Configuración de un conjunto de datos
Para configurar un conjunto de datos, debe especificar las cadenas que sirven como patrón, asignar un tipo (número, dirección IPv4 o dirección IPv6) y configurar el rango del conjunto de datos. Puede asignar manualmente un valor de índice único al patrón o puede permitir que los valores de índice se asignen automáticamente. El conjunto de datos no está relacionado con HTTP ni con ningún protocolo de 7 capas. Solo funciona en texto o cadena. Hay diferentes tipos de conjuntos de datos, como NUM, ULONG, IPv4, IPv6, MAC, DOUBLE. Puede seleccionar un tipo y definir el rango del conjunto de datos en función del tipo especificado.
Nota:
Los conjuntos de datos de directivas distinguen entre mayúsculas y minúsculas (a menos que especifique la expresión para ignorar las mayúsculas Por lo tanto, la dirección MAC ff:ff:ff:ff:ff:ff, por ejemplo, no es la misma que la dirección MAC FF:FF:FF:FF:FF:FF.
Las reglas aplicadas para los valores de índice de los conjuntos de datos son similares a los conjuntos de patrones. Para obtener información sobre los valores de índice, consulteConfiguración de un conjunto de patrones.
Configurar un conjunto de datos
Complete los siguientes pasos para configurar un conjunto de datos:
- Agregar un conjunto de datos de directivas
- 在lazar patrón a un conjunto de datos
- Agregar una expresión de directiva
- Comprobar la configuración de la directiva
Agregar un conjunto de datos de directivas
在el símbolo del sistema, haga lo siguiente:
add policy dataset
Ejemplo:
add policy dataset ds1 ipv4 -comment numbers
在lazar un patrón al conjunto de datos
在el símbolo del sistema, escriba:
bind policy dataset
Ejemplo:
bind policy dataset ds1 1.1.1.1 -endRange 1.1.1.10 -comment short description about the pattern bound to the data set
Nota:
Debe repetir este paso para todos los patrones que quiere vincular al conjunto de datos. Solo puede enlazar hasta 5000 patrones a un conjunto de datos.
Además, un rango de conjunto de datos no debe superponerse con otros rangos enlazados a un conjunto de datos y no puede incluir valores únicos enlazados al conjunto de datos. Si vincula un conjunto de datos con un rango superpuesto, se produce un error.
Ejemplo:
add policy dataset ip_set ipv4 Done bind policy dataset ip_set 2.2.2.25 Done bind policy dataset ip_set 2.2.2.20 -endRange 2.2.2.30 ERROR: The range overlaps an existing range or includes a value bound to the dataset. Se considera que un valor está en el conjunto de datos si es igual a un solo valor enlazado al conjunto de datos o se encuentra entre el valor inferior y el valor superior (valor inferior <= valor && valor <- valor superior), para un rango enlazado al conjunto de datos.
Usar la expresión de directiva en un conjunto de datos de directivas
在el símbolo del sistema, escriba:
add policy expression exp1 http.req.body(100).contains_any("ds1")
Donde: La expresión comprueba si hay algún patrón (o patrón dentro del rango) enlazado al conjunto de datos ds1 está presente en los primeros 100 bytes del cuerpo de la solicitud HTTP.
Verificar la configuración del conjunto
在el símbolo del sistema, escriba:
show policy dataset ds1> show policy dataset ds1
Ejemplo:
Dataset: ds1 Type: IPV4 1) Bound Dataset Range from: 1.1.1.1 through: 1.1.1.10 Index: 1 Configurar un conjunto de datos mediante la utilidad de configuración
Siga los pasos que se indican a continuación para configurar un conjunto de datos de directivas:
- Vaya aAppExpert > Conjuntos de datos.
- 在el panel de detalles, en Conjuntos de datos, haga clic enAgregar.
在la páginaConfigurar conjunto de datos, defina los siguientes parámetros.
- Nombre. Nombre del conjunto de datos de directivas.
- Tipo. Tipo de valor que se va a vincular al conjunto de datos.
- Haga clic enInsertarpara vincular el valor del conjunto de datos del tipo específico.
- Valor. Valor del tipo especificado asociado al conjunto de datos.
- Índice. El valor de índice del conjunto de datos.
- Gama final. La entrada del conjunto de datos. Este es un intervalo de
- Comentarios. Breve descripción del conjunto de datos.
- Haga clic enInsertarycerrar.
- Ingrese los comentarios.
- Haga clic enCrearycerrar.
Notación de subred de CIDR en direcciones IPv4 e IPv6 para el conjunto de datos de directivas
Los conjuntos de datos de directivas para direcciones IPv4 e IPv6 permiten que el valor enlazado sea subredes mediante la notación CIDR. La notación CIDR especifica la dirección y el rango de la subred. Notación CIDR/, dondees la primera dirección de la subred y
比如,192.128.0.0/10意味着una subredIPv4 que comienza en la dirección 192.129.0.0 con una máscara 0xFFC0000 (255.192.0.0).
Ejemplo:
add policy dataset ds1 ipv4 bind policy dataset ds1 192.128.0.0/10 show policy dataset ds1 Dataset: ds1 Type: IPV4 Bound Dataset Value: 192.128.0.0/10 Index: 1 Comment: Subnet range from 192.128.0.0 through 192.191.255.255 Un ejemplo de uso de este conjunto de datos en una expresión:
add responder policy resp_ipv4_pol client.ip.src.typecast_text_t.equals_any("ds1") drop Ejemplo de subred IPv6:
Un ejemplo de subred IPv6 sería 2001:db8:123::/56, que comienza en la dirección 2001:db8:123:: con una máscara FFFF:FFFF:FFFF:FF00::
add policy dataset ds2 ipv6 bind policy dataset ds2 2001:db8:123::/56 show policy dataset ds2 Dataset: ds2 Type: IPV61 Bound Dataset Value: 2001:db8:123::/56 Index: 1 Comment: Subnet range from 2001:db8:123:: through 2001:db8:123:ff:ffff:ffff:ffff:ffff La dirección inicial de la subred vendrá determinada por la dirección especificada enmascarada por la máscara de subred. Se emite una advertencia si la dirección especificada no coincide con la dirección inicial resultante.
Ejemplo:
bind policy dataset ds1 192.168.0.0/10 Warning: Starting subnet address masked using subnet mask to create new starting address [192.128.0.0] show policy dataset ds1 Dataset: ds1 Type: IPV4 Bound Dataset Value:192.168.0.0/10 Index: 1 Comment: Subnet range from 192.128.0.0 through 192.191.255.255 Un ejemplo de uso de este conjunto de datos en una expresión:
add responder policy resp_ipv6_pol client.ipv6.src.typecast_text_t.equals_any("ds2") drop