L’interface de ligne de commande Secure Web Appliance prend en charge un ensemble de proxy et de commandes UNIX pour accéder au système, le mettre à niveau et administrer le système.
Note
|
Les commandes de l’interface de ligne de commande ne sont pas toutes applicables ou disponibles dans tous les modes de fonctionnement
(connecteur de sécurité Web standard et infonuagique).
|
advancedproxyconfig
Configurez les options avancées de proxy Web; les sous-commandes sont :
AUTHENTICATION
– Options de configuration de l’authentification :
-
When would you like to forward authorization request headers to a parent proxy
(Quand souhaitez-vous transférer les en-têtes de demande d’autorisation à un proxy parent )
-
Enter the Proxy Authorization Realm to be displayed in the end user authentication dialog
(Entrez le domaine d’autorisation de proxy à afficher dans la boîte de dialogue d’authentification de l’utilisateur final)
-
Would you like to log the username that appears in the request URI
(Voulez-vous connecter le nom d’utilisateur qui apparaît dans l’URI de la demande?)
-
Should the Group Membership attribute be used for directory lookups in the Web UI (when it is not used, empty groups and
groups with different membership attributes will be displayed)
[Si l’attribut Group Membership est utilisé pour des recherches dans l’annuaire dans l’interface utilisateur Web (lorsqu’il
n’est pas utilisé, les groupes vides et les groupes avec des attributs d’appartenance différents seront affichés) ]
-
Would you like to use advanced Active Directory connectivity checks?
(Voulez-vous utiliser les vérifications avancées de la connectivité Active Directory?)
-
Would you like to allow case insensitive username matching in policies?
(Voulez-vous autoriser la mise en correspondance de noms d’utilisateurs non sensible à la casse dans les politiques?)
-
Would you like to allow wild card matching with the character * for LDAP group names?
(Voulez-vous autoriser la correspondance de caractères génériques avec le caractère * pour les noms de groupe LDAP?)
-
Enter the charset used by the clients for basic authentication [ISO-8859-1/UTF-8]
(Saisissez le jeu de caractères utilisé par les clients pour l’authentification de base [ISO-8859-1/UTF-8])
-
Would you like to enable referrals for LDAP?
(Voulez-vous activer les recommandations pour LDAP?)
-
Would you like to enable secure authentication?
(Voulez-vous activer l’authentification sécurisée?)
-
Enter the hostname to redirect clients for authentication
(Saisissez le nom d’hôte pour rediriger les clients pour l’authentification )
-
Enter the surrogate timeout for user credentials
(Saisissez le délai d’expiration de substitution pour les informations d’authentification de l’utilisateur)
-
Saisissez le délai d’expiration de substitution pour les informations d’authentification de l’ordinateur
-
Enter the surrogate timeout in the case traffic permitted due to authentication service unavailability
(Saisissez le délai d’expiration de substitution si le trafic a été autorisé en raison de l’indisponibilité du service d’authentification)
-
Enter re-auth on request denied option [disabled / embedlinkinblockpage]
[Saisissez l’option de réauthentification sur demande refusée (disabled / embedLinkinblockpage)]
-
Would you like to send Negotiate header along with NTLM header for NTLMSSP authentication?
(Voulez-vous envoyer l’en-tête Negotiate avec l’en-tête NTLM pour l’authentification NTLMSSP?)
-
Configure username and IP address masking in logs and reports
(Configurer le masquage du nom d’utilisateur et de l’adresse IP dans les journaux et les rapports)
-
Timeout to enable/disable local Auth cache
(Délai d’expiration pour activer/désactiver le cache d’authentification local).
Vous pouvez utiliser cette option de l’interface de ligne de commande pour activer ou désactiver le cache d’authentification
immédiate du processus proxy. Le temps défini est en secondes. Par défaut, cette option est activée et définie pendant 30 secondes.
Ce délai doit être plus court que le temps de substitution IP.
CACHING
– Mode de mise en cache du proxy; choisissez une option :
DNS
– Options de configuration du DNS :
-
Enter the URL format for the HTTP 307 redirection on DNS lookup failure
(Saisissez le format de l’URL pour la redirection HTTPno-break space - U+00A0307 en cas d’échec de la recherche DNS)
-
Would you like the proxy to issue a HTTP 307 redirection on DNS lookup failure?
(Voulez-vous que le proxy envoie une redirection HTTP 307 en cas d’échec de la recherche DNS?)
-
Voulez-vous que le proxy ne bascule pas automatiquement vers les résultats du DNS lorsque le proxy en amont (homologue) ne
répond pas?
-
Do you want to disable IP address in Host Header
(Voulez-vous désactiver l’adresse IP dans l’en-tête de l’hôte)
-
Find web server by:
(Trouvez un serveur Web par :)
0 = Always use DNS answers in order
(0=Toujours utiliser les réponses DNS dans l’ordre)
1 = Utiliser l’adresse fournie par le client, puis les DNS
2 = Limited DNS usage
(2 = Utilisation DNS limitée)
3 = Very limited DNS usage
(3 = Utilisation DNS très limitée)
La valeur par défaut est égale à 0. Pour les options 1 et 2, DNS sera utilisé si la réputation de sites Web est activée.
Pour les options 2 et 3, les DNS seront utilisés pour les demandes de proxy explicites, s’il n’y a pas de proxy en amont ou
en cas d’échec du proxy en amont configuré. Pour toutes les options, le DNS sera utilisé lorsque les adresses IP de destination
sont utilisées dans l’appartenance à la politique.
EUN
– Paramètres de notification de l’utilisateur final :
-
Choose
(Choisissez :)
1. Refresh EUN pages
(Actualiser les pages EUN)
2. Use Custom EUN pages
(Utiliser des pages EUN personnalisées)
3. Use Standard EUN pages
(Utiliser les pages standard EUN)
-
Would you like to turn on presentation of the User Acknowledgement page?
(Voulez-vous activer la présentation de la page de confirmation de l’utilisateur?)
Voir aussi Contrat d’utilisation du proxy Web et Survol des notifications envoyées à l’utilisateur final.
NATIVEFTP
– Configuration FTP native :
-
Would you like to enable FTP proxy?
(Voulez-vous activer le proxy FTP?)
-
Enter the ports that FTP proxy listens on
(Saisissez les ports sur lesquels le proxy FTP écoute)
-
Enter the range of port numbers for the proxy to listen on for passive FTP connections
(Saisissez la plage de numéros de port sur laquelle le proxy doit entendre les connexions FTP passives)
-
Enter the range of port numbers for the proxy to listen on for active FTP connections
(Saisissez la plage de numéros de port sur laquelle le proxy doit entendre les connexions FTP actives)
-
Enter the authentication format :
(Entrez le format d’authentification :)
1. Check Point
2. No Proxy Authentication
(Aucune authentification du proxy)
3. Raptor
-
Would you like to enable caching?
(Voulez-vous activer la mise en cache?)
-
Would you like to enable server IP spoofing?
(Voulez-vous activer l’usurpation d’adresses IP du serveur?)
-
Would you like to enable client IP spoofing?
(Voulez-vous activer l’usurpation d’adresses IP du client?)
-
Would you like to pass FTP server welcome message to the clients?
(Voulez-vous transmettre le message de bienvenue du serveur FTP aux clients?)
-
Enter the max path size for the ftp server directory
(Entrez la taille de chemin maximale pour le répertoire du serveur FTP)
Voir aussiSurvol des services proxy FTP.
FTPOVERHTTP
– Options FTP sur HTTP :
-
Enter the login name to be used for anonymous FTP access
(Saisissez le nom de connexion à utiliser pour l’accès FTP anonyme)
-
Enter the password to be used for anonymous FTP access
(Saisissez le mot de passe à utiliser pour l’accès FTP anonyme)
Voir aussi Survol des services proxy FTP.
Highperformance
(Hautes performances) : active et désactive le mode haute performance.
HTTPS
– Options liées à HTTPS :
-
HTTPS URI Logging Style - fulluri or stripquery
(Style de journalisation URI HTTPS - fulluri ou stripquery)
-
Would you like to decrypt unauthenticated transparent HTTPS requests for authentication purpose?
(Voulez-vous déchiffrer les requêtes HTTPS transparentes non authentifiées à des fins d’authentification?)
-
Would you like to decrypt HTTPS requests for End User Notification purpose?
(Souhaitez-vous déchiffrer les demandes HTTPS à des fins de notification à l’utilisateur final?)
-
Action to be taken when HTTPS servers ask for client certificate during handshake:
(Action à entreprendre lorsque les serveurs HTTPS demandent un certificat client lors de l’établissement de liaison :)
1. Pass through the transaction
(Transmettre la transaction)
2. Reply with certificate unavailable
(Réponse avec certificat non disponible)
-
Do you want to enable server name indication (SNI) extension?
[Voulez-vous activer l’extension SNI (Server Name Indication)?]
-
Do you want to enable automatic discovery and download of missing Intermediate Certificates?
(Voulez-vous activer la découverte et le téléchargement automatiques des certificats intermédiaires manquants?)
-
Do you want to enable session resumption?
(Voulez-vous activer la reprise de session?)
Voir aussi Survol de la création de politiques de déchiffrement pour contrôler le trafic HTTPS.
SCANNING
– Options d’analyse :
-
Would you like the proxy to do malware scanning all content regardless of content type
(Voulez-vous que le proxy analyse tout le contenu contre les programmes malveillants, quel que soit le type de contenu?)
-
Enter the time to wait for a response from an anti-malware scanning engine (Sophos, McAfee, or Webroot), in seconds
[Saisissez le temps d’attente d’une réponse d’un moteur d’analyse contre les programmes malveillants (Sophos, McAfee ou Webroot),
en secondes]
-
Do you want to disable Webroot body scanning?
(Voulez-vous désactiver l’analyse du corps Webroot?)
Voir aussi Survol de l’analyse à la recherche de programmes malveillants et Survol de l’analyse du trafic sortant.
SCANNERS
– Exclut les types MIME de l’analyse par le moteur Cisco Secure Endpoint . Pour utiliser la sous-commande analyseurs, vous devez désactiver la fonction de « analyse adaptative ». À l’aide de cette
sous-commande, vous pouvez ajouter les types MIME qui n’ont pas besoin d’être analysés par le moteur Cisco Secure Endpoint pour augmenter les performances d’analyse. Les options de type MIME par défaut sont « image/ALL et text/ALL ».
Pour ajouter les types MIME, vous devez les ajouter après les options par défaut. Par exemple, si vous souhaitez ajouter les
types MIME vidéo et audio, le format doit être :
« image/ALL et text/ALL vidéo/ALL audio/ALL »
PROXYCONN
– Gère la liste des agents utilisateurs qui ne peuvent pas accepter l’en-tête de connexion proxy. Les entrées de la liste
sont interprétées comme des expressions régulières dans le langage Flex (Fast Lexical Analyzer). Un agent utilisateur sera
mis en correspondance si une sous-chaîne de celui-ci correspond à une expression régulière de la liste.
-
Choisissez l’opération que vous souhaitez effectuer :
NEW - Add an entry to the list of user agents
(NOUVEAU - Ajouter une entrée à la liste des agents utilisateurs)
DELETE - Remove an entry from the list
(SUPRIMER - Supprimer une entrée de la liste)
CUSTOMHEADERS
– Gérer les en-têtes de demande personnalisés pour des domaines spécifiques.
-
Choisissez l’opération que vous souhaitez effectuer :
DELETE - Delete entries
(SUPPRIMER - Supprimer des entrées)
NEW - Add new entries
(NOUVEAU - Ajouter de nouvelles entrées)
EDIT - Edit entries
(MODIFIER - Modifier les entrées)
Voir aussi Ajout d’en-têtes personnalisés aux demandes Web.
MISCELLANEOUS
(DIVERS) - Paramètres divers liés au proxy :
-
Would you like proxy to respond to health checks from L4 switches (always enabled if WSA is in L4 transparent mode)
[Voulez-vous que le proxy réponde aux contrôles de l’intégrité des commutateurs de couche 4 (toujours activé si WSA est en
mode transparent sur la couche 4)]
-
Voulez-vous que le proxy effectue un ajustement dynamique de la taille de la fenêtre de réception TCP?
-
Would you like proxy to perform dynamic adjustment of TCP send window size?
(Voulez-vous que le proxy effectue un ajustement dynamique de la taille de la fenêtre d’envoi TCP?)
-
Do you want to filter non-HTTP responses
(Voulez-vous filtrer les réponses non HTTP?)
(Non-HTTP responses are filtered by default.Enter N if you want to allow non-HTTP responses via proxy)
(Les réponses non HTTP sont filtrées par défaut. Saisissez N si vous souhaitez autoriser les réponses non HTTP par l’intermédiaire
d’un proxy)
-
Enable caching of HTTPS responses
(Activez la mise en cache des réponses HTTPS)
-
Enter minimum idle timeout for checking unresponsive upstream proxy (in seconds)
[Saisissez le délai d’inactivité minimal pour la vérification du proxy en amont qui ne répond pas (en secondes)]
-
Enter maximum idle timeout for checking unresponsive upstream proxy (in seconds)
[Saisissez le délai d’inactivité maximal pour la vérification du proxy en amont qui ne répond pas (en secondes)]
-
Mode of the proxy:
(Mode du proxy :)
1. Explicit forward mode only
(Mode de transfert explicite uniquement)
2. Transparent mode with L4 Switch or no device for redirection
(Mode transparent avec commutateur de couche 4 ou aucun périphérique pour la redirection)
3. Transparent mode with WCCP v2 Router for redirection
(Mode transparent avec routeur WCCP v2 pour la redirection)
-
Usurpation de l’adresse IP du client par le proxy :
1. Enable for all requests
(Activer pour toutes les demandes)
2. Enable for transparent requests only
(Activer pour les demandes transparentes uniquement)
-
Do you want to pass HTTP X-Forwarded-For headers?
(Voulez-vous transmettre les en-têtes HTTP X-Forwarded-For?)
-
Do you want to enable server connection sharing?
(Voulez-vous activer le partage de la connexion du serveur?)
-
Would you like to permit tunneling of non-HTTP requests on HTTP ports?
(Voulez-vous autoriser la tunnellisation des requêtes non HTTP sur les ports HTTP?)
-
Would you like to block tunneling of non-SSL transactions on SSL Ports?
(Voulez-vous bloquer la tunnellisation des transactions non SSL sur les ports SSL?)
-
Voulez-vous que le proxy consigne les valeurs des en-têtes X-Forwarded-For à la place des adresses IP de connexion entrante?
-
Do you want proxy to throttle content served from cache?
(Voulez-vous que le proxy limite le contenu servi à partir du cache?)
-
Voulez-vous que le proxy utilise les adresses IP client des en-têtes X-Forwarded-For
-
Do you want to forward TCP RST sent by server to client?
(Voulez-vous transférer le RST du serveur TCP envoyé par le serveur au client?)
-
Voulez-vous activer la vérification de l’intégrité du proxy WCCP?
-
Do you want to enable URL lower case conversion for velocity regex?
(Voulez-vous activer la conversion d’URL en minuscules pour l’expression régulière de vitesse?)
Voir aussi Utilisation de l’interface de données P2 pour les données de proxy Web et Configuration des paramètres du proxy Web.
SOCKS
: options de proxy SOCKS :
-
Would you like to enable SOCKS proxy
(Voulez-vous activer le proxy SOCKS?)
-
Proxy Negotiation Timeout
(Délai d’expiration de la négociation du proxy)
-
UDP Tunnel Timeout
(Délai d’expiration du tunnel UDP)
-
SOCKS Control Ports
(Ports de contrôle SOCKS)
-
UDP Request Ports
(Ports de demande UDP)
Voir aussi Utilisation de l’interface de données P2 pour les données de proxy Web et Services proxy SOCKS.
CONTENT-ENCODING
– Autoriser et bloquer les types de codage de contenu.
Types d’encodage de contenu actuellement autorisés : compress, deflate, gzip
Types d’encodage de contenu actuellement bloqués : S.O.
Pour modifier le paramètre d’un type d’encodage de contenu spécifique, sélectionnez une option :
1. compress
2. deflate
3. gzip
[1]>
Le type d’encodage « compress » est actuellement autorisé
Voulez-vous le bloquer? [N]>
Note
|
La commande centralauthcache s’applique aux appareils compatibles avec les performances élevées et pour améliorer les performances du cache d’authentification.
|
adminaccessconfig
Vous pouvez configurer Secure Web Appliance pour avoir des exigences d’accès plus strictes pour les administrateurs qui se connectent à l’appliance.
configuration d’alerte
Spécifiez les destinataires des alertes et définissez les paramètres d’envoi des alertes du système.
authcache
Vous permet de supprimer une ou toutes les entrées (utilisateurs) du cache d’authentification. Vous pouvez également répertorier
tous les utilisateurs actuellement inclus dans le cache d’authentification.
Note
|
Lorsque centralauthcache est activé, la commande authcache n’affiche pas le nom d’utilisateur authentifié ISE. Pour obtenir les informations sur l’utilisateur d’ISE, utilisez la commande
isedata.
|
bwcontrol
Débogue la fonctionnalité de contrôle de la bande passante.
-
bwcontrol listnips : Affiche la liste de tous les canaux de contrôle de bande passante actifs sur Secure Web Appliance.
-
bwcontrol monitor <numéro du canal> : pour afficher la bande passante mesurée pour le canal de transmission donné, une fois toutes les cinq secondes.
À partir d’AsyncOS 14.5, les journaux de proxy en mode Trace (Suivi) sont affichés par défaut.
Terminologie
-
URLBW
: Contrôle de la bande passante appliqué par catégorie d’URL de politique d’accès
-
OverallBW
: Contrôle de la bande passante appliqué par le quota d’activité Web globale de la politique d’accès.
-
OverallMediaBW
: Contrôle de la bande passante appliqué par la limite de bande passante globale.
-
AVCPerUserBW
: Contrôle de la bande passante appliqué par la limite de bande passante AVC.
certconfig
SETUP
: Configure les certificats de sécurité et les clés.
OCSPVALIDATION
: Active/désactive la validation OCSP du certificat pendant le téléchargement.
OCSPVALIDATION_FOR_SERVER_CERT
: Active la validation OCSP pour les certificats de serveur Active la validation OCSP pour les certificats de serveur
clear
Efface les modifications de configuration en attente depuis la dernière validation.
clientconnections
Affiche les détails de la connexion lorsque le nombre maximal de connexions par client est activé. Les détails comprennent
l’adresse IP du client et le nombre de connexions.
Choisissez l’opération que vous souhaitez effectuer :
commit
Valide les modifications en attente à la configuration du système.
configbackup
Enregistre le fichier de configuration de sauvegarde et l’envoie à un serveur de sauvegarde distant par FTP ou SCP
csidconfig
Vous pouvez configurer différents paramètres de la fonctionnalité Cisco Success Network sur l’appliance en ce qui concerne
la publication des données de télémesure sur le portail d’échange de services de sécurité.
Les sous-commandes sont :
createcomputerobject
Crée un objet ordinateur à l’emplacement que vous spécifiez.
curl
Envoyez une demande cURL directement à un serveur Web ou à un serveur Web par l’intermédiaire d’un proxy, avec les en-têtes
HTTP de demande et de réponse renvoyés pour vous permettre de déterminer la raison du chargement d’une page Web.
Note
|
Cette commande est réservée à l’usage de l’administrateur ou de l’opérateur, sous la supervision du service d’assistance technique
de Cisco.
|
Les sous-commandes sont :
datasecurityconfig
Définit une taille minimale de corps de demande en dessous de laquelle les demandes de téléchargement ne sont pas analysées
par les filtres de sécurité des données de Cisco.
date
Affiche la date actuelle. Exemple :
Thu Jan 10 23:13:40 2013 GMT
diagnostic
Sous-commandes liées au proxy et à la création de rapports :
NET
: utilitaire de diagnostic réseau
Cette commande est obsolète; utilisez packetcapture pour capturer le trafic réseau sur l’appliance.
PROXY
: utilitaire de débogage de proxy
Choisissez l’opération que vous souhaitez effectuer :
-
SNAP
: prend un instantané du proxy
-
OFFLINE
: met le proxy hors ligne (par le biais de WCCP)
-
RESUME
: reprend le trafic proxy (par le biais de WCCP)
-
CACHE
: efface le cache du proxy
proxyscannermap
: cette commande affiche le mappage de PID entre chaque proxy et le processus d’analyseur correspondant.
REPORTING
: utilitaires de rapport
Le système de rapports est actuellement activé.
Choisissez l’opération que vous souhaitez effectuer :
-
DELETDB
: réinitialise la base de données de rapports
-
DISABLE
: désactive le système de rapports.
-
DBSTATS
: répertorie la base de données et les fichiers d’exportation (affiche la liste des fichiers et des dossiers non traités
dans les dossiers export_files et always_onbox.)
-
DELETEEXPORTDB
: supprime les fichiers d’exportation (supprime tous les fichiers et dossiers non traités dans les dossiers export_files
et always_onbox.)
-
DELETEJOURNAL
: supprime les fichiers de journal (supprime tous les aclog_journal_files.)
dnsconfig
Configure les paramètres du DNS.
Choisissez l’opération que vous souhaitez effectuer :
-
NEW
: ajoute un nouveau serveur.
-
EDIT
: modifie un serveur.
-
DELETE
: supprime un serveur.
-
SETUP
: configure les paramètres généraux.
-
SEARCH
: configure la liste de recherche de domaines DNS.
[]> setup
Do you want to enable Secure DNS? [N]> Yes
( Voulez-vous activer le DNS sécurisé? [N]> Oui)
dnsflush
Purge des entrées DNS sur l’appliance.
etherconfig
Configure les connexions du port Ethernet.
Choisissez l’opération que vous souhaitez effectuer :
-
MEDIA
: affiche et modifie les paramètres de supports Ethernet.
-
PAIRING
: affiche et configure l’appairage de cartes réseau.
-
VLAN
: affiche et configure les VLAN.
-
MTU
: affiche et configure la MTU.
externaldlpconfig
Définit une taille minimale de corps de demande en dessous de laquelle les demandes de téléchargement ne sont pas analysées
par le serveur DLP externe.
externaldlpconfig
Définit une taille minimale de corps de demande en dessous de laquelle les demandes de téléchargement ne sont pas analysées
par le serveur DLP externe.
featurekey
Soumet des clés valides pour activer les fonctionnalités sous licence.
featurekeyconfig
Vérifie et met à jour automatiquement les clés de fonctionnalité.
fipsconfig
SETUP
: active/désactive la conformité FIPS 140-2 et le chiffrement des paramètres sensibles critiques (CSP). Notez qu’un redémarrage
immédiat sera nécessaire.
FIPSCHECK
: vérifie la conformité du mode FIPS. Indique si les divers certificats et services sont conformes aux normes FIPS.
Voir Conformité à la norme FIPS pour de plus amples informations.
grep
Recherche dans les fichiers d’entrée nommés les lignes contenant une correspondance au modèle donné.
gathererdconfig
Configure la fonctionnalité d’interrogation entre l’appliance et le serveur d’authentification.
help
Renvoie une liste de commandes.
httppatchconfig
Active ou désactive les demandes de correctifs HTTP sortantes. La valeur par défaut est enable (activer).
http2
Active ou désactive les configurations HTTP 2.
iccm_message
Efface le message de l’interface Web et de l’interface de ligne de commande indiquant quand ce Secure Web Appliance est géré par une appliance de gestion de la sécurité (Series M).
ifconfig ou interfaceconfig
Configure et gére les interfaces réseau, notamment M1, P1 et P2. Affiche les interfaces actuellement configurées et fournit
un menu des opérations pour créer, modifier ou supprimer des interfaces.
iseconfig
Affiche les paramètres de configuration ISE actuels; indiquez une opération de configuration ISE à effectuer :
ISE RECONCILIATION TIME SETUP
— Configure l’heure de rapprochement de Cisco ISE. Pour redémarrer le processus installé automatiquement, définissez l’heure
au format HH::MM dans les 24 heures suivant la configuration d’ISE. Après un redémarrage, le téléchargement en bloc a lieu.
Choose the operation you want to perform:
- Schedule ISE Restart Time in HH:MM format.
- Modify cache timeout for ISE users. Specify a timeout value in hours, upto 24 hours
Par défaut, la valeur de l’option 1 est 00 h 00 à minuit.
isedata
Précisez une opération liée aux données ISE :
statistics
: affiche l’état du serveur et les statistiques ISE du serveur.
cache
: affiche le cache ISE ou vérifiez une adresse IP :
sgts
: affiche le tableau des balises SGT ISE.
groups
: affiche le tableau des groupes ISE.
Si VDI est mis en œuvre, les sous-commandes show
et checkip
sous la commande principale cache
affichent plus de détails. La sous-commande show
affiche les détails sur la plage de ports et la sous-commande checkip
affiche les détails sur l’utilisateur VDI, tels que l’adresse IP, le nom, la plage de ports, etc.
[]> cache
Choose the operation you want to perform:
- SHOW - Show the ISE ID cache.
- CHECKIP - Query the local ISE cache for an IP address
last
Répertorie les informations utilisateur spécifiques à l’utilisateur, qui comprennent les tty et les hôtes, dans l’ordre inverse
du temps ou répertorie les utilisateurs connectés à une date et à une heure spécifiées.
loadconfig
Charge un fichier de configuration système.
logconfig
Configure l’accès aux fichiers journaux.
mailconfig
Envoie le fichier de configuration actuel à l’adresse spécifiée.
maxhttpheadersize
Définit la taille maximale de l’en-tête HTTP ou la taille de l’URL pour les demandes de proxy; saisissez la valeur en octets
ou ajoutez un K au nombre pour indiquer les kilo-octets.
Le suivi des politiques peut échouer pour un utilisateur qui appartient à un grand nombre de groupes d’authentification.
Il peut également échouer si la taille de l’en-tête de la réponse HTTP ou la taille de l’URL est supérieure à la « taille
maximale d’en-tête » actuelle. L’augmentation de cette valeur peut réduire ces échecs. La valeur minimale est de 32 Ko; la
valeur par défaut est de 32 Ko; La valeur maximale est de 1 024 Ko.
modifyauthhelpers
Utilisez cette commande pour configurer le nombre d’assistants d’authentification Kerberos entre 5 et 21 pour BASIC, NTLMSSP
et NEGO.
musconfig
Utilisez cette commande pour activer Secure Mobility et configurer l’identification des utilisateurs à distance, soit par
adresse IP, soit par intégration dans une ou plusieurs appliances Cisco Adaptive Security Appliance.
Note
|
Les modifications apportées à l’aide de cette commande entraînent le redémarrage du proxy Web.
|
musstatus
Utilisez cette commande pour afficher les informations relatives à Secure Mobility lorsque Secure Web Appliance est intégré à une appliance ASA.
Cette commande affiche les informations suivantes :
-
L’état de la connexion Secure Web Appliance avec chaque appliance ASA.
-
La durée de la connexion Secure Web Appliance avec chaque appliance ASA en minutes.
-
Le nombre de clients distants de chaque appliance ASA.
-
Le nombre de clients distants desservis, qui est défini comme le nombre de clients distants qui ont transmis du trafic par
l’intermédiaire de Secure Web Appliance.
-
Le nombre total de clients distants.
networktuning
Secure Web Appliance utilise plusieurs tampons et algorithmes d’optimisation pour gérer des centaines de connexions TCP simultanément, offrant
des performances élevées pour le trafic Web typique, c’est-à-dire les connexions HTTP de courte durée.
Dans certaines situations, par exemple en cas de téléchargements fréquents de fichiers volumineux (plus de 100 Mo), des tampons
plus grands peuvent fournir de meilleures performances par connexion. Cependant, l’utilisation globale de la mémoire augmentera
et, par conséquent, toute augmentation de la mémoire tampon doit correspondre à la mémoire disponible sur le système.
Les variables d’espace d’envoi et de réception représentent les tampons utilisés pour stocker les données pour les communications
sur une connexion TCP donnée. Les variables send- et received-auto sont utilisées pour activer et désactiver l’algorithme
de réglage automatique de FreeBSD pour le contrôle dynamique de la taille de la fenêtre. Ces deux paramètres sont appliqués
directement dans le noyau de FreeBSD.
Lorsque SEND_AUTO
et RECV_AUTO
sont activés, le système ajuste la taille de la fenêtre de manière dynamique en fonction de la charge du système et des ressources
disponibles. Sur un Secure Web Appliance légèrement chargé, le système tente de maintenir une grande taille de fenêtre pour réduire la latence par transaction. La
valeur maximale de la taille de fenêtre réglée dynamiquement dépend du nombre configuré de grappes mbuf, qui à son tour dépend
de la RAM totale disponible sur le système. À mesure que le nombre total de connexions client augmente, ou lorsque les ressources
de tampon réseau disponibles se raréfient, le système ajuste la taille de la fenêtre pour éviter de perdre toutes les ressources
de tampon réseau à cause du trafic sur le proxy.
Consultez Problèmes de vitesse de chargement/téléchargement pour en savoir plus sur l’utilisation de cette commande.
Les sous-commandes networktuning
sont :
SENDSPACE
: Taille de la mémoire tampon de l’espace d’envoi TCP; la plage est comprise entre 8 192 et 131 072 octets; la valeur par
défaut est de 16 000 octets.
RECVSPACE
: Taille de la mémoire tampon de l’espace de réception TCP; la plage est comprise entre 8192 et 131072 octets; la valeur
par défaut est de 32 768 octets.
SEND-AUTO
: Active/désactive le réglage automatique de l’envoi TCP; 1 = activé, 0 = éteint; la valeur par défaut est désactivée. Si
vous activez le réglage automatique de l’envoi TCP, veillez à utiliser advancedproxyconfig > miscellaneous > Would you like proxy to perform dynamic adjustment of TCP send window size?
(advancedproxyconfig > miscellaneous > Souhaitez-vous que le proxy effectue un réglage dynamique de la taille de la fenêtre
d’envoi TCP?) pour désactiver le réglage automatique de la mémoire tampon d’envoi.
RECV-AUTO
: Active/désactive le réglage automatique de la réception du protocole TCP; 1 = activé, 0 = éteint; la valeur par défaut
est désactivée. Si vous activez le réglage automatique de la réception TCP, assurez-vous d’utiliser advancedproxyconfig > miscellaneous > Would you like proxy to perform dynamic adjustment of TCP receive window size?
(Souhaitez-vous que le proxy effectue un réglage dynamique de la taille de la fenêtre de réception TCP?) pour désactiver
le réglage automatique de la mémoire tampon de réception.
MBUF CLUTER COUNT
: Modifie le nombre de grappes mbuf disponibles; La plage de valeurs acceptables est comprise entre 98 304 et 1 572 864.
La valeur doit varier en fonction de la mémoire système installée, en utilisant ce calcul : 98 304 * (X/Y) où X représente
les gigaoctets de RAM sur le système et Y 4 Go. Par exemple, avec 4 Go de RAM, la valeur recommandée est 98 304 * (4/4) =
98 304. Une mise à l’échelle linéaire est recommandée à mesure que la RAM augmente.
SENDBUF-MAX
: Spécifie la taille maximale de la mémoire tampon d’envoi; la plage est de 131 072 octets à 2 097 152 octets; la valeur
par défaut est de 1 Mo (1 048 576 octets).
RECVBUF-MAX
: Spécifiez la taille maximale de la mémoire tampon de réception; la plage est de 131 072 octets à 2 097 152 octets; la
valeur par défaut est de 1 Mo (1 048 576 octets).
CLEAN-FIB-1
: Supprime toutes les entrées M1/M2 de la table de routage des données – essentiellement, activez la séparation entre le
plan de contrôle et le plan de données. En d’autres termes, cela empêche tout processus du plan de données d’envoyer des données
sur l’interface M1 lorsque le « routage séparé » est activé. Les processus du plan de données sont ceux pour lesquels l’option
d’utilisation de la table de routage des données est activée ou qui acheminent strictement du trafic non lié à la gestion.
Les processus du plan de commande peuvent toujours envoyer des données par les interfaces M1 ou P1.
Après toute modification de ces paramètres, assurez-vous de valider vos modifications et de redémarrer l’appliance.
Caution
|
Utilisez cette commande uniquement si vous en comprenez les ramifications. Nous vous recommandons d’utiliser ce produit uniquement
avec les conseils du service d’assistance technique de Cisco.
|
nslookup
Interroge les serveurs de noms de domaine Internet pour obtenir des renseignements à propos d’hôtes et de domaines précisés
ou pour imprimer une liste des hôtes d’un domaine.
ntpconfig
Configure les serveurs NTP. Affiche les interfaces actuellement configurées et fournit un menu des opérations pour ajouter,
supprimer ou définir l’interface de l’adresse IP de laquelle les requêtes NTP doivent provenir.
packetcapture
Intercepte et affiche le protocole TCP/IP et les autres paquets transmis ou reçus sur le réseau auquel l’appliance est reliée.
passwd
Définit la phrase secrète.
pathmtudiscovery
Active ou désactive Path MTU Discovery.
Vous pouvez désactiver Path MTU Discovery si vous avez besoin de la fragmentation des paquets.
ping (envoyer un message Ping)
Envoie une demande ECHO ICMP à l’hôte ou à la passerelle spécifiés.
process_status
Affiche la liste des processus actifs de l’appliance.
Note
|
Cette commande est disponible uniquement en mode administrateur
|
proxyconfig <enable | disable>
Active ou désactive le proxy Web.
proxystat
Affiche les statistiques de proxy Web.
quit, q, exit
Termine un processus ou une session actif.
quotaquery
Pour vérifier ou réinitialiser le volume et l’heure utilisés par une catégorie.
Choisissez l’opération que vous souhaitez effectuer :
-
RESET
: Réinitialise le quota pour une entrée spécifique dans le cache de quota du proxy.
-
SEARCH
: Liste de recherche des entrées d’utilisateur dans le cache de quota du proxy.
-
RESETALL
: Réinitialise toutes les entrées du cache des quotas de proxy.
Note
|
Dans un mode multi-proxy, lorsque vous souhaitez réinitialiser l’appliance tout en accédant à quotoquery à partir de l’interface de ligne de commande, si le nom d’utilisateur du quota se compose d’un caractère « \ », ajoutez un
autre « \ », puis réinitialisez l’appliance. Par exemple, si vous trouvez un nom d’utilisateur de quota « vol:W2012-01\administrator@AD1 »,
avant d’effectuer une réinitialisation, modifiez-le (ajoutez « \ ») comme suit : « W2012-01\\administrator@AD1 ». Le préfixe
« vol: » n’est pas requis lorsque vous effectuez une réinitialisation.
|
reboot (redémarrer)
Vide le cache du système de fichiers sur le disque, arrête tous les processus en cours et redémarre le système.
reportingconfig
configurer un système de rapports.
resetconfig
Rétablit les valeurs par défaut de la configuration.
revert
Rétablit une version précédente qualifiée du système d’exploitation AsyncOS pour le Web. Il s’agit d’une action très destructrice,
car elle détruit tous les journaux de configuration et bases de données. Reportez-vous à Retour à une version antérieure d’AsyncOS pour le Web pour en savoir plus sur l’utilisation de cette commande.
rollbackconfig
Vous permet de restaurer l’une des 10 configurations validées précédemment. Par défaut, la fonctionnalité de configuration
de restauration est activée.
rollovernow
Renouvelle un fichier journal.
routeconfig
Configure les adresses IP de destination et les passerelles pour le trafic. Affiche les routages actuellement configurés
et fournit un menu des opérations pour créer, modifier, supprimer ou effacer des entrées.
saveconfig
Enregistre une copie des paramètres de configuration actuels dans un fichier. Ce fichier peut être utilisé pour restaurer
les paramètres par défaut, au besoin.
Si le mode FIPS est activé, fournissez une option de gestion de la phrase secrète : Mask passphrases
(Masquer les phrases secrètes) ou Encrypt passphrases
(Chiffrer les phrases secrètes).
setgateway
Configure la passerelle par défaut pour l’appareil.
sethostname
Définit le paramètre de nom d’hôte.
setntlmsecuritymode
Modifie le paramètre de sécurité du domaine d’authentification NTLM pour « ads » ou « domain ».
-
domain
: AsyncOS joint le domaine Active Directory avec un compte d’approbation de sécurité de domaine. AsyncOS nécessite Active
Directory pour utiliser uniquement les groupes Active Directory imbriqués dans ce mode.
-
ads
: AsyncOS rejoint le domaine en tant que membre Active Directory natif.
La valeur par défaut est ads
.
settime
Règle l’heure du système.
settz
Affiche le fuseau horaire actuel et la version du fuseau horaire. Fournit un menu des opérations pour définir un fuseau horaire
local.
showconfig
Affiche toutes les valeurs de configuration.
Note
|
Les phrases secrètes des utilisateurs sont chiffrées.
|
shutdown
Met fin aux connexions et arrête le système.
smbprotoconfig
Active ou désactive la prise en charge du protocole SMB1 pour Samba version 4.11.15.
Choisissez l’opération que vous souhaitez effectuer :
smtprelay
Configure les hôtes de relais SMTP pour les courriels générés à l’interne. Un hôte de relais SMTP est nécessaire pour recevoir
les courriels et les alertes générés par le système.
smtpconfig
Configure l’hôte local pour qu’il écoute les requêtes SNMP et autorise les requêtes SNMP.
sshconfig
Configure les options de nom d’hôte et de clé d’hôte pour les serveurs approuvés.
sslconfig
Le chiffrement par défaut pour AsyncOS versions 9.0 et antérieures est Default:+kEDH
.
Le chiffrement par défaut pour les versions 9.1 à 11.8 d’AsyncOS est le suivant :EECDH:DSS:RSA:!NULL:!eNULL:!EXPORT:!3DES:!RC4:!RC2:!DES:!SEED:!CAMELLIA
:!SRP:!IDEA:!ECDHE-ECDSA-AES256-SHA:!ECDHE-RSA-AES256-SHA:!DHE-DSS-AES256-SHA:
!AES256-SHA:DHE-RSA-AES128-SHA
Dans ce cas, le chiffrement par défaut peut changer en fonction de vos sélections de chiffrement ECDHE.
Le chiffrement par défaut pour AsyncOS versions 12.0 et ultérieures est :EECDH:DSS:RSA:!NULL:!eNULL:!aNULL:!EXPORT:!3DES:!SEED:!CAMELLIA
:!SRP:!IDEA:!DHE-DSS-AES256-SHA:!AES256-SHA:DHE-RSA-AES128-SHA:
TLS_AES_256_GCM_SHA384
EECDH:DSS:RSA:!NULL:!eNULL:!aNULL:!EXPORT:!3DES:!SEED:!CAMELLIA
:!SRP:!IDEA:!DHE-DSS-AES256-SHA:!AES256-SHA:DHE-RSA-AES128-SHA:
TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256: TLS_CHACHA20_POLY1305_SHA256
Note
|
Mettez à jour la suite de chiffrement par défaut lors de la mise à niveau vers une version plus récente d’AsyncOS. Les suites
de chiffrements ne sont pas automatiquement mises à jour. Lorsque vous effectuez une mise à niveau d’une version antérieure
vers AsyncOS 12.0 ou une version ultérieure, Cisco recommande de mettre à jour la suite de chiffrement pour :
|
EECDH:DSS:RSA:!NULL:!eNULL:!aNULL:!EXPORT:!3DES:!SEED:!CAMELLIA
:!SRP:!IDEA:!DHE-DSS-AES256-SHA:!AES256-SHA:DHE-RSA-AES128-SHA:
TLS_AES_256_GCM_SHA384
EECDH:DSS:RSA:!NULL:!eNULL:!aNULL:!EXPORT:!3DES:!SEED:!CAMELLIA
:!SRP:!IDEA:!DHE-DSS-AES256-SHA:!AES256-SHA:DHE-RSA-AES128-SHA:
TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256: TLS_CHACHA20_POLY1305_SHA256
FALLBACK
: active/désactive l’option de repli SSL/TLS. Si elle est activée, les communications avec les serveurs distants utiliseront
le protocole configuré le plus bas à la suite d’un échec d’établissement de liaison.
Une fois qu’une version de protocole est négociée entre le client et le serveur, un échec de l’établissement de liaison est
possible en raison de problèmes de mise en œuvre. Si cette option est activée, le proxy tente de se connecter en utilisant
la version la plus basse des protocoles TLS/SSL actuellement configurés.
Note
|
Sur les nouvelles installations d’AsyncOS 9.x, le repli est désactivé par défaut. Pour les mises à niveau de versions antérieures
pour lesquelles l’option de secours existe, le paramètre actuel est conservé; Sinon, lors de la mise à niveau à partir d’une
version pour laquelle l’option n’existe pas, le repli est activé par défaut.
|
ECDHE
: active/désactive l’utilisation des chiffrements ECDHE pour LDAP.
Les chiffrements ECDH supplémentaires sont pris en charge dans les versions successives; cependant, certaines courbes nommées
fournies avec certains des chiffrements supplémentaires amènent l’appliance à fermer la connexion pendant l’authentification
LDAP sécurisée et le déchiffrement du trafic HTTPS. Consultez Configuration SSL pour plus d’informations sur la spécification de chiffrements supplémentaires.
Si vous rencontrez ces problèmes, utilisez cette option pour désactiver ou activer l’utilisation du chiffrement ECDHE pour
l’une ou l’autre des fonctionnalités ou pour les deux.
ssltool
Exécute différentes commandes OpenSSL à partir de l’interface de ligne de commande de l’appliance pour dépanner les connexions
SSL. La commande ssltool
comprend les sous-commandes suivantes :
status
Affiche l’état du système.
supportrequest
Envoie le courriel de demande d’aide à l’assistance client de Cisco. Cela comprend les informations sur le système et une
copie de la configuration principale.
(Facultatif) Si vous fournissez le numéro de la demande de service, un ensemble plus vaste d’informations sur le système et
la configuration est automatiquement ajouté à la demande de service. Ces informations sont compressées et téléchargées vers
la demande de service par FTP.
tail
Affiche la fin d’un fichier journal. La commande accepte le nom du fichier journal comme paramètre.
Exemple 1
example.com> tail
Currently configured logs:
1. "accesslogs" Type: "Access Logs" Retrieval: FTP Poll
2. "amp_logs" Type: "AMP Engine Logs" Retrieval: FTP Poll
…
…
Enter the number of the log you wish to tail.
[]> 9
Press Ctrl-C to stop scrolling, then `q` to quit.
~
~
Thu Dec 14 10:03:07 2017 Info: Begin Logfile
~
~
…
…
“CTRL-C” + “q”
Exemple 2
example.com> tail system_logs
Press Ctrl-C to stop scrolling, then `q` to quit.
~
~
Thu Dec 14 09:59:10 2017 Info: Begin Logfile
…
…
“CTRL-C” + “q”
tcpservices
Affiche des informations sur les services TCP/IP ouverts.
techsupport
Fournit une connexion temporaire pour permettre à l’assistance client de Cisco d’accéder au système et d’aider au dépannage.
telnet
Communique avec un autre hôte à l’aide du protocole TELNET, généralement utilisé pour vérifier la connectivité.
testauthconfig
Teste les paramètres d’authentification pour un domaine d’authentification donné par rapport aux serveurs d’authentification
définis dans le domaine.
testauthconfig [-d level] [nom du domaine]
L’exécution de la commande sans aucune option permet à l’appliance de répertorier les domaines d’authentification configurés
parmi lesquels vous pouvez effectuer une sélection.
L’indicateur de débogage ( -d
) contrôle le niveau d’informations de débogage. Les niveaux peuvent varier entre 0 et 10. Si cela n’est pas spécifié, l’appliance
utilise le niveau 0. Au niveau 0, la commande renverra une réussite ou un échec. Si les paramètres de test échouent, la commande
répertorie la cause de l’échec.
Note
|
Cisco vous recommande d’utiliser le niveau 0. N’utilisez un niveau de débogage différent que lorsque vous avez besoin d’informations
plus détaillées pour le dépannage.
|
traceroute (afficher route)
Permet de suivre les paquets IP dans les passerelles et le long du chemin jusqu’à un hôte de destination.
trailblazerconfig
Vous pouvez utiliser la commande trailblazerconfig
pour acheminer vos connexions entrantes et sortantes par les ports HTTP et HTTPS de la nouvelle interface Web.
Note
|
Par défaut, la commande dans l’interface de ligne de commande trailblazer est activée sur votre appliance. Vous pouvez consulter l’aide en ligne en saisissant la commande suivante : hello config .
|
La syntaxe est la suivante :
trailblazerconfig enable <https_port> <http_port>
trailblazerconfig disable
trailblazerconfig status
Lieu :
« enable »
exécute la commande trailblazer sur les ports par défaut (HTTPS : 4431 ou HTTP : 801).
« disable »
met fin à la commande trailblazer.
« status »
vérifie l’état de la commande trailblazer.
Note
|
Si vous avez activé la commande trailblazerconfig sur l’appliance, l’URL de la demande contiendra le numéro de port HTTP/HTTPS ajouté au nom d’hôte.
|
Vous pouvez essayer l’une ou l’autre des étapes suivantes pour faciliter la navigation dans votre navigateur :
-
Acceptez le certificat utilisé par l’interface Web et utilisez la syntaxe d’URL suivante : https://hostname:<https_api_port> (par exemple, https://un.exemple.com:6443)
dans une nouvelle fenêtre de navigateur et acceptez le certificat. Ici <https_api_port>
est le port HTTPS de l’API AsyncOS configuré dans Network > IP Interfaces(Réseau > Interfaces IP). Assurez-vous également que les ports API (HTTP/HTTPS) sont ouverts sur le pare-feu.
-
Par défaut, la commande dans l’interface de ligne de commande trailblazer
est activée sur votre appliance. Assurez-vous que les ports HTTP/HTTPS sont ouverts sur le pare-feu. Assurez-vous également
que votre serveur DNS est capable de résoudre le nom d’hôte que vous avez spécifié pour accéder à l’appliance.
Si la commande d’interface de ligne de commande trailblazerconfig
est désactivée, vous pouvez exécuter la commande, vous pouvez exécuter la commande à l’aide de l’interface de ligne de commande pour éviter les problèmes suivants :
-
Nécessité d’ajouter plusieurs certificats pour les ports d’API dans certains navigateurs.
-
Redirection vers l’interface Web existante lorsque vous actualisez la page de mise en quarantaine des pourriels, de liste
des autorisations ou de liste de blocage.
-
La barre des mesures sur la page de rapport Cisco Secure Endpoint ne contient aucune donnée.
updateconfig
Configure les paramètres de mise à jour et de mise à niveau.
updatenow
Met à jour tous les composants.
upgrade
Installe la mise à niveau logicielle du système d’exploitation asynchrone.
downloadinstall
: télécharge et installe immédiatement un pack de mise à niveau.
download
: télécharge et enregistre le pack de mise à niveau pour l’installer ultérieurement.
Après avoir saisi l’une de ces commandes, une liste des pack de mise à niveau applicables à ce Secure Web Appliance s’affiche. Sélectionnez le pack souhaité en saisissant son numéro d’entrée, puis en appuyant sur Entrée; le téléchargement
commence en arrière-plan. Pendant le téléchargement, des sous-commandes supplémentaires sont disponibles : downloadstatus
et canceldownload
.
Une fois le téléchargement terminé, si vous avez initialement saisi downloadinstall
, l’installation commence immédiatement. Si vous avez entré download
, deux commandes supplémentaires sont disponibles une fois le téléchargement terminé : install
et delete
. Entrez install
pour commencer l’installation d’un pack téléchargé précédemment. Utilisez delete
pour supprimer le pack téléchargé précédemment depuis Secure Web Appliance.
userconfig
Configure les administrateurs système.
version
Affiche des informations générales sur le système, les versions installées du logiciel système et les définitions de règles.
wccpstat
all
: affiche les détails de tous les groupes de services WCCP (Web Cache Communication Protocol).
servicegroup
: affiche les détails d’un groupe de services WCCP spécifique.
webcache
Examine ou modifie le contenu du cache de proxy, ou configurez des domaines et des URL que l’appliance ne met jamais en cache.
Permet à un administrateur de supprimer une URL particulière du cache proxy ou de spécifier les domaines ou les URL à ne jamais
stocker dans le cache proxy.
who
Affiche les utilisateurs connectés au système, pour les sessions d’interface de ligne de commande et Web.
Note
|
Les utilisateurs individuels peuvent avoir un maximum de 10 sessions simultanées.
|
whoami
Affiche les informations concernant l’utilisateur.