Este documento descreve como remover a inspeção padrão da política global de um aplicativo e como habilitar a inspeção em um aplicativo fora do padrão.
Não existem requisitos específicos para este documento.
As informações neste documento são baseadas no Cisco Adaptive Security Appliance (ASA) que executa a imagem do software 7.x.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Essa configuração também pode ser usada com o PIX Security Appliance que executa a imagem de software 7.x.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Por padrão, a configuração inclui uma política que corresponde a todo o tráfego de inspeção de aplicativos padrão e aplica certas inspeções ao tráfego em todas as interfaces (uma política global). Nem todas as inspeções são ativadas por padrão. Você pode aplicar somente uma política global. Se desejar alterar a política global, você deverá editar a política padrão ou desabilitá-la e aplicar uma nova. (Uma política de interface substitui a política global.)
A configuração de política padrão inclui estes comandos:
class-map inspection_default match default-inspection-traffic policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp service-policy global_policy global
Conclua este procedimento para habilitar a Inspeção de Aplicativos Não Padrão no Cisco ASA:
Faça login no ASDM. Vá para Configuration > Firewall > Service Policy Rules.
Se você quiser manter a configuração para política global que inclui mapa de classe padrão e mapa de política padrão, mas quiser remover a política globalmente, vá para Ferramentas > Interface de linha de comando e use o comando no service-policy global-policy global para remover a política globalmente. Em seguida, clique em Enviar para que o comando seja aplicado ao ASA.
Observação: com esta etapa, a política global se torna invisível no Adaptive Security Device Manager (ASDM), mas é mostrada na CLI.
Clique em Add para adicionar uma nova política como mostrado aqui:
Verifique se o botão de opção ao lado de Interface está marcado e escolha a interface à qual deseja aplicar a diretiva no menu suspenso. Em seguida, forneça o Policy Name e a Description. Clique em Next.
Crie um novo mapa de classe para corresponder ao tráfego TCP quando HTTP estiver sob TCP. Clique em Next.
Escolha TCP como o protocolo.
Escolha a porta HTTP 80 como o Serviço e clique em OK.
Escolha HTTP e clique em Finish.
Clique em Apply para enviar essas alterações de configuração para o ASA do ASDM. Isso conclui a configuração.
Use estes comandos show para verificar a configuração:
Use o comando show run class-map para exibir os mapas de classe configurados.
ciscoasa# sh run class-map ! class-map inspection_default match default-inspection-traffic class-map outside-class match port tcp eq www !
Use o comando show run policy-map para exibir os mapas de política configurados.
ciscoasa# sh run policy-map ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp policy-map outside-policy description Policy on outside interface class outside-class inspect http !
Use o comando show run service-policy para exibir as políticas de serviço configuradas.
ciscoasa# sh run service-policy service-policy outside-policy interface outside
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
25-Nov-2010 |
Versão inicial |