防火墙全局黑名单

您好，请知：

使用blacklist命令配置黑名单，以下是命令的使用说明：

1.1.18  blacklist enable

blacklist enable命令用来开启安全域上的黑名单过滤功能。

undo blacklist enable命令用来关闭安全域上的黑名单过滤功能。

【命令】

blacklist enable

undo blacklist enable

【缺省情况】

安全域上的黑名单过滤功能处于关闭状态。

【视图】

安全域视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

若全局的黑名单过滤功能处于开启状态，则所有安全域上的黑名单过滤功能均处于开启状态。若全局的黑名单过滤功能处于关闭状态，则安全域上的黑名单过滤功能由本命令决定是否开启。

【举例】

# 开启安全域Untrust上的黑名单过滤功能。

<Sysname> system-view

[Sysname] security-zone name untrust

[Sysname-security-zone-Untrust] blacklist enable

【相关命令】

·     blacklist ip

·     blacklist ipv6

1.1.19  blacklist global enable

blacklist global enable命令用来开启全局黑名单过滤功能。

undo blacklist global enable命令用来关闭全局黑名单过滤功能。

【命令】

blacklist global enable

undo blacklist global enable

【缺省情况】

全局黑名单过滤功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

使能全局黑名单过滤功能表示开启所有安全域上的黑名单过滤功能。

【举例】

# 开启全局黑名单过滤功能。

<Sysname> system-view

[Sysname] blacklist global enable

【相关命令】

·     blacklist enable

·     blacklist ip

1.1.20  blacklist ip

blacklist ip命令用来添加源IPv4黑名单表项。

undo blacklist ip命令用来删除指定的源IPv4黑名单表项。

【命令】

blacklist ip source-ip-address [ vpn-instance vpn-instance-name ] [ ds-lite-peer ds-lite-peer-address ] [ timeout minutes ]

undo blacklist ip source-ip-address [ vpn-instance vpn-instance-name ] [ ds-lite-peer ds-lite-peer-address ]

【缺省情况】

不存在源IPv4黑名单表项。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

source-ip-address：源黑名单的IPv4地址，用于匹配报文的源IP地址。

vpn-instance vpn-instance-name：源黑名单所属的VPN实例。其中，vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。若未指定本参数，则表示该源黑名单属于公网。

ds-lite-peer ds-lite-peer-address：源黑名单所属的DS-Lite隧道对端地址。其中，ds-lite-peer-address表示源黑名单的IPv4地址所属的DS-Lite隧道B4端IPv6地址。

timeout minutes：源黑名单表项的老化时间。其中，minutes表示老化时间，取值范围为1～10080，单位为分钟。若未指定本参数，则表示该源黑名单表项永不老化，除非用户手动将其删除。

【使用指导】

通过执行undo blacklist ip命令可以删除用户手工添加的源黑名单表项，动态生成的源黑名单表项需通过执行reset blacklist ip命令删除。指定了老化时间的源黑名单表项不会被保存在配置文件中，且保存配置重启后会被删除。可通过执行display blacklist ip命令查看当前所有生效的源IPv4黑名单表项。

【举例】

# 将IP地址192.168.1.2加入源黑名单，指定其老化时间为20分钟。

<Sysname> system-view

[Sysname] blacklist ip 192.168.1.2 timeout 20

【相关命令】

·     blacklist enable

·     blacklist global enable

·     display blacklist ip

1.1.21  blacklist ipv6

blacklist ipv6命令用来添加源IPv6黑名单表项。

undo blacklist ipv6命令用来删除指定的源IPv6黑名单表项。

【命令】

blacklist ipv6 source-ipv6-address [ vpn-instance vpn-instance-name ] [ timeout minutes ]

undo blacklist ipv6 source-ipv6-address [ vpn-instance vpn-instance-name ]

【缺省情况】

不存在源IPv6黑名单表项。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

source-ipv6-address：源黑名单的IPv6地址，用于匹配报文的源IP地址。

vpn-instance vpn-instance-name：源黑名单所属的VPN实例。其中，vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。若未指定本参数，则表示该源黑名单属于公网。

timeout minutes：源黑名单表项的老化时间。其中，minutes表示老化时间，取值范围为1～10080，单位为分钟。若未指定本参数，则表示该源黑名单表项永不老化，除非用户手动将其删除。

【使用指导】

通过执行undo blacklist ipv6命令可以删除用户手工添加的源黑名单表项，动态生成的源黑名单表项需通过执行reset blacklist ipv6命令删除。指定了老化时间的源黑名单表项不会被保存在配置文件中，且保存配置重启后会被删除。可通过执行display blacklist ipv6命令查看当前所有生效的源IPv6黑名单表项。

【举例】

# 将IPv6地址2012::12:25加入源黑名单，指定其老化时间为10分钟。

<Sysname> system-view

[Sysname] blacklist ipv6 2012::12:25 timeout 10

【相关命令】

·     blacklist enable

·     blacklist global enable

·     blacklist ip

1.1.22  blacklist logging enable

blacklist logging enable命令用来使能黑名单日志功能。

undo blacklist logging enable命令用来关闭黑名单日志功能。

【命令】

blacklist logging enable

undo blacklist logging enable

【缺省情况】

黑名单日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

开启黑名单日志功能后，当增加黑名单、删除黑名单、扫描攻击防范动态添加黑名单、黑名单老化被删除时会有相应的日志输出，日志的内容主要包括黑名单的源IP地址、DS-Lite隧道对端地址、VPN实例名称、添加或删除的原因以及老化时间等。

设备生成的告警日志信息不会输出到控制台和监视终端，可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍，请参见“网络管理和监控命令参考”中的“信息中心”。

【举例】

# 开启黑名单日志功能，并配置一条黑名单后，输出如下日志信息。

<Sysname> system-view

[Sysname] blacklist logging enable

[Sysname] blacklist ip 192.168.100.12

%Mar 13 03:47:49:736 2013 Sysname BLS/5/BLS_ENTRY_ADD:SrcIPAddr(1003)=192.168.100.12; DSLiteTunnelPeer(1040)=--; RcvVPNInstance(1041)=--; TTL(1051)=; Reason(1052)=Configuration.

# 删除一条黑名单后，输出如下日志信息。

[Sysname] undo blacklist ip 192.168.100.12

%Mar 13 03:49:52:737 2013 Sysname BLS/5/BLS_ENTRY_DEL:SrcIPAddr(1003)=192.168.100.12; DSLiteTunnelPeer(1040)=--; RcvVPNInstance(1041)=--; Reason(1052)=Configuration.

【相关命令】

·     blacklist ip

·     blacklist ipv6

1.1.23  blacklist object-group

blacklist object-group命令通过引用地址对象组配置黑名单。

undo blacklist object-group命令用来恢复缺省情况。

【命令】

blacklist object-group object-group-name

undo blacklist object-group

【缺省情况】

未引用地址对象组。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

object-group-name：地址对象组名称，为1～31个字符的字符串，不区分大小写。

【使用指导】

本命令需要和地址对象组功能配合使用，有关地址对象组功能的详细介绍，请参见“安全配置指导”中的“对象组”。

多次执行本命令，最后一次执行的命令生效。

【举例】

# 通过引用地址对象组object-group1配置黑名单。

<Sysname> system-view

[Sysname] blacklist object-group object-group1

1.1.24  blacklist user

blacklist user命令用来添加用户黑名单表项。

undo blacklist user命令用来删除指定用户的黑名单表项。

【命令】

blacklist user user-name [ domain domain-name ] [ timeout minutes ]

undo blacklist user user-name [ domain domain-name ]

【缺省情况】

不存在用户黑名单表项。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

user-name：表示用户的名称，为1～55个字符的字符串，区分大小写。

domain domain-name：表示用户所属的身份识别域。domain-name是身份识别域的名称，为1～255个字符的字符串，不区分大小写，不能包括字符“?”。若不指定此参数，则表示用户不属于任何身份识别域。

timeout minutes：用户黑名单表项的老化时间。其中，minutes表示老化时间，取值范围为1～1000，单位为分钟。若未指定本参数，则表示该用户黑名单表项永不老化，除非手动将其删除。

【使用指导】

用户黑名单功能需要配合用户身份识别功能使用，有关用户身份识别功能的详细介绍，请参见“安全配置指导”中的“用户身份识别与管理”。

【举例】

# 将用户usera加入用户黑名单，老化时间为20分钟。

<Sysname> system-view

[Sysname] blacklist user usera timeout 20

# 添加一个用户黑名单表项，用户名为usera，域名为domaina。

<Sysname> system-view

[Sysname] blacklist user usera domain domaina timeout 20

【相关命令】

·     blacklist global enable

·     display blacklist user