MPF中应用层协议的检测 在ASA中默认有 policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp service-policy global_policy global

先定义一个七层的policy-map policy-map type inspect dns preset_dns_map parameters message-length maximum 512 然后再在普通policy-map中调用 policy-map global_policy class inspection_default inspect dns preset_dns_map

示例1 需求： DNS控制： 1.DNS id随机扰乱 2.inspect message format HTTP控制： 1.HTTP request header gt 4096–drop-connection

解法： DNS控制 如上所示，在show run中有这样的显示 policy-map type inspect dns preset_dns_map parameters message-length maximum 512 直接进去修改dns的参数即可 ASA(config)# policy-map type inspect dns preset_dns_map ASA(config-pmap)# parameters ASA(config-pmap-p)# id-randomization //DNS id随机扰乱 ASA(config-pmap-p)# protocol-enforcement //inspect message format，这个是默认参数，所以在show run中是不显示的 系统默认就有 policy-map global_policy class inspection_default inspect dns preset_dns_map 所以无需自己在普通policy-map调用

http控制 ASA(config)# policy-map type inspect http chttp ASA(config-pmap)# match request header length gt 4096 ASA(config-pmap-c)# drop-connection 默认的没有在普通policy-map调用，需要自己手动调用 ASA(config)# policy-map global_policy ASA(config-pmap)#class inspection_default ASA(config-pmap-c)# inspect http chttp

示例2 监控ESMTP包头大于4096的drop connection 运行在global_policy ASA(config)# policy-map type inspect esmtp cesmtp ASA(config-pmap)# match header length gt 4096 ASA(config-pmap-c)# drop-connection 再在普通policy-map中调用，注意：在global_policy中已经inspect estmp了，需要先no掉 ASA(config)# policy-map global_policy ASA(config-pmap)# class inspection_default ASA(config-pmap-c)# no inspect esmtp ASA(config-pmap-c)# inspect esmtp cesmtp

Windows Server 2003 更新程序 (KB922706)

• Windows Server 2003 更新程序 (KB922706)