配置webmessenger
webmessenger 时间:2021-05-25 阅读:()
CiscoConfigurationProfessional:阻拦对等数据流配置示例的基于区域的防火墙ContentsIntroductionPrerequisitesRequirements运行CiscoCP的路由器配置ComponentsUsedConventions背景信息ConfigureNetworkDiagram配置通过CiscoConfigurationProfessionalZFW路由器命令行配置VerifyRelatedInformationIntroduction本文提供一逐步方法配置CiscoIOS路由器作为一基于区域的防火墙阻塞对等(P2P)数据流通过使用CiscoConfigurationProfessional的(CiscoCP)先进的防火墙配置向导.
区域策略防火墙(也称为区域-策略防火墙,简称ZFW)弃用了传统的基于接口的防火墙配置模型,而改用更加灵活并且易于理解的区域模型.
这种模型首先将接口指定给区域,然后对区域之间往来的数据流应用检查策略.
区域之间策略提供严重的灵活性和粒度.
所以,不同的检查策略可以被运用于多台主机组被连接到同一路由器接口.
区域建立了网络的安全边界.
区域定义了数据流在流向网络中其他区域的过程中受策略限制的边界.
ZFW的默认区域间策略是"全部拒绝".
如果未明确配置任何策略,则将阻止所有数据流在区域间移动.
P2P应用程序是某些在互联网的最用途广泛的应用程序.
P2P网络能作为有恶意的威胁的一conduit例如蠕虫,提供一条容易的路径在防火墙附近和导致对保密性和安全的关心.
CiscoIOSSoftwareRelease12.
4(9)T引入P2P应用程序的ZFW技术支持.
P2P检查提供应用数据流的Layer4和第七层策略.
这意味着ZFW能提供基本的状态检测允许或否决数据流,以及在特殊活动的粒状第七层控制在多种协议,因此某些应用程序活动允许,当其他被拒绝时.
CiscoCP提供一易执行的,逐步方法配置IOS路由器作为一基于区域的防火墙通过使用先进的防火墙配置向导.
PrerequisitesRequirements尝试进行此配置之前,请确保满足以下要求:IOS路由器必须有软件版本作为12.
4(9)T或以上.
q关于支持CiscoCP的IOS路由器型号,请参见CiscoCPReleaseNotes.
q运行CiscoCP的路由器配置Note:执行这些配置步骤为了运行在Cisco路由器的CiscoCP:Router(config)#iphttpserverRouter(config)#iphttpsecure-serverRouter(config)#iphttpauthenticationlocalRouter(config)#usernameprivilege15password0Router(config)#linevty04Router(config-line)#privilegelevel15Router(config-line)#loginlocalRouter(config-line)#transportinputtelnetRouter(config-line)#transportinputtelnetsshRouter(config-line)#exitComponentsUsed本文档中的信息基于以下软件和硬件版本:运行IOS软件版本12.
4(15)T的Cisco1841IOSRouterqCiscoConfigurationProfessional(CiscoCP)版本2.
1qTheinformationinthisdocumentwascreatedfromthedevicesinaspecificlabenvironment.
Allofthedevicesusedinthisdocumentstartedwithacleared(default)configuration.
Ifyournetworkislive,makesurethatyouunderstandthepotentialimpactofanycommand.
Conventions有关文档规则的详细信息,请参阅Cisco技术提示规则.
背景信息对于本文的示例,路由器被配置作为一基于区域的防火墙阻塞P2P数据流.
ZFW路由器有两个接口、一个inside(trusted)接口在区域和一个外部(不信任的)接口在外区域.
ZFW路由器阻拦P2P应用程序例如edonkey、fasttrack、gnutella和kazaa2与记录动作从区域通过到外区域的数据流的.
Configure本部分提供有关如何配置本文档所述功能的信息.
Note:使用命令查找工具(仅限注册用户)可获取有关本部分所使用命令的详细信息.
NetworkDiagram本文档使用以下网络设置:配置通过CiscoConfigurationProfessional此部分包含关于怎样的逐步程序使用向导配置IOS路由器作为一基于区域的防火墙.
完成这些步骤:去配置>Security>防火墙和ACL.
然后,请选择先进的防火墙单选按钮.
单击Launchtheselectedtask.
1.
此Next屏幕显示关于防火墙向导的简要简介.
在开始配置防火墙旁边点击.
2.
选择路由器的接口是区域的一部分并且其次点击.
3.
默认策略以与一组命令一起的高安全性在Next窗口显示.
点击接近进行.
4.
输入DNS服务器的详细资料并且其次点击.
5.
CiscoCP提供一个配置汇总例如显示的那个这里.
点击完成完成配置.
6.
详细配置汇总在此表里提供.
这是默认配置根据CiscoCP的高安全策略.
检查保存运行配置到路由器的启动配置复选框.
点击传送发送此配置到路由器.
整个配置被提供到路由器.
这采取一些时间处理.
7.
点击OK键进行.
8.
再点击OK键.
9.
配置实际上当前是和显示作为在防火墙策略选项下的规则.
他们是关联的与区域对一起的区域可以查看,如果去配置>Security>Advanced安全>区域.
您能通过点击也添加新的区域通过点击添加或者修改现有的区域编辑.
10.
去配置>Security>Advanced查看安全>区域的对区域对的详细资料.
关于怎样的即时帮助修改/添加/删除区域/区域对,并且其他相关信息是可用的与在CiscoCP的内置的网页.
11.
为了修改某些P2P应用程序的有特殊用途的检查功能,请去Configuration>安全>防火墙和ACL.
然后,请点击编辑防火墙策略并且选择在策略映射的各自规则.
点击编辑.
12.
这显示默认情况下封锁的配置的当前P2P应用程序.
您能使用添加,并且去除按钮添加/请删除特定应用程序.
此屏幕画面显示如何添加winmx应用程序阻拦那.
13.
而不是选择下落动作,您能也选择检查操作适用深度信息包检验的不同的选项.
14.
P2P检查提供应用数据流的Layer4和第七层策略.
这意味着ZFW能提供基本的状态检测允许或否决数据流,以及在特殊活动的粒状第七层控制在多种协议,因此某些应用程序活动允许,当其他被拒绝时.
在此应用检查,您能运用不同种类的P2P应用程序的特定报头级别检验.
gnutella的一个示例其次显示.
检查P2P选项并且点击创建为了创建此的一新的策略映射.
15.
创建深度信息包检验的一新的策略映射gnutella协议的.
点击添加然后选择新的类映射.
16.
给予一个新名字对于class-map并且点击添加指定匹配标准.
17.
因为使用的匹配标准和字符串是.
exe,请使用文件传输.
这表明包含数据流策略的所有gnutella文件传输连接.
exe字符串匹配.
单击Ok.
18.
再点击OK键完成等级映射配置.
19.
选择重置或允许选项,取决于您的公司安全策略.
点击OK键确认与策略映射的动作.
20.
用同样这样您能添加其他策略映射通过指定不同的常规表达式实现其他P2P协议的深刻的检查功能作为匹配标准.
Note:P2P应用程序很难检测到,这是因为它们采用了"端口跳变"以及其他一些技巧以避免检测,同时P2P应用程序的频繁更改和更新也引入了一些问题,因为它们会修改协议的行为.
ZFW与基于网络应用的识别(NBAR)'s结合本地防火墙状态检测数据流识别功能提供P2P应用程序控制.
Note:P2P应用程序检查为第4层检查支持的部分应用程序提供了特定于应用程序的功能:edonkeyfasttrackgnutellakazaa2Note:目前,ZFW没有检查一个的选项"bittorrent"应用数据流.
BitTorrent客户端与跟踪仪(对等体目录服务器)通常沟通通过运作在若干非标准端口的HTTP.
此端口一般是TCP6969,但您可能需要检查torrent专用的tracker端口.
如果希望允许BitTorrent,适应额外端口的佳方法是配置HTTP作为其中一matchprotocol和添加TCP6969到HTTP使用此ipport-map命令:ipport-mapHTTP端口tcp6969.
您需要将http和bittorrent定义为在类映射中应用的匹配条件.
点击OK键完成先进的检查配置.
21.
对应的一组命令被提供到路由器.
点击OK键完成复制一组命令到路由器.
22.
您能遵守新的规则发生从编辑防火墙策略选项下配置>Security>防火墙和ACL.
23.
ZFW路由器命令行配置在前面的部分的配置从CiscoCP导致在ZFW路由器的此配置:ZBF路由器ZBF-Router#showrunBuildingconfiguration.
.
.
Currentconfiguration:9782bytes!
version12.
4servicetimestampsdebugdatetimemsecservicetimestampslogdatetimemsecnoservicepassword-encryption!
hostnameZBF-Router!
boot-start-markerboot-end-marker!
loggingbuffered51200warnings!
noaaanew-modelipcef!
!
!
!
ipname-server10.
77.
230.
45!
multilinkbundle-nameauthenticatedparameter-maptypeprotocol-infomsn-serversservernamemessenger.
hotmail.
comservernamegateway.
messenger.
hotmail.
comservernamewebmessenger.
msn.
comparameter-maptypeprotocol-infoaol-serversservernamelogin.
oscar.
aol.
comservernametoc.
oscar.
aol.
comservernameoam-d09a.
blue.
aol.
comparameter-maptypeprotocol-infoyahoo-serversservernamescs.
msg.
yahoo.
comservernamescsa.
msg.
yahoo.
comservernamescsb.
msg.
yahoo.
comservernamescsc.
msg.
yahoo.
comservernamescsd.
msg.
yahoo.
comservernamecs16.
msg.
dcn.
yahoo.
comservernamecs19.
msg.
dcn.
yahoo.
comservernamecs42.
msg.
dcn.
yahoo.
comservernamecs53.
msg.
dcn.
yahoo.
comservernamecs54.
msg.
dcn.
yahoo.
comservernameads1.
vip.
scd.
yahoo.
comservernameradio1.
launch.
vip.
dal.
yahoo.
comservernamein1.
msg.
vip.
re2.
yahoo.
comservernamedata1.
my.
vip.
sc5.
yahoo.
comservernameaddress1.
pim.
vip.
mud.
yahoo.
comservernameedit.
messenger.
yahoo.
comservernamemessenger.
yahoo.
comservernamehttp.
pager.
yahoo.
comservernameprivacy.
yahoo.
comservernamecsa.
yahoo.
comservernamecsb.
yahoo.
comservernamecsc.
yahoo.
comparameter-maptyperegexccp-regex-nonasciipattern[^\x00-\x80]!
!
!
cryptopkitrustpointTP-self-signed-1742995674enrollmentselfsignedsubject-namecn=IOS-Self-Signed-Certificate-1742995674revocation-checknonersakeypairTP-self-signed-1742995674!
!
cryptopkicertificatechainTP-self-signed-1742995674certificateself-signed0230820242308201ABA003020102020102300D06092A864886F70D01010405003031312F302D06035504031326494F532D53656C662D5369676E65642D43657274696669636174652D31373432393935363734301E170D3130313132363130333232315A170D3230303130313030303030305A3031312F302D06035504031326494F532D53656C662D5369676E65642D43657274696669636174652D3137343239393536373430819F300D06092A864886F70D010101050003818D0030818902818100A84A980D15F06A6B5F1B5A3359DE5D552EFEFAA8079BDA927DA24AF210F0408131CEBB5B0189FD82E22D6A6284E35F4DB2A77517772B1BC5624EA1A6382E6A07EE71E93A98C9B8494A550CDD6B4C442065AADBC9D9CC14D10B652FEFECC8AA9B306459105FBFB9B302192FD53ECA06720CA1A6D30DA5564FCED4C53FC7FD835B0203010001A36A3068300F0603551D130101FF040530030101FF30150603551D11040E300C820A5A42462D526F75746572301F0603551D230418301680140BDBE58515377DCA5F00A1A26644EC22366DE590301D0603551D0E041604140BDBE58515377DCA5F00A1A26644EC22366DE590300D06092A864886F70D01010405000381810037F48EEC7AF585429563F78F2F41A060EEE8F23D8F3BE0913811A143FC448CCE71C3A5E9D979C2A8CD38C272A3754FCD459BE02A942756E2F1A0DA190B50FA091669CD8C066ECD1A095B4E01532677B3E567DFD55A7153220F86F006D31E02CB739E19D633D661E49866C31AD865DC7F4380FFEDDBAB89E3B3E96139E472DC62quit!
!
usernameciscoprivilege15password0cisco123archivelogconfighidekeys!
!
class-maptypeinspectmatch-allsdm-cls-immatchprotocolymsgrclass-maptypeinspectimapmatch-anyccp-app-imapmatchinvalid-commandclass-maptypeinspectmatch-anyccp-cls-protocol-p2pmatchprotocolsignaturematchprotocolgnutellasignaturematchprotocolkazaa2signaturematchprotocolfasttracksignaturematchprotocolbitTorrentsignatureclass-maptypeinspectsmtpmatch-anyccp-app-smtpmatchdata-lengthgt5000000class-maptypeinspecthttpmatch-anyccp-app-nonasciimatchreq-respheaderregexccp-regex-nonasciiclass-maptypeinspectmatch-anyCCP-Voice-permitmatchprotocolh323matchprotocolskinnymatchprotocolsipclass-maptypeinspectgnutellamatch-anyccp-class-gnutellamatchfile-transfer.
execlass-maptypeinspectmatch-anyccp-cls-insp-trafficmatchprotocoldnsmatchprotocolhttpsmatchprotocolicmpmatchprotocolimapmatchprotocolpop3matchprotocoltcpmatchprotocoludpclass-maptypeinspectmatch-allccp-insp-trafficmatchclass-mapccp-cls-insp-trafficclass-maptypeinspectmatch-anyccp-cls-icmp-accessmatchprotocolicmpmatchprotocoltcpmatchprotocoludp!
!
---Outputsuppressed!
class-maptypeinspectmatch-allsdm-cls-p2pmatchprotocolgnutellaclass-maptypeinspectmatch-allccp-protocol-pop3matchprotocolpop3class-maptypeinspectkazaa2match-anyccp-cls-p2pmatchfile-transferclass-maptypeinspectpop3match-anyccp-app-pop3matchinvalid-commandclass-maptypeinspectmatch-allccp-protocol-p2pmatchclass-mapccp-cls-protocol-p2pclass-maptypeinspectmatch-allccp-protocol-immatchclass-mapccp-cls-protocol-imclass-maptypeinspectmatch-allccp-invalid-srcmatchaccess-group100class-maptypeinspectmatch-allccp-icmp-accessmatchclass-mapccp-cls-icmp-accessclass-maptypeinspecthttpmatch-anyccp-app-httpmethodsmatchrequestmethodbcopymatchrequestmethodbdeletematchrequestmethodbmovematchrequestmethodbpropfindmatchrequestmethodbproppatchmatchrequestmethodconnectmatchrequestmethodcopymatchrequestmethoddeletematchrequestmethodeditmatchrequestmethodgetattributematchrequestmethodgetattributenamesmatchrequestmethodgetpropertiesmatchrequestmethodindexmatchrequestmethodlockmatchrequestmethodmkcolmatchrequestmethodmkdirmatchrequestmethodmovematchrequestmethodnotifymatchrequestmethodoptionsmatchrequestmethodpollmatchrequestmethodpostmatchrequestmethodpropfindmatchrequestmethodproppatchmatchrequestmethodputmatchrequestmethodrevaddmatchrequestmethodrevlabelmatchrequestmethodrevlogmatchrequestmethodrevnummatchrequestmethodsavematchrequestmethodsearchmatchrequestmethodsetattributematchrequestmethodstartrevmatchrequestmethodstoprevmatchrequestmethodsubscribematchrequestmethodtracematchrequestmethoduneditmatchrequestmethodunlockmatchrequestmethodunsubscribeclass-maptypeinspecthttpmatch-anyccp-http-blockparammatchrequestport-misuseimmatchrequestport-misusep2pmatchrequestport-misusetunnelingmatchreq-respprotocol-violationclass-maptypeinspectmatch-allccp-protocol-imapmatchprotocolimapclass-maptypeinspectmatch-allccp-protocol-smtpmatchprotocolsmtpclass-maptypeinspectmatch-allccp-protocol-httpmatchprotocolhttp!
!
policy-maptypeinspectccp-permit-icmpreplyclasstypeinspectccp-icmp-accessinspectclassclass-defaultpass!
!
---Outputsuppressed!
policy-maptypeinspecthttpccp-action-app-httpclasstypeinspecthttpccp-http-blockparamlogresetclasstypeinspecthttpccp-app-httpmethodslogresetclasstypeinspecthttpccp-app-nonasciilogresetclassclass-defaultpolicy-maptypeinspectsmtpccp-action-smtpclasstypeinspectsmtpccp-app-smtpresetclassclass-defaultpolicy-maptypeinspectimapccp-action-imapclasstypeinspectimapccp-app-imaplogresetclassclass-defaultpolicy-maptypeinspectpop3ccp-action-pop3classtypeinspectpop3ccp-app-pop3logresetclassclass-defaultpolicy-maptypeinspectccp-inspectclasstypeinspectccp-invalid-srcdroplogclasstypeinspectccp-protocol-httpinspectservice-policyhttpccp-action-app-httpclasstypeinspectccp-protocol-smtpinspectservice-policysmtpccp-action-smtpclasstypeinspectccp-protocol-imapinspectservice-policyimapccp-action-imapclasstypeinspectccp-protocol-pop3inspectservice-policypop3ccp-action-pop3classtypeinspectsdm-cls-p2pinspect!
!
---Outputsuppressed!
classtypeinspectccp-protocol-imdroplogclasstypeinspectccp-insp-trafficinspectclasstypeinspectCCP-Voice-permitinspectclassclass-defaultpasspolicy-maptypeinspectccp-permitclassclass-defaultpolicy-maptypeinspectp2pccp-pmap-gnutellaclasstypeinspectgnutellaccp-class-gnutella!
zonesecurityout-zonezonesecurityin-zonezone-pairsecurityccp-zp-self-outsourceselfdestinationout-zoneservice-policytypeinspectccp-permit-icmpreplyzone-pairsecurityccp-zp-in-outsourcein-zonedestinationout-zoneservice-policytypeinspectccp-inspectzone-pairsecurityccp-zp-out-selfsourceout-zonedestinationselfservice-policytypeinspectccp-permit!
!
!
interfaceFastEthernet0/0description$FW_OUTSIDE$ipaddress209.
165.
201.
2255.
255.
255.
224zone-membersecurityout-zoneduplexautospeedauto!
interfaceFastEthernet0/1description$FW_INSIDE$ipaddress10.
77.
241.
114255.
255.
255.
192zone-membersecurityin-zoneduplexautospeedautoOutputsuppressed!
!
iphttpserveriphttpauthenticationlocaliphttpsecure-server!
!
!
---Outputsuppressed!
!
!
control-plane!
!
linecon0lineaux0linevty04privilegelevel15loginlocaltransportinputssh!
schedulerallocate200001000!
webvpncefendZBF-Router#VerifyUsethissectiontoconfirmthatyourconfigurationworksproperly.
命令输出解释程序(仅限注册用户)(OIT)支持某些show命令.
使用OIT可查看对show命令输出的分析.
ZBF-Router#show策略映射类型Inspect区域对会话—显示运行时Inspect类型所有现有的区域对的策略映射统计数据.
qRelatedInformation区域策略防火墙设计和应用指南qCiscoIOS防火墙传统和基于区域的虚拟防火墙应用程序配置示例qCiscoConfigurationProfessional主页q
区域策略防火墙(也称为区域-策略防火墙,简称ZFW)弃用了传统的基于接口的防火墙配置模型,而改用更加灵活并且易于理解的区域模型.
这种模型首先将接口指定给区域,然后对区域之间往来的数据流应用检查策略.
区域之间策略提供严重的灵活性和粒度.
所以,不同的检查策略可以被运用于多台主机组被连接到同一路由器接口.
区域建立了网络的安全边界.
区域定义了数据流在流向网络中其他区域的过程中受策略限制的边界.
ZFW的默认区域间策略是"全部拒绝".
如果未明确配置任何策略,则将阻止所有数据流在区域间移动.
P2P应用程序是某些在互联网的最用途广泛的应用程序.
P2P网络能作为有恶意的威胁的一conduit例如蠕虫,提供一条容易的路径在防火墙附近和导致对保密性和安全的关心.
CiscoIOSSoftwareRelease12.
4(9)T引入P2P应用程序的ZFW技术支持.
P2P检查提供应用数据流的Layer4和第七层策略.
这意味着ZFW能提供基本的状态检测允许或否决数据流,以及在特殊活动的粒状第七层控制在多种协议,因此某些应用程序活动允许,当其他被拒绝时.
CiscoCP提供一易执行的,逐步方法配置IOS路由器作为一基于区域的防火墙通过使用先进的防火墙配置向导.
PrerequisitesRequirements尝试进行此配置之前,请确保满足以下要求:IOS路由器必须有软件版本作为12.
4(9)T或以上.
q关于支持CiscoCP的IOS路由器型号,请参见CiscoCPReleaseNotes.
q运行CiscoCP的路由器配置Note:执行这些配置步骤为了运行在Cisco路由器的CiscoCP:Router(config)#iphttpserverRouter(config)#iphttpsecure-serverRouter(config)#iphttpauthenticationlocalRouter(config)#usernameprivilege15password0Router(config)#linevty04Router(config-line)#privilegelevel15Router(config-line)#loginlocalRouter(config-line)#transportinputtelnetRouter(config-line)#transportinputtelnetsshRouter(config-line)#exitComponentsUsed本文档中的信息基于以下软件和硬件版本:运行IOS软件版本12.
4(15)T的Cisco1841IOSRouterqCiscoConfigurationProfessional(CiscoCP)版本2.
1qTheinformationinthisdocumentwascreatedfromthedevicesinaspecificlabenvironment.
Allofthedevicesusedinthisdocumentstartedwithacleared(default)configuration.
Ifyournetworkislive,makesurethatyouunderstandthepotentialimpactofanycommand.
Conventions有关文档规则的详细信息,请参阅Cisco技术提示规则.
背景信息对于本文的示例,路由器被配置作为一基于区域的防火墙阻塞P2P数据流.
ZFW路由器有两个接口、一个inside(trusted)接口在区域和一个外部(不信任的)接口在外区域.
ZFW路由器阻拦P2P应用程序例如edonkey、fasttrack、gnutella和kazaa2与记录动作从区域通过到外区域的数据流的.
Configure本部分提供有关如何配置本文档所述功能的信息.
Note:使用命令查找工具(仅限注册用户)可获取有关本部分所使用命令的详细信息.
NetworkDiagram本文档使用以下网络设置:配置通过CiscoConfigurationProfessional此部分包含关于怎样的逐步程序使用向导配置IOS路由器作为一基于区域的防火墙.
完成这些步骤:去配置>Security>防火墙和ACL.
然后,请选择先进的防火墙单选按钮.
单击Launchtheselectedtask.
1.
此Next屏幕显示关于防火墙向导的简要简介.
在开始配置防火墙旁边点击.
2.
选择路由器的接口是区域的一部分并且其次点击.
3.
默认策略以与一组命令一起的高安全性在Next窗口显示.
点击接近进行.
4.
输入DNS服务器的详细资料并且其次点击.
5.
CiscoCP提供一个配置汇总例如显示的那个这里.
点击完成完成配置.
6.
详细配置汇总在此表里提供.
这是默认配置根据CiscoCP的高安全策略.
检查保存运行配置到路由器的启动配置复选框.
点击传送发送此配置到路由器.
整个配置被提供到路由器.
这采取一些时间处理.
7.
点击OK键进行.
8.
再点击OK键.
9.
配置实际上当前是和显示作为在防火墙策略选项下的规则.
他们是关联的与区域对一起的区域可以查看,如果去配置>Security>Advanced安全>区域.
您能通过点击也添加新的区域通过点击添加或者修改现有的区域编辑.
10.
去配置>Security>Advanced查看安全>区域的对区域对的详细资料.
关于怎样的即时帮助修改/添加/删除区域/区域对,并且其他相关信息是可用的与在CiscoCP的内置的网页.
11.
为了修改某些P2P应用程序的有特殊用途的检查功能,请去Configuration>安全>防火墙和ACL.
然后,请点击编辑防火墙策略并且选择在策略映射的各自规则.
点击编辑.
12.
这显示默认情况下封锁的配置的当前P2P应用程序.
您能使用添加,并且去除按钮添加/请删除特定应用程序.
此屏幕画面显示如何添加winmx应用程序阻拦那.
13.
而不是选择下落动作,您能也选择检查操作适用深度信息包检验的不同的选项.
14.
P2P检查提供应用数据流的Layer4和第七层策略.
这意味着ZFW能提供基本的状态检测允许或否决数据流,以及在特殊活动的粒状第七层控制在多种协议,因此某些应用程序活动允许,当其他被拒绝时.
在此应用检查,您能运用不同种类的P2P应用程序的特定报头级别检验.
gnutella的一个示例其次显示.
检查P2P选项并且点击创建为了创建此的一新的策略映射.
15.
创建深度信息包检验的一新的策略映射gnutella协议的.
点击添加然后选择新的类映射.
16.
给予一个新名字对于class-map并且点击添加指定匹配标准.
17.
因为使用的匹配标准和字符串是.
exe,请使用文件传输.
这表明包含数据流策略的所有gnutella文件传输连接.
exe字符串匹配.
单击Ok.
18.
再点击OK键完成等级映射配置.
19.
选择重置或允许选项,取决于您的公司安全策略.
点击OK键确认与策略映射的动作.
20.
用同样这样您能添加其他策略映射通过指定不同的常规表达式实现其他P2P协议的深刻的检查功能作为匹配标准.
Note:P2P应用程序很难检测到,这是因为它们采用了"端口跳变"以及其他一些技巧以避免检测,同时P2P应用程序的频繁更改和更新也引入了一些问题,因为它们会修改协议的行为.
ZFW与基于网络应用的识别(NBAR)'s结合本地防火墙状态检测数据流识别功能提供P2P应用程序控制.
Note:P2P应用程序检查为第4层检查支持的部分应用程序提供了特定于应用程序的功能:edonkeyfasttrackgnutellakazaa2Note:目前,ZFW没有检查一个的选项"bittorrent"应用数据流.
BitTorrent客户端与跟踪仪(对等体目录服务器)通常沟通通过运作在若干非标准端口的HTTP.
此端口一般是TCP6969,但您可能需要检查torrent专用的tracker端口.
如果希望允许BitTorrent,适应额外端口的佳方法是配置HTTP作为其中一matchprotocol和添加TCP6969到HTTP使用此ipport-map命令:ipport-mapHTTP端口tcp6969.
您需要将http和bittorrent定义为在类映射中应用的匹配条件.
点击OK键完成先进的检查配置.
21.
对应的一组命令被提供到路由器.
点击OK键完成复制一组命令到路由器.
22.
您能遵守新的规则发生从编辑防火墙策略选项下配置>Security>防火墙和ACL.
23.
ZFW路由器命令行配置在前面的部分的配置从CiscoCP导致在ZFW路由器的此配置:ZBF路由器ZBF-Router#showrunBuildingconfiguration.
.
.
Currentconfiguration:9782bytes!
version12.
4servicetimestampsdebugdatetimemsecservicetimestampslogdatetimemsecnoservicepassword-encryption!
hostnameZBF-Router!
boot-start-markerboot-end-marker!
loggingbuffered51200warnings!
noaaanew-modelipcef!
!
!
!
ipname-server10.
77.
230.
45!
multilinkbundle-nameauthenticatedparameter-maptypeprotocol-infomsn-serversservernamemessenger.
hotmail.
comservernamegateway.
messenger.
hotmail.
comservernamewebmessenger.
msn.
comparameter-maptypeprotocol-infoaol-serversservernamelogin.
oscar.
aol.
comservernametoc.
oscar.
aol.
comservernameoam-d09a.
blue.
aol.
comparameter-maptypeprotocol-infoyahoo-serversservernamescs.
msg.
yahoo.
comservernamescsa.
msg.
yahoo.
comservernamescsb.
msg.
yahoo.
comservernamescsc.
msg.
yahoo.
comservernamescsd.
msg.
yahoo.
comservernamecs16.
msg.
dcn.
yahoo.
comservernamecs19.
msg.
dcn.
yahoo.
comservernamecs42.
msg.
dcn.
yahoo.
comservernamecs53.
msg.
dcn.
yahoo.
comservernamecs54.
msg.
dcn.
yahoo.
comservernameads1.
vip.
scd.
yahoo.
comservernameradio1.
launch.
vip.
dal.
yahoo.
comservernamein1.
msg.
vip.
re2.
yahoo.
comservernamedata1.
my.
vip.
sc5.
yahoo.
comservernameaddress1.
pim.
vip.
mud.
yahoo.
comservernameedit.
messenger.
yahoo.
comservernamemessenger.
yahoo.
comservernamehttp.
pager.
yahoo.
comservernameprivacy.
yahoo.
comservernamecsa.
yahoo.
comservernamecsb.
yahoo.
comservernamecsc.
yahoo.
comparameter-maptyperegexccp-regex-nonasciipattern[^\x00-\x80]!
!
!
cryptopkitrustpointTP-self-signed-1742995674enrollmentselfsignedsubject-namecn=IOS-Self-Signed-Certificate-1742995674revocation-checknonersakeypairTP-self-signed-1742995674!
!
cryptopkicertificatechainTP-self-signed-1742995674certificateself-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!
!
usernameciscoprivilege15password0cisco123archivelogconfighidekeys!
!
class-maptypeinspectmatch-allsdm-cls-immatchprotocolymsgrclass-maptypeinspectimapmatch-anyccp-app-imapmatchinvalid-commandclass-maptypeinspectmatch-anyccp-cls-protocol-p2pmatchprotocolsignaturematchprotocolgnutellasignaturematchprotocolkazaa2signaturematchprotocolfasttracksignaturematchprotocolbitTorrentsignatureclass-maptypeinspectsmtpmatch-anyccp-app-smtpmatchdata-lengthgt5000000class-maptypeinspecthttpmatch-anyccp-app-nonasciimatchreq-respheaderregexccp-regex-nonasciiclass-maptypeinspectmatch-anyCCP-Voice-permitmatchprotocolh323matchprotocolskinnymatchprotocolsipclass-maptypeinspectgnutellamatch-anyccp-class-gnutellamatchfile-transfer.
execlass-maptypeinspectmatch-anyccp-cls-insp-trafficmatchprotocoldnsmatchprotocolhttpsmatchprotocolicmpmatchprotocolimapmatchprotocolpop3matchprotocoltcpmatchprotocoludpclass-maptypeinspectmatch-allccp-insp-trafficmatchclass-mapccp-cls-insp-trafficclass-maptypeinspectmatch-anyccp-cls-icmp-accessmatchprotocolicmpmatchprotocoltcpmatchprotocoludp!
!
---Outputsuppressed!
class-maptypeinspectmatch-allsdm-cls-p2pmatchprotocolgnutellaclass-maptypeinspectmatch-allccp-protocol-pop3matchprotocolpop3class-maptypeinspectkazaa2match-anyccp-cls-p2pmatchfile-transferclass-maptypeinspectpop3match-anyccp-app-pop3matchinvalid-commandclass-maptypeinspectmatch-allccp-protocol-p2pmatchclass-mapccp-cls-protocol-p2pclass-maptypeinspectmatch-allccp-protocol-immatchclass-mapccp-cls-protocol-imclass-maptypeinspectmatch-allccp-invalid-srcmatchaccess-group100class-maptypeinspectmatch-allccp-icmp-accessmatchclass-mapccp-cls-icmp-accessclass-maptypeinspecthttpmatch-anyccp-app-httpmethodsmatchrequestmethodbcopymatchrequestmethodbdeletematchrequestmethodbmovematchrequestmethodbpropfindmatchrequestmethodbproppatchmatchrequestmethodconnectmatchrequestmethodcopymatchrequestmethoddeletematchrequestmethodeditmatchrequestmethodgetattributematchrequestmethodgetattributenamesmatchrequestmethodgetpropertiesmatchrequestmethodindexmatchrequestmethodlockmatchrequestmethodmkcolmatchrequestmethodmkdirmatchrequestmethodmovematchrequestmethodnotifymatchrequestmethodoptionsmatchrequestmethodpollmatchrequestmethodpostmatchrequestmethodpropfindmatchrequestmethodproppatchmatchrequestmethodputmatchrequestmethodrevaddmatchrequestmethodrevlabelmatchrequestmethodrevlogmatchrequestmethodrevnummatchrequestmethodsavematchrequestmethodsearchmatchrequestmethodsetattributematchrequestmethodstartrevmatchrequestmethodstoprevmatchrequestmethodsubscribematchrequestmethodtracematchrequestmethoduneditmatchrequestmethodunlockmatchrequestmethodunsubscribeclass-maptypeinspecthttpmatch-anyccp-http-blockparammatchrequestport-misuseimmatchrequestport-misusep2pmatchrequestport-misusetunnelingmatchreq-respprotocol-violationclass-maptypeinspectmatch-allccp-protocol-imapmatchprotocolimapclass-maptypeinspectmatch-allccp-protocol-smtpmatchprotocolsmtpclass-maptypeinspectmatch-allccp-protocol-httpmatchprotocolhttp!
!
policy-maptypeinspectccp-permit-icmpreplyclasstypeinspectccp-icmp-accessinspectclassclass-defaultpass!
!
---Outputsuppressed!
policy-maptypeinspecthttpccp-action-app-httpclasstypeinspecthttpccp-http-blockparamlogresetclasstypeinspecthttpccp-app-httpmethodslogresetclasstypeinspecthttpccp-app-nonasciilogresetclassclass-defaultpolicy-maptypeinspectsmtpccp-action-smtpclasstypeinspectsmtpccp-app-smtpresetclassclass-defaultpolicy-maptypeinspectimapccp-action-imapclasstypeinspectimapccp-app-imaplogresetclassclass-defaultpolicy-maptypeinspectpop3ccp-action-pop3classtypeinspectpop3ccp-app-pop3logresetclassclass-defaultpolicy-maptypeinspectccp-inspectclasstypeinspectccp-invalid-srcdroplogclasstypeinspectccp-protocol-httpinspectservice-policyhttpccp-action-app-httpclasstypeinspectccp-protocol-smtpinspectservice-policysmtpccp-action-smtpclasstypeinspectccp-protocol-imapinspectservice-policyimapccp-action-imapclasstypeinspectccp-protocol-pop3inspectservice-policypop3ccp-action-pop3classtypeinspectsdm-cls-p2pinspect!
!
---Outputsuppressed!
classtypeinspectccp-protocol-imdroplogclasstypeinspectccp-insp-trafficinspectclasstypeinspectCCP-Voice-permitinspectclassclass-defaultpasspolicy-maptypeinspectccp-permitclassclass-defaultpolicy-maptypeinspectp2pccp-pmap-gnutellaclasstypeinspectgnutellaccp-class-gnutella!
zonesecurityout-zonezonesecurityin-zonezone-pairsecurityccp-zp-self-outsourceselfdestinationout-zoneservice-policytypeinspectccp-permit-icmpreplyzone-pairsecurityccp-zp-in-outsourcein-zonedestinationout-zoneservice-policytypeinspectccp-inspectzone-pairsecurityccp-zp-out-selfsourceout-zonedestinationselfservice-policytypeinspectccp-permit!
!
!
interfaceFastEthernet0/0description$FW_OUTSIDE$ipaddress209.
165.
201.
2255.
255.
255.
224zone-membersecurityout-zoneduplexautospeedauto!
interfaceFastEthernet0/1description$FW_INSIDE$ipaddress10.
77.
241.
114255.
255.
255.
192zone-membersecurityin-zoneduplexautospeedautoOutputsuppressed!
!
iphttpserveriphttpauthenticationlocaliphttpsecure-server!
!
!
---Outputsuppressed!
!
!
control-plane!
!
linecon0lineaux0linevty04privilegelevel15loginlocaltransportinputssh!
schedulerallocate200001000!
webvpncefendZBF-Router#VerifyUsethissectiontoconfirmthatyourconfigurationworksproperly.
命令输出解释程序(仅限注册用户)(OIT)支持某些show命令.
使用OIT可查看对show命令输出的分析.
ZBF-Router#show策略映射类型Inspect区域对会话—显示运行时Inspect类型所有现有的区域对的策略映射统计数据.
qRelatedInformation区域策略防火墙设计和应用指南qCiscoIOS防火墙传统和基于区域的虚拟防火墙应用程序配置示例qCiscoConfigurationProfessional主页q
- 配置webmessenger相关文档
- achievewebmessenger
- 插件【doc】无法登录Webmessenger和Hotmail的解决方法
- webmessengermsn手机版下载官方免费客户端下载
- webmessengerMSN是怎么回事啊?怎样才能登陆呢?
- webmessengerMSN代表什么意思?还是什么的简称?
- webmessengermsn手机版官方下载, msn手机客户端下载
速云:广州移动/深圳移动/广东联通/香港HKT等VDS,9折优惠,最低月付9元;深圳独立服务器1050元/首月起
速云怎么样?速云,国人商家,提供广州移动、深圳移动、广州茂名联通、香港hkt等VDS和独立服务器。现在暑期限时特惠,力度大。广州移动/深圳移动/广东联通/香港HKT等9折优惠,最低月付9元;暑期特惠,带宽、流量翻倍,深港mplc免费试用!点击进入:速云官方网站地址速云优惠码:全场9折优惠码:summer速云优惠活动:活动期间,所有地区所有配置可享受9折优惠,深圳/广州地区流量计费VDS可选择流量翻...
EtherNetservers年付仅10美元,美国洛杉矶VPS/1核512M内存10GB硬盘1Gpbs端口月流量500GB/2个IP
EtherNetservers是一家成立于2013年的英国主机商,提供基于OpenVZ和KVM架构的VPS,数据中心包括美国洛杉矶、新泽西和杰克逊维尔,商家支持使用PayPal、支付宝等付款方式,提供 60 天退款保证,这在IDC行业来说很少见,也可见商家对自家产品很有信心。有需要便宜VPS、多IP VPS的朋友可以关注一下。优惠码SUMMER-VPS-15 (终身 15% 的折扣)SUMMER-...
RFCHOST - 洛杉矶CN2 GIA VPS季付23.9美元起 100Mbps带宽
RFCHOST,这个服务商我们可能有一些朋友知道的。不要看官网是英文就以为是老外服务商,实际上这个服务商公司在上海。我们实际上看到的很多商家,有的是繁体,有的是英文,实际上很多都是我们国人朋友做的,有的甚至还做好几个品牌域名,实际上都是一个公司。对于RFCHOST商家还是第一次分享他们家的信息,公司成立大约2015年左右。目前RFCHOST洛杉矶机房VPS正进行优惠促销,采用CN2优化线路,电信双...
webmessenger为你推荐
-
University163SAProutecss3圆角怎样用css实现圆角矩形?fusionchartsFusionCharts连接数据库你是怎么解决的,能告诉我吗?谢谢啦联通版iphone4s联通版iPhone4s 用联通3G卡好还是移动的好迅雷快鸟迅雷快鸟这种强盗软件不违规吗?css选择器请给出三种Css选择器并举例说明重庆电信测速重庆电信对BT开始限制了?win7还原系统win7如何一键还原?google搜图google的直接搜索图片的功能为什么没了