Leaflet
13-19
思科 ASA 系列命令参考,A 至 H 命令
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令
drop-connection
drop-connection
使用 模块化策略框架 时,通过在匹配或类配置模式下使用 drop-connection 命令,丢弃数据包并
关闭用于与 match 命令或类映射匹配的流量的连接。要禁用此操作,请使用此命令的 no 形式。
drop-connection [send-protocol-error] [log]
no drop-connection [send-protocol-error] [log]
语法说明
默认值 没有默认行为或值。
命令模式 下表展示可输入此命令的模式:
命令历史
使用指南 连接会从 ASA 上的连接数据库中删除。针对丢弃的连接的进入 ASA 的任何后续数据包都会被丢
弃。此丢弃连接操作在用于应用流量的检查策略映射(policy-map type inspect 命令)中可用;
但是,并非所有应用都允许此操作。一个检查策略映射包含一个或多个 match 和 class 命令。检
查策略映射可用的确切命令取决于应用。输入 match 或 class 命令以识别应用流量(class 命令是
指相应包括 match 命令的现有 class-map type inspect 命令)后,您可以输入 drop-connection 命
令以丢弃数据包并关闭用于与 match 命令或 class 命令匹配的流量的连接。
如果丢弃数据包或关闭连接,则检查策略映射中不会执行任何进一步的操作。例如,如果第一个
操作是丢弃数据包并关闭连接,则不会与任何进一步的 match 或 class 命令匹配。如果第一个操
作是记录数据包,则会发生进一步操作,例如丢弃该数据包。您可以为同一 match 或
class 命令
同时配置 drop-connection 和 log 操作,这样在为给定匹配丢弃数据包前会记录该数据包。
在第 3/4 层策略映射中(policy-map 命令)使用 inspect 命令启用应用检查时,您可以启用包含此
操作的检查策略映射。例如,输入 inspect http http_policy_map 命令,其中 http_policy_map 是
检查策略映射的名称。
send-protocol-error
发送协议错误消息。
log
日志匹配。系统日志消息数量取决于应用。
命令模式
防火墙模式 安全情景
路由 透明 单个
多个
情景 系统
匹配和类配置
• 是 • 是 • 是 • 是
—
版本 修改
7.2(1)
引入了此命令。