实验URL过滤

URL过滤_第1张图片

实验步骤:

1.首先搭建server2008服务器web网站,基于不同主机名

URL过滤_第2张图片

URL过滤_第3张图片

然后进入到cmd命令符里创建两个目录并且给他里面写两个文件(手动配置DNS,省得在建立DNS服务器,注意:在真实设备上是不行的)URL过滤_第4张图片

并且到C盘上查看下两个文件

URL过滤_第5张图片

在信息平台上进行绑定(benet.com)

URL过滤_第6张图片

URL过滤_第7张图片

并且指下物理路径

URL过滤_第8张图片

然后在创建accp.com和benet.com并且进行绑定

URL过滤_第9张图片

URL过滤_第10张图片

 

 

2.在客户机上添加DNS(手动配置)并且测试下可不可以域名解析

URL过滤_第11张图片URL过滤_第12张图片

3ASA上配置

1 创建class-map (类映射),识别传输流量

第一内网的网段

第二定义正则表达式,决定url中包含的(域名)关键字

第三检查IP报文头部,是否是http流量

2 创建policy-map (策略映射),关联class-map

要么允许这个链接

要么丢弃这个链接

通常把策略应用在inside(入站)接口上

一个接口只能应用一个策略映射

3 应用class-map到接口上。

首先初始化并且配置ip地址以及接口名称

URL过滤_第13张图片

URL过滤_第14张图片

URL过滤_第15张图片

配置NAT转换并且应用接口

 

access-list aclfile extended permit tcp 192.168.10.0 255.255.255.0 any eq www(定义ACL访问控制列表aclfile)

 

class-map aclclass(建立类映射)

match access-list aclfile  (匹配访问控制列表)

//定义正则表达式,指定需要过滤不允许访问的网站//

 regex url "\.accp\.com" (注意斜杠别写反了)

class-map type regex match-any urlclass

match regex url  (调用匹配正则表达式)

class-map type inspect http httpclass(建立检查流量的类映射)

match request header host regex class urlclass (调用之前已配置好的urlclass

URL过滤_第16张图片

policy-map type inspect http httppolicy   (建立策略映射)

class httpclass   (调用已经做好的检查http头部的类映射)

drop-connection log (丢弃并记录日志)

 

policy-map insidepolicy (对访问控制列表进行操作,定义相应策略)

 

class aclclass       (调用访问控制列表的类映射)

 

inspect http httppolicy         (检查定义好的策略映射)

 

service-policy insidepolicy interface inside (应用在端口)

URL过滤_第17张图片

然后到win7上测试一下,是访问不了

URL过滤_第18张图片