Leaflet
13-42
思科 ASA 系列命令参考,A 至 H 命令
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令
dynamic-filter drop blacklist
命令历史
使用指南 请确保首先为要丢弃的任何流量配置 dynamic-filter enable 命令;丢弃的流量必须始终等于监控
的流量或是其子集。
您可以为每个接口和全局策略多次输入此命令。请确保您未在用于给定接口 / 全局策略的多个命
令中指定重叠的流量。由于您无法控制匹配命令的确切顺序,重叠的流量意味着您不知道该匹配
哪个命令。例如,请勿同时指定与所有流量匹配的命令(不带有 action-classify-list 关键字)和用
于给定接口的带有 action-classify-list 关键字的命令。在这种情况下,流量可能不会与带有
action-classify-list 关键字的命令匹配。同样,如果指定多个带有 action-classify-list 关键字的命
令,请确保每个访问列表是唯一的且网络不重叠。
示例 以下示例监控外部接口上的所有端口 80 流量,然后丢弃位于常规或更高威胁级别的流量:
ciscoasa(config)# access-list dynamic-filter_acl extended permit tcp any any eq 80
ciscoasa(config)# dynamic-filter enable interface outside classify-list dynamic-filter_acl
ciscoasa(config)# dynamic-filter drop blacklist interface outside
相关命令
版本 修改
8.2(2)
引入了此命令。
命令 说明
address
将 IP 地址添加到黑名单或白名单。
clear configure dynamic-filter
清除正在运行的僵尸网络流量过滤器配置。
clear dynamic-filter dns-snoop
清除僵尸网络流量过滤器 DNS 监听数据。
clear dynamic-filter reports
清除僵尸网络流量过滤器报告数据。
clear dynamic-filter statistics
清除僵尸网络流量过滤器统计信息。
dns domain-lookup
启用 ASA 将 DNS 请求发送到 DNS 服务器以执行所支持命令的
名称查找。
dns server-group
标识 ASA 的 DNS 服务器。
dynamic-filter
ambiguous-is-black
将灰名单流量视为要操作的黑名单流量。
dynamic-filter blacklist
编辑僵尸网络流量过滤器黑名单。
dynamic-filter database fetch
手动检索僵尸网络流量过滤器动态数据库。
dynamic-filter database find
搜索动态数据库来查找某域名或 IP 地址。
dynamic-filter database purge
手动删除僵尸网络流量过滤器动态数据库。
dynamic-filter enable
对某类流量或所有流量(如果没有指定访问列表)启用僵尸网
络流量过滤器。
dynamic-filter updater-client
enable
允许下载动态数据库。
dynamic-filter use-database
允许使用动态数据库。
dynamic-filter whitelist
编辑僵尸网络流量过滤器白名单。
inspect dns
dynamic-filter-snoop
启用具有僵尸网络流量过滤器监听的 DNS 检查。
name
将名称添加到白名单或黑名单。