4 Cisco ASA上的URL過濾

Cisci ASA上的URL過濾

一 URL過濾

利用ASA防火牆IOS的特性實施URL過濾能夠對訪問的網站域名進行控制

·實施URL過濾通常分爲三個步驟

1建立class-map（類映射），識別傳輸流量

2建立policy-map（策略映射），關聯class-map

3應用policy-map到接口上

·實施URL過濾的模擬實驗

實驗要求：

1要求PC1不能訪問www.baidu.com

2要求PC2不能訪問www.sina.com.cn

2過了一段時間，公司要求內網全部主機都不能訪問www.qq.com

實驗環境：如圖所示

GNS3模擬環境中PC1和PC2使用雲設備分別鏈接兩臺虛擬機，且在hosts文件中分別添加三條要求中的主機記錄；Web服務器使用路由器模擬，開啓http服務便可

實驗步驟

1 ASA上的基本配置

配置動態PAT，讓內網主機能夠訪問互聯網（ISP）

2配置ISP

用路由器模擬ISP，這裏只需配置好接口地址便可（不用配置路由條目）

3配置web服務器

用路由器模擬web服務器，進行如下配置（配置好ip）

4配置PC機，並測試訪問

分別配置兩臺虛擬機的ip和網關，並在hosts文件中添加三條解析條目

分別在兩臺pc機上測試訪問

開始配置URL過濾（ASA）

要求1 ：PC1不能訪問www.baidu.com

步驟1：建立class-map，識別傳輸流

1定義要控制的網段（ACL），並建立第一個class-map

建立一個名爲tcp_filter1的ACL

asa(config)# access-list tcp_filter1 permit tcp 192.168.1.0 255.255.255.0 any eq www

再建立一個名爲tcp_filter1_class1的class-map，並將ACL添加到這個class-map

3設置要控制的url地址，並建立第二個且類型爲regex的class-map

建立一個url，再建立一個名爲url_class1的class-map，並將url添加到這個class-map

4建立第三個且類型爲inspect http的class-map

建立一個名爲http_url_class1的class-map，並調用第二個clas-map，即表示在http請求報文頭中的url後綴是baidu.com的將被丟棄

其中regex class表示調用class-map

步驟2：建立policy-map，關聯class-map

1建立第一個類型爲inspect http的policy-map

建立一個名爲http_url_policy1的policy-map，並調用第三個class-map；設置的規則爲drop數據包並關閉鏈接，發送系統日誌

2建立第二個policy-map

建立一個名爲inside_http_url_policy的policy-map（用來應用在接口）；並調用第一個class-map。設置檢查http流量

步驟3：應用policy-map到接口上

只能應用在inside接口上，且一個接口只能應用一個policy-map

最後進行測試，發現pc1不能訪問www.baidu.com

要求二：PC2不能訪問

重複前面的步驟便可，可是要注意一下幾點

從新建立一個ACL，即名稱不能和第一個相同（PC2屬於2網段）

asa(config)# access-list tcp_filter2 permit tcp 192.168.2.0 255.255.255.0 any eq www

從新建立第一個class-map、第二個class-map、第三個class-map和第一個policy-map；而後將這個policy-map應用到第二個policy-map中（由於一個接口只能應用一個policy-map，因此這裏不須要再建立第二個policy-map）

要求3：公司要求內網全部主機都不能訪問www.qq.com

當還須要禁止其餘url時，只需進行如下操做便可

建立url2,應用到url_class1

再將url2應用到url_class2上便可知足要求