Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Ejemplo de Configuración de Filtrado URL en PIX/ASA

Anuncio 
Ejemplo de Configuración de Filtrado URL en PIX/ASA
Contenido
Introducción
Prerrequisitos
Componentes Utilizados
Convenciones
Antecedentes
Configuración de ASA/PIX con la CLI
Diagrama de Red
Identificación del Servidor de Filtrado
Configuración de la Política de Filtrado
Filtrado URL Avanzado
Configuración
Configuración de ASA/PIX con ASDM
Verificación
Troubleshooting
Introducción
En este documento, se explica cómo configurar el filtrado URL en un dispositivo de seguridad.
El filtrado de tráfico posee las siguientes ventajas:
Puede ayudar a reducir los riesgos de seguridad y evitar usos inadecuados.
Puede proporcionar mayor control del tráfico que pasa a través del dispositivo de seguridad.
Nota: Debido a que el filtrado URL utiliza el CPU de manera intensiva, el uso de un servidor de filtrado externo garantiza que no se afecte el
rendimiento de otro tipo de tráfico. Sin embargo, dependiendo de la velocidad de la red y la capacidad del servidor de filtrado URL, el tiempo
que se requiere para la conexión inicial puede ser notablemente más lento cuando se filtra el tráfico con un servidor de filtrado externo.
Prerrequisitos
Componentes Utilizados
La información de este documento se basa en las siguientes versiones de software y hardware:
PIX 500 Series Security Appliance con versión 6.2 o posteriores
ASA 5500 Series Security Appliance con versión 7.x o posteriores
Adaptive Security Device Manager (ADSM) 6.0
La información de este documento se creó a partir de los dispositivos en un entorno específico de laboratorio. Todos los dispositivos que se
utilizan en este documento se iniciaron con una configuración vacía (predeterminada). Si su red está en funcionamiento, asegúrese de comprender
el posible efecto de los comandos.
Convenciones
Consulte las Cisco Technical Tips Conventions para obtener más información sobre las convenciones del documento.
Antecedentes
Las peticiones de conexión que se originan desde una red más segura hacia una red menos segura se pueden filtrar. Aunque se pueden utilizar
listas de control de acceso (ACL) para evitar el acceso de salida a servidores de contenido específico, resulta difícil administrar el uso de esta
manera debido al tamaño y a la naturaleza dinámica de Internet. Se puede simplificar la configuración y mejorar el rendimiento del dispositivo de
seguridad utilizando un servidor independiente que ejecute uno de los siguientes productos para filtrado de Internet:
Websense Enterprise: Filtros HTTP, HTTPS y FTP. Se puede utilizar con firewall PIX versión 5.3 y posteriores.
Secure Computing SmartFilter (antes conocido como N2H2): Filtra HTTP, HTTPS, FTP y realiza el filtrado de direcciones URL largas. Se
puede utilizar con firewall PIX versión 6.2 y posteriores.
En comparación con las listas de control de acceso, se reduce la tarea administrativa y se mejora la efectividad del filtrado. Además, debido a que
el filtrado de direcciones URL se maneja en una plataforma independiente, se afecta mucho menos el rendimiento del firewall PIX. Sin embargo,
cuando el servidor de filtrado está en una ubicación remota con respecto al dispositivo de seguridad, los usuarios pueden percibir que el tiempo
de acceso a sitios Web o servidores FTP es mayor.
El firewall PIX controla las peticiones salientes de direcciones URL con la política definida en el servidor de filtrado URL. Dependiendo de la
respuesta del servidor de filtrado, el firewall PIX permite o deniega la conexión.
Cuando el filtrado está activado y se envía una petición de contenido a través del dispositivo de seguridad, la petición se envía al servidor de
contenido y al servidor de filtrado al mismo tiempo. Si el servidor de filtrado permite la conexión, el dispositivo de seguridad reenvía la respuesta
desde el servidor de contenido al cliente donde se originó la petición. Si el servidor de filtrado deniega la conexión, el dispositivo de seguridad
descarta la respuesta y envía un mensaje o código de retorno que indica que la conexión no ha tenido éxito.
Si la autenticación de usuario está habilitada en el dispositivo de seguridad, éste envía también el nombre de usuario al servidor de filtrado. El
servidor de filtrado puede utilizar configuraciones de filtrado específicas para cada usuario o proporcionar mejores informes con respecto al uso.
Configuración de ASA/PIX con la CLI
En esta sección, encontrará la información para configurar las funciones descritas en este documento.
Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más infomación sobre los comandos utilizados en esta
sección.
Diagrama de Red
En este documento, se utiliza la siguiente configuración de red:
En este ejemplo, el servidor de filtrado URL se encuentra en una red DMZ. Los usuarios finales que se encuentran dentro de la red intentan
acceder al servidor Web que se encuentra fuera de la red a través de Internet.
Durante la petición de servidor Web que realiza el usuario, se realizan los siguientes pasos:
1. El usuario final navega hacia una página del servidor Web y el explorador envía una petición HTTP.
2. Después de que el dispositivo de seguridad recibe esta petición, la reenvía al servidor Web y al mismo tiempo extrae la dirección URL y
envía una solicitud de búsqueda al servidor de filtrado URL.
3. Después de que el servidor de filtrado URL recibe la solicitud de búsqueda, revisa su base de datos para determinar si se permite o se niega
la dirección URL. Devuelve un estado de permiso o negación con una respuesta de búsqueda al firewall Cisco IOS®.
4. El dispositivo de seguridad recibe esta respuesta de búsqueda y realiza una de las siguientes acciones:
Si la respuesta de búsqueda permite la dirección URL, se envía la respuesta HTTP al usuario final.
Si la respuesta de búsqueda deniega la dirección URL, el servidor de filtrado URL redirige al usuario a su propio servidor Web
interno, el cual muestra un mensaje que describe la categoría en la que está bloqueada la dirección URL. A partir de ese momento, se
restablece la conexión en ambos extremos.
Identificación del Servidor de Filtrado
Se debe identificar la dirección del servidor de filtrado con el comando url-server. Se debe utilizar la forma adecuada de este comando según el
tipo de servidor de filtrado que se utiliza.
Nota: Para el software versión 7.x o posterior, se pueden identificar hasta cuatro servidores de filtrado para cada contexto. El dispositivo de
seguridad utiliza los servidores por orden hasta que responde un servidor. Sólo se puede configurar un tipo único de servidor en la configuración,
Websense o N2H2.
Websense
Websense es un software de filtrado de terceros que puede filtrar peticiones HTTP en función de las siguientes políticas:
nombre del host de destino
dirección IP de destino
palabras clave
nombre de usuario
El software conserva una base de datos de direcciones URL de más de 20 millones de sitios organizados en más de 60 categorías y subcategorías.
Software versión 6.2:
url-server [(if_name)] vendor websense host local_ip [timeout seconds] [protocol {TCP | UDP} version]
El comando url-server designa el servidor que ejecuta la aplicación de filtrado URL Websense o N2H2. El límite es de 16 servidores
URL. Sin embargo, sólo se puede utilizar una aplicación a la vez, ya sea N2H2 o Websense. Además, si se cambia la configuración en el
firewall PIX, no se actualizará la configuración en el servidor de aplicaciones. Esto debe hacerse por separado, siguiendo las instrucciones
de cada proveedor en particular.
Software versión 7.x y posteriores:
pix(config)# url-server (if_name) host local_ip [timeout seconds] [protocol TCP | UDP version 1|4 [connections
num_conns] ]
Reemplace if_name por el nombre de la interfaz del dispositivo de seguridad que está conectada al servidor de filtrado. El nombre
predeterminado es inside. Reemplace local_ip por la dirección IP del servidor de filtrado. Reemplace seconds por la cantidad de segundos
que el dispositivo de seguridad debe continuar con sus intentos de conectarse al servidor de filtrado.
Utilice la opción protocol para especificar si desea utilizar TCP o UDP. Con un servidor Websense, también se puede especificar la versión de
TCP (version) que se desea utilizar. El valor predeterminado es TCP versión 1. La versión 4 de TCP permite que el firewall PIX envíe
nombres de usuario autenticados e información de registro de direcciones URL al servidor Websense si el firewall PIX ya ha autenticado el
usuario.
Por ejemplo, para identificar un servidor de filtrado Websense único, emita el siguiente comando:
hostname(config)#url-server (DMZ) vendor websense host 192.168.15.15 protocol TCP version 4
Secure Computing SmartFilter
PIX versión 6.2:
pix(config)#url-server [(if_name)] vendor n2h2 host local_ip[:port number] [timeout <seconds>] [protocol TCP | UDP]
Software versiones 7.0 y 7.1:
hostname(config)#url-server (if_name) vendor n2h2 host local_ip[:port number] [timeout seconds] [protocol TCP
connections number | UDP [connections num_conns]]
Software versión 7.2 y posteriores:
hostname(config)#url-server (if_name) vendor {secure-computing | n2h2} host <local_ip> [port <number>] [timeout
<seconds>] [protocol {TCP [connections <number>]} | UDP]
Para vendor {secure-computing | n2h2}, se puede utilizar secure-computing como secuencia de caracteres de un
proveedor. Sin embargo, se acepta n2h2 para tener compatibilidad con versiones anteriores. Al generar las entradas de configuración, se
guarda secure-computing como secuencia de caracteres de un proveedor.
Reemplace if_name por el nombre de la interfaz del dispositivo de seguridad que está conectada al servidor de filtrado. El nombre
predeterminado es inside. Reemplace local_ip por la dirección IP del servidor de filtrado y port <number> por el número de puerto
deseado.
Nota: El servidor de Secure Computing SmartFilter utiliza el puerto 4005 como puerto predeterminado para comunicarse con el dispositivo de
seguridad con TCP o UDP.
Reemplace seconds por la cantidad de segundos que el dispositivo de seguridad debe continuar con sus intentos de conectarse al servidor de
filtrado. Utilice la opción protocol para especificar si desea utilizar TCP o UDP.
La cantidad de intentos para establecer una conexión entre el host y el servidor está dada por connections <number>.
Por ejemplo, para identificar un servidor de filtrado N2H2 único, emita el siguiente comando:
hostname(config)#url-server (DMZ) vendor n2h2 host 192.168.15.15 port 4444 timeout 45 protocol tcp connections 10
Si desea utilizar los valores predeterminados, emita el siguiente comando:
hostname(config)#url-server (DMZ) vendor n2h2 host 192.168.15.15
Configuración de la Política de Filtrado
Nota: Se debe identificar y activar el servidor de filtrado URL antes de activar el filtrado URL.
Activación del Filtrado URL
Cuando el servidor de filtrado aprueba una petición de conexión HTTP, el dispositivo de seguridad permite que la respuesta desde el servidor
Web alcance al cliente que originó la petición. Si el servidor de filtrado deniega la petición, el dispositivo de seguridad redirecciona al usuario a
una página de bloqueo que indica que se deniega el acceso.
Emita el comando filter url para configurar la política utilizada para filtrar direcciones URL:
PIX versión 6.2:
filter url [http | port[-port] local_ip local_mask foreign_ip foreign_mask] [allow] [proxy-block] [longurl-truncate |
longurl-deny] [cgi-truncate]
Software versión 7.x y posteriores:
filter url [http | port[-port] local_ip local_mask foreign_ip foreign_mask] [allow] [proxy-block] [longurl-truncate |
longurl-deny] [cgi-truncate]
Reemplace port por el número del puerto en el que se debe filtrar el tráfico HTTP si se utiliza un puerto que no sea el predeterminado para
HTTP (80). Para identificar un rango de números de puerto, ingrese el comienzo y el final del intervalo separados por un guión.
Cuando el filtro está activado, el dispositivo de seguridad detiene el tráfico HTTP saliente hasta que un servidor de filtrado permite la conexión.
Si el servidor de filtrado primario no responde, el dispositivo de seguridad envía la solicitud de filtrado al servidor de filtrado secundario. La
opción allow hace que el dispositivo de seguridad reenvíe el tráfico HTTP sin filtrar cuando el servidor de filtrado primario no está disponible.
Emita el comando proxy-block para descartar todas las peticiones realizadas a servidores proxy.
Nota: El resto de los parámetros se utilizan para truncar las direcciones URL largas.
Truncamiento de Direcciones URL HTTP Largas
Cuando la dirección URL es más larga que lo permitido, la opción longurl-truncate hace que el dispositivo de seguridad envíe solamente
el nombre del host o la porción de la dirección IP de la dirección URL para que el servidor de filtrado la evalúe.
Utilice la opción longurl-deny para denegar el tráfico URL saliente si la dirección URL es más larga que el máximo permitido.
Utilice la opción cgi-truncate para truncar direcciones URL CGI e incluir solamente la ubicación del script de CGI y el nombre del script
sin parámetros.
El siguiente es un ejemplo general de configuración de filtrado:
hostname(config)#filter url http 192.168.5.0 255.255.255.0 172.30.21.99 255.255.255.255 allow proxy-block longurl-truncate
cgi-truncate
Exención del Tráfico a Filtrar
Si desea hacer una excepción a la política de filtrado general, emita el siguiente comando:
filter url except local_ip local_mask foreign_ip foreign_mask]
Reemplace local_ip y local_mask por la dirección IP y la máscara de subred de un usuario o de la subred que desea eximir de las
restricciones de filtrado.
Reemplace foreign_ip y foreign_mask por la dirección IP y la máscara de subred de un servidor o de la subred que desea eximir de las
restricciones de filtrado.
Por ejemplo, el siguiente comando hace que todas las peticiones HTTP a 172.30.21.99 de los hosts internos sean reenviadas al servidor de
filtrado, excepto las peticiones del host 192.168.5.5:
El siguiente es un ejemplo de configuración de una excepción:
hostname(config)#filter url except 192.168.5.5 255.255.255.255 172.30.21.99 255.255.255.255
Filtrado URL Avanzado
En esta sección, encontrará información sobre parámetros de filtrado avanzado, que incluye los siguientes temas:
almacenamiento en buffer
almacenamiento en memoria caché
soporte de direcciones URL largas
Almacenamiento en Buffer de las Respuestas del Servidor Web
Cuando un usuario emite una petición para conectarse a un servidor de contenido, el dispositivo de seguridad envía la petición al servidor de
contenido y al servidor de filtrado al mismo tiempo. Si el servidor de filtrado no responde antes que el servidor de contenido, se descarta la
respuesta del servidor. Desde el punto de vista del cliente Web, esto retrasa la respuesta del servidor Web porque el cliente debe volver a emitir la
petición.
Si se activa el buffer de respuestas HTTP, las respuestas de los servidores de contenido Web se almacenan en buffer y dichas repuestas se
reenvían al cliente que realiza la petición si el servidor de filtrado permite la conexión. Esto evita el retraso que se puede producir en caso
contrario.
Complete los siguientes pasos para almacenar en buffer las respuestas a las peticiones HTTP:
1. Emita el siguiente comando para activar el almacenamiento en buffer de las respuestas a las peticiones HTTP que esperan una respuesta del
servidor de filtrado:
hostname(config)#url-block block block-buffer-limit
Reemplace block-buffer-limit por la cantidad máxima de bloqueos que se deben almacenar en buffer.
2. Emita el siguiente comando para configurar el máximo de memoria disponible para almacenar en buffer las direcciones URL pendientes y
para almacenar en buffer las direcciones URL largas con Websense:
hostname(config)#url-block url-mempool memory-pool-size
Reemplace memory-pool-size por un valor entre 2 y 10240 para un máximo de asignación de memoria de 2 KB a 10 MB.
Direcciones del Servidor Caché
Después de que un usuario accede a un sitio, el servidor de filtrado puede permitir que el dispositivo de seguridad almacene en la memoria caché
la dirección del servidor por un tiempo determinado, siempre y cuando todos los sitios alojados en la dirección pertenezcan a una categoría
permitida en todo momento. Cuando el usuario accede al servidor nuevamente, o si otro usuario accede al servidor, no es necesario que el
dispositivo de seguridad consulte al servidor de filtrado nuevamente.
Si es necesario mejorar el rendimiento, emita el comando url-cache:
hostname(config)#url-cache dst | src_dst size
Reemplace size por un valor para el tamaño de la memoria caché que se encuentre dentro del rango de 1 a 128 (KB).
Utilice la palabra clave dst para almacenar entradas en la memoria caché dependiendo de la dirección URL de destino. Seleccione este modo si
todos los usuarios comparten la misma política de filtrado URL en el servidor Websense.
Utilice la palabra clave src_dst para almacenar entradas en la memoria caché dependiendo de la dirección de origen que inicia la petición de
dirección URL y de la dirección URL de destino. Seleccione este modo si los usuarios no comparten la misma política de filtrado URL en el
servidor Websense.
Activación del Filtrado de Direcciones URL Largas
De forma predeterminada, el dispositivo de seguridad considera que una dirección URL HTTP es larga si supera los 1159 caracteres. Con el
siguiente comando, se puede aumentar el largo máximo permitido para una única dirección URL:
hostname(config)#url-block url-size long-url-size
Reemplace long-url-size por el tamaño máximo en KB para cada dirección URL larga que debe ser almacenada en buffer.
Por ejemplo, los siguientes comandos configuran el dispositivo de seguridad para el filtrado URL avanzado:
hostname(config)#url-block block 10 hostname(config)#url-block url-mempool 2 hostname(config)#url-cache dst 100
hostname(config)#url-block url-size 2
Configuración
La siguiente configuración incluye los comandos descritos en este documento:
Configuración de ASA 8.0
ciscoasa#show running-config
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
domain-name Security.lab.com
enable password 2kxsYuz/BehvglCF encrypted
no names
dns-guard
!
interface GigabitEthernet0/0
speed 100
duplex full
nameif outside
security-level 0
ip address 172.30.21.222 255.255.255.0
!
interface GigabitEthernet0/1
description INSIDE
nameif inside
security-level 100
ip address 192.168.5.11 255.255.255.0
!
interface GigabitEthernet0/2
description LAN/STATE Failover Interface
shutdown
!
interface GigabitEthernet0/3
description DMZ
nameif DMZ
security-level 50
ip address 192.168.15.1 255.255.255.0
!
interface Management0/0
no nameif
no security-level
no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
clock timezone CST -6
clock summer-time CDT recurring
dns server-group DefaultDNS
domain-name Security.lab.com
same-security-traffic permit intra-interface
pager lines 20
logging enable
logging buffer-size 40000
logging asdm-buffer-size 200
logging monitor debugging
logging buffered informational
logging trap warnings
logging asdm informational
logging mail debugging
logging from-address [email protected]
mtu outside 1500
mtu inside 1500
mtu DMZ 1500
no failover
failover lan unit primary
failover lan interface interface GigabitEthernet0/2
failover link interface GigabitEthernet0/2
no monitor-interface outside
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 172.30.21.244 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
ldap attribute-map tomtom
dynamic-access-policy-record DfltAccessPolicy
url-server (DMZ) vendor websense host 192.168.15.15 timeout 30 protocol
TCP version 1 connections 5
url-cache dst 100
aaa authentication ssh console LOCAL
aaa authentication enable console LOCAL
aaa authentication telnet console LOCAL
filter url except 192.168.5.5 255.255.255.255 172.30.21.99 255.255.255.255
filter url http 192.168.5.0 255.255.255.0 172.30.21.99 255.255.255.255 allow
proxy-block longurl-truncate cgi-truncate
http server enable
http 172.30.0.0 255.255.0.0 outside
no snmp-server location
no snmp-server contact
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 inside
ssh timeout 60
console timeout 0
management-access inside
dhcpd address 192.168.5.12-192.168.5.20 inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect
inspect
inspect
inspect
inspect
inspect
inspect
inspect
inspect
inspect
inspect
inspect
ftp
h323 h225
h323 ras
rsh
sqlnet
skinny
sunrpc
xdmcp
sip
netbios
tftp
icmp
!
service-policy global_policy global
url-block url-mempool 2
url-block url-size 2
url-block block 10
username fwadmin password aDRVKThrSs46pTjG encrypted privilege 15
prompt hostname context
Cryptochecksum:db208a243faa71f9b3e92491a6ed2105
: end
Configuración de ASA/PIX con ASDM
En esta sección, se demuestra cómo configurar el filtrado de direcciones URL para el dispositivo de seguridad con el Adaptive Security Device
Manager (ASDM).
Después de iniciar el ASDM, complete los siguientes pasos:
1. Elija el panel Configuration.
2. Haga clic en Firewall en la lista que se muestra en el panel Configuration.
3. En el menú desplegable Firewall, elija URL Filtering Servers. Elija el tipo de Servidor de Filtrado de direcciones URL que desea utilizar
y haga clic en Add para configurar sus parámetros.
Nota: Se debe agregar el servidor de filtrado antes de configurar el filtrado para HTTP, HTTPS o las reglas de filtrado FTP.
4. Elija los parámetros adecuados en la ventana emergente:
Interface: Muestra la interfaz conectada al servidor de filtrado.
IP Address: Muestra la dirección IP del servidor de filtrado.
Timeout: Muestra la cantidad de segundos después de los cuales caduca la petición al servidor de filtrado.
Protocol: Muestra el protocolo utilizado para comunicarse con el servidor de filtrado. El valor predeterminado es TCP versión 1. La
versión 4 de TCP permite que el firewall PIX envíe nombres de usuario autenticados e información de registro de direcciones URL
al servidor Websense si el firewall PIX ya ha autenticado el usuario.
TCP Connections: Muestra la cantidad máxima de conexiones TCP permitidas para comunicarse con el servidor de filtrado de
direcciones URL.
Después de ingresar los parámetros, haga clic en OK en la ventana emergente y haga clic en Apply en la ventana principal.
5. En el menú desplegable Firewall, elija Filter Rules. Haga clic en el botón Add de la ventana principal y elija el tipo de regla que desea
agregar. En este ejemplo, se elige Add Filter HTTP Rule.
6. Una vez que aparece la ventana emergente, se puede hacer clic en los botones de exploración para las opciones Source, Destination y
Service de modo tal de elegir los parámetros adecuados.
7. De la siguiente manera, se muestra la ventana de exploración para la opción Source. Realice su selección y haga clic en OK.
8. Después de completar la selección de todos los parámetros, haga clic en OK para continuar.
9. Una vez que están configurados los parámetros adecuados, haga clic en Apply para enviar los cambios.
10. Para las opciones de filtrado avanzado de direcciones URL, elija URL Filtering Servers nuevamente de el menú desplegable Firewall y
haga clic en el botón Advanced de la ventana principal.
11. En la ventana emergente, configure los parámetros, tales como el tamaño de la memoria caché para direcciones URL, el tamaño del buffer
de direcciones URL y el soporte para direcciones URL largas. Para continuar, haga clic en OK en la ventana emergente y haga clic en
Apply en la ventana principal.
12. Por último, antes de terminar la sesión ASDM, asegúrese de guardar los cambios realizados.
Verificación
Utilice los comandos que aparecen en esta sección para ver la información de filtrado URL. Se pueden utilizar los siguientes comandos para
verificar la configuración:
La herramienta Output Interpreter (sólo para clientes registrados) soporta ciertos comandos show. Utilice la OIT para ver un análisis de los resultados
de los comandos show.
show url-server: Muestra información sobre el servidor de filtrado.
Por ejemplo:
hostname#show url-server url-server (DMZ) vendor n2h2 host 192.168.15.15 port 4444 timeout 45 protocol tcp connections
10
En el software versión 7.2 y posteriores, emita la forma show running-config url-server de este comando.
show url-server stats: Muestra información y estadísticas sobre el servidor de filtrado.
Para el software versión 7.2, emita la forma show running-config url-server statistics de este comando.
En el software versión 8.0 y posteriores, emita la forma show url-server statistics de este comando.
Por ejemplo:
hostname#show url-server statistics
Global Statistics:
-------------------URLs total/allowed/denied
URLs allowed by cache/server
URLs denied by cache/server
HTTPSs total/allowed/denied
HTTPSs allowed by cache/server
HTTPSs denied by cache/server
FTPs total/allowed/denied
FTPs allowed by cache/server
FTPs denied by cache/server
Requests dropped
Server timeouts/retries
Processed rate average 60s/300s
Denied rate average 60s/300s
Dropped rate average 60s/300s
13/3/10
0/3
0/10
138/137/1
0/137
0/1
0/0/0
0/0
0/0
0
0/0
0/0 requests/second
0/0 requests/second
0/0 requests/second
Server Statistics:
-------------------192.168.15.15
Vendor
Port
Requests total/allowed/denied
Server timeouts/retries
Responses received
Response time average 60s/300s
UP
websense
15868
151/140/11
0/0
151
0/0
URL Packets Sent and Received Stats:
-----------------------------------Message
Sent
Received
STATUS_REQUEST
1609
1601
LOOKUP_REQUEST
1526
1526
LOG_REQUEST
0
NA
Errors:
------RFC noncompliant GET method
URL buffer update failure
0
0
show url-block: Muestra la configuración del buffer de bloqueo de direcciones URL.
Por ejemplo:
hostname#show url-block
url-block url-mempool 128
url-block url-size 4
url-block block 128
En el software versión 7.2 y posteriores, emita la forma show running-config url-block de este comando.
show url-block block statistics: Muestra las estadísticas de bloqueo de direcciones URL.
Por ejemplo:
hostname#show url-block block statistics
URL Pending Packet Buffer Stats with max block 128
----------------------------------------------------Cumulative number of packets held:
896
Maximum number of packets held (per URL):
3
Current number of packets held (global):
38
Packets dropped due to
exceeding url-block buffer limit:
7546
HTTP server retransmission:
10
Number of packets released back to client:
0
Para el software versión 7.2, emita la forma show running-config url-block block statistics de este comando.
show url-cache stats: Muestra cómo se utiliza la memoria caché.
Por ejemplo:
hostname#show url-cache stats
URL Filter Cache Stats
---------------------Size :
128KB
Entries :
1724
In Use :
456
Lookups :
45
Hits :
8
En el software versión 8.0, emita la forma show url-cache statistics de este comando.
show perfmon: Muestra las estadísticas de rendimiento del filtrado URL y otras estadísticas de rendimiento. Las estadísticas de filtrado se
muestran en las filas URL Access y URL Server Req.
Por ejemplo:
hostname#show perfmon
PERFMON STATS:
Xlates
Connections
TCP Conns
UDP Conns
URL Access
URL Server Req
TCP Fixup
TCPIntercept
HTTP Fixup
FTP Fixup
AAA Authen
AAA Author
AAA Account
Current
0/s
0/s
0/s
0/s
0/s
0/s
0/s
0/s
0/s
0/s
0/s
0/s
0/s
Average
0/s
2/s
2/s
0/s
2/s
3/s
0/s
0/s
3/s
0/s
0/s
0/s
0/s
show filter: Muestra la configuración de filtrado.
Por ejemplo:
hostname#show filter filter url http 192.168.5.5 255.255.255.255 172.30.21.99 255.255.255.255 allow proxy-block longurltruncate cgi-truncate
En el software versión 7.2 y posteriores, emita la forma show running-config filter de este comando.
Troubleshooting
Actualmente, no hay información específica disponible sobre troubleshooting para esta configuración.
© 1992-2014 Cisco Systems Inc. Todos los Derechos Reservados.
Fecha de Generación del PDF: 9 Septiembre 2008
http://www.cisco.com/cisco/web/support/LA/9/98/98151_pix_asa_url_filtering.html
Documentos relacionados
Módulo no encontrado
Módulo no encontrado
Datos para la evaluación de las REA
Datos para la evaluación de las REA
gl-filtro-de-contenidos-de
gl-filtro-de-contenidos-de
garcia gilberto
garcia gilberto
Plantilla de empleos
Plantilla de empleos
Estructura del XML de Cursos de Enae: cursos> curso> nombre
Estructura del XML de Cursos de Enae: cursos> curso> nombre
2016.05.04 Informe DG Presupuestos
2016.05.04 Informe DG Presupuestos
La información a ingresar se realiza sobre listas desplegables. Si
La información a ingresar se realiza sobre listas desplegables. Si
Descargar
Anuncio
Anuncio