ASA/PIX 7.X :禁用默认全局检查和Enable (event)非默认应用检查使用ASDM

下载选项

  • PDF     (263.8 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (226.1 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (538.3 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2010 年 12 月 2 日
文档 ID:112235

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍如何从应用程序的全局策略中删除默认检查,以及如何启用非默认应用程序的检查。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息根据思科可适应安全工具(ASA)该运行7.x软件镜像。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

相关产品

此配置可能也与运行7.x软件镜像的PIX安全工具一起使用。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

默认全局策略

默认情况下,配置包含的策略(全局策略)与所有默认应用程序检查数据流相匹配,并可对所有接口上的数据流应用特定检查。默认情况下,并非所有检查都会启用。只能应用一个全局策略。如果希望修改全局策略,则必须编辑默认策略或禁用该策略并应用新的策略。(接口策略将覆盖全局策略。)

默认策略配置包括以下命令:

class-map inspection_default
 match default-inspection-traffic
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect xdmcp 
  inspect sip 
  inspect netbios 
  inspect tftp 
service-policy global_policy global

Enable (event)非默认应用检查

完成此步骤启用在思科ASA的非默认应用检查:

  1. 登陆对ASDM。去Configuration>防火墙>服务策略规则

    asa-disgi-enai-asdm-01.gif

  2. 如果要保持包括默认类映射和默认策略映射的全局策略的配置,但是要取消策略全局,请勿去Tools>命令行界面并且请使用服务策略全局策略global命令取消策略全局。然后,请点击发送,因此命令应用对ASA。

    asa-disgi-enai-asdm-02.gif

    注意: 使用此步骤全局策略在CLI变得隐身在可适应安全设备管理器(ASDM),但是显示。

  3. 单击添加为了添加一项新的策略如显示此处:

    asa-disgi-enai-asdm-03.gif

  4. 接口旁边确保单选按钮被检查并且选择您要运用从下拉菜单的策略的接口。然后,请提供策略名称说明。单击 Next

    asa-disgi-enai-asdm-04.gif

  5. 创建新的类映射匹配TCP数据流, HTTP属于TCP。单击 Next

    asa-disgi-enai-asdm-05.gif

  6. 选择TCP作为协议。

    asa-disgi-enai-asdm-06.gif

    选择HTTP端口80作为服务并且点击OK键。

    asa-disgi-enai-asdm-07.gif

  7. 选择HTTP并且点击芬通社

    asa-disgi-enai-asdm-08.gif

  8. 单击应用发送对ASA的这些配置更改从ASDM。这样就完成了配置。

    asa-disgi-enai-asdm-09.gif

验证

请使用这些显示命令验证配置:

  • 请使用class-map命令的show run查看配置的类映射。

    ciscoasa# sh run class-map
!
class-map inspection_default
match default-inspection-traffic
class-map outside-class
match port tcp eq www
!

  • 请使用policy-map命令的show run查看配置的策略映射。

    ciscoasa# sh run policy-map
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
policy-map outside-policy
 description Policy on outside interface
 class outside-class
  inspect http
!

  • 请使用service-policy命令的show run查看配置的服务策略。

    ciscoasa# sh run service-policy
service-policy outside-policy interface outside

相关信息

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品