ASA/PIX 7.X : désactivez l'inspection globale par défaut et activez l'inspection des applications non par défaut à l'aide d'ASDM

Options de téléchargement

  • PDF     (358.1 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (237.2 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (547.8 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:2 décembre 2010
ID du document:112235

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit comment supprimer l'inspection par défaut de la stratégie globale pour une application et comment activer l'inspection pour une application autre que celle par défaut.

Conditions préalables

Exigences

Aucune exigence spécifique n'est associée à ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur l'appliance de sécurité adaptatif Cisco (ASA) qui exécute l'image logicielle 7.x.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Produits connexes

Cette configuration peut également être utilisée avec le dispositif de sécurité PIX qui exécute l'image logicielle 7.x.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Stratégie globale par défaut

Par défaut, la configuration inclut une stratégie qui correspond à tout le trafic d'inspection d'application par défaut et applique certaines inspections au trafic sur toutes les interfaces (une stratégie globale). Toutes les inspections ne sont pas activées par défaut. Vous ne pouvez appliquer qu'une seule stratégie globale. Si vous souhaitez modifier la stratégie globale, vous devez soit modifier la stratégie par défaut, soit la désactiver et en appliquer une nouvelle. (Une stratégie d'interface remplace la stratégie globale.)

La configuration de stratégie par défaut comprend les commandes suivantes :

class-map inspection_default
 match default-inspection-traffic
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect xdmcp 
  inspect sip 
  inspect netbios 
  inspect tftp 
service-policy global_policy global

Activer l'inspection des applications non par défaut

Suivez cette procédure pour activer l'inspection d'application non par défaut sur Cisco ASA :

  1. Connectez-vous à ASDM. Accédez à Configuration > Firewall > Service Policy Rules.

    asa-disgi-enai-asdm-01.gif

  2. Si vous voulez conserver la configuration pour la stratégie globale qui inclut la carte de classe par défaut et la carte de stratégie par défaut, mais que vous voulez supprimer la stratégie globalement, accédez à Outils > Interface de ligne de commande et utilisez la commande no service-policy global-policy global pour supprimer la stratégie globalement. Cliquez ensuite sur Send afin que la commande soit appliquée à l'ASA.

    asa-disgi-enai-asdm-02.gif

    Remarque : avec cette étape, la stratégie globale devient invisible dans l'ASDM (Adaptive Security Device Manager), mais elle est affichée dans l'interface de ligne de commande.

  3. Cliquez sur Add afin d'ajouter une nouvelle stratégie comme indiqué ici :

    asa-disgi-enai-asdm-03.gif

  4. Assurez-vous que la case d'option en regard de Interface est cochée et choisissez l'interface à laquelle vous souhaitez appliquer la stratégie dans le menu déroulant. Saisissez ensuite le nom de la stratégie et la description. Cliquez sur Next (Suivant).

    asa-disgi-enai-asdm-04.gif

  5. Créez une nouvelle carte-classe pour faire correspondre le trafic TCP lorsque HTTP tombe sous TCP. Cliquez sur Next (Suivant).

    asa-disgi-enai-asdm-05.gif

  6. Sélectionnez TCP comme protocole.

    asa-disgi-enai-asdm-06.gif

    Choisissez HTTP port 80 comme service et cliquez sur OK.

    asa-disgi-enai-asdm-07.gif

  7. Choisissez HTTP et cliquez sur Finish.

    asa-disgi-enai-asdm-08.gif

  8. Cliquez sur Apply pour envoyer ces modifications de configuration à l'ASA depuis l'ASDM. La configuration est terminée.

    asa-disgi-enai-asdm-09.gif

Vérifier

Utilisez ces commandes show pour vérifier la configuration :

  • Utilisez la commande show run class-map pour afficher les cartes de classe configurées.

    ciscoasa# sh run class-map
!
class-map inspection_default
match default-inspection-traffic
class-map outside-class
match port tcp eq www
!

  • Utilisez la commande show run policy-map pour afficher les mappages de stratégie configurés.

    ciscoasa# sh run policy-map
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
policy-map outside-policy
 description Policy on outside interface
 class outside-class
  inspect http
!

  • Utilisez la commande show run service-policy pour afficher les stratégies de service configurées.

    ciscoasa# sh run service-policy
service-policy outside-policy interface outside

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
25-Nov-2010
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits