ASA防火墙设置URL过滤

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了ASA防火墙设置URL过滤相关的知识,希望对你有一定的参考价值。

实施URL过滤一般分为以下三个步骤:
1.创建class-map(类映射),识别传输流量;
2.创建policy-map(策略映射),关联class-map;
3.应用policy-map到接口上。
创建class-map,识别传输流量

ASA(config)# access-list 100 permit tcp 192.168.1.0 255.255.255.0 any eq www
ASA(config)# class-map 100
#创建类映射
ASA(config-cmap)# match access-list 100
#在class-map中定义允许的流量
ASA(config)# regex url1 "\.kkgame\.com"
#定义名称为url1的正则表达式,表示URL扩展名是“.kkgame.com”
ASA(config)# class-map type regex match-any url_class1
#创建名称为url_class1的class-map,类型为regex
ASA(config-cmap)# match regex url1
#关键字match-any表示匹配任何一个
ASA(config)# class-map type inspect http http_url_class1
#创建名称为http_url_class1的class-map,类型为inspect http(检查http流量)
ASA(config-cmap)# match request header host regex class url_class1
#匹配http请求报文中的host域中的URL扩展名“kkgame.com”,
url_class1表示调用名称为url_class1的class-map

创建policy-map,关联class-map

ASA(config)# policy-map type inspect http http_url_policy1
#创建名称为http_url_policy1的policy-map,类型inspect http(检查http流量)
ASA(config-pmap)# class http_url_class1
#调用之前创建的class-map
ASA(config-pmap-c)# drop-connection log
#drop数据包并关闭连接,并发送系统日志

ASA(config)# policy-map inside_http_url_policy
#创建名称为inside_http_url_policy的policy-map,它将应用到接口上
ASA(config-pmap)# class 100
#调用之前创建的class-map
ASA(config-pmap-c)# inspect http http_url_policy1
#检查http流量

应用policy-map到接口上

ASA(config)# service-policy inside_http_url_policy interface inside
#应用policy-map到inside区域

这个配置有点麻烦,所以整理了一个文档

access-list tcp_filter1 permit tcp 192.168.1.0 255.255.255.0 any eq www
class-map tcp_filter_class1
match access-list tcp_filter1  
exit
regex url1 "\.kkgame\.com"
class-map type regex match-any url_class1 
match regex url1
exit
class-map type inspect http http_url_class1
match request header host regex class url_class1 
exit
policy-map type inspect http http_url_policy1 
class http_url_class1
drop-connection log 
exit
policy-map inside_http_url_policy 
class tcp_filter_class1 
inspect http http_url_policy1 
exit
service-policy inside_http_url_policy interface inside 

大致能看懂就好,稍微修改一下就可以满足自己的基本需求了

以上是关于ASA防火墙设置URL过滤的主要内容,如果未能解决你的问题,请参考以下文章

Cisco ASA 高级配置之URL过滤

Cisco ASA “URL过滤”及“日志管理”

思科防火墙asa5505路由配置

思科防火墙ASA5510设置问题?

ASA防火墙的TCP半开设置

第九章 大网高级   ASA 高级设置