设为首页 收藏本站

运维网

 找回密码
 立即注册
查看: 1482|回复: 0

[经验分享] 4 Cisco ASA上的URL过滤

[复制链接]
红色多瑙河

尚未签到
发表于 2018-7-15 11:13:51 | 显示全部楼层 |阅读模式
  Cisci ASA上的URL过滤
  一 URL过滤
  利用ASA防火墙IOS的特性实施URL过滤可以对访问的网站域名进行控制
  ·实施URL过滤一般分为三个步骤
  1创建class-map(类映射),识别传输流量
  2创建policy-map(策略映射),关联class-map
  3应用policy-map到接口上
  ·实施URL过滤的模拟实验
  实验要求:
  1要求PC1不能访问www.baidu.com
  2要求PC2不能访问www.sina.com.cn
  2过了一段时间,公司要求内网所有主机都不能访问www.qq.com
  实验环境:如图所示
  GNS3模拟环境中PC1和PC2使用云设备分别连接两台虚拟机,且在hosts文件中分别添加三条要求中的主机记录;Web服务器使用路由器模拟,开启http服务即可
DSC0000.jpg Cisco ASA上的URL过滤">

  实验步骤
  1 ASA上的基本配置
DSC0001.jpg Cisco ASA上的URL过滤">

  配置动态PAT,让内网主机可以访问互联网(ISP)
DSC0002.jpg Cisco ASA上的URL过滤">

  2配置ISP
  用路由器模拟ISP,这里只需配置好接口地址即可(不用配置路由条目)
DSC0003.jpg Cisco ASA上的URL过滤">

DSC0004.jpg Cisco ASA上的URL过滤">

  3配置web服务器
  用路由器模拟web服务器,进行以下配置(配置好ip)
DSC0005.jpg Cisco ASA上的URL过滤">

  4配置PC机,并测试访问
  分别配置两台虚拟机的ip和网关,并在hosts文件中添加三条解析条目
DSC0006.jpg Cisco ASA上的URL过滤">

  分别在两台pc机上测试访问
DSC0007.jpg Cisco ASA上的URL过滤">

  开始配置URL过滤(ASA)
  要求1 :PC1不能访问www.baidu.com
  步骤1:创建class-map,识别传输流
  1定义要控制的网段(ACL),并创建第一个class-map
  创建一个名为tcp_filter1的ACL
  asa(config)# access-list tcp_filter1 permit tcp 192.168.1.0 255.255.255.0 any eq www
  再创建一个名为tcp_filter1_class1的class-map,并将ACL添加到这个class-map
DSC0008.jpg Cisco ASA上的URL过滤">

  3设置要控制的url地址,并创建第二个且类型为regex的class-map
  创建一个url,再创建一个名为url_class1的class-map,并将url添加到这个class-map
DSC0009.jpg Cisco ASA上的URL过滤">

  4创建第三个且类型为inspect http的class-map
  创建一个名为http_url_class1的class-map,并调用第二个clas-map,即表示在http请求报文头中的url后缀是baidu.com的将被丢弃
DSC00010.jpg Cisco ASA上的URL过滤">


  其中regex>  步骤2:创建policy-map,关联class-map
  1创建第一个类型为inspect http的policy-map
  创建一个名为http_url_policy1的policy-map,并调用第三个class-map;设置的规则为drop数据包并关闭连接,发送系统日志
DSC00011.jpg Cisco ASA上的URL过滤">

  2创建第二个policy-map
  创建一个名为inside_http_url_policy的policy-map(用来应用在接口);并调用第一个class-map。设置检查http流量
DSC00012.jpg Cisco ASA上的URL过滤">

  步骤3:应用policy-map到接口上
  只能应用在inside接口上,且一个接口只能应用一个policy-map
DSC00013.jpg Cisco ASA上的URL过滤">

  最后进行测试,发现pc1不能访问www.baidu.com
  要求二:PC2不能访问
  重复前面的步骤即可,但是要注意一下几点
  重新创建一个ACL,即名称不能和第一个相同(PC2属于2网段)
  asa(config)# access-list tcp_filter2 permit tcp 192.168.2.0 255.255.255.0 any eq www
  重新创建第一个class-map、第二个class-map、第三个class-map和第一个policy-map;然后将这个policy-map应用到第二个policy-map中(因为一个接口只能应用一个policy-map,所以这里不需要再创建第二个policy-map)
  要求3:公司要求内网所有主机都不能访问www.qq.com
  当还需要禁止其他url时,只需进行以下操作即可
  创建url2,应用到url_class1
DSC00014.jpg Cisco ASA上的URL过滤">

  再将url2应用到url_class2上即可满足要求

运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.yunweiku.com/thread-537342-1-1.html 上篇帖子: Cisco 7200 配置SSL *** 下篇帖子: CISCO IOS和CLI的含义
回复

使用道具 举报

返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服 E-mail:iyunvcom@gmail.com

本站由青云提供云计算服务

运维网--中国最专业的运维工程师交流社区

豫ICP备20007574号-1 Copyright © 2012-2025

关于我们

发展历程

联系我们

关注我们

广告服务

广告案例

隐私条款

免责声明

用户登录

用户注册

版主守则

申请版主

手机版

金币获取

帮助中心

每日签到

Good Good

Study

Day Day

UP


客服E-mail:kefu@iyunv.com 客服QQ:1061981298


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud

快速回复 返回顶部 返回列表