NGFW命令行手册

IPS 配置配置 命令行手册命令行手册 天融信 TOPSEC 北京市海淀区上地东路 1 号华控大厦，100085 电话：（8610）82776666 传真：（8610）8277667 服务热线：800 810 5119 http:/版权声明 版权声明 本手册中的所有内容及格式的版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。版权所有 不得翻印 1995-2008 天融信公司 商标声明 商标声明 本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。TOPSEC 天融信公司 信息反馈 信息反馈 http:/IPS 配置 服务热线：8008105119 i 命令行详细说明命令行详细说明.1 IPS.1 action.1 engine.3 event.4 eventset.5 flow.8 fw-link.8 policy.10 service.12 update.13 version.14 目目 录录IPS 配置 服务热线：8008105119 1 命令行详细说明命令行详细说明 IPS 本命令用来设置入侵防御的相关参数。进入本命令模块操作如下：#ips 退出本命令模块操作如下：#exit CLI 管理员登录天融信入侵防御设备进入本命令模块后，可以执行相应的组件管理命令。下面将详细描述本命令模块下的所有组件管理命令。命令的实例输入格式将按已经进入本命令模块书写。下一级命令表下一级命令表 命令 功能 action 定义动作对象 engine 重启 ips 引擎 event 设置入侵防御设备的过滤规则 eventset 设置过滤规则的集合 flow 流量统计 fw-link 防火墙联动配置 policy ips 策略配置 service 定义服务对象 update ips 规则升级配置 version ips 规则版本 action 本命令用来定义检测到攻击事件后，系统需要做出的响应。action add name block yes|no firewall yes|no log yes|no permit yes|no tcpreset yes|no packetlog yes|no 命令描述：命令描述：添加响应动作。参数说明：参数说明：add 添加响应动作。name 动作的名称 IPS 配置 服务热线：8008105119 2 string 字符串，表示动作名称 block 设置是否要阻止报文通过 yes|no“yes”表示阻止，“no”表示不阻止。firewall 设置是否进行防火墙联动 yes|no yes：表示进行防火墙联动 no：不进行防火墙联动 log 设置是否要记录日志 yes|no“yes”表示记录日志，“no”表示不记录日志。permit 设置是否允许报文通过 yes|no“yes”表示允许通过，“no”表示不允许通过。tcpreset 设置是否重置 TCP 连接 yes|no yes：表示进行重置 no：表示不重置 packetlog 设置是否记录报文，与日志配合使用。yes|no“yes”表示记录报文，“no”表示不记录报文。使用说明：使用说明：添加的动作，会在入侵防御策略中引用。实例：实例：*添加名为 act_block 的动作，拒绝报文通过，但要记录日志。#action add name act_block block yes permit no firewall no tcpreset no log yes action modify name block yes|no firewall yes|no log yes|no permit yes|no tcpreset yes|no packetlog yes|no 命令描述：命令描述：修改已经添加的响应动作。参数说明：参数说明：modify 修改动作 name 要修改的动作的名称。string 字符串，表示动作名称 block 设置是否要阻止报文通过 yes|no“yes”表示阻止，“no”表示不阻止。firewall 设置是否进行防火墙联动 yes|no yes：表示进行防火墙联动 no：不进行防火墙联动 log 设置是否要记录日志 yes|no“yes”表示记录日志，“no”表示不记录日志。permit 设置是否允许报文通过 yes|no“yes”表示允许通过，“no”表示不允许通过。tcpreset 设置是否重置 TCP 连接 yes|no yes：表示进行重置 no：表示不重置 packetlog 设置是否要记录报文，与日志配合使用。yes|no“yes”表示记录报文，“no”表示不记录报文。action delete name IPS 配置 服务热线：8008105119 3 命令描述：命令描述：删除已经添加的动作。参数说明：参数说明：delete 删除动作 name 已经存在的动作的名称 string 字符串，表示动作名称。使用说明：使用说明：已经被入侵防御策略引用的动作不能进行删除。action show name 命令描述：命令描述：查看已经添加的动作内容。参数说明：参数说明：show 查看动作内容 name 指定要查看的动作的名称 string 字符串，表示动作名称。action clean 命令描述：命令描述：清除所有未被入侵防御策略引用的动作。engine 设置 IPS 引擎的相关参数。engine restart 命令描述：命令描述：重新启动 IPS 引擎。engine show 命令描述：命令描述：显示 IPS 引擎设置。engine deepinspect on|off 命令描述：命令描述：深度检测开关。IPS 配置 服务热线：8008105119 4 event 设置入侵防御的过滤规则。event add tid content dstport protocol srcport msg 命令描述：命令描述：添加过滤规则。参数说明：参数说明：add 添加过滤规则 tid 设置规则的 ID 号 number 数值，表示 ID 号 content 设置规则的内容 string1 字符串，表示规则内容。规则内容具有特定的格式，请参考 NGFW 管理手册IPS 配置 的相关章节。dstport 设置规则的目的端口 string2 字符串，表示目的端口 protocol 设置规则适用的协议类型 icmp|tcp|udp 协议类型，可选值为 ICMP、TCP、UDP srcport 设置规则的服务端口 string3 字符串，表示服务端口 msg 设置规则的备注信息 string4 字符串，表示注释内容。使用说明：使用说明：已经添加的规则，会被入侵防御策略引用。event modify tid content dstport protocol srcport msg 命令描述：命令描述：修改过滤规则。参数说明：参数说明：modify 修改过滤规则 tid 设置要修改的规则的 ID 号 number 数值，表示 ID 号 content 设置规则的内容 string1 字符串，表示规则内容。规则内容具有特定的格式，请参考 NGFW 管理手册IPS 配置 的相关章节。dstport 设置规则的目的端口 string2 字符串，表示目的端口 protocol 设置规则适用的协议类型 icmp|tcp|udp 协议类型，可选值为 ICMP、TCP、UDP srcport 设置规则的源端口 string3 字符串，表示源端口 msg 设置规则的备注信息 string4 字符串，表示注释内容。IPS 配置 服务热线：8008105119 5 event delete tid 命令描述命令描述 删除过滤规则。参数说明：参数说明：delete 删除过滤规则 tid 设置要删除的规则的 ID 号 number 数值，表示 ID 号 使用说明：使用说明：已经被引用的过滤规则，不能删除。event total 命令描述：命令描述：查看规则数量。系统会分别显示系统规则、自定义规则的总数。event clean 命令描述：命令描述：清空未被引用的自定义规则。event show tid type from to 命令描述：命令描述：查看过滤规则。参数说明：参数说明：show 查看过滤规则 tid 规则编号 number1 数值，表示规则 ID 号 type 设置要查看的规则的类型 system|custom system：系统预定义规则 custom：用户自定义规则 from 设置要查看的规则的起始 ID 号 number2 数值，表示规则 ID 号 to 设置要查看的规则的结束 ID 号 number3 数值，表示规则 ID 号。eventset 设置过滤规则的集合，规则集中可以包括系统规则和用户自定义规则。eventset add name action addevent comment 命令描述：命令描述：IPS 配置 服务热线：8008105119 6 添加规则集。参数说明：参数说明：add 添加规则集 name 设置规则集的名称 string1 字符串，表示规则集名称 action 设置匹配规则集中规则后的响应动作。响应动作需要事先通过 action add 命令进行添加。string2 字符串，表示动作名称。comment 设置注释信息 string3 字符串，表示注释。使用说明：使用说明：规则集中可以包含多个系统规则或自定义规则。eventset addevent name event enable 命令描述：命令描述：为规则集添加规则。参数说明：参数说明：addevent 为规则集添加规则 name 指定要添加规则的规则集。string 字符串，表示规则集名称。event 设置要添加到指定规则集的规则的 ID 号。number 数值，表示规则 ID 号。enable 设置是否启用新加入的规则。yes|no yes：表示启用；no：表示禁用。eventset modify name action comment 命令描述：命令描述：修改规则集。参数说明：参数说明：modify 修改规则集 name 指定要修改的规则集的名称 string1 字符串，表示规则集名称 action 修改匹配规则集中规则后的响应动作。响应动作需要事先通过 action add 命令进行添加。string2 字符串，表示动作名称。comment 修改注释信息。string3 字符串，表示注释信息。eventset copy from to 命令描述：命令描述：复制规则集。IPS 配置 服务热线：8008105119 7 参数说明：参数说明：copy 复制规则集。from 设置被复制的规则集名称。string1 字符串，表示规则集名称。to 设置要创建的规则集的名称。string2 字符串，表示规则集名称。eventset delete name 命令描述：命令描述：删除规则集。参数说明：参数说明：delete 删除规则集。name 设置要删除的规则集的名称。string 字符串，表示规则集名称。eventset deleteevent name event 命令描述：命令描述：删除规则集中的规则。参数说明：参数说明：deleteevent 删除规则集中的规则 name 设置要删除规则的规则集的名称。string 字符串，表示规则集名称 event 设置规则集中要删除的规则的 ID 号。number 数值，表示规则 ID 号。eventset clean 命令描述：命令描述：清空所有未被引用的规则集。eventset cleanevent name 命令描述：命令描述：清空规则集中的所有规则。参数说明：参数说明：cleanevent 清空规则集中的所有规则 name 指定要清空规则的规则集名称。string 字符串，表示规则集名称。使用说明：使用说明：对