攻城狮论坛-asa firewall cli zh技术生活群

归原作者所有本资料只供试思科ASA系列CLI配置指软件版本发布日期：2014724更新日期：2014916CiscoSystems,：： 文本部件号：不适用，仅提攻城狮(技术+生活) #^_^# 归原作者所有本资料只供试本手册中有关产品的规格和信息更改，恕不另行通知。我们相信本手册中的所有、信息和建议均准确可靠，但不提供任何明示或暗示的担保。用户应承担使用产品的全部责任。产品配套的软件和有限担保在随产品一起提供的信息包中提供，且构成本文的一部分。如果您找不到软件或有限担保，请与思科代表联系以索取副本思科所采用的TCP报头压缩是加州大学伯克莱分校(UCB)开发的一个程序的，是UCB的UNIX操作系统公共域版本的一部分。。©1981，加利福无论在该手册中是否作出了其他担保，来自这些供应商的所有文档文件和“原样”提供且仍有可能存在缺陷。思科和上述供应商不承诺所有明示或暗示在任何情况下，对于任何间接、特殊、连带发生或偶发的损坏，包括（但不限于）因使用或无法使用本手册而导致的任何利润损失或数据损失或损坏，思科及其供应商概不负责，即使思科及其供应商已获知此类损坏的可能性也不例外。思科和思科徽标是思科和/或其附属公司在和其他国家/地区的商标或商标。要查看思科商标的列表，请以下URL： 文中提及的第商标均归属各所有者。“合作伙伴”一词的使用并不意味着思科和任何其他公司之间存在合作伙伴关系。(1110R)本文档中使用的任何互联网协议(IP)地址和 并不代表实际地址和。本文档中包括的任何示例、命令显示输出、网络拓扑图和其他图形仅用于说明目的。在图示内容中使用的IP地址或 纯属虚构，雷同，纯属巧合。思科ASA系列CLI配置指©2014思科系统公司。攻城狮(技术+生活)关于本指南xvii文档目的xvii相关文档xvii约定xvii服务策略和控服务策略和控第1第1 使用模块化策略框的服务策略1-关于服务策略1-服务策略的组成部分1-使用服务策略配置的1-功能方向性1-1-应用多项功能操作的1-某些功能操作的不兼1-多项服务策略的功能1-服务策略准则1-服务策略的默认设置1-服务策略默认配置1-默认类映射（流量类）1-配置服务策略1-识别流量（3/4层类映射）1-定义操作（第3/4层策略映射 将操作应用到接口（服务策略）1-服务策略1-服务策略示例（模块化策略框架）1-将检测和QoS策略应用到HTTP流量1-将检测全局应用到HTTP流量1-将检测和连接限制应用到流向特定服务器的HTTP流 NAT将检HTTP流量1-服务策略历史1-ASACLI 第2 应用检测的特殊操作（检测策略映射）2-检测策略映射有关信息2-准则和限制2-默认检测策略映射2-在检测策略映射中定义操作2-在检测类映射中识别流量2-信息指南2-检测策略映射的功能历史2-第3 规则3-1控制网络3-有关规则的一般信息3-扩展规则3-以太网类型规则3-控制准则3-配置控制3-配置组3-配置ICMP规则3-规 3-评估规则的系统日志消息3-9允许或网络的配置示例3-10规则历史记录3-11第2网络地址转换第4网络地址转换4-4-NAT术 4-NAT类 4-NAT类型概

4-4-4-4-标识 4-路由和透明模式下的 4-路由模式下的 4-透明模式下的 4-ASACLI配置指 #^_^# 归原作者所有本资料只供试NAT和 4-如何实施 4-网络对象NAT和两次NAT之间的主要差 网络对象 4-两次 4-NAT规则顺序4-NAT接口4-NAT数据包4-映射地址和路由4-网络的透明模式路由要求4-确定出口接口4-面向的 4-NAT和4-NAT和站点到站 NAT和管 NAT和故障排 DNS和 DNSDNS服务器4-独立网络上的DNS回复修改、DNS服务器、主机和服务 DNSDNS服务器4-使用外部NAT进行DNS64回复修 PTR修改，主机网络上的DNS服务 信息指 4-第5 网络对象 5-NAT5-1网络对象NAT的要求5-2NAT5-2准则和限制5-2默认设置5-NAT5-为映射地址添加网络对象5-4PATNAT5-5PAT（隐藏）5-7配置静态NAT或带有端口转换的静态NAT5-配置标识 5-配置每会话PAT规则5-网络对象 5-ASA系CLI配置指 攻城狮(技术+生活)NAT配置示例5-提供到内部网络服务器的（静态 面向内部主机的NAT（动态NAT）和面向外部网络服务器的NAT（静态 有多个映射地址的内部负载平衡器（静态NAT，一对多 FTP、HTTPSMTP（带端口转换的静NAT）的单一地址5-映射接口上的DNS服务器、实际接口上的网络服务器（带DNS修改的NAT）5-映射接口上的DNS服务器FTP服务器，FTP服务器已转换（DNS修改的NAT）5-映射接口上的IPv4DNS服务器和FTP服务器，实际接口上的IPv6主机（带DNS64修改的静态NAT64）5-23NAT的功能历史5-第6 两次 NAT6-1两次NAT的要求6-2NAT6-2准则和限制6-2默认设置6-NAT6-为真实和映射地址添加网络对象6-（可选）为真实和映射端口添加服务对象6-配置动态 6-配置动PAT（隐藏）6-配置静态NAT或带有端口转换的静态 6-配置标识 6-配置每会话PAT规则6-两次 6-NAT的配置示例6-取决于目标的不同转换（动态 取决于目标地址和端口的不同转换（动态 NAT的功能历史记录6-第3部 应用检第7 应用层协议检测入门7-应用层协议检测7-检测引擎如何工作7-何时使用应用协议检测7-ASACLI配置指 检测策略映射7-应用检测准则7-应用检测的默认操作7-NAT限制7-默认检测策略映射7-配置应用层协议检测7-选择要检测的正确流量类7-配置正则表达式7-创建正则表达式7-创建正则表达式类映射7-应用检测历史记录7-第8 基本互联网协议检测8-DNS检测8-DNS检测操作8-DNS检测的默认设置8-DNS检测8-DNS检测8-7FTP检测8-FTP检测概述8-严格 8-FTP检测8-验证和FTP检测8-HTTP检测8-HTTP检测概述8-HTTP检测8-ICMP检测8-ICMP错误检测8-即时消息检测8-配置即时消息检测策略映射8-IM检测服务策略8-IP选项检测8-IP选项检测概述8-IP选项检测的默认设置8-IP选项检测8-IP选项检测8-27IPsec检测8-检测概述8-ASACLI 配置IPsec检测8-IPv6检测8-IPv6检测的默认设置8-IPv6检测8-NetBIOS检测8-为其他检测控制配置NetBIOS检测策略映 NetBIOS检测服务策略8-PPTP检测8-SMTPSMTP检测8-36SMTP检测ESMTP检测概述8-37ESMTP检测的默认设置8-37ESMTP检测8-TFTP检测8-第9 语音和协议的检测9-CTIQBE检测9-CTIQBE检测的局限性9-验证和CTIQBE检测9-H.323检测9-H.323检测概述9-H.323如何工作9-H.245消息中H.239支持9-H.323检测的局限性9-H.323检测9-H.323H.225超时值9-验证和H.323检测9-检测9-11检测概述9-11配置检测9-配置超时值9-验证 检测9-RTSP检测9-RTSP检测概述9-RealPlayer配置要求9-RSTP检测的局限性9-RTSP检测9-SIP检测9-SIP检测概述9-ASACLI配置指 SIP检测的局限性9-SIP即时消息9-22默认SIP检测9-22SIP检测9-23SIP超时值9-27验证和SIP检测9-瘦客户端(S)检测9-S检测概述9-支持思科IP9-S检测的局限性9-默认S检测9-配置 （瘦客户端）检 验证 S检测9-语音和协议检测的历史记录9-第10 数据库 协议的检测10-ILS检测10-SQL*Net检测10-SunRPC检测10-SunRPC检测概述10-SunRPC服务10-验证并SunRPC检测10-第11 管理应用协议检测11-DCERPC检测11-DCERPC概述11-DCERPC检测11-GTP检测11-GTP检测概述11-GTP检测的默认设置11-GTP检测11-验证和GTP检测11-RADIUS计费检测11-RADIUS计费检测概述11-RADIUS计费检测11-RSH检测11-SNMP检测11-XDMCP检测11-ASA系CLI配置指 #^_^# 归原作者所有本资料只供试第4部 连接设置和服务质第12 连接设置12-有关连接设置的信息12-TCP和限制半开连接12-因无客户端SSL兼容性而禁用管理数据包的TCP12-死连接检测(DCD)12-TCP序列随机化12-TCP规范化12-TCP状态旁路12-连接设置的要求12-准则和限制12-默认设置12-配置连接设置12-配置连接设置的任务流12-TCP映射TCP规范器12-配置连接设置12-连接设置12-连接设置的配置示例12-连接限制和超时的配置示例12-TCP状态旁路的配置示例12-TCP规范化的配置示例12-连接设置的功能历史12-第13 服务质量13-关于 QoS功能13-什么是令牌桶？13-策略13-优先级队列13-QoS功能如何相互作 DSCP（区分服务）保 QoS准则13-配置 确定优先级队列的队列和传输环路限制13-配置接口的优先级队列13-配置优先级队列和策略的服务规则13-QoS ASACLI配置指 攻城狮(技术+生活) #^_^# 归原作者所有本资料只供试QoS策略统计信息13-QoS优先级统计信息13-QoS优先级队列统计信 优先级队列和策略的配置示例13-流量的类映射示例13-10优先级和策略示例13-QoS的历史记录13-第14 连接和资源故障排除14-测试配置14-启用ICMP调试消息和系统日志消 ASA接口14-2ASA传输流量14-禁用测试配置14-使用traceroute功能确定数据包路 14-使用数据 数据包14-每个进程CPU使用情况14-第5部 高级网络保第15 ASA和思科云15-有关思科云的信息15-网络流量重定向到云15-用户验证和云15-验证密钥15-ScanCenter策略15-云操作15-通过白绕过扫描15-IPv4IPv6支持15-从主用服务器到备用服务器的故障转移15-思科云的证要求15-云先决条件15-准则和限制15-默认设置15-配置思科云15-配置与云服务器的通信15-（多情景模式）根据安全情景允许云15-配置服务策略，将流量发送到云15-ASA系CLI配置指 攻城狮(技术+生活) #^_^# 归原作者所有本资料只供试（可选）配置白流量15-（可选）配置用户15-配置云策略15-云15-思科云配置示例15-单一模式示例15-多模式示例15-白示例15-集成示例15-带的云示例15-相关文档15-功能历史思科云15-第16 检测16-检测16-基础检测统计信息16-高级检测统计信息16-扫描检测16-检测准则16-检测的默认设置16-配置检测16-配置基础检测统计信息16-配置高级检测统计信息16-配置扫描检测16-检测16-基础检测统计信息16-高级检测统计信息16-评估主机检测统计信息16-被避开的主机、者和目标16-检测示例16-检测历史16-第6部 ASA模第17 ASAFirePOWER(SFR)模块17-ASAFirePOWER模块17-ASAFirePOWER模块如何ASA配合使用17-ASAFirePOWER管理权 17-ASACLI配置指 攻城狮(技术+生活) #^_^# 归原作者所有本资料只供试ASA功能的兼容性17-ASAFirePOWER模块的要求17-ASAFirePOWER的准则17-ASAFirePOWER的默认设置17-ASAFirePOWER模块17-连接ASAFirePOWER管理接 17-（ASA5512-X5555-X）安装或重新映像软件模块17-ASAFirePOWERIP地址17-ASAFirePOWERCLI处配置基ASAFirePOWER设置17-向FireSIGHT添加ASAFirePOWER17-14ASAFirePOWER模块上配置安全策略17-15ASAFirePOWER模块重定向流量17-15ASAFirePOWER模块17-重置17-重新加载或重置模块17-关闭模块17-（适用ASA5512-XASA5555-X）卸载软件模块映像17-（ASA5512-XASA5555-X）ASA向模块发起会话17-重新映5585-XASAFirePOWER硬件模块17-升级系统软件17-ASAFirePOWER模块17-21显示模块状态17-显示模块统计信息17-模块连接17-ASAFirePOWER模块的示例17-ASAFirePOWER模块的历史记录17-第18 ASACX模块18-ASACX模块18-ASACX模块ASA配合使用18-ASACX管理18-用于主动活动验证的验证18-ASA功能的兼容性18-5ASACX模块的要求18-5ASACX的先决条件18-5ASACX的准则18-ASACX的默认设置18-ASACX模块18-ASA系CLI配置指 攻城狮(技术+生活) #^_^# 归原作者所有本资料只供试ASACX管理接口18-（适用ASA5512-XASA5555-X）安装或重新映像软件模块18-（适用ASA5585-X）更ASACXIP地址18-ASACX基本设置18-在ASACX模块上配置安全策 配置验证端口18-向ASACX模块重定向流 ASACX模块18-重置18-重新加载或重置模块18-关闭模块18-（ASA5512-XASA5555-X）卸载软件模块映像18-（ASA5512-XASA5555-X）ASA向模块发起会话18-ASACX模块18-19显示模块状态18-显示模块统计信息18-模块连接18-对验证进行故障排除18-ASACX模块的示例18-ASACX模块的历史18-第19 ASAIPS模块19-ASAIPS模块的信息19-ASAIPS模块如何与ASA配合使 操作模式19-使用虚拟传感器19-有关管理权的信息19-ASAIPS模块的要 准则和限制19-默认设置19-ASAIPS模块19-ASAIPS模块的任务流19-ASAIPS管理接口19-ASA向模块发起会话19-（ASA5512-XASA5555-X）启动软件模块19-IPS模块网络设置19-配置ASAIPS模块上的安全策 向安全情景分配虚拟传感器19-ASACLI配置指 攻城狮(技术+生活) #^_^# 归原作者所有本资料只供试ASAIPS模块19-ASAIPS模块19-安装并启动模块上的映像19-关闭模块19-卸载软件模块映像19-重置19-重新加载或重置模块19-ASAIPS模块19-20ASAIPS模块的配置示例19-ASAIPS模块的功能历史记 攻城狮(技术+生活)ASAASA系CLI配置指 归原作者所有本资料只供试读归原作者所有本资料只供试读ASACLI 攻城狮(技术+生活)关于本指南xviixviixvii获取文档和提交服务请求，第xviii文档目的

本指南旨在帮助您使用命令行界面配置思科ASA系列的功能。本指南仅介绍最常见的一通过使用自适应管理器(ASDM)这个基于网络的GUI应用，您也可以配置和ASA。ASDM提供配置向导指导您完成一些常见配置场景，并提供联机帮助以使您获得不常见场景的本指南中，术语 一般适用于所支持的型号，除非另有说明相关文档

有关详细信息，请参阅《思科 系列文档导航》，为 /go/asadocs约本文档使用下列约定：约说粗命令和关键字及用户输入的文本以粗体斜文档标题、新增或强调的术语以及要为其提供值的参数以斜体[方括号中的元素是{x|y|z必选的备选关键字括在大括号内，以竖线攻城狮(技术+生活)[[x|y|z可选的备选关键字括在方括号内，以竖线ASACLI配置指 #^_^# 归原作者所有本资料只供试约说字符不加引号的字符集。将字符串用引号引起来，否则会将字符串和引号视为一个整体。courier字系统显示的终端会话和信息以 字体显示courier命令和关键字及用户输入的文本以 粗体显示courier斜要提供值的参数以courier斜体显示<非打印字符（如）括在尖括号中[系统提示的默认回复括在方括(!)(#) 表示读者需要注意的地方提 表示以下信息有助于您解决问题表示。在这种情况下，操作可表示。在这种情况下，操作可能会导致设备损坏或数据丢失。 搜索工具(BST)、提交服务请求和收集附加信息的详细信息，请参 通过RSS源的方式订阅思科产品文档更新（其中包括所有新的和修改过的思科技术文档），并将相关内容通过阅读器应用直接发送至您的桌面。RSS源是一种免费服务。攻城狮(技术+生活)ASAASACLI配置指 归原作者所有本资料只供试读归原作者所有本资料只供试读 部服务策略和控攻城狮(技术+生活)攻城狮(技术+生活)1使用模块化策略框的服务策略发布日期：2014724更新日期：2014916使用模块化策略框的服务策略给ASA功能配置提供了一致并灵活的方法。例如，您可以使用服TCPTCP应用的超时配置。服务策略由多个应用于第1-1第1-7第1-8页上的服务策略的默认设置第1-10第1-17页上的服务策第1-17页上的服务策略示例（模块化策略框架第1-20关于服务策略以下介绍服务策略的工作原理第1-2页上的服务策略的组成部分第1-31-4第1-页上的服务策略内的第1-页上的应用多项功能操第1-页上的某些功能操作的第1-页上的多项服务策略的ASACLI 1- 第第1 使用模块化策略框的服务策服务策略的组成部分服务策略的关键在于将高级服务应用于您允许的流量。任何被规则允许的流量都可以应用服务策略，从而接受特殊处理，例如被重定向到服务模块，或者运用应用检测。提供以下类型的服ASA接口定向但不流经该设备的管理流量。服务策略映射，这是一组按顺序排列的规则集，根据service- 命令命名。在ServicePolicyRules规则，每条规则都是服务策略映射中的class命令，以及与class命令相关联令。ASDM中，每条规则都显示于不同的行，规则名称为类名称。class与类相关联令，例如inspect和setconnectiontimeout，定义应用于匹配流量的服务和限制。请注意，检测命令可以指向检测策略映射，通过这种方式定义应用于被检测流量的操作。请记住，检测策略映射不同于服务策略映射。CLIASDM中的显示方式进行了对比。请注意，图中编号和CLI中的行之间没有一对一映射关系。以下CLI由上图中显示的:Accesslistsusedinclass:InASDM,thesemaptocall-out3,fromtheMatchtotheTimeaccess-listinside_mpcline1extendedpermittcpanyeqsipaccess-listinside_mpc_1line1extendeddenyudphost5anyeqsnmpaccess-listinside_mpc_1line2extendedpermitudpanyeqsnmpaccess-listinside_mpc_2line1extendedpermiticmpanyany:SNMPmapforSNMPinspection.Deniesallby:InASDM,thismapstocall-out4,ruleactions,fortheclass-insidesnmp-mapsnmp-v3onlydenyversion1denyversion2denyversion2c:InspectionpolicymaptodefineSIP:Thesip-highinspectionpolicymapmustbereferredtobyaninspectsip:intheservicepolicy:InASDM,thismapstocall-out4,ruleactions,forthesip-class-insidepolicy-maptypeinspectsipsip-highASACLI 1- 第第1 使用模块化策略框的服务策rtp-conformanceenforce-payloadtypenotraffic-non-sipsoftware-versionactionmaskloguri-non-sipactionmasklogstate-checkingactiondrop-connectionlogmax-forwards-validationactiondroplogstrict-header-validationactiondroplog:Classmaptodefinetrafficmatchingfortheinside-class:InASDM,thismapstocall-out3,fromtheMatchtotheTimeclass-mapinside-matchaccess-list:Classmaptodefinetrafficmatchingforthesip-class-inside:InASDM,thismapstocall-out3,fromtheMatchtotheTimeclass-mapsip-class-insidematchaccess-listinside_mpc:Classmaptodefinetrafficmatchingfortheinside-class1:InASDM,thismapstocall-out3,fromtheMatchtotheTimeclass-mapinside-matchaccess-list:Policymapthatactuallydefinestheservicepolicyrulesetnamedtest-inside-:InASDM,thiscorrespondstothefolderatcall-outpolicy-maptest-inside-:Firstruleintest-inside-policy,namedsip-class-inside.InspectsSIP:Thesip-class-insideruleappliesthesip-highinspectionpolicymaptoSIP:InASDM,eachrulecorrespondstocall-outclasssip-class-insideinspectsipsip-:Secondrule,inside-class.AppliesSNMPinspectionusinganSNMPclassinside-classinspectsnmpsnmp-v3only:Thirdrule,inside-class1.AppliesICMPclassinside-class1inspecticmp:Fourthrule,class-default.Appliesconnectionsettingsandenablesuserclassclass-setconnectiontimeoutembryonic0:00:30half-closed0:10:00idleresetdcd0:15:00user-statistics:Theservice-policycommandappliesthepolicymaprulesettotheinside:Thiscommandactivatestheservice-policytest-inside-policyinterface使用服务策略配置的功能下表列出了您使用服务策略配置的功能。 使用服务策略配置的功功适用于直通流量？适用于管理流量？请参阅：应用类型（多种类型全部，除记账以RADIUS7章，“”8章，“”第9章，“语音和协议的检测”第10章，“数据库 11章，“”第15章，“ASA和思科云”ASACLI 1- 第第1 使用模块化策略框的服务策 使用服务策略配置的功能（续功适用于直通流量？适用于管理流量？请参阅：ASA是否19章，“ASAIPS”ASA是否18章，“ASACX”ASAFirePOWER(ASA是否17章，“ASAFirePOWER(SFR)”NetFlow安全事件记是是请参阅常规操作配QoS是否13章，“”QoS是否13章，“”TCPUDP连接限制与超时，以及TCP序列号随机化是是12章，“”TCP是否12章，“”TCP是否12章，“”用户统是是请参阅命令参的user-statistics命可以将操作双向或单向应用到流量，具体情况视功能而定。对于双向应用的功能，如果流量在两个方向上都匹配类映射，所有进入或退出应用了策略映射的接口的流量都会受到影响。 当您使用全局策略时，所有功能都是单向的；通常在应用到单一接口时为双向的功能，在全局用时仅应用到每个接口的。因为策略应用到所有接口，所以策略将在两个方向上应用，因此，在这种情况下，双向性是冗余的。QoS优先级队列，仅进入（或退出，具体取决于功能）应用了策略映 功能方向功单一接口方向全局方向应用类型（多种类型双ASA双ASA双ASACX验ASAFirePOWER(ASA双ASA双NetFlow安全事件记无QoSQoS出出QoS出出TCPUDPTCP序双ASACLI 1- 第第1 使用模块化策略框的服务策 功能方向性（续功单一接口方向全局方向TCP双TCP双用户统双服务策略内的功能匹配数据包根据以下规则，匹配策略映射中适用于既定接口的类映射：当数据包匹配某种功能类型的某条类映射时，ASA然而，如果数据包匹配另一种功能类型的某条后续类映射，在支持的情况下 还将为1-6页上的某些功能操作的不兼容性，了解有关不受支持的注 应用检测包括多种检测类型，大部分类型都相互排斥。对于可以组合在一起的检测，每项检测都被视为一项独立功能。数据HTTPHTTP检测的类映射，则第二HTTPFTP检测的类映射，则第二条类映射操作不会被应用，因为HTTP检测和FTP检测不能整合在一起。HTTPIPv6检测的类映射，则两项操作均会被应用，因为IPv6检测可以与任何其他类型的检测整合在一起。应用多项功能操作的顺序不同类型的操作在策略映射中的执行顺序独立于这些操作在策略映射中显示的顺序。按以下顺序执行操作：QoS当ASA执行 服务（例如，AAA或CSC）或者修改TCP负载（例如，FTP当ASA执行 服务（例如，AAA或CSC）或者修改TCP负载（例如，FTP检测）时，TCP规化器在双模式下运行，在 注ASAASACLI 1- 第第1 使用模块化策略框的服务策IP1-6页上的某些功能操作ASAASAASAFirePOWER(ASAQoSQoS注安全事件记用户统计安全事件记用户统计信息不受顺序约束。某些功能对于同一流量互不兼容。下表可能不包含所有不兼容性；有关每项功能兼容性的详细信息，请参阅功能对应的章节：您无法为同一组流量配置QoS优先级队列和QoS策略大部分检测不应与另一项检测整合在一起，因此，如果您为同一流量配置多项检测，ASA仅应用一项检测。HTTP检测可以与云检测整合在一起。其他例外已在第1-5页上的应用多项功能操作的顺序中列出。您无法配置即将发送到多个模块（ASACXASAIPS）HTTPASACXASAFirePOWER云不兼容ASACX或ASAFirePOWER注 在默认全局策略中使用的matchdefault-inspection-trafic命令是一个特殊的CLI快捷方式，用以匹配所有检测的默认端口。在策略映射中使用时，该类映射可以根据流量的目标端口确保应用到每个数据包的检测都正确。例如，当端口69的UDP流量到达ASA时，ASA将应用TFTP检测；当端口21的TCP流量到达时，ASA将应用FTP检测。因此，只有在这种情况下，您才能为同一类映射配置多项检测。通常，ASA不使用端确定应用哪项检测，因此，您可以将检测应用到非标准端口（例如）。该该流量类不检测的默认端口（80和443）错误配置示例：您在同一策略映射中配置多个检测，并且不使用deault-inspection-traic快捷方式。在示例1-1中，错误地为发往端口21的流量配置了FTP和HTTP检测。在示例1-2中，错误地为发往端口80的流量配置了FTP和HTTP检测。在这两种错误配置示例的情况下，仅FTP检测将会被应用，因为以检查被应用的顺序，FTP先于HTTP。示例1- FTP数据包的错误配置：也配置了HTTP检class-mapmatchporttcpeqclass-mapASACLI配置指 1- 1使用模块化策略框的服务策略服务策略准matchporttcpeq21policy-maptestclassftpinspectftpclasshttpinspect示例1- HTTP数据包的错误配置：也配置了FTP检class-mapmatchporttcpeq80class-mapmatchporttcpeq80policy-maptestclassftpinspectftpclasshttpinspecthttp多项服务策略的功能匹配对于TCP和UDP流量（以及启用状态性ICMP检测时的ICMP），服务策略不仅在单个数据包上运行，还在流量上运行。如果流量为现有连接的一部分且该现有连接匹配一个接口上的策略中的某项功能，那么该流量无法匹配另一个接口上的策略中的同一项功能；仅使用第一项策略。例如，如果HTTP流量匹配内部接口上的检查HTTP流量的策略，而且您在HTTP检测的外部接口上有独立策略，该流量也不会在外部接口的出口被检测。同样，该连接的返回流量不会被外部接口的策略检测，也不会被内部接口的出口策略检测。对于未被当作流量处理的流量，例如，不启用状态性ICMP检测时的ICMP，返回流量可以匹配返回接口上的另一个策略映射。例如，如果在内部和外部接口上配置IPS，但内部策略使用虚拟传感器1，同时外部策略使用虚拟传感器2，则非状态性将匹配出站虚拟传感器1，以及匹配入站虚拟传感器2。服务策略准则IPv6支持在以下功能中使用DNS、FTP、HTTP、ICMP、ScanSafe、SIP、SMTP、IPsec-pass- 和 的应用检测ASAASAASANetFlowTCPandUDP连接限制与超时，TCPTCPTCPASACLI 1- 第第1 使用模块化策略框的服务策类映射（流量类）准则所有类型的最大类映射（流量类）255，在多模式下视情景而定。类映射包第3/4层类映射（对于直通流量和管理流量）直接在检测策略映射下使用的match2351-10页策略映射准请参阅下列有关使用策略映射对于每个接口，您只能为分配一个策略映射。然而，您可以在配置中最多创建 个策略映射3/4633/4对于每个类映射，在支持的情况下，您可以从一种或多种功能类型分配多项操作。请参阅第1-6页上的某些功能操作的不兼容性。服务策略准FTP检测全局策略和TCP规范化接口策略，则FTP检测和TCP规范化都会被应用到接口。然而，如果有FTP检测全局策略和FTP检测接口策略，则仅接口策略FTP检测会被应用到接口。1的全局策略和另一个包含功能集2的全局策略。所有功能都必须包含在单一策略中。对配置进行服务策略更改时，所有新的连接都使用新的服务策略。现有连接继续使用在建立连接时配置的策略。show命令输出不包含有关旧连接的数据。例如，如果从某接口移除QoS服务策略，然后添加经修改的版本，showservice-policy命令仅显示与匹配新服务策略的新连接相关联的QoS计数器；旧策略上的现有连接不再在命令输为确保所有连接都使用新策略，您需要断开当前连接，使其能够使用新策略重新连接。使用clearconnclearlocal-host服务策略的默认设置以下介绍服务策略和模块化策略框架的默认设置第1-9页上的服务策略默认配置第1-10页上的默认类映射（流量类ASACLI 1- 1使用模块化策略框的服务策略服务策略的默认设服务策略默认配置默认情况下，配置包含一项策略（全局策略），该策略匹配所有默认应用检测流量并将某些检测应用到所有接口上的流量。默认情况下，并非所有检测都被启用。您只能应用一项全局策略，因此，如果想要调整全局策略，您需要编辑默认策略，或者将其禁用来应用新策略。（对于某项特定功能，接口策略覆盖全局策略。）默认策略包括以下H323H323Skinny(SIP默认策略配置包括class-mapinspection_defaultpolicy-maptypeinspectdnspreset_dns_map umclientauto um512dns-policy-mapglobal_policyclassinspection_defaultinspectdnspreset_dns_mapinspectftpinspecth323h225_default_h323_mapinspecth323ras_default_h323_mapinspectip-options_default_ip_options_mapinspectnetbiosinspectrshinspectrtspinspectskinnyinspectesmtp_default_esmtp_mapinspectsqlnetinspectsunrpcinspecttftpinspectsipinspectxdmcpservice-policyglobal_policyASACLI 1- #^_^# 归原作者所有本资料只供试第第1 使用模块化策略框的服务策配置服务策略 请参阅第1-6页上的某些功能操作的不兼容性，了解有关在默认类映射中使用的特殊matchdefault-inspection-traffic命令的详细信息。默认类映射（流量类该配置包含一个默认的第3/4层类映射（流量类），ASA在叫作default-inspection-trafic的默认全局策略中使用该类映射；它匹配默认检测流量。该类在默认全局策略中使用，是一个用来匹配所有检测的默认端口的特殊快捷方式。在策略中使用时，该类可以根据流量的目标端口，确保应用到每个数据包的检测都正确。例如，当端口69的UDP流量到达ASA时，ASA将应用TFTP检测；当端口21的TCP流量到达时，ASA将应用FTP检测。因此，只有在这种情况下，您才能为同一类映射配置多项检测。通常，ASA不使用端确定应用哪项检测，因此，您可以将检测应用到非标准端口（例如）。class-mapinspection_defaultclass-default，该类映射匹配所有流量。该类映射出现在所有第3/4层策略映射的末尾，实质上要求ASA不要在所有其他流量上执行任何操作。如果需要，您可class-defaultAnymatchanyclass-defaultclass-mapclass-defaultmatchany配置服务策略要使用模块化策略框架配置服务策略，请执行以步骤1 创建第3/4层类映射，识别您想执行操作的流量，如第1-12页上的识别流量（第3/4层类映射）ASA/24到任何目标地址Layer3/4Class Layer3/4Class 步骤 或者，在某些检测流量上执行其他操作如果您想执行的操作之一是应用检测，并想在某些上执行附加操作，请创建检测策略映射。检测策略映射可以识别流量并指定对流量执行的操作。例如，您可能想丢弃所有体长度大于1000字节的HTTP请求ASACLI第第1 使用模块化策略框的服务策InspectionPolicyMapInspectionClassMap/MatchCommands您可以创建一个独立检测策略映射，该映射直接使用match命令识别流量；或者，创建一个可重用或进行更复杂的匹配的检测类映射。例如，您可以使用一个正则表达式或一组正则表达式（一个正则表达式类映射）匹配被检测数据包中的文本，并基于更小的条件范围指定操作。例如，您可能想丢弃所有URL中包含“ ”文本的HTTP请求。InspectionPolicyMapInspectionInspectionClassMap/MatchCommandsRegularExpressionStatement/RegularExpressionClass请参阅第2-4页上的在检测策略映射中定义操作和第2-5页上的在检测类映射中步骤3 创建第3/4层策略映射，定义您想在每个第3/4层类映射上执行的操作，如第1-14页上的定义操作（第3/4层策略映射）中所述。ServiceLayer3/4PolicyServiceConnectionConnectionConnectionASACLI第第1 使用模块化策略框的服务策步骤4 确定您想应用策略映射的接口，或者全局应用策略映射，如第1-16页上的将操作应用到接口（服识别流量（3/4层类映射3/4343/4层策略映射创建多个第3/4层类映射。1-123/41-14CreateaLayer3/4ClassMapforManagement为直通流量创建第3/4层类映射3/4层类映射根据协议、端口、IP34 我们建议您仅检测理应出现应用流量的端口上的流量；如果检测所有流量，例如，使用matchany，ASA性能则将受到影响。操作步骤 创建第3/4层类映射，其中class_map_name是一个长度最多为40个字符的字符串class-map“class-default”。所有类型的类映射都使用同一命名空间，因此，您无法重用已被另一类型的类映射使用的名称。CLI进入类映射配置模式。示例hostname(config)#class-map步骤 （可选）向类映射添加说明description示例hostname(config-cmap)#descriptionAllUDP步骤 使用以下某个命令匹配流量。除非另有规定，您仅能将一 命令包含在类映射中matchany-hostname(config-cmap)#matchmatchaccess-listaccess_list_name-匹配扩展ACL指定的流量。如果ASA正在透明模式下运行，您可以使用以太网类型ACL。hostname(config-cmap)#matchaccess-listmatchport{tcp|udp}{eqport_num|rangeport_numport_num}-TCPUDP目标端matchaccess-list命令，定义一个匹配每个端口的ACE。hostname(config-cmap)#matchtcpeqASACLI1使用模块化策略框的服务策略配置服务策matchdefault-inspection-traffic-匹配检测的默认流量：ASA能够检测的所有应用使用的默认TCP和UDP端口。hostname(config-cmap)#matchdefault-inspection-该命令在默认全局策略中使用，在策略映射中使用时，是一个特殊的CLI快捷方式，可以根据流量的目标端口确保应用到每个数据包的检测都正确。例如，当端口69的UDP流量到达ASA时，ASA将应用TFTP检测；当端口21的TCP流量到达时，ASA将应用FTP检测。因此，仅在这种情况下，您可以为同一类映射配置多个检测（AAS检测除外，该检测可以通过其他检测配置）。请参阅第1-6页上的某些功能操作的不兼容性，了解有关整合操作的详细信息）。通常，ASA不使用端确定应用的检测，因此，您可以将检测应用到非标准端口（例如）7-5NAT限制，查看默认端口列表。默认情况下，不是所有其端口包含在matchdefault-inspection-traffic命令中的应用都在策略映射中启用。您可以指定matchaccess-list命令以及matchdefault-inspection-traffic命令，缩小被匹配流量的范围。因为matchdefault-inspection-traffic命令指定了要匹配的端口和协议，所以ACLmatchdscpvalue1[value2value8]-IPDSCP8DSCPhostname(config-cmap)#matchdscpaf43cs1matchprecedencevalue1[value2][value3][value4]-4IPTOSvalue1value407hostname(config-cmap)#matchprecedence1matchrtpstarting_portrange-RTPstarting_port200065534之间的偶数UDP目标端口。range指定要匹配上述starting_port的额外UDP端口的数量，介于0和16383之间。hostname(config-cmap)#matchrtp4004matchtunnel-groupname-匹配您想应用QoS的隧道组流量您还可以指定另一个match命令，细化流量匹配。您可以指定上述命令中除matchany、matchaccess-listmatchdefault-inspection-traffic之外的的任意命令。或者，您还可以输入matchflowipdestination-address命令，匹配隧道组中流向每个IP地址的流。hostname(config-cmap)#matchtunnel-groupgroup1hostname(config-cmap)#matchflowipdestination-address示下面是一个class-map命令示例hostname(config)#access-listudppermitudpanyhostname(config)#access-listtcppermittcpanyhostname(config)#access-listhost_foopermitipanyhostname(config)#class-maphostname(config-cmap)#description"Thisclass-mapmatchesallUDPhostname(config-cmap)#matchaccess-listhostname(config-cmap)#class-maphostname(config-cmap)#description"Thisclass-mapmatchesallTCPhostname(config-cmap)#matchaccess-listASACLI第第1 使用模块化策略框的服务策hostname(config-cmap)#class-maphostname(config-cmap)#description"Thisclass-mapmatchesallHTTPhostname(config-cmap)#matchporttcpeqhostname(config-cmap)#class-maphostname(config-cmap)#description"Thisclass-mapmatchesalltraffictoserverhostname(config-cmap)#matchaccess-listCreateaLayer3/4ClassMapforManagement对于流向ASA的管理流您可能想执行特定于该类流量的操作。您可以指定能够匹配ACL、TCP或UDP端口的管理类映射。策略映射中管理类映射的可用操作类型专门用于管理流量。请参阅第1-3页上的使用服务策略配置的功能。操作步骤 创建管理类映射，其中class_map_name是一个长度最多为40个字符的字符串class-maptypemanagement“class-default”。所有类型的类映射都使用同一命名空间，因此，您无法重用已被另一类型的类映射使用的名称。CLI进入类映射配置模式。示例hostname(config)#class-map步骤 （可选）向类映射添加说明description示例hostname(config-cmap)#descriptionAllUDP步骤 使用以下某个命令匹配流量matchaccess-listaccess_list_name-匹配扩展ACL指定的流量。如果ASA正在透明模式下运行，您可以使用以太网类型ACL。hostname(config-cmap)#matchaccess-listmatchport{tcp|udp}{eqport_num|rangeport_numport_num}-TCPUDP目标端matchaccess-list命令，定义一个匹配每个端口的ACE。hostname(config-cmap)#matchtcpeq定义操作（3/4层策略映射配置第3/4层类映射识别流量之后，使用第3/4层策略映射将操作与这些类关联起来。提 策略映射最大数量为 个，但每个接口只能应用一个策略映射ASACLI1使用模块化策略框的服务策略配置服务策操作步骤 添加策略映射policy-mappolicy_map_name是策略映射名称，长度最多40个字符。所有类型的策略映射都使用同一命名空间，因此，您无法重用已被另一类型的策略映射使用的名称。CLI将进入策略映射配置模式。hostname(config)#policy-map步骤 指定先前配置的第3/4层类映射，其中class_map_name是类映射名称class请参阅第1-12页上的识别流量（第3/4层类映射），添加 如果类映射中没有 命令，则最多允许在该类下配置一inspectclasshostname(config-pmap)#descriptionglobalpolicy步骤 为该类映射指定一项或多项操作请参阅第1-3页上的使用服务策略配置的功能。步骤 为想添加到策略映射中的每个类映射重复此流程示下面是接策略的policy-map命令示例。该命令限制允许连到网络服务器的连接的hostname(config)#access-listhttp-serverpermittcpanyhosthostname(config)#class-maphttp-hostname(config-cmap)#matchaccess-listhttp-hostname(config)#policy-mapglobal-hostname(config-pmap)#descriptionThispolicymapdefinesapolicyconcerningconnectiontohttpserver.hostname(config-pmap)#classhttp-hostname(config-pmap-c)#setconnectionconn-max以下示例显示多匹配在策略映射中的工作原理hostname(config)#class-mapinspection_defaulthostname(config-cmap)#matchdefault-inspection-traffichostname(config)#class-maphttp_traffichostname(config-cmap)#matchporttcpeq80hostname(config)#policy-mapoutside_policyhostname(config-pmap)#classinspection_defaulthostname(config-pmap-c)#inspecthttphttp_maphostname(config-pmap-c)#inspectsiphostname(config-pmap)#classhttp_traffichostname(config-pmap-c)#setconnectiontimeoutidleASACLI第第1 使用模块化策略框的服务策以下示例显示流量如何匹配第一个可用的类映射，并且将不会匹配在同能域中指定操作的任何后续类映射：hostname(config)#class-map hostname(config-cmap)#matchporttcpeq23hostname(config)#class-mapftp_traffichostname(config-cmap)#matchporttcpeq21hostname(config)#class-maptcp_traffichostname(config-cmap)#matchporttcprange165535hostname(config)#class-mapudp_traffichostname(config-cmap)#matchportudprange065535hostname(config)#policy-mapglobal_policyhostname(config-pmap)#class hostname(config-pmap-c)#setconnectiontimeoutidle0:0:0hostname(config-pmap-c)#setconnectionconn-max100hostname(config-pmap)#classftp_traffichostname(config-pmap-c)#setconnectiontimeoutidle0:5:0hostname(config-pmap-c)#setconnectionconn-max50hostname(config-pmap)#classtcp_traffichostname(config-pmap-c)#setconnectiontimeoutidlehostname(config-pmap-c)#setconnectionconn-max net连接被发起时，它将匹配class net_traffic。同样，如果某个FTP连接被发起，它将匹配classftp_traffic。对于 net和FTP以外的任何TCP连接，它将匹配classtcp_traffic。 net或FTP连接可以匹配classtcp_traffic，但ASA不会进行这种匹配，因为这些连接之将操作应用到接口（服务策略3/4层策略映射，请创建一项将其应用到一个或多个接口或将其全局应用到所有接口的service-policypolicy_map_name{global|interfaceinterface_name}[fail-其中 您只能应用一项全局策略，因此，如果想要调整全局策略，您需要编辑默认策略，或者将其禁用来应用新策略。默认情况下，此配置包含一项全局策略，该策略匹配所有默认应用检测流量并将检测全局应用到流量。默认服务策略包含以下命令：service-policyglobal_policyglobal。 fail-close为不支IPv6流量的应用检测丢弃IPv6流量生成系统日(767001)。默认情况下，不生成系统日志。有关支持IPv6的检测列表的详细信息，请参阅第1-7页上的IPv6准则。示例如，以下命令可以在外部接口上启用 策略映射hostname(config)#service-policyinbound_policyinterfaceASAnew_global_policy的新全hostname(config)#noservice-policyglobal_policyhostname(config)#service-policynew_global_policyASACLI第第1 使用模块化策略框的服务策服务策略要服务策略，请输入以下命令showservice-系统将显示服务策服务策略示例（模块化策略框架本章节包括若干模块化策略框第1-17页上的将检测和QoS策略应用到HTTP流1-18HTTP第1-18页上的将检测和连接限制应用到流向特定服务器的HTTP1-19NATHTTP将检测和QoS策略应用到HTTP流ASAHTTP连接（80TCP流量）HTTP检测进行分类。任何退出外部接口的 流量针对策略进行分类 HTTP检测和QoS策portportHostHost请见以下适用于本示例令hostname(config)#class-maphostname(config-cmap)#matchporttcpeqhostname(config)#policy-maphttp_traffic_policyhostname(config-pmap)#classhttp_traffichostname(config-pmap-c)#inspecthttphostname(config-pmap-c)#output250000hostname(config)#service-policyhttp_traffic_policyinterfaceASACLI第第1 使用模块化策略框的服务策服务策略示例（模块化策略框架将检测全局应用到HTTP流量在本例中，任何通过任何接口进入ASA的HTTP连接（端口80上的TCP流量）都针对HTTP检 全局HTTP检insp.portHostport80Host请见以下适用于本示例令hostname(config)#class-maphostname(config-cmap)#matchporttcpeqhostname(config)#policy-maphttp_traffic_policyhostname(config-pmap)#classhttp_traffichostname(config-pmap-c)#inspecthttphostname(config)#service-policyhttp_traffic_policy将检测和连接限制应用到流向特定服务器的HTTP在本例中，任何以服务器A为目标的通过外部端口进入ASAHTTP连接（端口80TCP流量）都针对HTTP检测和最大连接限制进行分类。从服务器A发起到主机A的连接不匹配类映射中的ACL，因此，这些连接不会受到影响。BASAHTTPHTTP检测进行分类。从服务器B发起到主机B的连接不匹配类映射中的ACL，因此，这些连接不会受到影响。 特定服务器的HTTP检测和连接限ServerRealAddress:MappedAddress:

port setHostAHostRealAddress:

port

ServerBMappedAddress:ASACLI第第1 使用模块化策略框的服务策服务策略示例（模块化策略框架请见以下适用于本示例令hostname(config)#objectnetworkobj-hostname(config-network-object)#hosthostname(config-network-object)#nat(inside,outside)statichostname(config)#objectnetworkobj-hostname(config-network-object)#subnethostname(config-network-object)#nat(inside,outside)dynamichostname(config)#access-listserverAextendedpermittcpanyhosteq80hostname(config)#access-listServerBextendedpermittcpanyhost27eq80hostname(config)#class-maphttp_serverAhostname(config-cmap)#matchaccess-listserverAhostname(config)#class-maphttp_serverBhostname(config-cmap)#matchaccess-listserverBhostname(config)#policy-mappolicy_serverAhostname(config-pmap)#classhttp_serverAhostname(config-pmap-c)#inspecthttphostname(config-pmap-c)#setconnectionconn-max100hostname(config)#policy-mappolicy_serverBhostname(config-pmap)#classhttp_serverBhostname(config-pmap-c)#inspecthttphostname(config)#service-policypolicy_serverBinterfacehostname(config)#service-policypolicy_serverAinterface通过NAT将检测应用HTTP在本例中，内部网络上的主机有两个地址：一个是实际地址，另一个是在外部网络上使用的映射IP地址25。在类映射中的ACL中，必须使用实际IP地址。如果已将其 通过NAT进行的HTTP检portportRealIP:

MappedIP:请见以下适用于本示例令hostname(config)#objectnetworkobj-hostname(config-network-object)#hosthostname(config-network-object)#nat(VM1,outside)statichostname(config)#access-listhttp_clientextendedpermittcphostanyeqhostname(config)#class-maphostname(config-cmap)#matchaccess-listASACLI #^_^# 归原作者所有本资料只供试第第1 使用模块化策略框的服务策服务策略历史hostname(config)#policy-maphttp_clienthostname(config-pmap)#classhttp_clienthostname(config-pmap-c)#inspecthttphostname(config)#service-policyhttp_clientinterface服务策略历史功能名称版说模块化策略框架引入了模块化策略与RADIUS记账流量一起使用的RADIUS记账流量一起使用。引入了以下命令：class-maptypemanagement和inspect检测typeinspect。正则表达式和策略映射引入了正则表达式和策略映射，在检测策略映射下使用。引入了以下命令：class-maptyperegex、regex、matchregexmatchany引入了关键字matchany，与检测策略映射一起使用：matchall命令可用。攻城狮(技术+生活)ASACLI配置指2应用检测的特殊操作（检测策略映射您可以使用模块化策略框架为许多应用检测配置特殊操作。当您在第3/4层策略映射中启用检测引擎时，或者还可以启用在检测策略映射中定义的操作。当检测策略映射与第3/4层策略映射中定义了检测操作的流量匹配时，将根据指定的操作处理该流量的子集（例如，丢弃或限制速率）。第2-12-2第2-3页上的默认检测策略映射第2-4页上的第2-5第2-7页上的信息指第2-7检测策略映射有关信息有关支持检测策略映射的应用列表，请参阅 7- 页上的配置应用层协议检测检测策略映射由下列一个或多个要素组成 检测策略映射的确切可用选项视应用而定-条件相匹配，例如URL字符串，然后为流量启用操作。–某些流量匹配命令可以指定正则表达式，以匹配数据包中的文本。请务必在配置策略映检测类映射包括多个流量匹配命令。然后，在策略映射中识别类映射，并针对整参数-ASACLI 2- 第第2 应用检测的特殊操作（检测策略映射准则和限制HTTP-HTTP(policy-maptypeinspecthttp)，您必须移除并重新应用inspecthttpmap操作，才能使更改生效。例如，如果