过滤策略news中,添加一条黑名单规则,使用以games.com开头的字符串对主机名字段进行匹配。
[Sysname]url-filterpolicynews
[Sysname-url-filter-policy-news]addblacklist1hosttextgames.com*
categoryaction命令用来配置URL过滤分类动作。
undocategory命令用来删除指定的URL过滤分类动作。
categorycategory-nameaction{block-source[parameter-profileparameter-name]|drop|permit|redirectparameter-profileparameter-name|reset}[logging[parameter-profileparameter-name]]
undocategorycategory-name
不存在URL过滤分类动作。
category-name:指定URL过滤分类名称,包括预定义和自定义的URL过滤分类名称,为1~63个字符的字符串,不区分大小写。
action:表示对匹配上此URL过滤分类中的任何一条规则的报文所采取的动作。
drop:表示丢弃报文。
permit:表示允许报文通过。
redirect:表示重定向动作,把符合特征的报文重定向到指定的Web页面上。
reset:表示通过发送TCP的reset报文从而使TCP连接断开。
logging:表示生成报文日志。
parameter-profileparameter-name:指定URL过滤动作引用的应用层检测引擎动作参数profile。parameter-name是动作参数profile的名称,为1~63个字符的字符串,不区分大小写。如果URL过滤动作没有引用应用层检测引擎动作参数profile,或者引用的动作参数profile不存在,则使用系统中各动作参数的缺省值。有关应用层检测引擎中动作参数的详细配置请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
URL过滤功能对报文的处理过程如下:
·如果报文匹配上该URL过滤分类中的任何一条规则,则设备将会根据该URL过滤分类绑定的动作对此报文进行处理。
·如果报文没有匹配上该URL过滤分类中的任何规则,但是配置了default-action命令,则设备将根据URL过滤策略中配置的缺省动作来对此报文进行处理。
·如果报文没有匹配上该URL过滤分类中的任何规则,且也没有配置default-action命令,则设备直接允许此报文通过。
多次执行本命令,最后一次执行的命令生效。
#在URL过滤策略news中,配置URL过滤分类sina的动作为丢弃。
[Sysname-url-filter-policy-news]categorysinaactiondrop
·inspectblock-sourceparameter-profile(DPI深度安全命令参考/应用层检测引擎)
·inspectredirectparameter-profile(DPI深度安全命令参考/应用层检测引擎)
·url-filtercategory
·url-filterpolicy
default-action命令用来配置URL过滤策略的缺省动作。
undodefault-action命令用来恢复缺省情况。
default-action{block-source[parameter-profileparameter-name]|drop|permit|redirectparameter-profileparameter-name|reset}[logging[parameter-profileparameter-name]]
undodefault-action
未配置URL过滤策略的缺省动作。
logging:表示生成报文日志动作。
parameter-profileparameter-name:指定引用的动作参数。parameter-name是动作参数profile的名称,为1~63个字符的字符串,不区分大小写。如果不指定该参数或指定的参数不存在,则使用动作的缺省参数。这里引用的动作参数是应用层检测引擎中配置的动作参数,有关应用层检测引擎中动作参数的详细配置请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
配置此命令后,当报文没有匹配上URL过滤策略中的规则时,设备将根据URL过滤策略的缺省动作对此报文进行处理。
#在名为cmcc的URL过滤策略中,配置缺省动作为丢弃。
[Sysname]url-filterpolicycmcc
[Sysname-url-filter-policy-cmcc]default-actiondrop
description命令用来配置URL过滤分类的描述信息。
undodescription命令用来恢复缺省情况。
descriptiontext
undodescription
自定义的URL过滤分类中未配置描述信息。
URL过滤分类视图
text:URL过滤分类的描述信息,为1~255个字符的字符串,可以包含空格,不区分大小写。
通过合理编写描述信息,便于管理员快速理解和识别URL过滤分类的作用,有利于后期维护。
#配置URL过滤分类news的描述信息为Newsinformation。
[Sysname]url-filtercategorynews
[Sysname-url-filter-category-news]descriptionNewsinformation
displayurl-filtercache命令行用来查看URL过滤缓存中的信息。
(独立运行模式)
displayurl-filtercache[categorycategory-name][slotslot-number]
(IRF模式)
displayurl-filtercache[categorycategory-name][chassischassis-numberslotslot-number]
任意视图
network-operator
mdc-operator
categorycategory-name:指定URL过滤分类,category-name表示URL过滤分类名称,为1~63个字符的字符串,不区分大小写。
slotslot-number:显示指定单板上的URL过滤缓存中的信息。slot-number表示单板所在的槽位号。若不指定该参数,则表示所有单板。(独立运行模式)
chassischassis-numberslotslot-number:显示指定成员设备的指定单板上的URL过滤缓存中的信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若不指定该参数,则表示所有单板。(IRF模式)
#查看URL过滤缓存中的信息。
Slot1:
Url-filtercacheinformation:
Cloud-querystatus:Enabled
Totalcachedentries:35
Minupdateinterval:906seconds
Maxupdateinterval:46760seconds
Lastquerymessagesent:906secondsago
Lastqueryresultreceived:906secondsago
Slot1:Url-filtercacheverbose:
Host:192.168.56.99
URI:/wnm/get.jsessionid=200001a5de59aebeb0877f982e5c31f58728
Hitcount:15
Timeelapsedsincelastupdate:906seconds
CategoryID:152
Cachequerystate:Queryended
表1-1displayurl-filtercache命令显示信息描述表
字段
描述
Url_filtercacheinformation
URL过滤缓存信息
Cloud-querystatus
(暂不支持)云端查询功能状态,取值包括:
·Enabled:表示云端查询功能处于开启状态
·Disabled:表示云端查询功能处于关闭状态
Totalcachedentries
缓存的URL的总数
Minupdateinterval
Maxupdateinterval
Lastquerymessagesent
Lastqueryresultreceived
Url-filtercacheverbose
URL过滤缓存详细信息
Host
缓存URL的Host字段
URI
缓存URL的URI字段
Hitcount
该URL过滤规则被命中的次数
Timeelapsedsincelastupdate
CategoryID
URL过滤分类的ID,若未查询到,则显示为空;如果属于多个分类,则显示所有分类ID并以空格相隔
Cachequerystate
URL过滤缓存的查询状态,取值包括:
·Inthecloudquery:表示正在进行云端查询
·Queryend:表示完成云端查询
displayurl-filtercategory命令用来查看URL过滤父分类或子分类信息。
displayurl-filter{category|parent-category}[verbose]
category:显示URL过滤子分类的信息。
parent-category:显示URL过滤父分类的信息。仅支持预定义父分类,且父分类下仅包含预定义子分类。
verbose:显示URL过滤子分类或父分类的详细信息。如果不指定该参数,则显示URL过滤子分类或父分类的摘要信息。
URL过滤支持两级分类,包含父分类和子分类。
#查看URL过滤子分类信息。
URLcategorystatistics:
Predefinedcategories:53
Predefinedrules:2000
User-definedcategories:5
User-definedrules:4
URLcategories:
Name:23
Name:24
Name:33
Name:Pre-AdvertisementsAndPop-Ups
Name:Pre-AlcoholAndTobacco
Name:Pre-Anonymizers
Name:Pre-Arts
Name:Pre-Business
Name:Pre-Chat
Name:Pre-ComputersAndTechnology
Name:Pre-CriminalActivity
Name:Pre-Cults
Name:Pre-DatingAndPersonals
Name:Pre-DownloadSites
Name:Pre-Education
Name:Pre-Entertainment
Name:Pre-FashionAndBeauty
----More----
#查看URL过滤子分类的详细信息。
URLcategorydetails:
Type:Userdefined
Severity:1001
Rules:1
Description:
Severity:1002
Type:Predefined
Severity:300
Rules:32
Description:Sitesthatprovideadvertisinggraphicsorotheradcontentfi
lessuchasbannersandpop-ups.
Severity:960
Rules:7
Description:Sitesthatpromoteorsellalcohol-ortobacco-relatedproduct
sorservices.
表1-2displayurl-filtercategory命令显示信息描述表
URLcategorystatistics
设备中URL过滤子分类总数,包括预定义和自定义的分类
Predefinedcategories
预定义URL过滤子分类数目
Predefinedrules
预定义URL过滤规则数目
User-definedcategories
自定义URL过滤子分类数目
User-definedrules
自定义URL过滤规则数目
URLcategorydetails
URL过滤子分类详细信息
Name
URL过滤子分类名称
Type
URL过滤子分类类型,包括如下取值:
·Predefined:预定义分类
·Userdefined:自定义分类
Severity
URL过滤严重级别
Rules
指定URL分类下的规则数目
Description
URL过滤子分类描述信息
#查看URL过滤父分类信息。
URLparentcategorystatistics:
Predefinedparentcategories:40
Includedpredefinedcategories:14
URLparentcategories:
Parentcategoryname:SearchEngineAndPortal
Parentcategoryname:P2PAndDownload
Parentcategoryname:OrdinaryDownload
Parentcategoryname:House
Parentcategoryname:EducationAndScientificResearch
Parentcategoryname:Finance
Parentcategoryname:StreamMediaAndVideo
Parentcategoryname:Shopping
Parentcategoryname:TransportationVehicle
Parentcategoryname:Travel
#查看URL过滤父分类的详细信息。
Predefinedparentcategories:46
Includedpredefinedcategories:139
URLparentcategorydetails:
Parentcategoryname:Pre-Adult
Description:Adult
Includedcategories:7
Pre-Abortion
Pre-AdultSuppliers
Pre-Homosexual
Pre-Nudity
Pre-OtherAdult
Pre-SexualHealth
Pre-Vulgar
Parentcategoryname:Pre-Arts
Description:Arts
Includedcategories:1
Pre-Arts
表1-3displayurl-filterparent-category命令显示信息描述表
URLparentcategorystatistics
设备中URL过滤父分类总数,仅支持预定义的父分类
Predefinedparentcategories
URL过滤父分类数目
Includedpredefinedcategories
URL过滤所有父分类下包含的预定义URL过滤子分类总数
URLparentcategorydetails
URL过滤父分类详细信息
Parentcategoryname
URL过滤父分类名称
URL过滤父分类的类型,仅支持预定义类型
URL过滤父分类描述信息
Includedcategories
指定URL过滤父分类下包含的分类数目
displayurl-filtersignaturelibrary查看URL过滤特征库信息。
displayurl-filtersignaturelibrary
#查看URL过滤特征库信息。
URLfiltersignaturelibraryinformation:
TypeSigVersionReleaseTimeSize
Current1.0.0WedJan2106:43:53201536096
(null)---
Factory1.0.0WedJan2106:43:53201536096
表1-4displayurl-filtersignaturelibrary命令显示信息描述表
URL过滤特征库版本,包括如下取值:
·Current:当前版本
·Last:上一版本
·Factory:出厂版本
SigVersion
URL过滤特征库版本号
ReleaseTime
Size
URL过滤特征库文件大小,单位是Bytes
displayurl-filterstatistics命令用来查看URL过滤的统计信息。
displayurl-filterstatistics
#显示URL规则命中统计信息。
--------------------------------------------------------
TotalHTTPrequests:0
TotalHTTPShandshakes:0
Totalloggedrequests:0
Totalloggingrate:0/s
Totalpermittedrequestsandhandshakes:0
Totaldeniedrequests:0
Requeststhatmatchedtheblacklist:0
Requeststhatmatchedthewhitelist:0
Requeststhatmatchedthereferer-whitelist:0
Requeststhatmatchedauser-definedrule:0
Requeststhatmatchedapredefinedrule:0
Requeststhatmatchedacachedrule:0
Requeststhatmatchedthedefaultaction:0
RequeststhatmatchedURLsinURLreputationlibrary:0
PredefinedURLfilteringrules:2000
表1-5displayurl-filterstatistics命令显示信息描述表
TotalHTTPrequests
HTTP报文总数
TotalHTTPShandshakes
加密流量命中次数
Totalloggedrequests
打印日志的HTTP报文总数
TotalHTTPloggingrate
打印日志的HTTP报文的速率
TotalpermittedHTTPrequests
HTTP报文放行个数
TotaldeniedHTTPrequests
HTTP报文拒绝个数
Requeststhatmatchedtheblacklist
黑名单规则命中数
Requeststhatmatchedthewhitelist
白名单规则命中数
Requeststhatmatchedthereferer-whitelist
内嵌白名单命中次数
Requeststhatmatchedauser-definedrule
自定义规则命中数
Requeststhatmatchedapredefinedrule
预定义规则命中数
Requeststhatmatchedacachedrule
缓存规则命中数
Requeststhatmatchedthedefaultaction
默认动作命中数
RequeststhatmatchedURLsinURLreputationlibrary
(暂不支持)URL信誉特征库中URL的总命中次数
PredefinedURLfilteringrules
预定义规则数量
HTTPS流量过滤功能处于关闭状态。
缺省情况下,设备仅对HTTP流量进行URL过滤,如果需要对HTTPS流量进行URL过滤,则可开启本功能。开启本功能后,设备将对客户端发送的HTTPS的ClientHELLO报文中的SNI(SeverNameIndicationextension)字段进行检测,从中获取用户访问的服务器域名,使用获取到的域名与URL过滤策略进行匹配。
本功能仅能基于URL过滤规则中的HOST字段过滤,对于URI字段的信息无法匹配。
本功能仅在访问的服务器地址字段为域名的情况下生效,如果服务器地址字段为IP地址,本功能不生效。
如果客户端浏览器启用TLS1.3降级强化机制功能选项,报文中的SNI字段将会被加密,本功能将失效。
如果HTTPS报文不支持SNI字段,本功能将失效。
#在名为news的URL过滤策略中,开启HTTPS流量过滤功能。
includepre-defined命令用来向自定义URL过滤分类中添加预定义URL过滤分类中的规则。
undoincludepre-defined命令用来恢复缺省情况。
includepre-definedcategory-name
undoincludepre-defined
自定义URL过滤分类中不存在预定义URL过滤分类中的规则。
category-name:表示预定义URL过滤分类的名称,为1~63个字符的字符串,区分大小写。指定的预定义URL过滤分类必须已存在。
当新建的URL过滤分类中所需的规则与已存在的预定义URL过滤分类中的规则比较相似时,可通过此命令灵活、快速的创建URL过滤分类。
一个自定义URL过滤分类下只能添加一个预定义URL过滤分类。多次执行本命令,最后一次执行的命令生效。
#在名称为news的URL过滤分类中加预定义URL过滤分类Pre-Arts中的规则。
[Sysname-url-filter-category-news]includepre-definedPre-Arts
referer-whitelistenable命令用来开启内嵌白名单功能。
undoreferer-whiteenable命令用来关闭内嵌白名单功能。
referer-whitelistenable
undoreferer-whitelistenable
内嵌白名单功能处于开启状态。
本功能用于实现允许访问白名单网页下内嵌的其他网页链接。例如,用户访问的网页中内嵌了一个其他网站的视频链接,如果仅将该网页加入白名单,则用户无法访问内嵌的视频,还需要将该视频的链接网站加入白名单才可正常访问。
开启本功能后,设备将获取HTTP请求报文中的referer字段(用于标识从哪个网页发起的请求)与白名单进行匹配。如果匹配成功,则允许访问请求的网站;如果匹配失败,则禁止访问请求的网站。这样,只需将用户请求的网页加入白名单,该网页下的其他网站链接也会被允许访问,简化了配置。
当不希望用户可以访问网页中内嵌的其他网站链接时,可关闭本功能。
#在名为news的URL过滤策略中,开启内嵌白名单功能。
[Sysname-url-filter-policy-news]referer-whitelistenable
·addwhitelist
rename命令用来重命名URL过滤分类,并进入新的URL过滤分类视图。
renamenew-name
new-name:表示新的URL过滤分类的名称,为1~63个字符的字符串,不区分大小写。
原有URL过滤分类的名称被修改后,URL过滤策略中引用的同名URL过滤分类的名称也会被同步修改。
#把名称为news的URL过滤分类重命名为hello,并进入新的URL过滤分类视图。
[Sysname-url-filter-category-news]renamehello
[Sysname-url-filter-category-hello]
rename命令用来重命名URL过滤策略,并进入新的URL过滤策略视图。
new-name:表示新的URL过滤策略的名称,为1~31个字符的字符串,不区分大小写。
原有URL过滤策略的名称被修改后,DPI应用profile中引用的同名URL过滤策略的名称也会被同步修改。
#把名称为news的URL过滤策略重命名为hello,并进入新的URL过滤策略视图。
[Sysname-url-filter-policy-news]renamehello
[Sysname-url-filter-policy-hello]
reseturl-filterstatistics命令用来清除URL过滤的统计信息。
reseturl-filterstatistics
用户视图
#清除URL过滤的统计信息。
·displayurl-filterstatistics
rule命令用来在自定义URL过滤分类中创建URL过滤规则。
undorule命令用来在自定义URL过滤分类中删除指定的URL过滤规则。
rulerule-idhost{regexregex|textstring}[uri{regexregex|textstring}]
undorulerule-id
自定义URL过滤分类中不存在URL过滤规则。
rule-id:指定URL过滤规则编号,取值范围为1~65535。
host:表示URL过滤规则匹配URL中的主机名字段。
uri:表示URL过滤规则匹配URL中的URI字段。
regexregex:表示URL过滤规则使用正则表达式对主机名和URI字段进行匹配。regex表示正则表达式,区分大小写,只能以字母、数字和下划线开头,且至少包含连续的3个非通配符。其中,主机名正则表达式的取值范围为3~224个字符;URI正则表达式的取值范围为3~253个字符。
textstring:表示URL过滤规则使用文本对主机名和URI字段进行匹配。string表示主机名或URI规则字符串,主机名规则的取值范围为3~224个字符,不区分大小写,且至少包含连续的3个非通配符,主机名只能是字母、数字、下划线“_”、连接符“-”、冒号“:”、左方括号“[”、右方括号“]”、点号“.”和星号“*”,但URI无此限制;URI规则的取值范围为3~255个字符,不区分大小写,且至少包含连续的3个非通配符。
URL过滤规则是指对用户HTTP报文中的URL进行匹配的原则,URL过滤规则支持两种匹配方式:
·文本匹配:使用指定的字符串对主机名和URI字段进行匹配。
匹配主机名字段时,首先判断主机名开头或结尾位置是否含有通配符“*”,若均未出现,则URL中的主机名字段与规则中指定的主机名字符串必须完全一致,才能匹配成功;若“*”出现在开头位置,则该字符串或以该字符串结尾的URL会匹配成功;若“*”出现在结尾位置,则该字符串或以该字符串开头的URL会匹配成功。若“*”同时出现在开头或结尾位置,则该字符串或含有该字符串的URL均会匹配成功。
匹配URI字段时,和主机名字段匹配规则一致。
·正则表达式匹配:使用正则表达式对主机名和URI字段进行匹配。例如,规则中配置主机名的正则表达式为sina.*cn,则主机名为news.sina.com.cn的URL会匹配成功。
#在URL过滤分类news中添加一条URL过滤规则,并使用以sina.com开头的字符串对主机名字段进行匹配。
[Sysname-url-filter-category-news]rule10hosttextsina.com*
undoupdateschedule命令用来恢复缺省情况。
updateschedule{daily|weekly{fri|mon|sat|sun|thu|tue|wed}}start-timetimetingleminutes
undoupdateschedule
设备在每天01:00:00至03:00:00之间自动在线升级URL过滤特征库。
自动升级配置视图
daily:表示自动升级周期为每天。
weekly:表示以一周为周期,在指定的一天进行自动升级。
fri:表示星期五。
mon:表示星期一。
sat:表示星期六。
sun:表示星期日。
thu:表示星期四。
tue:表示星期二。
wed:表示星期三。
[Sysname]url-filtersignatureauto-update
[Sysname-url-filter-autoupdate]updatescheduleweeklysunstart-time20:30:00tingle10
·url-filtersignaturesauto-update
url-filterapplypolicy命令用来在DPI应用profile中引用指定的URL过滤策略。
undourl-filterapplypolicy命令用来删除引用的URL过滤策略。
url-filterapplypolicypolicy-name
undourl-filterapplypolicy
DPI应用profile中未引用URL过滤策略。
DPI应用profile视图
policy-name:URL过滤策略名称,为1~31个字符的字符串,不区分大小写。
URL过滤策略仅在被DPI应用profile引用后生效。一个DPI应用profile下只能引用一个URL过滤策略。多次执行本命令,最后一次执行的命令生效。
#在名为abc的DPI应用profile下引用URL过滤策略news。
[Sysname]app-profileabc
[Sysname-app-profile-abc]url-filterapplypolicynews
·app-profile(DPI深度安全命令参考/应用层检测引擎)
·displayapp-profile
·displayurl-filterpolicy
url-filtercachesize命令用来配置URL过滤缓存区可缓存记录的上限。
undourl-filtercachesize命令用来恢复缺省情况。
url-filtercachesizecache-size
undourl-filtercachesize
URL过滤缓存区可缓存记录的上限为16384。
系统视图
cache-size:指定URL过滤缓存区可缓存记录的上限,取值范围为8192~65535。
设备会把云端服务器返回的查询结果缓存在URL过滤缓存中。后续符合此URL过滤规则的报文在流经设备时就会在本地匹配成功,而无需再进行云端查询。
仅支持在缺省MDC下配置本命令。有关MDC的详细介绍,请参见“虚拟化技术配置指导”中的“MDC”。
#配置URL过滤缓存区可缓存记录的上限为20000。
[Sysname]url-filtercachesize20000
undourl-filtercache-time命令用来恢复缺省情况。
url-filtercache-timevalue
undourl-filtercache-time
[Sysname]url-filtercache-time36
url-filtercategory命令用来创建URL过滤分类,并进入URL过滤分类视图。如果指定的URL过滤分类已经存在,则直接进入该URL过滤分类视图。
undourl-filtercategory命令用来删除指定的URL过滤分类。
url-filtercategorycategory-name[severityseverity-level]
undourl-filtercategorycategory-name
只存在预定义的URL过滤分类,且分类名称以字符串Pre-开头。
category-name:表示URL过滤分类的名称,为1~63个字符的字符串,不区分大小写。不能以字符”Pre-“开头,因为Pre-是预定义的URL过滤分类名称。
severityseverity-value:表示URL过滤分类的严重级别属性。severity-value为严重级别,取值范围为1000~65535,创建URL过滤分类时必须配置此参数,数值越大表示严重级别越高,且不同的URL过滤分类的严重级别不能相同。
为便于管理员对数目众多的URL过滤规则进行统一部署,URL过滤模块提供了URL过滤分类功能,以便对具有相似特征的URL过滤规则进行归纳以及为匹配这些规则的URL统一指定处理动作。每个URL过滤分类具有一个严重级别属性,该属性值表示对属于此过滤分类URL的处理优先级。
URL过滤分类包括两种类型:
·预定义分类:根据设备中的URL过滤特征库自动生成,其内容和严重级别不可被修改。
·自定义分类:由管理员手动配置,可修改其严重级别,可添加URL过滤规则。
当报文匹配成功的URL过滤规则同属于多个URL过滤分类时,设备将根据严重级别最高的URL过滤分类中指定的动作对此报文进行处理。
#创建一个名为news的URL过滤分类,指定其严重级别为2000。
[Sysname]url-filtercategorynewsseverity2000
[Sysname-url-filter-category-news]
·displayurl-filtercategory
url-filtercopycategory命令用来复制URL过滤分类。
url-filtercopycategoryold-namenew-nameseverityseverity-level
old-name:原有分类名称。必须为已创建的自定义分类。
new-name:新分类名称,为1~63个字符的字符串,不区分大小写。不能以字符“Pre-”开头,因为Pre-是预定义的URL过滤分类名称。
severityseverity-level:表示URL过滤分类的严重级别。severity-level为严重级别,取值范围为1000~65535。数值越大表示严重级别越高,且不同的分类严重级别不能相同,如果相同,则复制失败。
本命令用来复制已存在的URL过滤分类,可以方便用户快速创建新的URL过滤分类。
目前,仅支持复制自定义URL过滤分类。
#通过复制名称为news的URL过滤分类来创建一个名为test的URL过滤分类。
[Sysname]url-filtercopycategorynewstestseverity1001
[Sysname-url-filter-category-test]
url-filtercopypolicy命令用来复制URL过滤策略。
url-filtercopypolicyold-namenew-name
old-name:原有策略名称。为1~31个字符的字符串,不区分大小写。
new-name:新策略名称。为1~31个字符的字符串,不区分大小写。
本命令用来复制已存在的URL过滤策略,可以方便用户快速创建新的URL过滤策略。
#通过复制名称为news的URL过滤策略来创建2个新的URL过滤策略。
[Sysname]url-filtercopypolicynewsnews1
[Sysname-url-filter-policy-news_1]quit
[Sysname]url-filtercopypolicynewsnew2
[Sysname-url-filter-policy-news_2]quit
url-filterlogdirectoryroot命令用来配置URL过滤仅对网站根目录下资源的访问进行日志记录。
undourl-filterlogdirectoryroot命令用来恢复缺省情况。
url-filterlogdirectoryroot
undourl-filterlogdirectoryroot
URL过滤对网站所有路径下资源的访问均进行日志记录。
配置此命令后,url-filterlogexceptpre-defined和url-filterlogexceptuser-defined命令将失效。
#配置URL过滤仅对网站根目录下资源的访问进行日志记录。
[Sysname]url-filterlogdirectoryroot
·categoryactionlogging
·default-actionlogging
·url-filterlogexceptpre-defined
·url-filterlogexceptuser-defined
url-filterlogenable命令用来开启应用层检测引擎日志信息功能。
undourl-filterlogenable命令用来关闭应用层检测引擎日志信息功能。
url-filterlogenable
undourl-filterlogenable
应用层检测引擎日志信息功能处于关闭状态。
应用层检测引擎日志是为了满足管理员审计需求。设备生成应用层检测引擎日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
#开启应用层检测引擎日志信息功能。
[Sysname]url-filterlogenable
url-filterlogexceptpre-defined命令用来配置URL过滤对预定义类型网页资源的访问不进行日志记录。
undourl-filterlogexceptpre-defined命令用来配置URL过滤对预定义类型网页资源的访问进行日志记录。
url-filterlogexceptpre-defined{css|gif|ico|jpg|js|png|swf|xml}
undourl-filterlogexceptpre-defined{css|gif|ico|jpg|js|png|swf|xml}
URL过滤对所有预定义类型网页资源的访问不进行日志记录。
css:表示网页资源类型为css。
gif:表示网页资源类型为gif。
ico:表示网页资源类型为ico。
jpg:表示网页资源类型为jpg。
js:表示网页资源类型为js。
png:表示网页资源类型为png。
swf:表示网页资源类型为swf。
xml:表示网页资源类型为xml。
此命令生效的优先级低于url-filterlogdirectoryroot命令,如果已经配置url-filterlogdirectoryroot命令,则本配置不能生效。因此,如果要本配置生效,则需要执行undourl-filterlogdirectoryroot命令。
可多次执行此命令,指定多种不记录访问日志的预定义网页资源类型。
#配置URL过滤对预定义css类型网页资源的访问不进行日志记录。
[Sysname]url-filterlogexceptpre-definedcss
·url-filterlogdirectoryroot
url-filterlogexceptuser-defined命令用来配置URL过滤对自定义类型网页资源的访问不进行日志记录。
undourl-filterlogexceptuser-defined命令用来配置URL过滤对自定义类型网页资源的访问进行日志记录。
url-filterlogexceptuser-definedtext
undourl-filterlogexceptuser-defined[text]
未配置自定义类型网页资源,URL过滤对除预定义类型之外的所有网页资源的访问均进行日志记录。
text:表示自定义网页资源类型,取值范围为1~63个字符的字符串,不区分大小写。
可多次执行此命令,指定多种不记录访问日志的自定义网页资源类型。
执行undourl-filterlogexceptuser-defined命令时,若未指定任何参数,则表示URL过滤对所有自定义类型网页资源的访问均进行日志记录。
#配置URL过滤对自定义html类型网页资源的访问不进行日志记录。
[Sysname]url-filterlogexceptuser-definedhtml
url-filterpolicy命令用来创建URL过滤策略,并进入URL过滤策略视图。如果指定的URL过滤策略已经存在,则直接进入URL过滤策略视图。
undourl-filterpolicy命令用来删除指定的URL过滤策略。
url-filterpolicypolicy-name
undourl-filterpolicypolicy-name
不存在URL过滤策略。
policy-name:表示URL过滤策略的名称,为1~31个字符的字符串,不区分大小写。
一个URL过滤策略中可以为每个URL过滤分类配置动作,也可以在URL过滤策略中定义URL过滤策略的缺省动作。
URL过滤策略仅在被DPI应用profile中引用后生效。有关DPI应用profile的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
#创建一个名为news的URL过滤策略
[Sysname-url-filter-policy-news]
url-filtersignatureauto-update命令用来开启定期自动在线升级URL过滤特征库功能,并进入自动升级配置视图。
undourl-filtersignatureauto-update命令用来关闭定期自动在线升级URL过滤特征库功能。
url-filtersignatureauto-update
undourl-filtersignatureauto-update
定期自动在线升级URL过滤特征库功能处于关闭状态。
如果设备可以访问官方网站上的特征库服务专区,可以采用定期自动在线升级方式来对设备上的URL过滤特征库进行升级。
#开启定期自动在线升级URL过滤特征库功能,并进入自动升级配置视图。
[Sysname-url-filter-autoupdate]
·updateschedule
url-filtersignatureauto-update-now命令用来立即自动在线升级URL过滤特征库。
url-filtersignatureauto-update-now
当管理员发现官方网站上的特征库服务专区中的URL过滤特征库有更新时,可以选择立即自动在线升级方式来及时升级URL过滤特征库版本。
#立即自动在线升级URL过滤特征库版本。
[Sysname]url-filtersignatureauto-update-now
url-filtersignaturerollback命令用来回滚URL过滤特征库版本。
url-filtersignaturerollback{factory|last}
factory:表示URL过滤特征库的出厂版本。
last:表示URL过滤特征库的上一版本。
URL过滤特征库回滚是指将当前的URL过滤特征库版本回滚到指定的URL过滤特征库版本。如果管理员发现设备对用户访问Web的URL过滤的误报率较高或出现异常情况,则可以对当前URL过滤特征库版本进行回滚。目前支持将设备中的URL过滤特征库版本回滚到出厂版本和上一版本。
URL过滤特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如当前URL过滤特征库版本是V2,上一版本是V1,第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。
#配置URL过滤特征库回滚到上一版本。
[Sysname]url-filtersignaturerollbacklast
url-filtersignatureupdate命令用来手动离线升级URL过滤特征库。
url-filtersignatureupdatefile-path
file-path:指定特征库文件的路径,为1~255个字符的字符串。
如果设备不能访问官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级URL过滤特征库版本。
·本地升级:使用本地保存的特征库文件升级系统上的URL过滤特征库版本。
·FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的URL过滤特征库版本。
使用本地升级方式离线升级特征库版本时,特征库文件只能存储在当前主用主控板上,否则设备升级特征库会失败。(独立运行模式)
使用本地升级方式离线升级特征库版本时,特征库文件只能存储在当前全局主用主控板上,否则设备升级特征库会失败。(IRF模式)
表1-6本地升级时参数file-path取值说明表
升级场景
参数file-path取值
说明
特征库文件的存储位置与当前工作路径一致
filename
可以执行pwd命令查看当前工作路径
有关pwd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理”
特征库文件的存储位置与当前工作路径不一致,且在相同存储介质上
需要先执行cd命令将工作路径切换至特征库文件所在目录下
有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理”
特征库文件的存储位置与当前工作路径不在相同存储介质上
path/filename
需要先执行cd命令将工作路径切换至特征库文件所在存储介质的根目录下,再指定特征库文件的相对路径
表1-7FTP/TFTP升级时参数file-path取值说明表
特征库文件存储在开启FTP服务的远程服务器上
ftp://username:password@server/filename
当FTP的用户名和密码中使用了“:”、“@”和“/”三种特殊字符时,需要将这三种特殊字符替换为其对应的转义字符。“:”、“@”和“/”三种特殊字符对应的转义字符分别为“%3A或%3a”、“%40”和“%2F或%2f”
特征库文件存储在开启TFTP服务的远程服务器上
tftp://server/filename
server为TFTP服务器的IP地址或主机名
当采用FTP/TFTP方式升级特征库时,如果指定的是服务器的主机名,则需要确保设备能通过静态或动态域名解析方式获得FTP/TFTP服务器的IP地址,并与之路由可达。否则设备升级特征库会失败。有关域名解析功能的详细配置请参见“三层技术-IP业务配置指导”中的“域名解析”。
#配置手动离线升级URL过滤特征库,且采用TFTP方式,URL过滤特征库文件的远程路径为tftp://192.168.0.10/url-filter-1.0.2-en.dat。
[Sysname]url-filtersignatureupdatetftp://192.168.0.10/url-filter-1.0.2-en.dat
#配置手动离线升级URL过滤特征库,且采用FTP方式,URL过滤特征库文件的远程路径为ftp://192.168.0.10/url-filter-1.0.2-en.dat,用户名为user:123,密码为user@abc/123。
[Sysname]url-filtersignatureupdateftp://user%3A123:user%40abc%2F123@192.168.0.10/url-filter-1.0.2-en.dat
#配置手动离线升级URL过滤特征库,且采用本地方式,URL过滤特征库文件的本地路径为cfa0:/url-filter-1.0.23-en.dat,且当前工作路径为cfa0:。
[Sysname]url-filtersignatureupdateurl-filter-1.0.23-en.dat
#配置手动离线升级URL过滤特征库,且采用本地方式,URL过滤特征库文件的本地路径为cfa0:/dpi/url-filter-1.0.23-en.dat,且当前工作路径为cfa0:。
#配置手动离线升级URL过滤特征库,且采用本地方式,URL过滤特征库文件的本地路径为cfb0:/dpi/url-filter-1.0.23-en.dat,当前工作路径为cfa0:。
[Sysname]url-filtersignatureupdatedpi/url-filter-1.0.23-en.dat
whitelist-onlyenable命令用来开启仅支持URL过滤白名单功能。
undowhitelist-onlyenable命令用来关闭仅支持URL过滤白名单功能。
whitelist-onlyenable
undowhitelist-onlyenable
仅支持URL过滤白名单功能处于关闭状态。
当管理员只希望通过配置白名单指定内部用户可以访问的网站,不想进行其他复杂配置时(例如配置URL过滤分类和URL过滤分类的动作),可以开启本功能。
开启本功能后,设备仅允许用户访问白名单中的网站,其他网站均不允许访问。
#在名为news的URL过滤策略中,开启仅支持白名单功能。
[Sysname-url-filter-policy-news]whitelist-onlyenable
·add
不同款型规格的资料略有差异,详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!