ASA/PIX 7.2: Blokkeer bepaalde websites (URL’s) met behulp van reguliere expressies met MPF-configuratievoorbeelden

Downloadopties

  • PDF     (860.5 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (851.5 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.5 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:30 september 2008
Document-id:100513

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft hoe u de Cisco security applicaties ASA/PIX 7.2 met Regular Expressions met Modular Policy Framework (MPF) kunt configureren om bepaalde websites (URL’s) te blokkeren.

Opmerking: deze configuratie blokkeert niet alle toepassingsdownloads. Voor betrouwbare bestandsblokken moet een speciaal apparaat, zoals Websense, etc., of een module, zoals de CSC module voor de ASA, worden gebruikt.

HTTPS-filtering wordt niet ondersteund op ASA. ASA kan geen diepe pakketinspectie of inspectie uitvoeren op basis van reguliere expressie voor HTTPS-verkeer, omdat in HTTPS de inhoud van het pakket versleuteld is (ssl).

Voorwaarden

Vereisten

Dit document gaat ervan uit dat Cisco security applicatie correct is geconfigureerd en werkt.

Gebruikte componenten

  • Cisco 5500 Series adaptieve security applicatie (ASA) die softwareversie 7.2(2) uitvoert

  • Cisco Adaptieve Security Device Manager (ASDM) versie 5.2(2) voor ASA 7.2(2)

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Verwante producten

Deze configuratie kan ook worden gebruikt met Cisco 500 Series PIX waarin Software versie 7.2(2) wordt uitgevoerd.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Achtergrondinformatie

Modulair beleidskader - Overzicht

MPF biedt een consistente en flexibele manier om de functies van security applicaties te configureren. U kunt bijvoorbeeld MPF gebruiken om een tijdelijke configuratie te maken die specifiek is voor een bepaalde TCP-toepassing, in tegenstelling tot een die van toepassing is op alle TCP-toepassingen.

MPF ondersteunt deze functies:

  • TCP-normalisatie, TCP- en UDP-verbindingslimieten en -time-outs, en randomisatie van TCP-volgnummer

  • CSC

  • Toepassingscontrole

  • IPS

  • Toezicht QoS-invoer

  • QoS-uitvoertoezicht

  • QoS-prioriteitswachtrij

De configuratie van MPF bestaat uit vier taken:

  1. Identificeer het Layer 3- en Layer 4-verkeer waarop u acties wilt toepassen. Verwijs naar het Identificeren van verkeer met behulp van een Layer 3/4 Class Map voor meer informatie.

  2. (Alleen toepassingsinspectie) Definieer speciale acties voor applicatiecontroleverkeer. Raadpleeg Speciale acties configureren voor toepassingsinspecties voor meer informatie.

  3. Pas acties op Layer 3 en 4-verkeer toe. Zie Acties definiëren met behulp van een Layer 3/4 Policy Map voor meer informatie.

  4. Activeer de acties op een interface. Zie Een Layer 3/4-beleid toepassen op een interface met een servicebeleid voor meer informatie.

Normale expressie

Een reguliere expressie matcht tekststrings ofwel letterlijk als een exacte string, of met metacharacters, zodat je meerdere varianten van een tekststring kunt matchen. U kunt gebruikmaken van een reguliere expressie om de inhoud van bepaald toepassingsverkeer aan te passen; u kunt bijvoorbeeld een URL-tekenreeks in een HTTP-pakket matchen.

Opmerking: Gebruik Ctrl+V om te ontsnappen aan alle speciale tekens in de CLI, zoals een vraagteken (?) of tabblad. Typ bijvoorbeeld d[Ctrl+V]g om d?g in te voeren in de configuratie.

Als u een reguliere expressie wilt maken, gebruikt u de opdracht Regex, die kan worden gebruikt voor verschillende functies die tekstmatching vereisen. Bijvoorbeeld, kunt u speciale acties voor toepassingsinspectie met het Modulaire Kader van het Beleid met een kaart van het inspectiebeleid vormen (zie het type van beleidskaart inspecteren bevel). In de kaart van het inspectiebeleid, kunt u het verkeer identificeren u wilt handelen op als u een kaart creeert van de inspectieklasse die één of meerdere gelijke bevelen bevat, of u kunt gelijke bevelen in de kaart van het inspectiebeleid direct gebruiken. Met sommige matchopdrachten kunt u tekst in een pakket identificeren met een reguliere expressie; u kunt bijvoorbeeld URL-strings in HTTP-pakketten matchen. U kunt reguliere expressies groeperen in een klassenkaart voor reguliere expressies (zie de opdracht klasse-kaarttype regex).

Tabel 1 geeft de metatekentekens aan die een speciale betekenis hebben.

Teken Beschrijving Opmerkingen
. stip Komt overeen met één willekeurig teken. Bijvoorbeeld, d.g komt overeen met hond, dag, dtg, en elk woord dat die tekens bevat, zoals doggonnit.
(exp) Subexpression Een subexpressie scheidt tekens van omliggende tekens, zodat u andere tekens op de subexpressie kunt gebruiken. Bijvoorbeeld, d(o|a)g past hond en dag, maar do|ag wedstrijden doen en ag. Een subexpressie kan ook gebruikt worden met herhaalde kwantificeerders om de tekens te onderscheiden die bedoeld zijn voor herhaling. Bijvoorbeeld, ab (xy){3} z past abxyxyxyxyz aan.
| Alternatie Komt overeen met beide expressies die worden gescheiden. Bijvoorbeeld, hond|kat past hond of kat.
? Vraagteken Een kwantificeermiddel dat aangeeft dat er 0 of 1 van de vorige expressie is. Bijvoorbeeld, o?se komt overeen met verlies of verlies.

N.B.: U moet Ctrl+V invoeren en vervolgens het vraagteken plaatsen of de Help-functie wordt aangeroepen.
* Asterisk Een kwantificeermiddel dat aangeeft dat er 0, 1 of een ander nummer van de vorige expressie is. Bijvoorbeeld, lo*se komt overeen met verlies, verlies, los, enzovoort.
{x} Herhalingskwantificator Doe dit exact x keer. Bijvoorbeeld, ab (xy){3} z past abxyxyxyxyz aan.
{x,} Minimale herhalingskwantificator Herhaal dit ten minste x keer. Bijvoorbeeld, ab(xy){2} z komt overeen met abxyxyz, abxyxyxyxyxyz, enzovoort.
[abc] Tekenklasse Komt overeen met elk teken tussen haakjes. Bijvoorbeeld, [abc] komt overeen met a, b of c.
[^abc] Negatieve tekenklasse Komt overeen met één teken dat niet tussen de haakjes voorkomt. Bijvoorbeeld [^abc] komt overeen met elk teken anders dan a, b of c. [^A-Z] komt overeen met elk teken dat geen hoofdletter is.
[a-c] Klasse van tekenbereik Komt overeen met elk teken in het bereik. [a-z] komt overeen met elke kleine letter. U kunt tekens en bereiken combineren: [abcq-z] komt overeen met a, b, c, q, r, s, t, u, v, w, x, y, z en [a-cq-z] ook. Het dash (-) karakter is alleen letterlijk als het het laatste of eerste teken binnen de haakjes is: [abc-] of [-abc].
"" Aanhalingstekens Behoudt spaties aan het einde of aan het begin in de string. Bijvoorbeeld, "test" behoudt de leidende ruimte wanneer het op zoek is naar een overeenkomst.
^ caret Specificeert het begin van een regel.
\ Escape-teken Wanneer gebruikt met een metateken, past een letterlijk teken aan. Bijvoorbeeld \[komt overeen met de linkervierkante haakje.
klusje Teken Wanneer een teken geen metateken is, komt dit overeen met het letterlijke teken.
\r Retourvlucht Overeenkomt een wagenterugloop 0x0d.
\n Newline Komt overeen met een nieuwe lijn 0x0a.
\t Tab Komt overeen met een tab 0x09.
\f FormFiller Komt overeen met een formulierfeed 0x0c.
\xNN Geëindigd hexadecimaal nummer Komt overeen met een ASCII-teken met hexadecimaal (precies twee cijfers).
\NNN Ontsnapt octale nummer Komt overeen met een ASCII-teken als octal (precies drie cijfers). Het teken 040 geeft bijvoorbeeld een spatie weer.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Opmerking: Gebruik de Command Lookup Tool (alleen voor geregistreerde klanten) voor meer informatie over de opdrachten die in deze sectie worden gebruikt.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

ASARegexp1.gif

Configuraties

Dit document gebruikt de volgende configuraties:

ASA CLI configureren

ASA CLI configureren 
ciscoasa#show running-config
: Saved
:
ASA Version 7.2(2)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 192.168.1.5 255.255.255.0
!
interface Ethernet0/2
 nameif DMZ
 security-level 90
 ip address 10.77.241.142 255.255.255.192
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
regex urllist1 ".*\.([Ee][Xx][Ee]|[Cc][Oo][Mm]|[Bb][Aa][Tt]) HTTP/1.[01]"


!--- Extensions such as .exe, .com, .bat to be captured and !--- provided the http version being used by web browser must be either 1.0 or 1.1


regex urllist2 ".*\.([Pp][Ii][Ff]|[Vv][Bb][Ss]|[Ww][Ss][Hh]) HTTP/1.[01]"

!--- Extensions such as .pif, .vbs, .wsh to be captured !--- and provided the http version being used by web browser must be either !--- 1.0 or 1.1


regex urllist3 ".*\.([Dd][Oo][Cc]|[Xx][Ll][Ss]|[Pp][Pp][Tt]) HTTP/1.[01]"


!--- Extensions such as .doc(word), .xls(ms-excel), .ppt to be captured and provided !--- the http version being used by web browser must be either 1.0 or 1.1


regex urllist4 ".*\.([Zz][Ii][Pp]|[Tt][Aa][Rr]|[Tt][Gg][Zz]) HTTP/1.[01]"


!--- Extensions such as .zip, .tar, .tgz to be captured and provided !--- the http version being used by web browser must be either 1.0 or 1.1


regex domainlist1 "\.yahoo\.com"
regex domainlist2 "\.myspace\.com"
regex domainlist3 "\.youtube\.com"


!--- Captures the URLs with domain name like yahoo.com, !--- youtube.com and myspace.com


regex contenttype "Content-Type"
regex applicationheader "application/.*"


!--- Captures the application header and type of !--- content in order for analysis


boot system disk0:/asa802-k8.bin
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid

access-list inside_mpc extended permit tcp any any eq www

access-list inside_mpc extended permit tcp any any eq 8080


!--- Filters the http and port 8080 !--- traffic in order to block the specific traffic with regular !--- expressions


pager lines 24
mtu inside 1500
mtu outside 1500
mtu DMZ 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
route DMZ 0.0.0.0 0.0.0.0 10.77.241.129 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 0.0.0.0 0.0.0.0 DMZ
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map type regex match-any DomainBlockList
 match regex domainlist1
 match regex domainlist2
 match regex domainlist3


!--- Class map created in order to match the domain names !--- to be blocked


class-map type inspect http match-all BlockDomainsClass
 match request header host regex class DomainBlockList


!--- Inspect the identified traffic by class !--- "DomainBlockList"


class-map type regex match-any URLBlockList
 match regex urllist1
 match regex urllist2
 match regex urllist3
 match regex urllist4


!--- Class map created in order to match the URLs !--- to be blocked


class-map inspection_default
 match default-inspection-traffic

class-map type inspect http match-all AppHeaderClass
 match response header regex contenttype regex applicationheader


!--- Inspect the captured traffic by regular !--- expressions "content-type" and "applicationheader"


class-map httptraffic
 match access-list inside_mpc


!--- Class map created in order to match the !--- filtered traffic by ACL


class-map type inspect http match-all BlockURLsClass
 match request uri regex class URLBlockList
!

!--- Inspect the identified traffic by class !--- "URLBlockList"


!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map type inspect http http_inspection_policy
 parameters
  protocol-violation action drop-connection
 class AppHeaderClass
  drop-connection log
 match request method connect
  drop-connection log
 class BlockDomainsClass
  reset log
 class BlockURLsClass
  reset log


!--- Define the actions such as drop, reset or log !--- in the inspection policy map


policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp

policy-map inside-policy
 class httptraffic
  inspect http http_inspection_policy


!--- Map the inspection policy map to the class !--- "httptraffic" under the policy map created for the !--- inside network traffic


!
service-policy global_policy global
service-policy inside-policy interface inside


!--- Apply the policy to the interface inside where the websites will be blocked


prompt hostname context
Cryptochecksum:e629251a7c37af205c289cf78629fc11
: end
ciscoasa#

ASA Configuration 7.2(x) met ASDM 5.2

Voltooi deze stappen om de reguliere expressies te configureren en pas ze toe op MPF om de specifieke websites te blokkeren:

  1. Reguliere expressies maken

    Kies Configuratie > Wereldwijde objecten > Reguliere expressies en klik op Toevoegen onder het tabblad Reguliere expressie om reguliere expressies te maken.

    1. Maak een reguliere expressie domainlist1 om de domeinnaam yahoo.com vast te leggen. Klik op OK.

      ASARegexp2.gif

    2. Maak een reguliere expressie domainlist2 om de domeinnaam myspace.com vast te leggen. Klik op OK.

      ASARegexp3.gif

    3. Maak een reguliere expressie domainlist3 om de domeinnaam youtube.com vast te leggen. Klik op OK.

      ASARegexp4.gif

    4. Maak een reguliere expressie urllist1 om de bestandsextensies zoals exe, com en bat op te nemen, mits de http versie die gebruikt wordt door de webbrowser 1.0 of 1.1 moet zijn. Klik op OK.

      ASARegexp5.gif

    5. Maak een reguliere expressie urllist2 om de bestandsextensies, zoals pif, vbs, en wsh op te nemen op voorwaarde dat de HTTP versie die wordt gebruikt door de webbrowser 1.0 of 1.1 is. Klik op OK.

      ASARegexp6.gif

    6. Maak een reguliere expressie urllist3 om de bestandsextensies, zoals doc, xls en ppt op te nemen op voorwaarde dat de HTTP versie die wordt gebruikt door de webbrowser 1.0 of 1.1 is. Klik op OK.

      ASARegexp7.gif

    7. Maak een reguliere expressie urllist4 om de bestandsextensies, zoals zip, tar en tgz op te nemen op voorwaarde dat de HTTP versie die wordt gebruikt door de webbrowser 1.0 of 1.1 is. Klik op OK.

      ASARegexp8.gif

    8. Maak een contenttype voor reguliere expressies om het inhoudstype op te nemen. Klik op OK.

      ASARegexp9.gif

    9. Maak een toepassingsheader voor reguliere expressies om de verschillende toepassingsheader op te nemen. Klik op OK.

      ASARegexp10.gif

    Equivalente CLI-configuratie

    ASA CLI configureren 
    ciscoasa#configure terminal
ciscoasa(config)#regex urllist1 ".*\.([Ee][Xx][Ee]|[Cc][Oo][Mm]|[Bb][Aa][Tt])$
ciscoasa(config)#regex urllist2 ".*\.([Pp][Ii][Ff]|[Vv][Bb][Ss]|[Ww][Ss][Hh])$
ciscoasa(config)#regex urllist3 ".*\.([Dd][Oo][Cc]|[Xx][Ll][Ss]|[Pp][Pp][Tt])$
ciscoasa(config)#regex urllist4 ".*\.([Zz][Ii][Pp]|[Tt][Aa][Rr]|[Tt][Gg][Zz])$
ciscoasa(config)#regex domainlist1 "\.yahoo\.com"
ciscoasa(config)#regex domainlist2 "\.myspace\.com"
ciscoasa(config)#regex domainlist3 "\.youtube\.com"
ciscoasa(config)#regex contenttype "Content-Type"
ciscoasa(config)#regex applicationheader "application/.*"

  2. Reguliere expressieklassen maken

    Kies Configuratie > Wereldwijde objecten > Reguliere expressies en klik op Toevoegen onder het tabblad Reguliere expressieklassen om de verschillende klassen te maken.

    1. Maak een reguliere expressieklasse DomainBlockList om een van de reguliere expressies aan te passen: domainlist1, domainlist2 en domainlist3. Klik op OK.

      ASARegexp11.gif

    2. Maak een klasse voor reguliere expressies URLBlockList om een van de reguliere expressies aan te passen: urllist1, urllist2, urllist3 en urllist4. Klik op OK.

      ASARegexp12.gif

      Equivalente CLI-configuratie

      ASA CLI configureren 
      ciscoasa#configure terminal
ciscoasa(config)#class-map type inspect http match-all BlockDomainsClass
ciscoasa(config-cmap)#match request header host regex class DomainBlockList
ciscoasa(config-cmap)#exit
ciscoasa(config)#class-map type regex match-any URLBlockList
ciscoasa(config-cmap)#match regex urllist1
ciscoasa(config-cmap)#match regex urllist2
ciscoasa(config-cmap)#match regex urllist3
ciscoasa(config-cmap)#match regex urllist4
ciscoasa(config-cmap)#exit

  3. Inspecteer het geïdentificeerde verkeer met Klasse kaarten

    Kies Configuratie > Wereldwijde objecten > Klasse Kaarten > HTTP > Toevoegen om een klassenkaart te maken om het HTTP-verkeer te inspecteren dat wordt geïdentificeerd door verschillende reguliere expressies.

    1. Maak een klassenmap AppHeaderClass om de reactieheader aan te passen aan reguliere expressieopnamen.

      ASARegexp13.gif

      Klik op OK.

    2. Maak een klassenmap BlockDomainsClass om de aanvraagheader aan te passen aan reguliere expressieopnamen.

      ASARegexp14.gif

      Klik op OK.

    3. Maak een klassekaart BlockURLsClass om de aanvraag-URI aan te passen aan reguliere expressies.

      ASARegexp15.gif

      Klik op OK.

      Equivalente CLI-configuratie

      ASA CLI configureren 
      ciscoasa#configure terminal
ciscoasa(config)#class-map type inspect http match-all AppHeaderClass
ciscoasa(config-cmap)#match response header regex contenttype regex 
   applicationheader
ciscoasa(config-cmap)#exit
ciscoasa(config)#class-map type inspect http match-all BlockDomainsClass
ciscoasa(config-cmap)#match request header host regex class DomainBlockList
ciscoasa(config-cmap)#exit
ciscoasa(config)#class-map type inspect http match-all BlockURLsClass
ciscoasa(config-cmap)#match request uri regex class URLBlockList
ciscoasa(config-cmap)#exit

  4. Stel de acties voor het overeenkomende verkeer in in het inspectiebeleid

    Kies Configuratie > Wereldwijde objecten > Kaarten inspecteren > HTTP om een http_inspection_policy te maken om de actie voor het overeenkomende verkeer in te stellen. Klik op Toevoegen en Toepassen.

    ASARegexp16.gif

    1. Kies Configuration > Global Objects > Inspect Maps > HTTP > http_inspection_policy en klik op Advanced View > Inspections > Add om de acties voor de verschillende klassen die tot nu toe zijn gemaakt in te stellen.

      ASARegexp17.gif

      Klik op OK.

    2. Stel de actie in als Drop Connection; Schakel de logboekregistratie voor het criterium in als Aanvraagmethode en Waarde zoals verbinding maken.

      ASARegexp18.gif

      Klik op OK.

    3. Stel de actie in als Drop Connection en Schakel de logboekregistratie in voor de klasse AppHeaderClass.

      ASARegexp19.gif

      Klik op OK.

    4. Stel de actie in als Reset en Schakel de logboekregistratie in voor de klasse BlockDomainsClass.

      ASARegexp20.gif

      Klik op OK.

    5. Stel de actie in als Reset en Schakel de logboekregistratie in voor de klasse BlockURLsClass.

      ASARegexp21.gif

      Klik op OK.

      Klik op Apply (Toepassen).

      Equivalente CLI-configuratie

      ASA CLI configureren 
      ciscoasa#configure terminal
ciscoasa(config)#policy-map type inspect http http_inspection_policy
ciscoasa(config-pmap)#parameters
ciscoasa(config-pmap-p)#match request method connect
ciscoasa(config-pmap-c)#drop-connection log
ciscoasa(config-pmap-c)#class AppHeaderClass
ciscoasa(config-pmap-c)#drop-connection log
ciscoasa(config-pmap-c)#class BlockDomainsClass
ciscoasa(config-pmap-c)#reset log
ciscoasa(config-pmap-c)#class BlockURLsClass
ciscoasa(config-pmap-c)#reset log
ciscoasa(config-pmap-c)#exit
ciscoasa(config-pmap)#exit

  5. Pas het inspectie http beleid op de interface toe

    Kies Configuratie > Beveiligingsbeleid > Regels voor servicebeleid > Toevoegen > Regel voor servicebeleid toevoegen onder het tabblad Servicebeleidsregels.

    ASARegexp22.gif

    1. HTTP-verkeer

      1. Kies de interfaceknop met de binneninterface van het vervolgkeuzemenu en de Beleidsnaam als binnenbeleid. Klik op Next (Volgende).

        ASARegexp23.gif

      2. Maak een class map httptraffic en controleer het IP-adres van de bron en de bestemming (gebruikt ACL). Klik op Next (Volgende).

        ASARegexp24.gif

      3. Kies de Bron en Bestemming als om het even welk met de haven van TCP als HTTP. Klik op Next (Volgende).

        ASAWebsitesblock40.gif

      4. Controleer de radioknop HTTP en klik op Configureren.

        ASARegexp25.gif

      5. Controleer het keuzerondje Selecteer een HTTP inspect map voor de controle over de inspectie. Klik op OK.

        ASARegexp27.gif

      6. Klik op Finish (Voltooien).

        ASARegexp28.gif

    2. Port 8080 verkeer

      1. Klik nogmaals op Add > Add Service Policy Rule.

        ASARegexp34-1.gif

      2. Klik op Next (Volgende).

        ASARegexp35.gif

      3. Kies de Add regel to existing traffic class radioknop en kies httptraffic in het vervolgkeuzemenu. Klik op Next (Volgende).

        ASARegexp36.gif

      4. Kies de Bron en Bestemming als om het even welk met de haven van TCP als 8080. Klik op Next (Volgende).

        ASAWebsitesblock42.gif

      5. Klik op Finish (Voltooien).

        ASARegexp38.gif

        ASARegexp39-1.gif

      Klik op Apply (Toepassen).

      Equivalente CLI-configuratie

      ASA CLI configureren 
      ciscoasa#configure terminal
ciscoasa(config)#access-list inside_mpc extended permit tcp any any eq www

ciscoasa(config)#access-list inside_mpc extended permit tcp any any eq 8080
ciscoasa(config)#class-map httptraffic
ciscoasa(config-cmap)#match access-list inside_mpc
ciscoasa(config-cmap)#exit
ciscoasa(config)#policy-map inside-policy
ciscoasa(config-pmap)#class httptraffic
ciscoasa(config-pmap-c)#inspect http http_inspection_policy
ciscoasa(config-pmap-c)#exit
ciscoasa(config-pmap)#exit
ciscoasa(config)#service-policy inside-policy interface inside

Verifiëren

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de OIT om een analyse te bekijken van de output van de opdracht show.

  • toon in werking stelt -in werking stellen-Config—Toont de regelmatige uitdrukkingen die zijn gevormd

    ciscoasa#show running-config regex
regex urllist1 ".*\.([Ee][Xx][Ee]|[Cc][Oo][Mm]|[Bb][Aa][Tt]) HTTP/1.[01]"
regex urllist2 ".*\.([Pp][Ii][Ff]|[Vv][Bb][Ss]|[Ww][Ss][Hh]) HTTP/1.[01]"
regex urllist3 ".*\.([Dd][Oo][Cc]|[Xx][Ll][Ss]|[Pp][Pp][Tt]) HTTP/1.[01]"
regex urllist4 ".*\.([Zz][Ii][Pp]|[Tt][Aa][Rr]|[Tt][Gg][Zz]) HTTP/1.[01]"
regex domainlist1 "\.yahoo\.com"
regex domainlist2 "\.myspace\.com"
regex domainlist3 "\.youtube\.com"
regex contenttype "Content-Type"
regex applicationheader "application/.*"
ciscoasa#

  • toon in werking stelt -in werking stellen-configuratie klasse-kaart-toont de klassenkaarten die zijn gevormd

    ciscoasa#show running-config class-map
!
class-map type regex match-any DomainBlockList
 match regex domainlist1
 match regex domainlist2
 match regex domainlist3
class-map type inspect http match-all BlockDomainsClass
 match request header host regex class DomainBlockList
class-map type regex match-any URLBlockList
 match regex urllist1
 match regex urllist2
 match regex urllist3
 match regex urllist4
class-map inspection_default
 match default-inspection-traffic
class-map type inspect http match-all AppHeaderClass
 match response header regex contenttype regex applicationheader
class-map httptraffic
 match access-list inside_mpc
class-map type inspect http match-all BlockURLsClass
 match request uri regex class URLBlockList
!
ciscoasa#

  • toon in werking stelt-in werking stelt beleid-kaart type inspecteren http-toont de beleidskaarten die het http verkeer inspecteren dat is gevormd

    ciscoasa#show running-config policy-map type inspect http
!
policy-map type inspect http http_inspection_policy
 parameters
  protocol-violation action drop-connection
 class AppHeaderClass
  drop-connection log
 match request method connect
  drop-connection log
 class BlockDomainsClass
  reset log
 class BlockURLsClass
  reset log
!
ciscoasa#

  • toon in werking stelt -in werking stellen-Config beleid-kaart-Toont alle beleid-kaart configuraties evenals de standaard beleid-kaart configuratie

    ciscoasa#show running-config policy-map
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map type inspect http http_inspection_policy
 parameters
  protocol-violation action drop-connection
 class AppHeaderClass
  drop-connection log
 match request method connect
  drop-connection log
 class BlockDomainsClass
  reset log
 class BlockURLsClass
  reset log
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
policy-map inside-policy
 class httptraffic
  inspect http http_inspection_policy
!
ciscoasa#

  • toon in werking stelt -in werking stellen-in werking stellen dienst-beleid-Toont alle momenteel lopende configuraties van het de dienstbeleid

    ciscoasa#show running-config service-policy
service-policy global_policy global
service-policy inside-policy interface inside

  • toon in werking stelt-Config toegang-lijst-Toont de toegang-lijst configuratie die op het veiligheidstoestel loopt

    ciscoasa#show running-config access-list
access-list inside_mpc extended permit tcp any any eq www

access-list inside_mpc extended permit tcp any any eq 8080
ciscoasa#

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

Opmerking: raadpleeg Belangrijke informatie over debug-opdrachten voordat u debug-opdrachten gebruikt.

  • debug http—Hier worden de debug-berichten voor HTTP-verkeer weergegeven.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
10-Jan-2008
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten