Manualsbrain.com
  1. Manuals
  2. Brands
  3. Cisco
  4. Cisco ASA 5580 Adaptive Security Appliance
  5. Leaflet

Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet

Download
Page of 1214
 
1-110
思科 ASA 系列命令参考,命令
 
 1       same-security-traffic  shape 命令
  sfr
7.
流出
 VPN 流量被加密。
8.
流量退出
 ASA。
 ASA 功能的兼容性
ASA 带有诸多高级应用检查功能,其中包括 HTTP 检查。但是,ASA FirePOWER 模块比 ASA 提
供了更高级的
 HTTP 检查,以及适用于其他应用的其他功能,包括监测和控制应用的使用情况。
要充分利用
 ASA FirePOWER 模块的功能,请参阅以下与您发送到 ASA FirePOWER 模块的流量
有关的指导原则:
请勿对
 HTTP 流量配置 ASA 检查。
请勿配置云网络安全
 (ScanSafe) 检查。如果为同一流量配置了 ASA FirePOWER 检查和云网
络安全检查,
ASA 只执行 ASA FirePOWER 检查。
ASA 的其他应用检查(包括默认检查)与 ASA FirePOWER 模块兼容。
请勿启用移动用户安全
 (MUS) 服务器;此服务器与 ASA FirePOWER 模块不兼容。
如果启用故障切换,则当
 ASA 进行故障切换时,所有现有 ASA FirePOWER 流将传输到新的 
ASA。新 ASA 中的 ASA FirePOWER 从该点开始检查流量;旧检查状态不会传输。
Monitor-Only 模式
仅监控模式下的流量与内联模式下相同。唯一的区别是
 ASA FirePOWER 模块不将流量传回 
ASA, 而是对流量应用安全策略,如果是在内联模式下操作,还会让您知道已对其执行的操作,
例如,在某些事件中流量可能被标记为 “ 已丢弃 ”。您可以使用这些信息来分析流量,帮助您
确定内联模式是否合适。
 ASA 上,您无法同时配置仅监控模式和正常内联模式。只允许一种安全策略。在多情景模式
下,对某些情景无法配置仅监控模式,另一些情景则无法配置正常的内联模式。
示例
以下示例将所有
 HTTP 流量转移到 ASA FirePOWER 模块,并且在模块因任何原因出现故障时阻
止所有
 HTTP 流量:
ciscoasa(config)# access-list ASASFR permit tcp any any eq port 80
ciscoasa(config)# class-map my-sfr-class
ciscoasa(config-cmap)# match access-list ASASFR
ciscoasa(config-cmap)# policy-map my-sfr-policy
ciscoasa(config-pmap)# class my-sfr-class
ciscoasa(config-pmap-c)# sfr fail-close
ciscoasa(config-pmap-c)# service-policy my-cx-policy global
以下示例中将去往
 10.1.1.0 网络及 10.2.1.0 网络的所有 IP 流量将转移到 ASA FirePOWER 模块,
并且在模块因任何原因出现故障时允许所有流量通过。
ciscoasa(config)# access-list my-sfr-acl permit ip any 10.1.1.0 255.255.255.0
ciscoasa(config)# access-list my-sfr-acl2 permit ip any 10.2.1.0 255.255.255.0
ciscoasa(config)# class-map my-sfr-class
ciscoasa(config-cmap)# match access-list my-sfr-acl
ciscoasa(config)# class-map my-sfr-class2
ciscoasa(config-cmap)# match access-list my-sfr-acl2
ciscoasa(config-cmap)# policy-map my-sfr-policy
ciscoasa(config-pmap)# class my-sfr-class
ciscoasa(config-pmap-c)# sfr fail-open
ciscoasa(config-pmap)# class my-sfr-class2
ciscoasa(config-pmap-c)# sfr fail-open
ciscoasa(config-pmap-c)# service-policy my-sfr-policy interface outside