Thực hiện lọc Java Applet và ActiveX I.. Mô tả: Java Applet và ActiveX có thể chứa những mã độc và cho phép thực thi mã độc trên PC khi người dùng sử dụng dịch vụ Web.. Để hạn chế vấn đ
Trang 1Thực hiện lọc Java Applet và ActiveX
I Mô tả:
Java Applet và ActiveX có thể chứa những mã độc và cho phép thực thi mã độc trên PC khi người dùng sử dụng dịch vụ Web Để hạn chế vấn đề này ASA cho phép lọc tất cả kết
quả trả về từ những request http
II Cấu hình
Thực hiện lọc java applet trên kết quả trả về từ những request http với nguồn là
192.168.1.0/24 đến đích bất kỳ
ASA(config)# filter java 80 192.168.1.0 255.255.255.0 0 0
Thực hiện lọc activex trên kết quả trả về từ những request http với nguồn là
192.168.1.0/24 đến đích bất kỳ
ASA(config)# filter activex 80 192.168.1.0 255.255.255.0 0 0
III Cấu hình đầy đủ
ASA
ASA Version 8.0(2)
!
hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
nameif inside
security-level 100
Trang 2ip address 192.168.1.1 255.255.255.0
!
interface Ethernet0/1
nameif outside
security-level 0
ip address 192.168.2.1 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address
management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
global (outside) 1 interface
nat (inside) 1 192.168.1.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 192.168.2.2 1
filter java 80 192.168.1.0 255.255.255.0 0.0.0.0 0.0.0.0 filter activex 80 192.168.1.0 255.255.255.0 0.0.0.0 0.0.0.0
!
class-map inspection_default
match default-inspection-traffic
!
Trang 3!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:78cf59a0893129f9c01ea495adb5cb53 : end
ASA(config)#
GATEWAY
Building configuration
Current configuration : 726 bytes
hostname GATEWAY
!
interface FastEthernet0/0
ip address 192.168.2.2 255.255.255.0
ip nat inside
duplex auto
Trang 4speed auto
!
interface FastEthernet0/1
ip address dhcp
ip nat outside
duplex auto
speed auto
!
ip nat inside source list 1 interface FastEthernet0/1 overload
ip classless
ip http server
no ip http secure-server
!
access-list 1 permit 192.168.2.0 0.0.0.255
!
line con 0
line aux 0
line vty 0 4
login
!
end
IV Kiểm tra
%ASA-5-500002: Java content modified: src 192.168.1.2 dest 72.5.124.55 on interface outside
Trang 5%ASA-5-500001: ActiveX content modified src 192.168.1.2 dest 210.245.0.22 on interface outside