ASA防火墙之三-屏蔽内网访问某些域名

在公司有时候老板可能不想让自己的员工,在上班时间上淘宝,QQ空间的之类的网站,影响工作的质量,所以,会叫技术员屏蔽掉这些域名。在这里,我采用思科ASA防火墙实现这个效果。

实验要求:

100.1.1.1作为外网WEB服务,内网的192.168.1.1用户能够获得“163.COM”的域名解析,但无法获得"taobao.com"的域名解析。

conf t

hostname ASA

int e0/0

nameif inside

ip add 192.168.1.5 255.255.255.0

no sh

int e0/1

nameif outside

ip add 100.1.1.5 255.255.255.0

no sh

exit

access-lis ping permit tcp 192.168.1.0 255.255.255.0 any  eq www

class-map tcp_filter_class1

match access-list ping

exit

regex url1 "\.taobao\.com"

class-map type regex match-any url_class1

match regex url1

exit

class-map type inspect http http_url_class

match request header host regex class  url_class1

exit

policy-map type inspect http http_url_policy1

class http_url_class

drop-connection log

exit

exit

policy-map inside_http_url_policy

class tcp_filter_class1

inspect http  http_url_policy1

exit

exit

service-policy   inside_http_url_policy interface inside

outweb采用windows server 2008 搭建IIS服务器和做域名解析:

域名"www.163.com"能够获得正常的域名解析,访问100.1.1.1的iis服务器.

域名"www.taobao.com"无法能够获得正常的域名解析。

时间: 2024-12-19 09:14:57

ASA防火墙之三-屏蔽内网访问某些域名的相关文章

华为防火墙web配置:内网访问外网

WMware1配置: 防火墙设置 [USG6000V1]web-manager enable  开启网页管理 密码设置最少8位字母大小写并含符号 G0/0/0必须和vmware网段一样 Client1设置 sever1设置 浏览器设置:必须火狐浏览器 设防火墙网关:trust内网和思科inside一个意思 untrust外网和思科outside一个意思 访问管理: 验证 原文地址:http://blog.51cto.com/13555654/2070384

设置防火墙,只能内网访问

1.通过命令 iptables -I INPUT -p tcp --dport 27017 -j DROPiptables -A INPUT -s 10.0.0.0/8 -p tcp --dport 27017 -j ACCEPT 2.修改配置文件 vi /etc/sysconfig/iptables  打开配置文件加入如下语句: 增加 -I INPUT -p tcp --dport 27017 -j DROP -A INPUT -s 10.0.0.0/8 -p tcp --dport 2701

判断访问者是内网访问还是外网访问

//域登录  判断是内网还是外网请求 public function regip($ip){ $ip = ip2long($ip); $net_a = ip2long('10.255.255.255') >> 24; //A类网预留ip的网络地址 $net_b = ip2long('172.31.255.255') >> 20; //B类网预留ip的网络地址 $net_c = ip2long('192.168.255.255') >> 16; //C类网预留ip的网络地

Forefront TMG 2010 篇(三)--内网互访&内网访问 Internet

Forefront TMG 2010 篇(二)--安装 上一篇我们已经安装好了 TMG2010,那下面我们就要对它进行投入使用: 使用环境 : 下面我们就按着上面的图来进行操作: 如有兴趣的,可以直接到微软的网站上面查看相关 Forefront TMG 内容: http://technet.microsoft.com/zh-cn/forefront/default.aspx Forefront TMG 2010 篇(三)--内网互访&内网访问 Internet

用Python爬虫爬取广州大学教务系统的成绩(内网访问)

用Python爬虫爬取广州大学教务系统的成绩(内网访问) 在进行爬取前,首先要了解: 1.什么是CSS选择器? 每一条css样式定义由两部分组成,形式如下: [code] 选择器{样式} [/code] 在{}之前的部分就是"选择器"."选择器"指明了{}中的"样式"的作用对象,也就是"样式"作用于网页中的哪些元素.可参考:http://www.w3school.com.cn/cssref/css_selectors.asph

NAT静态路由内网访问外网(华为)

1,实验名称:NAT静态路由内网访问外网(华为)2,实验目的:将私有地址转换为合法的IP地址,并解决IP地址不足的问题,而且还能有效的避免来自网络外的攻击.让内网可以访问外网,而外网不可以访问内网,起到内网安全保护数据的作用:3,实验拓扑: ,配置环境:① 先准备环境 2台PC机 1台交换机4台路由器② 先将PC机配置IP地址及子网掩码和网关(网关配置在路由器R1与交换机端口)③ 在路由器R1->R2端口配置不同网段IP:R1->R2->R3共两个不同网段④ 在R1->PC上的不同

如何正确选择内网访问工具

如果没有公网ip的话,外网与内网的计算机节点连接通信时,需要能够顺利的进入到内网,为了实现这个过程,有很多现成的技术,比如ngrok,花生壳,零遁,vps,虚拟局域网,等等.表面看起来实现的是同一个功能,但是细节上差别还是很大的.首先ngrok呢,是一种软件,是做的一个反向代理,通过在公共的端点和本地运行的 Web 服务器之间建立一个安全的通道.类似ngrok的软件还有很多的,它们主要用于在本地建网站来让外网访问到,由于软件是国外的,所以目前能接触到的都是国内的代理,所以适合用来建小网站.在这里

HTTPS的内网访问和访问外网

https://launchpad.support.sap.com/#/notes/2461900 https://wiki.scn.sap.com/wiki/display/Security/Troubleshooting+Guide+-+How+to+troubleshoot+the+SSSLERR_PEER_CERT_UNTRUSTED+%28peer+certificate+%28chain%29+is+not+trusted%29+issue 文件SAPSSLA.pse SAPSSLC

dns服务之bind配置内网解析部分子域名,其它子域名转发

bind配置内网解析部分子域名,其它子域名转发.以下以m.xxx.com和admin.xxx.com由内网dns解析,其它*.xxx.com转发给外网dns解析为例配置.文件/etc/named.conf:options {# listen-on port 53 { 127.0.0.1; }; #注释表示监听所有端口# listen-on-v6 port 53 { ::1; }; directory "/var/named"; dump-file "/var/named/da