Cisci ASA上的URL過濾
一 URL過濾
利用ASA防火牆IOS的特性實施URL過濾可以對訪問的網站域名進行控制
·實施URL過濾一般分爲三個步驟
1創建class-map(類映射),識別傳輸流量
2創建policy-map(策略映射),關聯class-map
3應用policy-map到接口上
·實施URL過濾的模擬實驗
實驗要求:
1要求PC1不能訪問www.baidu.com
2要求PC2不能訪問www.sina.com.cn
2過了一段時間,公司要求內網所有主機都不能訪問www.qq.com
實驗環境:如圖所示
GNS3模擬環境中PC1和PC2使用雲設備分別連接兩臺虛擬機,且在hosts文件中分別添加三條要求中的主機記錄;Web服務器使用路由器模擬,開啓http服務即可
實驗步驟
1 ASA上的基本配置
配置動態PAT,讓內網主機可以訪問互聯網(ISP)
2配置ISP
用路由器模擬ISP,這裏只需配置好接口地址即可(不用配置路由條目)
3配置web服務器
用路由器模擬web服務器,進行以下配置(配置好ip)
4配置PC機,並測試訪問
分別配置兩臺虛擬機的ip和網關,並在hosts文件中添加三條解析條目
分別在兩臺pc機上測試訪問
開始配置URL過濾(ASA)
要求1 :PC1不能訪問www.baidu.com
步驟1:創建class-map,識別傳輸流
1定義要控制的網段(ACL),並創建第一個class-map
創建一個名爲tcp_filter1的ACL
asa(config)# access-list tcp_filter1 permit tcp 192.168.1.0 255.255.255.0 any eq www
再創建一個名爲tcp_filter1_class1的class-map,並將ACL添加到這個class-map
3設置要控制的url地址,並創建第二個且類型爲regex的class-map
創建一個url,再創建一個名爲url_class1的class-map,並將url添加到這個class-map
4創建第三個且類型爲inspect http的class-map
創建一個名爲http_url_class1的class-map,並調用第二個clas-map,即表示在http請求報文頭中的url後綴是baidu.com的將被丟棄
其中regex class表示調用class-map
步驟2:創建policy-map,關聯class-map
1創建第一個類型爲inspect http的policy-map
創建一個名爲http_url_policy1的policy-map,並調用第三個class-map;設置的規則爲drop數據包並關閉連接,發送系統日誌
2創建第二個policy-map
創建一個名爲inside_http_url_policy的policy-map(用來應用在接口);並調用第一個class-map。設置檢查http流量
步驟3:應用policy-map到接口上
只能應用在inside接口上,且一個接口只能應用一個policy-map
最後進行測試,發現pc1不能訪問www.baidu.com
要求二:PC2不能訪問
重複前面的步驟即可,但是要注意一下幾點
重新創建一個ACL,即名稱不能和第一個相同(PC2屬於2網段)
asa(config)# access-list tcp_filter2 permit tcp 192.168.2.0 255.255.255.0 any eq www
重新創建第一個class-map、第二個class-map、第三個class-map和第一個policy-map;然後將這個policy-map應用到第二個policy-map中(因爲一個接口只能應用一個policy-map,所以這裏不需要再創建第二個policy-map)
要求3:公司要求內網所有主機都不能訪問www.qq.com
當還需要禁止其他url時,只需進行以下操作即可
創建url2,應用到url_class1
再將url2應用到url_class2上即可滿足要求