利用ASA5505禁用QQ

        公司目前利用域环境下的组策略，对用户的权限进行设定。默认用户是没有软件安装权限的。在公司给出的标准软件中，聊天类的软件也是不允许安装的。

       最近，公司领导有反映，看见某些同事上班时间聊QQ， 因为公司的外网是没有禁用的，大家可以访问互联网，就可以去访问WEB QQ. 所有上班时间打开网页，聊天就成为了可能，时间长了，被领导发现也就很正常不过的了。

       下面给大家介绍一下，如何在公司防火墙上设置URL FILITER, 对webqq进行拦截，还大家一个正常的办公环境。公司使用的防火墙是cisco ASA 5505型号，它能够独立的配置url 过滤， 起到警用某些网站的作用。因为公司的网络环境比较简单，所有不需要配合专门的web 过滤服务器使用。这对中小型企业而言，是比较友好的，可以节约一些服务器等硬件设备费用。

      配置方法：

第一步 ：创建class-map, 用来识别数据流。利用扩展访控列表进行设置：

   asa 5505(config)# access-list tcp_filter permit tcp any any eq www

 asa 5505(config)# class-map tcp_filter_class

asa 5505(config-cmap)# match access-list tcp_filter

asa 5505(config-cmap)# exit

asa 5505(config)# regex url "\.qq.\.com"\

asa 5505(config-cmap)# class-map type regex match-any rul_class

asa 5505(config-cmap)#match regex url

asa 5505(config)# exit

asa 5505(config)#  class-map type inspect http http_url_class

asa 5505(config-cmap)#match request header host regex class url_class

第二步：创建policy-map ,关联Policy-map

asa5505(config)# policy-map type inspect http http_url_policy

asa5505(config-pmap)# class http_url_class

asa5505(config-pmap-c)# drop-connection log

asa5505(config-pmap-c)# exit

asa5505(config-pmap)#exit

asa5505(config)# policy-map inside_http_url_policy

asa5505(config-pmap)# class tcp_filter_class

asa5505(config-pmap-c)# inspect http http_url_policy

asa5505(config-pmap-c)# exit

asa5505(config-pmap)#exit  

第三步：在inside 端口上使用策略

asa5505(config)# service-policy inside_http_url_policy interface inside

最后别忘记了保存配置，退出防火墙。从客户端，浏览器上输入web.qq.com,这时大家发现，页面已经不能正常登陆了。只要是qq.com结尾的都不能正常显示，已经被防火墙丢弃。