Leaflet

ManualsBrandsCisco Manualshardware firewallsCisco ASA 5510 Adaptive Security Appliance

761

762

763

764

765

766

767

768

769

770

10-54

思科 ASA 系列命令参考，A 至 H 命令

第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令

csc

如果使用 csc 命令的策略选择对其他协议误用这些端口的连接，ASA 将数据包传送到 CSC SSM ；

而 CSC SSM 不扫描数据包就传送它们。

为了最大限度地提高 CSC SSM 的效率，请如下实施 csc 命令，配置策略使用的类映射：

• 只选择您希望 CSC SSM 扫描的支持协议。例如，如果您不希望扫描 HTTP 流量，请确保服务

策略不会将 HTTP 流量转移至 CSC SSM。

• 只选择受 ASA 保护的风险可信主机的连接。这些连接从外部或不受信任的网络到内部网络。

我们建议扫描以下连接：

–

出站 HTTP 连接

–

从 ASA 内部客户端到 ASA 外部服务器的 FTP 连接

–

从 ASA 内部客户端到 ASA 外部服务器的 POP3 连接

–

前往内部邮件服务器的传入 SMTP 连接

FTP 扫描

CSC SSM 仅当 FTP 会话的主要通道使用标准端口（即 TCP 端口 21）时才支持 FTP 文件传输扫描。

对于您希望被 CSC SSM 扫描的 FTP 流量，必须启用 FTP 检查。这是因为 FTP 对数据传输使用动

态分配的辅助通道。ASA 确定为辅助通道分配的端口，并且打开针孔以允许数据传输。如果 CSC

SSM 配置为扫描 FTP 数据，ASA 会将数据流量转移至 CSC SSM。

您可以全局应用 FTP 检查或者应用到 csc 命令所应用的同一接口。默认全局启用 FTP 检查。如果

没有更改默认检查配置，无需进一步的 FTP 检查配置即可启用 CSC SSM 的 FTP 扫描。

有关 FTP 检查或默认检查配置的详细信息，请参阅 CLI 配置指南。

示例 ASA 应配置为将流量转移至从 HTTP、FTP 和 POP3 连接的内部网络客户端到外部网络的 CSC

SSM 请求，以及从外部主机到 DMZ 网络上邮件服务器的传入 SMTP 连接。不应扫描从内部网络

到 DMZ 网络中 Web 服务器的 HTTP 请求。

以下配置创建两个服务策略。第一个策略 csc_out_policy 应用到内部接口，并且使用 csc_out 访问

列表确保扫描 FTP 和 POP3 的所有出站请求。csc_out 访问列表也可确保扫描从内部到外部接口上

网络的 HTTP 连接，但该访问列表包括拒绝 ACE，会排除从内部到 DMZ 网络上服务器的 HTTP

连接。

第二个策略 csc_in_policy 应用到外部接口，并且使用 csc_in 访问列表确保

CSC SSM 扫描从外部

接口到 DMZ 网络的 SMTP 和 HTTP 请求。扫描 HTTP 请求可确保避免对 Web 服务器进行 HTTP

文件上传。

ciscoasa(config)# access-list csc_out permit tcp 192.168.10.0 255.255.255.0 any eq 21

ciscoasa(config)# access-list csc_out deny tcp 192.168.10.0 255.255.255.0 192.168.20.0

255.255.255.0 eq 80

ciscoasa(config)# access-list csc_out permit tcp 192.168.10.0 255.255.255.0 any eq 80

ciscoasa(config)# access-list csc_out permit tcp 192.168.10.0 255.255.255.0 any eq 110

ciscoasa(config)# class-map csc_outbound_class

ciscoasa(config-cmap)# match access-list csc_out

ciscoasa(config)# policy-map csc_out_policy

ciscoasa(config-pmap)# class csc_outbound_class

ciscoasa(config-pmap-c)# csc fail-close

ciscoasa(config)# service-policy csc_out_policy interface inside

ciscoasa(config)# access-list csc_in permit tcp any 192.168.20.0 255.255.255.0 eq 25

ciscoasa(config)# access-list csc_in permit tcp any 192.168.20.0 255.255.255.0 eq 80