4 Cisco ASA上的URL过滤

Cisci ASA上的URL过滤

一 URL过滤

利用ASA防火墙IOS的特性实施URL过滤能够对访问的网站域名进行控制

·实施URL过滤通常分为三个步骤

1建立class-map（类映射），识别传输流量

2建立policy-map（策略映射），关联class-map

3应用policy-map到接口上

·实施URL过滤的模拟实验

实验要求：

1要求PC1不能访问www.baidu.com

2要求PC2不能访问www.sina.com.cn

2过了一段时间，公司要求内网全部主机都不能访问www.qq.com

实验环境：如图所示

GNS3模拟环境中PC1和PC2使用云设备分别链接两台虚拟机，且在hosts文件中分别添加三条要求中的主机记录；Web服务器使用路由器模拟，开启http服务便可

实验步骤

1 ASA上的基本配置

配置动态PAT，让内网主机能够访问互联网（ISP）

2配置ISP

用路由器模拟ISP，这里只需配置好接口地址便可（不用配置路由条目）

3配置web服务器

用路由器模拟web服务器，进行如下配置（配置好ip）

4配置PC机，并测试访问

分别配置两台虚拟机的ip和网关，并在hosts文件中添加三条解析条目

分别在两台pc机上测试访问

开始配置URL过滤（ASA）

要求1 ：PC1不能访问www.baidu.com

步骤1：建立class-map，识别传输流

1定义要控制的网段（ACL），并建立第一个class-map

建立一个名为tcp_filter1的ACL

asa(config)# access-list tcp_filter1 permit tcp 192.168.1.0 255.255.255.0 any eq www

再建立一个名为tcp_filter1_class1的class-map，并将ACL添加到这个class-map

3设置要控制的url地址，并建立第二个且类型为regex的class-map

建立一个url，再建立一个名为url_class1的class-map，并将url添加到这个class-map

4建立第三个且类型为inspect http的class-map

建立一个名为http_url_class1的class-map，并调用第二个clas-map，即表示在http请求报文头中的url后缀是baidu.com的将被丢弃

其中regex class表示调用class-map

步骤2：建立policy-map，关联class-map

1建立第一个类型为inspect http的policy-map

建立一个名为http_url_policy1的policy-map，并调用第三个class-map；设置的规则为drop数据包并关闭链接，发送系统日志

2建立第二个policy-map

建立一个名为inside_http_url_policy的policy-map（用来应用在接口）；并调用第一个class-map。设置检查http流量

步骤3：应用policy-map到接口上

只能应用在inside接口上，且一个接口只能应用一个policy-map

最后进行测试，发现pc1不能访问www.baidu.com

要求二：PC2不能访问

重复前面的步骤便可，可是要注意一下几点

从新建立一个ACL，即名称不能和第一个相同（PC2属于2网段）

asa(config)# access-list tcp_filter2 permit tcp 192.168.2.0 255.255.255.0 any eq www

从新建立第一个class-map、第二个class-map、第三个class-map和第一个policy-map；而后将这个policy-map应用到第二个policy-map中（由于一个接口只能应用一个policy-map，因此这里不须要再建立第二个policy-map）

要求3：公司要求内网全部主机都不能访问www.qq.com

当还须要禁止其余url时，只需进行如下操做便可

建立url2,应用到url_class1

再将url2应用到url_class2上便可知足要求