이 문서에서는 응용 프로그램에 대한 전역 정책에서 기본 검사를 제거하는 방법 및 기본 검사 이외의 응용 프로그램에 대한 검사를 활성화하는 방법에 대해 설명합니다.
이 문서에 대한 특정 요건이 없습니다.
이 문서의 정보는 7.x 소프트웨어 이미지를 실행하는 Cisco ASA(Adaptive Security Appliance)를 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
이 컨피그레이션은 7.x 소프트웨어 이미지를 실행하는 PIX Security Appliance에서도 사용할 수 있습니다.
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.
기본적으로 컨피그레이션에는 모든 기본 애플리케이션 검사 트래픽과 일치하는 정책이 포함되며 모든 인터페이스의 트래픽에 특정 검사를 적용합니다(글로벌 정책). 기본적으로 모든 검사가 활성화되어 있지는 않습니다. 하나의 전역 정책만 적용할 수 있습니다. 전역 정책을 변경하려면 기본 정책을 수정하거나 비활성화하고 새 정책을 적용해야 합니다. 인터페이스 정책은 전역 정책을 재정의합니다.
기본 정책 컨피그레이션에는 다음 명령이 포함됩니다.
class-map inspection_default match default-inspection-traffic policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp service-policy global_policy global
Cisco ASA에서 Non-Default Application Inspection을 활성화하려면 다음 절차를 완료합니다.
ASDM에 로그인합니다. Configuration(컨피그레이션) > Firewall(방화벽) > Service Policy Rules(서비스 정책 규칙)로 이동합니다.
Default Class-map 및 Default Policy-map을 포함하는 전역 정책에 대한 컨피그레이션을 유지하지만 전역적으로 정책을 제거하려면 Tools > Command Line Interface로 이동하고 no service-policy global-policy 전역 명령을 사용하여 전역으로 정책을 제거합니다. 그런 다음 Send를 클릭하여 ASA에 명령을 적용합니다.
참고: 이 단계에서 글로벌 정책은 ASDM(Adaptive Security Device Manager)에서 표시되지 않지만 CLI에는 표시됩니다.
새 정책을 추가하려면 Add(추가)를 클릭하십시오.
Interface(인터페이스) 옆의 라디오 버튼이 선택되어 있는지 확인하고 드롭다운 메뉴에서 정책을 적용할 인터페이스를 선택합니다. 그런 다음 Policy Name 및 Description을 입력합니다. Next(다음)를 클릭합니다.
HTTP가 TCP에 속할 때 TCP 트래픽을 일치시키기 위해 새 클래스 맵을 생성합니다. Next(다음)를 클릭합니다.
프로토콜로 TCP를 선택합니다.
서비스로 HTTP 포트 80을 선택하고 OK(확인)를 클릭합니다.
HTTP를 선택하고 Finish(마침)를 클릭합니다.
Apply(적용)를 클릭하여 ASDM에서 ASA로 이러한 컨피그레이션 변경 사항을 전송합니다. 이렇게 하면 컨피그레이션이 완료됩니다.
다음 show 명령을 사용하여 컨피그레이션을 확인합니다.
show run class-map 명령을 사용하여 구성된 클래스 맵을 볼 수 있습니다.
ciscoasa# sh run class-map ! class-map inspection_default match default-inspection-traffic class-map outside-class match port tcp eq www !
구성된 정책 맵을 보려면 show run policy-map 명령을 사용합니다.
ciscoasa# sh run policy-map ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp policy-map outside-policy description Policy on outside interface class outside-class inspect http !
구성된 서비스 정책을 보려면 show run service-policy 명령을 사용합니다.
ciscoasa# sh run service-policy service-policy outside-policy interface outside
개정 | 게시 날짜 | 의견 |
---|---|---|
1.0 |
25-Nov-2010 |
최초 릴리스 |