Перейти к содержанию

Команды настройки фильтрации по классификационным (мандатным) меткам#

Команды настройки#

Команда Описание команды
system mac level <имя_уровня> label <значение_метки> Настройка уровней мандатного доступа.
system mac category <имя_категории> index <индекс> Настройка категорий мандатного доступа.
filter <имя> rule <номер_правила> mls level <уровень> Указание уровня мандатного доступа для проверки соответствия в правиле фильтрации трафика.
filter <имя> rule <номер_правила> mls invert Инверсия сопоставления для указанного уровня мандатного доступа.
filter <имя> rule <номер_правила> mcs category <категория> Указание категорий мандатного доступа для проверки соответствия в правиле фильтрации трафика.
filter <имя> rule <номер_правила> mcs invert Инверсия сопоставления для указанных категорий мандатного доступа
filter <имя> rule <номер_правила> mcs mode <режим> Указание режима сопоставления категорий мандатного доступа.

system mac level <имя_уровня> label <значение_метки>#

Настройка именованных уровней мандатного доступа для их дальнейшего использования в системе.

Синтаксис#
1
2
3
set system mac level <имя_уровня> label <значение_метки>
delete system mac level <имя_уровня>
show system mac level <имя_уровня>
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
system {
   mac {
      level имя_уровня {
         label значение_метки
      }
   }
}
Параметры#

имя_уровня

Имя уровня мандатного контроля доступа.

значение_метки

Числовое значение метки уровня. Значение должно лежать в диапазоне от 0 до 255.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда предназначена для настройки доступных для использования в системе именованных уровней мандатного доступа.

По умолчанию в системе преднастроено 4 уровня определенных в RFC 1108:

  • unclassified (неопределенно) — 10101011;
  • confidential (конфиденциально) — 10010110;
  • secret (секретно) — 01011010;
  • top-secret (совершенно секретно) — 00111101.

Форма set данной команды используется для настройки уровней мандатного контроля доступа.

Форма delete данной команды используется для удаления настроенных уровней мандатного контроля доступа.

Форма show данной команды используется для отображения значений настроенных уровней мандатного контроля доступа.

system mac category <имя_категории> index <индекс>#

Настройка именованных органов по защите (Protection Authority) для их дальнейшего использования в системе.

Синтаксис#
1
2
3
set system mac <имя_категории> index <индекс>
delete system mac <имя_категории>
show system mac <имя_категории>
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
system {
   mac {
      category имя_категории {
         index индекс
      }
   }
}
Параметры#

имя_категории

Имя категории мандатного доступа.

индекс

Индекс бита в поле Protection Authority Flags. Значение должно лежать в диапазоне от 0 до 63.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда предназначена для настройки доступных для использования в системе органов по защите (Protection Authority) и назначения им соответствующих битов в поле Protection Authority Flags сетевого пакета.

По умолчанию в системе преднастроено 5 именованных органов по защите определенных в RFC 1108:

Последовательный номер бита Наименование органа по защите
0 GENSER
1 SIOP-ESI
2 SCI
3 NSA
4 DOE

Форма set данной команды используется для настройки категории мандатного контроля доступа.

Форма delete данной команды используется для удаления категории мандатного контроля доступа.

Форма show данной команды используется для отображения значения индекса категории мандатного контроля доступа.

filter <имя> rule <номер_правила> mls level <уровень>#

Указание уровня мандатного доступа для проверки соответствия в правиле фильтрации трафика.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> mls level <уровень>
delete filter <имя> rule <номер_правила> mls level
show filter <имя> rule <номер_правила> mls level
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      mls {
         level уровень
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно лежать в диапазоне от 1 до 9999.

уровень

Уровень мандатного доступа. Данное правило будет применено к пакетам, уровень мандатного доступа которых соответствует указанному. Допустимые значения определяются командой system mac level.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Форма set данной команды используется для указания уровня мандатного доступа в правиле фильтрации трафика.

Форма delete данной команды используется для удаления уровня мандатного доступа в правиле фильтрации трафика.

Форма show данной команды используется для отображения текущей настройки.

filter <имя> rule <номер_правила> mls invert#

Инверсия сопоставления уровня мандатного доступа для указанного правила фильтра.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> mls invert
delete filter <имя> rule <номер_правила> mls invet
show filter <имя> rule <номер_правила> mls
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      mls {
         invert
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно лежать в диапазоне от 1 до 9999.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет инверсировать сопоставление для выбранного мандатного уровня – при применении указанной команды в правиле фильтра, соответствующий фильтр будет определять сетевой трафик с мандатным уровнем отличным от заданного командой filter <имя> rule <номер_правила> mls level <уровень>.

Форма set данной команды используется для указания инверсирования мандатного уровня.

Форма delete данной команды позволяет восстановить поведение по умолчанию.

Форма show данной команды позволяет отобразить настройку.

filter <имя> rule <номер_правила> mcs category <категория>#

Указание Protection Authority Flags для проверки соответствия в правиле фильтрации трафика.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> mls category <категория>
delete filter <имя> rule <номер_правила> mls category <категория>
show filter <имя> rule <номер_правила> mls category
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      mcs {
         category категория
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно лежать в диапазоне от 1 до 9999.

категория

Множественный параметр. Наименование органа по защите. Данное правило будет применено к пакетам, содержащим в поле Protection Authority Flags биты соответствующие заданным. Допустимые значения определяются командой system mac category.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Форма set данной команды используется для указания соответствия битов в поле Protection Authority Flags сетевых пакетов.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения заданных настроек.

filter <имя> rule <номер_правила> mcs invert#

Инверсия сопоставления для поля Protection Authority Flags соответствующего правила фильтра.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> mcs invert
delete filter <имя> rule <номер_правила> mcs invert
show filter <имя> rule <номер_правила> mcs
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      mcs {
         invert
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно лежать в диапазоне от 1 до 9999.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет инверсировать сопоставление заданных Protection Authority Flags – при применении указанной команды в правиле фильтра, соответствующий фильтр будет определять сетевой трафик, не содержащий соответствующих битов в поле Protection Authority Flags сетевого пакета (заданных командой filter <имя> rule <номер_правила> mcs category <категория>).

Форма set данной команды используется для указания инверсирования сопоставления правила фильтра.

Форма delete данной команды позволяет восстановить поведение по умолчанию.

Форма show данной команды позволяет отобразить настройку.

filter <имя> rule <номер_правила> mcs mode <режим>#

Указание режима сопоставления битов в поле Protection Authority Flags сетевого пакета.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> mcs mode <режим>
delete filter <имя> rule <номер_правила> mcs mode
show filter <имя> rule <номер_правила> mcs mode
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      mcs {
         mode режим
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно лежать в диапазоне от 1 до 9999.

режим

Указание режима проверки сопоставления. Допустимые значения:

  • all: совпадение со всеми указанными битами;
  • any: совпадение с любым из указанных битов Protection Authority Flags.
Значение по умолчанию#

По умолдчанию используется значение any.

Указания по использованию#

Данная команда позволяет установить режим проверки сопоставления установленных командой filter <имя> rule <номер_правила> mcs category <категория> битов в поле Protection Authority Flags сетевого пакета.

Форма set данной команды используется для указания режима проверки.

Форма delete данной команды позволяет восстановить режим проверки по умолчанию.

Форма show данной команды позволяет отобразить установленный режим проверки.