Cisco Cisco ASA 5555-X Adaptive Security Appliance 빠른 설정 가이드
2-3
思科 ASA 系列防火墙 CLI 配置指南
第 2 章 应用检测的特殊操作(检测策略映射)
默认检测策略映射
class-map type inspect ftp match-all ftp3
match request-cmd get
match filename regex abc
policy-map type inspect ftp ftp
class ftp3
log
class ftp2
log
class ftp1
log
默认检测策略映射
默认情况下,启用 DNS 检测,使用 preset_dns_map 检测类映射:
•
最大 DNS 消息长度为 512 字节。
•
最大客户端 DNS 消息长度是自动设置的,以匹配资源记录。
•
DNS 保护已启用,这样,一旦 ASA 转发 DNS 应答,ASA 就会断开与 DNS 查询相关的 DNS
会话。另外,ASA 还监控消息交换,确保 DNS 回复 ID 匹配 DNS 查询 ID。
会话。另外,ASA 还监控消息交换,确保 DNS 回复 ID 匹配 DNS 查询 ID。
•
根据 NAT 配置的 DNS 记录转换已启用。
•
协议执行已启用,使得可以进行 DNS 消息格式检查(具体检查内容包括:域名长度不得超过
255 个字符,标签长度不得超过 63 个字符,压缩检查和循环指针检查)。
255 个字符,标签长度不得超过 63 个字符,压缩检查和循环指针检查)。
请参阅以下默认命令:
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
dns-guard
protocol-enforcement
nat-rewrite
注
还存在其他默认检测策略映射,例如 _default_esmtp_map。例如, inspect esmtp 隐式地使用策
略映射 “_default_esmtp_map”。可以使用 show running-config all policy-map 命令显示所有默认策
略映射。
略映射 “_default_esmtp_map”。可以使用 show running-config all policy-map 命令显示所有默认策
略映射。