- 配置设备管理类本地用户属性
1. 配置限制和指导
开启设备管理类全局密码管理功能(通过命令password-control enable)后,设备上将不显示配置的本地用户密码,也不会将该密码保存在当前配置中。如果关闭了设备管理类全局密码管理功能,已配置的密码将恢复在当前配置中。当前配置可通过display current-configuration命令查看。
授权属性和密码控制属性均可以在本地用户视图和用户组视图下配置,各视图下的配置优先级顺序从高到底依次为:本地用户视图-->用户组视图。
2. 配置步骤
(1)进入系统视图。
system-view
(2)添加设备管理类本地用户,并进入设备管理类本地用户视图。
local-user user-name class manage
(3)设置本地用户的密码。
password [ { hash | simple } string ]
可以不为本地用户设置密码。为提高用户账户的安全性,建议设置本地用户密码。
(4)设置本地用户可以使用的服务类型。
service-type { ftp | { http | https | ssh | telnet | terminal } * }
缺省情况下,本地用户不能使用任何服务类型。
(5)(可选)设置本地用户的状态。
state { active | block }
缺省情况下,本地用户处于活动状态,即允许该用户请求网络服务。
(6)(可选)设置使用当前本地用户名接入设备的最大用户数。
access-limit max-user-number
缺省情况下,不限制使用当前本地用户名接入的用户数。
由于FTP/SFTP/SCP用户不支持计费,因此FTP/SFTP/SCP用户不受此属性限制。
(7)(可选)设置本地用户的授权属性。
authorization-attribute { idle-cut minutes | user-role role-name | work-directory directory-name } *
缺省情况下:
? 授权FTP/SFTP/SCP用户可以访问的目录为设备的根目录,但无访问权限。
? 在缺省Context中由用户角色为network-admin或者level-15的用户创建的本地用户被授权用户角色network-operator;在非缺省Context中由用户角色为context-admin或者level-15的用户创建的本地用户被授权用户角色context-operator。
(8) (可选)设置设备管理类本地用户的密码管理属性。请至少选择其中一项进行配置。
? 设置密码老化时间。
password-control aging aging-time
? 设置密码最小长度。
password-control length length
? 设置密码组合策略。
password-control composition type-number type-number [ type-length type-length ]
? 设置密码的复杂度检查策略。
password-control complexity { same-character | user-name } check
? 设置用户登录尝试次数以及登录尝试失败后的行为。
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]
缺省情况下,采用本地用户所属用户组的密码管理策略。
3.创建本地来宾用户,并进入本地来宾用户视图。
local-user user-name class network guest
4.创建用户组,并进入用户组视图。
user-group group-name
缺省情况下,存在一个用户组,名称为system。
5.设置用户组的授权属性。
authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minutes | ip-pool ipv4-pool-name | ipv6-pool ipv6-pool-name | ipv6-prefix ipv6-prefix prefix-length | { primary-dns | secondary-dns } { ip ipv4-address | ipv6 ipv6-address } | session-timeout minutes | sslvpn-policy-group group-name | url url-string | vlan vlan-id | vpn-instance vpn-instance-name | work-directory directory-name } *
缺省情况下,未设置用户组的授权属性。
6.(可选)设置用户组的密码管理属性。请至少选择其中一项进行配置。
? 设置密码老化时间。
password-control aging aging-time
? 设置密码最小长度。
password-control length length
? 设置密码组合策略。
password-control composition type-number type-number [ type-length type-length ]
? 设置密码的复杂度检查策略。
password-control complexity { same-character | user-name } check
? 设置用户登录尝试次数以及登录尝试失败后的行为。
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]
缺省情况下,采用全局密码管理策略。全局密码管理策略的相关配置请参见“安全配置指导”中的“Password Control”。
仅设备管理类的本地用户支持本地用户密码管理功能。
7.(可选)配置用户组中的身份成员。
identity-member { group group-name | user user-name }
缺省情况下,用户组中不存在身份成员。
要添加的成员用户组中不能为其所属的用户组,即用户组之间的从属关系必须单向,不能形成循环嵌套关系。
8.本地用户及本地用户组显示和维护
完成上述配置后,在任意视图下执行display命令可以显示配置后本地用户及本地用户组的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除待审批来宾用户注册信息。
表1-3 本地用户及本地用户组显示和维护
操作 | 命令 |
显示待审批来宾用户注册信息 | display local-guest waiting-approval [ user-name user-name ] |
显示本地用户的配置信息和在线用户数的统计信息 | display local-user [ class { manage | network [ guest ] } | idle-cut { disable | enable } | service-type { advpn | ftp | http | https | ike | ipoe | lan-access | portal | ppp | ssh | sslvpn | telnet | terminal } | state { active | block } | user-name user-name class { manage | network [ guest ] } | vlan vlan-id ] |
显示本地用户组的相关配置 | display user-group { all | name group-name } [ identity-member { all | group | user } ] |
- 配置全局密码管理
1. 配置限制和指导
系统视图下的全局密码管理参数对所有设备管理类和网络接入类的本地用户生效。
设备管理类用户支持所有的密码管理功能,其中对于密码老化时间、密码最小长度、密码复杂度检查策略、密码组合策略以及用户登录尝试失败后的行为的配置,可分别在系统视图、用户组视图、本地用户视图下配置相关参数,其生效优先级从高到低依次为:本地用户视图->用户组视图->系统视图。
开启全局密码管理功能后,系统会持续记录历史密码。当记录的某用户的历史密码条数达到最大值后,该用户的后续新密码历史记录将覆盖最老的一条密码历史记录。只有关闭全局密码管理功能(undo password-control enable)或手动清除历史密码记录时(reset password-control history-record),历史密码记录才会被清除掉。
网络接入类用户支持的密码管理功能仅包括:配置密码最小长度、配置密码的复杂度检查策略、配置密码的组合策略、配置密码更新的最小时间间隔、配置每个用户密码历史记录的最大条数。其中对密码最小长度、密码复杂度检查策略以及密码组合策略的配置,可分别在系统视图、用户组视图、本地用户视图下配置相关参数,其生效优先级从高到低依次为:本地用户视图->用户组视图->系统视图。
除用户登录尝试失败后的行为配置属于即时生效的配置,会在配置生效后立即影响密码管理黑名单中当前用户的锁定状态以及这些用户后续的登录之外,其它全局密码管理配置生效后仅对后续登录的用户以及后续设置的用户密码有效,不影响当前用户。
2. 配置步骤
(1) 进入系统视图。
system-view
(2) 控制密码设置
? 配置用户密码的最小长度。
password-control length length
缺省情况下,用户密码的最小长度为10个字符。
? 配置用户密码的组合策略。
password-control composition type-number type-number [ type-length type-length ]
缺省情况下,密码元素的最少组合类型为2种,至少要包含每种元素的个数为1。
? 配置用户密码的复杂度检查策略。
password-control complexity { same-character | user-name } check
缺省情况下,对用户密码中是否包含用户名或者在字符顺序颠倒的用户名进行检查,但对用户密码中是否包含连续三个或以上的相同字符不进行检查。
? 配置每个用户密码历史记录的最大条数。
password-control history max-record-number
缺省情况下,每个用户密码历史记录的最大条数为4条。
(3) 管理密码更新与老化
? 配置用户密码更新的最小时间间隔。
password-control update-interval interval
缺省情况下,用户密码更新的最小时间间隔为24小时。
? 配置用户密码的老化时间。
password-control aging aging-time
缺省情况下,用户密码的老化时间为90天。
? 配置密码过期前的提醒时间。
password-control alert-before-expire alert-time
缺省情况下,密码过期前的提醒时间为7天。
? 配置密码过期后允许用户登录的时间和次数。
password-control expired-user-login delay delay times times
缺省情况下,密码过期后的30天内允许用户登录3次。
(4) 控制用户登录
? 配置用户登录尝试次数以及登录尝试失败后的行为。
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]
缺省情况下,用户登录尝试次数为3次;如果用户登录失败,则1分钟后再允许该用户重新登录。
? 配置用户帐号的闲置时间。
password-control login idle-time idle-time
缺省情况下,用户帐号的闲置时间为90天。
用户账号闲置超时后该账号将会失效,用户将无法正常登录设备。若不需要账号闲置时间检查功能,可将idle-time配置为0,表示Password Control对账号闲置时间无限制。
? 关闭首次登录修改密码功能。
undo password-control change-password first-login enable
缺省情况下,用户首次登录设备时修改密码功能处于开启状态。
? 开启弱密码登录修改密码功能。
password-control change-password weak-password enable
缺省情况下,弱密码登录修改密码功能处于关闭状态。
3 配置用户组密码管理
(1) 进入系统视图。
system-view
(2) 创建用户组,并进入用户组视图。
user-group group-name
缺省情况下,不存在任何用户组。
用户组的相关配置请参见“安全配置指导”中的“AAA”。
(3) 配置用户组的密码老化时间。
password-control aging aging-time
缺省情况下,采用全局密码老化时间。
(4) 配置用户组的密码最小长度。
password-control length length
缺省情况下,采用全局密码最小长度。
(5) 配置用户组密码的组合策略。
password-control composition type-number type-number [ type-length type-length ]
缺省情况下,采用全局密码组合策略。
(6) 配置用户组密码的复杂度检查策略。
password-control complexity { same-character | user-name } check
缺省情况下,采用全局密码复杂度检查策略。
(7) 配置用户组登录尝试次数以及登录尝试失败后的行为。
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]
缺省情况下,采用全局的用户登录尝试限制策略。
4 配置本地用户密码管理
(1) 进入系统视图。
system-view
(2) 创建设备管理类本地用户或网络接入类本地用户,并进入本地用户视图。
? 创建设备管理类本地用户,并进入本地用户视图
local-user user-name class manage
? 创建网络接入类本地用户,并进入本地用户视图。
local-user user-name class network
缺省情况下,不存在任何本地用户。
本地用户密码管理功能仅对设备管理类的本地用户生效,对于网络接入类本地用户不起作用。本地用户的相关配置请参见“安全配置指导”中的“AAA”。
(3) 开启网络接入类本地用户视图下的密码管理功能。
password-control enable
缺省情况下,网络接入类本地用户视图下的密码管理功能处于开启状态。
(4) 配置本地用户的密码老化时间。
password-control aging aging-time
缺省情况下,采用本地用户所属用户组的密码老化时间。
仅设备管理类本地用户支持此配置。
(5) 配置本地用户的密码最小长度。
password-control length length
缺省情况下,采用本地用户所属用户组的密码最小长度。
(6) 配置本地用户的密码组合策略。
password-control composition type-number type-number [ type-length type-length ]
缺省情况下,采用本地用户所属用户组的密码组合策略。
(7) 配置本地用户密码的复杂度检查策略。
password-control complexity { same-character | user-name } check
缺省情况下,采用本地用户所属用户组的密码复杂度检查策略。
(8) 配置本地用户登录尝试次数以及登录尝试失败后的行为。
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]
缺省情况下,采用本地用户所属用户组的用户登录尝试限制策略。
仅设备管理类本地用户支持此配置。
5 配置super密码管理
(1) 进入系统视图。
system-view
(2) 配置super密码的老化时间。
password-control super aging aging-time
缺省情况下,密码的老化时间为90天。
(3) 配置super密码的最小长度。
password-control super length length
缺省情况下,密码的最小长度与设备的型号有关,请以设备的实际情况为准。
(4) 配置super密码的组合策略。
password-control super composition type-number type-number [ type-length type-length ]
缺省情况下,密码的元素最少组合至少为2种,至少要包含每种元素的个数为1个。
6 Password Control显示和维护
在完成上述配置后,在任意视图下执行display命令可以显示配置后Password Control的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除Password Control统计信息。
表1-1 Password Control显示和维护
操作 | 命令 |
显示密码管理的配置信息 | display password-control [ super ] |
显示用户认证失败后,被加入密码管理黑名单中的用户信息 | display password-control blacklist [ user-name user-name | ip ipv4-address | ipv6 ipv6-address ] |
清除密码管理黑名单中的用户 | reset password-control blacklist [ user-name user-name ] |
清除用户的密码历史记录 | reset password-control history-record [ user-name user-name | super [ role role-name ] | network-class [ user-name user-name ] ] |
- SSH相关配置核查
1.设置SSH服务器兼容SSH1版本的客户端。
ssh server compatible-ssh1x enable
缺省情况下,SSH服务器不兼容SSH1版本的客户端。
2.设置SSH用户的认证超时时间
ssh server authentication-timeout time-out-value
缺省情况下,SSH用户的认证超时时间为60秒。
为了防止不法用户建立起TCP连接后,不进行接下来的认证而空占进程,妨碍其它合法用户的正常登录,可以设置验证超时时间,如果在规定的时间内没有完成认证就拒绝该连接。
3.设置SSH认证尝试的最大次数。
ssh server authentication-retries retries
缺省情况下,SSH连接认证尝试的最大次数为3次。
本功能可以防止非法用户对用户名和密码进行恶意地猜测和破解。在any认证方式下,SSH客户端通过publickey和password方式进行认证尝试的次数总和,不能超过配置最大次数。
4.设置对SSH用户的访问控制。
(IPv4网络)
ssh server acl { advanced-acl-number | basic-acl-number | mac mac-acl-number }
(IPv6网络)
ssh server ipv6 acl { ipv6 { advanced-acl-number | basic-acl-number } | mac mac-acl-number }
缺省情况下,允许所有SSH用户向设备发起SSH访问。
通过配置本功能,使用ACL过滤向SSH服务器发起连接的SSH客户端。
- 配置SSH2协议算法集
14.1 SSH协议算法集简介
设备作为服务器或者客户端与对端建立Stelnet、SFTP、SCP会话过程中,将使用指定的算法优先列表进行协商。指定的算法包括:
·密钥交换算法
·主机签名算法
·加密算法
·MAC算法
协商过程中,客户端采用的算法匹配顺序为优先列表中各算法的配置顺序,服务器根据客户端的算法来匹配和协商。
14.2 配置SSH2协议密钥交换算法优先列表
(1)进入系统视图。
system-view
(2)配置SSH2协议密钥交换算法优先列表。
ssh2 algorithm key-exchange { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } *
缺省情况下,SSH2协议采用的缺省密钥交换算法从高到底的优先级列表为ecdh-sha2-nistp256、ecdh-sha2-nistp384、dh-group-exchange-sha1、dh-group14-sha1和dh-group1-sha1。
14.3 配置SSH2协议主机签名算法优先列表
(1)进入系统视图。
system-view
(2)配置SSH2协议主机签名算法优先列表。
ssh2 algorithm public-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | x509v3-ecdsa-sha2-nistp256 | x509v3-ecdsa-sha2-nistp384 } *
缺省情况下,SSH2协议使用的缺省主机签名算法从高到底的优先级列表为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384、ecdsa-sha2-nistp256、ecdsa-sha2-nistp384、rsa和dsa。
14.4 配置SSH2协议加密算法优先列表
(1)进入系统视图。
system-view
(2)配置SSH2协议加密算法优先列表。
ssh2 algorithm cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc } *
缺省情况下,SSH2协议采用的缺省加密算法从高到底的优先级列表为aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm、aes128-cbc、3des-cbc、aes256-cbc和des-cbc。
14.5 配置SSH2协议MAC算法优先列表
(1)进入系统视图。
system-view
(2) 配置SSH2协议MAC算法优先列表。
ssh2 algorithm mac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } *
缺省情况下,SSH2协议使用的缺省MAC算法从高到底的优先级列表为sha2-256、sha2-512、sha1、md5、sha1-96和md5-96。
14.6 SSH显示和维护
在完成上述配置后,在任意视图下执行display命令,可以显示配置后SSH的运行情况,通过查看显示信息验证配置的效果。
表1-2 SSH显示和维护
操作 | 命令 |
显示本地密钥对中的公钥部分 | display public-key local { dsa | ecdsa | rsa } public [ name publickey-name ] |
显示保存在本地的远端主机的公钥信息 | display public-key peer [ brief | name publickey-name ] |
显示SFTP客户端的源IP地址配置 | display sftp client source |
显示Stelnet客户端的源IP地址配置 | display ssh client source |
在SSH服务器端显示该服务器的状态信息或会话信息 | display ssh server { session [ slot slot-number ] | status } |
在SSH服务器端显示SSH用户信息 | display ssh user-information [ username ] |
显示设备上配置的SSH2协议使用的算法优先列表 | display ssh2 algorithm |
- SSL显示和维护
在完成上述配置后,在任意视图下执行display命令可以显示配置后SSL的运行情况,通过查看显示信息验证配置的效果。
表1-1 SSL显示和维护
操作 | 命令 |
显示SSL客户端策略的信息 | display ssl client-policy [ policy-name ] |
显示SSL服务器端策略的信息 | display ssl server-policy [ policy-name ] |
创建SSL客户端策略,并进入SSL客户端策略视图。
ssl client-policy policy-name
(1) 配置SSL客户端策略所使用的PKI域。
pki-domain domain-name
缺省情况下,未指定SSL客户端策略所使用的PKI域。
如果服务器端需要对客户端进行基于数字证书的身份验证,则必须在SSL客户端指定PKI域,并在该PKI域内为SSL客户端申请本地数字证书。PKI域的创建及配置方法,请参见“安全配置指导”中的“PKI”。
(2)配置SSL客户端策略支持的加密套件。
prefer-cipher { dhe_rsa_aes_128_cbc_sha | dhe_rsa_aes_128_cbc_sha256 | dhe_rsa_aes_256_cbc_sha | dhe_rsa_aes_256_cbc_sha256 | ecc_sm2_sm1_sm3 | ecc_sm2_sm4_sm3 | ecdhe_ecdsa_aes_128_cbc_sha256 | ecdhe_ecdsa_aes_128_gcm_sha256 | ecdhe_ecdsa_aes_256_cbc_sha384 | ecdhe_ecdsa_aes_256_gcm_sha384 | ecdhe_rsa_aes_128_cbc_sha256 | ecdhe_rsa_aes_128_gcm_sha256 | ecdhe_rsa_aes_256_cbc_sha384 | ecdhe_rsa_aes_256_gcm_sha384 | ecdhe_sm2_sm1_sm3 | ecdhe_sm2_sm4_sm3 | exp_rsa_des_cbc_sha | exp_rsa_rc2_md5 | exp_rsa_rc4_md5 | rsa_3des_ede_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_128_cbc_sha256 | rsa_aes_256_cbc_sha | rsa_aes_256_cbc_sha256 | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha | rsa_sm1_sha | rsa_sm1_sm3 | rsa_sm4_sha | rsa_sm4_sm3 } *
缺省情况下,SSL客户端策略支持的加密套件为dhe_rsa_aes_128_cbc_sha、dhe_rsa_aes_256_cbc_sha、rsa_3des_ede_cbc_sha、rsa_aes_128_cbc_sha、rsa_aes_256_cbc_sha。
(3)配置SSL客户端策略使用的SSL协议版本。
version { gm-tls1.1 | ssl3.0 | tls1.0 | tls1.1 | tls1.2 }
本命令中gm-tls1.1参数的支持情况与设备的型号有关,具体请参见命令参考。
缺省情况下,SSL客户端策略使用的SSL协议版本为TLS 1.0。
(4)配置客户端需要对服务器端进行基于数字证书的身份验证。
server-verify enable
缺省情况下,SSL客户端需要对SSL服务器端进行基于数字证书的身份验证。
- 防火墙内的IPS核查
在任意视图下执行display命令可以显示配置后IPS的运行情况,通过查看显示信息验证配置的效果。
IPS显示和维护
操作 | 命令 |
显示IPS策略信息 | display ips policy policy-name |
显示IPS特征库版本信息 | display ips signature library |
显示IPS特征属性列表 | display ips signature [ pre-defined | user-defined ] [ direction { any | to-client | to-server } ] [ category category-name | fidelity { high | low | medium } | protocol { icmp | ip | tcp | udp } | severity { critical | high | low | medium } ] * |
显示指定IPS特征的详细属性 | display ips signature { pre-defined | user-defined } signature-id |
显示IPS自定义特征解析失败的信息 | display ips signature user-defined parse-failed |
需要注意的核查问题:激活状态、库(signature library)升级的方式、最近升级时间、DPI的引入、IPS日志、IPS的动作(是否都是仅告警不阻断)等。
IPS动作方向配置:防内à外及外à内,缺省是双向的。
(1)进入IPS策略视图。
ips policy policy-name
(2)配置筛选IPS特征的属性。
? 配置筛选IPS特征的保护对象属性。
protect-target { target [ subtarget | all ] }
缺省情况下,IPS策略匹配所有保护对象的特征。
? 配置筛选IPS特征的攻击分类属性。
attack-category { category [ subcategory ] | all }
缺省情况下,IPS策略匹配所有攻击分类的特征。
? 配置筛选IPS特征的动作属性。
action { block-source | drop | permit | reset } *
缺省情况下,IPS策略匹配所有动作的特征。
? 配置筛选IPS特征的方向属性。
object-dir { client | server } *
缺省情况下,IPS策略匹配所有方向的特征。
? 配置筛选IPS特征的严重级别属性。
severity-level { critical | high | low | medium } *
缺省情况下,IPS策略匹配所有严重级别的特征。
- URL过滤
URL过滤显示和维护
完成上述配置后,在任意视图下执行display命令可以显示URL过滤的配置信息和分类信息等。
在用户视图下执行reset命令可以清除URL过滤的统计信息。
表1-2 URL过滤显示和维护
操作 | 命令 |
查看URL过滤缓存中的信息 | display url-filter cache |
显示URL过滤父分类或子分类信息 | display url-filter { category | parent-category } [ verbose ] |
显示URL过滤特征库信息 | display url-filter signature library |
查看URL过滤的统计信息 | display url-filter statistics |
清除URL过滤的统计信息 | reset url-filter statistics |
- 防病毒显示和维护
完成上述配置后,在任意视图下执行display命令可以显示配置后防病毒的运行情况,通过查看显示信息验证配置的效果。
表1-1 防病毒显示和维护
操作 | 命令 |
显示防病毒缓存信息 | display anti-virus cache [ slot slot-number ] |
显示病毒特征信息 | display anti-virus signature [ [ signature-id ] | [ severity { critical | high | low | medium } ] ] |
显示病毒特征家族信息 | display anti-virus signature family-info |
显示病毒特征库版本信息 | display anti-virus signature library |
显示防病毒统计信息 | display anti-virus statistics [ policy policy-name ] [ slot slot-number ] |
- WAF显示和维护
在任意视图下执行display命令可以显示配置后WAF的运行情况,通过查看显示信息验证配置的效果。
WAF显示和维护
操作 | 命令 |
显示WAF策略信息 | display waf policy policy-name |
显示WAF特征库版本信息 | display waf signature library |
显示WAF特征属性列表 | display waf signature [ pre-defined ] [ direction { any | to-client | to-server } ] [ category category-name | fidelity { high | low | medium } | severity { critical | high | low | medium } ] * |
显示WAF预定义特征的详细信息 | display waf signature pre-defined signature-id |
配置筛选WAF特征的属性
1. 功能简介
在WAF策略中,可以定义不同类型的属性作为WAF特征的过滤条件。如果某个属性中配置了多个参数,则WAF特征至少需要匹配上其中一个参数,才表示匹配上该属性。
2. 配置步骤
(1)进入系统视图。
system-view
(2)进入WAF策略视图。
waf policy policy-name
(3)配置筛选WAF特征的属性。
? 配置筛选WAF特征的保护对象属性。
protected-target { target [ sub-target subtarget ]| all }
缺省情况下,WAF策略匹配所有保护对象的特征。
? 配置筛选WAF特征的攻击分类属性。
attack-category { category [ sub-category subcategory ] | all }
缺省情况下,WAF策略匹配所有攻击分类的特征。
? 配置筛选WAF特征的动作属性。
action { block-source | drop | permit | reset } *
缺省情况下,WAF策略匹配所有动作的特征。
? 配置筛选WAF特征的方向属性。
object-dir { client | server } *
缺省情况下,WAF策略匹配所有方向的特征。
? 配置筛选WAF特征的严重级别属性。
severity-level { critical | high | low | medium } *
缺省情况下,WAF策略匹配所有严重级别的特征。