ASAPIX8.x允许阻拦FTP站点使用有MPF的常.PDFVIP

ASA/PIX 8.x：允许/阻拦FTP站点使用有MPF的常 规表达配置示例 目录 简介 先决条件 要求 使用的组件 规则 背景信息 模块化策略框架概述 正则表达式 配置 网络图 配置 ASA CLI 配置 ASA 配置 8.x 与 ASDM 6.x 验证 故障排除 相关信息 简介 本文档描述了如何配置 Cisco 安全设备 ASA/PIX 8.x，以便通过模块化策略框架 (MPF)，使用正则 表达式按服务器名称阻止或允许某些 FTP 站点。 先决条件 要求 本文档假设 Cisco 安全设备已经过配置并工作正常。 使用的组件 本文档中的信息基于以下软件和硬件版本： 以后Cisco 5500系列可适应的安全工具(ASA)该运行软件版本8.0(x)和 ASA的8.x Cisco Adaptive Security Device Manager (ASDM) 6.x版 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 背景信息 模块化策略框架概述 MPF 提供一种一致且灵活的配置安全设备功能的方式。例如，您可以使用 MPF 创建仅适用于特定 TCP 应用程序的超时配置，而非适用于所有 TCP 应用程序的配置。 MPF 支持以下功能： TCP 标准化、TCP 和 UDP 连接限制和超时以及 TCP 序列号随机化 CSC 应用程序检查 IPS QoS输入策略 QoS 输出管制 QoS 优先级队列 MPF 的配置包括四项任务： 1. 识别需要应用操作的第 3 层和第 4 层流量。有关详细信息，请参阅使用第 3 层/第 4 层类映射 识别流量。 2. （仅限应用程序检查。）定义针对应用程序检查流量的特殊操作。有关详细信息，请参阅配置 特殊的应用程序检查操作。 3. 将操作应用于第 3 层和第 4 层流量。有关详细信息，请参阅使用第 3 层/第 4 层策略映射定义 操作。 4. 在接口上激活操作。有关详细信息，请参阅使用服务策略将第 3 层/第 4 层策略应用到接口。 正则表达式 正则表达式可以逐字匹配某个具体的文本串，也可以使用元字符来匹配文本串的多个变体。您可以 使用正则表达式来匹配某个应用流量的内容。例如，您可以匹配 HTTP 数据包中的 URL 字符串。 注意： 请使用 Ctrl+V 在 CLI 中对所有特殊字符进行转义，例如问号 (?) 或制表符。例如，键入 d[Ctrl+V]g 以便在配置中输入 d?g。 要创建正则表达式，请使用 regex 命令。此外，regex 命令还可用于各种需要进行文本匹配的功能 。例如，您可以通过 MPF（使用检查策略映射）对特定操作进行配置，使之适合于应用程序检查。 有关详细信息，请参阅 policy-map type inspect 命令。 在检查策略映射中，如果您创建包含一个或多个 match 命令的检查类映射，则可以识别出要采取操 作的流量，也可以直接在检查策略映射中使用 match 命令。有些 match 命令可以使用正则表达式来 识别数据包中的文本。例如，您可以匹配 HTTP 数据包中的 URL 字符串。您可以将正则表达式分 组到正则表达式类映射中。有关详细信息，请参阅 class-map type regex 命令。 下表列出了有特殊含义的元字符。 字 说明 备注 符 与任意单个字符相匹配。例如，d.g 匹配 . 点 dog、dag、dtg 和任何包含这些字符的单 。 词，如 doggonnit。 子表达式将字符与其周围的字符分隔开 ，以便在子表达式上使用其它元字符。例 (e 如，d(o|a)g 匹配 dog 和 dag，而|ag 匹配 xp 子表达式 do 和 ag。子表达式也用重复量词来区分用 ) 于重复的字符。例如，ab(xy){3}z 匹配