Segurança : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA URL Filtering Configuration Example

17 Julho 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (13 Setembro 2013) | Inglês (10 Outubro 2008) | Feedback

Índice

Introdução
Pré-requisitos
      Componentes Utilizados
      Convenções
Informações de Apoio
Configuração do ASA/PIX com a CLI
      Diagrama de Rede
      Identificação do Servidor de Filtragem
      Configuração da Política de Filtragem
      Filtragem de URLs Avançada
      Configuração
Configuração do ASA/PIX com o ASDM
Verificação
Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento explica como configurar a filtragem de URLs em um Security Appliance.

A filtragem do tráfego apresenta as seguintes vantagens:

  • Pode ajudar a diminuir os riscos de segurança e impedir a utilização inadequada da rede.

  • Proporciona um maior controle sobre o tráfego transmitido através do Security Appliance.

Nota: Como a filtragem de URLs exige bastante da CPU, o uso de um servidor de filtragem externo garante que a velocidade de transmissão dos demais tipos de tráfego não seja afetada. No entanto, com base na velocidade da sua rede e na capacidade do seu servidor de filtragem de URLs, o tempo necessário para a conexão inicial poderá ser consideravelmente maior quando o tráfego for filtrado em um servidor externo.

Pré-requisitos

Componentes Utilizados

As informações neste documento baseiam-se nestas versões de software e hardware:

  • PIX 500 Series Security Appliance com versão 6.2 ou posterior do software

  • ASA 5500 Series Security Appliance com versão 7.x ou posterior do software

  • Adaptive Security Device Manager (ASDM) 6.0

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Você poderá filtrar as solicitações de conexão provenientes de uma rede mais segura para uma rede menos segura. Embora seja possível usar ACLs (listas de controle de acesso) para impedir o acesso de saída a servidores de conteúdo específico, é muito difícil gerenciar a utilização dessa forma devido ao tamanho e à natureza dinâmica da Internet. Você poderá simplificar a configuração e aprimorar o desempenho do Security Appliance ao usar um servidor separado com um dos seguintes produtos de filtragem da Internet:

  • Websense Enterprise — Filtra HTTP, HTTPS e FTP. Funciona com o PIX Firewall versão 5.3 ou posterior.

  • Secure Computing SmartFilter, anteriormente conhecido como N2H2 — Filtra HTTP, HTTPS, FTP e URLs longos. Funciona com o PIX Firewall versão 6.2 ou posterior.

Em comparação com o uso de listas de controle de acesso, o uso da filtragem de URLs reduz a quantidade de tarefas administrativas e aprimora a eficiência da filtragem. Além disso, como a filtragem de URLs é feita em uma plataforma separada, o desempenho do PIX Firewall é muito menos afetado. No entanto, os usuários poderão observar tempos de acesso maiores a sites da Web ou servidores FTP quando o servidor de filtragem for remoto, em vez de no Security Appliance.

O PIX Firewall verifica as solicitações de URL externos em relação à política definida no servidor de filtragem de URLs. As conexões são permitidas ou negadas pelo firewall com base na resposta do servidor de filtragem.

Quando a filtragem está ativada e uma solicitação de conteúdo é direcionada para o Security Appliance, a solicitação é enviada para o servidor de conteúdo e para o servidor de filtragem ao mesmo tempo. Se o servidor de filtragem permitir a conexão, o Security Appliance encaminhará a resposta do servidor de conteúdo para o cliente que originou a solicitação. Se o servidor de filtragem negar a conexão, o Security Appliance descartará a resposta e enviará uma mensagem ou um código de retorno para indicar que a conexão não foi possível.

Se a autenticação de usuários estiver ativada no Security Appliance, ele também enviará o nome do usuário para o servidor de filtragem. O servidor de filtragem pode usar configurações de filtragem específicas de usuário ou fornecer relatórios avançados de utilização.

Configuração do ASA/PIX com a CLI

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

URL_Filtering_Diagram.gif

Neste exemplo, o servidor de filtragem de URLs está instalado em uma rede DMZ. Os usuários finais da rede interna tentam acessar via Internet o servidor Web localizado fora da rede.

Estes passos são concluídos durante a solicitação enviada para o servidor Web pelo usuário:

  1. O usuário final navega para uma página no servidor Web e o navegador envia uma solicitação de HTTP.

  2. Quando o Security Appliance recebe esta solicitação, ele a encaminha para o servidor Web e, ao mesmo tempo, extrai o URL e envia uma solicitação de consulta para o servidor de filtragem de URLs.

  3. Assim que o servidor de filtragem de URLs recebe a solicitação de consulta, ele verifica seu banco de dados para determinar se o acesso ao URL será permitido ou negado. Em seguida, ele retorna um status de permissão ou negação com uma resposta de consulta para o Cisco IOS® Firewall.

  4. O Security Appliance recebe a resposta e executa uma das seguintes ações:

    • Se a resposta para a consulta permitir o URL, ele enviará a resposta do HTTP para o usuário final.

    • Se a resposta negar o URL, o servidor de filtragem de URLs redirecionará o usuário para seu próprio servidor Web interno, o qual exibe uma mensagem que descreve a categoria na qual o URL foi bloqueado. Em seguida, a conexão será encerrada em ambas as extremidades.

Identificação do Servidor de Filtragem

O endereço do servidor de filtragem deve ser identificado com o comando url-server. Esse comando deverá ser usado na forma apropriada baseada no tipo do servidor de filtragem usado.

Nota: Nas versões 7.x e mais recentes do software, é possível identificar até quatro servidores de filtragem para cada contexto. O Security Appliance usará os servidores na ordem definida até obter resposta de um servidor. Somente um tipo de servidor, Websense ou N2H2, pode ser definido em sua configuração.

Websense

O Websense é um software de filtragem de terceiros capaz de filtrar solicitações de HTTP com base nas seguintes políticas:

  • Nome do host de destino

  • Endereço IP de destino

  • Palavras-chave

  • Nome do usuário

O software possui um banco de dados de URLs com mais de 20 milhões de sites organizados em mais de 60 categorias e subcategorias.

  • Software versão 6.2:

    url-server [(if_name)] vendor websense host local_ip [timeout seconds] [protocol {TCP | UDP} version]
    
    

    O comando url-server determina o servidor que executa o aplicativo de filtragem de URLs N2H2 ou Websense. O limite é 16 servidores. No entanto, é possível usar somente um aplicativo de cada vez, o N2H2 ou o Websense. Adicionalmente, se você alterar a sua configuração no PIX Firewall, a configuração não será atualizada no servidor de aplicativos. Isso deverá ser feito separadamente de acordo com as instruções do fornecedor individual.

  • Software versão 7.x ou posterior:

    pix(config)# url-server (if_name) host local_ip [timeout seconds] [protocol TCP | UDP version 1|4
    [connections num_conns] ]
    
    

Substitua if_name pelo nome da interface do Security Appliance que está conectada ao servidor de filtragem. O padrão é a interface interna. Substitua local_ip pelo endereço IP do servidor de filtragem. Substitua seconds pelo número de segundos durante os quais o Security Appliance deverá continuar tentando se conectar ao servidor de filtragem.

Use a opção protocol para especificar se deseja usar TCP ou UDP. No servidor Websense, também é possível especificar a versão de TCP que será usada (version). O padrão é TCP versão 1. O TCP versão 4 permite que o PIX Firewall envie nomes de usuários autenticados e informações de log de URLs para o servidor Websense se o PIX Firewall já tiver autenticado o usuário.

Por exemplo, para identificar um único servidor de filtragem Websense, execute o seguinte comando:

hostname(config)#url-server (DMZ) vendor websense host 192.168.15.15 protocol TCP version 4

Secure Computing SmartFilter

  • PIX versão 6.2:

    pix(config)#url-server [(if_name)] vendor n2h2 host local_ip[:port number] [timeout <seconds>]
    [protocol TCP | UDP]
    
  • Software versões 7.0 e 7.1:

    hostname(config)#url-server (if_name) vendor n2h2 host local_ip[:port number] [timeout seconds]
    [protocol TCP connections number | UDP [connections num_conns]]
    
  • Software versão 7.2 ou posterior:

    hostname(config)#url-server (if_name) vendor {secure-computing | n2h2} host <local_ip>
    [port <number>] [timeout <seconds>] [protocol {TCP [connections <number>]} | UDP]
    

    Você poderá usar secure-computing como seqüência de caracteres de fornecedor para vendor {secure-computing | n2h2}. No entanto, n2h2 é aceitável por questões de compatibilidade com versões anteriores. Quando as entradas de configuração são geradas, secure-computing é salva como a seqüência de caracteres de fornecedor.

Substitua if_name pelo nome da interface do Security Appliance que está conectada ao servidor de filtragem. O padrão é a interface interna. Substitua local_ip pelo endereço IP do servidor de filtragem e port <number> pelo número da porta desejada.

Nota: A porta padrão usada pelo servidor Secure Computing SmartFilter para se comunicar com o Security Appliance via TCP ou UDP é a 4005.

Substitua seconds pelo número de segundos durante os quais o Security Appliance deverá continuar tentando se conectar ao servidor de filtragem. Use a opção protocol para especificar se deseja usar TCP ou UDP.

connections <number> é o número de tentativas de conexão entre o host e o servidor.

Por exemplo, para identificar um único servidor de filtragem N2H2, execute o seguinte comando:

hostname(config)#url-server (DMZ) vendor n2h2 host 192.168.15.15 port 4444 timeout 45 protocol
 tcp connections 10

Ou, se desejar usar os valores padrão, execute este comando:

hostname(config)#url-server (DMZ) vendor n2h2 host 192.168.15.15

Configuração da Política de Filtragem

Nota: É necessário identificar e ativar o servidor de filtragem de URLs antes de ativar a filtragem em si.

Ativação da Filtragem de URLs

Quando o servidor de filtragem aprova uma solicitação de conexão HTTP, o Security Appliance permite que a resposta do servidor Web chegue até o cliente que originou a solicitação. Se o servidor de filtragem negar a solicitação, o Security Appliance redirecionará o usuário para uma página de bloqueio que indica que o acesso foi negado.

Execute o comando filter url para configurar a política usada para filtrar URLs:

  • PIX versão 6.2:

    filter url [http | port[-port] local_ip local_mask foreign_ip foreign_mask] [allow] [proxy-block]
    [longurl-truncate | longurl-deny] [cgi-truncate]
    
    
  • Software versão 7.x ou posterior:

    filter url [http | port[-port] local_ip local_mask foreign_ip foreign_mask] [allow] [proxy-block]
    [longurl-truncate | longurl-deny] [cgi-truncate]
    
    

Substitua port pelo número da porta na qual o tráfego HTTP será filtrado se a porta padrão do HTTP (80) não estiver sendo usada. Para identificar um intervalo de números de portas, insira o início e o fim do intervalo separados por um hífen.

Com a filtragem ativada, o Security Appliance interromperá o tráfego HTTP de saída até que um servidor de filtragem permita a conexão. Se o servidor de filtragem principal não responder, o Security Appliance direcionará a solicitação de filtragem para o servidor secundário. A opção allow fará com que o Security Appliance encaminhe o tráfego HTTP sem filtragem quando o servidor de filtragem principal não estiver disponível.

Execute o comando proxy-block para descartar todas as solicitações de servidores proxy.

Nota: Os demais parâmetros são usados para truncar URLs longos.

Truncagem de URLs HTTP Longos

A opção longurl-truncate faz com que o Security Appliance envie somente a parte do nome do host ou do endereço IP do URL para ser avaliada no servidor de filtragem quando o URL foi maior do que o tamanho máximo permitido.

Use a opção longurl-deny para negar o tráfego de saída para o URL se o URL foi maior do que o tamanho máximo permitido.

Use a opção cgi-truncate para truncar os URLs CGI e incluir somente o local do script CGI e o nome do script sem parâmetros.

Este é um exemplo de configuração de filtro geral:

hostname(config)#filter url http 192.168.5.0 255.255.255.0 172.30.21.99 255.255.255.255 allow
proxy-block longurl-truncate cgi-truncate

Exceção à Filtragem de Tráfego

Se desejar fazer uma exceção para a política de filtragem geral, execute este comando:

filter url except local_ip local_mask foreign_ip foreign_mask]

Substitua local_ip e local_mask pelo endereço IP e pela máscara de sub-rede de um usuário ou sub-rede que deseja excluir das restrições de filtragem.

Substitua foreign_ip e foreign_mask pelo endereço IP e pela máscara de sub-rede de um servidor ou sub-rede que deseja excluir das restrições de filtragem.

Por exemplo, este comando faz com que todas as solicitações de HTTP para 172.30.21.99 feitas pelos hosts internos sejam encaminhadas para o servidor de filtragem, com exceção das solicitações feitas pelo host 192.168.5.5:

Este é um exemplo de configuração de uma exceção:

hostname(config)#filter url except 192.168.5.5 255.255.255.255 172.30.21.99 255.255.255.255

Filtragem de URLs Avançada

Esta seção fornece informações sobre os parâmetros de filtragem avançados, o que inclui os seguintes tópicos:

  • Buffers

  • Cache

  • Suporte a URLs longos

Buffer de Respostas do Servidor Web

Quando um usuário emite uma solicitação de conexão com um servidor de conteúdo, o Security Appliance envia a solicitação para os servidores de conteúdo e filtragem ao mesmo tempo. Se o servidor de filtragem não responder antes do servidor de conteúdo, a resposta do último será descartada. Isso atrasará a resposta do servidor Web do ponto de vista do cliente Web porque o cliente deverá reenviar a solicitação.

Se você ativar o buffer de respostas de HTTP, as respostas dos servidores de conteúdo da Web serão colocadas em um buffer e encaminhadas para o cliente que fez a solicitação se o servidor de filtragem permitir a conexão. Isso evita o atraso que, do contrário, poderia ocorrer.

Para colocar no buffer as respostas para as solicitações de HTTP, faça o seguinte:

  1. Para ativar o buffer de respostas para as solicitações de HTTP que ainda não foram atendidas pelo servidor de filtragem, execute este comando:

    hostname(config)#url-block block block-buffer-limit
    

    Substitua block-buffer-limit pelo número máximo de blocos que serão colocados no buffer.

  2. Para configurar a memória máxima disponível para o buffer de URLs pendentes, e para colocar no buffer URLs longos com o Websense, execute o seguinte comando:

    hostname(config)#url-block url-mempool memory-pool-size
    

    Substitua memory-pool-size por um valor entre 2 e 10240 para obter uma alocação máxima de memória entre 2 KB e 10 MB.

Endereços do Servidor de Cache

Após um usuário acessar um site, o servidor de filtragem poderá permitir que o Security Appliance adicione o endereço do servidor em um cache por um período de tempo determinado, desde que todos os sites hospedados no endereço pertençam a uma categoria que é sempre permitida. Assim, quando o usuário acessar o servidor novamente, ou se outro usuário o fizer, o Security Appliance não precisará consultar o servidor de filtragem novamente.

Se for necessário aumentar a velocidade, execute o comando url-cache:

hostname(config)#url-cache dst | src_dst size

Substitua size por um valor de tamanho de cache no intervalo de 1 a 128 (KB).

Use a palavra-chave dst para colocar as entradas no cache com base no endereço de destino do URL. Selecione este modo se todos os usuários compartilharem a mesma política de filtragem de URLs no servidor Websense.

Use a palavra-chave src_dst para colocar no cache as entradas com base no endereço de origem que inicia a solicitação de URL e também no endereço de destino do URL. Selecione este modo se os usuários não compartilharem a mesma política de filtragem de URLs no servidor Websense.

Ativação da Filtragem de URLs Longos

Por padrão, o Security Appliance considerará um URL HTTP como longo se ele possuir mais de 1159 caracteres. Você pode usar o seguinte comando para aumentar o tamanho máximo permitido para um único URL:

hostname(config)#url-block url-size long-url-size

Substitua long-url-size pelo tamanho máximo em KB para cada URL longo que será colocado no buffer.

Por exemplo, estes comandos configuram o Security Appliance para a filtragem de URLs avançada:

hostname(config)#url-block block 10
hostname(config)#url-block url-mempool 2
hostname(config)#url-cache dst 100
hostname(config)#url-block url-size 2

Configuração

Esta configuração inclui os comandos descritos neste documento:

Configuração do ASA 8.0

ciscoasa#show running-config
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
domain-name Security.lab.com
enable password 2kxsYuz/BehvglCF encrypted
no names
dns-guard
!
interface GigabitEthernet0/0
 speed 100
 duplex full
 nameif outside
 security-level 0
 ip address 172.30.21.222 255.255.255.0
!
interface GigabitEthernet0/1
 description INSIDE
 nameif inside
 security-level 100
 ip address 192.168.5.11 255.255.255.0
!
interface GigabitEthernet0/2
 description LAN/STATE Failover Interface
 shutdown
!
interface GigabitEthernet0/3
 description DMZ
 nameif DMZ
 security-level 50
 ip address 192.168.15.1 255.255.255.0
!
interface Management0/0
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
clock timezone CST -6
clock summer-time CDT recurring
dns server-group DefaultDNS
domain-name Security.lab.com
same-security-traffic permit intra-interface



pager lines 20
logging enable
logging buffer-size 40000
logging asdm-buffer-size 200
logging monitor debugging
logging buffered informational
logging trap warnings
logging asdm informational
logging mail debugging
logging from-address aaa@cisco.com
mtu outside 1500
mtu inside 1500
mtu DMZ 1500
no failover
failover lan unit primary
failover lan interface interface GigabitEthernet0/2
failover link interface GigabitEthernet0/2
no monitor-interface outside
icmp unreachable rate-limit 1 burst-size 1

asdm image disk0:/asdm-602.bin
asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0

route outside 0.0.0.0 0.0.0.0 172.30.21.244 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
ldap attribute-map tomtom
dynamic-access-policy-record DfltAccessPolicy

url-server (DMZ) vendor websense host 192.168.15.15 timeout 30 protocol TCP version 1 connections 5

url-cache dst 100
aaa authentication ssh console LOCAL
aaa authentication enable console LOCAL
aaa authentication telnet console LOCAL

filter url except 192.168.5.5 255.255.255.255 172.30.21.99 255.255.255.255

filter url http 192.168.5.0 255.255.255.0 172.30.21.99 255.255.255.255 allow
       proxy-block longurl-truncate cgi-truncate
http server enable
http 172.30.0.0 255.255.0.0 outside

no snmp-server location
no snmp-server contact
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 inside
ssh timeout 60
console timeout 0
management-access inside
dhcpd address 192.168.5.12-192.168.5.20 inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect icmp
!
service-policy global_policy global
url-block url-mempool 2
url-block url-size 2
url-block block 10
username fwadmin password aDRVKThrSs46pTjG encrypted privilege 15
prompt hostname context
Cryptochecksum:db208a243faa71f9b3e92491a6ed2105
: end

Configuração do ASA/PIX com o ASDM

Esta seção demonstra como configurar a filtragem de URLs para o Security Appliance com o ASDM (Adaptive Security Device Manager).

Após iniciar o ASDM, execute os seguintes passos:

  1. Selecione o painel Configuration.

    ASDM_1.gif

  2. Clique em Firewall na lista mostrada no painel Configuration.

    ASDM_2.gif

  3. Na lista suspensa Firewall, escolha URL Filtering Servers. Escolha o tipo do servidor de filtragem de URLs que deseja usar e clique em Add para configurar seus parâmetros.

    Nota: É necessário adicionar o servidor de filtragem antes de configurar as regras de filtragem de HTTP, HTTPS ou FTP.

    ASDM_4.gif

  4. Escolha os parâmetros apropriados na janela pop-up:

    • Interface — Exibe a interface conectada ao servidor de filtragem.

    • IP Address — Exibe o endereço IP do servidor de filtragem.

    • Timeout — Exibe o número de segundos após os quais a solicitação feita ao servidor de filtragem expirará.

    • Protocol — Exibe o protocolo usado na comunicação com o servidor de filtragem. O padrão é TCP versão 1. O TCP versão 4 permite que o PIX Firewall envie nomes de usuários autenticados e informações de log de URLs para o servidor Websense se o PIX Firewall já tiver autenticado o usuário.

    • TCP Connections — Exibe o número máximo de conexões TCP com permissão para se comunicar com o servidor de filtragem de URLs.

    Após inserir os parâmetros, clique em OK na janela pop-up e em Apply na janela principal.

    ASDM_5.gif

  5. Na lista suspensa Firewall, escolha Filter Rules. Clique no botão Add na janela principal e escolha o tipo de regra que deseja adicionar. Neste exemplo, a opção Add Filter HTTP Rule foi escolhida.

    ASDM_8.gif

  6. Quando a janela pop-up for exibida, você poderá clicar nos botões de navegação das opções Source, Destination e Service para escolher os parâmetros apropriados.

    ASDM_9.gif

  7. Isso mostra a janela de navegação para a opção Source. Faça a sua seleção e clique em OK.

    ASDM_10.gif

  8. Após concluir a seleção para todos os parâmetros, clique em OK para continuar.

    ASDM_11.gif

  9. Assim que os parâmetros apropriados forem configurados, clique em Apply para submeter as alterações.

    ASDM_12.gif

  10. Para alterar as opções avançadas da filtragem de URLs, selecione URL Filtering Servers novamente na lista suspensa Firewall e clique no botão Advanced na janela principal.

    ASDM_13.gif

  11. Configure os parâmetros, como tamanho do cache de URLs, tamanho do buffer de URLs e suporte a URLs longos na janela pop-up. Clique em OK na janela pop-up e, em seguida, clique em Apply na janela principal para continuar.

    ASDM_14.gif

  12. Finalmente, certifique-se de salvar as alterações feitas antes de encerrar a sessão do ASDM.

Verificação

Use os comandos desta seção para exibir as informações de filtragem de URLs. Você pode usar os comandos a seguir para verificar a sua configuração.

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  • show url-server — Mostra informações sobre o servidor de filtragem.

    Por exemplo:

    hostname#show url-server
    url-server (DMZ) vendor n2h2 host 192.168.15.15 port 4444 timeout 45 protocol tcp connections 10
    

    No software versão 7.2 ou posterior, execute a forma show running-config url-server do comando.

  • show url-server stats — Mostra informações e estatísticas sobre o servidor de filtragem.

    No software versão 7.2, execute a forma show running-config url-server statistics do comando.

    No software versão 8.0 ou posterior, execute a forma show url-server statistics do comando.

    Por exemplo:

    hostname#show url-server statistics
    
    Global Statistics:
    --------------------
    URLs total/allowed/denied         13/3/10
    URLs allowed by cache/server      0/3
    URLs denied by cache/server       0/10
    HTTPSs total/allowed/denied       138/137/1
    HTTPSs allowed by cache/server    0/137
    HTTPSs denied by cache/server     0/1
    FTPs total/allowed/denied         0/0/0
    FTPs allowed by cache/server      0/0
    FTPs denied by cache/server       0/0
    Requests dropped                  0
    Server timeouts/retries           0/0
    Processed rate average 60s/300s   0/0 requests/second
    Denied rate average 60s/300s      0/0 requests/second
    Dropped rate average 60s/300s     0/0 requests/second
    
    Server Statistics:
    --------------------
    192.168.15.15                     UP
      Vendor                          websense
      Port                            15868
      Requests total/allowed/denied   151/140/11
      Server timeouts/retries         0/0
      Responses received              151
      Response time average 60s/300s  0/0
    
    URL Packets Sent and Received Stats:
    ------------------------------------
    Message                 Sent    Received
    STATUS_REQUEST          1609    1601
    LOOKUP_REQUEST          1526    1526
    LOG_REQUEST             0       NA
    
    Errors:
    -------
    RFC noncompliant GET method     0
    URL buffer update failure       0
    
    
  • show url-block — Mostra a configuração do buffer de bloqueio de URLs.

    Por exemplo:

    hostname#show url-block
        url-block url-mempool 128
        url-block url-size 4
        url-block block 128
    

    No software versão 7.2 ou posterior, execute a forma show running-config url-block do comando.

  • show url-block block statistics — Mostra as estatísticas do bloqueio de URLs.

    Por exemplo:

    hostname#show url-block block statistics
    
    URL Pending Packet Buffer Stats with max block  128
    -----------------------------------------------------
    Cumulative number of packets held:              896
    Maximum number of packets held (per URL):       3
    Current number of packets held (global):        38
    Packets dropped due to
           exceeding url-block buffer limit:        7546
           HTTP server retransmission:              10
    Number of packets released back to client:      0
    

    No software versão 7.2, execute a forma show running-config url-block block statistics do comando.

  • show url-cache stats — Mostra como o cache é usado.

    Por exemplo:

    hostname#show url-cache stats
    
    URL Filter Cache Stats
    ----------------------
        Size :       128KB
     Entries :        1724
      In Use :         456
     Lookups :          45
        Hits :           8
    

    No software versão 8.0, execute a forma show url-cache statistics do comando.

  • show perfmon — Mostra as estatísticas de desempenho da filtragem de URLs, juntamente com outras estatísticas de desempenho. As estatísticas de filtragem são mostradas nas linhas URL Access e URL Server Req.

    Por exemplo:

    hostname#show perfmon
    
    PERFMON STATS:    Current      Average
    Xlates               0/s          0/s
    Connections          0/s          2/s
    TCP Conns            0/s          2/s
    UDP Conns            0/s          0/s
    URL Access           0/s          2/s
    URL Server Req       0/s          3/s
    TCP Fixup            0/s          0/s
    TCPIntercept         0/s          0/s
    HTTP Fixup           0/s          3/s
    FTP Fixup            0/s          0/s
    AAA Authen           0/s          0/s
    AAA Author           0/s          0/s
    AAA Account          0/s          0/s
    
  • show filter — Mostra as configurações de filtragem.

    Por exemplo:

    hostname#show filter
    
    filter url http 192.168.5.5 255.255.255.255 172.30.21.99 255.255.255.255 allow proxy-block longurl-truncate cgi-truncate
    

    No software versão 7.2 ou posterior, execute a forma show running-config filter do comando.

Troubleshooting

No momento não há informações de troubleshooting disponíveis para esta configuração.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 97277