Безопасность : программное обеспечение для адаптивных устройств обеспечения безопасности Cisco ASA

Функциональность фильтра HTTP URL ASA с Regex

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает конфигурацию фильтров URL на Устройстве адаптивной защиты (ASA) с механизмом Проверки HTTP. Когда с частями запроса HTTP совпадают с использованием списка образцов regex, это завершено. Можно или заблокировать определенные URL или заблокировать все URL за исключением выбора немногие. 

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

Порядок действий для настройки

Это шаги обычной конфигурации:

  1. Определите краткий список доменов, которые должны быть заблокированы или позволены

  2. Создайте карту классов regex, которая совпадает со всеми рассматриваемыми доменами

  3. Создайте Карту политик Проверки HTTP, которая отбрасывает или разрешает трафик, который совпадает с этими доменами

  4. Примените эту Карту политик Проверки HTTP к Проверке HTTP в Модульной Системе политик

Независимо от того, пытаетесь ли вы заблокировать некоторые домены и разрешить всем другим, или заблокировать все домены и разрешить только некоторым, шаги идентичны за исключением создания Карты политик Проверки HTTP.

Определите краткий список доменов, которые должны быть заблокированы или позволены

Для этого примера конфигурации эти домены или заблокированы или разрешены:

  • cisco1.com

  • cisco2.com

  • cisco3.com

Настройте образцы regex для этих доменов:

regex cisco1.com "cisco1.com"regex cisco2.com "cisco2.com"regex cisco3.com "cisco3.com"

Создайте карту классов regex, которая совпадает со всеми рассматриваемыми доменами

Настройте класс regex, который совпадает с образцами regex:

class-map type regex match-any domain-regex-classmatch regex cisco1.commatch regex cisco2.commatch regex cisco3.com

Создайте Карту политик Проверки HTTP, которая отбрасывает или разрешает трафик, который совпадает с этими доменами

Для понимания то, на что эта конфигурация была бы похожа, выбрать описание, которое фильтруют лучшие адаптации цель этого URL. Класс regex, созданный выше, или будет списком доменов, которые должны быть позволены или список доменов, которые должны быть заблокированы.

  • Позвольте все домены за исключением тех перечисленных

    Ключ к этой конфигурации - то, что карта классов создана, где транзакция HTTP, которая совпадает с перечисленными доменами, классифицирована как "blocked-domain-class". Сделка HTTP, которая совпадает с этим классом, перезагружена и заключена. По существу только транзакция HTTP, которая совпадает с этими доменами, перезагружена.

    class-map type inspect http match-all blocked-domain-class match request header host regex class domain-regex-class!policy-map type inspect http regex-filtering-policy parameters class blocked-domain-class  reset log  
  • Заблокируйте все домены за исключением тех перечисленных

    Ключ к этой конфигурации - то, что карта классов создана с помощью ключевого слова "match not". Это говорит межсетевому экрану, что любые домены, которые не совпадают со списком доменов, должны совпасть, класс назвал "allowed-domain-class". Сделки HTTP, которые совпадают с тем классом, будут перезагружены и заключены. По существу все транзакции HTTP будут перезагружены, пока они не совпадут с перечисленными доменами.

    class-map type inspect http match-all allowed-domain-class match not request header host regex class domain-regex-class!policy-map type inspect http regex-filtering-policy parameters class allowed-domain-class  reset log

Примените эту Карту политик Проверки HTTP к Проверке HTTP в Модульной Системе политик

Теперь, когда Карта политик Проверки HTTP настроена как "политика фильтрации regex", примените эту карту политик к Проверке HTTP, которая существует или новый контроль в Модульной Системе политик. Например, это добавляет контроль к "inspection_default" классу, настроенному в "global_policy".

policy-map global_policy class inspection_default  inspect http regex-filtering-policy

Распространенные проблемы

Когда Карта политик Проверки HTTP и карта классов HTTP настроены, гарантируют, что соответствие или match not настроены, как это должно быть для требуемой цели. Это - простое ключевое слово для пропуска и результаты в непреднамеренном поведении. Кроме того, эта форма обработки regex, точно так же, как любая усовершенствованная пакетная обработка, могла бы заставить загрузку ЦПУ ASA увеличиваться, а также пропускная способность для отбрасывания. Используйте уход, когда будет добавлено все больше образцов regex.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.