Leaflet
13-45
思科 ASA 系列命令参考,A 至 H 命令
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令
dynamic-filter enable
• 不明确的地址 - 这些地址与多个域名关联,但并非所有这些域名都在黑名单上。这些地址在
“greylist”上。
• 未列出的地址 - 这些地址是未知的且不包括在任何列表上。
用于已知地址的僵尸网络流量过滤器操作
您可以使用 dynamic-filter enable 命令配置僵尸网络流量过滤器以记录可疑活动,也可以选择性
地使用 dynamic-filter drop blacklist 命令将其配置为自动拦截可疑流量。
未列出的地址不生成任何系统日志消息,但黑名单、白名单和灰名单上的地址生成按类型区分的
系统日志消息。僵尸网络流量过滤器生成编号为 338nnn 的详细系统日志消息。消息会按照传入
和传出连接、黑名单、白名单或灰名单地址和许多其他变量等进行区分。(灰名单包括与多个域
名关联的地址,但并非所有这些域名都在黑名单上。)
请参阅 系统日志消息指南,了解有关系统日志消息的详细信息。
示例 以下示例监控外部接口上的所有端口 80 流量,然后丢弃位于常规或更高威胁级别的流量:
ciscoasa(config)# access-list dynamic-filter_acl extended permit tcp any any eq 80
ciscoasa(config)# dynamic-filter enable interface outside classify-list dynamic-filter_acl
ciscoasa(config)# dynamic-filter drop blacklist interface outside
相关命令
命令 说明
address
将 IP 地址添加到黑名单或白名单。
clear configure dynamic-filter
清除正在运行的僵尸网络流量过滤器配置。
clear dynamic-filter dns-snoop
清除僵尸网络流量过滤器 DNS 监听数据。
clear dynamic-filter reports
清除僵尸网络流量过滤器报告数据。
clear dynamic-filter statistics
清除僵尸网络流量过滤器统计信息。
dns domain-lookup
启用 ASA 将 DNS 请求发送到 DNS 服务器以执行所支持命令的
名称查找。
dns server-group
标识 ASA 的 DNS 服务器。
dynamic-filter
ambiguous-is-black
将灰名单流量视为要操作的黑名单流量。
dynamic-filter blacklist
编辑僵尸网络流量过滤器黑名单。
dynamic-filter database fetch
手动检索僵尸网络流量过滤器动态数据库。
dynamic-filter database find
搜索动态数据库来查找某域名或 IP 地址。
dynamic-filter database purge
手动删除僵尸网络流量过滤器动态数据库。
dynamic-filter drop blacklist
自动丢弃黑名单流量。
dynamic-filter updater-client
enable
允许下载动态数据库。
dynamic-filter use-database
允许使用动态数据库。
dynamic-filter whitelist
编辑僵尸网络流量过滤器白名单。
inspect dns
dynamic-filter-snoop
启用具有僵尸网络流量过滤器监听的 DNS 检查。
name
将名称添加到白名单或黑名单。
show asp table dynamic-filter
显示加速安全路径中安装的僵尸网络流量过滤器规则。