ASA防火墙上做基于域名的URL过滤
实验
实验拓扑图:
实验环境:
在server2008服务器上搭建WEB网站和DNS服务,分别创建域名为benet.com和accp.com两个网站。
实验要求:
首先客户端可以访问服务器上的两个网站,成功后在防火墙上做URL过滤使客户端无法访问accp.com网站。
实验步骤:
首先在ASA防火墙上配置各区域名称和IP地址:
ciscoasa(config)# int e0/0
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip add 192.168.10.1 255.255.255.0
ciscoasa(config-if)# no shut
ciscoasa(config-if)# int e0/1
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip add 13.0.0.1 255.255.255.0
ciscoasa(config-if)# no shut
在服务器上创建两个网站,指定网站存放位置和域名:
创建accp.com网站:
创建benet.com网站:
指定DNS主机A记录:
测试用客户端访问者两个网站:
测试访问成功:
接下来在防火墙上做URL过滤使客户端无法访问accp.com网站。
ASA上的配置:
做URL过滤需要下面三个步骤;
url过滤
一, 创建class-map (类映射),识别传输流量。
ciscoasa(config)# access-list aclfile permit tcp 192.168.10.0 255.255.255.0 an$ //定义ACL访问控制列表aclfile。
ciscoasa(config)# class-map aclclass //建立类映射aclclass。
ciscoasa(config-cmap)# match access-list aclfile //匹配访问控制列表。
ciscoasa(config-cmap)# regex url "\.accp\.com" //定义正则表达式,过滤不允许访问的网站。
ciscoasa(config)# class-map type regex match-any urlclass //建立类映射urlclass,关键字match-any表示匹配任何一个。
ciscoasa(config-cmap)# match regex url //调用匹配正则表达式。
ciscoasa(config-cmap)# ex
ciscoasa(config)# class-map type inspect http httpclass //建立检查流量的类映射
ciscoasa(config-cmap)# match request header host regex class urlclass //调用之前已配置好的urlclass。
二, 创建policy-map (策略映射),关联class-map
ciscoasa(config)# policy-map type inspect http httppolicy //建立策略映射。
ciscoasa(config-pmap)# class httpclass //调用已经做好的检查http头部的类映射。
ciscoasa(config-pmap-c)# drop-connection log //丢弃并记录日志。
ciscoasa(config-pmap-c)# policy-map insidepolicy //对访问控制列表进行操作,定义相应策略。
ciscoasa(config-pmap)# class aclclass //调用访问控制列表的类映射。
ciscoasa(config-pmap-c)# inspect http httppolicy //检查定义好的策略映射。
三, 应用class-map到接口上。
ciscoasa(config)# service-policy insidepolicy interface inside //应用在端口。
测试使用客户端访问accp.com网站:
结果显示为无法访问:
实验完成
本文出自 “共同努力,共同进步~~” 博客,请务必保留此出处http://9067358.blog.51cto.com/9057358/1627040
郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。