要求

     IP地址范围在192.168.0.1-192.168.0.15中的主机只能访问www.163.com,不能访问其它任何网站。

    禁止所有主机访问www.kkgame.com 

 

     URL过滤分为3个步骤

    创建class-map(类映射),识别传输流量

   创建policy-map(策略映射),关联class-map

     应用policy-map到接口上

 

任务一:IP地址范围在192.168.0.1-192.168.0.15中的主机只能访问www.163.com

不能访问其它任何网站。

 

1、创建class-map,识别传输流量

asa802(config)# access-list tcp_filter permit tcp 192.168.0.0255.255.255.240 any eq www

asa802(config)# class-map tcp_filter_class

asa802(config-cmap)# match access-list tcp_filter 

asa802(config-cmap)#exit

 

asa802(config)# regex url1 "\.163\.com"

asa802(config)# class-map type regex match-any url_class  (创建类型为"regex"的类)

asa802(config-cmap)# match regex url1

asa802(config-cmap)# exit 

 

(创建类型为"inspect"、检查协议为http的类)

asa802(config)# class-map type inspect http http_url_class

(在检查http请求报文包头的host字段的过程中,发现不是url_class所规定字段的报文)

asa802(config-cmap)# match not request header host regex class url_class

asa802(config-cmap)# exit 

 

2、  创建policy-map,关联class-map

(创建检查http报文流量的策略)

asa802(config)# policy-map type inspect http http_url_policy

asa802(config-pmap)# class http_url_class

asa802(config-pmap-c)# drop-connection log

asa802(config-pmap-c)# exit

asa802(config-pmap)#exit 

 

(创建接口应用策略)

asa802(config)# policy-map inside_http_url_policy

asa802(config-pmap)# class tcp_filter_class

asa802(config-pmap-c)# inspect http http_url_policy

asa802(config-pmap-c)# exit

asa802(config-pmap)#exit

 

3、应用policy-map到接口上

asa802(config)#service-policy inside_http_url_policy interface inside

 

4、  验证

a)       PC1可以访问www.163.com

b)       PC1不能访问www.kkgame.com 

任务二、禁止所有主机访问www.kkgame.com 

 

1、  创建class-map,识别传输流量

asa802(config)# access-list tcp_filter2 permit tcp any any eq www

asa802(config)# class-map tcp_filter_class2

asa802(config-cmap)# match access-list tcp_filter2

asa802(config-cmap)#exit

asa802(config)# regex url2"\.kkgame\.com"

asa802(config)# class-map type regex match-any url_class2

asa802(config-cmap)# match regex url2

asa802(config-cmap)# exit

asa802(config)# class-map type inspect http http_url_class2

asa802(config-cmap)# match request header host regex classurl_class2     

asa802(config-cmap)# exit

 

2创建policy-map,关联class-map

asa802(config)# policy-map type inspect http http_url_policy2

asa802(config-pmap)# class http_url_class2

asa802(config-pmap-c)# drop-connection log  

asa802(config-pmap-c)# exit

asa802(config-pmap)#exit

asa802(config)# policy-map inside_http_url_policy        

asa802(config-pmap)# class tcp_filter_class2

asa802(config-pmap-c)# inspect http http_url_policy2

asa802(config-pmap-c)# exit

asa802(config-pmap)#exit

 

3、应用policy-map到接口上

asa802(config)#service-policy inside_http_url_policy interface inside

 

4、验证

PC1IP改为192.168.0.20,则不能访问www.kkgame.com 

 

提示:

若增加主机,需添加ACL表项;

若增加URL,需定义新的正则表达式(即regexurl2),并添加到class-map中(match-any