Sécurité - ASA/PIX 8.x - Bloquer des sites Web (URLs) en utilisant les expressions régulières et Modular Policy Framework ccnp_cch
Sommaire ● Introduction - Prérequis - Composants utilisés - Produits liés ● Rappel - Présentation de Modular Policy Framework - Expressions régulières ● Configuration - Schéma du réseau - Configuration CLI ASA - Configuration ASA 8.x avec ASDM 6.x ● Vérification ● Résolution de problèmes ccnp_cch
Introduction Ce document décrit comment configurer l'appliance de sécurité Cisco ASA/PIX 8.x qui utilise les expressions régulières avec Modular Policy Framework (MPF) pour bloquer certains sites web (URLs). Note: Cette configuration ne bloque pas les téléchargements d'applications. Pour du blocage de fichier fiable une appliance dédiée telle que Websense ou un module tel que le module CSC pour l'ASA doit être utilisé. Prérequis Ce document suppose que l'appliance de sécurité adaptive Cisco est configurée et fonctionne correctement. Components Used Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes: Cisco 5500 Adaptive Security Appliance (ASA) qui opère avec un logiciel version 8.0(2) ou suivantes. Cisco Adaptive Security Manager (ASDM) version 6.x pour ASA 8.x. Produits liés Cette configuration peut être aussi utilisée avec le PIX Cisco série 500 qui opère avec une version 8.0(x) ou suivantes. Rappel Présentation de Modular Policy Framework MPF fournit un moyen cohérent et flexible pour configurer les fonctionnalités de l'ap- pliance de sécurité. Par exemple vous pouvez utiliser MPF pour créer une configura- tion de timeout spécifique à une application TCP particulière par opposition à une configuration qui s'applique à toutes les applications TCP. MPF apporte ces fonctionnalités: Normalisation TCP, Timeouts et limites de connexion TCP et UDP, numéro de séquence TCP réellement aléatoire. CSC Inspection d'application IPS Politique de QoS entrante Politique de QoS sortante QoS avec file prioritaire ccnp_cch
La configuration de MPF est constituée de quatre tâches: 1 La configuration de MPF est constituée de quatre tâches: 1. Identifier le trafic de couche 3 et 4 pour lequel vous voulez appliquer des actions. Référez-vous à Identification du trafic en utilisant une Class map de couche 3/4 pour plus d'informations. 2. (Inspection d'application uniquement) Définir les actions spéciales pour l'inspec- tion du trafic d'application. Référez-vous à Configuring Special Actions pour les inspections d'applications pour plus d'informations. 3. Appliquez les actions au trafic couche 3 et 4. Référez-vous à "Définir des actions utilisant une Policy-map couche 3/4" pour plus d'informations. 4. Activer les actions sur une interface. Référez-vous à "Appliquer une politique de couche 3/4 à une interface en utilisant Service Policy" pour plus d'informations. Expression régulière Une expression régulière fait correspondre des chaînes de caractères texte soit littéra- lement en tant que chaîne exacte ou par utilisation de métacaractères. Ainsi vous pou- vez faire la correspondance avec plusieurs variantes de la chaîne de caractères texte. Vous pouvez utiliser les expressions régulières pour faire une correspondance avec le contenu du trafic d'une application particulière; par exemple vous pouvez faire la cor- respondance avec une chaîne URL dans un paquet. Note: Utilisez Ctrl+V pour l'échappement de tous les caractères dans la CLI tels que le point d'interrogation ou une tabulation. Par exemple tapez d[Ctrl+V]g pour entrer d?g dans votre configuration. Pour la création d'expression régulière, utilisez la commande regex qui peut être utili- sée pour des fonctionnalités variées requérant la correspondance de texte. Par exem- ple vous pouvez configurer des actions spéciales pour l'inspection d'application avec l'utilisation de Modular Policy Framework qui utilise une policy-map d'inspection. Référez-vous à la commande policy map type inspect pour plus d'informations. Dans la policy map d'inspection, vous pouvez identifier le trafic sur lequel vous voulez agir si vous créez une class map d'inspection qui contient une ou plusieurs commandes match ou vous pouvez utiliser les commandes match directement dans la policy map d'inspection. Quelques commandes match vous permettent d'identifier du texte dans un paquet en utilisant une expression régulière; par exemple vous pouvez chercher la correspondance de chaînes URL dans les paquets HTTP. Vous pouvez grouper les ex- pressions régulières dans une class-map expression régulière. Référez-vous à la com- mande class-map type regex pour plus d'informations. ccnp_cch
Ce tableau décrit les métacaractères qui ont une signification particulière. Description Notes . Point Correspond à tout caractère. Par exemple d.g correspond à dog, dag,dig et tout mot qui contient ces caractères. (exp) Sous-expression Une sous-expression sépare des caractères de ceux qui les encadrent. Ainsi vous pou- vez utiliser d'autres métacaractères dans la sous-expression. Par exemple d(o|ag) correspond à dog, dag mais do|ag correspond à do et ag. Une sous-expres-sion peut également être utilisée avec des nombres de répétitions pour différentier la signification des caractères pour répéti- tion. par exemple, ab(xy){3})z correspond à abxyxyxyz. | Alternative (ou) Correspond à une des expressions qu'il sépare. Par exemple dog|cat correspond à dog ou à cat. ? Point d'interrogation Indique qu'il y a 0 ou 1 expression qui précède. Par exemple lo?se correspond à lse ou lose. Note: Vous devez entrer Ctrl+V et ensuite* le point d'interrogation ou la fonction d'aide est invoqué. * Astérisque Indique qu'il y a 0, 1 ou plusieurs occuren- ces de l'expression qui précède. Par exem- ple lo*se correspond à lse, lose, loose, etc… {x} Nombre de répétitions Répète x fois. Par exemple, ab(xy){3})z cor- respond à abxyxyxyz. {x,} Nombre minimum de répétitions Répète au moins x fois. Par exemple, ab(xy){2})z correspond à abxyxyz ou abxyxyxyz et ainsi de suite. [abc] Ensemble de caractères Correspondance avec un des caractères entre crochets. Par exemple [abc] corres- pond avec a, b ou c. [^abc] Ensemble de caractères refusés Correspondance avec un caractère non contenu entre les crochets. Par exemple [^abc] correspond à tout caractère autre que a, b ou c. ccnp_cch
ccnp_cch [a-c] Intervalle de caractères Correspondance avec tout caractère dans l'intervalle. [a-z] correspond à tous les lettres minuscules. Vous pouvez mélanger les caractères et les intervalles. [abcq-z] correspond à a, b, c, q, r, s, t, u, v, w, x, y, z mais également [a-cq-z] . Le caractère (-) est littéral si uniquement s'il est placé au début ou à la fin de l'ex- pression entre crochets: [abc-] ou [-abc]. "" Double quote Préserve les espaces avant ou après la chaîne de caractères. Par exemple " test" préserve l'espace en tête. ^ Accent circonflexe Indique le début d'une ligne. \ Caractère d'échappement Quand il est utilisé avec un métacaractère fait la correspondance littérale du carac- tère. Par exemple: \[ correspond au cro- chet ouvrant. char Quand char n'est pas un métacaractère, correspond au caractère littéral. \r Retour chariot Correspond à retour chariot 0x0d \n Nouvelle ligne Correspond à nouvelle ligne 0x0a \t Tabulation Correspond à tabulation 0x09 \f Saut de page Correspond à saut de page 0x0f \xNN Echappement hexadécimal Correspond au caractère ASCII codé en hexadécimal sur deux chiffres. \NNN Echappement octal Correspond au caractère ASCII codé en octal sur trois chiffres. Par exemple, le ca- ractère 040 représente un espace. ccnp_cch
Configuration Configuration CLI ASA ccnp_cch Dans cette section sont présentées les informations nécessaires pur la configuration des fonctionnalités décrites dans ce document. Schéma du réseau Internet Les sites Web sélectionnés sont bloqués en utilisant des expressions régulières Réseau interne Configuration CLI ASA Configuration CLI ASA ciscoasa#show running−config : Saved : ASA Version 8.0(2) ! hostname ciscoasa domain−name default.domain.invalid enable password 8Ry2YjIyt7RRXU24 encrypted names interface Ethernet0/0 nameif inside security−level 100 ip address 10.1.1.1 255.255.255.0 interface Ethernet0/1 nameif outside security−level 0 ip address 192.168.1.5 255.255.255.0 ccnp_cch
ccnp_cch interface Ethernet0/2 nameif DMZ security−level 90 ip address 10.77.241.142 255.255.255.192 ! interface Ethernet0/3 shutdown no nameif no security−level no ip address interface Management0/0 passwd 2KFQnbNIdI.2KYOU encrypted regex urllist1 ".*\.([Ee][Xx][Ee]|[Cc][Oo][Mm]|[Bb][Aa][Tt]) HTTP/1.[01]" !−−− Les extensions telles que .exe, .com, .bat sont capturées et la !−−− version http utilisée par le navigateur doit être soit 1.0 ou 1.1 regex urllist2 ".*\.([Pp][Ii][Ff]|[Vv][Bb][Ss]|[Ww][Ss][Hh]) HTTP/1.[01]" !−−− Les extensions telles que .pif, .vbs, .wsh sont capturées et la regex urllist3 ".*\.([Dd][Oo][Cc]|[Xx][Ll][Ss]|[Pp][Pp][Tt]) HTTP/1.[01]" !−−− Les extensions telles que .doc(word), .xls(ms−excel), .ppt sont !--- capturées et la version http utilisée par le navigateur doit être !---soit 1.0 ou 1.1 regex urllist4 ".*\.([Zz][Ii][Pp]|[Tt][Aa][Rr]|[Tt][Gg][Zz]) HTTP/1.[01]" !−−− Les extensions telles que .zip, .tar, .tgz sont capturées et la !--- version http utilisée par le navigateur doit être soit 1.0 ou 1.1 regex domainlist1 "\.yahoo\.com" regex domainlist2 "\.myspace\.com" regex domainlist3 "\.youtube\.com" !−−− Capture les URLs avec un nom de domaine comme yahoo.com,youtube.com !--- et myspace.com regex contenttype "Content−Type" regex applicationheader "application/.*" !−−− Capture l'en-tête de l'application et le type de contenu pour !--- analyse ccnp_cch
ccnp_cch boot system disk0:/asa802−k8.bin ftp mode passive dns server−group DefaultDNS domain−name default.domain.invalid access−list inside_mpc extended permit tcp any eq www any eq www access−list inside_mpc extended permit tcp any eq https any eq https access−list inside_mpc extended permit tcp any eq 8080 any eq 8080 !−−− Filtre le trafic http, secure−http et le port 8080 pour !−−− bloquer ce trafic spécifique avec des expressions régulières pager lines 24 mtu inside 1500 mtu outside 1500 mtu DMZ 1500 no failover icmp unreachable rate−limit 1 burst−size 1 asdm image disk0:/asdm−602.bin no asdm history enable arp timeout 14400 route DMZ 0.0.0.0 0.0.0.0 10.77.241.129 1 timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp−pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip−invite 0:03:00 sip−disconnect 0:02:00 timeout uauth 0:05:00 absolute dynamic−access−policy−record DfltAccessPolicy http server enable http 0.0.0.0 0.0.0.0 DMZ no snmp−server location no snmp−server contact snmp−server enable traps snmp authentication linkup linkdown coldstart no crypto isakmp nat−traversal telnet timeout 5 ssh timeout 5 console timeout 0 threat−detection basic−threat threat−detection statistics access−list ! class−map type regex match−any DomainBlockList match regex domainlist1 match regex domainlist2 match regex domainlist3 !−−− Class map crée pour la correspondance avec les noms de domaines !−−− à bloquer ccnp_cch
ccnp_cch class−map type inspect http match−all BlockDomainsClass match request header host regex class DomainBlockList !−−− Inspecte le trafic identifié avec la classe "DomainBlockList". class−map type regex match−any URLBlockList match regex urllist1 match regex urllist2 match regex urllist3 match regex urllist4 !−−− Class map crée pour la correspondance des URLs à bloquer class−map inspection_default match default−inspection−traffic class−map type inspect http match−all AppHeaderClass match response header regex contenttype regex applicationheader !−−− Inspecte le trafic capturé avec les expressions régulières !−−− "content−type" et "applicationheader". class−map httptraffic match access−list inside_mpc !−−− Class map crée pour correspondance avec le trafic filtré !−−− par ACL class−map type inspect http match−all BlockURLsClass match request uri regex class URLBlockList ! !−−− Inspecte le trafic identifié par la classe "URLBlockList". policy−map type inspect dns preset_dns_map parameters message−length maximum 512 policy−map type inspect http http_inspection_policy protocol−violation action drop−connection class AppHeaderClass drop−connection log match request method connect class BlockDomainsClass reset log class BlockURLsClass !−−− Définit les actions telles éliminer (drop), reset or log !−−− dans policy map d'inspection. ccnp_cch
ccnp_cch policy−map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp policy−map inside−policy class httptraffic inspect http http_inspection_policy !−−− Fat correspondre la policy map d'inspection avec la classe !−−− "httptraffic" sous la policy map crée pour le trafic du réseau !−−− interne. ! service−policy global_policy global service−policy inside−policy interface inside !−−− Applique la politique à l'interface interne sur laquelle les sites !--- Web sont bloqués. prompt hostname context Cryptochecksum:e629251a7c37af205c289cf78629fc11 : end ciscoasa# ccnp_cch
Configuration ASA 8.x avec ASDM 6.x Exécutez ces étapes pour configurer les expressions régulières et les appliquer dans MPF pour bloquer des sites We particuliers. 1. Créer des Expressions régulières Choisissez Configuration > Firewall> Objects > Regular Expressions et cliquez sur Add dans l'onglet Regular Expression pour créer des expressions régulières. a. Créez une expression régulière domainlist1 pour capturer le nom de domaine yahoo.com. Cliquez sur OK. b. Créez une expression régulière domainlist2 pour capturer le nom de domaine myspace.com. Cliquez sur OK. ccnp_cch
c. Créez une expression régulière domainlist3 pour capturer le nom de domaine youtube.com. Cliquez sur OK. d. Créez une expression régulière urllist1 pour capturer les extensions de fichiers telles que .exe, .com et .bat avec la version http du navigateur qui doit être 1.0 ou 1.1. Cliquez sur OK. e. Créez une expression régulière urllist2 pour capturer les extensions de fichiers telles que .pif, .vbs et .wsh avec la version http du navigateur qui doit être 1.0 ou 1.1. Cliquez sur OK. ccnp_cch
f. Créez une expression régulière urllist3 pour capturer les extensions de fichiers telles que .doc, .xls et .ppt avec la version http du navigateur qui doit être 1.0 ou 1.1. Cliquez sur OK. g. Créez une expression régulière urllist4 pour capturer les extensions de fichiers telles que .zip, .tar et .tgz avec la version http du navigateur qui doit être 1.0 ou 1.1. Cliquez sur OK. h. Créez une expression régulière contenttype pour capturer le type de contenu. Cliquez sur OK. ccnp_cch
i. Créez une expression régulière applicationheader pour capturer les différents en-têtes d'application. Cliquez sur OK. Configuration CLI équivalente Configuration CLI ASA ciscoasa#configure terminal ciscoasa(config)#regex urllist1".*\.([Ee][Xx][Ee]|[Cc][Oo][Mm]|[Bb][Aa][Tt])$ ciscoasa(config)#regex urllist2 ".*\.([Pp][Ii][Ff]|[Vv][Bb][Ss]|[Ww][Ss][Hh])$ ciscoasa(config)#regex urllist3 ".*\.([Dd][Oo][Cc]|[Xx][Ll][Ss]|[Pp][Pp][Tt])$ ciscoasa(config)#regex urllist4 ".*\.([Zz][Ii][Pp]|[Tt][Aa][Rr]|[Tt][Gg][Zz])$ ciscoasa(config)#regex domainlist1 "\.yahoo\.com" ciscoasa(config)#regex domainlist2 "\.myspace\.com" ciscoasa(config)#regex domainlist3 "\.youtube\.com" ciscoasa(config)#regex contenttype "Content−Type" ciscoasa(config)#regex applicationheader "application/.*" 2. Créez des Classes d'expressions régulières Choisissez Configuration > Firewall > Objects > Regular Expressions et cliquez sur Add dans l'onglet Regular Expression Classes pour créer les différentes clas- ses. a. Créez une classe d'expression régulière DomainBlockList pour la correspon- dance avec une des expressions régulières domainlist1, domainlist2 et domainlist3. Cliquez sur OK. ccnp_cch
b. Créez une classe d'expression régulière URLBlockList pour la correspondance avec une des expressions régulières urllist1, urllist2, urllist3 et urllist4. Cliquez sur OK. ccnp_cch
ccnp_cch Configuration CLI ASA Configuration CLI équivalente ciscoasa#configure terminal ciscoasa(config)#class−map type inspect http match−all BlockDomainsClass ciscoasa(config−cmap)#match request header host regex class DomainBlockList ciscoasa(config−cmap)#exit ciscoasa(config)#class−map type regex match−any URLBlockList ciscoasa(config−cmap)#match regex urllist1 ciscoasa(config−cmap)#match regex urllist2 ciscoasa(config−cmap)#match regex urllist3 ciscoasa(config−cmap)#match regex urllist4 3. Inspecter le trafic identifié avec des Class maps Choisissez Configuration > Firewall > Objects > Class Maps > HTTP > Add pour créer une class map pour inspecter le trafic http identifié par les différentes expres- sions régulières. a. Créez une class map AppHeaderClass pour la correspondance de l'en-tête de réponse avec les captures des expressions régulières. Cliquez sur OK. ccnp_cch
b. Créez une class map BlockDomainsClass pour la correspondance de l'en-tête de requête avec les captures des expressions régulières. Cliquez sur OK. ccnp_cch
c. Créez une class map BlockURLsClass pour la correspondance de requête uri avec les captures des expressions régulières. Cliquez sur OK. Configuration CLI équivalente Configuration CLI ASA ciscoasa#configure terminal ciscoasa(config)#class−map type inspect http match−all AppHeaderClass ciscoasa(config−cmap)#match response header regex contenttype regex applicationheader ciscoasa(config−cmap)#exit ciscoasa(config)#class−map type inspect http match−all BlockDomainsClass ciscoasa(config−cmap)#match request header host regex class DomainBlockList ciscoasa(config)#class−map type inspect http match−all BlockURLsClass ciscoasa(config−cmap)#match request uri regex class URLBlockList ccnp_cch
4. Fixer les actions pour le trafic correspondant dans la politique d'inspection Choisissez Configuration > Firewall > Objects > Inspect Maps > HTTP pour créer une http_inspection_policy pour fixer l'action pour le trafic correspondant. Click OK. a. Choisissez Configuration > Firewall > Objects > Inspect Maps > HTTP > http_inspection_policy (double clic) puis cliquez sur Details > Add pour fixer les actions pour les différentes classes déjà crées. ccnp_cch
b. Fixer les actions à Drop Connection et Enable logging avec Request Method pour Criterion et connect pour Value. Cliquez sur OK. c. Fixer les actions à Drop Connection et Enable logging pour la classe AppHeaderClass. Cliquez sur OK. ccnp_cch
d. Fixer les actions à Reset et Enable logging pour la classe BlockDomainsClass. Cliquez sur OK. ccnp_cch
e. Fixer les actions à Reset et Enable logging pour la classe BlockURLsClass. Cliquez sur OK puis sur Apply. Configuration CLI équivalente Configuration CLI ASA ciscoasa#configure terminal ciscoasa(config)#policy−map type inspect http http_inspection_policy ciscoasa(config−pmap)#parameters ciscoasa(config−pmap−p)#match request method connect ciscoasa(config−pmap−c)#drop−connection log ciscoasa(config−pmap−c)#class AppHeaderClass ciscoasa(config−pmap−c)#class BlockDomainsClass ciscoasa(config−pmap−c)#reset log ciscoasa(config−pmap−c)#class BlockURLsClass ciscoasa(config−pmap−c)#exit ciscoasa(config−pmap)#exit ccnp_cch
ccnp_cch 5. Appliquer la politique d'inspection http à l'interface Choisissez Configuration > Firewall > Service Policy Rules > Add > Add Service Policy Rule. a. Trafic HTTP a. Choisissez le bouton radio Interface avec l'interface interne à partir du menu déroulant et inside−policy pour Policy Name. Cliquez sur Next. ccnp_cch
b. Créez une class map httptraffic et cochez les cases Source et Destination IP Address (uses ACL). Cliquez sur Next. ccnp_cch
c. Choisissez la Source et la Destination à any pour le service tcp-udp/http. Cliquez sur Next. ccnp_cch
d. Cochez la case HTTP puis cliquez sur Configure. ccnp_cch
e. Cochez la case Select a HTTP inspect map for the control over inspection. Cliquez sur OK. f. Cliquez sur Finish. ccnp_cch
b. Trafic HTTPS a. De nouveau choisissez Add > Add Service Policy Rule. b. Cliquez sur Next. ccnp_cch
c. Choisissez le bouton radio Add rule to existing traffic class et choisissez httptraffic à partir du menu déroulant. Cliquez sur Next. ccnp_cch
d. Choisissez any pour Source et Destination avec tcp/https d. Choisissez any pour Source et Destination avec tcp/https. Cliquez sur Next. ccnp_cch
ccnp_cch e. Cliquez sur Finish. c. Trafic du port 8080 a. De nouveau choisissez Add > Add Service Policy Rule. ccnp_cch
b. Cliquez sur Next. ccnp_cch
c. Choisissez le bouton radio Add rule to existing traffic class et choisissez httptraffic à partir du menu déroulant. Cliquez sur Next. ccnp_cch
d. Choisissez any pour Source et Destination avec tcp/8080 d. Choisissez any pour Source et Destination avec tcp/8080. Cliquez sur Next. ccnp_cch
e. Cliquez sur Finish. Cliquez sur Apply. ccnp_cch
Vérification ccnp_cch Configuration CLI équivalente Configuration CLI ASA ciscoasa#configure terminal ciscoasa(config)#access−list inside_mpc extended permit tcp any eq www any eq www ciscoasa(config)#access−list inside_mpc extended permit tcp any eq https any eq https ciscoasa(config)#access−list inside_mpc extended permit tcp any eq 8080 any eq 8080 ciscoasa(config)#class−map httptraffic ciscoasa(config−cmap)#match access−list inside_mpc ciscoasa(config−cmap)#exit ciscoasa(config)#policy−map inside−policy ciscoasa(config−pmap)#class httptraffic ciscoasa(config−pmap−c)#inspect http http_inspection_policy ciscoasa(config−pmap−c)#exit ciscoasa(config−pmap)#exit ciscoasa(config)#service−policy inside−policy interface inside Vérification Utilisez cette section pour confirmer que votre configuration fonctionne correctement. show running−config regex - Affiche les expressions régulières qui ont été confi- gurées. ciscoasa#show running−config regex regex urllist1 ".*\.([Ee][Xx][Ee]|[Cc][Oo][Mm]|[Bb][Aa][Tt]) HTTP/1.[01]" regex urllist2 ".*\.([Pp][Ii][Ff]|[Vv][Bb][Ss]|[Ww][Ss][Hh]) HTTP/1.[01]" regex urllist3 ".*\.([Dd][Oo][Cc]|[Xx][Ll][Ss]|[Pp][Pp][Tt]) HTTP/1.[01]" regex urllist4 ".*\.([Zz][Ii][Pp]|[Tt][Aa][Rr]|[Tt][Gg][Zz]) HTTP/1.[01]" regex domainlist1 "\.yahoo\.com" regex domainlist2 "\.myspace\.com" regex domainlist3 "\.youtube\.com" regex contenttype "Content−Type" regex applicationheader "application/.*" ciscoasa# ccnp_cch
show running−config class−map - Affiche les class maps qui ont été configurées. ciscoasa#show running−config class−map ! class−map type regex match−any DomainBlockList match regex domainlist1 match regex domainlist2 match regex domainlist3 class−map type inspect http match−all BlockDomainsClass match request header host regex class DomainBlockList class−map type regex match−any URLBlockList match regex urllist1 match regex urllist2 match regex urllist3 match regex urllist4 class−map inspection_default match default−inspection−traffic class−map type inspect http match−all AppHeaderClass match response header regex contenttype regex applicationheader class−map httptraffic match access−list inside_mpc class−map type inspect http match−all BlockURLsClass match request uri regex class URLBlockList ciscoasa# show running−config policy−map type inspect http - Affiche les policy maps qui inspectent le trafic http et qui ont été configurées. ciscoasa#show running−config policy−map type inspect http policy−map type inspect http http_inspection_policy parameters protocol−violation action drop−connection class AppHeaderClass drop−connection log match request method connect class BlockDomainsClass reset log class BlockURLsClass ccnp_cch
show running−config policy−map - Affiche toutes les configurations de policy-map y compris la policy-map par défaut.. ciscoasa#show running−config policy−map ! policy−map type inspect dns preset_dns_map parameters message−length maximum 512 policy−map type inspect http http_inspection_policy protocol−violation action drop−connection class AppHeaderClass drop−connection log match request method connect class BlockDomainsClass reset log class BlockURLsClass policy−map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp policy−map inside−policy class httptraffic inspect http http_inspection_policy ciscoasa# show running−config service−policy - Affiche toutes les configurations de politi- que de service opérantes. ciscoasa#show running−config service−policy service−policy global_policy global service−policy inside−policy interface inside ccnp_cch
Résolution de problèmes show running−config access−list - Affiche la configuration des listes d'accès qui opère sur l'appliance de sécurité. ciscoasa#show running−config access−list access−list inside_mpc extended permit tcp any eq www any eq www access−list inside_mpc extended permit tcp any eq https any eq https access−list inside_mpc extended permit tcp any eq 8080 any eq 8080 ciscoasa# Résolution de problèmes Cette section fournit des informations que vous pouvez utiliser pour résoudre des pro- blèmes liés à votre configuration. debug http - Affiche les messages de debug du trafic HTTP. ccnp_cch