思科ASA系统MPF框架介绍(之二)

接上文?

  • 三、应用/Service(启用策略服务)

3.1定义应用服务
命令:service-policy policymap_name
视图:pmap-c视图
说明: 为本match匹配的流量启用policymap_name指定的策略。

3.2启动应用服务
命令:service-policy policymap_name? global | interface intf
视图:全局视图
说明: 为指定的接口启用policymap_name指定的策略。global表示为所有的接口启用该policy。

3.3默认策略介绍

默认策略,初始化配置下show service-policy可以看到系统的默认MPF策略: Continue reading

思科ASA系统MPF框架介绍(之一)

MPF(Modular Policy Framework, 模块式策略框架)是思科ASA7.0版本引入的一套“对报文按规则分类并针对各分类灵活的应用不同策略”的机制。它由三部分组成,分类(class)、策略(policy)和应用(service),其中分类是将报文分类的机制,定义各种灵活的规则将报文划分为不同的“流”;策略是对“流”采取的“动作”;应用(service)是将策略在可指定的位置启用起来。思科ASA7.0版本之后的各种filter过滤功能和Inspect(即fixup)功能开始切换到这一框架之中实现并且功能上得到很大的强化和丰富(旧版本的fixup和filter过滤命令依然存在,以向后兼容)。Adreaman尝试通过本文对这一框架机制进行概要地基础性分析和总结。 Continue reading

思科ASA防火墙filter命令配置与功能介绍

思科的filter过滤可以分为内容过滤和URL地址过滤两个大的方面。

内容过滤包括ActiveX和JavaApplet的过滤,功能是阻止用户浏览器获取到HTML标准的网页中的ActiveX控件或JavaApplet小程序,因为这些控件可能会在浏览器客户端运行而带来不可预知的风险。

先来了解一下HTMl中包含ActiveX和JavaApplet等对象的标准,只有知道他的标准格式,才能对其进行完美的过滤。 Continue reading