Seguridad : Dispositivos de seguridad Cisco PIX de la serie 500

Ejemplo de Configuración de Filtrado URL en PIX/ASA

9 Septiembre 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (13 Septiembre 2013) | Inglés (10 Octubre 2008) | Comentarios

Contenido

Introducción
Prerrequisitos
      Componentes Utilizados
      Convenciones
Antecedentes
Configuración de ASA/PIX con la CLI
      Diagrama de Red
      Identificación del Servidor de Filtrado
      Configuración de la Política de Filtrado
      Filtrado URL Avanzado
      Configuración
Configuración de ASA/PIX con ASDM
Verificación
Troubleshooting
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

En este documento, se explica cómo configurar el filtrado URL en un dispositivo de seguridad.

El filtrado de tráfico posee las siguientes ventajas:

  • Puede ayudar a reducir los riesgos de seguridad y evitar usos inadecuados.

  • Puede proporcionar mayor control del tráfico que pasa a través del dispositivo de seguridad.

Nota: Debido a que el filtrado URL utiliza el CPU de manera intensiva, el uso de un servidor de filtrado externo garantiza que no se afecte el rendimiento de otro tipo de tráfico. Sin embargo, dependiendo de la velocidad de la red y la capacidad del servidor de filtrado URL, el tiempo que se requiere para la conexión inicial puede ser notablemente más lento cuando se filtra el tráfico con un servidor de filtrado externo.

Prerrequisitos

Componentes Utilizados

La información de este documento se basa en las siguientes versiones de software y hardware:

  • PIX 500 Series Security Appliance con versión 6.2 o posteriores

  • ASA 5500 Series Security Appliance con versión 7.x o posteriores

  • Adaptive Security Device Manager (ADSM) 6.0

La información de este documento se creó a partir de los dispositivos en un entorno específico de laboratorio. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración vacía (predeterminada). Si su red está en funcionamiento, asegúrese de comprender el posible efecto de los comandos.

Convenciones

Consulte las Cisco Technical Tips Conventions para obtener más información sobre las convenciones del documento.

Antecedentes

Las peticiones de conexión que se originan desde una red más segura hacia una red menos segura se pueden filtrar. Aunque se pueden utilizar listas de control de acceso (ACL) para evitar el acceso de salida a servidores de contenido específico, resulta difícil administrar el uso de esta manera debido al tamaño y a la naturaleza dinámica de Internet. Se puede simplificar la configuración y mejorar el rendimiento del dispositivo de seguridad utilizando un servidor independiente que ejecute uno de los siguientes productos para filtrado de Internet:

  • Websense Enterprise: Filtros HTTP, HTTPS y FTP. Se puede utilizar con firewall PIX versión 5.3 y posteriores.

  • Secure Computing SmartFilter (antes conocido como N2H2): Filtra HTTP, HTTPS, FTP y realiza el filtrado de direcciones URL largas. Se puede utilizar con firewall PIX versión 6.2 y posteriores.

En comparación con las listas de control de acceso, se reduce la tarea administrativa y se mejora la efectividad del filtrado. Además, debido a que el filtrado de direcciones URL se maneja en una plataforma independiente, se afecta mucho menos el rendimiento del firewall PIX. Sin embargo, cuando el servidor de filtrado está en una ubicación remota con respecto al dispositivo de seguridad, los usuarios pueden percibir que el tiempo de acceso a sitios Web o servidores FTP es mayor.

El firewall PIX controla las peticiones salientes de direcciones URL con la política definida en el servidor de filtrado URL. Dependiendo de la respuesta del servidor de filtrado, el firewall PIX permite o deniega la conexión.

Cuando el filtrado está activado y se envía una petición de contenido a través del dispositivo de seguridad, la petición se envía al servidor de contenido y al servidor de filtrado al mismo tiempo. Si el servidor de filtrado permite la conexión, el dispositivo de seguridad reenvía la respuesta desde el servidor de contenido al cliente donde se originó la petición. Si el servidor de filtrado deniega la conexión, el dispositivo de seguridad descarta la respuesta y envía un mensaje o código de retorno que indica que la conexión no ha tenido éxito.

Si la autenticación de usuario está habilitada en el dispositivo de seguridad, éste envía también el nombre de usuario al servidor de filtrado. El servidor de filtrado puede utilizar configuraciones de filtrado específicas para cada usuario o proporcionar mejores informes con respecto al uso.

Configuración de ASA/PIX con la CLI

En esta sección, encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más infomación sobre los comandos utilizados en esta sección.

Diagrama de Red

En este documento, se utiliza la siguiente configuración de red:

URL_Filtering_Diagram.gif

En este ejemplo, el servidor de filtrado URL se encuentra en una red DMZ. Los usuarios finales que se encuentran dentro de la red intentan acceder al servidor Web que se encuentra fuera de la red a través de Internet.

Durante la petición de servidor Web que realiza el usuario, se realizan los siguientes pasos:

  1. El usuario final navega hacia una página del servidor Web y el explorador envía una petición HTTP.

  2. Después de que el dispositivo de seguridad recibe esta petición, la reenvía al servidor Web y al mismo tiempo extrae la dirección URL y envía una solicitud de búsqueda al servidor de filtrado URL.

  3. Después de que el servidor de filtrado URL recibe la solicitud de búsqueda, revisa su base de datos para determinar si se permite o se niega la dirección URL. Devuelve un estado de permiso o negación con una respuesta de búsqueda al firewall Cisco IOS®.

  4. El dispositivo de seguridad recibe esta respuesta de búsqueda y realiza una de las siguientes acciones:

    • Si la respuesta de búsqueda permite la dirección URL, se envía la respuesta HTTP al usuario final.

    • Si la respuesta de búsqueda deniega la dirección URL, el servidor de filtrado URL redirige al usuario a su propio servidor Web interno, el cual muestra un mensaje que describe la categoría en la que está bloqueada la dirección URL. A partir de ese momento, se restablece la conexión en ambos extremos.

Identificación del Servidor de Filtrado

Se debe identificar la dirección del servidor de filtrado con el comando url-server. Se debe utilizar la forma adecuada de este comando según el tipo de servidor de filtrado que se utiliza.

Nota: Para el software versión 7.x o posterior, se pueden identificar hasta cuatro servidores de filtrado para cada contexto. El dispositivo de seguridad utiliza los servidores por orden hasta que responde un servidor. Sólo se puede configurar un tipo único de servidor en la configuración, Websense o N2H2.

Websense

Websense es un software de filtrado de terceros que puede filtrar peticiones HTTP en función de las siguientes políticas:

  • nombre del host de destino

  • dirección IP de destino

  • palabras clave

  • nombre de usuario

El software conserva una base de datos de direcciones URL de más de 20 millones de sitios organizados en más de 60 categorías y subcategorías.

  • Software versión 6.2:

    url-server [(if_name)] vendor websense host local_ip [timeout seconds] [protocol {TCP | UDP} version]

    El comando url-server designa el servidor que ejecuta la aplicación de filtrado URL Websense o N2H2. El límite es de 16 servidores URL. Sin embargo, sólo se puede utilizar una aplicación a la vez, ya sea N2H2 o Websense. Además, si se cambia la configuración en el firewall PIX, no se actualizará la configuración en el servidor de aplicaciones. Esto debe hacerse por separado, siguiendo las instrucciones de cada proveedor en particular.

  • Software versión 7.x y posteriores:

    pix(config)# url-server (if_name) host local_ip [timeout seconds] [protocol TCP | UDP version 1|4 [connections num_conns] ]

Reemplace if_name por el nombre de la interfaz del dispositivo de seguridad que está conectada al servidor de filtrado. El nombre predeterminado es inside. Reemplace local_ip por la dirección IP del servidor de filtrado. Reemplace seconds por la cantidad de segundos que el dispositivo de seguridad debe continuar con sus intentos de conectarse al servidor de filtrado.

Utilice la opción protocol para especificar si desea utilizar TCP o UDP. Con un servidor Websense, también se puede especificar la versión de TCP (version) que se desea utilizar. El valor predeterminado es TCP versión 1. La versión 4 de TCP permite que el firewall PIX envíe nombres de usuario autenticados e información de registro de direcciones URL al servidor Websense si el firewall PIX ya ha autenticado el usuario.

Por ejemplo, para identificar un servidor de filtrado Websense único, emita el siguiente comando:

hostname(config)#url-server (DMZ) vendor websense host 192.168.15.15 protocol TCP version 4

Secure Computing SmartFilter

  • PIX versión 6.2:

    pix(config)#url-server [(if_name)] vendor n2h2 host local_ip[:port number] [timeout <seconds>] [protocol TCP | UDP]
  • Software versiones 7.0 y 7.1:

    hostname(config)#url-server (if_name) vendor n2h2 host local_ip[:port number] [timeout seconds] [protocol TCP connections number | UDP [connections num_conns]]
  • Software versión 7.2 y posteriores:

    hostname(config)#url-server (if_name) vendor {secure-computing | n2h2} host <local_ip> [port <number>] [timeout <seconds>] [protocol {TCP [connections <number>]} | UDP]

    Para vendor {secure-computing | n2h2}, se puede utilizar secure-computing como secuencia de caracteres de un proveedor. Sin embargo, se acepta n2h2 para tener compatibilidad con versiones anteriores. Al generar las entradas de configuración, se guarda secure-computing como secuencia de caracteres de un proveedor.

Reemplace if_name por el nombre de la interfaz del dispositivo de seguridad que está conectada al servidor de filtrado. El nombre predeterminado es inside. Reemplace local_ip por la dirección IP del servidor de filtrado y port <number> por el número de puerto deseado.

Nota: El servidor de Secure Computing SmartFilter utiliza el puerto 4005 como puerto predeterminado para comunicarse con el dispositivo de seguridad con TCP o UDP.

Reemplace seconds por la cantidad de segundos que el dispositivo de seguridad debe continuar con sus intentos de conectarse al servidor de filtrado. Utilice la opción protocol para especificar si desea utilizar TCP o UDP.

La cantidad de intentos para establecer una conexión entre el host y el servidor está dada por connections <number>.

Por ejemplo, para identificar un servidor de filtrado N2H2 único, emita el siguiente comando:

hostname(config)#url-server (DMZ) vendor n2h2 host 192.168.15.15 port 4444 timeout 45 protocol tcp connections 10

Si desea utilizar los valores predeterminados, emita el siguiente comando:

hostname(config)#url-server (DMZ) vendor n2h2 host 192.168.15.15

Configuración de la Política de Filtrado

Nota: Se debe identificar y activar el servidor de filtrado URL antes de activar el filtrado URL.

Activación del Filtrado URL

Cuando el servidor de filtrado aprueba una petición de conexión HTTP, el dispositivo de seguridad permite que la respuesta desde el servidor Web alcance al cliente que originó la petición. Si el servidor de filtrado deniega la petición, el dispositivo de seguridad redirecciona al usuario a una página de bloqueo que indica que se deniega el acceso.

Emita el comando filter url para configurar la política utilizada para filtrar direcciones URL:

  • PIX versión 6.2:

    filter url [http | port[-port] local_ip local_mask foreign_ip foreign_mask] [allow] [proxy-block] [longurl-truncate | longurl-deny] [cgi-truncate]
  • Software versión 7.x y posteriores:

    filter url [http | port[-port] local_ip local_mask foreign_ip foreign_mask] [allow] [proxy-block] [longurl-truncate | longurl-deny] [cgi-truncate]

Reemplace port por el número del puerto en el que se debe filtrar el tráfico HTTP si se utiliza un puerto que no sea el predeterminado para HTTP (80). Para identificar un rango de números de puerto, ingrese el comienzo y el final del intervalo separados por un guión.

Cuando el filtro está activado, el dispositivo de seguridad detiene el tráfico HTTP saliente hasta que un servidor de filtrado permite la conexión. Si el servidor de filtrado primario no responde, el dispositivo de seguridad envía la solicitud de filtrado al servidor de filtrado secundario. La opción allow hace que el dispositivo de seguridad reenvíe el tráfico HTTP sin filtrar cuando el servidor de filtrado primario no está disponible.

Emita el comando proxy-block para descartar todas las peticiones realizadas a servidores proxy.

Nota: El resto de los parámetros se utilizan para truncar las direcciones URL largas.

Truncamiento de Direcciones URL HTTP Largas

Cuando la dirección URL es más larga que lo permitido, la opción longurl-truncate hace que el dispositivo de seguridad envíe solamente el nombre del host o la porción de la dirección IP de la dirección URL para que el servidor de filtrado la evalúe.

Utilice la opción longurl-deny para denegar el tráfico URL saliente si la dirección URL es más larga que el máximo permitido.

Utilice la opción cgi-truncate para truncar direcciones URL CGI e incluir solamente la ubicación del script de CGI y el nombre del script sin parámetros.

El siguiente es un ejemplo general de configuración de filtrado:

hostname(config)#filter url http 192.168.5.0 255.255.255.0 172.30.21.99 255.255.255.255 allow proxy-block longurl-truncate cgi-truncate

Exención del Tráfico a Filtrar

Si desea hacer una excepción a la política de filtrado general, emita el siguiente comando:

filter url except local_ip local_mask foreign_ip foreign_mask]

Reemplace local_ip y local_mask por la dirección IP y la máscara de subred de un usuario o de la subred que desea eximir de las restricciones de filtrado.

Reemplace foreign_ip y foreign_mask por la dirección IP y la máscara de subred de un servidor o de la subred que desea eximir de las restricciones de filtrado.

Por ejemplo, el siguiente comando hace que todas las peticiones HTTP a 172.30.21.99 de los hosts internos sean reenviadas al servidor de filtrado, excepto las peticiones del host 192.168.5.5:

El siguiente es un ejemplo de configuración de una excepción:

hostname(config)#filter url except 192.168.5.5 255.255.255.255 172.30.21.99 255.255.255.255

Filtrado URL Avanzado

En esta sección, encontrará información sobre parámetros de filtrado avanzado, que incluye los siguientes temas:

  • almacenamiento en buffer

  • almacenamiento en memoria caché

  • soporte de direcciones URL largas

Almacenamiento en Buffer de las Respuestas del Servidor Web

Cuando un usuario emite una petición para conectarse a un servidor de contenido, el dispositivo de seguridad envía la petición al servidor de contenido y al servidor de filtrado al mismo tiempo. Si el servidor de filtrado no responde antes que el servidor de contenido, se descarta la respuesta del servidor. Desde el punto de vista del cliente Web, esto retrasa la respuesta del servidor Web porque el cliente debe volver a emitir la petición.

Si se activa el buffer de respuestas HTTP, las respuestas de los servidores de contenido Web se almacenan en buffer y dichas repuestas se reenvían al cliente que realiza la petición si el servidor de filtrado permite la conexión. Esto evita el retraso que se puede producir en caso contrario.

Complete los siguientes pasos para almacenar en buffer las respuestas a las peticiones HTTP:

  1. Emita el siguiente comando para activar el almacenamiento en buffer de las respuestas a las peticiones HTTP que esperan una respuesta del servidor de filtrado:

    hostname(config)#url-block block block-buffer-limit

    Reemplace block-buffer-limit por la cantidad máxima de bloqueos que se deben almacenar en buffer.

  2. Emita el siguiente comando para configurar el máximo de memoria disponible para almacenar en buffer las direcciones URL pendientes y para almacenar en buffer las direcciones URL largas con Websense:

    hostname(config)#url-block url-mempool memory-pool-size

    Reemplace memory-pool-size por un valor entre 2 y 10240 para un máximo de asignación de memoria de 2 KB a 10 MB.

Direcciones del Servidor Caché

Después de que un usuario accede a un sitio, el servidor de filtrado puede permitir que el dispositivo de seguridad almacene en la memoria caché la dirección del servidor por un tiempo determinado, siempre y cuando todos los sitios alojados en la dirección pertenezcan a una categoría permitida en todo momento. Cuando el usuario accede al servidor nuevamente, o si otro usuario accede al servidor, no es necesario que el dispositivo de seguridad consulte al servidor de filtrado nuevamente.

Si es necesario mejorar el rendimiento, emita el comando url-cache:

hostname(config)#url-cache dst | src_dst size

Reemplace size por un valor para el tamaño de la memoria caché que se encuentre dentro del rango de 1 a 128 (KB).

Utilice la palabra clave dst para almacenar entradas en la memoria caché dependiendo de la dirección URL de destino. Seleccione este modo si todos los usuarios comparten la misma política de filtrado URL en el servidor Websense.

Utilice la palabra clave src_dst para almacenar entradas en la memoria caché dependiendo de la dirección de origen que inicia la petición de dirección URL y de la dirección URL de destino. Seleccione este modo si los usuarios no comparten la misma política de filtrado URL en el servidor Websense.

Activación del Filtrado de Direcciones URL Largas

De forma predeterminada, el dispositivo de seguridad considera que una dirección URL HTTP es larga si supera los 1159 caracteres. Con el siguiente comando, se puede aumentar el largo máximo permitido para una única dirección URL:

hostname(config)#url-block url-size long-url-size

Reemplace long-url-size por el tamaño máximo en KB para cada dirección URL larga que debe ser almacenada en buffer.

Por ejemplo, los siguientes comandos configuran el dispositivo de seguridad para el filtrado URL avanzado:

hostname(config)#url-block block 10 hostname(config)#url-block url-mempool 2 hostname(config)#url-cache dst 100 hostname(config)#url-block url-size 2

Configuración

La siguiente configuración incluye los comandos descritos en este documento:

Configuración de ASA 8.0

ciscoasa#show running-config
: Saved
:
ASA Version 8.0(2) 
!
hostname ciscoasa
domain-name Security.lab.com
enable password 2kxsYuz/BehvglCF encrypted
no names
dns-guard
!
interface GigabitEthernet0/0
 speed 100
 duplex full
 nameif outside
 security-level 0
 ip address 172.30.21.222 255.255.255.0 
!
interface GigabitEthernet0/1
 description INSIDE
 nameif inside
 security-level 100
 ip address 192.168.5.11 255.255.255.0 
!
interface GigabitEthernet0/2
 description LAN/STATE Failover Interface
 shutdown
!
interface GigabitEthernet0/3
 description DMZ
 nameif DMZ
 security-level 50
 ip address 192.168.15.1 255.255.255.0 
!
interface Management0/0
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
clock timezone CST -6
clock summer-time CDT recurring
dns server-group DefaultDNS
domain-name Security.lab.com
same-security-traffic permit intra-interface


 
pager lines 20
logging enable
logging buffer-size 40000
logging asdm-buffer-size 200
logging monitor debugging
logging buffered informational
logging trap warnings
logging asdm informational
logging mail debugging
logging from-address aaa@cisco.com
mtu outside 1500
mtu inside 1500
mtu DMZ 1500
no failover
failover lan unit primary
failover lan interface interface GigabitEthernet0/2
failover link interface GigabitEthernet0/2
no monitor-interface outside
icmp unreachable rate-limit 1 burst-size 1

asdm image disk0:/asdm-602.bin
asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0

route outside 0.0.0.0 0.0.0.0 172.30.21.244 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
ldap attribute-map tomtom
dynamic-access-policy-record DfltAccessPolicy

url-server (DMZ) vendor websense host 192.168.15.15 timeout 30 protocol 
TCP version 1 connections 5

url-cache dst 100
aaa authentication ssh console LOCAL 
aaa authentication enable console LOCAL 
aaa authentication telnet console LOCAL 

filter url except 192.168.5.5 255.255.255.255 172.30.21.99 255.255.255.255

filter url http 192.168.5.0 255.255.255.0 172.30.21.99 255.255.255.255 allow 
       proxy-block longurl-truncate cgi-truncate 
http server enable
http 172.30.0.0 255.255.0.0 outside

no snmp-server location
no snmp-server contact
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 inside
ssh timeout 60
console timeout 0
management-access inside
dhcpd address 192.168.5.12-192.168.5.20 inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect sqlnet 
  inspect skinny  
  inspect sunrpc 
  inspect xdmcp 
  inspect sip  
  inspect netbios 
  inspect tftp 
  inspect icmp 
!
service-policy global_policy global
url-block url-mempool 2
url-block url-size 2
url-block block 10
username fwadmin password aDRVKThrSs46pTjG encrypted privilege 15
prompt hostname context 
Cryptochecksum:db208a243faa71f9b3e92491a6ed2105
: end

Configuración de ASA/PIX con ASDM

En esta sección, se demuestra cómo configurar el filtrado de direcciones URL para el dispositivo de seguridad con el Adaptive Security Device Manager (ASDM).

Después de iniciar el ASDM, complete los siguientes pasos:

  1. Elija el panel Configuration.

    ASDM_1.gif

  2. Haga clic en Firewall en la lista que se muestra en el panel Configuration.

    ASDM_2.gif

  3. En el menú desplegable Firewall, elija URL Filtering Servers. Elija el tipo de Servidor de Filtrado de direcciones URL que desea utilizar y haga clic en Add para configurar sus parámetros.

    Nota: Se debe agregar el servidor de filtrado antes de configurar el filtrado para HTTP, HTTPS o las reglas de filtrado FTP.

    ASDM_4.gif

  4. Elija los parámetros adecuados en la ventana emergente:

    • Interface: Muestra la interfaz conectada al servidor de filtrado.

    • IP Address: Muestra la dirección IP del servidor de filtrado.

    • Timeout: Muestra la cantidad de segundos después de los cuales caduca la petición al servidor de filtrado.

    • Protocol: Muestra el protocolo utilizado para comunicarse con el servidor de filtrado. El valor predeterminado es TCP versión 1. La versión 4 de TCP permite que el firewall PIX envíe nombres de usuario autenticados e información de registro de direcciones URL al servidor Websense si el firewall PIX ya ha autenticado el usuario.

    • TCP Connections: Muestra la cantidad máxima de conexiones TCP permitidas para comunicarse con el servidor de filtrado de direcciones URL.

    Después de ingresar los parámetros, haga clic en OK en la ventana emergente y haga clic en Apply en la ventana principal.

    ASDM_5.gif

  5. En el menú desplegable Firewall, elija Filter Rules. Haga clic en el botón Add de la ventana principal y elija el tipo de regla que desea agregar. En este ejemplo, se elige Add Filter HTTP Rule.

    ASDM_8.gif

  6. Una vez que aparece la ventana emergente, se puede hacer clic en los botones de exploración para las opciones Source, Destination y Service de modo tal de elegir los parámetros adecuados.

    ASDM_9.gif

  7. De la siguiente manera, se muestra la ventana de exploración para la opción Source. Realice su selección y haga clic en OK.

    ASDM_10.gif

  8. Después de completar la selección de todos los parámetros, haga clic en OK para continuar.

    ASDM_11.gif

  9. Una vez que están configurados los parámetros adecuados, haga clic en Apply para enviar los cambios.

    ASDM_12.gif

  10. Para las opciones de filtrado avanzado de direcciones URL, elija URL Filtering Servers nuevamente de el menú desplegable Firewall y haga clic en el botón Advanced de la ventana principal.

    ASDM_13.gif

  11. En la ventana emergente, configure los parámetros, tales como el tamaño de la memoria caché para direcciones URL, el tamaño del buffer de direcciones URL y el soporte para direcciones URL largas. Para continuar, haga clic en OK en la ventana emergente y haga clic en Apply en la ventana principal.

    ASDM_14.gif

  12. Por último, antes de terminar la sesión ASDM, asegúrese de guardar los cambios realizados.

Verificación

Utilice los comandos que aparecen en esta sección para ver la información de filtrado URL. Se pueden utilizar los siguientes comandos para verificar la configuración:

La herramienta Output Interpreter (sólo para clientes registrados) soporta ciertos comandos show. Utilice la OIT para ver un análisis de los resultados de los comandos show.

  • show url-server: Muestra información sobre el servidor de filtrado.

    Por ejemplo:

    hostname#show url-server url-server (DMZ) vendor n2h2 host 192.168.15.15 port 4444 timeout 45 protocol tcp connections 10

    En el software versión 7.2 y posteriores, emita la forma show running-config url-server de este comando.

  • show url-server stats: Muestra información y estadísticas sobre el servidor de filtrado.

    Para el software versión 7.2, emita la forma show running-config url-server statistics de este comando.

    En el software versión 8.0 y posteriores, emita la forma show url-server statistics de este comando.

    Por ejemplo:

    hostname#show url-server statistics
    
    Global Statistics:
    --------------------
    URLs total/allowed/denied         13/3/10
    URLs allowed by cache/server      0/3
    URLs denied by cache/server       0/10
    HTTPSs total/allowed/denied       138/137/1
    HTTPSs allowed by cache/server    0/137
    HTTPSs denied by cache/server     0/1
    FTPs total/allowed/denied         0/0/0
    FTPs allowed by cache/server      0/0
    FTPs denied by cache/server       0/0
    Requests dropped                  0
    Server timeouts/retries           0/0
    Processed rate average 60s/300s   0/0 requests/second
    Denied rate average 60s/300s      0/0 requests/second
    Dropped rate average 60s/300s     0/0 requests/second
    
    Server Statistics:
    --------------------
    192.168.15.15                     UP
      Vendor                          websense
      Port                            15868
      Requests total/allowed/denied   151/140/11
      Server timeouts/retries         0/0
      Responses received              151
      Response time average 60s/300s  0/0
    
    URL Packets Sent and Received Stats:
    ------------------------------------
    Message                 Sent    Received
    STATUS_REQUEST          1609    1601
    LOOKUP_REQUEST          1526    1526
    LOG_REQUEST             0       NA
    
    Errors:
    -------
    RFC noncompliant GET method     0
    URL buffer update failure       0
    
    
  • show url-block: Muestra la configuración del buffer de bloqueo de direcciones URL.

    Por ejemplo:

    hostname#show url-block
        url-block url-mempool 128 
        url-block url-size 4 
        url-block block 128 
    

    En el software versión 7.2 y posteriores, emita la forma show running-config url-block de este comando.

  • show url-block block statistics: Muestra las estadísticas de bloqueo de direcciones URL.

    Por ejemplo:

    hostname#show url-block block statistics
    
    URL Pending Packet Buffer Stats with max block  128 
    ----------------------------------------------------- 
    Cumulative number of packets held:              896
    Maximum number of packets held (per URL):       3
    Current number of packets held (global):        38
    Packets dropped due to
           exceeding url-block buffer limit:        7546
           HTTP server retransmission:              10
    Number of packets released back to client:      0
    

    Para el software versión 7.2, emita la forma show running-config url-block block statistics de este comando.

  • show url-cache stats: Muestra cómo se utiliza la memoria caché.

    Por ejemplo:

    hostname#show url-cache stats
    
    URL Filter Cache Stats
    ----------------------
        Size :       128KB
     Entries :        1724
      In Use :         456
     Lookups :          45
        Hits :           8
    

    En el software versión 8.0, emita la forma show url-cache statistics de este comando.

  • show perfmon: Muestra las estadísticas de rendimiento del filtrado URL y otras estadísticas de rendimiento. Las estadísticas de filtrado se muestran en las filas URL Access y URL Server Req.

    Por ejemplo:

    hostname#show perfmon
    
    PERFMON STATS:    Current      Average
    Xlates               0/s          0/s
    Connections          0/s          2/s
    TCP Conns            0/s          2/s
    UDP Conns            0/s          0/s
    URL Access           0/s          2/s
    URL Server Req       0/s          3/s
    TCP Fixup            0/s          0/s
    TCPIntercept         0/s          0/s
    HTTP Fixup           0/s          3/s
    FTP Fixup            0/s          0/s
    AAA Authen           0/s          0/s
    AAA Author           0/s          0/s
    AAA Account          0/s          0/s
    
  • show filter: Muestra la configuración de filtrado.

    Por ejemplo:

    hostname#show filter filter url http 192.168.5.5 255.255.255.255 172.30.21.99 255.255.255.255 allow proxy-block longurl-truncate cgi-truncate

    En el software versión 7.2 y posteriores, emita la forma show running-config filter de este comando.

Troubleshooting

Actualmente, no hay información específica disponible sobre troubleshooting para esta configuración.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 97277