Leaflet
13-41
思科 ASA 系列命令参考,A 至 H 命令
第 13 章 dns domain-lookup 至 dynamic-filter whitelist 命令
dynamic-filter drop blacklist
dynamic-filter drop blacklist
要使用僵尸网络流量过滤器自动丢弃黑名单流量,请在全局配置模式下使用 dynamic-filter drop
blacklist 命令。要禁用自动丢弃,请使用此命令的 no 形式。
dynamic-filter drop blacklist [interface name] [action-classify-list subset_access_list]
[threat-level {eq level | range min max}]
no dynamic-filter drop blacklist [interface name] [action-classify-list subset_access_list]
[threat-level {eq level | range min max}]
语法说明
默认值 此命令默认禁用。
默认威胁级别为 threat-level range moderate very-high。
命令模式 下表展示可输入此命令的模式:
action-classify-list
sub_access_list
(可选)识别要丢弃的流量的子集。请参阅 access-list extended 命令,
创建访问列表。
丢弃的流量必须始终等于 dynamic-filter enable 命令识别的监控流量,
或是该流量的子集。例如,如果指定 dynamic-filter enable 命令的访问
列表,且为此命令指定 action-classify-list,则该访问列表必须是
dynamic-filter enable 访问列表的子集。
interface name
(可选)将监控范围限制到特定接口。丢弃的流量必须始终等于
dynamic-filter enable 命令识别的监控流量,或是该流量的子集。
任何特定于接口的命令优先于全局命令。
threat-level
{eq level |
range min max}
(可选)通过设置威胁级别限制丢弃的流量。如果未明确设置威胁级
别,则使用的级别为 threat-level range moderate very-high。
注 我们强烈建议使用默认设置,除非您有更改此设置的充分理由。
level、min 和 max 选项是:
• very-low
• low
• moderate
• high
• very-high
注 始终使用非常高的威胁级别指定静态黑名单条目。
命令模式
防火墙模式 安全情景
路由 透明 单个
多个
情景 系统
全局配置
• 是 • 是 • 是 • 是
—