安全 : 思科自适应安全设备 (ASA) 软件

ASA HTTP URL与REGEX的过滤器功能

2016 年 10 月 27 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文描述URL过滤器的配置在可适应安全工具(ASA)的用HTTP检查引擎。当HTTP请求的部分匹配与使用REGEX模式时,列表这完成。您能阻塞特定URL或阻塞所有URL除了选上的一些。 

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

配置

本部分提供有关如何配置本文档所述功能的信息。

注意:使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

配置步骤

这些是一般配置步骤:

  1. 识别应该阻塞或允许域的一个最后的名单

  2. 创建匹配有问题的所有的域的REGEX类映射

  3. 构件丢弃的HTTP检查策略映射或允许匹配这些域的流量

  4. 应用此HTTP检查策略映射对在模块化政策架构的一HTTP检查

不论设法阻塞一些域和允许其他或者阻塞所有域并且允许仅一些,步骤是相同的除了HTTP检查策略映射的创建。

识别应该阻塞或允许域的最后的名单

对于此配置示例,这些域阻塞或允许:

  • cisco1.com

  • cisco2.com

  • cisco3.com

配置这些域的REGEX模式:

regex cisco1.com "cisco1.com"regex cisco2.com "cisco2.com"regex cisco3.com "cisco3.com"

创建匹配有问题的所有的域的REGEX类映射

配置匹配REGEX模式的REGEX类:

class-map type regex match-any domain-regex-classmatch regex cisco1.commatch regex cisco2.commatch regex cisco3.com

构件丢弃的HTTP检查策略映射或允许匹配这些域的流量

为了了解什么此配置将看上去象,请选择该最佳适合此URL过滤目标的说明。被建立的REGEX类以上二者之一将是应该允许域的列表或应该阻塞域的列表。

  • 允许所有域除了列出的那个

    对此配置的密钥是类映射创建匹配列出的地方域的HTTP处理分类作为“阻塞域中集集团”。匹配此类的HTTP处理重置并且关闭。本质上,匹配这些域仅的HTTP处理重置。

    class-map type inspect http match-all blocked-domain-class match request header host regex class domain-regex-class!policy-map type inspect http regex-filtering-policy parameters class blocked-domain-class  reset log  
  • 阻塞所有域除了列出的那个

    对此配置的密钥是类映射创建使用关键字“匹配没有”。这告诉防火墙不匹配域列表的所有域应该匹配题为“允许域中集集团的”类。配比的HTTP处理类将重置并且关闭。本质上,除非他们匹配列出的域所有HTTP处理将重置。

    class-map type inspect http match-all allowed-domain-class match not request header host regex class domain-regex-class!policy-map type inspect http regex-filtering-policy parameters class allowed-domain-class  reset log

应用此HTTP检查策略映射对在模块化政策架构的HTTP检查

即然HTTP检查策略映射配置作为“REGEX过滤策略”,请应用存在的此策略映射对HTTP检查或在模块化政策架构的一新的检查。例如,这添加检查到在“global_policy”配置的“inspection_default”类。

policy-map global_policy class inspection_default  inspect http regex-filtering-policy

常见问题

当HTTP检查策略映射和HTTP类别映射配置时,请保证该匹配或匹配没有配置,当应该是为希望的目标。这是跳过的一个简单关键字并且导致不愿意的行为。并且,处理,正如所有先进的数据包的REGEX此表处理,也许造成ASA CPU利用率增加以及丢弃的吞吐量。当越来越多的REGEX模式被添加,请小心。



Document ID: 115998