- 论坛徽章:
- 0
|
偶一直用NBAR来封杀内网的P2P下载,但发现越来越多的人开始意识到可以用80,或用代理来下载.
我也是无意之中发现在偶的IOS v124中可以用appfw来检测HTTP协议中的非HTTP包.
给个例子先
!
appfw policy-name office-policy
application http
port-misuse im action reset
port-misuse p2p action reset
!定义应用程序防火墙策略
!建议把im 一并干掉 (如果要封MSN 7.5的话,这个是必须的,然后再用ACL 封住 TCP/UDP 1836, 如果要彻底的话,代理服务器常用端口一起封)
ip inspect name office appfw office-policy
ip inspect name office http
!建立一个ip 包的检测,并启用防火墙策略中对HTTP协议的检测
interface FastEthernet0/1
description Office Network
ip address 192.168.0.126 255.255.255.0
ip inspect office in
!应用到interface
如果使用14.4(T)以上版本,还有几个新的命令来管理IM.
application im yahoo
application im msn
application im aol
说的不对,或用词不当的地方还请各位更正 |
|
免费注册
发表于 2006-05-05 04:32
