ASA防火牆實現URL過濾
1應用nat轉換
實現內網192.168.1.1主機能訪問IPS網路,
2,實現RUL過濾。
要求,內網不能訪問www.taobao.com,但可以
實現通訊
ASA配置 設定ip地址,預設路由
hostname ciscoasa
enable password PLBb27eKLE1o9FTB encrypted
names
!
interface Ethernet0/0
nameif outside
security-level 0
ip address 100.1.1.1 255.255.255.0
!
interface Ethernet0/1
nameif inside
security-level 100
route outside 0.0.0.0 0.0.0.0 100.1.1.2 預設路路由
!
ASA 動態NAT轉換實現訪問IPS網路
nat (inside) 10 192.168.1.0 255.255.255.0
global(outside) 10 interface
ASA 實現RUL 過濾www.tao.bao.com
實施方案
(1)建立class-map (類對映),識別傳輸流量。
(2)建立policy-map (策略對映),關聯class-map。
(3)應用policy-map 到介面,
配置如下,
1.(1)定義訪問控制列表,源地址到目標地址使用的協議,根據本實驗環境如下配置{(訪問控制列表名稱是(tcp)}
ciscoasa(config) access-listtcp permit tcp 192.168.1.0 255.255.255.0any eq www
##(any)代表所有網路地址,匹配的協議是http協議。
(2)建立class-map ,識別傳輸流量(class-map名稱)
ciscoasa(config)class-map c1
match access-list tcp
exit
#定義允許的流量是上個訪問控制列變
(3)定義名字為URL的正則表示式,表示URL的字尾名是".taobao.com".
ciscoasa(config)regex u1 "\.taobao\.com"
##regex u1設定網路名稱 taobao.com是目標地址。
(4) 以下建立名字為u2 的class-map,型別為regex。
ciscoasa(config)class-map type regex match-any u2
#match-any表示匹配任何一個
match regex u1
exit
應用 u1URL的正則表示式
(5)ciscoasa(config) class-map type inspect http p1
match request header host regex class u2
exit
##建立名稱為P1 在http請求報文頭中的host域中的URL字尾命如果是“taobao.com"呼叫名字為u2的calss-map,將被丟棄。
2,建立policy-map 關聯class-map
(1)建立名稱為P2,policy-map,型別為inspect http 檢查http流量
ciscoasa(config)policy-map type inspect http p2
class p1 //呼叫前的class-map(P2)
drop-connection log //drop 資料包關閉連線,併發送系統日誌
exit
exit
(2)建立名字為P3 的policy-map,
ciscoasa(config)policy-map p3
class c1 //呼叫之前class-map (源地址)
inspect http p2 //呼叫P2的policy-map 的策略
exit
exit
3,應用policy-map 到介面
service-policy p3 interface inside
注意(一個介面只能應用一個policy-map)
過濾URL淘寶完成
歡迎光臨break工作室不好之處請大家賜教!
作者:--新
轉載於:https://blog.51cto.com/breaklinux/1530554