利用ASA5505禁用QQ

        公司目前利用域环境下的组策略,对用户的权限进行设定。默认用户是没有软件安装权限的。在公司给出的标准软件中,聊天类的软件也是不允许安装的。

       最近,公司领导有反映,看见某些同事上班时间聊QQ, 因为公司的外网是没有禁用的,大家可以访问互联网,就可以去访问WEB QQ. 所有上班时间打开网页,聊天就成为了可能,时间长了,被领导发现也就很正常不过的了。

       下面给大家介绍一下,如何在公司防火墙上设置URL FILITER, 对webqq进行拦截,还大家一个正常的办公环境。公司使用的防火墙是cisco ASA 5505型号,它能够独立的配置url 过滤, 起到警用某些网站的作用。因为公司的网络环境比较简单,所有不需要配合专门的web 过滤服务器使用。这对中小型企业而言,是比较友好的,可以节约一些服务器等硬件设备费用。

      配置方法:

第一步 :创建class-map, 用来识别数据流。利用扩展访控列表进行设置:

   asa 5505(config)# access-list tcp_filter permit tcp any any eq www

 asa 5505(config)# class-map tcp_filter_class

asa 5505(config-cmap)# match access-list tcp_filter

asa 5505(config-cmap)# exit

asa 5505(config)# regex url "\.qq.\.com"\

asa 5505(config-cmap)# class-map type regex match-any rul_class

asa 5505(config-cmap)#match regex url

asa 5505(config)# exit

asa 5505(config)#  class-map type inspect http http_url_class

asa 5505(config-cmap)#match request header host regex class url_class

第二步:创建policy-map ,关联Policy-map

asa5505(config)# policy-map type inspect http http_url_policy

asa5505(config-pmap)# class http_url_class

asa5505(config-pmap-c)# drop-connection log

asa5505(config-pmap-c)# exit

asa5505(config-pmap)#exit

asa5505(config)# policy-map inside_http_url_policy

asa5505(config-pmap)# class tcp_filter_class

asa5505(config-pmap-c)# inspect http http_url_policy

asa5505(config-pmap-c)# exit

asa5505(config-pmap)#exit  

第三步:在inside 端口上使用策略

asa5505(config)# service-policy inside_http_url_policy interface inside

最后别忘记了保存配置,退出防火墙。从客户端,浏览器上输入web.qq.com,这时大家发现,页面已经不能正常登陆了。只要是qq.com结尾的都不能正常显示,已经被防火墙丢弃。

 

你可能感兴趣的:(防火墙,asa,禁用,webqq)