Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

ASA/PIX 8.x: Determinados Web site do bloco (URL) que usam expressões regulares com exemplo da configuração MPF

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento descreve como configurar os Cisco Security Appliances ASA/PIX 8.x que usam expressões regulares com Estrutura de Política Modular (MPF) para bloquear determinados sites da Web (URL).

Nota: Esta configuração não obstrui todas as transferências do aplicativo. Para o arquivo seguro que obstrui, um dispositivo dedicado tal como a série S de Ironport ou um módulo tal como o módulo CSC para o ASA devem ser usados.

Nota: A filtração HTTPS não é apoiada no ASA. O ASA não pode fazer a inspeção de pacote de informação profunda ou inspeção baseada na expressão regular para o tráfego HTTPS, porque no HTTPS, o índice do pacote é cifrado (SSL).

Pré-requisitos

Requisitos

Este documento supõe que o dispositivo do Cisco Security está configurado e trabalha corretamente.

Componentes Utilizados

  • A ferramenta de segurança adaptável do Cisco 5500 Series (ASA) essa executa a versão de software 8.0(x) e mais atrasada

  • Versão 6.x do Cisco Adaptive Security Device Manager (ASDM) para ASA 8.x

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração pode igualmente ser usada com o Cisco 500 Series PIX que executa a versão de software 8.0(x) e mais atrasado.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Vista geral modular da estrutura de política

O MPF fornece um consistente e uma maneira flexível para configurar características da ferramenta de segurança. Por exemplo, você pode usar o MPF para criar uma configuração do intervalo que seja específica a um aplicativo de TCP/IP particular, ao contrário de um que se aplica a todos os aplicativos de TCP/IP.

O MPF apoia estas características:

  • Normalização TCP, TCP e limites e intervalos da conexão de UDP, e de número de sequência TCP randomization

  • CSC

  • Inspeção de aplicativo

  • IPS

  • Vigilância de entrada de QoS

  • QoS output o policiamento

  • Fila de prioridade de QoS

A configuração do MPF consiste em quatro tarefas:

  1. Identifique a camada 3 e o tráfego 4 a que você quer aplicar ações. Refira a identificação do tráfego usando um mapa da classe da camada 3/4 para mais informação.

  2. (Inspeção de aplicativo somente) defina ações especiais para o tráfego da inspeção de aplicativo. Refira configurar ações especiais para inspeções de aplicativo para mais informação.

  3. Aplique ações à camada 3 e o tráfego 4. Refira a definição de ações usando um mapa de política da camada 3/4 para mais informação.

  4. Ative as ações em uma relação. Refira a aplicação de uma política da camada 3/4 a uma relação usando uma política de serviços para mais informação.

Expressão regular

Uma expressão regular combina sequências de caracteres de texto literalmente como uma corda exata, ou pelo uso dos metacharacters assim que você pode combinar variações múltiplas de uma sequência de caracteres de texto. Você pode usar uma expressão regular para combinar o índice de determinado tráfego de aplicativo; por exemplo, você pode combinar uma série de URL dentro de um pacote de HTTP.

Nota: Use Ctrl+V a fim escapar todos os caracteres especiais no CLI, tal como o ponto de interrogação (?) ou uma aba. Por exemplo, datilografe o [Ctrl+V] d? g a fim incorporar d? g na configuração.

Para a criação de uma expressão regular, use o comando do regex, que pode ser usado para as várias características que exigem a harmonização do texto. Por exemplo, você pode configurar ações especiais para a inspeção de aplicativo com o uso da estrutura de política modular que usa um mapa de política da inspeção. Refira o tipo comando inspect do mapa de política para mais informação. No mapa de política da inspeção, você pode identificar o tráfego que você quer atuar em cima se você cria um mapa da classe da inspeção que contenha uns ou vários comandos match ou você pode usar comandos match diretamente no mapa de política da inspeção. Alguns comandos match deixaram-no identificar o texto em um pacote usando uma expressão regular; por exemplo, você pode combinar séries de URL dentro dos pacotes de HTTP. Você pode agrupar expressões regulares em um mapa da classe da expressão regular. Refira o tipo comando do mapa de classe do regex para mais informação.

Esta tabela alista os metacharacters que têm significados especiais.

Caractere Descrição Notas
. Ponto Combina todo caractere único. Por exemplo, d.g combina o cão, o dag, o dtg, e a toda a palavra que contiver aqueles caráteres, tais como o doggonnit.
(exp) Subexpression Um subexpression segrega caráteres dos caráteres circunvizinhos, de modo que você possa usar outros metacharacters no subexpression. Por exemplo, d (o|o cão dos fósforos a) g e o dag, mas fazem|os fósforos AG fazem e AG. Um subexpression pode igualmente ser usado com quantifiers da repetição para diferenciar os caráteres significados para a repetição. Por exemplo, ab(xy){3}z combina o abxyxyxyz.
| Alternação Combina uma ou outra expressão que separa. Por exemplo, cão|o gato combina o cão ou o gato.
? Ponto de interrogação Um quantifier que indique que há 0 ou 1 da expressão anterior. Por exemplo, lo? o SE combina o lse ou perde-o.

Nota: Você deve incorporar Ctrl+V e então o ponto de interrogação ou então a função de ajuda são invocados.

* Asterisco Um quantifier que indique que há 0, 1 ou todo o número da expressão anterior. Por exemplo, o lo*se combina o lse, perde, fraco, e assim por diante.
{x} Repita o quantifier Repita exatamente tempos x. Por exemplo, ab(xy){3}z combina o abxyxyxyz.
{x,} Quantifier mínimo da repetição Repita pelo menos tempos x. Por exemplo, ab(xy){2,}z combina o abxyxyz, abxyxyxyz, e assim por diante.
[abc] Classe de caráter Combina todo o caráter nos suportes. Por exemplo, o [abc] combina a, b, ou C.
[^abc] Classe de caráter negada Combina um único caráter que não seja contido dentro dos suportes. Por exemplo, o [^abc] combina todo o caráter a não ser a, b, ou o [^A-Z] C. combina qualquer único caráter que não for uma letra maiúscula.
[a-c] Classe da escala do caráter Combina todo o caráter na escala. o [a-z] combina toda a letra minúscula. Você pode misturar caráteres e escalas: o [abcq-z] combina a, b, c, q, r, s, t, u, v, w, x, y, z, e assim que faz o [a-cq-z]. O caráter do traço (-) é literal somente se é o último ou o primeiro caráter dentro dos suportes: [abc-] ou [-abc].
"" Cotação - marcas Conservas que arrastam ou que conduzem espaços na corda. Por exemplo, o “teste” preserva o espaço principal quando procura um fósforo.
^ Sinal de intercalação Especifica o começo de uma linha
\ Caractere de escape Quando usado com um metacharacter, combina um caráter literal. Por exemplo, \ [combina o suporte quadrado esquerdo.
carvão animal Caractere Quando o caráter não é um metacharacter, combina o caráter literal.
\ r Tecla semelhante a tecla ENTER Combina uma tecla semelhante a tecla ENTER 0x0d
\ n Newline Combina uma nova linha 0x0a
\ t Aba Combina uma aba 0x09
\ f Formfeed Combina uma alimentação de formulário 0x0c
\ xNN Número hexadecimal escapado Combina um caractere ASCII que use um hexadecimal que seja exatamente dois dígitos
\ NNN Número octal escapado Combina um caractere ASCII porque octal que seja exatamente três dígitos. Por exemplo, o caráter 040 representa um espaço.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

/image/gif/paws/100535/asa-8x-regex-config01.gif

Configurações

Este documento utiliza as seguintes configurações:

Configuração do ASA via CLI

Configuração do ASA via CLI
ciscoasa#show running-config
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 192.168.1.5 255.255.255.0
!
interface Ethernet0/2
 nameif DMZ
 security-level 90
 ip address 10.77.241.142 255.255.255.192
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted

regex urllist1 ".*\.([Ee][Xx][Ee]|[Cc][Oo][Mm]|[Bb][Aa][Tt]) HTTP/1.[01]"


!--- Extensions such as .exe, .com, .bat to be captured and 
!--- provided the http version being used by web browser must be either 1.0 or 1.1


regex urllist2 ".*\.([Pp][Ii][Ff]|[Vv][Bb][Ss]|[Ww][Ss][Hh]) HTTP/1.[01]"

!--- Extensions such as .pif, .vbs, .wsh to be captured 
!--- and provided the http version being used by web browser must be either 
!--- 1.0 or 1.1


regex urllist3 ".*\.([Dd][Oo][Cc]|[Xx][Ll][Ss]|[Pp][Pp][Tt]) HTTP/1.[01]"


!--- Extensions such as .doc(word), .xls(ms-excel), .ppt to be captured and provided 
!--- the http version being used by web browser must be either 1.0 or 1.1


regex urllist4 ".*\.([Zz][Ii][Pp]|[Tt][Aa][Rr]|[Tt][Gg][Zz]) HTTP/1.[01]"


!--- Extensions such as .zip, .tar, .tgz to be captured and provided 
!--- the http version being used by web browser must be either 1.0 or 1.1


regex domainlist1 "\.yahoo\.com"
regex domainlist2 "\.myspace\.com"
regex domainlist3 "\.youtube\.com"


!--- Captures the URLs with domain name like yahoo.com,
!--- youtube.com and myspace.com


regex contenttype "Content-Type"
regex applicationheader "application/.*"


!--- Captures the application header and type of
!--- content in order for analysis


boot system disk0:/asa802-k8.bin
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid

access-list inside_mpc extended permit tcp any any eq www

access-list inside_mpc extended permit tcp any any eq 8080


!--- Filters the http and port 8080
!--- traffic in order to block the specific traffic with regular
!--- expressions


pager lines 24
mtu inside 1500
mtu outside 1500
mtu DMZ 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
route DMZ 0.0.0.0 0.0.0.0 10.77.241.129 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 0.0.0.0 0.0.0.0 DMZ
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map type regex match-any DomainBlockList
 match regex domainlist1
 match regex domainlist2
 match regex domainlist3


!--- Class map created in order to match the domain names
!--- to be blocked


class-map type inspect http match-all BlockDomainsClass
 match request header host regex class DomainBlockList


!--- Inspect the identified traffic by class
!--- "DomainBlockList".


class-map type regex match-any URLBlockList
 match regex urllist1
 match regex urllist2
 match regex urllist3
 match regex urllist4


!--- Class map created in order to match the URLs
!--- to be blocked


class-map inspection_default
 match default-inspection-traffic

class-map type inspect http match-all AppHeaderClass
 match response header regex contenttype regex applicationheader


!--- Inspect the captured traffic by regular
!--- expressions "content-type" and "applicationheader".


class-map httptraffic
 match access-list inside_mpc


!--- Class map created in order to match the
!--- filtered traffic by ACL


class-map type inspect http match-all BlockURLsClass
 match request uri regex class URLBlockList
!

!--- Inspect the identified traffic by class
!--- "URLBlockList".


!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map type inspect http http_inspection_policy
 parameters
  protocol-violation action drop-connection
 class AppHeaderClass
  drop-connection log
 match request method connect
  drop-connection log
 class BlockDomainsClass
  reset log
 class BlockURLsClass
  reset log


!--- Define the actions such as drop, reset or log
!--- in the inspection policy map.


policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp

policy-map inside-policy
 class httptraffic
  inspect http http_inspection_policy


!--- Map the inspection policy map to the class
!--- "httptraffic" under the policy map created for the
!--- inside network traffic.


!
service-policy global_policy global
service-policy inside-policy interface inside


!--- Apply the policy to the interface inside where the
websites are blocked.


prompt hostname context
Cryptochecksum:e629251a7c37af205c289cf78629fc11
: end
ciscoasa#

Configuração 8.x ASA com ASDM 6.x

Termine estas etapas a fim configurar as expressões regulares e aplicá-las no MPF para obstruir como mostrado os Web site específicos.

  1. Crie expressões regulares

    Escolha a configuração > o Firewall> objeta > expressões regulares e o clique adiciona sob a expressão regular da aba a fim criar como mostrado expressões regulares.

    1. Crie uma expressão regular domainlist1 a fim capturar o Domain Name yahoo.com. Clique em OK.

      asa-8x-regex-config02.gif

    2. Crie uma expressão regular domainlist2 a fim capturar o Domain Name myspace.com. Clique em OK.

      asa-8x-regex-config03.gif

    3. Crie uma expressão regular domainlist3 a fim capturar o Domain Name youtube.com. Clique em OK.

      asa-8x-regex-config04.gif

    4. Crie uma expressão regular urllist1 a fim capturar as extensões de arquivo tais como o exe, a COM e o bastão contanto que a versão HTTP que está sendo usada pelo navegador da Web deve ser 1.0 ou 1.1. Clique em OK.

      asa-8x-regex-config05.gif

    5. Crie uma expressão regular urllist2 a fim capturar as extensões de arquivo tais como pif, vbs e wsh contanto que a versão HTTP que está sendo usada pelo navegador da Web deve ser 1.0 ou 1.1. Clique em OK.

      asa-8x-regex-config06.gif

    6. Crie uma expressão regular urllist3 a fim capturar as extensões de arquivo tais como o doc, os xls e o ppt contanto que a versão HTTP que está sendo usada pelo navegador da Web deve ser 1.0 ou 1.1. Clique em OK.

      asa-8x-regex-config07.gif

    7. Crie uma expressão regular urllist4 a fim capturar as extensões de arquivo tais como o fecho de correr, o alcatrão e o tgz contanto que a versão HTTP que está sendo usada pelo navegador da Web deve ser 1.0 ou 1.1. Clique em OK.

      asa-8x-regex-config08.gif

    8. Crie um contenttype da expressão regular a fim capturar o tipo de conteúdo. Clique em OK.

      asa-8x-regex-config09.gif

    9. Crie um applicationheader da expressão regular a fim capturar o vário encabeçamento do aplicativo. Clique em OK.

      asa-8x-regex-config10.gif

      Configuração de CLI equivalente

      Configuração do ASA via CLI
      ciscoasa#configure terminal
      ciscoasa(config)#regex urllist1 ".*\.([Ee][Xx][Ee]|[Cc][Oo][Mm]|[Bb][Aa][Tt])$
      ciscoasa(config)#regex urllist2 ".*\.([Pp][Ii][Ff]|[Vv][Bb][Ss]|[Ww][Ss][Hh])$
      ciscoasa(config)#regex urllist3 ".*\.([Dd][Oo][Cc]|[Xx][Ll][Ss]|[Pp][Pp][Tt])$
      ciscoasa(config)#regex urllist4 ".*\.([Zz][Ii][Pp]|[Tt][Aa][Rr]|[Tt][Gg][Zz])$
      ciscoasa(config)#regex domainlist1 "\.yahoo\.com"
      ciscoasa(config)#regex domainlist2 "\.myspace\.com"
      ciscoasa(config)#regex domainlist3 "\.youtube\.com"
      ciscoasa(config)#regex contenttype "Content-Type"
      ciscoasa(config)#regex applicationheader "application/.*"

  2. Crie classes da expressão regular

    Escolha a configuração > o Firewall > os objetos > as expressões regulares e o clique adiciona sob as classes da expressão regular da aba a fim criar como mostrado as várias classes.

    1. Crie uma classe DomainBlockList da expressão regular a fim combinar algumas das expressões regulares domainlist1, domainlist2 e domainlist3. Clique em OK.

      asa-8x-regex-config11.gif

    2. Crie uma classe URLBlockList da expressão regular a fim combinar algumas das expressões regulares urllist1, urllist2, urllist3 e urllist4. Clique em OK.

      asa-8x-regex-config12.gif

      Configuração de CLI equivalente

      Configuração do ASA via CLI
      ciscoasa#configure terminal
      ciscoasa(config)#class-map type inspect http match-all BlockDomainsClass
      ciscoasa(config-cmap)#match request header host regex class DomainBlockList
      ciscoasa(config-cmap)#exit
      ciscoasa(config)#class-map type regex match-any URLBlockList
      ciscoasa(config-cmap)#match regex urllist1
      ciscoasa(config-cmap)#match regex urllist2
      ciscoasa(config-cmap)#match regex urllist3
      ciscoasa(config-cmap)#match regex urllist4
      ciscoasa(config-cmap)#exit
      

  3. Inspecione o tráfego identificado com mapas da classe

    Escolha a configuração > o Firewall > os objetos > a classe traça > > Add HTTP a fim criar um mapa da classe para inspecionar o tráfego HTTP identificado por várias expressões regulares como mostradas.

    1. Crie um mapa AppHeaderClass da classe a fim combinar o cabeçalho da resposta com as captações das expressões regulares.

      /image/gif/paws/100535/asa-8x-regex-config13.gif

      Clique em OK.

    2. Crie um mapa BlockDomainsClass da classe a fim combinar o encabeçamento de pedido com as captações das expressões regulares.

      /image/gif/paws/100535/asa-8x-regex-config14.gif

      Clique em OK.

    3. Crie um mapa BlockURLsClass da classe a fim combinar o uri do pedido com as captações das expressões regulares.

      /image/gif/paws/100535/asa-8x-regex-config15.gif

      Clique em OK.

      Configuração de CLI equivalente

      Configuração do ASA via CLI
      ciscoasa#configure terminal
      ciscoasa(config)#class-map type inspect http match-all AppHeaderClass
      ciscoasa(config-cmap)#match response header regex contenttype regex applicationheader
      ciscoasa(config-cmap)#exit
      ciscoasa(config)#class-map type inspect http match-all BlockDomainsClass
      ciscoasa(config-cmap)#match request header host regex class DomainBlockList
      ciscoasa(config-cmap)#exit
      ciscoasa(config)#class-map type inspect http match-all BlockURLsClass
      ciscoasa(config-cmap)#match request uri regex class URLBlockList
      ciscoasa(config-cmap)#exit
      

  4. Ajuste as ações para o tráfego combinado na política da inspeção

    Escolha a configuração > o Firewall > os objetos > inspecionam mapas > HTTP a fim criar um http_inspection_policy para ajustar como mostrado a ação para o tráfego combinado. Clique em OK.

    asa-8x-regex-config16.gif

    1. Escolha a configuração > o Firewall > os objetos > inspecionam mapas > HTTP > http_inspection_policy (dobre o clique) e clicam o > Add dos detalhes a fim ajustar as ações para as várias classes criadas até agora.

      asa-8x-regex-config18.gif

    2. Ajuste a ação como a conexão da gota e permita o registro para o critério como o método do pedido e valor como conectam.

      /image/gif/paws/100535/asa-8x-regex-config17.gif

      Clique em OK.

    3. Ajuste a ação como a conexão da gota e permita o registro para a classe AppHeaderClass.

      /image/gif/paws/100535/asa-8x-regex-config19.gif

      Clique em OK.

    4. Ajuste a ação como a restauração e permita o registro para a classe BlockDomainsClass.

      asa-8x-regex-config20.gif

      Clique em OK.

    5. Ajuste a ação como a restauração e permita o registro para a classe BlockURLsClass.

      asa-8x-regex-config21.gif

      Clique em OK.

      Clique em Apply.

      Configuração de CLI equivalente

      Configuração do ASA via CLI
      ciscoasa#configure terminal
      ciscoasa(config)#policy-map type inspect http http_inspection_policy
      ciscoasa(config-pmap)#parameters
      ciscoasa(config-pmap-p)#match request method connect
      ciscoasa(config-pmap-c)#drop-connection log
      ciscoasa(config-pmap-c)#class AppHeaderClass
      ciscoasa(config-pmap-c)#drop-connection log
      ciscoasa(config-pmap-c)#class BlockDomainsClass
      ciscoasa(config-pmap-c)#reset log
      ciscoasa(config-pmap-c)#class BlockURLsClass
      ciscoasa(config-pmap-c)#reset log
      ciscoasa(config-pmap-c)#exit
      ciscoasa(config-pmap)#exit
      

  5. Aplique a política HTTP da inspeção à relação

    Escolha a regra da configuração > da política de serviços do > Add do > Add das regras do Firewall > da política de serviços.

    /image/gif/paws/100535/asa-8x-regex-config22.gif

    1. Tráfego de HTTP

      1. Escolha o botão de rádio da relação com interface interna do nome do menu e da política de gota para baixo como a dentro-política. Clique em Next.

        asa-8x-regex-config23.gif

      2. Crie um mapa da classe httptraffic e verifique o endereço IP de origem e de destino (usos ACL). Clique em Next.

        asa-8x-regex-config24.gif

      3. Escolha a fonte e o destino tão com serviço quanto o TCP-UDP/HTTP. Clique em Next.

        asa-8x-regex-config25.gif

      4. Verifique o botão de rádio HTTP e o clique configura.

        /image/gif/paws/100535/asa-8x-regex-config26.gif

      5. Verifique o botão de rádio selecionam um HTTP inspecionam o mapa para o controle sobre a inspeção como mostrado. Clique em OK.

        asa-8x-regex-config27.gif

      6. Clique em Finish.

        asa-8x-regex-config28.gif

    2. Tráfego da porta 8080

      1. Além disso, escolha adicionam a regra da política de serviços do > Add.

        /image/gif/paws/100535/asa-8x-regex-config34-1.gif

      2. Clique em Next.

        asa-8x-regex-config35.gif

      3. Escolha o botão de rádio adicionam a regra a classe de tráfego existente e escolhem httptraffic do menu de gota para baixo. Clique em Next.

        asa-8x-regex-config36.gif

      4. Escolha a fonte e o destino como alguns com tcp/8080. Clique em Next.

        asa-8x-regex-config37.gif

      5. Clique em Finish.

        /image/gif/paws/100535/asa-8x-regex-config38.gif

        asa-8x-regex-config39-1.gif

        Clique em Apply.

        Configuração de CLI equivalente

        Configuração do ASA via CLI
        ciscoasa#configure terminal
        ciscoasa(config)#access-list inside_mpc extended permit tcp any any eq www
        
        ciscoasa(config)#access-list inside_mpc extended permit tcp any any eq 8080
        ciscoasa(config)#class-map httptraffic
        ciscoasa(config-cmap)#match access-list inside_mpc
        ciscoasa(config-cmap)#exit
        ciscoasa(config)#policy-map inside-policy
        ciscoasa(config-pmap)#class httptraffic
        ciscoasa(config-pmap-c)#inspect http http_inspection_policy
        ciscoasa(config-pmap-c)#exit
        ciscoasa(config-pmap)#exit
        ciscoasa(config)#service-policy inside-policy interface inside
        

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  • mostre o regex da executar-configuração — Mostra as expressões regulares que foram configuradas

    ciscoasa#show running-config regex
    regex urllist1 ".*\.([Ee][Xx][Ee]|[Cc][Oo][Mm]|[Bb][Aa][Tt]) HTTP/1.[01]"
    regex urllist2 ".*\.([Pp][Ii][Ff]|[Vv][Bb][Ss]|[Ww][Ss][Hh]) HTTP/1.[01]"
    regex urllist3 ".*\.([Dd][Oo][Cc]|[Xx][Ll][Ss]|[Pp][Pp][Tt]) HTTP/1.[01]"
    regex urllist4 ".*\.([Zz][Ii][Pp]|[Tt][Aa][Rr]|[Tt][Gg][Zz]) HTTP/1.[01]"
    regex domainlist1 "\.yahoo\.com"
    regex domainlist2 "\.myspace\.com"
    regex domainlist3 "\.youtube\.com"
    regex contenttype "Content-Type"
    regex applicationheader "application/.*"
    ciscoasa#
  • mostre o mapa de classe da executar-configuração — Mostra os mapas da classe que foram configurados

    ciscoasa#show running-config class-map
    !
    class-map type regex match-any DomainBlockList
     match regex domainlist1
     match regex domainlist2
     match regex domainlist3
    class-map type inspect http match-all BlockDomainsClass
     match request header host regex class DomainBlockList
    class-map type regex match-any URLBlockList
     match regex urllist1
     match regex urllist2
     match regex urllist3
     match regex urllist4
    class-map inspection_default
     match default-inspection-traffic
    class-map type inspect http match-all AppHeaderClass
     match response header regex contenttype regex applicationheader
    class-map httptraffic
     match access-list inside_mpc
    class-map type inspect http match-all BlockURLsClass
     match request uri regex class URLBlockList
    !
    ciscoasa#
  • o tipo do mapa de política da executar-configuração da mostra inspeciona o HTTP — Mostra os mapas da política que inspeciona o tráfego HTTP que foi configurado

    ciscoasa#show running-config policy-map type inspect http
    !
    policy-map type inspect http http_inspection_policy
     parameters
      protocol-violation action drop-connection
     class AppHeaderClass
      drop-connection log
     match request method connect
      drop-connection log
     class BlockDomainsClass
      reset log
     class BlockURLsClass
      reset log
    !
    ciscoasa#
  • mostre o mapa de política da executar-configuração — Indica todas as configurações de mapa de política assim como configuração de mapa de política do padrão

    ciscoasa#show running-config policy-map
    !
    policy-map type inspect dns preset_dns_map
     parameters
      message-length maximum 512
    policy-map type inspect http http_inspection_policy
     parameters
      protocol-violation action drop-connection
     class AppHeaderClass
      drop-connection log
     match request method connect
      drop-connection log
     class BlockDomainsClass
      reset log
     class BlockURLsClass
      reset log
    policy-map global_policy
     class inspection_default
      inspect dns preset_dns_map
      inspect ftp
      inspect h323 h225
      inspect h323 ras
      inspect netbios
      inspect rsh
      inspect rtsp
      inspect skinny
      inspect esmtp
      inspect sqlnet
      inspect sunrpc
      inspect tftp
      inspect sip
      inspect xdmcp
    policy-map inside-policy
     class httptraffic
      inspect http http_inspection_policy
    !
    ciscoasa#
  • mostre a serviço-política da executar-configuração — Indica todas as configurações atualmente sendo executado da política de serviços

    ciscoasa#show running-config service-policy
    service-policy global_policy global
    service-policy inside-policy interface inside
  • mostre a lista de acesso da executar-configuração — Indica a configuração de lista de acesso que é executado na ferramenta de segurança

    ciscoasa#show running-config access-list
    access-list inside_mpc extended permit tcp any any eq www
    
    access-list inside_mpc extended permit tcp any any eq 8080
    ciscoasa#

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

  • debugar o HTTP — Mostra as mensagens debugar para o tráfego de HTTP


Informações Relacionadas


Document ID: 100535