asa-url-filter

   要求

     IP地址范围在192.168.0.1-192.168.0.15中的主机只能访问www.163.com，不能访问其它任何网站。

    禁止所有主机访问www.kkgame.com。 

 

     实施URL过滤分为3个步骤

    创建class-map（类映射），识别传输流量

   创建policy-map（策略映射），关联class-map

     应用policy-map到接口上

 

任务一：IP地址范围在192.168.0.1-192.168.0.15中的主机只能访问www.163.com，

不能访问其它任何网站。

 

1、创建class-map，识别传输流量

asa802(config)# access-list tcp_filter permit tcp 192.168.0.0255.255.255.240 any eq www

asa802(config)# class-map tcp_filter_class

asa802(config-cmap)# match access-list tcp_filter 

asa802(config-cmap)#exit

 

asa802(config)# regex url1 "\.163\.com"

asa802(config)# class-map type regex match-any url_class  (创建类型为"regex"的类)

asa802(config-cmap)# match regex url1

asa802(config-cmap)# exit 

 

(创建类型为"inspect"、检查协议为http的类)

asa802(config)# class-map type inspect http http_url_class

(在检查http请求报文包头的host字段的过程中，发现不是url_class所规定字段的报文)

asa802(config-cmap)# match not request header host regex class url_class

asa802(config-cmap)# exit 

 

2、  创建policy-map，关联class-map

（创建检查http报文流量的策略）

asa802(config)# policy-map type inspect http http_url_policy

asa802(config-pmap)# class http_url_class

asa802(config-pmap-c)# drop-connection log

asa802(config-pmap-c)# exit

asa802(config-pmap)#exit 

 

（创建接口应用策略）

asa802(config)# policy-map inside_http_url_policy

asa802(config-pmap)# class tcp_filter_class

asa802(config-pmap-c)# inspect http http_url_policy

asa802(config-pmap-c)# exit

asa802(config-pmap)#exit

 

3、应用policy-map到接口上

asa802(config)#service-policy inside_http_url_policy interface inside

 

4、  验证

a)       PC1可以访问www.163.com

b)       PC1不能访问www.kkgame.com。 

任务二、禁止所有主机访问www.kkgame.com。 

 

1、  创建class-map，识别传输流量

asa802(config)# access-list tcp_filter2 permit tcp any any eq www

asa802(config)# class-map tcp_filter_class2

asa802(config-cmap)# match access-list tcp_filter2

asa802(config-cmap)#exit

asa802(config)# regex url2"\.kkgame\.com"

asa802(config)# class-map type regex match-any url_class2

asa802(config-cmap)# match regex url2

asa802(config-cmap)# exit

asa802(config)# class-map type inspect http http_url_class2

asa802(config-cmap)# match request header host regex classurl_class2     

asa802(config-cmap)# exit

 

2、创建policy-map，关联class-map

asa802(config)# policy-map type inspect http http_url_policy2

asa802(config-pmap)# class http_url_class2

asa802(config-pmap-c)# drop-connection log  

asa802(config-pmap-c)# exit

asa802(config-pmap)#exit

asa802(config)# policy-map inside_http_url_policy        

asa802(config-pmap)# class tcp_filter_class2

asa802(config-pmap-c)# inspect http http_url_policy2

asa802(config-pmap-c)# exit

asa802(config-pmap)#exit

 

3、应用policy-map到接口上

asa802(config)#service-policy inside_http_url_policy interface inside

 

4、验证

将PC1的IP改为192.168.0.20，则不能访问www.kkgame.com。 

 

提示：

若增加主机，需添加ACL表项；

若增加URL，需定义新的正则表达式（即regexurl2），并添加到class-map中（match-any）