Cisci ASA上的URL过滤
一 URL过滤
利用ASA防火墙IOS的特性实施URL过滤可以对访问的网站域名进行控制
・实施URL过滤一般分为三个步骤
1创建class-map(类映射),识别传输流量
2创建policy-map(策略映射),关联class-map
3应用policy-map到接口上
・实施URL过滤的模拟实验
实验要求:
1要求PC1不能访问www.baidu.com
2要求PC2不能访问www.sina.com.cn
2过了一段时间,公司要求内网所有主机都不能访问www.qq.com
实验环境:如图所示
GNS3模拟环境中PC1和PC2使用云设备分别连接两台虚拟机,且在hosts文件中分别添加三条要求中的主机记录;Web服务器使用路由器模拟,开启http服务即可
实验步骤
1 ASA上的基本配置
配置动态PAT,让内网主机可以访问互联网(ISP)
2配置ISP
用路由器模拟ISP,这里只需配置好接口地址即可(不用配置路由条目)
3配置web服务器
用路由器模拟web服务器,进行以下配置(配置好ip)
4配置PC机,并测试访问
分别配置两台虚拟机的ip和网关,并在hosts文件中添加三条解析条目
分别在两台pc机上测试访问
开始配置URL过滤(ASA)
要求1 :PC1不能访问www.baidu.com
步骤1:创建class-map,识别传输流
1定义要控制的网段(ACL),并创建第一个class-map
创建一个名为tcp_filter1的ACL
asa(config)# access-list tcp_filter1 permit tcp 192.168.1.0 255.255.255.0 any eq www
再创建一个名为tcp_filter1_class1的class-map,并将ACL添加到这个class-map
3设置要控制的url地址,并创建第二个且类型为regex的class-map
创建一个url,再创建一个名为url_class1的class-map,并将url添加到这个class-map
4创建第三个且类型为inspect http的class-map
创建一个名为http_url_class1的class-map,并调用第二个clas-map,即表示在http请求报文头中的url后缀是baidu.com的将被丢弃
其中regex class表示调用class-map
步骤2:创建policy-map,关联class-map
1创建第一个类型为inspect http的policy-map
创建一个名为http_url_policy1的policy-map,并调用第三个class-map;设置的规则为drop数据包并关闭连接,发送系统日志
2创建第二个policy-map
创建一个名为inside_http_url_policy的policy-map(用来应用在接口);并调用第一个class-map。设置检查http流量
步骤3:应用policy-map到接口上
只能应用在inside接口上,且一个接口只能应用一个policy-map
最后进行测试,发现pc1不能访问www.baidu.com
要求二:PC2不能访问
重复前面的步骤即可,但是要注意一下几点
重新创建一个ACL,即名称不能和第一个相同(PC2属于2网段)
asa(config)# access-list tcp_filter2 permit tcp 192.168.2.0 255.255.255.0 any eq www
重新创建第一个class-map、第二个class-map、第三个class-map和第一个policy-map;然后将这个policy-map应用到第二个policy-map中(因为一个接口只能应用一个policy-map,所以这里不需要再创建第二个policy-map)
要求3:公司要求内网所有主机都不能访问www.qq.com
当还需要禁止其他url时,只需进行以下操作即可
创建url2,应用到url_class1
再将url2应用到url_class2上即可满足要求