实验要求:这里定义要求检测端口为8080的http流量,要求对于包大小大于500,并且名字带有exec的进行drop
步骤一:定义class-map 进行协议深层检测
class-map type inspect http match-all AAA
match request uri regex regex
match request uri length gt 500
注意:这里还要定义regex,匹配exec
步骤二:对检测到的协议设置策略
policy-map type inspect http BBB
| 1: class AAA drop-connection/reset/log | 2: paramaters match request uri regex regex drop-connection |
注意:
- 这两种方法都可以,但是如果要同时匹配多个参数,必须使用class-map type inspect
- 此外这里方法一的class-map和policy-map的type要匹配
步骤三:定义要inspect的流量
class-map CCC
match port tcp eq 8080
注意:这里的class-map只能写一个match,如果要匹配多个的话,就要分别写多个class-map
步骤四:将检测策略应用到流量上
policy-map DDD
class CCC
inspect http BBB
步骤五:将策略应用到接口上
service-policy DDD global
