ASA 防火墙URL过滤

1. 创建class-map ,识别传输流量


config : access-list tcp_filter1 permit tcp 192.168.1.0 255.255.255.0 any eq www


class-map tcp_filter_class1

config-cmap: match access-list tcp_filter1 ##class-map 定义允许的流量


exit


//定义名为 url1 的政策表达式,表示URL 后缀为“.games.com”


config: regex url1 "\.games\.com"



//创建名字为url_class1的class-map,类型为regex


config: class-map type regex match-any url_class1

|

| 表示匹配任何一个


config-map: match regex url1

exit


//创建名为http_url_class1的class-map , 类型为inspect http (检查http流量)


config:class-map type inspect http http_url_class1

config-cmap: match request header host regex class url_class1



2 创建policy-map ,关联 class-map


config:policy-map type inspect http http_url_policy1

config-pmap: class http_url_class1 ##调用之前创建的class-map

config-pmap-c: drop-connection log ##drop数据包并关闭连接,并发送系统日志

exit

exit

config: policy-map inside_http_url_policy

config-pmap: class tcp_filter-class1 ##调用之前创建的class-map

config-pmap-c:inspect http http_url_policy1 ##检查http流量

exit

exit


3 应用policy-map到接口上


config: service-policy inside_http_url_policy1 interface inside


注意:一个接口只能应用一个policy-map

你可能感兴趣的:(表达式,流量,ASA防火墙)