ASA防火墙实现URL过滤
环境图如下
1应用nat转换
实现内网192.168.1.1主机能访问IPS网络,
2,实现RUL过滤。
要求,内网不能访问www.taobao.com,但可以
实现通信
ASA 配置 设置ip地址,默认路由
hostname ciscoasa
enable password PLBb27eKLE1o9FTB encrypted
names
!
interface Ethernet0/0
nameif outside
security-level 0
ip address 100.1.1.1 255.255.255.0
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 192.168.1.100 255.255.255.0
route outside 0.0.0.0 0.0.0.0 100.1.1.2 默认路路由
!
ASA 动态NAT转换实现访问IPS网络
nat (inside) 10 192.168.1.0 255.255.255.0
global(outside) 10 interface
ASA 实现RUL 过滤www.tao.bao.com
实施方案
(1)创建class-map (类映射),识别传输流量。
(2)创建policy-map (策略映射),关联class-map。
(3)应用policy-map 到接口,
配置如下,
1.(1)定义访问控制列表,源地址到目标地址使用的协议,根据本实验环境如下配置{(访问控制列表名称是(tcp)}
ciscoasa(config) access-list tcp permit tcp 192.168.1.0 255.255.255.0 any eq www
##(any)代表所有网络地址,匹配的协议是http协议。
(2)创建class-map ,识别传输流量(class-map名称)
ciscoasa(config)class-map c1
match access-list tcp
exit
#定义允许的流量是上个访问控制列变
(3)定义名字为URL的正则表达式,表示URL的后缀名是".taobao.com".
ciscoasa(config) regex u1 "\.taobao\.com"
## regex u1 设置网络名称 taobao.com是目标地址。
(4) 以下创建名字为u2 的class-map,类型为regex。
ciscoasa(config)class-map type regex match-any u2
#match-any 表示匹配任何一个
match regex u1
exit
应用 u1 URL的正则表达式
(5)ciscoasa(config) class-map type inspect http p1
match request header host regex class u2
exit
## 创建名称为P1 在http请求报文头中的host域中的URL后缀命如果是“taobao.com"调用名字为u2的calss-map,将被丢弃。
2, 创建policy-map 关联class-map
(1)创建名称为P2,policy-map,类型为inspect http 检查http流量
ciscoasa(config)policy-map type inspect http p2
class p1 //调用前的class-map (P2)
drop-connection log //drop 数据包关闭连接,并发送系统日志
exit
exit
(2)创建名字为P3 的policy-map,
ciscoasa(config)policy-map p3
class c1 //调用之前class-map (源地址)
inspect http p2 //调用P2的policy-map 的策略
exit
exit
3,应用policy-map 到接口
service-policy p3 interface inside
注意(一个接口只能应用一个policy-map)
过滤URL淘宝完成
欢迎光临break工作室 不好之处请大家赐教!
作者:--新
转载于:https://blog.51cto.com/breaklinux/1530554