Dit document legt uit hoe u URL-filtering op een security applicatie moet configureren.
Het filteren van verkeer heeft deze voordelen:
Het kan helpen veiligheidsrisico's te verminderen en ongepast gebruik te verhinderen.
U hebt meer controle over het verkeer dat door het security apparaat stroomt.
Opmerking: omdat URL-filtering CPU-intensief is, zorgt het gebruik van een externe filterserver ervoor dat de doorvoersnelheid van ander verkeer niet wordt beïnvloed. Op basis van de snelheid van uw netwerk en de capaciteit van uw URL-filtreerserver kan de tijd die nodig is voor de eerste verbinding echter aanzienlijk langzamer zijn wanneer verkeer wordt gefilterd met een externe filtreerserver.
Opmerking: het filteren van een lager beveiligingsniveau naar een hoger wordt niet ondersteund. URL-filtering werkt alleen voor uitgaand verkeer, bijvoorbeeld verkeer dat afkomstig is van een hoge beveiligingsinterface die bestemd is voor een server op een lage beveiligingsinterface.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
PIX 500 Series security applicatie met versie 6.2 en hoger
ASA 5500 Series security applicatie met versie 7.x en hoger
Adaptieve security apparaatbeheer (ASDM) 6.0
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
U kunt verbindingsverzoeken filteren die afkomstig zijn van een veiliger netwerk naar een minder veilig netwerk. Hoewel u toegangscontrolelijsten (ACL’s) kunt gebruiken om uitgaande toegang tot specifieke inhoudsservers te voorkomen, is het moeilijk om het gebruik op deze manier te beheren vanwege de omvang en de dynamische aard van het internet. U kunt de configuratie vereenvoudigen en de prestaties van uw security applicatie verbeteren met behulp van een afzonderlijke server die een van deze Internet filtering producten draait:
Websense Enterprise - filters HTTP, HTTPS en FTP. Het wordt ondersteund door PIX firewall versie 5.3 en hoger.
Secure Computing SmartFilter, voorheen bekend als N2H2-filters HTTP, HTTPS, FTP en lange URL-filtering. Het wordt ondersteund door PIX firewall versie 6.2 en hoger.
Vergeleken met het gebruik van toegangscontrolelijsten, vermindert dit de administratieve taak en verbetert het filtreren doeltreffendheid. Omdat URL-filtering op een afzonderlijk platform wordt uitgevoerd, worden de prestaties van de PIX-firewall ook veel minder beïnvloed. Gebruikers kunnen echter langere toegangstijden voor websites of FTP-servers opmerken wanneer de filterserver ver van het security apparaat is verwijderd.
De PIX firewall controleert uitgaande URL-verzoeken met het beleid dat op de URL-filtreerserver is gedefinieerd. De PIX-firewall maakt de verbinding mogelijk of ontkent deze, op basis van de respons van de filterserver.
Als filtering is ingeschakeld en een verzoek om inhoud via het security apparaat wordt doorgestuurd, wordt het verzoek tegelijkertijd naar de inhoudsserver en naar de filtreerserver gestuurd. Als de filtreerserver de verbinding toestaat, stuurt het security apparaat de reactie van de inhoudsserver door naar de client die de aanvraag heeft gemaakt. Als de filtreerserver de verbinding ontkent, laat het security apparaat de reactie vallen en verstuurt een bericht of retourcode die aangeeft dat de verbinding niet succesvol is.
Als de gebruikersverificatie op het security apparaat is ingeschakeld, stuurt het security apparaat ook de gebruikersnaam naar de filterserver. De filterserver kan gebruikerspecifieke filterinstellingen gebruiken of uitgebreide rapporten over het gebruik ervan verstrekken.
Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.
Opmerking: Gebruik de Command Lookup Tool (alleen geregistreerde klanten) om meer informatie te verkrijgen over de opdrachten die in deze sectie worden gebruikt.
Het netwerk in dit document is als volgt opgebouwd:
In dit voorbeeld bevindt de URL-filtreerserver zich in een DMZ-netwerk. Eindgebruikers die zich in het netwerk bevinden, proberen via internet toegang te krijgen tot de webserver die zich buiten het netwerk bevindt.
Deze stappen worden voltooid tijdens het gebruikersverzoek voor de webserver:
De eindgebruiker bladert naar een pagina op de webserver en de browser stuurt een HTTP-aanvraag.
Nadat het beveiligingstoestel dit verzoek heeft ontvangen, stuurt het het verzoek naar de webserver en haalt tegelijkertijd de URL en stuurt een opzoekverzoek naar de URL-filterserver.
Nadat de URL-filtreerserver het opzoekverzoek ontvangt, controleert deze zijn database om te bepalen of de URL moet worden toegestaan of geweigerd. Het retourneert een vergunning of ontkent status met een look-up reactie op de Cisco IOS® firewall.
Het security apparaat ontvangt deze look-up reactie en voert een van deze functies uit:
Als de follow-up-reactie de URL toestaat, wordt de HTTP-reactie naar de eindgebruiker verzonden.
Als de opzoekreactie de URL ontkent, verwijst de URL-filtreerserver de gebruiker naar zijn eigen interne webserver, die een bericht toont dat de categorie beschrijft waaronder de URL wordt geblokkeerd. Daarna wordt de verbinding aan beide uiteinden hersteld.
U moet het adres van de filterserver identificeren met de opdracht url-server. U moet het juiste formulier van deze opdracht gebruiken, gebaseerd op het type filterserver dat u gebruikt.
Opmerking: voor softwareversie 7.x en hoger kunt u maximaal vier filterservers identificeren voor elke context. Het beveiligingstoestel gebruikt de servers in volgorde totdat een server reageert. U kunt slechts één type server, Websense of N2H2, in uw configuratie configureren.
Websense is een software van derden die HTTP-aanvragen kan filteren op basis van dit beleid:
doel hostnaam
IP-adres van bestemming
trefwoorden
gebruikersnaam
De software onderhoudt een URL database van meer dan 20 miljoen sites georganiseerd in meer dan 60 categorieën en subcategorieën.
Software versie 6.2:
url-server [(if_name)] vendor websense host local_ip [timeout seconds] [protocol {TCP | UDP} version]
De opdracht url-server wijst de server aan die de N2H2- of Websense URL-filtertoepassing uitvoert. De limiet is 16 URL servers. U kunt echter maar één toepassing tegelijk gebruiken, N2H2 of Websense. Bovendien, als u uw configuratie op de firewall PIX verandert, werkt het niet de configuratie op de toepassingsserver bij. Dit moet afzonderlijk gebeuren, op basis van de instructies van de individuele verkoper.
Software versie 7.x en hoger:
pix(config)# url-server (if_name) host local_ip [timeout seconds] [protocol TCP | UDP version 1|4 [connections num_conns] ]
Vervang if_name door de naam van de interface van het security apparaat die is aangesloten op de filterserver. De standaardinstelling staat binnen. Vervang local_ip door het IP-adres van de filterserver. Vervang de seconden door het aantal seconden dat het beveiligingsapparaat moet blijven proberen verbinding te maken met de filterserver.
Gebruik de protocoloptie om te specificeren of u TCP of UDP wilt gebruiken. Met een Websense server, kunt u ook de versie van TCP specificeren die u wilt gebruiken. TCP versie 1 is de standaardinstelling. TCP versie 4 stelt de PIX firewall in staat om geverifieerde gebruikersnamen en URL-loggegevens naar de Websense-server te verzenden als de PIX-firewall de gebruiker al heeft geverifieerd.
Bijvoorbeeld, om één enkele Websense het filtreren server te identificeren, geef deze opdracht uit:
hostname(config)#url-server (DMZ) vendor websense host 192.168.15.15 protocol TCP version 4
PIX versie 6.2:
pix(config)#url-server [(if_name)] vendor n2h2 host local_ip[:port number] [timeout] [protocol TCP | UDP]
Software versies 7.0 en 7.1:
hostname(config)#url-server (if_name) vendor n2h2 host local_ip[:port number] [timeout seconds] [protocol TCP connections number | UDP [connections num_conns]]
Software versie 7.2 en hoger:
hostname(config)#url-server (if_name) vendor {secure-computing | n2h2} host[port ] [timeout ] [protocol {TCP [connections ]} | UDP]
Voor de leverancier {Secure-Computing | n2h2}, kunt u beveiligde computing gebruiken als een leverancierskoord. Echter, n2h2 is acceptabel voor achterwaartse compatibiliteit. Wanneer de configuratie-ingangen worden gegenereerd, wordt secure-computing opgeslagen als de leverancierskoord.
Vervang if_name door de naam van de interface van het security apparaat die is aangesloten op de filterserver. De standaardinstelling staat binnen. Vervang local_ip door het IP-adres van de filterserver en poort <nummer> met het gewenste poortnummer.
Opmerking: de standaardpoort die door de Secure Computing SmartFilter-server wordt gebruikt om met het security apparaat te communiceren met TCP of UDP is poort 4005.
Vervang de seconden door het aantal seconden dat het beveiligingsapparaat moet blijven proberen verbinding te maken met de filterserver. Gebruik de protocoloptie om te specificeren of u TCP of UDP wilt gebruiken.
De verbindingen <number> is het aantal keren dat moet worden geprobeerd om een verbinding te maken tussen de host en de server.
Om bijvoorbeeld één N2H2-filterserver te identificeren, moet u deze opdracht geven:
hostname(config)#url-server (DMZ) vendor n2h2 host 192.168.15.15 port 4444 timeout 45 protocol tcp connections 10
Of, als u standaardwaarden wilt gebruiken, geef dit bevel uit:
hostname(config)#url-server (DMZ) vendor n2h2 host 192.168.15.15
Opmerking: u moet de URL-filtreerserver identificeren en inschakelen voordat u URL-filtering inschakelt.
Wanneer de filtreerserver een HTTP-verbindingsverzoek goedkeurt, stelt het security apparaat het antwoord van de webserver in staat om de client te bereiken die het verzoek heeft gegenereerd. Als de filtreerserver het verzoek ontkent, leidt het security apparaat de gebruiker naar een blokpagina die aangeeft dat de toegang wordt geweigerd.
Geef de opdracht filter url uit om het beleid te configureren dat wordt gebruikt om URL's te filteren:
PIX versie 6.2:
filter url [http | port[-port] local_ip local_mask foreign_ip foreign_mask] [allow] [proxy-block] [longurl-truncate | longurl-deny] [cgi-truncate]
Software versie 7.x en hoger:
filter url [http | port[-port] local_ip local_mask foreign_ip foreign_mask] [allow] [proxy-block] [longurl-truncate | longurl-deny] [cgi-truncate]
Vervang poort door het poortnummer waarop HTTP-verkeer moet worden gefilterd als een andere poort dan de standaardpoort voor HTTP (80) wordt gebruikt. Voer het begin en het einde van het bereik in, gescheiden door een koppelteken om een bereik van poortnummers te identificeren.
Als filtering is ingeschakeld, stopt het security apparaat uitgaand HTTP-verkeer tot een filtreerserver de verbinding toestaat. Als de primaire filterserver niet reageert, stuurt het beveiligingsapparaat het filterverzoek door naar de secundaire filterserver. Met de optie Toestaan kunt u HTTP-verkeer doorsturen zonder te filteren wanneer de primaire filterserver niet beschikbaar is.
Geef het proxy-block commando uit om alle verzoeken naar proxy servers te laten vallen.
Opmerking: de rest van de parameters wordt gebruikt om lange URL's in te korten.
De long-truncate optie veroorzaakt het veiligheidstoestel om slechts de gastheernaam of IP adresgedeelte van URL voor evaluatie naar de het filtreren server te verzenden wanneer URL langer is dan de maximum toegestane lengte.
Gebruik de optie longurl-deny om uitgaand URL-verkeer te weigeren als de URL langer is dan het maximum toegestaan.
Gebruik de optie cgi-truncate om CGI URL's te beknotten, zodat deze alleen de CGI script locatie en de script naam zonder parameters bevatten.
Dit is een algemeen voorbeeld van filterconfiguratie:
hostname(config)#filter url http 192.168.5.0 255.255.255.0 172.30.21.99 255.255.255.255 allow proxy-block longurl-truncate cgi-truncate
Als u een uitzondering wilt maken op het algemene filterbeleid, geeft u deze opdracht uit:
filter url except local_ip local_mask foreign_ip foreign_mask]
Vervang local_ip en local_mask door het IP adres en subnetmasker van een gebruiker of subnetwerk dat u wilt vrijstellen van filterbeperkingen.
Vervang foreign_ip en foreign_mask met het IP adres en subnetmasker van een server of subnetwerk dat u wilt vrijstellen van filtering beperkingen.
Deze opdracht zorgt er bijvoorbeeld voor dat alle HTTP-verzoeken naar 172.30.21.99, van de interne hosts, worden doorgestuurd naar de filterserver, behalve de verzoeken van host 192.168.5.5:
Dit is een configuratievoorbeeld voor een uitzondering:
hostname(config)#filter url except 192.168.5.5 255.255.255.255 172.30.21.99 255.255.255.255
Deze sectie verstrekt informatie over geavanceerde het filtreren parameters, die deze onderwerpen omvat:
buffering
caching
lange URL-ondersteuning
Wanneer een gebruiker een verzoek doet om verbinding te maken met een inhoudsserver, stuurt het beveiligingsapparaat het verzoek tegelijkertijd naar de inhoudsserver en de filterserver. Als de filtreerserver niet reageert voor de inhoudsserver, wordt de serverrespons verbroken. Dit vertraagt de reactie van de webserver vanuit het oogpunt van de webclient omdat de client het verzoek moet heruitgeven.
Als u de HTTP-responsbuffer inschakelt, worden de antwoorden van web content servers gebufferd en worden de antwoorden doorgestuurd naar de client die het verzoek doet als de filtreerserver de verbinding toestaat. Dit voorkomt de vertraging die anders kan optreden.
Voltooi de volgende stappen om antwoorden op HTTP-verzoeken te bufferen:
Om het bufferen van antwoorden voor HTTP-verzoeken die in afwachting zijn van een antwoord van de filtreerserver mogelijk te maken, geeft u deze opdracht:
hostname(config)#url-block block block-buffer-limit
Vervang de block-buffer-limiet door het maximale aantal blokken dat moet worden gebufferd.
Om het maximale geheugen te configureren dat beschikbaar is voor bufferen van hangende URL's en om lange URL's te bufferen met Websense, geef deze opdracht:
hostname(config)#url-block url-mempool memory-pool-size
Vervang de grootte van de geheugenpool door een waarde van 2 tot 10240 voor een maximale geheugentoewijzing van 2 KB tot 10 MB.
Nadat een gebruiker toegang heeft tot een site, kan de filtreerserver het beveiligingstoestel toestaan om het serveradres een bepaalde tijd in de cache te plaatsen, zolang elke site die op het adres wordt gehost zich in een categorie bevindt die te allen tijde is toegestaan. Als de gebruiker vervolgens weer toegang heeft tot de server of als een andere gebruiker toegang heeft tot de server, hoeft het security apparaat niet opnieuw de filtreerserver te raadplegen.
Geef indien nodig de url-cache-opdracht uit om de doorvoersnelheid te verbeteren:
hostname(config)#url-cache dst | src_dst size
Vervang de grootte door een waarde voor de cachegrootte binnen bereik van 1 tot 128 (KB).
Gebruik het dst sleutelwoord om ingangen in het voorgeheugen onder te brengen die op het URL bestemmingsadres worden gebaseerd. Selecteer deze modus als alle gebruikers hetzelfde URL-filterbeleid op de Websense-server delen.
Gebruik het sleutelwoord src_dst om berichten in het cache te plaatsen op basis van zowel het bronadres dat het URL-verzoek initieert als het URL-doeladres. Selecteer deze modus als gebruikers niet hetzelfde URL-filterbeleid op de Websense-server delen.
Standaard beschouwt het beveiligingstoestel een HTTP-URL als een lange URL als deze groter is dan 1159 tekens. U kunt de maximale lengte voor één URL verhogen met deze opdracht:
hostname(config)#url-block url-size long-url-size
Vervang long-url-size door de maximale grootte in KB als elke lange URL moet worden gebufferd.
Met deze opdrachten kunt u het beveiligingstoestel bijvoorbeeld configureren voor geavanceerde URL-filtering:
hostname(config)#url-block block 10 hostname(config)#url-block url-mempool 2 hostname(config)#url-cache dst 100 hostname(config)#url-block url-size 2
Deze configuratie bevat de opdrachten die in dit document worden beschreven:
ASA 8.0-configuratie |
---|
ciscoasa#show running-config : Saved : ASA Version 8.0(2) ! hostname ciscoasa domain-name Security.lab.com enable password 2kxsYuz/BehvglCF encrypted no names dns-guard ! interface GigabitEthernet0/0 speed 100 duplex full nameif outside security-level 0 ip address 172.30.21.222 255.255.255.0 ! interface GigabitEthernet0/1 description INSIDE nameif inside security-level 100 ip address 192.168.5.11 255.255.255.0 ! interface GigabitEthernet0/2 description LAN/STATE Failover Interface shutdown ! interface GigabitEthernet0/3 description DMZ nameif DMZ security-level 50 ip address 192.168.15.1 255.255.255.0 ! interface Management0/0 no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted boot system disk0:/asa802-k8.bin ftp mode passive clock timezone CST -6 clock summer-time CDT recurring dns server-group DefaultDNS domain-name Security.lab.com same-security-traffic permit intra-interface pager lines 20 logging enable logging buffer-size 40000 logging asdm-buffer-size 200 logging monitor debugging logging buffered informational logging trap warnings logging asdm informational logging mail debugging logging from-address aaa@cisco.com mtu outside 1500 mtu inside 1500 mtu DMZ 1500 no failover failover lan unit primary failover lan interface interface GigabitEthernet0/2 failover link interface GigabitEthernet0/2 no monitor-interface outside icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-602.bin asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 route outside 0.0.0.0 0.0.0.0 172.30.21.244 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute ldap attribute-map tomtom dynamic-access-policy-record DfltAccessPolicy url-server (DMZ) vendor websense host 192.168.15.15 timeout 30 protocol TCP version 1 connections 5 url-cache dst 100 aaa authentication ssh console LOCAL aaa authentication enable console LOCAL aaa authentication telnet console LOCAL filter url except 192.168.5.5 255.255.255.255 172.30.21.99 255.255.255.255 filter url http 192.168.5.0 255.255.255.0 172.30.21.99 255.255.255.255 allow proxy-block longurl-truncate cgi-truncate http server enable http 172.30.0.0 255.255.0.0 outside no snmp-server location no snmp-server contact telnet 0.0.0.0 0.0.0.0 inside telnet timeout 5 ssh 0.0.0.0 0.0.0.0 inside ssh timeout 60 console timeout 0 management-access inside dhcpd address 192.168.5.12-192.168.5.20 inside dhcpd enable inside ! threat-detection basic-threat threat-detection statistics access-list ! class-map inspection_default match default-inspection-traffic ! ! policy-map global_policy class inspection_default inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect icmp ! service-policy global_policy global url-block url-mempool 2 url-block url-size 2 url-block block 10 username fwadmin password aDRVKThrSs46pTjG encrypted privilege 15 prompt hostname context Cryptochecksum:db208a243faa71f9b3e92491a6ed2105 : end |
Deze paragraaf laat zien hoe u URL-filtering voor het security apparaat kunt configureren met Adaptive Security Device Manager (ASDM).
Nadat u ASDM hebt gestart, voltooit u de volgende stappen:
Kies het deelvenster Configuratie.
Klik op Firewall in de lijst in het deelvenster Configuratie.
Kies in de vervolgkeuzelijst Firewall URL-filtreerservers. Kies het type URL-filtreerserver dat u wilt gebruiken en klik op Toevoegen om de parameters te configureren.
Opmerking: u moet de filterserver toevoegen voordat u het filteren op HTTP-, HTTPS- of FTP-filterregels kunt configureren.
Kies de gewenste parameters in het pop-upvenster:
Interface—Hier wordt de interface weergegeven die is aangesloten op de filterserver
IP-adres: hiermee wordt het IP-adres van de filterserver weergegeven
Time-out—Hier wordt het aantal seconden weergegeven waarna de aanvraag naar de filtreerserver wordt verzonden
Protocol—Hier wordt het protocol weergegeven dat wordt gebruikt om met de filtreerserver te communiceren. TCP versie 1 is de standaardinstelling. TCP versie 4 stelt de PIX firewall in staat om geverifieerde gebruikersnamen en URL-loggegevens naar de Websense-server te verzenden, als de PIX-firewall de gebruiker al heeft geverifieerd
TCP-verbinding—Hier wordt het maximale aantal TCP-verbindingen weergegeven dat mag communiceren met de URL-filtreerserver
Nadat u de parameters hebt ingevoerd, klikt u op OK in het pop-upvenster en vervolgens op Toepassen in het hoofdvenster.
Kies Filterregels in de vervolgkeuzelijst Firewall. Klik op de knop Toevoegen in het hoofdvenster en kies het type regel dat u wilt toevoegen. In dit voorbeeld wordt de Add Filter HTTP Rule gekozen.
Zodra het pop-up venster verschijnt, kunt u op de browseknoppen voor Bron, Bestemming en Service opties klikken om de juiste parameters te kiezen.
Dit toont het venster voor de bronoptie. Maak uw selectie en klik op OK.
Nadat u de selectie voor alle parameters hebt voltooid, klikt u op OK om verder te gaan.
Als de juiste parameters zijn ingesteld, klikt u op Toepassen om de wijzigingen te verzenden.
Voor geavanceerde URL-filteropties kiest u opnieuw URL-filtreerservers uit de vervolgkeuzelijst Firewall en klikt u op de knop Geavanceerd in het hoofdvenster.
Configureer de parameters, zoals de URL-cachegrootte, de URL-buffergrootte en de ondersteuning van de lange URL in het pop-upvenster. Klik op OK in het pop-upvenster en klik op Toepassen in het hoofdvenster om verder te gaan.
Tot slot moet u ervoor zorgen dat u de wijzigingen opslaat die u aanbrengt voordat u de ASDM-sessie afsluit.
Gebruik de opdrachten in deze sectie om URL-filterinformatie weer te geven. U kunt deze opdrachten gebruiken om de configuratie te controleren.
De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik OIT om een analyse van show opdrachtoutput te bekijken.
url-server tonen—Informatie over de filterserver weergeven
Voorbeeld:
hostname#show url-server url-server (DMZ) vendor n2h2 host 192.168.15.15 port 4444 timeout 45 protocol tcp connections 10
In softwareversie 7.2 en hoger, geef de show in werking stelt -in werking stellen-config url-server vorm van dit bevel uit.
toon url-server stats-Toont informatie en statistieken over de het filtreren server
Voor softwareversie 7.2, geef de show in werking stelt -in werking stellen-Config url-server statistieken vorm van dit bevel uit.
In softwareversie 8.0 en hoger, geef de show url-server statistiek vorm van deze opdracht.
Voorbeeld:
hostname#show url-server statistics Global Statistics: -------------------- URLs total/allowed/denied 13/3/10 URLs allowed by cache/server 0/3 URLs denied by cache/server 0/10 HTTPSs total/allowed/denied 138/137/1 HTTPSs allowed by cache/server 0/137 HTTPSs denied by cache/server 0/1 FTPs total/allowed/denied 0/0/0 FTPs allowed by cache/server 0/0 FTPs denied by cache/server 0/0 Requests dropped 0 Server timeouts/retries 0/0 Processed rate average 60s/300s 0/0 requests/second Denied rate average 60s/300s 0/0 requests/second Dropped rate average 60s/300s 0/0 requests/second Server Statistics: -------------------- 192.168.15.15 UP Vendor websense Port 15868 Requests total/allowed/denied 151/140/11 Server timeouts/retries 0/0 Responses received 151 Response time average 60s/300s 0/0 URL Packets Sent and Received Stats: ------------------------------------ Message Sent Received STATUS_REQUEST 1609 1601 LOOKUP_REQUEST 1526 1526 LOG_REQUEST 0 NA Errors: ------- RFC noncompliant GET method 0 URL buffer update failure 0
url-block tonen—Toont de configuratie van de URL-blokbuffer
Voorbeeld:
hostname#show url-block url-block url-mempool 128 url-block url-size 4 url-block block 128
In softwareversie 7.2 en hoger, geef de show in werking stelt -in werking stellen-config url-blok vorm van dit bevel uit.
toon url-block blokstatistieken-toont de URL blokstatistieken
Voorbeeld:
hostname#show url-block block statistics URL Pending Packet Buffer Stats with max block 128 ----------------------------------------------------- Cumulative number of packets held: 896 Maximum number of packets held (per URL): 3 Current number of packets held (global): 38 Packets dropped due to exceeding url-block buffer limit: 7546 HTTP server retransmission: 10 Number of packets released back to client: 0
Voor softwareversie 7.2, geef de show in werking stelt -in werking stellen -in werking stellen -url-blok blokstatistieken vorm van dit bevel uit.
show url-cache stats—Geeft weer hoe de cache wordt gebruikt
Voorbeeld:
hostname#show url-cache stats URL Filter Cache Stats ---------------------- Size : 128KB Entries : 1724 In Use : 456 Lookups : 45 Hits : 8
In softwareversie 8.0, geef de show url-cache statistieken vorm van deze opdracht.
toon perfmon-toont URL het filtreren prestatiesstatistieken, samen met andere prestatiesstatistieken. De filtreerstatistieken worden weergegeven in de rijen URL Access en URL Server Req.
Voorbeeld:
hostname#show perfmon PERFMON STATS: Current Average Xlates 0/s 0/s Connections 0/s 2/s TCP Conns 0/s 2/s UDP Conns 0/s 0/s URL Access 0/s 2/s URL Server Req 0/s 3/s TCP Fixup 0/s 0/s TCPIntercept 0/s 0/s HTTP Fixup 0/s 3/s FTP Fixup 0/s 0/s AAA Authen 0/s 0/s AAA Author 0/s 0/s AAA Account 0/s 0/s
toon filter-Toont de het filtreren configuratie
Voorbeeld:
hostname#show filter filter url http 192.168.5.5 255.255.255.255 172.30.21.99 255.255.255.255 allow proxy-block longurl-truncate cgi-truncate
In softwareversie 7.2 en hoger, geef de show in werking stelt -in werking stellen-configuratiefiltervorm van dit bevel uit.
Deze sectie verschaft informatie over het oplossen van problemen met uw configuratie.
Firewall heeft geen URL-cache die bedoeld is om de antwoorden van de server vast te houden wanneer de firewall wacht op bevestiging van de URL-server.
De kwestie is in principe gerelateerd aan een latentie tussen de ASA en de Websense server. Probeer deze tijdelijke oplossing om dit probleem op te lossen.
Probeer het protocol dat op de ASA wordt gebruikt te wijzigen in UDP om met de Websense te communiceren.
Er is een probleem met de latentie tussen de Websense-server en de firewall, waarbij antwoorden van de Websense-server veel tijd vergen om terug te keren naar de firewall, waardoor de URL-buffer opgevuld wordt terwijl het wacht op een antwoord.
U kunt UDP in plaats van TCP gebruiken voor de communicatie tussen de Websense-server en de Firewall. Dit komt doordat wanneer u TCP gebruikt voor URL-filtering, voor elk nieuw URL-verzoek, de ASA een TCP-verbinding moet maken met de Websense-server. Aangezien UDP een protocol zonder verbinding is, is ASA niet verplicht om de verbinding tot stand te brengen om de reactie van de server te ontvangen. Dit zou de prestaties van de server moeten verbeteren.
ASA(config)#url-server (inside) vendor websense host X.X.X.X timeout 30 protocol UDP version 4 connections 5
Zorg ervoor dat het url-block blok naar de hoogst mogelijke waarde te verhogen, namelijk 128. Dit kan met de opdracht show url-block worden gecontroleerd.
Als het nummer 128 wordt weergegeven, dient u de verbetering van Cisco bug-id CSC27415 (alleen geregistreerde klanten) in overweging te nemen.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
03-Jul-2007 |
Eerste vrijgave |