溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
現在呢,有很多管理上網行為的軟件,那么ASA作為狀態化防火墻,它也可以進行管理上網行為,我們可以利用ASA防火墻iOS的特性實施URL過濾可以對訪問的網站域名進行控制,從而達到某種管理目的。
實施URL過濾一般分成以下三個步驟:
1、創建class-map(類映射),識別傳輸流量。
2、創建policy-map(策略映射),關聯class-map。
3、應用policy-map到接口上。
配置實例:
使用下面簡單的網絡拓撲圖,在內網主機上編輯hosts文件,添加如下記錄(若是生產環境,DNS服務器等齊全,則可省略這步):
172.16.1.1 :www.163.com 。
實現內網網段192.168.1.0/24中的主機禁止訪問網站www.kkgame.com 但允許訪問其他網站(如www.163.com )。
配置步驟如下(接口等基本配置省略):
(1)、創建class-map,識別傳輸流量:
ciscoasa(config)# access-list tcp_filter1 permit tcp 192.168.1.0 255.255.255.0 any eq www
ciscoasa(config)# class-map tcp_filter_class1
ciscoasa(config-cmap)# match access-list tcp_filter1 #在class-map中定義允許的流量。
ciscoasa(config-cmap)# exit
ciscoasa(config)# regex url1 "\.kkgame\.com" #定義名稱為urll的正則表達式,
表示URL擴展名是“.kkgame.com”
ciscoasa(config)# class-map type regex match-any url_class1 #創建名稱為
url_class1的clas-map,類型為regex。關鍵字match-any表示匹配任何一個。
ciscoasa(config-cmap)# match regex url1
ciscoasa(config)# class-map type inspect http http_url_class1 #創建
名為http-url-class1的class-map,類型為inspect http(檢查http流量)
ciscoasa(config-cmap)# match request header host regex class url_class1 #匹配http請求
報文頭中的host域中的URL擴展名“.kkgame.com”,url_class1表示調用名稱為url_class1的class-map。
ciscoasa(config-cmap)# exit(2)、創建policy-map,關聯class-map。
ciscoasa(config)# policy-map type inspect http http_url_policy1
#創建名稱為 http_url_policy1的policy-map,類型為inspect http(檢查http流量)
ciscoasa(config-pmap)# class http_url_class1 #調用之前創建的class-map
ciscoasa(config-pmap-c)# drop-connection log #drop數據包并關閉連接,并發送系統日志。
ciscoasa(config-pmap-c)# exit
ciscoasa(config-pmap)# exit
ciscoasa(config)# policy-map inside_http_url_policy #創建名稱為 inside_http_url_policy 的policy-map,
它將被應用到接口上。
ciscoasa(config-pmap)# class tcp_filter_class1 #調用之前創建的class-map
ciscoasa(config-pmap-c)# inspect http http_url_policy1 #檢查http流量
ciscoasa(config-pmap-c)# exit
ciscoasa(config-pmap)# exit(3)、應用policy-map到接口上:
ciscoasa(config)# service-policy inside_http_url_policy interface inside至此,已經實現了需求,需要注意的是,一個接口只能應用一個policy-map。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
