實驗URL過濾
實驗步驟:
1.首先搭建server2008服務器web網站,基於不同主機名
然後進入到cmd命令符裏創建兩個目錄並且給他裏面寫兩個文件(手動配置DNS,省得在建立DNS服務器,注意:在真實設備上是不行的)
並且到C盤上查看下兩個文件
在信息平臺上進行綁定(benet.com)
並且指下物理路徑
然後在創建accp.com和benet.com並且進行綁定
2.在客戶機上添加DNS(手動配置)並且測試下可不可以域名解析
3在ASA上配置
1 創建class-map (類映射),識別傳輸流量
第一內網的網段
第二定義正則表達式,決定url中包含的(域名)關鍵字
第三檢查IP報文頭部,是否是http流量
2 創建policy-map (策略映射),關聯class-map
要麼允許這個鏈接
要麼丟棄這個鏈接
通常把策略應用在inside(入站)接口上
一個接口只能應用一個策略映射
3 應用class-map到接口上。
首先初始化並且配置ip地址以及接口名稱
配置NAT轉換並且應用接口
access-list aclfile extended permit tcp 192.168.10.0 255.255.255.0 any eq www(定義ACL訪問控制列表aclfile)
class-map aclclass(建立類映射)
match access-list aclfile (匹配訪問控制列表)
//定義正則表達式,指定需要過濾不允許訪問的網站//
regex url "\.accp\.com" (注意斜槓別寫反了)
class-map type regex match-any urlclass
match regex url (調用匹配正則表達式)
class-map type inspect http httpclass(建立檢查流量的類映射)
match request header host regex class urlclass (調用之前已配置好的urlclass)
policy-map type inspect http httppolicy (建立策略映射)
class httpclass (調用已經做好的檢查http頭部的類映射)
drop-connection log (丟棄並記錄日誌)
policy-map insidepolicy (對訪問控制列表進行操作,定義相應策略)
class aclclass (調用訪問控制列表的類映射)
inspect http httppolicy (檢查定義好的策略映射)
service-policy insidepolicy interface inside (應用在端口)
然後到win7上測試一下,是訪問不了
實 驗 完 成