實施URL過濾一般分爲三個步驟:
1.創建class-map(類映射),識別傳輸流量
2.創建policy-map(策略映射),關聯class-map
3.應用policy-map到街口上
配置如下:
第一層
ciscoasa(config)#access-listtcp_filter1permittcp10.1.1.0255.255.255.0anyeqwww
匹配ACL:
ciscoasa(config)#class-maptcp_filter_class1
ciscoasa(config-cmap)#matchaccess-listtcp_filter1
按照http_url_policy規則檢測http流量
ciscoasa(config-cmap)#policy-mapinside_http_url_policy
ciscoasa(config-pmap)#classtcp_filter_class1
ciscoasa(config-pmap-c)#inspecthttphttp_url_policy1
應用到接口上
ciscoasa(config)#service-policyinside_url_policyinterfaceinside
第二層
只要在檢查http請求報文包頭的host字段的過程中發現url_class1所規定的字段
ciscoasa(config-cmap)#matchrequestheaderhostregexcla
ciscoasa(config-cmap)#matchrequestheaderhostregexclassurl_class1
丟棄該報並記錄到日誌中
ciscoasa(config)#policy-maptypeinspecthttphttp_url_policy1
ciscoasa(config-pmap)#classhttp_url_class1
ciscoasa(config-pmap-c)#drop-connectionlog
第三層
URL_class1所規定的字段需要匹配正則表達則表達式url1
ciscoasa(config)#class-maptyperegexmatch-anyurl_class1
ciscoasa(config-cmap)#matchregexurl1