Leaflet
13-9
思科 ASA 系列命令参考,A 至 H 命令
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令
dns-guard
dns-guard
要启用 DNS 防护功能,即对每个查询实施一次 DNS 响应,请在参数配置模式下使用 dns-guard
命令。要禁用此功能,请使用此命令的 no 形式。
dns-guard
no dns-guard
语法说明 此命令没有任何参数或关键字。
默认值 默认情况下启用 DNS 防护。配置 inspect dns 命令时可以启用此功能,即使未定义 policy-map
type inspect dns 命令。要禁用,必须在策略映射配置中明确声明 no dns-guard 命令。如果未配置
inspect dns 命令,则行为由 global dns-guard 命令确定。
命令模式 下表展示可输入此命令的模式:
命令历史
使用指南 DNS 报头中的标识字段用于将 DNS 响应与 DNS 报头匹配。对每个查询,允许一次响应通过 ASA。
示例 以下示例展示如何在 DNS 检查策略映射中启用 DNS 防护:
ciscoasa(config)# policy-map type inspect dns preset_dns_map
ciscoasa(config-pmap)# parameters
ciscoasa(config-pmap-p)# dns-guard
相关命令
命令模式
防火墙模式 安全情景
路由 透明 单个
多个
情景 系统
参数配置
• 是 • 是 • 是 • 是
—
版本 修改
7.2(1)
引入了此命令。
命令 说明
class
在策略映射中标识类映射名称。
class-map type
inspect
创建检查类映射以匹配特定于应用的流量。
policy-map
创建第 3/4 层策略映射。
show running-config
policy-map
显示所有当前的策略映射配置。