Cisco Cisco ASA 5555-X Adaptive Security Appliance 빠른 설정 가이드
2-5
思科 ASA 系列防火墙 CLI 配置指南
第 2 章 应用检测的特殊操作(检测策略映射)
在检测类映射中识别流量
示例
下面是一个 HTTP 检测策略映射以及相关类映射的示例。此策略映射由服务策略启用的第 3/4 层
策略映射激活。
策略映射激活。
hostname(config)# regex url_example example\.com
hostname(config)# regex url_example2 example2\.com
hostname(config)# class-map type regex match-any URLs
hostname(config-cmap)# match regex url_example
hostname(config-cmap)# match regex url_example2
hostname(config-cmap)# class-map type inspect http match-all http-traffic
hostname(config-cmap)# match req-resp content-type mismatch
hostname(config-cmap)# match request body length gt 1000
hostname(config-cmap)# match not request uri regex class URLs
hostname(config-cmap)# policy-map type inspect http http-map1
hostname(config-pmap)# class http-traffic
hostname(config-pmap-c)# drop-connection log
hostname(config-pmap-c)# match req-resp content-type mismatch
hostname(config-pmap-c)# reset log
hostname(config-pmap-c)# parameters
hostname(config-pmap-p)# protocol-violation action log
hostname(config-pmap-p)# policy-map test
hostname(config-pmap)# class test
(未显示第 3/4 层类映射)
hostname(config-pmap-c)# inspect http http-map1
hostname(config-pmap-c)# service-policy test interface outside
在检测类映射中识别流量
此类型的类映射可以让您匹配某个应用特定的条件。例如,对于 DNS 流量,您可以匹配 DNS 查
询中的域名。
询中的域名。
类映射可以将多个流量匹配聚集在一起(在 match-all 类映射中),或者让您匹配在匹配列表中的
任何一个(在 match-any 类映射中)。创建类映射和直接在检测策略映射中定义流量的差别在
于,类映射可以让您将多个匹配命令聚集在一起并重用类映射。对于您在类映射中识别的流量,
您可以指定操作,例如丢弃、重置和 / 或在检测策略映射中记录连接。如果您想对不同类型的流
量执行不同操作,应当直接在策略映射中识别流量。
任何一个(在 match-any 类映射中)。创建类映射和直接在检测策略映射中定义流量的差别在
于,类映射可以让您将多个匹配命令聚集在一起并重用类映射。对于您在类映射中识别的流量,
您可以指定操作,例如丢弃、重置和 / 或在检测策略映射中记录连接。如果您想对不同类型的流
量执行不同操作,应当直接在策略映射中识别流量。
限制
并非所有应用都支持检测类映射。请参阅 class-map type inspect 的 CLI 帮助文件,了解支持的应
用列表。
用列表。