Назад | Перейти на главную страницу

Что на самом деле делает протокол исправления http на межсетевом экране Cisco PIX?

У меня есть PIX 515E, работающий под управлением PIXOS 6.3, в конфигурации которого есть протокол исправлений http 80.

Может ли кто-нибудь указать мне на документацию, которая точно описывает, что это делает с веб-трафиком.

В собственном справочнике команд Cisco говорится:

протокол исправлений http

Команда http fixup protocol устанавливает порт для проверки приложений трафика протокола передачи гипертекста (HTTP). Порт по умолчанию для HTTP - 80.

Используйте параметр порта, чтобы изменить назначение порта по умолчанию с 80. Используйте параметр порт-порт, чтобы применить проверку приложения HTTP к диапазону номеров портов.

Примечание. Команда http без протокола исправлений по-прежнему включает команду URL-адреса фильтра.

HTTP-проверка выполняет несколько функций:

• Регистрация URL-адресов сообщений GET

• Проверка URL-адресов через N2H2 или Websense

• Фильтрация Java и ActiveX

Последние две функции должны быть настроены вместе с командой filter.

Мы не используем WebSense на PIX, и нам не нужен PIX для ведения журнала URL - и у нас не включены команды фильтрации. Есть ли причина, по которой я не должен полностью отключать протокол исправлений? Безусловно, отключение этого ведения журнала должно улучшить производительность (у нас уже есть ведение журнала URL-адресов с использованием отдельного окна WebSense).

В PIX 6.3 fixup http команда имеет довольно ограниченное поведение по сравнению с ее современной заменой в выпусках PIX и ASA 7.0 и выше - inspect http как часть Modular Policy Framework (MPF).

PIX 6.3

Вы определили возможности PIX 6.3 прямо из Справочник команд PIX 6.3. Я могу немного разъяснить

Регистрация URL-адресов сообщений GET позволяет PIX регистрировать все HTTP GET (без POST) в средствах ведения журнала PIX. Это может сбрасывать довольно много (особенно в 2011 году, когда в современных сетях много HTTP-трафика) журналов.

Проверка URL-адресов через N2H2 или Websense позволяет PIX отправлять HTTP-запросы с использованием протокола фильтрации Интернета (IFP) или протокола Websense v4 соответственно. Это позволит вашему PIX, встроенному в трафик, принимать решения по политике URL-адресов HTTP без необходимости использовать прокси-серверы на клиентах. Обратите внимание, что вам потребуется развернуть сервер / устройство N2H2 или Websense.

Фильтрация Java и ActiveX позволяет PIX отфильтровывать Java-апплеты и код ActiveX со страниц, обслуживаемых через HTTP.

PIX / ASA 7 и новее

Код PIX / ASA версии 7 (и новее) позволяет выполнять все перечисленные выше задачи и добавляет Расширенная проверка HTTP, как описано в Справочник команд ASA 8.4. ASA 8.4 - это последняя версия кода ASA на данный момент.

Расширенная проверка HTTP, как описано, позволяет администратору брандмауэра действительно детализировать политику HTTP, включая соблюдение RFC2616, максимальную длину URL-адреса, максимальный размер тела, даже на основе заголовка хоста (хотите заблокировать Facebook без N2H2, Websense, Squid, OpenDNS или любого другого служба?). Большая гибкость, когда вы понимаете модульную структуру политик (MPF) кода 7 и более поздних версий, которая своими корнями обязана модульному QoS CLI (MQC) от IOS.

В PIX 6.3, как правило, безопасно удалить fixup http команда, если вам не требуются эти функции. В PIX / ASA 7 и более поздних версиях его также можно удалить, если вы не используете какие-либо функции. Чтобы использовать Расширенная проверка HTTP на PIX / ASA 7 необходимо настроить http-map.

Если вы не хотите задействовать эти функции, тогда нет причин, по которым вам следует использовать http fixup. В некоторых ситуациях он может быть полезен для решения «одной коробки», но в целом создает проблемы.