ASA防火墙配置url过滤。详细实验步骤

wKioL1RBFBrBKfS7AAD6ZFk9emY518.jpg

实验拓扑图。。。。服务器ip:202.168.1.10

                   web  www.cisco.com

                        www.kkgame.com 分别用不同的主机名在服务器上搭建

wKioL1RBFLOS_83kAAOIl7aKaag938.jpg

wKioL1RBFWXykNZTAALJsPumMoo671.jpg


权限添加成everyone。。因为要向外发布网站。

wKiom1RBFXiATU8GAAOHAlSnFd8133.jpg


添加一个自己改过名的默认文档,,如果没改过名的话就上移移动到顶层。


wKioL1RBFgXhHqr_AAH2jr3RD1I186.jpg

内存4G的电脑只能开两虚拟机。所以dns也搭在了这个服务器上。。

dns服务器地址也是:202.168.1.10


wKiom1RBFfbhVjD3AAJr8DjTJGs963.jpg

dns设置完成后,在本机用nslookup测试一下、、、、

然后配置客户端。。

客户端dns指向服务器

wKioL1RBFoaTjUwsAAQkb5Bz-Sw751.jpg

配置ASA的基本命令后,ping包是回不来的。。但是访问网站没问题。。因为ICMP是无状态的。ASA没记录。

HTTP 高到低OK啦。。

客户端。。测试成功。。


wKioL1RBFxyiTrT7AAJDZ-9s4a8892.jpg

wKiom1RBFubgt8FPAAK8pB1W39I333.jpg

然后在ASA上配置URL过滤:

具体步骤以及讲解:

  ASA:

config t

access-list tcp_filter permit tcp 192.168.1.0 255.255.255.0 any eq www

//定位源到达任何网站的流量.无法准确定位

class-map tcp_filter_class

match access-list tcp_filter 

/匹配源达到所有web的流量的类映射 

exit



class-map type inspect http http_url_class

/定义检测类http_url_class匹配http头中不包含 url_class类中正则表达式的url的http流量

match not request header host regex class url_class

白名单机制  not request 表示不匹配的都将会被丢弃  不加not代表黑名单,匹配就丢

exit 


regex url1 "\.cisco\.com"

正则表达式匹配url中匹配携带.cisco.com的url地址(url列表)

class-map type regex match-any url_class

创建一个url集合。里面可以放置多个url列表

match regex url1

exit


policy-map type inspect http http_url_policy

class http_url_class 

drop-connection log

定义规则检测类。对上一流程不匹配或者匹配的做出相应的措施

(drop)

exit

exit




policy-map inside_http_url_policy 

class tcp_filter_class

inspect http http_url_policy 

//定义policy-map inside_http_url_policy,把上述的规则和流量检测的结果定义到一个策略容器中(policy-map)

exit

exit 

 


service-policy inside_http_url_policy interface inside 

将policy-map应用到接口上使之生效.

wKioL1RBF4TQz9aoAAJDZ-9s4a8794.jpg

wKiom1RBF0-AP1_cAAOQDXMpC-Q730.jpg

好啦。。我们的实验做完了。。。可能不是很全面。。。

本文出自 “断肠人在天涯” 博客,谢绝转载!

你可能感兴趣的:(虚拟机,防火墙,Everyone,DNS服务器,具体步骤)