Ejemplo de Configuración de Filtrado URL en PIX/ASA Contenido Introducción Prerrequisitos Componentes Utilizados Convenciones Antecedentes Configuración de ASA/PIX con la CLI Diagrama de Red Identificación del Servidor de Filtrado Configuración de la Política de Filtrado Filtrado URL Avanzado Configuración Configuración de ASA/PIX con ASDM Verificación Troubleshooting Introducción En este documento, se explica cómo configurar el filtrado URL en un dispositivo de seguridad. El filtrado de tráfico posee las siguientes ventajas: Puede ayudar a reducir los riesgos de seguridad y evitar usos inadecuados. Puede proporcionar mayor control del tráfico que pasa a través del dispositivo de seguridad. Nota: Debido a que el filtrado URL utiliza el CPU de manera intensiva, el uso de un servidor de filtrado externo garantiza que no se afecte el rendimiento de otro tipo de tráfico. Sin embargo, dependiendo de la velocidad de la red y la capacidad del servidor de filtrado URL, el tiempo que se requiere para la conexión inicial puede ser notablemente más lento cuando se filtra el tráfico con un servidor de filtrado externo. Prerrequisitos Componentes Utilizados La información de este documento se basa en las siguientes versiones de software y hardware: PIX 500 Series Security Appliance con versión 6.2 o posteriores ASA 5500 Series Security Appliance con versión 7.x o posteriores Adaptive Security Device Manager (ADSM) 6.0 La información de este documento se creó a partir de los dispositivos en un entorno específico de laboratorio. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración vacía (predeterminada). Si su red está en funcionamiento, asegúrese de comprender el posible efecto de los comandos. Convenciones Consulte las Cisco Technical Tips Conventions para obtener más información sobre las convenciones del documento. Antecedentes Las peticiones de conexión que se originan desde una red más segura hacia una red menos segura se pueden filtrar. Aunque se pueden utilizar listas de control de acceso (ACL) para evitar el acceso de salida a servidores de contenido específico, resulta difícil administrar el uso de esta manera debido al tamaño y a la naturaleza dinámica de Internet. Se puede simplificar la configuración y mejorar el rendimiento del dispositivo de seguridad utilizando un servidor independiente que ejecute uno de los siguientes productos para filtrado de Internet: Websense Enterprise: Filtros HTTP, HTTPS y FTP. Se puede utilizar con firewall PIX versión 5.3 y posteriores. Secure Computing SmartFilter (antes conocido como N2H2): Filtra HTTP, HTTPS, FTP y realiza el filtrado de direcciones URL largas. Se puede utilizar con firewall PIX versión 6.2 y posteriores. En comparación con las listas de control de acceso, se reduce la tarea administrativa y se mejora la efectividad del filtrado. Además, debido a que el filtrado de direcciones URL se maneja en una plataforma independiente, se afecta mucho menos el rendimiento del firewall PIX. Sin embargo, cuando el servidor de filtrado está en una ubicación remota con respecto al dispositivo de seguridad, los usuarios pueden percibir que el tiempo de acceso a sitios Web o servidores FTP es mayor. El firewall PIX controla las peticiones salientes de direcciones URL con la política definida en el servidor de filtrado URL. Dependiendo de la respuesta del servidor de filtrado, el firewall PIX permite o deniega la conexión. Cuando el filtrado está activado y se envía una petición de contenido a través del dispositivo de seguridad, la petición se envía al servidor de contenido y al servidor de filtrado al mismo tiempo. Si el servidor de filtrado permite la conexión, el dispositivo de seguridad reenvía la respuesta desde el servidor de contenido al cliente donde se originó la petición. Si el servidor de filtrado deniega la conexión, el dispositivo de seguridad descarta la respuesta y envía un mensaje o código de retorno que indica que la conexión no ha tenido éxito. Si la autenticación de usuario está habilitada en el dispositivo de seguridad, éste envía también el nombre de usuario al servidor de filtrado. El servidor de filtrado puede utilizar configuraciones de filtrado específicas para cada usuario o proporcionar mejores informes con respecto al uso. Configuración de ASA/PIX con la CLI En esta sección, encontrará la información para configurar las funciones descritas en este documento. Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más infomación sobre los comandos utilizados en esta sección. Diagrama de Red En este documento, se utiliza la siguiente configuración de red: En este ejemplo, el servidor de filtrado URL se encuentra en una red DMZ. Los usuarios finales que se encuentran dentro de la red intentan acceder al servidor Web que se encuentra fuera de la red a través de Internet. Durante la petición de servidor Web que realiza el usuario, se realizan los siguientes pasos: 1. El usuario final navega hacia una página del servidor Web y el explorador envía una petición HTTP. 2. Después de que el dispositivo de seguridad recibe esta petición, la reenvía al servidor Web y al mismo tiempo extrae la dirección URL y envía una solicitud de búsqueda al servidor de filtrado URL. 3. Después de que el servidor de filtrado URL recibe la solicitud de búsqueda, revisa su base de datos para determinar si se permite o se niega la dirección URL. Devuelve un estado de permiso o negación con una respuesta de búsqueda al firewall Cisco IOS®. 4. El dispositivo de seguridad recibe esta respuesta de búsqueda y realiza una de las siguientes acciones: Si la respuesta de búsqueda permite la dirección URL, se envía la respuesta HTTP al usuario final. Si la respuesta de búsqueda deniega la dirección URL, el servidor de filtrado URL redirige al usuario a su propio servidor Web interno, el cual muestra un mensaje que describe la categoría en la que está bloqueada la dirección URL. A partir de ese momento, se restablece la conexión en ambos extremos. Identificación del Servidor de Filtrado Se debe identificar la dirección del servidor de filtrado con el comando url-server. Se debe utilizar la forma adecuada de este comando según el tipo de servidor de filtrado que se utiliza. Nota: Para el software versión 7.x o posterior, se pueden identificar hasta cuatro servidores de filtrado para cada contexto. El dispositivo de seguridad utiliza los servidores por orden hasta que responde un servidor. Sólo se puede configurar un tipo único de servidor en la configuración, Websense o N2H2. Websense Websense es un software de filtrado de terceros que puede filtrar peticiones HTTP en función de las siguientes políticas: nombre del host de destino dirección IP de destino palabras clave nombre de usuario El software conserva una base de datos de direcciones URL de más de 20 millones de sitios organizados en más de 60 categorías y subcategorías. Software versión 6.2: url-server [(if_name)] vendor websense host local_ip [timeout seconds] [protocol {TCP | UDP} version] El comando url-server designa el servidor que ejecuta la aplicación de filtrado URL Websense o N2H2. El límite es de 16 servidores URL. Sin embargo, sólo se puede utilizar una aplicación a la vez, ya sea N2H2 o Websense. Además, si se cambia la configuración en el firewall PIX, no se actualizará la configuración en el servidor de aplicaciones. Esto debe hacerse por separado, siguiendo las instrucciones de cada proveedor en particular. Software versión 7.x y posteriores: pix(config)# url-server (if_name) host local_ip [timeout seconds] [protocol TCP | UDP version 1|4 [connections num_conns] ] Reemplace if_name por el nombre de la interfaz del dispositivo de seguridad que está conectada al servidor de filtrado. El nombre predeterminado es inside. Reemplace local_ip por la dirección IP del servidor de filtrado. Reemplace seconds por la cantidad de segundos que el dispositivo de seguridad debe continuar con sus intentos de conectarse al servidor de filtrado. Utilice la opción protocol para especificar si desea utilizar TCP o UDP. Con un servidor Websense, también se puede especificar la versión de TCP (version) que se desea utilizar. El valor predeterminado es TCP versión 1. La versión 4 de TCP permite que el firewall PIX envíe nombres de usuario autenticados e información de registro de direcciones URL al servidor Websense si el firewall PIX ya ha autenticado el usuario. Por ejemplo, para identificar un servidor de filtrado Websense único, emita el siguiente comando: hostname(config)#url-server (DMZ) vendor websense host 192.168.15.15 protocol TCP version 4 Secure Computing SmartFilter PIX versión 6.2: pix(config)#url-server [(if_name)] vendor n2h2 host local_ip[:port number] [timeout <seconds>] [protocol TCP | UDP] Software versiones 7.0 y 7.1: hostname(config)#url-server (if_name) vendor n2h2 host local_ip[:port number] [timeout seconds] [protocol TCP connections number | UDP [connections num_conns]] Software versión 7.2 y posteriores: hostname(config)#url-server (if_name) vendor {secure-computing | n2h2} host <local_ip> [port <number>] [timeout <seconds>] [protocol {TCP [connections <number>]} | UDP] Para vendor {secure-computing | n2h2}, se puede utilizar secure-computing como secuencia de caracteres de un proveedor. Sin embargo, se acepta n2h2 para tener compatibilidad con versiones anteriores. Al generar las entradas de configuración, se guarda secure-computing como secuencia de caracteres de un proveedor. Reemplace if_name por el nombre de la interfaz del dispositivo de seguridad que está conectada al servidor de filtrado. El nombre predeterminado es inside. Reemplace local_ip por la dirección IP del servidor de filtrado y port <number> por el número de puerto deseado. Nota: El servidor de Secure Computing SmartFilter utiliza el puerto 4005 como puerto predeterminado para comunicarse con el dispositivo de seguridad con TCP o UDP. Reemplace seconds por la cantidad de segundos que el dispositivo de seguridad debe continuar con sus intentos de conectarse al servidor de filtrado. Utilice la opción protocol para especificar si desea utilizar TCP o UDP. La cantidad de intentos para establecer una conexión entre el host y el servidor está dada por connections <number>. Por ejemplo, para identificar un servidor de filtrado N2H2 único, emita el siguiente comando: hostname(config)#url-server (DMZ) vendor n2h2 host 192.168.15.15 port 4444 timeout 45 protocol tcp connections 10 Si desea utilizar los valores predeterminados, emita el siguiente comando: hostname(config)#url-server (DMZ) vendor n2h2 host 192.168.15.15 Configuración de la Política de Filtrado Nota: Se debe identificar y activar el servidor de filtrado URL antes de activar el filtrado URL. Activación del Filtrado URL Cuando el servidor de filtrado aprueba una petición de conexión HTTP, el dispositivo de seguridad permite que la respuesta desde el servidor Web alcance al cliente que originó la petición. Si el servidor de filtrado deniega la petición, el dispositivo de seguridad redirecciona al usuario a una página de bloqueo que indica que se deniega el acceso. Emita el comando filter url para configurar la política utilizada para filtrar direcciones URL: PIX versión 6.2: filter url [http | port[-port] local_ip local_mask foreign_ip foreign_mask] [allow] [proxy-block] [longurl-truncate | longurl-deny] [cgi-truncate] Software versión 7.x y posteriores: filter url [http | port[-port] local_ip local_mask foreign_ip foreign_mask] [allow] [proxy-block] [longurl-truncate | longurl-deny] [cgi-truncate] Reemplace port por el número del puerto en el que se debe filtrar el tráfico HTTP si se utiliza un puerto que no sea el predeterminado para HTTP (80). Para identificar un rango de números de puerto, ingrese el comienzo y el final del intervalo separados por un guión. Cuando el filtro está activado, el dispositivo de seguridad detiene el tráfico HTTP saliente hasta que un servidor de filtrado permite la conexión. Si el servidor de filtrado primario no responde, el dispositivo de seguridad envía la solicitud de filtrado al servidor de filtrado secundario. La opción allow hace que el dispositivo de seguridad reenvíe el tráfico HTTP sin filtrar cuando el servidor de filtrado primario no está disponible. Emita el comando proxy-block para descartar todas las peticiones realizadas a servidores proxy. Nota: El resto de los parámetros se utilizan para truncar las direcciones URL largas. Truncamiento de Direcciones URL HTTP Largas Cuando la dirección URL es más larga que lo permitido, la opción longurl-truncate hace que el dispositivo de seguridad envíe solamente el nombre del host o la porción de la dirección IP de la dirección URL para que el servidor de filtrado la evalúe. Utilice la opción longurl-deny para denegar el tráfico URL saliente si la dirección URL es más larga que el máximo permitido. Utilice la opción cgi-truncate para truncar direcciones URL CGI e incluir solamente la ubicación del script de CGI y el nombre del script sin parámetros. El siguiente es un ejemplo general de configuración de filtrado: hostname(config)#filter url http 192.168.5.0 255.255.255.0 172.30.21.99 255.255.255.255 allow proxy-block longurl-truncate cgi-truncate Exención del Tráfico a Filtrar Si desea hacer una excepción a la política de filtrado general, emita el siguiente comando: filter url except local_ip local_mask foreign_ip foreign_mask] Reemplace local_ip y local_mask por la dirección IP y la máscara de subred de un usuario o de la subred que desea eximir de las restricciones de filtrado. Reemplace foreign_ip y foreign_mask por la dirección IP y la máscara de subred de un servidor o de la subred que desea eximir de las restricciones de filtrado. Por ejemplo, el siguiente comando hace que todas las peticiones HTTP a 172.30.21.99 de los hosts internos sean reenviadas al servidor de filtrado, excepto las peticiones del host 192.168.5.5: El siguiente es un ejemplo de configuración de una excepción: hostname(config)#filter url except 192.168.5.5 255.255.255.255 172.30.21.99 255.255.255.255 Filtrado URL Avanzado En esta sección, encontrará información sobre parámetros de filtrado avanzado, que incluye los siguientes temas: almacenamiento en buffer almacenamiento en memoria caché soporte de direcciones URL largas Almacenamiento en Buffer de las Respuestas del Servidor Web Cuando un usuario emite una petición para conectarse a un servidor de contenido, el dispositivo de seguridad envía la petición al servidor de contenido y al servidor de filtrado al mismo tiempo. Si el servidor de filtrado no responde antes que el servidor de contenido, se descarta la respuesta del servidor. Desde el punto de vista del cliente Web, esto retrasa la respuesta del servidor Web porque el cliente debe volver a emitir la petición. Si se activa el buffer de respuestas HTTP, las respuestas de los servidores de contenido Web se almacenan en buffer y dichas repuestas se reenvían al cliente que realiza la petición si el servidor de filtrado permite la conexión. Esto evita el retraso que se puede producir en caso contrario. Complete los siguientes pasos para almacenar en buffer las respuestas a las peticiones HTTP: 1. Emita el siguiente comando para activar el almacenamiento en buffer de las respuestas a las peticiones HTTP que esperan una respuesta del servidor de filtrado: hostname(config)#url-block block block-buffer-limit Reemplace block-buffer-limit por la cantidad máxima de bloqueos que se deben almacenar en buffer. 2. Emita el siguiente comando para configurar el máximo de memoria disponible para almacenar en buffer las direcciones URL pendientes y para almacenar en buffer las direcciones URL largas con Websense: hostname(config)#url-block url-mempool memory-pool-size Reemplace memory-pool-size por un valor entre 2 y 10240 para un máximo de asignación de memoria de 2 KB a 10 MB. Direcciones del Servidor Caché Después de que un usuario accede a un sitio, el servidor de filtrado puede permitir que el dispositivo de seguridad almacene en la memoria caché la dirección del servidor por un tiempo determinado, siempre y cuando todos los sitios alojados en la dirección pertenezcan a una categoría permitida en todo momento. Cuando el usuario accede al servidor nuevamente, o si otro usuario accede al servidor, no es necesario que el dispositivo de seguridad consulte al servidor de filtrado nuevamente. Si es necesario mejorar el rendimiento, emita el comando url-cache: hostname(config)#url-cache dst | src_dst size Reemplace size por un valor para el tamaño de la memoria caché que se encuentre dentro del rango de 1 a 128 (KB). Utilice la palabra clave dst para almacenar entradas en la memoria caché dependiendo de la dirección URL de destino. Seleccione este modo si todos los usuarios comparten la misma política de filtrado URL en el servidor Websense. Utilice la palabra clave src_dst para almacenar entradas en la memoria caché dependiendo de la dirección de origen que inicia la petición de dirección URL y de la dirección URL de destino. Seleccione este modo si los usuarios no comparten la misma política de filtrado URL en el servidor Websense. Activación del Filtrado de Direcciones URL Largas De forma predeterminada, el dispositivo de seguridad considera que una dirección URL HTTP es larga si supera los 1159 caracteres. Con el siguiente comando, se puede aumentar el largo máximo permitido para una única dirección URL: hostname(config)#url-block url-size long-url-size Reemplace long-url-size por el tamaño máximo en KB para cada dirección URL larga que debe ser almacenada en buffer. Por ejemplo, los siguientes comandos configuran el dispositivo de seguridad para el filtrado URL avanzado: hostname(config)#url-block block 10 hostname(config)#url-block url-mempool 2 hostname(config)#url-cache dst 100 hostname(config)#url-block url-size 2 Configuración La siguiente configuración incluye los comandos descritos en este documento: Configuración de ASA 8.0 ciscoasa#show running-config : Saved : ASA Version 8.0(2) ! hostname ciscoasa domain-name Security.lab.com enable password 2kxsYuz/BehvglCF encrypted no names dns-guard ! interface GigabitEthernet0/0 speed 100 duplex full nameif outside security-level 0 ip address 172.30.21.222 255.255.255.0 ! interface GigabitEthernet0/1 description INSIDE nameif inside security-level 100 ip address 192.168.5.11 255.255.255.0 ! interface GigabitEthernet0/2 description LAN/STATE Failover Interface shutdown ! interface GigabitEthernet0/3 description DMZ nameif DMZ security-level 50 ip address 192.168.15.1 255.255.255.0 ! interface Management0/0 no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted boot system disk0:/asa802-k8.bin ftp mode passive clock timezone CST -6 clock summer-time CDT recurring dns server-group DefaultDNS domain-name Security.lab.com same-security-traffic permit intra-interface pager lines 20 logging enable logging buffer-size 40000 logging asdm-buffer-size 200 logging monitor debugging logging buffered informational logging trap warnings logging asdm informational logging mail debugging logging from-address [email protected] mtu outside 1500 mtu inside 1500 mtu DMZ 1500 no failover failover lan unit primary failover lan interface interface GigabitEthernet0/2 failover link interface GigabitEthernet0/2 no monitor-interface outside icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-602.bin asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 route outside 0.0.0.0 0.0.0.0 172.30.21.244 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute ldap attribute-map tomtom dynamic-access-policy-record DfltAccessPolicy url-server (DMZ) vendor websense host 192.168.15.15 timeout 30 protocol TCP version 1 connections 5 url-cache dst 100 aaa authentication ssh console LOCAL aaa authentication enable console LOCAL aaa authentication telnet console LOCAL filter url except 192.168.5.5 255.255.255.255 172.30.21.99 255.255.255.255 filter url http 192.168.5.0 255.255.255.0 172.30.21.99 255.255.255.255 allow proxy-block longurl-truncate cgi-truncate http server enable http 172.30.0.0 255.255.0.0 outside no snmp-server location no snmp-server contact telnet 0.0.0.0 0.0.0.0 inside telnet timeout 5 ssh 0.0.0.0 0.0.0.0 inside ssh timeout 60 console timeout 0 management-access inside dhcpd address 192.168.5.12-192.168.5.20 inside dhcpd enable inside ! threat-detection basic-threat threat-detection statistics access-list ! class-map inspection_default match default-inspection-traffic ! ! policy-map global_policy class inspection_default inspect inspect inspect inspect inspect inspect inspect inspect inspect inspect inspect inspect ftp h323 h225 h323 ras rsh sqlnet skinny sunrpc xdmcp sip netbios tftp icmp ! service-policy global_policy global url-block url-mempool 2 url-block url-size 2 url-block block 10 username fwadmin password aDRVKThrSs46pTjG encrypted privilege 15 prompt hostname context Cryptochecksum:db208a243faa71f9b3e92491a6ed2105 : end Configuración de ASA/PIX con ASDM En esta sección, se demuestra cómo configurar el filtrado de direcciones URL para el dispositivo de seguridad con el Adaptive Security Device Manager (ASDM). Después de iniciar el ASDM, complete los siguientes pasos: 1. Elija el panel Configuration. 2. Haga clic en Firewall en la lista que se muestra en el panel Configuration. 3. En el menú desplegable Firewall, elija URL Filtering Servers. Elija el tipo de Servidor de Filtrado de direcciones URL que desea utilizar y haga clic en Add para configurar sus parámetros. Nota: Se debe agregar el servidor de filtrado antes de configurar el filtrado para HTTP, HTTPS o las reglas de filtrado FTP. 4. Elija los parámetros adecuados en la ventana emergente: Interface: Muestra la interfaz conectada al servidor de filtrado. IP Address: Muestra la dirección IP del servidor de filtrado. Timeout: Muestra la cantidad de segundos después de los cuales caduca la petición al servidor de filtrado. Protocol: Muestra el protocolo utilizado para comunicarse con el servidor de filtrado. El valor predeterminado es TCP versión 1. La versión 4 de TCP permite que el firewall PIX envíe nombres de usuario autenticados e información de registro de direcciones URL al servidor Websense si el firewall PIX ya ha autenticado el usuario. TCP Connections: Muestra la cantidad máxima de conexiones TCP permitidas para comunicarse con el servidor de filtrado de direcciones URL. Después de ingresar los parámetros, haga clic en OK en la ventana emergente y haga clic en Apply en la ventana principal. 5. En el menú desplegable Firewall, elija Filter Rules. Haga clic en el botón Add de la ventana principal y elija el tipo de regla que desea agregar. En este ejemplo, se elige Add Filter HTTP Rule. 6. Una vez que aparece la ventana emergente, se puede hacer clic en los botones de exploración para las opciones Source, Destination y Service de modo tal de elegir los parámetros adecuados. 7. De la siguiente manera, se muestra la ventana de exploración para la opción Source. Realice su selección y haga clic en OK. 8. Después de completar la selección de todos los parámetros, haga clic en OK para continuar. 9. Una vez que están configurados los parámetros adecuados, haga clic en Apply para enviar los cambios. 10. Para las opciones de filtrado avanzado de direcciones URL, elija URL Filtering Servers nuevamente de el menú desplegable Firewall y haga clic en el botón Advanced de la ventana principal. 11. En la ventana emergente, configure los parámetros, tales como el tamaño de la memoria caché para direcciones URL, el tamaño del buffer de direcciones URL y el soporte para direcciones URL largas. Para continuar, haga clic en OK en la ventana emergente y haga clic en Apply en la ventana principal. 12. Por último, antes de terminar la sesión ASDM, asegúrese de guardar los cambios realizados. Verificación Utilice los comandos que aparecen en esta sección para ver la información de filtrado URL. Se pueden utilizar los siguientes comandos para verificar la configuración: La herramienta Output Interpreter (sólo para clientes registrados) soporta ciertos comandos show. Utilice la OIT para ver un análisis de los resultados de los comandos show. show url-server: Muestra información sobre el servidor de filtrado. Por ejemplo: hostname#show url-server url-server (DMZ) vendor n2h2 host 192.168.15.15 port 4444 timeout 45 protocol tcp connections 10 En el software versión 7.2 y posteriores, emita la forma show running-config url-server de este comando. show url-server stats: Muestra información y estadísticas sobre el servidor de filtrado. Para el software versión 7.2, emita la forma show running-config url-server statistics de este comando. En el software versión 8.0 y posteriores, emita la forma show url-server statistics de este comando. Por ejemplo: hostname#show url-server statistics Global Statistics: -------------------URLs total/allowed/denied URLs allowed by cache/server URLs denied by cache/server HTTPSs total/allowed/denied HTTPSs allowed by cache/server HTTPSs denied by cache/server FTPs total/allowed/denied FTPs allowed by cache/server FTPs denied by cache/server Requests dropped Server timeouts/retries Processed rate average 60s/300s Denied rate average 60s/300s Dropped rate average 60s/300s 13/3/10 0/3 0/10 138/137/1 0/137 0/1 0/0/0 0/0 0/0 0 0/0 0/0 requests/second 0/0 requests/second 0/0 requests/second Server Statistics: -------------------192.168.15.15 Vendor Port Requests total/allowed/denied Server timeouts/retries Responses received Response time average 60s/300s UP websense 15868 151/140/11 0/0 151 0/0 URL Packets Sent and Received Stats: -----------------------------------Message Sent Received STATUS_REQUEST 1609 1601 LOOKUP_REQUEST 1526 1526 LOG_REQUEST 0 NA Errors: ------RFC noncompliant GET method URL buffer update failure 0 0 show url-block: Muestra la configuración del buffer de bloqueo de direcciones URL. Por ejemplo: hostname#show url-block url-block url-mempool 128 url-block url-size 4 url-block block 128 En el software versión 7.2 y posteriores, emita la forma show running-config url-block de este comando. show url-block block statistics: Muestra las estadísticas de bloqueo de direcciones URL. Por ejemplo: hostname#show url-block block statistics URL Pending Packet Buffer Stats with max block 128 ----------------------------------------------------Cumulative number of packets held: 896 Maximum number of packets held (per URL): 3 Current number of packets held (global): 38 Packets dropped due to exceeding url-block buffer limit: 7546 HTTP server retransmission: 10 Number of packets released back to client: 0 Para el software versión 7.2, emita la forma show running-config url-block block statistics de este comando. show url-cache stats: Muestra cómo se utiliza la memoria caché. Por ejemplo: hostname#show url-cache stats URL Filter Cache Stats ---------------------Size : 128KB Entries : 1724 In Use : 456 Lookups : 45 Hits : 8 En el software versión 8.0, emita la forma show url-cache statistics de este comando. show perfmon: Muestra las estadísticas de rendimiento del filtrado URL y otras estadísticas de rendimiento. Las estadísticas de filtrado se muestran en las filas URL Access y URL Server Req. Por ejemplo: hostname#show perfmon PERFMON STATS: Xlates Connections TCP Conns UDP Conns URL Access URL Server Req TCP Fixup TCPIntercept HTTP Fixup FTP Fixup AAA Authen AAA Author AAA Account Current 0/s 0/s 0/s 0/s 0/s 0/s 0/s 0/s 0/s 0/s 0/s 0/s 0/s Average 0/s 2/s 2/s 0/s 2/s 3/s 0/s 0/s 3/s 0/s 0/s 0/s 0/s show filter: Muestra la configuración de filtrado. Por ejemplo: hostname#show filter filter url http 192.168.5.5 255.255.255.255 172.30.21.99 255.255.255.255 allow proxy-block longurltruncate cgi-truncate En el software versión 7.2 y posteriores, emita la forma show running-config filter de este comando. Troubleshooting Actualmente, no hay información específica disponible sobre troubleshooting para esta configuración. © 1992-2014 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 9 Septiembre 2008 http://www.cisco.com/cisco/web/support/LA/9/98/98151_pix_asa_url_filtering.html