我有一台 PIX 515E,运行 PIXOS 6.3,其配置中有修复协议 http 80。
有人能给我提供一份能够准确描述这对网络流量造成的影响的文档吗?
思科自己的命令参考说:
修复协议 http
fixup protocol http 命令设置超文本传输协议 (HTTP) 流量应用检查的端口。HTTP 的默认端口为 80。
使用端口选项可以将默认端口分配从 80 更改。使用端口端口选项将 HTTP 应用程序检查应用于一系列端口号。
注意:no fixup protocol http 命令仍然启用 filter url 命令。
HTTP 检查可执行多项功能:
•GET 消息的 URL 记录
•通过 N2H2 或 Websense 进行 URL 筛选
•Java 和 ActiveX 过滤
后两个功能必须与过滤命令配合配置。
我们不在 PIX 上使用 WebSense,也不需要 PIX 来执行 URL 日志记录 - 而且我们没有启用过滤命令。有什么理由让我不应该完全关闭修复协议?当然,禁用该日志记录应该可以提高性能(我们已经使用单独的 WebSense 盒进行 URL 日志记录)。
答案1
在 PIX 6.3 中,与 7.0 及更高版本的 PIX 和 ASA 中的现代替代品(作为模块化策略框架 (MPF) 的一部分)fixup http相比,该命令的行为相当有限。inspect http
PIX 6.3
您已直接从PIX 6.3 命令参考我可以稍微解释一下
GET 消息的 URL 记录使 PIX 能够将所有 HTTP GET(无 POST)记录到 PIX 的日志记录工具中。这可以转储相当多的日志(尤其是在 2011 年,当时现代网络上有大量 HTTP 流量)。
通过 N2H2 或 Websense 进行 URL 筛选使 PIX 能够分别使用 Internet 过滤协议 (IFP) 或 Websense 协议 v4 发送 HTTP 请求。这将允许您的 PIX(内联到流量)制定 HTTP URL 策略决策,而无需在客户端上使用代理技巧。请注意,您需要部署 N2H2 或 Websense 服务器/设备。
Java 和 ActiveX 过滤使 PIX 从通过 HTTP 提供的页面中过滤出 Java 小程序和 ActiveX 代码。
PIX/ASA 7 及更高版本
PIX/ASA 版本 7(及更高版本)代码使您能够执行上述所有任务,并添加了增强 HTTP 检查,如所述ASA 8.4 命令参考。ASA 8.4 是目前最新版本的 ASA 代码。
增强 HTTP 检查如上所述,允许防火墙管理员真正深入研究 HTTP 策略,包括遵守 RFC2616、最大 URL 长度、最大正文大小,甚至基于主机头(想要在没有 N2H2、Websense、Squid、OpenDNS 或任何其他服务的情况下阻止 Facebook?)。一旦您掌握了 7 及更高版本代码的模块化策略框架 (MPF),就会获得极大的灵活性,这源于 IOS 的模块化 QoS CLI (MQC)。
fixup http在 PIX 6.3 中,如果您不需要这些功能,通常可以安全地删除该命令。在 PIX/ASA 7 及更高版本中,如果您不使用任何功能,也可以删除它。要使用增强 HTTP 检查在 PIX/ASA 7 上,您必须配置一个http-map。
答案2
如果您不想要所涉及的功能,那么,不,您没有理由使用 http fixup。在某些情况下,它可以作为“一站式”解决方案,但一般来说,它确实会带来问题。