ASA 防火墙URL过滤

1. 创建class-map ，识别传输流量

config ： access-list tcp_filter1 permit tcp 192.168.1.0 255.255.255.0 any eq www

class-map tcp_filter_class1

config-cmap： match access-list tcp_filter1 ##class-map 定义允许的流量

exit

//定义名为 url1 的政策表达式，表示URL 后缀为“.games.com”

config： regex url1 "\.games\.com"

//创建名字为url_class1的class-map,类型为regex

config： class-map type regex match-any url_class1

|

| 表示匹配任何一个

config-map: match regex url1

exit

//创建名为http_url_class1的class-map ， 类型为inspect http （检查http流量）

config：class-map type inspect http http_url_class1

config-cmap： match request header host regex class url_class1

2 创建policy-map ，关联 class-map

config：policy-map type inspect http http_url_policy1

config-pmap: class http_url_class1 ##调用之前创建的class-map

config-pmap-c: drop-connection log ##drop数据包并关闭连接，并发送系统日志

exit

exit

config: policy-map inside_http_url_policy

config-pmap： class tcp_filter-class1 ##调用之前创建的class-map

config-pmap-c：inspect http http_url_policy1 ##检查http流量

exit

exit

3 应用policy-map到接口上

config： service-policy inside_http_url_policy1 interface inside

注意：一个接口只能应用一个policy-map