セキュリティ : Cisco 適応型セキュリティ アプライアンス(ASA)ソフトウェア

Regex の ASA HTTP URL フィルタ 機能性

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料は HTTP インスペクション エンジンの適応性があるセキュリティ アプライアンス モデル(ASA)の URL フィルターの設定を説明したものです。 これは HTTP 要求の部分が regex パターンのリストの使用と一致するとき完了します。 少数仕様 URL をブロックするか、または選り抜きを除いてすべての URL をブロックできます。 

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

設定手順

これらは一般的 な 設定ステップです:

  1. ブロックされるか、または許可する必要があるドメインの候補者リストを識別して下さい

  2. 疑わしいドメインすべてと一致する regex クラスマップを作成して下さい

  3. 廃棄するまたは割り当てトラフィックを構築して下さい HTTP インスペクション ポリシーマップをこれらのドメインと一致する

  4. モジュラ 政策の枠組の HTTP インスペクションにこの HTTP インスペクション ポリシーマップを加えて下さい

ドメインおよび割り当てを他ブロックすることを試みるか、またはすべてのドメインおよび割り当てを少数だけブロックすればかどうかにかかわらず、ステップは HTTP インスペクション ポリシーマップの作成を除いて同一です。

ブロックされるか、または許可する必要があるドメインの候補者リストを識別して下さい

この設定例に関しては、これらのドメインはブロックされるか、または許可されます:

  • cisco1.com

  • cisco2.com

  • cisco3.com

これらのドメインのための regex パターンを設定して下さい:

regex cisco1.com "cisco1.com"regex cisco2.com "cisco2.com"regex cisco3.com "cisco3.com"

疑わしいドメインすべてと一致する regex クラスマップを作成して下さい

regex パターンと一致する regex クラスを設定して下さい:

class-map type regex match-any domain-regex-classmatch regex cisco1.commatch regex cisco2.commatch regex cisco3.com

廃棄するまたは割り当てトラフィックを構築して下さい HTTP インスペクション ポリシーマップをこれらのドメインと一致する

推奨がこの URL フィルタの目標に合うことこの設定が見えるものに理解するために、説明を選択して下さい。 上で構築された regex クラスはどちらか許可する必要があるまたはブロックする必要があるドメインのリストですドメインのリスト。

  • リストされている物を除いてすべてのドメインを割り当てて下さい

    この設定へのキーはリストされているドメインと一致する HTTP トランザクションが「ブロック ドメイン クラス」として分類されるところにクラスマップが作成されることです。 このクラスと一致する HTTP トランザクションはリセットされ、閉じられます。 基本的に、これらのドメインと一致する HTTP トランザクションだけリセットされます。

    class-map type inspect http match-all blocked-domain-class match request header host regex class domain-regex-class!policy-map type inspect http regex-filtering-policy parameters class blocked-domain-class  reset log  
  • リストされている物を除いてすべてのドメインをブロックして下さい

    この設定へのキーはクラスマップが一致する キーワードを使用して「ない」作成されることです。 これはドメインのリストを一致するどのドメインでも「許ドメイン クラス」とよばれるクラスを一致する必要があることをファイアウォールに告げます。 そのクラスを一致する HTTP トランザクションはリセットされ、閉じられます。 基本的に、すべての HTTP トランザクションはリストされているドメインを一致するリセットされます。

    class-map type inspect http match-all allowed-domain-class match not request header host regex class domain-regex-class!policy-map type inspect http regex-filtering-policy parameters class allowed-domain-class  reset log

モジュラ 政策の枠組の HTTP インスペクションにこの HTTP インスペクション ポリシーマップを加えて下さい

HTTP インスペクション ポリシーマップが「regex フィルタリング ポリシー」で設定されるので、HTTP インスペクションその存在かモジュラ 政策の枠組の新しいインスペクションにこのポリシーマップを加えて下さい。 たとえば、これは「global_policy で」設定される「inspection_default」クラスにインスペクションを追加します。

policy-map global_policy class inspection_default  inspect http regex-filtering-policy

一般的な問題

HTTP インスペクション ポリシーマップおよび HTTP クラスマップが設定されるとき、一致か一致が望まれる目標のためそれでないであるはずである設定されるようにして下さい。 これはスキップする簡単なキーワードで、故意ではない動作という結果に終ります。 また、処理するあらゆる高度パケットと同様に、処理する regex のこの形式により ASA CPU稼働率は増加しますかもしれません、また廃棄するべきスループット。 さらに多くの regex パターンが追加される時注意して下さい。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 115998