ASA防火墙之URL的过滤

ASA防火墙之URL的过滤

本篇继续讲解ASA防火墙，主要讲解ASA防火墙对流量的关键字的过滤，通过正则表达式来过滤抑或是放行的url流量。

拓扑

需求：
1、 当XP访问站点www.cjc.com时，只允许UR1中包含“sh/run”关键字得流量通过。
2、 访问其他站点得流量不受控制。
3、 丢弃不符合HTTP协议标准的流量。

环境搭建，R2作为http服务器，ASA作为防火墙，修改XP的DNS解析，将www.cjc.com的域名解析为192.168.184.100.具体文件在C:\Windows\System32\drivers\etc的hosts文件，修改添加如下。

XP地址设置如下

ASA配置
ASA(config)# access-list in permit ip any any //这里为了方便直接放行ANY，因为XP网卡问题，所以若想单条放行的话需添加一下网卡的网段，因为我这里网卡类似做转接的，没有与XP同一网段。若是想只做一条，就需修改一下网卡的网段了。
ASA(config)# access-group in in interface dmz
配置之后，使得XP可以访问192.168.184.100

R2配置
Ip http server //开启ftp服务
Ip http authentication local //开启本地验证
username ccie privilege 15 password cisco //创建用户

配置完成，XP通过浏览器访问域名www.cjc.com，可以访问到R2服务器。

环境搭建好，那么就开始做需求了。先看一下配置前效果，方便前后对比。
http://www.cjc.com/exec/show/run

http://www.cjc.com/exec/show/ip/int/br

为了更能体验效果，我们再添加一个域名。www.cjc2.com

配置过滤：

配置正则表达式
regex domain www.cjc.com
regex uri show/run

配置运用层监控类型的class-map
class-map type inspect http match-all match-http-class
match request header host regex domain
match not request uri regex uri

配置运用层监控类型的policy-map
ASA(config)# policy-map type inspect http http-policy-map
ASA(config-pmap)# parameters
ASA(config-pmap-p)# protocol-violation action reset
ASA(config-pmap)# class match-http-class
ASA(config-pmap-c)# reset
调用运用层监控类型的policy-map
ASA(config)# policy-map global_policy
ASA(config-pmap)# class inspection_default
ASA(config-pmap-c)# inspect http http-policy-map

配置完成，来查看HTTP访问情况，uri带show/run的仍然是可以访问的。

而其他的流量就不能够访问了。

所以上述是满足需求的，现在我们再来查看一下想象，访问www.cjc2.com,不带show/run的。

可以发现，还是能够访问的，原因就是我们做监控类型的class-map匹配了只是www.cjc.com这个域名的。其他域名是不被限制的。当然也可以修改class-map的all类型。这样只要两者一者包括的话就不能否访问了。

最后

到此讲解结束，感谢观看。