Leaflet
16-21
思科 ASA 系列命令参考,A 至 H 命令
第 16 章 file-bookmarks 至 functions 命令
filter url
使用长 URL
对于 Websense 过滤服务器,支持最高 4 KB 的过滤 URL,对于 N2H2 过滤服务器,支持最高 3KB
的过滤 URL。
使用 longurl-truncate 和 cgi-truncate 选项以允许处理长度超过最大允许大小的 URL 请求。
如果 URL 的长度超过最大长度且您不启用 longurl-truncate 或 longurl-deny 选项,则 ASA 丢弃
数据包。
在 URL 的长度超过允许的最大长度时,longurl-truncate 选项使 ASA 只将用于评估的 URL 的主
机名或 IP 地址部分发送到过滤服务器。如果 URL 的长度超过允许的最大长度,则使用
longurl-deny 选项来拒绝出站 URL 流量。
使用 cgi-truncate 选项来截取 CGI URL,使其只包含 CGI 脚本位置和脚本名称,不带任何参数。
许多长 HTTP 请求是 CGI 请求。如果参数列表很长,则等待和发送完整 CGI 请求(包括参数列
表)可能会耗尽内存资源并降低 ASA 性能。
缓冲 HTTP 响应
默认情况下,当用户发出连接到特定网站的请求时,ASA 同时将请求发送给 Web 服务器和过滤
服务器。如果过滤服务器的响应时间晚于 Web 内容服务器,则 Web 服务器的响应被丢弃。从
Web 客户端角度来看,这会延迟 Web 服务器响应。
通过启用 HTTP 响应缓冲区,来自 Web 内容服务器的响应被缓冲,如果过滤服务器允许连接,还
会转发给请求用户。这样可以防止原本会出现的延迟。
要启用 HTTP 响应缓冲区,输入以下命令:
ciscoasa(config)# url-block block block-buffer-limit
用将要缓冲的最大块数来取代 block-buffer-limit 参数。允许的值介于 1 和 128 之间,指定一次可
缓冲 1550 字节块的数量。
示例 以下示例过滤所有出站 HTTPS 连接,但来自 10.0.2.54 主机的出站 HTTP 连接除外。
ciscoasa(config)# url-server (perimeter) host 10.0.1.1
ciscoasa(config)# filter url 80 0 0 0 0
ciscoasa(config)# filter url except 10.0.2.54 255.255.255.255 0 0
以下示例阻止准备发给在 8080 端口上侦听的代理服务器的所有出站 HTTP 连接。
ciscoasa(config)# filter url 8080 0 0 0 0 proxy-block
相关命令
命令 说明
filter activex
从流经 ASA 的 HTTP 流量中删除 ActiveX 对象。
filter java
从流经 ASA 的 HTTP 流量删除 Java 小应用。
url-block
管理在等待来自过滤服务器的过滤决策时用于 Web 服务器响应的 URL
缓冲区。
url-cache
在来自 N2H2 或 Websense 服务器的响应挂起时,启用 URL 缓存并设
置缓存的大小。
url-server
标识与 filter 命令一起使用的 N2H2 或 Websense 服务器。