環境圖如下

1應用nat轉換

實現內網192.168.1.1主機能訪問IPS網路，

2，實現RUL過濾。

要求，內網不能訪問www.taobao.com，但可以

訪問www.baidu.com，

實現通訊

ASA配置
設定ip地址，預設路由

hostname ciscoasa
enable password PLBb27eKLE1o9FTB encrypted
names
!
interface Ethernet0/0
nameif outside
security-level 0
ip address 100.1.1.1 255.255.255.0
!
interface Ethernet0/1
nameif inside
security-level 100

route outside 0.0.0.0 0.0.0.0 100.1.1.2 預設路路由
!

ASA 動態NAT轉換實現訪問IPS網路

nat （inside） 10 192.168.1.0 255.255.255.0

global（outside） 10 interface

ASA 實現RUL 過濾www.tao.bao.com

實施方案

（1）建立class-map （類對映），識別傳輸流量。

（2）建立policy-map （策略對映），關聯class-map。

（3）應用policy-map 到介面，

配置如下,

1.（1）定義訪問控制列表，源地址到目標地址使用的協議，根據本實驗環境如下配置{（訪問控制列表名稱是(tcp）}

ciscoasa(config） access-listtcp permit tcp 192.168.1.0 255.255.255.0any eq www

##（any）代表所有網路地址，匹配的協議是http協議。

（2）建立class-map ，識別傳輸流量（class-map名稱）

ciscoasa(config）class-map c1
match access-list tcp

exit

#定義允許的流量是上個訪問控制列變

（3）定義名字為URL的正則表示式，表示URL的字尾名是".taobao.com".

ciscoasa(config)regex u1 "\.taobao\.com"

##regex u1設定網路名稱 taobao.com是目標地址。

（4） 以下建立名字為u2 的class-map，型別為regex。

ciscoasa(config）class-map type regex match-any u2

#match-any表示匹配任何一個

match regex u1

exit

應用 u1URL的正則表示式

（5）ciscoasa(config） class-map type inspect http p1

match request header host regex class u2

exit

##建立名稱為P1 在http請求報文頭中的host域中的URL字尾命如果是“taobao.com"呼叫名字為u2的calss-map，將被丟棄。

2，建立policy-map 關聯class-map

（1)建立名稱為P2，policy-map，型別為inspect http 檢查http流量

ciscoasa(config）policy-map type inspect http p2
class p1 //呼叫前的class-map（P2）
drop-connection log //drop 資料包關閉連線，併發送系統日誌

exit

exit

（2）建立名字為P3 的policy-map，

ciscoasa(config）policy-map p3
class c1 //呼叫之前class-map （源地址）
inspect http p2 //呼叫P2的policy-map 的策略

exit

exit

3，應用policy-map 到介面

service-policy p3 interface inside

注意（一個介面只能應用一個policy-map）

過濾URL淘寶完成

歡迎光臨break工作室不好之處請大家賜教！

作者：--新

轉載於:https://blog.51cto.com/breaklinux/1530554