ASA/PIX 7.X: Desativar Inspeção Global Padrão e Ativar Inspeção de Aplicativos Não Padrão Usando o ASDM

Opções de download

  • PDF     (359.6 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (235.0 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (546.9 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:2 de dezembro de 2010
ID do documento:112235

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve como remover a inspeção padrão da política global de um aplicativo e como habilitar a inspeção em um aplicativo fora do padrão.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas no Cisco Adaptive Security Appliance (ASA) que executa a imagem do software 7.x.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

Essa configuração também pode ser usada com o PIX Security Appliance que executa a imagem de software 7.x.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Política global padrão

Por padrão, a configuração inclui uma política que corresponde a todo o tráfego de inspeção de aplicativos padrão e aplica certas inspeções ao tráfego em todas as interfaces (uma política global). Nem todas as inspeções são ativadas por padrão. Você pode aplicar somente uma política global. Se desejar alterar a política global, você deverá editar a política padrão ou desabilitá-la e aplicar uma nova. (Uma política de interface substitui a política global.)

A configuração de política padrão inclui estes comandos:

class-map inspection_default
 match default-inspection-traffic
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect xdmcp 
  inspect sip 
  inspect netbios 
  inspect tftp 
service-policy global_policy global

Habilitar Inspeção de Aplicativo Não Padrão

Conclua este procedimento para habilitar a Inspeção de Aplicativos Não Padrão no Cisco ASA:

  1. Faça login no ASDM. Vá para Configuration > Firewall > Service Policy Rules.

    asa-disgi-enai-asdm-01.gif

  2. Se você quiser manter a configuração para política global que inclui mapa de classe padrão e mapa de política padrão, mas quiser remover a política globalmente, vá para Ferramentas > Interface de linha de comando e use o comando no service-policy global-policy global para remover a política globalmente. Em seguida, clique em Enviar para que o comando seja aplicado ao ASA.

    asa-disgi-enai-asdm-02.gif

    Observação: com esta etapa, a política global se torna invisível no Adaptive Security Device Manager (ASDM), mas é mostrada na CLI.

  3. Clique em Add para adicionar uma nova política como mostrado aqui:

    asa-disgi-enai-asdm-03.gif

  4. Verifique se o botão de opção ao lado de Interface está marcado e escolha a interface à qual deseja aplicar a diretiva no menu suspenso. Em seguida, forneça o Policy Name e a Description. Clique em Next.

    asa-disgi-enai-asdm-04.gif

  5. Crie um novo mapa de classe para corresponder ao tráfego TCP quando HTTP estiver sob TCP. Clique em Next.

    asa-disgi-enai-asdm-05.gif

  6. Escolha TCP como o protocolo.

    asa-disgi-enai-asdm-06.gif

    Escolha a porta HTTP 80 como o Serviço e clique em OK.

    asa-disgi-enai-asdm-07.gif

  7. Escolha HTTP e clique em Finish.

    asa-disgi-enai-asdm-08.gif

  8. Clique em Apply para enviar essas alterações de configuração para o ASA do ASDM. Isso conclui a configuração.

    asa-disgi-enai-asdm-09.gif

Verificar

Use estes comandos show para verificar a configuração:

  • Use o comando show run class-map para exibir os mapas de classe configurados.

    ciscoasa# sh run class-map
!
class-map inspection_default
match default-inspection-traffic
class-map outside-class
match port tcp eq www
!

  • Use o comando show run policy-map para exibir os mapas de política configurados.

    ciscoasa# sh run policy-map
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
policy-map outside-policy
 description Policy on outside interface
 class outside-class
  inspect http
!

  • Use o comando show run service-policy para exibir as políticas de serviço configuradas.

    ciscoasa# sh run service-policy
service-policy outside-policy interface outside

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
25-Nov-2010
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos