ASA/PIX 7.X: Desactive la inspección global predeterminada y active la inspección de aplicaciones no predeterminadas mediante ASDM

Opciones de descarga

  • PDF     (358.9 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (238.1 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (549.0 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:2 de diciembre de 2010
ID del documento:112235

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo quitar la inspección predeterminada de la política global para una aplicación y cómo habilitar la inspección para una aplicación no predeterminada.

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

La información de este documento se basa en el Cisco Adaptive Security Appliance (ASA) que ejecuta la imagen de software 7.x.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Productos Relacionados

Esta configuración también se puede utilizar con el PIX Security Appliance que ejecuta la imagen de software 7.x.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Política global predeterminada

De forma predeterminada, la configuración incluye una política que coincide con todo el tráfico de inspección de aplicaciones predeterminado y aplica ciertas inspecciones al tráfico en todas las interfaces (una política global). No todas las inspecciones están habilitadas de forma predeterminada. Sólo puede aplicar una política global. Si desea modificar la política global, debe editar la política predeterminada o desactivarla y aplicar una nueva. (Una política de interfaz anula la política global.)

La configuración de política predeterminada incluye estos comandos:

class-map inspection_default
 match default-inspection-traffic
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect xdmcp 
  inspect sip 
  inspect netbios 
  inspect tftp 
service-policy global_policy global

Activar inspección de aplicación no predeterminada

Complete este procedimiento para habilitar la inspección de aplicaciones no predeterminadas en Cisco ASA:

  1. Inicie sesión en ASDM. Vaya a Configuration > Firewall > Service Policy Rules.

    asa-disgi-enai-asdm-01.gif

  2. Si desea mantener la configuración para la política global que incluye el mapa de clase predeterminado y el mapa de política predeterminado, pero desea eliminar la política globalmente, vaya a Herramientas > Interfaz de línea de comandos y utilice el comando no service-policy global-policy global para eliminar la política globalmente. A continuación, haga clic en Send para que el comando se aplique al ASA.

    asa-disgi-enai-asdm-02.gif

    Nota: Con este paso, la política global pasa a ser invisible en el Administrador adaptable de dispositivos de seguridad (ASDM), pero se muestra en la CLI.

  3. Haga clic en Agregar para agregar una nueva política como se muestra aquí:

    asa-disgi-enai-asdm-03.gif

  4. Asegúrese de que el botón de opción junto a Interface esté marcado y elija la interfaz a la que desea aplicar la política en el menú desplegable. A continuación, proporcione el nombre de la política y la descripción. Haga clic en Next (Siguiente).

    asa-disgi-enai-asdm-04.gif

  5. Cree un nuevo mapa de clase para que coincida con el tráfico TCP ya que HTTP cae bajo TCP. Haga clic en Next (Siguiente).

    asa-disgi-enai-asdm-05.gif

  6. Elija TCP como protocolo.

    asa-disgi-enai-asdm-06.gif

    Elija HTTP port 80 como el servicio y haga clic en OK.

    asa-disgi-enai-asdm-07.gif

  7. Elija HTTP y haga clic en Finish.

    asa-disgi-enai-asdm-08.gif

  8. Haga clic en Apply para enviar estos cambios de configuración al ASA desde el ASDM. Esto completa la configuración.

    asa-disgi-enai-asdm-09.gif

Verificación

Utilice estos comandos show para verificar la configuración:

  • Utilice el comando show run class-map para ver los mapas de clase configurados.

    ciscoasa# sh run class-map
!
class-map inspection_default
match default-inspection-traffic
class-map outside-class
match port tcp eq www
!

  • Utilice el comando show run policy-map para ver los mapas de políticas configurados.

    ciscoasa# sh run policy-map
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
policy-map outside-policy
 description Policy on outside interface
 class outside-class
  inspect http
!

  • Utilice el comando show run service-policy para ver las políticas de servicio configuradas.

    ciscoasa# sh run service-policy
service-policy outside-policy interface outside

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
25-Nov-2010
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos