Cisco-Pix

修復協議 http 實際上在 Cisco PIX 防火牆上做了什麼?

  • August 23, 2011

我有一台執行 PIXOS 6.3 的 PIX 515E,它的配置中有修復協議 http 80。

任何人都可以向我指出確切描述這對網路流量有什麼影響的文件。

思科自己的命令參考說:

修復協議 http

fixup protocol http 命令設置用於超文本傳輸協議 (HTTP) 流量應用檢查的埠。HTTP 的預設埠是 80。

使用 port 選項將預設埠分配從 80 更改。使用 port-port 選項將 HTTP 應用程序檢查應用於一系列埠號。

注意 no fixup protocol http 命令仍然啟用 filter url 命令。

HTTP 檢查執行幾個功能:

• GET 消息的 URL 記錄

•通過 N2H2 或 Websense 進行 URL 篩選

•Java 和ActiveX 過濾

後兩個功能必須與 filter 命令一起配置。

我們不在 PIX 上使用 WebSense,我們也不需要 PIX 來執行 URL 記錄 - 我們沒有啟用過濾命令。有什麼理由我不應該完全關閉修復協議嗎?當然禁用該日誌記錄應該會提高性能(我們已經使用單獨的 WebSense 框進行 URL 日誌記錄)。

在 PIX 6.3fixup http中,與 7.0 及更高版本 PIX 和 ASA 版本中的現代替代品相比,該命令的行為相當有限——inspect http作為模組化策略框架 (MPF) 的一部分。

像素 6.3

您已經直接從PIX 6.3 命令參考中定義了 PIX 6.3 功能。我可以解釋一下

GET 消息的 URL 記錄使 PIX 能夠將所有 HTTP GET(無 POST)記錄到 PIX 的記錄設施。這可以轉儲相當多的日誌(尤其是在 2011 年,現代網路上有大量 HTTP 流量時)。

通過 N2H2 或 Websense 進行的 URL 篩選使 PIX 能夠分別使用 Internet 過濾協議 (IFP) 或 Websense 協議 v4 發送 HTTP 請求。這將允許您的 PIX(內聯流量)做出 HTTP URL 策略決策,而無需在客戶端上玩代理技巧。請注意,您需要部署 N2H2 或 Websense 伺服器/設備。

Java 和 ActiveX 過濾使 PIX 能夠從通過 HTTP 提供的頁面中過濾出 Java 小程序和 ActiveX 程式碼。

PIX/ASA 7 及更高版本

PIX/ASA 版本 7(及更高版本)程式碼使您能夠執行上述所有任務並添加增強型 HTTP 檢查,如ASA 8.4 命令參考中所述。ASA 8.4 是目前 ASA 程式碼的最新版本。

如上所述,增強的 HTTP 檢查允許防火牆管理員真正深入研究 HTTP 策略,包括遵守 RFC2616、最大 URL 長度、最大正文大小,甚至基於主機標頭(想要在沒有 N2H2、Websense、Squid、OpenDNS、或任何其他服務?)。一旦您掌握了 7 及更高版本程式碼的模組化策略框架 (MPF),就會獲得極大的靈活性,這要歸功於 IOS 的模組化 QoS CLI (MQC)。

fixup http在 PIX 6.3 中,如果您不需要這些功能,通常可以安全地刪除該命令。在 PIX/ASA 7 及更高版本上,如果您不使用任何功能,也可以將其刪除。要在 PIX/ASA 7 上使用增強型 HTTP 檢查,您必須配置一個http-map.

引用自:https://serverfault.com/questions/238607