ASA/PIX 7.X:使用ASDM停用預設全局檢查並啟用非預設應用檢查

下載選項

  • PDF     (449.2 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (226.4 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (535.8 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2010 年 12 月 2 日
文件 ID:112235

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本文檔介紹如何從應用程式的全局策略中刪除預設檢測,以及如何為非預設應用程式啟用檢測。

必要條件

需求

本文件沒有特定需求。

採用元件

本文檔中的資訊基於運行7.x軟體映象的思科自適應安全裝置(ASA)。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。

相關產品

此配置還可用於運行7.x軟體映像的PIX安全裝置。

慣例

如需文件慣例的詳細資訊,請參閱思科技術提示慣例。

預設全域原則

預設情況下,配置包括一個與所有預設應用檢查流量匹配的策略,並將某些檢查應用於所有介面上的流量(全局策略)。並非預設情況下啟用所有檢查。只能應用一個全局策略。如果要更改全局策略,必須編輯預設策略或停用預設策略並應用新策略。(介面策略將覆蓋全局策略。)

預設策略配置包括以下命令:

class-map inspection_default
 match default-inspection-traffic
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect xdmcp 
  inspect sip 
  inspect netbios 
  inspect tftp 
service-policy global_policy global

啟用非預設應用程式檢查

完成以下步驟以在Cisco ASA上啟用非預設應用檢查:

  1. 登入ASDM。轉至Configuration > Firewall > Service Policy Rules

    asa-disgi-enai-asdm-01.gif

  2. 如果要保持全局策略的配置(包括預設類對映和預設策略對映),但希望全局刪除該策略,請轉到Tools > Command Line Interface,使用no service-policy global-policy global命令全局刪除該策略。然後,按一下Send將該命令應用到ASA。

    asa-disgi-enai-asdm-02.gif

    注意:透過此步驟,全局策略在自適應安全裝置管理器(ASDM)中變為不可見,但會顯示在CLI中。

  3. 按一下Add以增加新策略,如下所示:

    asa-disgi-enai-asdm-03.gif

  4. 確保選中Interface旁邊的單選按鈕,然後從下拉選單中選擇要應用策略的介面。然後,提供策略名稱說明。按「Next」(下一步)。

    asa-disgi-enai-asdm-04.gif

  5. 由於HTTP屬於TCP,因此請建立一個新的類對映以匹配TCP流量。按「Next」(下一步)。

    asa-disgi-enai-asdm-05.gif

  6. 選擇TCP作為協定。

    asa-disgi-enai-asdm-06.gif

    選擇HTTP port 80作為「Service」,然後按一下OK

    asa-disgi-enai-asdm-07.gif

  7. 選擇HTTP,然後按一下Finish

    asa-disgi-enai-asdm-08.gif

  8. 按一下Apply從ASDM將這些配置更改傳送到ASA。配置到此結束。

    asa-disgi-enai-asdm-09.gif

驗證

使用以下這些show命令驗證配置:

  • 使用show run class-map命令檢視已配置的類對映。

    ciscoasa# sh run class-map
!
class-map inspection_default
match default-inspection-traffic
class-map outside-class
match port tcp eq www
!

  • 使用show run policy-map命令可檢視配置的策略對映。

    ciscoasa# sh run policy-map
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
policy-map outside-policy
 description Policy on outside interface
 class outside-class
  inspect http
!

  • 使用show run service-policy命令可檢視配置的服務策略。

    ciscoasa# sh run service-policy
service-policy outside-policy interface outside

相關資訊

修訂記錄

修訂 發佈日期 意見
1.0
25-Nov-2010
初始版本

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品