Cisco ASA 5520 上的 https url 过滤

网络工程 思科 思科 防火墙 思科-ios
2021-07-04 15:37:21

我知道您可以使用 ASA 的 URL 过滤来过滤使用正则表达式访问的 URL,但我很好奇是否有办法过滤哪些 URL 可以从 Internet 访问到内部网络服务器,如果流量是加密的.

我们希望能够将与 WepSphere 服务器的连接限制为特定的 URL 请求。即: www.websphereyl.com/lawson/myfile 而不是 www.websphereyl.com/lawson/yourfiles 等...

一个示例场景是有人从 Internet 访问我们的 websphere 服务器,该服务器在 ASA 上设置了 NAT/PAT 以允许它通过 TCP 端口 443 进行访问。我们可以限制可以通过 ASA 访问的 URL 吗?我认为 URL 过滤不起作用,因为它是 SSL 流量,但想看看你们的想法。

1个回答

您是对的,如果 ASA 看到的所有内容都是 HTTPS 请求,则 TCP 有效负载已加密,这会阻止 ASA 的 URL 过滤(或任何其他 TCP 有效负载检查)。

通常,url 过滤由http 反向代理负载平衡器(例如 Cisco 的 ACE/CSM、F5 LTM 或 Citrix Netscaler 等)完成。我提到的设备也可以从您的 Web 服务器池中卸载 SSL 加密。

在执行负载清理/检查之前卸载 SSL 有一些显着的优势。通过在负载均衡器上卸载加密IDS / IPS / 防火墙还可以看到原始 HTTP 流量,这意味着它可以发现应用层攻击,并且通常可以为您提供更好的保护,如果这是一个优先事项。

其它你可能感兴趣的问题
上一篇高效的加密 ACL? 下一篇距离矢量协议和路径矢量协议有什么区别