我有一个PIX 515E,运行PIXOS 6.3,它有configuration中的修复协议http 80。
任何人都可以指向我的文档,描述这是什么做的networkingstream量。
思科自己的命令参考说:
修复协议http
fixup protocol http命令设置超文本传输协议(HTTP)stream量应用程序检查的端口。 HTTP的默认端口是80。
使用端口选项将默认端口分配更改为80.使用port-port选项将HTTP应用程序检查应用于一系列端口号。
注意no fixup protocol http命令仍启用filter url命令。
HTTP检查执行几个function:
•GET消息的URLlogging
•通过N2H2或Websense进行url筛选
•Java和ActiveX筛选
后两个function必须配合filter命令进行configuration。
我们不使用PIX上的WebSense,而且我们也不需要PIX来执行URLlogging,而且我们也没有启用filter命令。 为什么我不应该把fixup协议完全closures? 当然,禁用日志logging应该可以提高性能(我们已经使用单独的WebSense框来进行URL日志logging)。
在PIX 6.3中, fixup http命令与7.0和更高版本的PIX和ASA版本中的现代替代相比具有相当有限的行为 – inspect http作为模块化策略框架(MPF)的一部分。
PIX 6.3
您已经从PIX 6.3命令参考直接定义了PIX 6.3function。 我可以解释一下
GET消息的URLlogging使得PIX可以将所有HTTP GET(无POST)logging到PIX的日志logging工具中。 这可以转储很多(特别是在2011年,当现代networking上有很多HTTPstream量时)日志。
通过N2H2或Websense的URL筛选使PIX能够分别使用Internet Filtering Protocol(IFP)或Websense protocol v4发送HTTP请求。 这将允许您的PIX内联stream量制定HTTP URL策略决策,而无需在客户端上播放代理技巧。 请注意,您需要部署一台N2H2或Websense服务器/设备。
Java和ActiveX过滤使得PIX可以从HTTP页面中筛选出Java applet和ActiveX代码。
PIX / ASA 7及更高版本
如ASA 8.4命令参考中所述,PIX / ASA版本7(及更高版本)代码使您能够执行上述所有任务并添加增强型HTTP检测 。 ASA 8.4是目前ASA代码的最新版本。
如上所述 , 增强的HTTP检测function允许防火墙pipe理员真正地深入了解HTTP策略,包括遵守RFC2616,最大URL长度,最大主体大小,甚至基于主机头(希望阻止没有N2H2,Websense,Squid,OpenDNS,或任何其他服务?)。 一旦掌握了7及更高版本的模块化策略框架(MPF),它的根源来自于IOS的模块化QoS CLI(MQC),就具有很大的灵活性。
在PIX 6.3中,如果您不需要这些function,则通常可以安全地移除fixup http命令。 在PIX / ASA 7及更高版本中,如果您不使用任何function,也可以将其删除。 要在PIX / ASA 7上使用增强型HTTP检测 ,您必须configurationhttp-map 。
如果你不想涉及的function,那么,不,没有理由你应该使用HTTP修复。 在某些情况下,“一盒”解决scheme可能是有用的,但一般来说,这确实会产生问题。