Cisco Cisco ASA 5555-X Adaptive Security Appliance 快速安装指南
2-2
思科 ASA 系列防火墙 CLI 配置指南
第 2 章 应用检测的特殊操作(检测策略映射)
准则和限制
准则和限制
•
HTTP 检测策略映射 - 如果修改正在使用的 HTTP 检测策略映射 (policy-map type inspect
http),您必须移除并重新应用 inspect http map 操作,才能使更改生效。例如,如果修改
“http-map” 检测策略映射,您必须移除、,将 inspect http http-map 命令:
http),您必须移除并重新应用 inspect http map 操作,才能使更改生效。例如,如果修改
“http-map” 检测策略映射,您必须移除、,将 inspect http http-map 命令:
hostname(config)# policy-map test
hostname(config-pmap)# class http
hostname(config-pmap-c)# no inspect http http-map
hostname(config-pmap-c)# inspect http http-map
•
所有检测策略映射 - 如果想用正在使用的检测策略映射交换不同的映射名称,必须删除、
inspect protocol map 命令,并通过新映射重新添加。例如:
inspect protocol map 命令,并通过新映射重新添加。例如:
hostname(config)# policy-map test
hostname(config-pmap)# class sip
hostname(config-pmap-c)# no inspect sip sip-map1
hostname(config-pmap-c)# inspect sip sip-map2
•
您可以在检测策略映射中指定多个 class 或 match 命令。
如果数据包匹配多个不同的 match 或 class 命令,ASA 应用操作的顺序将由内部 ASA 规则决
定,而不是由向检测策略映射添加的顺序决定。内部规则由应用类型和分解数据包的逻辑进
展确定,并且不可由用户配置。例如,对于 HTTP 流量,解析 Request Method 字段优先于解析
Header Host Length 字段; Request Method 字段的操作早于 Header Host Length 字段的操作。例
如,以下匹配命令可以按任意顺序输入,但首先匹配的是 match request method get 命令。
定,而不是由向检测策略映射添加的顺序决定。内部规则由应用类型和分解数据包的逻辑进
展确定,并且不可由用户配置。例如,对于 HTTP 流量,解析 Request Method 字段优先于解析
Header Host Length 字段; Request Method 字段的操作早于 Header Host Length 字段的操作。例
如,以下匹配命令可以按任意顺序输入,但首先匹配的是 match request method get 命令。
match request header host length gt 100
reset
match request method get
log
如果操作丢弃数据包,在检测策略映射中将不会执行进一步操作。例如,如果第一个操作是
重置连接,它绝不会匹配任何更多 match 或 class 命令。如果第一个操作是记录数据包,则会
发生第二个操作,例如,重置连接。
重置连接,它绝不会匹配任何更多 match 或 class 命令。如果第一个操作是记录数据包,则会
发生第二个操作,例如,重置连接。
如果数据包匹配多个相同的 match 或 class 命令,它们将会按照在策略映射中出现的顺序进行
匹配。例如,对于报头长度为 1001 的数据包,将会首先匹配下面的第一个命令,进行相关记
录,然后匹配第二个命令并重置。如果对调两个 match 命令的顺序,数据包将被丢弃且连接
将被重置,然后才能匹配第二个 match 命令;数据包不再会被记录下来。
匹配。例如,对于报头长度为 1001 的数据包,将会首先匹配下面的第一个命令,进行相关记
录,然后匹配第二个命令并重置。如果对调两个 match 命令的顺序,数据包将被丢弃且连接
将被重置,然后才能匹配第二个 match 命令;数据包不再会被记录下来。
match request header length gt 100
log
match request header length gt 1000
reset
会根据类映射中的最低优先级 match 命令(优先级基于内部规则)来确定某类映射是与另一
类映射同类型还是 match 命令。如果某个类映射与另一个类映射有同一类型的最低优先级
match 命令,类映射将根据被添加到策略映射中采用的顺序被匹配。如果每个类映射的最低优
先级匹配不同,将会首先匹配具有较高优先级 match 命令的类映射。例如,以下三个类映射
包含两种类型的 match 命令:match request-cmd(优先级更高)和 match filename(优先级
更低)。ftp3 类映射包含这两个命令,但它根据最低优先级命令 match filename 进行排序。
ftp1 类映射包含最高优先级的命令,因此,不管在策略映射中的顺序如何,都会首先对它进行
匹配。ftp3 类映射的排列优先级和 ftp2 类映射相同,ftp2 类映射也含有 match filename 命令。
ftp3 和 ftp2 类映根据在策略映射中的顺序被匹配:首先匹配 ftp3,然后匹配 ftp2。
类映射同类型还是 match 命令。如果某个类映射与另一个类映射有同一类型的最低优先级
match 命令,类映射将根据被添加到策略映射中采用的顺序被匹配。如果每个类映射的最低优
先级匹配不同,将会首先匹配具有较高优先级 match 命令的类映射。例如,以下三个类映射
包含两种类型的 match 命令:match request-cmd(优先级更高)和 match filename(优先级
更低)。ftp3 类映射包含这两个命令,但它根据最低优先级命令 match filename 进行排序。
ftp1 类映射包含最高优先级的命令,因此,不管在策略映射中的顺序如何,都会首先对它进行
匹配。ftp3 类映射的排列优先级和 ftp2 类映射相同,ftp2 类映射也含有 match filename 命令。
ftp3 和 ftp2 类映根据在策略映射中的顺序被匹配:首先匹配 ftp3,然后匹配 ftp2。
class-map type inspect ftp match-all ftp1
match request-cmd get
class-map type inspect ftp match-all ftp2
match filename regex abc