ASA/PIX 7.X:使用ASDM禁用默认全局检查并启用非默认应用检查

下载选项

  • PDF     (438.2 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (226.3 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (535.8 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2010 年 12 月 2 日
文档 ID:112235

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍如何从应用程序的全局策略中删除默认检查,以及如何启用非默认应用程序的检查。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于运行7.x软件映像的思科自适应安全设备(ASA)。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

相关产品

此配置还可用于运行7.x软件映像的PIX安全设备。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则。

默认全局策略

默认情况下,配置包含的策略(全局策略)与所有默认应用程序检查数据流相匹配,并可对所有接口上的数据流应用特定检查。默认情况下,并非所有检查都会启用。只能应用一个全局策略。如果希望修改全局策略,则必须编辑默认策略或禁用该策略并应用新的策略。(接口策略将覆盖全局策略。)

默认策略配置包括以下命令:

class-map inspection_default
 match default-inspection-traffic
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect xdmcp 
  inspect sip 
  inspect netbios 
  inspect tftp 
service-policy global_policy global

启用非默认应用检测

完成以下步骤以在Cisco ASA上启用非默认应用检查:

  1. 登录ASDM。转至Configuration > Firewall > Service Policy Rules

    asa-disgi-enai-asdm-01.gif

  2. 如果要保留包括默认类映射和默认策略映射的全局策略配置,但希望全局删除策略,请转至Tools > Command Line Interface,并使用no service-policy global-policy global命令全局删除策略。然后,单击Send,以便将此命令应用于ASA。

    asa-disgi-enai-asdm-02.gif

    注意:通过此步骤,全局策略在自适应安全设备管理器(ASDM)中变得不可见,但在CLI中显示。

  3. 如下所示,单击Add以添加新策略:

    asa-disgi-enai-asdm-03.gif

  4. 确保选中Interface旁边的单选按钮,然后从下拉菜单中选择要应用策略的接口。然后,提供策略名称说明。单击 Next

    asa-disgi-enai-asdm-04.gif

  5. 新建一个类映射以匹配TCP流量,因为HTTP属于TCP类别。单击 Next

    asa-disgi-enai-asdm-05.gif

  6. 选择TCP作为协议。

    asa-disgi-enai-asdm-06.gif

    选择HTTP端口80作为服务,然后单击确定

    asa-disgi-enai-asdm-07.gif

  7. 选择HTTP,然后单击完成

    asa-disgi-enai-asdm-08.gif

  8. 单击Apply将这些配置更改从ASDM发送到ASA。这样就完成了配置。

    asa-disgi-enai-asdm-09.gif

验证

使用这些show命令可验证配置:

  • 使用show run class-map命令可查看配置的类映射。

    ciscoasa# sh run class-map
!
class-map inspection_default
match default-inspection-traffic
class-map outside-class
match port tcp eq www
!

  • 使用show run policy-map命令可查看配置的策略映射。

    ciscoasa# sh run policy-map
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
policy-map outside-policy
 description Policy on outside interface
 class outside-class
  inspect http
!

  • 使用show run service-policy命令可查看配置的服务策略。

    ciscoasa# sh run service-policy
service-policy outside-policy interface outside

相关信息

修订历史记录

版本 发布日期 备注
1.0
25-Nov-2010
初始版本

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品