Este documento describe cómo quitar la inspección predeterminada de la política global para una aplicación y cómo habilitar la inspección para una aplicación no predeterminada.
No hay requisitos específicos para este documento.
La información de este documento se basa en el Cisco Adaptive Security Appliance (ASA) que ejecuta la imagen de software 7.x.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
Esta configuración también se puede utilizar con el PIX Security Appliance que ejecuta la imagen de software 7.x.
De forma predeterminada, la configuración incluye una política que coincide con todo el tráfico de inspección de aplicaciones predeterminado y aplica ciertas inspecciones al tráfico en todas las interfaces (una política global). No todas las inspecciones están habilitadas de forma predeterminada. Sólo puede aplicar una política global. Si desea modificar la política global, debe editar la política predeterminada o desactivarla y aplicar una nueva. (Una política de interfaz anula la política global.)
La configuración de política predeterminada incluye estos comandos:
class-map inspection_default match default-inspection-traffic policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp service-policy global_policy global
Complete este procedimiento para habilitar la inspección de aplicaciones no predeterminadas en Cisco ASA:
Inicie sesión en ASDM. Vaya a Configuration > Firewall > Service Policy Rules.
Si desea mantener la configuración para la política global que incluye el mapa de clase predeterminado y el mapa de política predeterminado, pero desea eliminar la política globalmente, vaya a Herramientas > Interfaz de línea de comandos y utilice el comando no service-policy global-policy global para eliminar la política globalmente. A continuación, haga clic en Send para que el comando se aplique al ASA.
Nota: Con este paso, la política global pasa a ser invisible en el Administrador adaptable de dispositivos de seguridad (ASDM), pero se muestra en la CLI.
Haga clic en Agregar para agregar una nueva política como se muestra aquí:
Asegúrese de que el botón de opción junto a Interface esté marcado y elija la interfaz a la que desea aplicar la política en el menú desplegable. A continuación, proporcione el nombre de la política y la descripción. Haga clic en Next (Siguiente).
Cree un nuevo mapa de clase para que coincida con el tráfico TCP ya que HTTP cae bajo TCP. Haga clic en Next (Siguiente).
Elija TCP como protocolo.
Elija HTTP port 80 como el servicio y haga clic en OK.
Elija HTTP y haga clic en Finish.
Haga clic en Apply para enviar estos cambios de configuración al ASA desde el ASDM. Esto completa la configuración.
Utilice estos comandos show para verificar la configuración:
Utilice el comando show run class-map para ver los mapas de clase configurados.
ciscoasa# sh run class-map ! class-map inspection_default match default-inspection-traffic class-map outside-class match port tcp eq www !
Utilice el comando show run policy-map para ver los mapas de políticas configurados.
ciscoasa# sh run policy-map ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp policy-map outside-policy description Policy on outside interface class outside-class inspect http !
Utilice el comando show run service-policy para ver las políticas de servicio configuradas.
ciscoasa# sh run service-policy service-policy outside-policy interface outside
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
25-Nov-2010 |
Versión inicial |