ASA/PIX 7.X: disabilitare l'ispezione globale predefinita e abilitare l'ispezione delle applicazioni non predefinite utilizzando ASDM

Opzioni per il download

  • PDF     (358.6 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (237.1 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (547.8 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:2 dicembre 2010
ID documento:112235

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene descritto come rimuovere il controllo predefinito dai criteri globali per un'applicazione e come abilitare il controllo per un'applicazione non predefinita.

Prerequisiti

Requisiti

Nessun requisito specifico previsto per questo documento.

Componenti usati

Per la stesura del documento, è stata usata un'appliance Cisco Adaptive Security Appliance (ASA) con immagine software 7.x.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Prodotti correlati

Questa configurazione può essere utilizzata anche con l'appliance di sicurezza PIX che esegue l'immagine software 7.x.

Convenzioni

Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.

Criterio globale predefinito

Per impostazione predefinita, la configurazione include un criterio che corrisponde a tutto il traffico di ispezione delle applicazioni predefinito e applica determinate ispezioni al traffico su tutte le interfacce (un criterio globale). Non tutte le ispezioni sono abilitate per impostazione predefinita. È possibile applicare un solo criterio globale. Se si desidera modificare il criterio globale, è necessario modificare il criterio predefinito oppure disattivarlo e applicarne uno nuovo. Un criterio di interfaccia ha la precedenza sul criterio globale.

La configurazione predefinita dei criteri include i comandi seguenti:

class-map inspection_default
 match default-inspection-traffic
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect xdmcp 
  inspect sip 
  inspect netbios 
  inspect tftp 
service-policy global_policy global

Abilita ispezione applicazione non predefinita

Completare questa procedura per abilitare il controllo delle applicazioni non predefinite sull'appliance Cisco ASA:

  1. Accedere ad ASDM. Selezionare Configurazione > Firewall > Regole dei criteri di servizio.

    asa-disgi-enai-asdm-01.gif

  2. Se si desidera mantenere la configurazione per i criteri globali che include la mappa delle classi predefinita e la mappa dei criteri predefinita, ma si desidera rimuovere i criteri a livello globale, passare a Strumenti > Interfaccia da riga di comando e utilizzare il comando globale no service-policy per rimuovere i criteri a livello globale. Quindi, fare clic su Send per applicare il comando all'appliance ASA.

    asa-disgi-enai-asdm-02.gif

    Nota: con questo passaggio, la policy globale diventa invisibile in Adaptive Security Device Manager (ASDM), ma viene mostrata nella CLI.

  3. Per aggiungere un nuovo criterio, fare clic su Add (Aggiungi) come mostrato di seguito:

    asa-disgi-enai-asdm-03.gif

  4. Verificare che il pulsante di opzione accanto a Interfaccia sia selezionato e scegliere l'interfaccia a cui applicare il criterio dal menu a discesa. Fornire quindi il nome del criterio e la descrizione. Fare clic su Next (Avanti).

    asa-disgi-enai-asdm-04.gif

  5. Creare una nuova mappa di classe per far corrispondere il traffico TCP mentre il traffico HTTP rientra in TCP. Fare clic su Next (Avanti).

    asa-disgi-enai-asdm-05.gif

  6. Selezionare TCP come protocollo.

    asa-disgi-enai-asdm-06.gif

    Scegliere Porta HTTP 80 come servizio e fare clic su OK.

    asa-disgi-enai-asdm-07.gif

  7. Scegliere HTTP e fare clic su Fine.

    asa-disgi-enai-asdm-08.gif

  8. Fare clic su Apply (Applica) per inviare le modifiche alla configurazione all'appliance ASA da ASDM. La configurazione è stata completata.

    asa-disgi-enai-asdm-09.gif

Verifica

Per verificare la configurazione, utilizzare i seguenti comandi show:

  • Utilizzare il comando show run class-map per visualizzare le mappe di classe configurate.

    ciscoasa# sh run class-map
!
class-map inspection_default
match default-inspection-traffic
class-map outside-class
match port tcp eq www
!

  • Utilizzare il comando show run policy-map per visualizzare i mapping dei criteri configurati.

    ciscoasa# sh run policy-map
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
policy-map outside-policy
 description Policy on outside interface
 class outside-class
  inspect http
!

  • Utilizzare il comando show run service-policy per visualizzare i criteri dei servizi configurati.

    ciscoasa# sh run service-policy
service-policy outside-policy interface outside

Informazioni correlate

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
25-Nov-2010
Versione iniziale

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti