ASA/PIX 8.x: Ejemplo de Configuración de Bloqueo de Ciertos Sitios Web (URL) Usando Expresiones Regulares con MPF

Opciones de descarga

PDF (1.0 MB)
Visualice con Adobe Reader en una variedad de dispositivos
ePub (870.1 KB)
Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (1.2 MB)
Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos

Actualizado:30 de septiembre de 2008

ID del documento:100535

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Contenido

Introducción

Prerequisites

Requirements

Componentes Utilizados

Productos Relacionados

Convenciones

Antecedentes

Descripción general del marco de políticas modulares

Expresión regular

Configurar

Diagrama de la red

Configuraciones

Configuración CLI ASA

Configuración de ASA 8.x con ASDM 6.x

Verificación

Troubleshoot

Información Relacionada

Introducción

Este documento describe cómo configurar Cisco Security Appliances ASA/PIX 8.x que utilizan expresiones normales con el Marco de políticas modular (MPF) para bloquear ciertos sitios Web (URL).

Nota: Esta configuración no bloquea todas las descargas de aplicaciones. Para un bloqueo de archivos fiable, se debe utilizar un dispositivo dedicado como Ironport S Series o un módulo como el módulo CSC para ASA.

Nota: El filtrado HTTPS no es compatible con ASA. ASA no puede realizar una inspección profunda de paquetes basada en una expresión regular para el tráfico HTTPS, ya que en HTTPS el contenido del paquete está cifrado (SSL).

Prerequisites

Requirements

Este documento asume que Cisco Security Appliance está configurado y funciona correctamente.

Componentes Utilizados

Cisco 5500 Series Adaptive Security Appliance (ASA) que ejecuta la versión de software 8.0(x) y posteriores
Cisco Adaptive Security Device Manager (ASDM) versión 6.x para ASA 8.x

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Productos Relacionados

Esta configuración también se puede utilizar con el Cisco 500 Series PIX que ejecuta la versión de software 8.0(x) y posterior.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Antecedentes

Descripción general del marco de políticas modulares

MPF proporciona una forma coherente y flexible de configurar las funciones del dispositivo de seguridad. Por ejemplo, puede utilizar MPF para crear una configuración de tiempo de espera específica para una aplicación TCP determinada, en lugar de una que se aplique a todas las aplicaciones TCP.

MPF admite estas funciones:

Normalización de TCP, límites y tiempos de espera de las conexiones TCP y UDP, y aleatorización de números de secuencia TCP
CSC
Inspección de Aplicaciones
IPS
QoS input policing
QoS output policing
cola de prioridad de QoS

La configuración del MPF consta de cuatro tareas:

Identifique el tráfico de las capas 3 y 4 al que desea aplicar las acciones. Consulte Identificación del Tráfico Usando un Mapa de Clase de Capa 3/4 para obtener más información.
(Solo inspección de aplicación) Defina acciones especiales para el tráfico de inspección de aplicación. Consulte Configuración de Acciones Especiales para Inspecciones de Aplicaciones para obtener más información.
Aplique acciones al tráfico de las capas 3 y 4. Consulte Definición de Acciones Usando un Policy Map de Capa 3/4 para obtener más información.
Activa las acciones en una interfaz. Consulte Aplicación de una Política de Capa 3/4 a una Interfaz Usando una Política de Servicio para obtener más información.

Expresión regular

Una expresión regular hace coincidir las cadenas de texto literalmente como una cadena exacta o mediante el uso de metacaracteres, de modo que pueda hacer coincidir varias variantes de una cadena de texto. Puede utilizar una expresión regular para hacer coincidir el contenido de cierto tráfico de aplicación; por ejemplo, puede hacer coincidir una cadena URL dentro de un paquete HTTP.

Nota: Use Ctrl+V para escapar de todos los caracteres especiales en la CLI, como el signo de interrogación (?) o una tabulación. Por ejemplo, escriba d[Ctrl+V]?g para ingresar d?g en la configuración.

Para la creación de una expresión regular, utilice el comando regex, que se puede utilizar para varias características que requieren la coincidencia de texto. Por ejemplo, puede configurar acciones especiales para la inspección de aplicaciones con el uso de Modular Policy Framework que utiliza un policy map de inspección. Consulte el comando policy map type inspect para obtener más información. En el policy map de inspección, puede identificar el tráfico sobre el que desea actuar si crea un class map de inspección que contiene uno o más comandos match o puede utilizar los comandos match directamente en el policy map de inspección. Algunos comandos match le permiten identificar texto en un paquete usando una expresión regular; por ejemplo, puede hacer coincidir cadenas URL dentro de paquetes HTTP. Puede agrupar expresiones regulares en un mapa de clase de expresión regular. Consulte el comando class-map type regex para obtener más información.

Esta tabla enumera los metacaracteres que tienen significados especiales.

Carácter	Descripción	Notas
.	Punto	Coincide con cualquier carácter único. Por ejemplo, d.g coincide con dog, dag, dtg y cualquier palabra que contenga esos caracteres, como doggonnit.
(exp)	Subexpresión	Una subexpresión segrega caracteres de los caracteres circundantes, de modo que puede utilizar otros metacaracteres en la subexpresión. Por ejemplo, d(o\|a)g coincide con dog y dag, pero do\|ag coincide con do y ag. Una subexpresión también se puede utilizar con cuantificadores de repetición para diferenciar los caracteres destinados a la repetición. Por ejemplo, ab(xy){3}z coincide con abxyxyxyz.
\|	Alternancia	Coincide con cualquier expresión que separe. Por ejemplo, dog\|cat coincide con dog o cat.
?	Signo de interrogación	Cuantificador que indica que hay 0 o 1 de la expresión anterior. Por ejemplo, lo?se coincide con lse o lose. Nota: Debe introducir Ctrl+V y, a continuación, el signo de interrogación o se invocará la función de ayuda.
*	Asterisco	Cuantificador que indica que hay 0, 1 o cualquier número de la expresión anterior. Por ejemplo, *lose** coincide con lse, lose, lose, etc.
{x}	Repetir cuantificador	Repita exactamente x veces. Por ejemplo, ab(xy){3}z coincide con abxyxyxyz.
{x,}	Cuantificador de repetición mínimo	Repetir al menos x veces. Por ejemplo, ab(xy){2,}z coincide con abxyxyz, abxyxyxyz, etc.
[abc]	Clase Character	Coincide con cualquier carácter entre paréntesis. Por ejemplo, [abc] coincide con a, b o c.
[^abc]	Clase de caracteres negada	Coincide con un único carácter que no está entre corchetes. Por ejemplo, [^abc] coincide con cualquier carácter que no sea a, b o c. [^A-Z] coincide con cualquier carácter individual que no sea una letra mayúscula.
[a-c]	Clase de intervalo de caracteres	Coincide con cualquier carácter del intervalo. [a-z] coincide con cualquier letra minúscula. Puede mezclar caracteres e intervalos: [abcq-z] coincide con a, b, c, q, r, s, t, u, v, w, x, y, z, al igual que [a-cq-z]. El carácter de guión (-) es literal sólo si es el último o el primer carácter entre corchetes: [abc-] o [-abc].
""	Comillas	Conserva los espacios iniciales o finales de la cadena. Por ejemplo, "prueba" conserva el espacio inicial cuando busca una coincidencia.
^	Símbolo de intercalación	Especifica el principio de una línea
\	Carácter de escape	Cuando se utiliza con un metacarácter, coincide con un carácter literal. Por ejemplo, \[coincide con el corchete de apertura.
carbón	Carácter	Cuando character no es un metacarácter, coincide con el carácter literal.
\r	Retorno de carro	Coincide con un retorno de carro 0x0d
\n	Nueva Línea	Coincide con una nueva línea 0x0a
\t	Ficha	Coincide con una ficha 0x09
\f	Formfeed	Coincide con un formato 0x0c
\xNN	Número hexadecimal de escape	Coincide con un carácter ASCII que utiliza un hexadecimal que tiene exactamente dos dígitos
\NNN	Número octal de escape	Coincide con un carácter ASCII como octal que tiene exactamente tres dígitos. Por ejemplo, el carácter 040 representa un espacio.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Use el Command Lookup Tool (únicamente clientes registrados) para obtener más información sobre los comandos que se utilizan en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Configuraciones

En este documento, se utilizan estas configuraciones:

Configuración CLI ASA
Configuración de ASA 8.x con ASDM 6.x

Configuración CLI ASA

Configuración CLI ASA
ciscoasa#show running-config : Saved : ASA Version 8.0(2) ! hostname ciscoasa domain-name default.domain.invalid enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0/0 nameif inside security-level 100 ip address 10.1.1.1 255.255.255.0 ! interface Ethernet0/1 nameif outside security-level 0 ip address 192.168.1.5 255.255.255.0 ! interface Ethernet0/2 nameif DMZ security-level 90 ip address 10.77.241.142 255.255.255.192 ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted *regex urllist1 ".\.([Ee][Xx][Ee]\|[Cc][Oo][Mm]\|[Bb][Aa][Tt]) HTTP/1.[01]"** !--- Extensions such as .exe, .com, .bat to be captured and !--- provided the http version being used by web browser must be either 1.0 or 1.1 *regex urllist2 ".\.([Pp][Ii][Ff]\|[Vv][Bb][Ss]\|[Ww][Ss][Hh]) HTTP/1.[01]"** !--- Extensions such as .pif, .vbs, .wsh to be captured !--- and provided the http version being used by web browser must be either !--- 1.0 or 1.1 *regex urllist3 ".\.([Dd][Oo][Cc]\|[Xx][Ll][Ss]\|[Pp][Pp][Tt]) HTTP/1.[01]"** !--- Extensions such as .doc(word), .xls(ms-excel), .ppt to be captured and provided !--- the http version being used by web browser must be either 1.0 or 1.1 *regex urllist4 ".\.([Zz][Ii][Pp]\|[Tt][Aa][Rr]\|[Tt][Gg][Zz]) HTTP/1.[01]"** !--- Extensions such as .zip, .tar, .tgz to be captured and provided !--- the http version being used by web browser must be either 1.0 or 1.1 regex domainlist1 "\.yahoo\.com" regex domainlist2 "\.myspace\.com" regex domainlist3 "\.youtube\.com" !--- Captures the URLs with domain name like yahoo.com, !--- youtube.com and myspace.com *regex contenttype "Content-Type" regex applicationheader "application/."** !--- Captures the application header and type of !--- content in order for analysis boot system disk0:/asa802-k8.bin ftp mode passive dns server-group DefaultDNS domain-name default.domain.invalid access-list inside_mpc extended permit tcp any any eq www access-list inside_mpc extended permit tcp any any eq 8080 !--- Filters the http and port 8080 !--- traffic in order to block the specific traffic with regular !--- expressions pager lines 24 mtu inside 1500 mtu outside 1500 mtu DMZ 1500 no failover icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-602.bin no asdm history enable arp timeout 14400 route DMZ 0.0.0.0 0.0.0.0 10.77.241.129 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute dynamic-access-policy-record DfltAccessPolicy http server enable http 0.0.0.0 0.0.0.0 DMZ no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart no crypto isakmp nat-traversal telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list ! class-map type regex match-any DomainBlockList match regex domainlist1 match regex domainlist2 match regex domainlist3 !--- Class map created in order to match the domain names !--- to be blocked class-map type inspect http match-all BlockDomainsClass match request header host regex class DomainBlockList !--- Inspect the identified traffic by class !--- "DomainBlockList". class-map type regex match-any URLBlockList match regex urllist1 match regex urllist2 match regex urllist3 match regex urllist4 !--- Class map created in order to match the URLs !--- to be blocked class-map inspection_default match default-inspection-traffic class-map type inspect http match-all AppHeaderClass match response header regex contenttype regex applicationheader !--- Inspect the captured traffic by regular !--- expressions "content-type" and "applicationheader". class-map httptraffic match access-list inside_mpc !--- Class map created in order to match the !--- filtered traffic by ACL class-map type inspect http match-all BlockURLsClass match request uri regex class URLBlockList ! !--- Inspect the identified traffic by class !--- "URLBlockList". ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map type inspect http http_inspection_policy parameters protocol-violation action drop-connection class AppHeaderClass drop-connection log match request method connect drop-connection log class BlockDomainsClass reset log class BlockURLsClass reset log !--- Define the actions such as drop, reset or log !--- in the inspection policy map. policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp policy-map inside-policy class httptraffic inspect http http_inspection_policy !--- Map the inspection policy map to the class !--- "httptraffic" under the policy map created for the !--- inside network traffic. ! service-policy global_policy global service-policy inside-policy interface inside !--- Apply the policy to the interface inside where the websites are blocked. prompt hostname context Cryptochecksum:e629251a7c37af205c289cf78629fc11 : end ciscoasa#

ciscoasa#show running-config
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 192.168.1.5 255.255.255.0
!
interface Ethernet0/2
 nameif DMZ
 security-level 90
 ip address 10.77.241.142 255.255.255.192
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted

regex urllist1 ".*\.([Ee][Xx][Ee]|[Cc][Oo][Mm]|[Bb][Aa][Tt]) HTTP/1.[01]"


!--- Extensions such as .exe, .com, .bat to be captured and !--- provided the http version being used by web browser must be either 1.0 or 1.1


regex urllist2 ".*\.([Pp][Ii][Ff]|[Vv][Bb][Ss]|[Ww][Ss][Hh]) HTTP/1.[01]"

!--- Extensions such as .pif, .vbs, .wsh to be captured !--- and provided the http version being used by web browser must be either !--- 1.0 or 1.1


regex urllist3 ".*\.([Dd][Oo][Cc]|[Xx][Ll][Ss]|[Pp][Pp][Tt]) HTTP/1.[01]"


!--- Extensions such as .doc(word), .xls(ms-excel), .ppt to be captured and provided !--- the http version being used by web browser must be either 1.0 or 1.1


regex urllist4 ".*\.([Zz][Ii][Pp]|[Tt][Aa][Rr]|[Tt][Gg][Zz]) HTTP/1.[01]"


!--- Extensions such as .zip, .tar, .tgz to be captured and provided !--- the http version being used by web browser must be either 1.0 or 1.1


regex domainlist1 "\.yahoo\.com"
regex domainlist2 "\.myspace\.com"
regex domainlist3 "\.youtube\.com"


!--- Captures the URLs with domain name like yahoo.com, !--- youtube.com and myspace.com


regex contenttype "Content-Type"
regex applicationheader "application/.*"


!--- Captures the application header and type of !--- content in order for analysis


boot system disk0:/asa802-k8.bin
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid

access-list inside_mpc extended permit tcp any any eq www

access-list inside_mpc extended permit tcp any any eq 8080


!--- Filters the http and port 8080 !--- traffic in order to block the specific traffic with regular !--- expressions


pager lines 24
mtu inside 1500
mtu outside 1500
mtu DMZ 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
route DMZ 0.0.0.0 0.0.0.0 10.77.241.129 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 0.0.0.0 0.0.0.0 DMZ
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map type regex match-any DomainBlockList
 match regex domainlist1
 match regex domainlist2
 match regex domainlist3


!--- Class map created in order to match the domain names !--- to be blocked


class-map type inspect http match-all BlockDomainsClass
 match request header host regex class DomainBlockList


!--- Inspect the identified traffic by class !--- "DomainBlockList".


class-map type regex match-any URLBlockList
 match regex urllist1
 match regex urllist2
 match regex urllist3
 match regex urllist4


!--- Class map created in order to match the URLs !--- to be blocked


class-map inspection_default
 match default-inspection-traffic

class-map type inspect http match-all AppHeaderClass
 match response header regex contenttype regex applicationheader


!--- Inspect the captured traffic by regular !--- expressions "content-type" and "applicationheader".


class-map httptraffic
 match access-list inside_mpc


!--- Class map created in order to match the !--- filtered traffic by ACL


class-map type inspect http match-all BlockURLsClass
 match request uri regex class URLBlockList
!

!--- Inspect the identified traffic by class !--- "URLBlockList".


!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map type inspect http http_inspection_policy
 parameters
  protocol-violation action drop-connection
 class AppHeaderClass
  drop-connection log
 match request method connect
  drop-connection log
 class BlockDomainsClass
  reset log
 class BlockURLsClass
  reset log


!--- Define the actions such as drop, reset or log !--- in the inspection policy map.


policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp

policy-map inside-policy
 class httptraffic
  inspect http http_inspection_policy


!--- Map the inspection policy map to the class !--- "httptraffic" under the policy map created for the !--- inside network traffic.


!
service-policy global_policy global
service-policy inside-policy interface inside


!--- Apply the policy to the interface inside where the websites are blocked.


prompt hostname context
Cryptochecksum:e629251a7c37af205c289cf78629fc11
: end
ciscoasa#

Configuración de ASA 8.x con ASDM 6.x

Complete estos pasos para configurar las expresiones regulares y aplicarlas en MPF para bloquear los sitios web específicos como se muestra.

Crear expresiones regulares

Elija Configuration > Firewall > Objects > Regular Expressions y haga clic en Agregar en la pestaña Regular Expression para crear expresiones regulares como se muestra.

Cree una expresión regular domainlist1 para capturar el nombre de dominio yahoo.com. Click OK.
Cree una expresión regular domainlist2 para capturar el nombre de dominio myspace.com. Click OK.
Cree una expresión regular domainlist3 para capturar el nombre de dominio youtube.com. Click OK.
Cree una expresión regular urllist1 para capturar las extensiones de archivo como exe, com y bat, siempre que la versión http que utilice el navegador web sea 1.0 o 1.1. Click OK.
Cree una expresión regular urllist2 para capturar las extensiones de archivo como pif, vbs y wsh, siempre que la versión http que utilice el navegador web sea 1.0 o 1.1. Click OK.
Cree una expresión regular urllist3 para capturar las extensiones de archivo como doc, xls y ppt siempre que la versión http que utilice el navegador web sea 1.0 o 1.1. Click OK.
Cree una expresión regular urllist4 para capturar las extensiones de archivo como zip, tar y tgz, siempre que la versión http que utilice el navegador web sea 1.0 o 1.1. Click OK.
Cree una expresión regular contenttype para capturar el tipo de contenido. Click OK.

Cree una expresión regular application header para capturar los diversos encabezados de la aplicación. Click OK.

Configuración CLI equivalente

Configuración CLI ASA
ciscoasa#configure terminal ciscoasa(config)#regex urllist1 ".\.([Ee][Xx][Ee]\|[Cc][Oo][Mm]\|[Bb][Aa][Tt])$ ciscoasa(config)#regex urllist2* ".\.([Pp][Ii][Ff]\|[Vv][Bb][Ss]\|[Ww][Ss][Hh])$ ciscoasa(config)#regex urllist3* ".\.([Dd][Oo][Cc]\|[Xx][Ll][Ss]\|[Pp][Pp][Tt])$ ciscoasa(config)#regex urllist4* ".\.([Zz][Ii][Pp]\|[Tt][Aa][Rr]\|[Tt][Gg][Zz])$ ciscoasa(config)#regex domainlist1* "\.yahoo\.com" ciscoasa(config)#regex domainlist2 "\.myspace\.com" ciscoasa(config)#regex domainlist3 "\.youtube\.com" ciscoasa(config)#regex contenttype "Content-Type" ciscoasa(config)#regex applicationheader "application/.*"

Configuración CLI ASA

ciscoasa#configure terminal
ciscoasa(config)#regex urllist1 ".*\.([Ee][Xx][Ee]|[Cc][Oo][Mm]|[Bb][Aa][Tt])$
ciscoasa(config)#regex urllist2 ".*\.([Pp][Ii][Ff]|[Vv][Bb][Ss]|[Ww][Ss][Hh])$
ciscoasa(config)#regex urllist3 ".*\.([Dd][Oo][Cc]|[Xx][Ll][Ss]|[Pp][Pp][Tt])$
ciscoasa(config)#regex urllist4 ".*\.([Zz][Ii][Pp]|[Tt][Aa][Rr]|[Tt][Gg][Zz])$
ciscoasa(config)#regex domainlist1 "\.yahoo\.com"
ciscoasa(config)#regex domainlist2 "\.myspace\.com"
ciscoasa(config)#regex domainlist3 "\.youtube\.com"
ciscoasa(config)#regex contenttype "Content-Type"
ciscoasa(config)#regex applicationheader "application/.*"

Crear clases de expresiones regulares

Elija Configuration > Firewall > Objects > Regular Expressions y haga clic en Agregar bajo la pestaña Clases de Expresión Regular para crear las diversas clases como se muestra.

Cree una clase de expresión regular DomainBlockList para hacer coincidir cualquiera de las expresiones regulares domainlist1, domainlist2 y domainlist3. Click OK.

Cree una clase de expresión regular URLBlockList para hacer coincidir cualquiera de las expresiones regulares urllist1, urllist2, urllist3 y urllist4. Click OK.

Configuración CLI equivalente

Configuración CLI ASA
ciscoasa#configure terminal ciscoasa(config)#class-map type inspect http match-all BlockDomainsClass ciscoasa(config-cmap)#match request header host regex class DomainBlockList ciscoasa(config-cmap)#exit ciscoasa(config)#class-map type regex match-any URLBlockList ciscoasa(config-cmap)#match regex urllist1 ciscoasa(config-cmap)#match regex urllist2 ciscoasa(config-cmap)#match regex urllist3 ciscoasa(config-cmap)#match regex urllist4 ciscoasa(config-cmap)#exit

Configuración CLI ASA

ciscoasa#configure terminal
ciscoasa(config)#class-map type inspect http match-all BlockDomainsClass
ciscoasa(config-cmap)#match request header host regex class DomainBlockList
ciscoasa(config-cmap)#exit
ciscoasa(config)#class-map type regex match-any URLBlockList
ciscoasa(config-cmap)#match regex urllist1
ciscoasa(config-cmap)#match regex urllist2
ciscoasa(config-cmap)#match regex urllist3
ciscoasa(config-cmap)#match regex urllist4
ciscoasa(config-cmap)#exit

Inspeccionar el tráfico identificado con mapas de clase

Elija Configuration > Firewall > Objects > Class Maps > HTTP > Add para crear un mapa de clase para inspeccionar el tráfico http identificado por varias expresiones regulares como se muestra.

Cree un mapa de clase AppHeaderClass para hacer coincidir el encabezado de respuesta con capturas de expresiones regulares.

Haga clic en OK (Aceptar).
Cree un mapa de clase BlockDomainsClass para hacer coincidir el encabezado de solicitud con capturas de expresiones regulares.

Click OK.

Cree un mapa de clase BlockURLsClass para hacer coincidir el URI de solicitud con capturas de expresiones regulares.

Click OK.

Configuración CLI equivalente

Configuración CLI ASA
ciscoasa#configure terminal ciscoasa(config)#class-map type inspect http match-all AppHeaderClass ciscoasa(config-cmap)#match response header regex contenttype regex applicationheader ciscoasa(config-cmap)#exit ciscoasa(config)#class-map type inspect http match-all BlockDomainsClass ciscoasa(config-cmap)#match request header host regex class DomainBlockList ciscoasa(config-cmap)#exit ciscoasa(config)#class-map type inspect http match-all BlockURLsClass ciscoasa(config-cmap)#match request uri regex class URLBlockList ciscoasa(config-cmap)#exit

Configuración CLI ASA

ciscoasa#configure terminal
ciscoasa(config)#class-map type inspect http match-all AppHeaderClass
ciscoasa(config-cmap)#match response header regex contenttype regex applicationheader
ciscoasa(config-cmap)#exit
ciscoasa(config)#class-map type inspect http match-all BlockDomainsClass
ciscoasa(config-cmap)#match request header host regex class DomainBlockList
ciscoasa(config-cmap)#exit
ciscoasa(config)#class-map type inspect http match-all BlockURLsClass
ciscoasa(config-cmap)#match request uri regex class URLBlockList
ciscoasa(config-cmap)#exit

Establezca las acciones para el tráfico coincidente en la política de inspección

Elija Configuration > Firewall > Objects > Inspect Maps > HTTP para crear un http_inspection_policy para establecer la acción para el tráfico coincidente como se muestra. Click OK.

Elija Configuration > Firewall > Objects > Inspect Maps > HTTP > http_inspection_policy (doble clic) y haga clic en Details > Add para establecer las acciones para las diversas clases creadas hasta el momento.
Establezca la acción como Drop Connection y Enable el registro para el Criterio como Request Method y Value como connect.

Haga clic en OK (Aceptar).
Establezca la acción como Drop Connection y Enable el registro para la clase AppHeaderClass .

Click OK.
Establezca la acción como Reset y Enable el registro para la clase BlockDomainsClass.

Haga clic en OK (Aceptar).

Establezca la acción como Reset y Enable el registro para la clase BlockURLsClass.

Click OK.

Haga clic en Apply (Aplicar).

Configuración CLI equivalente

Configuración CLI ASA
ciscoasa#configure terminal ciscoasa(config)#policy-map type inspect http http_inspection_policy ciscoasa(config-pmap)#parameters ciscoasa(config-pmap-p)#match request method connect ciscoasa(config-pmap-c)#drop-connection log ciscoasa(config-pmap-c)#class AppHeaderClass ciscoasa(config-pmap-c)#drop-connection log ciscoasa(config-pmap-c)#class BlockDomainsClass ciscoasa(config-pmap-c)#reset log ciscoasa(config-pmap-c)#class BlockURLsClass ciscoasa(config-pmap-c)#reset log ciscoasa(config-pmap-c)#exit ciscoasa(config-pmap)#exit

Configuración CLI ASA

ciscoasa#configure terminal
ciscoasa(config)#policy-map type inspect http http_inspection_policy
ciscoasa(config-pmap)#parameters
ciscoasa(config-pmap-p)#match request method connect
ciscoasa(config-pmap-c)#drop-connection log
ciscoasa(config-pmap-c)#class AppHeaderClass
ciscoasa(config-pmap-c)#drop-connection log
ciscoasa(config-pmap-c)#class BlockDomainsClass
ciscoasa(config-pmap-c)#reset log
ciscoasa(config-pmap-c)#class BlockURLsClass
ciscoasa(config-pmap-c)#reset log
ciscoasa(config-pmap-c)#exit
ciscoasa(config-pmap)#exit

Aplicar la política http de inspección a la interfaz

Elija Configuration > Firewall > Service Policy Rules > Add > Add Service Policy Rule.

Tráfico HTTP
1. Elija el botón de opción Interface con la interfaz interior en el menú desplegable y Policy Name as inside-policy. Haga clic en Next (Siguiente).
2. Cree un mapa de clase httptraffic y verifique las direcciones IP de origen y destino (utiliza ACL). Haga clic en Next (Siguiente).
3. Elija el Origen y el Destino como cualquiera con el servicio tcp-udp/http. Haga clic en Next (Siguiente).
4. Marque el botón de opción HTTP y haga clic en Configure.
5. Compruebe el botón de opción Seleccione un mapa de inspección HTTP para el control sobre la inspección como se muestra. Click OK.
6. Haga clic en Finish (Finalizar).

Tráfico del puerto 8080

De nuevo, elija Agregar > Agregar regla de política de servicio.
Haga clic en Next (Siguiente).
Elija el botón de opción Add rule to existing traffic class y elija httptraffic en el menú desplegable. Haga clic en Next (Siguiente).
Elija el Origen y el Destino como cualquiera con tcp/8080. Haga clic en Next (Siguiente).

Haga clic en Finish (Finalizar).

Haga clic en Apply (Aplicar).

Configuración CLI equivalente

Configuración CLI ASA
ciscoasa#configure terminal ciscoasa(config)#access-list inside_mpc extended permit tcp any any eq www ciscoasa(config)#access-list inside_mpc extended permit tcp any any eq 8080 ciscoasa(config)#class-map httptraffic ciscoasa(config-cmap)#match access-list inside_mpc ciscoasa(config-cmap)#exit ciscoasa(config)#policy-map inside-policy ciscoasa(config-pmap)#class httptraffic ciscoasa(config-pmap-c)#inspect http http_inspection_policy ciscoasa(config-pmap-c)#exit ciscoasa(config-pmap)#exit ciscoasa(config)#service-policy inside-policy interface inside

Configuración CLI ASA

ciscoasa#configure terminal
ciscoasa(config)#access-list inside_mpc extended permit tcp any any eq www

ciscoasa(config)#access-list inside_mpc extended permit tcp any any eq 8080
ciscoasa(config)#class-map httptraffic
ciscoasa(config-cmap)#match access-list inside_mpc
ciscoasa(config-cmap)#exit
ciscoasa(config)#policy-map inside-policy
ciscoasa(config-pmap)#class httptraffic
ciscoasa(config-pmap-c)#inspect http http_inspection_policy
ciscoasa(config-pmap-c)#exit
ciscoasa(config-pmap)#exit
ciscoasa(config)#service-policy inside-policy interface inside

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

show running-config regex—Muestra las expresiones regulares que se han configurado

ciscoasa#show running-config regex
regex urllist1 ".*\.([Ee][Xx][Ee]|[Cc][Oo][Mm]|[Bb][Aa][Tt]) HTTP/1.[01]"
regex urllist2 ".*\.([Pp][Ii][Ff]|[Vv][Bb][Ss]|[Ww][Ss][Hh]) HTTP/1.[01]"
regex urllist3 ".*\.([Dd][Oo][Cc]|[Xx][Ll][Ss]|[Pp][Pp][Tt]) HTTP/1.[01]"
regex urllist4 ".*\.([Zz][Ii][Pp]|[Tt][Aa][Rr]|[Tt][Gg][Zz]) HTTP/1.[01]"
regex domainlist1 "\.yahoo\.com"
regex domainlist2 "\.myspace\.com"
regex domainlist3 "\.youtube\.com"
regex contenttype "Content-Type"
regex applicationheader "application/.*"
ciscoasa#

show running-config class-map—Muestra los mapas de clase que se han configurado

ciscoasa#show running-config class-map
!
class-map type regex match-any DomainBlockList
 match regex domainlist1
 match regex domainlist2
 match regex domainlist3
class-map type inspect http match-all BlockDomainsClass
 match request header host regex class DomainBlockList
class-map type regex match-any URLBlockList
 match regex urllist1
 match regex urllist2
 match regex urllist3
 match regex urllist4
class-map inspection_default
 match default-inspection-traffic
class-map type inspect http match-all AppHeaderClass
 match response header regex contenttype regex applicationheader
class-map httptraffic
 match access-list inside_mpc
class-map type inspect http match-all BlockURLsClass
 match request uri regex class URLBlockList
!
ciscoasa#

show running-config policy-map type inspect http: muestra los mapas de política que inspeccionan el tráfico http que se ha configurado

ciscoasa#show running-config policy-map type inspect http
!
policy-map type inspect http http_inspection_policy
 parameters
  protocol-violation action drop-connection
 class AppHeaderClass
  drop-connection log
 match request method connect
  drop-connection log
 class BlockDomainsClass
  reset log
 class BlockURLsClass
  reset log
!
ciscoasa#

show running-config policy-map—Muestra todas las configuraciones de policy-map así como la configuración predeterminada de policy-map

ciscoasa#show running-config policy-map
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map type inspect http http_inspection_policy
 parameters
  protocol-violation action drop-connection
 class AppHeaderClass
  drop-connection log
 match request method connect
  drop-connection log
 class BlockDomainsClass
  reset log
 class BlockURLsClass
  reset log
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
policy-map inside-policy
 class httptraffic
  inspect http http_inspection_policy
!
ciscoasa#

show running-config service-policy—Muestra todas las configuraciones de políticas de servicio que se están ejecutando actualmente
```
ciscoasa#show running-config service-policy
service-policy global_policy global
service-policy inside-policy interface inside
```

show running-config access-list—Muestra la configuración de la lista de acceso que se ejecuta en el dispositivo de seguridad

ciscoasa#show running-config access-list
access-list inside_mpc extended permit tcp any any eq www

access-list inside_mpc extended permit tcp any any eq 8080
ciscoasa#