Cisco Cisco ASA 5555-X Adaptive Security Appliance 快速安装指南
2-4
思科 ASA 系列防火墙 CLI 配置指南
第 2 章 应用检测的特殊操作(检测策略映射)
在检测策略映射中定义操作
在检测策略映射中定义操作
当您在第 3/4 层策略映射中启用检测引擎时,或者还可以启用在检测策略映射中定义的操作。
详细步骤
命令
用途
步骤 1
(可选)
创建检测类映射。
请参阅
。
或者,您可以直接在策略映射中识别流量。
步骤 2
(可选)
创建正则表达式。
对于支持正则表达式的策略映射类型,请参阅常规操作配置
指南。
指南。
步骤 3
policy-map type inspect
application
policy_map_name
示例:
hostname(config)# policy-map type inspect
http http_policy
创建检测策略映射。有关支持检测策略映射的应用列表,请
参阅
参阅
。
参数 policy_map_name 是策略映射的名称,最大长度为 40 个
字符。所有类型的策略映射都使用同一命名空间,因此,您
无法重用已被另一类型的策略映射使用的名称。CLI 将进入
策略映射配置模式。
字符。所有类型的策略映射都使用同一命名空间,因此,您
无法重用已被另一类型的策略映射使用的名称。CLI 将进入
策略映射配置模式。
步骤 4
使用以下其中一种方法指定要对其执行操作的流量:
class
class_map_name
示例:
hostname(config-pmap)# class http_traffic
hostname(config-pmap-c)#
测类映射。
并非所有应用都支持检测类映射。
使用在检测章节为每个应用描述的其中某个
match 命令,直接在策略映射中指定流量。
match 命令,直接在策略映射中指定流量。
示例:
hostname(config-pmap)# match req-resp
content-type mismatch
hostname(config-pmap-c)#
如果使用 match not 命令,则任何匹配 match not 命令中条件
的流量都不会应用操作。
的流量都不会应用操作。
对于支持正则表达式的策略映射类型,请参阅常规操作配置
指南。
指南。
步骤 5
action
示例:
hostname(config-pmap-c)# drop-connection
log
指定您想对匹配流量执行的操作。操作因检测和匹配类型而
异。常见操作包括:drop、log 和 drop-connection。对于每
个匹配的可用操作,请参阅相应的检测章节。
异。常见操作包括:drop、log 和 drop-connection。对于每
个匹配的可用操作,请参阅相应的检测章节。
步骤 6
parameters
示例:
hostname(config-pmap)# parameters
hostname(config-pmap-p)#
配置影响检测引擎的参数。CLI 进入参数配置模式。对于每
个应用的可用参数,请参阅相应的检测章节。
个应用的可用参数,请参阅相应的检测章节。