要求
IP地址范围在192.168.0.1-192.168.0.15中的主机只能访问www.163.com,不能访问其它任何网站。
禁止所有主机访问www.kkgame.com。
实施URL过滤分为3个步骤
创建class-map(类映射),识别传输流量
创建policy-map(策略映射),关联class-map
应用policy-map到接口上
任务一:IP地址范围在192.168.0.1-192.168.0.15中的主机只能访问www.163.com,
不能访问其它任何网站。
1、创建class-map,识别传输流量
asa802(config)# access-list tcp_filter permit tcp 192.168.0.0255.255.255.240 any eq www
asa802(config)# class-map tcp_filter_class
asa802(config-cmap)# match access-list tcp_filter
asa802(config-cmap)#exit
asa802(config)# regex url1 "\.163\.com"
asa802(config)# class-map type regex match-any url_class (创建类型为"regex"的类)
asa802(config-cmap)# match regex url1
asa802(config-cmap)# exit
(创建类型为"inspect"、检查协议为http的类)
asa802(config)# class-map type inspect http http_url_class
(在检查http请求报文包头的host字段的过程中,发现不是url_class所规定字段的报文)
asa802(config-cmap)# match not request header host regex class url_class
asa802(config-cmap)# exit
2、 创建policy-map,关联class-map
(创建检查http报文流量的策略)
asa802(config)# policy-map type inspect http http_url_policy
asa802(config-pmap)# class http_url_class
asa802(config-pmap-c)# drop-connection log
asa802(config-pmap-c)# exit
asa802(config-pmap)#exit
(创建接口应用策略)
asa802(config)# policy-map inside_http_url_policy
asa802(config-pmap)# class tcp_filter_class
asa802(config-pmap-c)# inspect http http_url_policy
asa802(config-pmap-c)# exit
asa802(config-pmap)#exit
3、应用policy-map到接口上
asa802(config)#service-policy inside_http_url_policy interface inside
4、 验证
a) PC1可以访问www.163.com
b) PC1不能访问www.kkgame.com。
任务二、禁止所有主机访问www.kkgame.com。
1、 创建class-map,识别传输流量
asa802(config)# access-list tcp_filter2 permit tcp any any eq www
asa802(config)# class-map tcp_filter_class2
asa802(config-cmap)# match access-list tcp_filter2
asa802(config-cmap)#exit
asa802(config)# regex url2"\.kkgame\.com"
asa802(config)# class-map type regex match-any url_class2
asa802(config-cmap)# match regex url2
asa802(config-cmap)# exit
asa802(config)# class-map type inspect http http_url_class2
asa802(config-cmap)# match request header host regex classurl_class2
asa802(config-cmap)# exit
2、创建policy-map,关联class-map
asa802(config)# policy-map type inspect http http_url_policy2
asa802(config-pmap)# class http_url_class2
asa802(config-pmap-c)# drop-connection log
asa802(config-pmap-c)# exit
asa802(config-pmap)#exit
asa802(config)# policy-map inside_http_url_policy
asa802(config-pmap)# class tcp_filter_class2
asa802(config-pmap-c)# inspect http http_url_policy2
asa802(config-pmap-c)# exit
asa802(config-pmap)#exit
3、应用policy-map到接口上
asa802(config)#service-policy inside_http_url_policy interface inside
4、验证
将PC1的IP改为192.168.0.20,则不能访问www.kkgame.com。
提示:
若增加主机,需添加ACL表项;
若增加URL,需定义新的正则表达式(即regexurl2),并添加到class-map中(match-any)