Cisco Cisco ASA 5555-X Adaptive Security Appliance 快速安装指南
2-6
思科 ASA 系列防火墙 CLI 配置指南
第 2 章 应用检测的特殊操作(检测策略映射)
在检测类映射中识别流量
详细步骤
示例
以下示例创建一个必须匹配所有条件的 HTTP 类映射:
hostname(config-cmap)# class-map type inspect http match-all http-traffic
hostname(config-cmap)# match req-resp content-type mismatch
hostname(config-cmap)# match request body length gt 1000
hostname(config-cmap)# match not request uri regex class URLs
以下示例创建一个可以匹配任意条件的 HTTP 类映射:
hostname(config-cmap)# class-map type inspect http match-any monitor-http
hostname(config-cmap)# match request method get
hostname(config-cmap)# match request method put
hostname(config-cmap)# match request method post
命令
用途
步骤 1
(可选)
创建正则表达式。
请参阅常规操作配置指南。
步骤 2
class-map type
inspect application
[match-all | match-any] class_map_name
示例:
hostname(config)# class-map type inspect
http http_traffic
hostname(config-cmap)#
参数 class_map_name 为类映射名称,最大长度为 40 个字符。
match-all 关键字为默认值,指定流量必须匹配所有条件,才
能匹配类映射。
能匹配类映射。
关键字 match-any 指定如果流量匹配至少一个条件,则匹配
类映射。
类映射。
CLI 将进入类映射配置模式,可以在该模式下输入一个或多
个 match 命令。
个 match 命令。
步骤 3
(可选)
description
string
示例:
hostname(config-cmap)# description All UDP
traffic
向类映射添加说明。
步骤 4
输入一个或多个可用于应用的 match 命令,
定义包含在类中的流量。
定义包含在类中的流量。
要指定不应匹配类映射的流量,请使用 match not 命令。例
如,如果 match not 命令指定字符串 “example.com”,则任何
包含 “example.com” 的流量都不匹配类映射。
如,如果 match not 命令指定字符串 “example.com”,则任何
包含 “example.com” 的流量都不匹配类映射。
要查看每个应用可用的 match 命令,请参阅相应的检测章节。