ASA防火牆配置url過濾。詳細實驗步驟

實驗拓撲圖。。。。服務器ip：202.168.1.10

                   web  www.cisco.com

                        www.kkgame.com 分別用不一樣的主機名在服務器上搭建

權限添加成everyone。。由於要向外發佈網站。

添加一個本身改過名的默認文檔，，若是沒改過名的話就上移移動到頂層。

內存4G的電腦只能開兩虛擬機。因此dns也搭在了這個服務器上。。

dns服務器地址也是：202.168.1.10

dns設置完成後，在本機用nslookup測試一下、、、、

而後配置客戶端。。

客戶端dns指向服務器

配置ASA的基本命令後，ping包是回不來的。。可是訪問網站沒問題。。由於ICMP是無狀態的。ASA沒記錄。

HTTP 高到低OK啦。。

客戶端。。測試成功。。

而後在ASA上配置URL過濾：

具體步驟以及講解：

  ASA:

config t

access-list tcp_filter permit tcp 192.168.1.0 255.255.255.0 any eq www

//定位源到達任何網站的流量.沒法準肯定位

class-map tcp_filter_class

match access-list tcp_filter 

/匹配源達到全部web的流量的類映射 

exit

class-map type inspect http http_url_class

/定義檢測類http_url_class匹配http頭中不包含 url_class類中正則表達式的url的http流量

match not request header host regex class url_class

白名單機制  not request 表示不匹配的都將會被丟棄  不加not表明黑名單，匹配就丟

exit 

regex url1 "\.cisco\.com"

正則表達式匹配url中匹配攜帶.cisco.com的url地址(url列表）

class-map type regex match-any url_class

建立一個url集合。裏面能夠放置多個url列表

match regex url1

exit

policy-map type inspect http http_url_policy

class http_url_class 

drop-connection log

定義規則檢測類。對上一流程不匹配或者匹配的作出相應的措施

（drop）

exit

exit

policy-map inside_http_url_policy 

class tcp_filter_class

inspect http http_url_policy 

//定義policy-map inside_http_url_policy,把上述的規則和流量檢測的結果定義到一個策略容器中（policy-map)

exit

exit 

 

service-policy inside_http_url_policy interface inside 

將policy-map應用到接口上使之生效.

好啦。。咱們的實驗作完了。。。可能不是很全面。。。