码迷,mamicode.com
首页 > 其他好文 > 详细

ASA Modular Policy Framework_04

时间:2016-06-15 11:03:24      阅读:332      评论:0      收藏:0      [点我收藏+]

标签:asa 安全 防火墙

MPF

 class-map:什么流量

    3-4层:源目ip,协议号,端口

    5-7层:应用层http ftp telnet

 policy-map:做什么动作

     3-4层:较简单

    5-7层:限速,屏蔽关键字,比较复杂

 service-map:在哪里 匹配哪个class 执行哪个policy


class-map

ASA(config)# class-map 3-4 
ASA(config-cmap)# match ?

mpf-class-map mode commands/options:
  access-list                 Match an Access List
  any                         Match any packet
  default-inspection-traffic  Match default inspection traffic: 
                              ctiqbe----tcp--2748      dns-------udp--53       
                              ftp-------tcp--21        gtp-------udp--2123,3386
                              h323-h225-tcp--1720      h323-ras--udp--1718-1719
                              http------tcp--80        icmp------icmp          
                              ils-------tcp--389       ip-options-----rsvp     
                              mgcp------udp--2427,2727 netbios---udp--137-138  
                              radius-acct----udp--1646 rpc-------udp--111      
                              rsh-------tcp--514       rtsp------tcp--554      
                              sip-------tcp--5060      sip-------udp--5060     
                              skinny----tcp--2000      smtp------tcp--25       
                              sqlnet----tcp--1521      tftp------udp--69       
                              waas------tcp--1-65535   xdmcp-----udp--177      
  dscp                        Match IP DSCP (DiffServ CodePoints)    //ip包中tos里的字段
  flow                        Flow based Policy            //定义流
  port                        Match TCP/UDP port(s)        
  precedence                  Match IP precedence
  rtp                         Match RTP port numbers     //语音流量(ip udp rtp video/audio)
  tunnel-group                Match a Tunnel Group      //IPSec的tunnel里每条流(流由上面的flow 定义)的流量

flow与tunnel-group示例:将tunnel里的每条流(以不同目的ip区分流)限速56k

技术分享


policy-map

为每一个流量定义行为

    • 发送流量到AIP㏒SM

    • 发送流量到CSC㏒SM

    • 发送Netflow信息

    • Qos对流量优先处理

    • Qos对流量进行police或shape处理

    • 运用层监控

    • 配置高级连接设置

全局和每一个接口只能配置一个policy map

在一个policy map中,行为处理的顺序如下。
    QoS 入方向流量的policing
    高级连接设置
    CSC‐SSM
    运用层监控
    AIP‐SSM
    QoS 出方向流量的policing
    QoS 优先级队列

    QoS 流量shaping

Service Policy
1.运用policy map到一个接口,或者全局运用到所有接口
2.策略的方向基于policy map的运用
    每接口:归类和行为被运用到两个方向上
    全局:归类和行为被运用到所有接口的入方向

    policing(出入都可), shaping(出)和priority(出)例外

MPF对网管流量的控制

1.网络策略仅仅只控制穿越的流量
2.使用管理策略来控制抵达ASA的流量
3.只有一部分匹配功能可以使用
4.只有一部分行为可以使用
ASA(config)# class-map type management Management_Telnet_Traffic
ASA(config-cmap)# match port tcp eq telnet
ASA(config-cmap)# exit
ASA(config)# policy-map inside       //这个inside是个名字,由于一个接口只能用一个policy,取名方便识别
ASA(config-pmap)# class Management_Telnet_Traffic
ASA(config-pmap-c)# set connection conn-max 1 embryonic-conn-max 0 //最大连接数为1,半连接数无限制
ASA(config-pmap-c)# exit
ASA(config)# service-policy inside interface inside     //第一个inside是名字
ASA(config)# telnet 0 0 inside         //开启Telnet
ASA(config)# passwd cisco                //远程登录需要密码
.................待续

本文出自 “Try” 博客,请务必保留此出处http://beening.blog.51cto.com/9079117/1789357

ASA Modular Policy Framework_04

标签:asa 安全 防火墙

原文地址:http://beening.blog.51cto.com/9079117/1789357

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!