Cisco ASA 高级配置之URL过滤

现在呢,有很多管理上网行为的软件,那么ASA作为状态化防火墙,它也可以进行管理上网行为,我们可以利用ASA防火墙iOS的特性实施URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的。
实施URL过滤一般分成以下三个步骤:
1、创建class-map(类映射),识别传输流量。
2、创建policy-map(策略映射),关联class-map。
3、应用policy-map到接口上。

配置实例:

使用下面简单的网络拓扑图,在内网主机上编辑hosts文件,添加如下记录(若是生产环境,DNS服务器等齐全,则可省略这步):

  • 172.16.1.1 :www.kkgame.com 。
  • 172.16.1.1 :www.163.com 。
    实现内网网段192.168.1.0/24中的主机禁止访问网站www.kkgame.com 但允许访问其他网站(如www.163.com )。

    配置步骤如下(接口等基本配置省略):
    (1)、创建class-map,识别传输流量:

ciscoasa(config)# access-list tcp_filter1 permit tcp 192.168.1.0 255.255.255.0  any eq www

ciscoasa(config)# class-map tcp_filter_class1

ciscoasa(config-cmap)# match access-list tcp_filter1                #在class-map中定义允许的流量。

ciscoasa(config-cmap)# exit

ciscoasa(config)# regex url1 "\.kkgame\.com"        #定义名称为urll的正则表达式,
表示URL扩展名是“.kkgame.com”

ciscoasa(config)# class-map type regex match-any url_class1            #创建名称为
url_class1的clas-map,类型为regex。关键字match-any表示匹配任何一个。

ciscoasa(config-cmap)# match regex url1               

ciscoasa(config)# class-map type inspect http http_url_class1        #创建
名为http-url-class1的class-map,类型为inspect http(检查http流量)

ciscoasa(config-cmap)# match request header host regex class url_class1            #匹配http请求
报文头中的host域中的URL扩展名“.kkgame.com”,url_class1表示调用名称为url_class1的class-map。

ciscoasa(config-cmap)# exit

(2)、创建policy-map,关联class-map。

ciscoasa(config)# policy-map type inspect http http_url_policy1
#创建名称为 http_url_policy1的policy-map,类型为inspect  http(检查http流量)

ciscoasa(config-pmap)# class http_url_class1              #调用之前创建的class-map

ciscoasa(config-pmap-c)# drop-connection log     #drop数据包并关闭连接,并发送系统日志。
ciscoasa(config-pmap-c)# exit
ciscoasa(config-pmap)# exit

ciscoasa(config)# policy-map inside_http_url_policy       #创建名称为 inside_http_url_policy 的policy-map,
它将被应用到接口上。

ciscoasa(config-pmap)# class tcp_filter_class1               #调用之前创建的class-map

ciscoasa(config-pmap-c)# inspect http http_url_policy1               #检查http流量
ciscoasa(config-pmap-c)# exit
ciscoasa(config-pmap)# exit

(3)、应用policy-map到接口上:


ciscoasa(config)# service-policy inside_http_url_policy interface inside

至此,已经实现了需求,需要注意的是,一个接口只能应用一个policy-map。

原文地址:https://blog.51cto.com/14154700/2387140

时间: 2024-11-08 23:46:11

Cisco ASA 高级配置之URL过滤的相关文章

Cisco ASA 高级配置

Cisco ASA 高级配置 一.防范IP分片攻击 1.Ip分片的原理: 2.Ip分片的安全问题: 3.防范Ip分片. 这三个问题在之前已经详细介绍过了,在此就不多介绍了.详细介绍请查看上一篇文章:IP分片原理及分析. 二.URL过滤 利用ASA防火墙IOS的特性URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的. 实施URL过滤一般分为以下三个步骤: (1) 创建class-map (类映射),识别传输流量. (2) 创建policy-map (策略映射),关联class-map.

防火墙(ASA)高级配置之URL过滤、日志管理、透明模式

对于防火墙产品来说,最重要的一个功能就是对事件进行日志记录.本篇博客将介绍如何对ASA进行日志管理与分析.ASA透明模式的原理与配置.利用ASA防火墙的IOS特性实施URL过滤. 一.URL过滤 利用ASA防火墙IOS的特性URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的. 实施URL过滤一般分为以下三个步骤: (1)创建class-map(类映射),识别传输流量. (2)创建policy-map(策略映射),关联class-map. (3)应用policy-map到接口上. 案例:

ASA高级配置

防范IP分片.gong.击1)IP分片的原理数据字段的长度最大为1500字节,这个数值被称为最大传送单元(Maximun Transmission Unit MTU).不同的网络有不同的MTU值,如以太网的MTU值是1500字节,PPP链路的MTU值是296字节.当IP数据报封装成帧时,必须符合帧格式的规定,如果IP数据报的总长度不大于MTU值,就可以直接封装成一个帧,如果IP数据报的总长度大于MTU值,就必须分片,然后将每一个分片封装成一个帧.再分片.每一个分片都有它自己的IP首部,可以独立地

ASA防火墙配置url过滤。详细实验步骤

实验拓扑图....服务器ip:202.168.1.10 web  www.cisco.com www.kkgame.com 分别用不同的主机名在服务器上搭建 权限添加成everyone..因为要向外发布网站. 添加一个自己改过名的默认文档,,如果没改过名的话就上移移动到顶层. 内存4G的电脑只能开两虚拟机.所以dns也搭在了这个服务器上.. dns服务器地址也是:202.168.1.10 dns设置完成后,在本机用nslookup测试一下.... 然后配置客户端.. 客户端dns指向服务器 配置

Cisco ASA “URL过滤”及“日志管理”

ASA作为状态化防火墙,它也可以进行管理上网行为,我们可以利用ASA防火墙iOS的特性实施URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的.实施URL过滤一般分成以下三个步骤:1.创建class-map(类映射),识别传输流量.2.创建policy-map(策略映射),关联class-map.3.应用policy-map到接口上.(个人感觉这玩意用到的地方很少,大部分都是使用第三方软件,一键管理)配置步骤如下:(1).创建class-map,识别传输流量:asa(config)# a

ASA防火墙上做基于域名的URL过滤

实验 实验拓扑图: 实验环境:   在server2008服务器上搭建WEB网站和DNS服务,分别创建域名为benet.com和accp.com两个网站.   实验要求:   首先客户端可以访问服务器上的两个网站,成功后在防火墙上做URL过滤使客户端无法访问accp.com网站.   实验步骤: 首先在ASA防火墙上配置各区域名称和IP地址:   ciscoasa(config)# int e0/0 ciscoasa(config-if)# nameif inside ciscoasa(conf

ASA防火墙设置URL过滤

实施URL过滤一般分为以下三个步骤:1.创建class-map(类映射),识别传输流量:2.创建policy-map(策略映射),关联class-map:3.应用policy-map到接口上.创建class-map,识别传输流量 ASA(config)# access-list 100 permit tcp 192.168.1.0 255.255.255.0 any eq www ASA(config)# class-map 100 #创建类映射 ASA(config-cmap)# match

Django笔记 —— 高级视图和URL配置

最近在学习Django,打算玩玩网页后台方面的东西,因为一直很好奇但却没怎么接触过.Django对我来说是一个全新的内容,思路想来也是全新的,或许并不能写得很明白,所以大家就凑合着看吧- 本篇笔记(其实我的所有笔记都是),并不会过于详细的讲解.因此如果有大家看不明白的地方,欢迎在我正版博客下留言,有时间的时候我很愿意来这里与大家探讨问题.(当然,不能是简简单单就可以百度到的问题-.-) 我所选用的教材是<The Django Book 2.0>,本节是第八章,高级视图和URL配置. 在基础部分

cisco ASA 8.4(5)服务端口转发配置及天融信,USG配置图示

cisco ASA 8.4(5)服务端口转发配置及天融信,USG配置图示 北京最热的日子,被人邀请调试一个ASA5540.需求很简单,十来个人上网,另外就是VMware对外服务,也就是TCP443,TCP8443以及邪恶的4172. 因为运营商对WWW,https等服务进行了限制,需要另外申请,为了方便所以朋友希望将https转换为TCP8888(这是多想发财啊). 下面就是配置,因为版本不同找了一些资料,都不全,所以笔者将全过程记录方便大家提出批评. 第一步: 建立内网IP object ob