安全 : Cisco PIX 500 系列安全设备

PIX/ASA 7.X:禁用默认全局检查并启用非默认应用程序检查

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈


目录


简介

本文档介绍如何从应用程序的全局策略中删除默认检查,以及如何启用非默认应用程序的检查。

请参阅 ASA 8.3及以上版本:禁用默认全局检查并且启用非默认应用检查使用ASDM关于相同配置的更多信息使用ASDM用Cisco可适应安全工具(ASA)有版本8.3和以上的。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于运行 7.x 软件映像的 PIX 安全设备。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

相关产品

此配置可能也与可适应安全工具(ASA)一起使用该运行7.x软件镜像。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

默认全局策略

默认情况下,配置包含的策略(全局策略)与所有默认应用程序检查数据流相匹配,并可对所有接口上的数据流应用特定检查。默认情况下,并非所有检查都会启用。只能应用一个全局策略。如果希望修改全局策略,则必须编辑默认策略或禁用该策略并应用新的策略。(接口策略将覆盖全局策略。)

默认策略配置包括以下命令:

class-map inspection_default
 match default-inspection-traffic
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect xdmcp 
  inspect sip 
  inspect netbios 
  inspect tftp 
service-policy global_policy global

禁用应用程序的默认全局检查

要禁用应用程序的全局检查,请使用 inspect 命令的 no 版本。

例如,要删除对安全设备监听的 FTP 应用程序的全局检查,请在类配置模式下使用 no inspect ftp 命令。

可以从策略映射配置模式访问类配置模式。要删除该配置,请使用该命令的 no 形式。

pixfirewall(config)#policy-map global_policy
pixfirewall(config-pmap)#class inspection_default
pixfirewall(config-pmap-c)#no inspect ftp

注意: 有关 FTP 检查的详细信息,请参阅 PIX/ASA 7.x启用 FTP/TFTP 服务配置示例

启用非默认应用程序的检查

默认情况下,增强型 HTTP 检查处于禁用状态。

要启用 HTTP 应用程序检查,或者要更改安全设备监听的端口,请在类配置模式下使用 inspect http 命令。

可以从策略映射配置模式访问类配置模式。要删除该配置,请使用此命令的 no 形式。

在将 inspect http 命令与 http-map 参数结合使用时,该命令可防止可能与 HTTP 数据流关联的特定攻击和其他威胁。

有关如何将 http-map 参数与 inspect http 命令结合使用的详细信息,请参阅通过 inspect xdmcp 命令检查 ctiqbeinspect http 部分。

注意: 在某些 URL 中使用二重编码时,会显示如下错误消息。如果必须允许访问此类型的网站,则可以禁用严格 HTTP 检查来解决此问题。

"%PIX-4-415012:15 HTTP Deobfuscation signature detected - Reset HTTP deobfuscation
detected IDS evasion technique from x.x.x.x to y.y.y.y

注意: 其中,x.x.x.x 和 y.y.y.y 表示 IP 地址

在本示例中,通过任何接口进入安全设备的所有 HTTP 连接(端口 80 上的 TCP 数据流)都将归类为需要进行 HTTP 检查。由于该策略为全局策略,因此,只有当数据流进入每个接口时才会进行检查

hostname(config)#class-map http_traffic
hostname(config-cmap)#match port tcp eq 80
hostname(config)#policy-map http_traffic_policy
hostname(config-pmap)#class http_traffic
hostname(config-pmap-c)#inspect http
hostname(config)#service-policy http_traffic_policy global

在本示例中,通过外部接口进入或流出安全设备的所有 HTTP 连接(端口 80 上的 TCP 数据流)都将归类为需要进行 HTTP 检查

hostname(config)#class-map http_traffic
hostname(config-cmap)#match port tcp eq 80
hostname(config)#policy-map http_traffic_policy
hostname(config-pmap)#class http_traffic
hostname(config-pmap-c)#inspect http
hostname(config)#service-policy http_traffic_policy interface outside

本示例显示如何标识 HTTP 数据流,定义 HTTP 映射,定义策略以及将策略应用于外部接口:


hostname(config)#class-map http-port 
hostname(config-cmap)#match port tcp eq 80
hostname(config-cmap)#exit
hostname(config)#http-map inbound_http
hostname(config-http-map)#content-length min 100 max 2000 action reset log
hostname(config-http-map)#content-type-verification match-req-rsp reset log
hostname(config-http-map)#max-header-length request bytes 100 action log reset
hostname(config-http-map)#max-uri-length 100 action reset log
hostname(config-http-map)#exit
hostname(config)#policy-map inbound_policy 
hostname(config-pmap)#class http-port
hostname(config-pmap-c)#inspect http inbound_http 
hostname(config-pmap-c)#exit
hostname(config-pmap)#exit
hostname(config)#service-policy inbound_policy interface outside

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 91891