ASA防火墙之三-屏蔽内网访问某些域名

 在公司有时候老板可能不想让自己的员工，在上班时间上淘宝，QQ空间的之类的网站，影响工作的质量，所以，会叫技术员屏蔽掉这些域名。在这里，我采用思科ASA防火墙实现这个效果。

实验要求：

  100.1.1.1作为外网WEB服务，内网的192.168.1.1用户能够获得“163.COM”的域名解析，但无法获得"taobao.com"的域名解析。

conf t

hostname ASA

int e0/0

nameif inside

ip add 192.168.1.5 255.255.255.0

no sh

int e0/1

nameif outside

ip add 100.1.1.5 255.255.255.0

no sh

exit

access-lis ping permit tcp 192.168.1.0 255.255.255.0 any  eq www

class-map tcp_filter_class1

match access-list ping

exit

regex url1 "\.taobao\.com"

class-map type regex match-any url_class1

match regex url1

exit

class-map type inspect http http_url_class

match request header host regex class  url_class1

exit

policy-map type inspect http http_url_policy1

class http_url_class

drop-connection log

exit

exit

policy-map inside_http_url_policy

class tcp_filter_class1

inspect http  http_url_policy1

exit

exit

service-policy   inside_http_url_policy interface inside

 outweb采用windows server 2008 搭建IIS服务器和做域名解析：

 域名"www.163.com"能够获得正常的域名解析，访问100.1.1.1的iis服务器.

 域名"www.taobao.com"无法能够获得正常的域名解析。