Dit document beschrijft hoe u de Cisco security applicaties ASA/PIX 7.2 met Regular Expressions met Modular Policy Framework (MPF) kunt configureren om bepaalde websites (URL’s) te blokkeren.
Opmerking: deze configuratie blokkeert niet alle toepassingsdownloads. Voor betrouwbare bestandsblokken moet een speciaal apparaat, zoals Websense, etc., of een module, zoals de CSC module voor de ASA, worden gebruikt.
HTTPS-filtering wordt niet ondersteund op ASA. ASA kan geen diepe pakketinspectie of inspectie uitvoeren op basis van reguliere expressie voor HTTPS-verkeer, omdat in HTTPS de inhoud van het pakket versleuteld is (ssl).
Dit document gaat ervan uit dat Cisco security applicatie correct is geconfigureerd en werkt.
Cisco 5500 Series adaptieve security applicatie (ASA) die softwareversie 7.2(2) uitvoert
Cisco Adaptieve Security Device Manager (ASDM) versie 5.2(2) voor ASA 7.2(2)
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Deze configuratie kan ook worden gebruikt met Cisco 500 Series PIX waarin Software versie 7.2(2) wordt uitgevoerd.
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
MPF biedt een consistente en flexibele manier om de functies van security applicaties te configureren. U kunt bijvoorbeeld MPF gebruiken om een tijdelijke configuratie te maken die specifiek is voor een bepaalde TCP-toepassing, in tegenstelling tot een die van toepassing is op alle TCP-toepassingen.
MPF ondersteunt deze functies:
TCP-normalisatie, TCP- en UDP-verbindingslimieten en -time-outs, en randomisatie van TCP-volgnummer
CSC
Toepassingscontrole
IPS
Toezicht QoS-invoer
QoS-uitvoertoezicht
QoS-prioriteitswachtrij
De configuratie van MPF bestaat uit vier taken:
Identificeer het Layer 3- en Layer 4-verkeer waarop u acties wilt toepassen. Verwijs naar het Identificeren van verkeer met behulp van een Layer 3/4 Class Map voor meer informatie.
(Alleen toepassingsinspectie) Definieer speciale acties voor applicatiecontroleverkeer. Raadpleeg Speciale acties configureren voor toepassingsinspecties voor meer informatie.
Pas acties op Layer 3 en 4-verkeer toe. Zie Acties definiëren met behulp van een Layer 3/4 Policy Map voor meer informatie.
Activeer de acties op een interface. Zie Een Layer 3/4-beleid toepassen op een interface met een servicebeleid voor meer informatie.
Een reguliere expressie matcht tekststrings ofwel letterlijk als een exacte string, of met metacharacters, zodat je meerdere varianten van een tekststring kunt matchen. U kunt gebruikmaken van een reguliere expressie om de inhoud van bepaald toepassingsverkeer aan te passen; u kunt bijvoorbeeld een URL-tekenreeks in een HTTP-pakket matchen.
Opmerking: Gebruik Ctrl+V om te ontsnappen aan alle speciale tekens in de CLI, zoals een vraagteken (?) of tabblad. Typ bijvoorbeeld d[Ctrl+V]g om d?g in te voeren in de configuratie.
Als u een reguliere expressie wilt maken, gebruikt u de opdracht Regex, die kan worden gebruikt voor verschillende functies die tekstmatching vereisen. Bijvoorbeeld, kunt u speciale acties voor toepassingsinspectie met het Modulaire Kader van het Beleid met een kaart van het inspectiebeleid vormen (zie het type van beleidskaart inspecteren bevel). In de kaart van het inspectiebeleid, kunt u het verkeer identificeren u wilt handelen op als u een kaart creeert van de inspectieklasse die één of meerdere gelijke bevelen bevat, of u kunt gelijke bevelen in de kaart van het inspectiebeleid direct gebruiken. Met sommige matchopdrachten kunt u tekst in een pakket identificeren met een reguliere expressie; u kunt bijvoorbeeld URL-strings in HTTP-pakketten matchen. U kunt reguliere expressies groeperen in een klassenkaart voor reguliere expressies (zie de opdracht klasse-kaarttype regex).
Tabel 1 geeft de metatekentekens aan die een speciale betekenis hebben.
Teken | Beschrijving | Opmerkingen |
---|---|---|
. | stip | Komt overeen met één willekeurig teken. Bijvoorbeeld, d.g komt overeen met hond, dag, dtg, en elk woord dat die tekens bevat, zoals doggonnit. |
(exp) | Subexpression | Een subexpressie scheidt tekens van omliggende tekens, zodat u andere tekens op de subexpressie kunt gebruiken. Bijvoorbeeld, d(o|a)g past hond en dag, maar do|ag wedstrijden doen en ag. Een subexpressie kan ook gebruikt worden met herhaalde kwantificeerders om de tekens te onderscheiden die bedoeld zijn voor herhaling. Bijvoorbeeld, ab (xy){3} z past abxyxyxyxyz aan. |
| | Alternatie | Komt overeen met beide expressies die worden gescheiden. Bijvoorbeeld, hond|kat past hond of kat. |
? | Vraagteken | Een kwantificeermiddel dat aangeeft dat er 0 of 1 van de vorige expressie is. Bijvoorbeeld, o?se komt overeen met verlies of verlies. N.B.: U moet Ctrl+V invoeren en vervolgens het vraagteken plaatsen of de Help-functie wordt aangeroepen. |
* | Asterisk | Een kwantificeermiddel dat aangeeft dat er 0, 1 of een ander nummer van de vorige expressie is. Bijvoorbeeld, lo*se komt overeen met verlies, verlies, los, enzovoort. |
{x} | Herhalingskwantificator | Doe dit exact x keer. Bijvoorbeeld, ab (xy){3} z past abxyxyxyxyz aan. |
{x,} | Minimale herhalingskwantificator | Herhaal dit ten minste x keer. Bijvoorbeeld, ab(xy){2} z komt overeen met abxyxyz, abxyxyxyxyxyz, enzovoort. |
[abc] | Tekenklasse | Komt overeen met elk teken tussen haakjes. Bijvoorbeeld, [abc] komt overeen met a, b of c. |
[^abc] | Negatieve tekenklasse | Komt overeen met één teken dat niet tussen de haakjes voorkomt. Bijvoorbeeld [^abc] komt overeen met elk teken anders dan a, b of c. [^A-Z] komt overeen met elk teken dat geen hoofdletter is. |
[a-c] | Klasse van tekenbereik | Komt overeen met elk teken in het bereik. [a-z] komt overeen met elke kleine letter. U kunt tekens en bereiken combineren: [abcq-z] komt overeen met a, b, c, q, r, s, t, u, v, w, x, y, z en [a-cq-z] ook. Het dash (-) karakter is alleen letterlijk als het het laatste of eerste teken binnen de haakjes is: [abc-] of [-abc]. |
"" | Aanhalingstekens | Behoudt spaties aan het einde of aan het begin in de string. Bijvoorbeeld, "test" behoudt de leidende ruimte wanneer het op zoek is naar een overeenkomst. |
^ | caret | Specificeert het begin van een regel. |
\ | Escape-teken | Wanneer gebruikt met een metateken, past een letterlijk teken aan. Bijvoorbeeld \[komt overeen met de linkervierkante haakje. |
klusje | Teken | Wanneer een teken geen metateken is, komt dit overeen met het letterlijke teken. |
\r | Retourvlucht | Overeenkomt een wagenterugloop 0x0d. |
\n | Newline | Komt overeen met een nieuwe lijn 0x0a. |
\t | Tab | Komt overeen met een tab 0x09. |
\f | FormFiller | Komt overeen met een formulierfeed 0x0c. |
\xNN | Geëindigd hexadecimaal nummer | Komt overeen met een ASCII-teken met hexadecimaal (precies twee cijfers). |
\NNN | Ontsnapt octale nummer | Komt overeen met een ASCII-teken als octal (precies drie cijfers). Het teken 040 geeft bijvoorbeeld een spatie weer. |
Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.
Opmerking: Gebruik de Command Lookup Tool (alleen voor geregistreerde klanten) voor meer informatie over de opdrachten die in deze sectie worden gebruikt.
Het netwerk in dit document is als volgt opgebouwd:
Dit document gebruikt de volgende configuraties:
ASA CLI configureren |
---|
ciscoasa#show running-config : Saved : ASA Version 7.2(2) ! hostname ciscoasa domain-name default.domain.invalid enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0/0 nameif inside security-level 100 ip address 10.1.1.1 255.255.255.0 ! interface Ethernet0/1 nameif outside security-level 0 ip address 192.168.1.5 255.255.255.0 ! interface Ethernet0/2 nameif DMZ security-level 90 ip address 10.77.241.142 255.255.255.192 ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted regex urllist1 ".*\.([Ee][Xx][Ee]|[Cc][Oo][Mm]|[Bb][Aa][Tt]) HTTP/1.[01]" !--- Extensions such as .exe, .com, .bat to be captured and !--- provided the http version being used by web browser must be either 1.0 or 1.1 regex urllist2 ".*\.([Pp][Ii][Ff]|[Vv][Bb][Ss]|[Ww][Ss][Hh]) HTTP/1.[01]" !--- Extensions such as .pif, .vbs, .wsh to be captured !--- and provided the http version being used by web browser must be either !--- 1.0 or 1.1 regex urllist3 ".*\.([Dd][Oo][Cc]|[Xx][Ll][Ss]|[Pp][Pp][Tt]) HTTP/1.[01]" !--- Extensions such as .doc(word), .xls(ms-excel), .ppt to be captured and provided !--- the http version being used by web browser must be either 1.0 or 1.1 regex urllist4 ".*\.([Zz][Ii][Pp]|[Tt][Aa][Rr]|[Tt][Gg][Zz]) HTTP/1.[01]" !--- Extensions such as .zip, .tar, .tgz to be captured and provided !--- the http version being used by web browser must be either 1.0 or 1.1 regex domainlist1 "\.yahoo\.com" regex domainlist2 "\.myspace\.com" regex domainlist3 "\.youtube\.com" !--- Captures the URLs with domain name like yahoo.com, !--- youtube.com and myspace.com regex contenttype "Content-Type" regex applicationheader "application/.*" !--- Captures the application header and type of !--- content in order for analysis boot system disk0:/asa802-k8.bin ftp mode passive dns server-group DefaultDNS domain-name default.domain.invalid access-list inside_mpc extended permit tcp any any eq www access-list inside_mpc extended permit tcp any any eq 8080 !--- Filters the http and port 8080 !--- traffic in order to block the specific traffic with regular !--- expressions pager lines 24 mtu inside 1500 mtu outside 1500 mtu DMZ 1500 no failover icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-602.bin no asdm history enable arp timeout 14400 route DMZ 0.0.0.0 0.0.0.0 10.77.241.129 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute dynamic-access-policy-record DfltAccessPolicy http server enable http 0.0.0.0 0.0.0.0 DMZ no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart no crypto isakmp nat-traversal telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list ! class-map type regex match-any DomainBlockList match regex domainlist1 match regex domainlist2 match regex domainlist3 !--- Class map created in order to match the domain names !--- to be blocked class-map type inspect http match-all BlockDomainsClass match request header host regex class DomainBlockList !--- Inspect the identified traffic by class !--- "DomainBlockList" class-map type regex match-any URLBlockList match regex urllist1 match regex urllist2 match regex urllist3 match regex urllist4 !--- Class map created in order to match the URLs !--- to be blocked class-map inspection_default match default-inspection-traffic class-map type inspect http match-all AppHeaderClass match response header regex contenttype regex applicationheader !--- Inspect the captured traffic by regular !--- expressions "content-type" and "applicationheader" class-map httptraffic match access-list inside_mpc !--- Class map created in order to match the !--- filtered traffic by ACL class-map type inspect http match-all BlockURLsClass match request uri regex class URLBlockList ! !--- Inspect the identified traffic by class !--- "URLBlockList" ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map type inspect http http_inspection_policy parameters protocol-violation action drop-connection class AppHeaderClass drop-connection log match request method connect drop-connection log class BlockDomainsClass reset log class BlockURLsClass reset log !--- Define the actions such as drop, reset or log !--- in the inspection policy map policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp policy-map inside-policy class httptraffic inspect http http_inspection_policy !--- Map the inspection policy map to the class !--- "httptraffic" under the policy map created for the !--- inside network traffic ! service-policy global_policy global service-policy inside-policy interface inside !--- Apply the policy to the interface inside where the websites will be blocked prompt hostname context Cryptochecksum:e629251a7c37af205c289cf78629fc11 : end ciscoasa# |
Voltooi deze stappen om de reguliere expressies te configureren en pas ze toe op MPF om de specifieke websites te blokkeren:
Reguliere expressies maken
Kies Configuratie > Wereldwijde objecten > Reguliere expressies en klik op Toevoegen onder het tabblad Reguliere expressie om reguliere expressies te maken.
Maak een reguliere expressie domainlist1 om de domeinnaam yahoo.com vast te leggen. Klik op OK.
Maak een reguliere expressie domainlist2 om de domeinnaam myspace.com vast te leggen. Klik op OK.
Maak een reguliere expressie domainlist3 om de domeinnaam youtube.com vast te leggen. Klik op OK.
Maak een reguliere expressie urllist1 om de bestandsextensies zoals exe, com en bat op te nemen, mits de http versie die gebruikt wordt door de webbrowser 1.0 of 1.1 moet zijn. Klik op OK.
Maak een reguliere expressie urllist2 om de bestandsextensies, zoals pif, vbs, en wsh op te nemen op voorwaarde dat de HTTP versie die wordt gebruikt door de webbrowser 1.0 of 1.1 is. Klik op OK.
Maak een reguliere expressie urllist3 om de bestandsextensies, zoals doc, xls en ppt op te nemen op voorwaarde dat de HTTP versie die wordt gebruikt door de webbrowser 1.0 of 1.1 is. Klik op OK.
Maak een reguliere expressie urllist4 om de bestandsextensies, zoals zip, tar en tgz op te nemen op voorwaarde dat de HTTP versie die wordt gebruikt door de webbrowser 1.0 of 1.1 is. Klik op OK.
Maak een contenttype voor reguliere expressies om het inhoudstype op te nemen. Klik op OK.
Maak een toepassingsheader voor reguliere expressies om de verschillende toepassingsheader op te nemen. Klik op OK.
Equivalente CLI-configuratie
ASA CLI configureren |
---|
ciscoasa#configure terminal ciscoasa(config)#regex urllist1 ".*\.([Ee][Xx][Ee]|[Cc][Oo][Mm]|[Bb][Aa][Tt])$ ciscoasa(config)#regex urllist2 ".*\.([Pp][Ii][Ff]|[Vv][Bb][Ss]|[Ww][Ss][Hh])$ ciscoasa(config)#regex urllist3 ".*\.([Dd][Oo][Cc]|[Xx][Ll][Ss]|[Pp][Pp][Tt])$ ciscoasa(config)#regex urllist4 ".*\.([Zz][Ii][Pp]|[Tt][Aa][Rr]|[Tt][Gg][Zz])$ ciscoasa(config)#regex domainlist1 "\.yahoo\.com" ciscoasa(config)#regex domainlist2 "\.myspace\.com" ciscoasa(config)#regex domainlist3 "\.youtube\.com" ciscoasa(config)#regex contenttype "Content-Type" ciscoasa(config)#regex applicationheader "application/.*" |
Reguliere expressieklassen maken
Kies Configuratie > Wereldwijde objecten > Reguliere expressies en klik op Toevoegen onder het tabblad Reguliere expressieklassen om de verschillende klassen te maken.
Maak een reguliere expressieklasse DomainBlockList om een van de reguliere expressies aan te passen: domainlist1, domainlist2 en domainlist3. Klik op OK.
Maak een klasse voor reguliere expressies URLBlockList om een van de reguliere expressies aan te passen: urllist1, urllist2, urllist3 en urllist4. Klik op OK.
Equivalente CLI-configuratie
ASA CLI configureren |
---|
ciscoasa#configure terminal ciscoasa(config)#class-map type inspect http match-all BlockDomainsClass ciscoasa(config-cmap)#match request header host regex class DomainBlockList ciscoasa(config-cmap)#exit ciscoasa(config)#class-map type regex match-any URLBlockList ciscoasa(config-cmap)#match regex urllist1 ciscoasa(config-cmap)#match regex urllist2 ciscoasa(config-cmap)#match regex urllist3 ciscoasa(config-cmap)#match regex urllist4 ciscoasa(config-cmap)#exit |
Inspecteer het geïdentificeerde verkeer met Klasse kaarten
Kies Configuratie > Wereldwijde objecten > Klasse Kaarten > HTTP > Toevoegen om een klassenkaart te maken om het HTTP-verkeer te inspecteren dat wordt geïdentificeerd door verschillende reguliere expressies.
Maak een klassenmap AppHeaderClass om de reactieheader aan te passen aan reguliere expressieopnamen.
Klik op OK.
Maak een klassenmap BlockDomainsClass om de aanvraagheader aan te passen aan reguliere expressieopnamen.
Klik op OK.
Maak een klassekaart BlockURLsClass om de aanvraag-URI aan te passen aan reguliere expressies.
Klik op OK.
Equivalente CLI-configuratie
ASA CLI configureren |
---|
ciscoasa#configure terminal ciscoasa(config)#class-map type inspect http match-all AppHeaderClass ciscoasa(config-cmap)#match response header regex contenttype regex applicationheader ciscoasa(config-cmap)#exit ciscoasa(config)#class-map type inspect http match-all BlockDomainsClass ciscoasa(config-cmap)#match request header host regex class DomainBlockList ciscoasa(config-cmap)#exit ciscoasa(config)#class-map type inspect http match-all BlockURLsClass ciscoasa(config-cmap)#match request uri regex class URLBlockList ciscoasa(config-cmap)#exit |
Stel de acties voor het overeenkomende verkeer in in het inspectiebeleid
Kies Configuratie > Wereldwijde objecten > Kaarten inspecteren > HTTP om een http_inspection_policy te maken om de actie voor het overeenkomende verkeer in te stellen. Klik op Toevoegen en Toepassen.
Kies Configuration > Global Objects > Inspect Maps > HTTP > http_inspection_policy en klik op Advanced View > Inspections > Add om de acties voor de verschillende klassen die tot nu toe zijn gemaakt in te stellen.
Klik op OK.
Stel de actie in als Drop Connection; Schakel de logboekregistratie voor het criterium in als Aanvraagmethode en Waarde zoals verbinding maken.
Klik op OK.
Stel de actie in als Drop Connection en Schakel de logboekregistratie in voor de klasse AppHeaderClass.
Klik op OK.
Stel de actie in als Reset en Schakel de logboekregistratie in voor de klasse BlockDomainsClass.
Klik op OK.
Stel de actie in als Reset en Schakel de logboekregistratie in voor de klasse BlockURLsClass.
Klik op OK.
Klik op Apply (Toepassen).
Equivalente CLI-configuratie
ASA CLI configureren |
---|
ciscoasa#configure terminal ciscoasa(config)#policy-map type inspect http http_inspection_policy ciscoasa(config-pmap)#parameters ciscoasa(config-pmap-p)#match request method connect ciscoasa(config-pmap-c)#drop-connection log ciscoasa(config-pmap-c)#class AppHeaderClass ciscoasa(config-pmap-c)#drop-connection log ciscoasa(config-pmap-c)#class BlockDomainsClass ciscoasa(config-pmap-c)#reset log ciscoasa(config-pmap-c)#class BlockURLsClass ciscoasa(config-pmap-c)#reset log ciscoasa(config-pmap-c)#exit ciscoasa(config-pmap)#exit |
Pas het inspectie http beleid op de interface toe
Kies Configuratie > Beveiligingsbeleid > Regels voor servicebeleid > Toevoegen > Regel voor servicebeleid toevoegen onder het tabblad Servicebeleidsregels.
HTTP-verkeer
Kies de interfaceknop met de binneninterface van het vervolgkeuzemenu en de Beleidsnaam als binnenbeleid. Klik op Next (Volgende).
Maak een class map httptraffic en controleer het IP-adres van de bron en de bestemming (gebruikt ACL). Klik op Next (Volgende).
Kies de Bron en Bestemming als om het even welk met de haven van TCP als HTTP. Klik op Next (Volgende).
Controleer de radioknop HTTP en klik op Configureren.
Controleer het keuzerondje Selecteer een HTTP inspect map voor de controle over de inspectie. Klik op OK.
Klik op Finish (Voltooien).
Port 8080 verkeer
Klik nogmaals op Add > Add Service Policy Rule.
Klik op Next (Volgende).
Kies de Add regel to existing traffic class radioknop en kies httptraffic in het vervolgkeuzemenu. Klik op Next (Volgende).
Kies de Bron en Bestemming als om het even welk met de haven van TCP als 8080. Klik op Next (Volgende).
Klik op Finish (Voltooien).
Klik op Apply (Toepassen).
Equivalente CLI-configuratie
ASA CLI configureren |
---|
ciscoasa#configure terminal ciscoasa(config)#access-list inside_mpc extended permit tcp any any eq www ciscoasa(config)#access-list inside_mpc extended permit tcp any any eq 8080 ciscoasa(config)#class-map httptraffic ciscoasa(config-cmap)#match access-list inside_mpc ciscoasa(config-cmap)#exit ciscoasa(config)#policy-map inside-policy ciscoasa(config-pmap)#class httptraffic ciscoasa(config-pmap-c)#inspect http http_inspection_policy ciscoasa(config-pmap-c)#exit ciscoasa(config-pmap)#exit ciscoasa(config)#service-policy inside-policy interface inside |
Gebruik deze sectie om te controleren of uw configuratie goed werkt.
De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de OIT om een analyse te bekijken van de output van de opdracht show.
toon in werking stelt -in werking stellen-Config—Toont de regelmatige uitdrukkingen die zijn gevormd
ciscoasa#show running-config regex regex urllist1 ".*\.([Ee][Xx][Ee]|[Cc][Oo][Mm]|[Bb][Aa][Tt]) HTTP/1.[01]" regex urllist2 ".*\.([Pp][Ii][Ff]|[Vv][Bb][Ss]|[Ww][Ss][Hh]) HTTP/1.[01]" regex urllist3 ".*\.([Dd][Oo][Cc]|[Xx][Ll][Ss]|[Pp][Pp][Tt]) HTTP/1.[01]" regex urllist4 ".*\.([Zz][Ii][Pp]|[Tt][Aa][Rr]|[Tt][Gg][Zz]) HTTP/1.[01]" regex domainlist1 "\.yahoo\.com" regex domainlist2 "\.myspace\.com" regex domainlist3 "\.youtube\.com" regex contenttype "Content-Type" regex applicationheader "application/.*" ciscoasa#
toon in werking stelt -in werking stellen-configuratie klasse-kaart-toont de klassenkaarten die zijn gevormd
ciscoasa#show running-config class-map ! class-map type regex match-any DomainBlockList match regex domainlist1 match regex domainlist2 match regex domainlist3 class-map type inspect http match-all BlockDomainsClass match request header host regex class DomainBlockList class-map type regex match-any URLBlockList match regex urllist1 match regex urllist2 match regex urllist3 match regex urllist4 class-map inspection_default match default-inspection-traffic class-map type inspect http match-all AppHeaderClass match response header regex contenttype regex applicationheader class-map httptraffic match access-list inside_mpc class-map type inspect http match-all BlockURLsClass match request uri regex class URLBlockList ! ciscoasa#
toon in werking stelt-in werking stelt beleid-kaart type inspecteren http-toont de beleidskaarten die het http verkeer inspecteren dat is gevormd
ciscoasa#show running-config policy-map type inspect http ! policy-map type inspect http http_inspection_policy parameters protocol-violation action drop-connection class AppHeaderClass drop-connection log match request method connect drop-connection log class BlockDomainsClass reset log class BlockURLsClass reset log ! ciscoasa#
toon in werking stelt -in werking stellen-Config beleid-kaart-Toont alle beleid-kaart configuraties evenals de standaard beleid-kaart configuratie
ciscoasa#show running-config policy-map ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map type inspect http http_inspection_policy parameters protocol-violation action drop-connection class AppHeaderClass drop-connection log match request method connect drop-connection log class BlockDomainsClass reset log class BlockURLsClass reset log policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp policy-map inside-policy class httptraffic inspect http http_inspection_policy ! ciscoasa#
toon in werking stelt -in werking stellen-in werking stellen dienst-beleid-Toont alle momenteel lopende configuraties van het de dienstbeleid
ciscoasa#show running-config service-policy service-policy global_policy global service-policy inside-policy interface inside
toon in werking stelt-Config toegang-lijst-Toont de toegang-lijst configuratie die op het veiligheidstoestel loopt
ciscoasa#show running-config access-list access-list inside_mpc extended permit tcp any any eq www access-list inside_mpc extended permit tcp any any eq 8080 ciscoasa#
Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.
Opmerking: raadpleeg Belangrijke informatie over debug-opdrachten voordat u debug-opdrachten gebruikt.
debug http—Hier worden de debug-berichten voor HTTP-verkeer weergegeven.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
10-Jan-2008 |
Eerste vrijgave |