ASA防火墙设置URL过滤

实施URL过滤一般分为以下三个步骤:
1.创建class-map(类映射),识别传输流量;
2.创建policy-map(策略映射),关联class-map;
3.应用policy-map到接口上。
创建class-map,识别传输流量

ASA(config)# access-list 100 permit tcp 192.168.1.0 255.255.255.0 any eq www
ASA(config)# class-map 100
#创建类映射
ASA(config-cmap)# match access-list 100
#在class-map中定义允许的流量
ASA(config)# regex url1 "\.kkgame\.com"
#定义名称为url1的正则表达式,表示URL扩展名是“.kkgame.com”
ASA(config)# class-map type regex match-any url_class1
#创建名称为url_class1的class-map,类型为regex
ASA(config-cmap)# match regex url1
#关键字match-any表示匹配任何一个
ASA(config)# class-map type inspect http http_url_class1
#创建名称为http_url_class1的class-map,类型为inspect http(检查http流量)
ASA(config-cmap)# match request header host regex class url_class1
#匹配http请求报文中的host域中的URL扩展名“kkgame.com”,
url_class1表示调用名称为url_class1的class-map

创建policy-map,关联class-map

ASA(config)# policy-map type inspect http http_url_policy1
#创建名称为http_url_policy1的policy-map,类型inspect http(检查http流量)
ASA(config-pmap)# class http_url_class1
#调用之前创建的class-map
ASA(config-pmap-c)# drop-connection log
#drop数据包并关闭连接,并发送系统日志

ASA(config)# policy-map inside_http_url_policy
#创建名称为inside_http_url_policy的policy-map,它将应用到接口上
ASA(config-pmap)# class 100
#调用之前创建的class-map
ASA(config-pmap-c)# inspect http http_url_policy1
#检查http流量

应用policy-map到接口上

ASA(config)# service-policy inside_http_url_policy interface inside
#应用policy-map到inside区域

这个配置有点麻烦,所以整理了一个文档

access-list tcp_filter1 permit tcp 192.168.1.0 255.255.255.0 any eq www
class-map tcp_filter_class1
match access-list tcp_filter1
exit
regex url1 "\.kkgame\.com"
class-map type regex match-any url_class1
match regex url1
exit
class-map type inspect http http_url_class1
match request header host regex class url_class1
exit
policy-map type inspect http http_url_policy1
class http_url_class1
drop-connection log
exit
policy-map inside_http_url_policy
class tcp_filter_class1
inspect http http_url_policy1
exit
service-policy inside_http_url_policy interface inside 

大致能看懂就好,稍微修改一下就可以满足自己的基本需求了

原文地址:https://blog.51cto.com/14157628/2402942

时间: 2024-10-12 20:20:48

ASA防火墙设置URL过滤的相关文章

ASA防火墙配置url过滤。详细实验步骤

实验拓扑图....服务器ip:202.168.1.10 web  www.cisco.com www.kkgame.com 分别用不同的主机名在服务器上搭建 权限添加成everyone..因为要向外发布网站. 添加一个自己改过名的默认文档,,如果没改过名的话就上移移动到顶层. 内存4G的电脑只能开两虚拟机.所以dns也搭在了这个服务器上.. dns服务器地址也是:202.168.1.10 dns设置完成后,在本机用nslookup测试一下.... 然后配置客户端.. 客户端dns指向服务器 配置

基于ASA防火墙做URL地址过滤

下面直接开始操作实验过程.SW1和SW2上面只需要关闭路由功能就行.下面是在ASA防火墙上的操作,启动ASA的startup-config配置文件. 然后配置ASA防火墙的IP地址,设置相应的区域,并且做了一个NAT地址转换. 此时配置完成就可以互相连通了.下面来检查客户机的IP地址配置,本地连接2回环网卡的配置如下所示. 下面再来检查linux服务器的IP地址配置,首先查看连接网卡VMnet1要和拓扑图衔接,宿主机上的VMnet1设置为自动获取就行. 编辑linux服务器的IP地址.子网掩码和

centos iptables 防火墙设置 mac过滤

1.阻止MAC地址为XX:XX:XX:XX:XX:XX主机的所有通信: iptables -A INPUT -s 192.168.1.21 -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT [!] --mac-source address Match source MAC address. It must be of the form XX:XX:XX:XX:XX:XX. Note that this only makes sense for pac

[小项目实战]分公司c3750简单mls qos限速,asa5510实现url过滤

现分公司的一个车间要出租给外加工单位,是我们boss的朋友,所以网络设备什么的都是由我们提供,大概车间办公室10+电脑左右,我们自己电脑总数在60台,其中能上外网的30+,领导让我去做这个项目,要求如下: 1.外租网络不能访问我们内网,可以访问外网 2.带宽的问题,我们总带宽是10M,我们分部实施了ad管理,像一些P2P下载软件用户是没有权限安装的,平时不搞迅雷下载和在线看视频的话,带宽还是足够的,而外加工那个单位电脑我们是无法控制的,所以领导要求把他们带宽限制在4M左右. 3.领导要求过滤一些

防火墙(ASA)高级配置之URL过滤、日志管理、透明模式

对于防火墙产品来说,最重要的一个功能就是对事件进行日志记录.本篇博客将介绍如何对ASA进行日志管理与分析.ASA透明模式的原理与配置.利用ASA防火墙的IOS特性实施URL过滤. 一.URL过滤 利用ASA防火墙IOS的特性URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的. 实施URL过滤一般分为以下三个步骤: (1)创建class-map(类映射),识别传输流量. (2)创建policy-map(策略映射),关联class-map. (3)应用policy-map到接口上. 案例:

Cisco ASA 高级配置之URL过滤

现在呢,有很多管理上网行为的软件,那么ASA作为状态化防火墙,它也可以进行管理上网行为,我们可以利用ASA防火墙iOS的特性实施URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的.实施URL过滤一般分成以下三个步骤:1.创建class-map(类映射),识别传输流量.2.创建policy-map(策略映射),关联class-map.3.应用policy-map到接口上. 配置实例: 使用下面简单的网络拓扑图,在内网主机上编辑hosts文件,添加如下记录(若是生产环境,DNS服务器等齐全

Cisco ASA “URL过滤”及“日志管理”

ASA作为状态化防火墙,它也可以进行管理上网行为,我们可以利用ASA防火墙iOS的特性实施URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的.实施URL过滤一般分成以下三个步骤:1.创建class-map(类映射),识别传输流量.2.创建policy-map(策略映射),关联class-map.3.应用policy-map到接口上.(个人感觉这玩意用到的地方很少,大部分都是使用第三方软件,一键管理)配置步骤如下:(1).创建class-map,识别传输流量:asa(config)# a

ASA防火墙上做基于域名的URL过滤

实验 实验拓扑图: 实验环境:   在server2008服务器上搭建WEB网站和DNS服务,分别创建域名为benet.com和accp.com两个网站.   实验要求:   首先客户端可以访问服务器上的两个网站,成功后在防火墙上做URL过滤使客户端无法访问accp.com网站.   实验步骤: 首先在ASA防火墙上配置各区域名称和IP地址:   ciscoasa(config)# int e0/0 ciscoasa(config-if)# nameif inside ciscoasa(conf

ASA防火墙穿越NAT设备与路由器做ipsecVPN

一. 实验任务及思路: 1.  使用GNS3搭建拓扑(拓扑如下),R2路由器模拟ISP服务提供商,R1上配置PAT实现内网对Internet的访问,要求ASA防火墙与R3之间建立IPSec VPN,连接穿过NAT设备,配置实现两端对等体建立IPSec VPN连接. 2. C1与C2先后互ping,比较ipsecVPN连接情况 二.  实验拓扑: 三.  IP地址规划:    C1 192.168.10.10/24 ASA1 e0/1 192.168.10.1/24 e0/0 172.16.11.