Безопасность : Устройства защиты Cisco PIX серии 500

PIX/ASA 7.X : Отключение глобального анализа по умолчанию и включение анализа приложений не по умолчанию

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (9 февраля 2011) | Английский (22 августа 2015) | Отзыв


Содержание


Введение

В этом документе описано удаление анализа по умолчанию из глобальной политики для приложения и включение анализа для приложения не по умолчанию.

Обратитесь к ASA 8.3 и Позже: Отключите Глобальный Контроль По умолчанию и Включите Контроль приложения Ня по умолчанию с помощью ASDM для получения дополнительной информации об одинаковой конфигурации с помощью ASDM с устройством адаптивной защиты Cisco (ASA) с версией 8.3 и позже.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Информация в этом документе относится к устройствам защиты PIX под управлением образа ПО версии 7.x.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Родственные продукты

Данную конфигурацию также можно использовать с устройством адаптивной защиты ASA под управлением образа ПО версии 7.x.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Глобальная политика по умолчанию

По умолчанию в конфигурацию включается политика, соотносящая весь трафик проверок приложений, заданных по умолчанию, и применяющая определенные виды анализа для трафика на всех интерфейсах (глобальная политика). По умолчанию включены не все виды анализа. Применять можно только одну глобальную политику. Чтобы изменить глобальную политику, необходимо либо отредактировать политику по умолчанию, либо отключить ее и ввести в действие новую политику. (Политика интерфейса заменяет собой глобальную политику.).)

Конфигурация политики по умолчанию содержит следующие команды:

class-map inspection_default
 match default-inspection-traffic
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect xdmcp 
  inspect sip 
  inspect netbios 
  inspect tftp 
service-policy global_policy global

Отключение глобального анализа по умолчанию для приложения

Чтобы отключить глобальный анализ для приложения, используйте команду inspect с модификатором no.

Например, чтобы удалить глобальный анализ для приложения FTP, прослушиваемого устройством защиты, используйте команду no inspect ftp в режиме настройки класса.

Режим настройки класса доступен из режима настройки карты политик. Для удаления конфигурации используйте команду с модификатором no.

pixfirewall(config)#policy-map global_policy
pixfirewall(config-pmap)#class inspection_default
pixfirewall(config-pmap-c)#no inspect ftp

Примечание: Для получения дополнительной информации о контроле FTP обратитесь к PIX/ASA 7. x : Пример настройки служб FTP/TFTP.

Включение анализа для приложений, отличных от приложения по умолчанию

Расширенный анализ HTTP по умолчанию отключен.

Чтобы включить анализ приложений HTTP или изменить порты, прослушиваемые устройством защиты, используйте команду inspect http в режиме настройки класса.

Режим настройки класса доступен из режима настройки карты политик. Для удаления конфигурации используйте команду с модификатором no.

В случае использования с аргументом http-map команда inspect http обеспечивает защиту от конкретных видов атак и других угроз, которые могут быть связаны с трафиком HTTP.

{\f3 Дополнительные сведения об использовании аргумента }{\f3 http-map}{\f3 с командой }{\f3 inspect http}{\f3 см. в разделе }{\f3 inspect http}{\f3 описания команд }{\f3 inspect ctiqbe }–{\f3 inspect xdmcp}{\f3 .}

Примечание: Сообщение об ошибке показанного вида появляется при использовании двойного кодирования в некоторых URL-адресах. Если требуется разрешить доступ к этому типу web-сайтов, то для устранения этой проблемы можно отключить строгий анализ HTTP.

"%PIX-4-415012:15 HTTP Deobfuscation signature detected - Reset HTTP deobfuscation
detected IDS evasion technique from x.x.x.x to y.y.y.y

Примечание: где X. x . x . x и y.y.y.y представляет IP-адреса

В этом примере любое подключение по протоколу HTTP (трафик TCP на порту 80), входящее на устройство защиты через любой интерфейс, классифицируется для анализа HTTP. Поскольку политика является глобальной, то анализ действует только при вхождении трафика на каждый интерфейс.

hostname(config)#class-map http_traffic
hostname(config-cmap)#match port tcp eq 80
hostname(config)#policy-map http_traffic_policy
hostname(config-pmap)#class http_traffic
hostname(config-pmap-c)#inspect http
hostname(config)#service-policy http_traffic_policy global

В этом примере любое подключение по протоколу HTTP (трафик TCP на порту 80), входящее на устройство защиты или выходящее из него через внешний интерфейс, классифицируется для анализа HTTP.

hostname(config)#class-map http_traffic
hostname(config-cmap)#match port tcp eq 80
hostname(config)#policy-map http_traffic_policy
hostname(config-pmap)#class http_traffic
hostname(config-pmap-c)#inspect http
hostname(config)#service-policy http_traffic_policy interface outside

В этом примере показаны: идентификация трафика HTTP, определение карты HTTP, определение политики и применение политики к внешнему интерфейсу:


hostname(config)#class-map http-port 
hostname(config-cmap)#match port tcp eq 80
hostname(config-cmap)#exit
hostname(config)#http-map inbound_http
hostname(config-http-map)#content-length min 100 max 2000 action reset log
hostname(config-http-map)#content-type-verification match-req-rsp reset log
hostname(config-http-map)#max-header-length request bytes 100 action log reset
hostname(config-http-map)#max-uri-length 100 action reset log
hostname(config-http-map)#exit
hostname(config)#policy-map inbound_policy 
hostname(config-pmap)#class http-port
hostname(config-pmap-c)#inspect http inbound_http 
hostname(config-pmap-c)#exit
hostname(config-pmap)#exit
hostname(config)#service-policy inbound_policy interface outside

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 91891