Cisco ASA 高级配置之URL过滤

妖狐艹你老母 2021-11-10 11:12 476阅读 0赞

现在呢,有很多管理上网行为的软件,那么ASA作为状态化防火墙,它也可以进行管理上网行为,我们可以利用ASA防火墙iOS的特性实施URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的。
实施URL过滤一般分成以下三个步骤:
1、创建class-map(类映射),识别传输流量。
2、创建policy-map(策略映射),关联class-map。
3、应用policy-map到接口上。

配置实例:

使用下面简单的网络拓扑图,在内网主机上编辑hosts文件,添加如下记录(若是生产环境,DNS服务器等齐全,则可省略这步):

  • 172.16.1.1 :www.kkgame.com 。
  • 172.16.1.1 :www.163.com 。
    实现内网网段192.168.1.0/24中的主机禁止访问网站www.kkgame.com 但允许访问其他网站(如www.163.com )。
    Cisco  ASA  高级配置之URL过滤

    配置步骤如下(接口等基本配置省略):
    (1)、创建class-map,识别传输流量:

    ciscoasa(config)# access-list tcp_filter1 permit tcp 192.168.1.0 255.255.255.0 any eq www

    ciscoasa(config)# class-map tcp_filter_class1

    ciscoasa(config-cmap)# match access-list tcp_filter1 #在class-map中定义允许的流量。

    ciscoasa(config-cmap)# exit

    ciscoasa(config)# regex url1 “.kkgame.com” #定义名称为urll的正则表达式,
    表示URL扩展名是“.kkgame.com”

    ciscoasa(config)# class-map type regex match-any url_class1 #创建名称为
    url_class1的clas-map,类型为regex。关键字match-any表示匹配任何一个。

    ciscoasa(config-cmap)# match regex url1

    ciscoasa(config)# class-map type inspect http http_url_class1 #创建
    名为http-url-class1的class-map,类型为inspect http(检查http流量)

    ciscoasa(config-cmap)# match request header host regex class url_class1 #匹配http请求
    报文头中的host域中的URL扩展名“.kkgame.com”,url_class1表示调用名称为url_class1的class-map。

    ciscoasa(config-cmap)# exit

(2)、创建policy-map,关联class-map。

  1. ciscoasa(config)# policy-map type inspect http http_url_policy1
  2. #创建名称为 http_url_policy1的policy-map,类型为inspect http(检查http流量)
  3. ciscoasa(config-pmap)# class http_url_class1 #调用之前创建的class-map
  4. ciscoasa(config-pmap-c)# drop-connection log #drop数据包并关闭连接,并发送系统日志。
  5. ciscoasa(config-pmap-c)# exit
  6. ciscoasa(config-pmap)# exit
  7. ciscoasa(config)# policy-map inside_http_url_policy #创建名称为 inside_http_url_policy 的policy-map,
  8. 它将被应用到接口上。
  9. ciscoasa(config-pmap)# class tcp_filter_class1 #调用之前创建的class-map
  10. ciscoasa(config-pmap-c)# inspect http http_url_policy1 #检查http流量
  11. ciscoasa(config-pmap-c)# exit
  12. ciscoasa(config-pmap)# exit

(3)、应用policy-map到接口上:

  1. ciscoasa(config)# service-policy inside_http_url_policy interface inside

至此,已经实现了需求,需要注意的是,一个接口只能应用一个policy-map。

发表评论

表情:
评论列表 (有 0 条评论,476人围观)

还没有评论,来说两句吧...

相关阅读

    相关 Cisco ASA 应用NAT配置详解

    ASA 防火墙上NAT的基本原理与路由器上一样,只不过只用定义一下内网地址和进行转换后的地址就可以了,不需要进入接口再应用了。基本上两条命令即可完成一种NAT的配置。ASA上的