asa 防火墙拦截了https_Cisco ASA防火墙的URL过滤控制
要求
IP地址范围在192.168.0.1-192.168.0.15中的主机只能访问www.163.com,不能访问其它任何网站。
实施URL过滤分为3个步骤
创建class-map(类映射),识别传输流量
创建policy-map(策略映射),关联class-map
应用policy-map到接口上
任务一:IP地址范围在192.168.0.1-192.168.0.15中的主机只能访问www.163.com,
不能访问其它任何网站。
创建class-map,识别传输流量
创建类映射之前,一定要创建一个访问控制列表,
asa802(config)#
access-list tcp_filter permit tcp 192.168.0.0 255.255.255.240 any
eq www
这个访问控制列表定义了对传输层协议的匹配,源是192.168.0.1-192.168.0.15的主机可以访问任意的www服务。这个访问控制列表并没有准确定位到www.163.com.所以仅用访问控制列表是无法完成其需求。
asa802(config)# class-map
tcp_filter_class
创建了一个名字为tcp_filter_class的类映射。
asa802(config-cmap)# match
access-list tcp_filter
在这个类映射中调用了刚才定义的访问控制列表tcp_filter,这个调用还是不能准确定位到达www.163..com的流量。
asa802(config-cmap)#exit
asa802(config)# regex url1
"\.163\.com"
因为以上的类映射不能准确定位到达www.163.com,所以需要声明一个正则表达式,要求以正则表达式的方式去匹配有 .163
.com的url地址,regex就是用来匹配URL地址的。正则表达式的名字是URL1,即URL1要去匹配含有.163
.com的URL地址。
asa802(config)# class-map
type regex match-any url_class
创建了一个url_class的类映射,并且指出这个类映射的类型是用来匹配正则表达式的。匹配所有正则表达式,如URL1.
asa802(config-cmap)# match
regex url1
asa802(config-cmap)#
exit
url_class表示要在流量当中去匹配.163.com。而且以上创建的两个类映射是独立的,目前还是不能准确的定位流量。
asa802(config)# class-map
type inspect http
http_url_class
创建了一个查阅类型的类映射,名字叫http_url_class,在创建查阅类型的类映射时一定要指出查阅的协议,在这里查阅HTTP.
asa802(config-cmap)# match
not request header host regex class url_class
匹配http主机头部中不包含.163.com的信息。
asa802(config-cmap)#
exit
小结:创建了三种映射只是在抓取相应的感兴趣流,并没有说明对感兴趣流做允许还是拒绝。下面开始创建策略映射。
创建policy-map,关联class-map
,共创建两个类映射,
asa802(config)# policy-map
type inspect http http_url_policy
创建了一个策略映射,是查阅类型的,而且查阅的应用层协议是http协议。策略映射的名字是http_url_policy.
asa802(config-pmap)# class
http_url_class
策略映射匹配的是http_url_class的类映射,也就是指那些非
.163.com的http请求,
asa802(config-pmap-c)#
drop-connection log
如果是非.163.com的http请求,直接拒绝连接,并做日志记录。
asa802(config-pmap-c)#
exit
asa802(config-pmap)#exit
(创建接口应用策略)上面的策略只是说出拒绝所有非.163.com的请求,并没有说出源地址是哪些地址。所以我们还要创建一个策略映射,只需创建一个普通类型的策略映射即可。
asa802(config)# policy-map
inside_http_url_policy
创建一个策略映射,名字为inside_http_url_policy
asa802(config-pmap)# class
tcp_filter_class
匹配tcp_filter_class,而tcp_filter_class匹配的就是我们创建的第一个访问控制列表,允许192.168.0.1-192.168.0.15的主机可以访问任意的www服务。
asa802(config-pmap-c)#
inspect http http_url_policy
还要查阅http协议,并调用http_url_policy
asa802(config-pmap-c)#
exit
asa802(config-pmap)#exit
没有被明确拒绝的,都是允许的。最后真正生效的是inside_http_utl_policy
3、应用policy-map到接口上
asa802(config)#
service-policy inside_http_url_policy interface
inside
创建class-map,识别传输流量
asa802(config)#
access-list tcp_filter2 permit tcp any any eq
www
asa802(config)# class-map
tcp_filter_class2
asa802(config-cmap)# match
access-list tcp_filter2
asa802(config-cmap)#exit
asa802(config)# regex url2
"\.kkgame\.com"
asa802(config)# class-map
type regex match-any url_class2
asa802(config-cmap)# match
regex url2
asa802(config-cmap)#
exit
asa802(config)# class-map
type inspect http http_url_class2
asa802(config-cmap)# match
request header host regex class url_class2
asa802(config-cmap)#
exit
2、创建policy-map,关联class-map
asa802(config)# policy-map
type inspect http http_url_policy2
asa802(config-pmap)# class
http_url_class2
asa802(config-pmap-c)#
drop-connection log
asa802(config-pmap-c)#
exit
asa802(config-pmap)#exit
asa802(config)# policy-map
inside_http_url_policy
asa802(config-pmap)# class
tcp_filter_class2
asa802(config-pmap-c)#
inspect http http_url_policy2
asa802(config-pmap-c)#
exit
asa802(config-pmap)#exit
3、应用policy-map到接口上
asa802(config)#
service-policy inside_http_url_policy interface
inside
4、验证
将PC1的IP改为192.168.0.20,则不能访问www.kkgame.com。
提示:
若增加主机,需添加ACL表项;
若增加URL,需定义新的正则表达式(即regex
url2),并添加到class-map中(match-any)
asa 防火墙拦截了https_Cisco ASA防火墙的URL过滤控制相关推荐
- 上传图片被防火墙拦截_Murus Pro Suite——防火墙软件
Mac上哪款防火墙软件好用?macdown推荐Mac Vallum破解版,可以帮助您监视和阻止应用程序连接.它可以拦截应用程序层的连接,并在决定是否传递或阻止连接时保留它们. 功能特色 -增加您的隐私 ...
- asa 防火墙拦截了https_防火墙(ASA)的基本配置与远程管理
在目前大多数安全解决方案中,防火墙的实施是最为重要的需求,它是每个网络基础设施必要且不可分割的组成部分.这篇博客主要介绍防火墙安全算法的原理与基本配置以及远程管理防火墙的几种方式 硬件与软件防火墙 1 ...
- 防火墙(ASA)高级配置之URL过滤、日志管理、透明模式
对于防火墙产品来说,最重要的一个功能就是对事件进行日志记录.本篇博客将介绍如何对ASA进行日志管理与分析.ASA透明模式的原理与配置.利用ASA防火墙的IOS特性实施URL过滤. 一.URL过滤 利用 ...
- 05: 思科防火墙基础 、 思科ASA防火墙应用
回顾: 1, 防火墙本质 是控制 2, 部署位置 : 互联网边界不同部门3, 发展历史: 包过滤 应用代理 状态监测 UTM 下一代防火墙 AI4, 华为防火墙用安全区域---区分不同的网络----不 ...
- 如何关闭服务器系统防火墙设置方法,怎么关闭防火墙 Windows自带防火墙关闭方法...
系统自带的防火墙是Windows为用户提供的一个安全保障,但是对于大多数国内用户来说这个防火墙并不怎么人性化,许多国内常用的软件都会被防火墙拦截,因此许多人选择了关闭防火墙,那么如何关闭防火墙呢? 方 ...
- 腾讯云服务器查看防火墙规则,腾讯云云防火墙的常见问题
访问控制 未配置任何规则时,云防火墙默认规则是放行还是拦截? 云防火墙默认放行所有流量,打开云防火墙开关后,云防火墙会开始记录流量日志并产生入侵防御告警,但由于没有配置规则,所以此时不会阻断任何流量. ...
- 传统防火墙与Web应用程序防火墙(WAF)的区别
前言 由于WEB应用防火墙(WAF)的名字中有"防火墙"三个字,因此很多人都会将它与传统防火墙混淆.实际上,二者之间的有着很大的差别.传统防火墙专注在网络层面,提供IP.端口防护. ...
- 计算机 管理 防火墙设置在哪里,电脑防火墙在哪里设置
电脑防火墙在哪里设置 某些程序需要对外通讯,就可以把它们添加到"例外"选项卡中,这里的程序将被特许可以提供连接服务,即可以监听和接受来自网络上的连接.下面是jy135小编收集整理的 ...
- ASA 独立实现WEB URL过滤!!!
之前 很多人问过关于ASA能否实现具体的URL过滤, 下面是我们配置的ASA 实现URL过滤的案例,供大家使用参考,在简单的用户需求下 我们ASA完全可以实现WEB URL的过滤,并且 我们在昨天把这 ...
- 下防火墙命令与centos7下防火墙命令区别
一.centos6防火墙命令 1.查看防火墙规则 #iptables -L 2.状态.开启.关闭.重启防火墙 #service iptables status #service iptabl ...
最新文章
- 设计模式-2-代理模式
- Sqlserver循环嵌套
- python金融工程的工具包_金融工程及其Python应用
- 笔记本电脑怎么清理灰尘_家里边边角角灰尘多,不好清理怎么办?一个“塑料瓶”解决烦恼!...
- Maven根据不同环境打包不同配置文件
- java获取当前时间戳_Java DateTime 获得当前 Unix 的时间戳
- 制作模块-安装模块压缩包
- js含有特定文字不能跳转
- Android官方开发文档Training系列课程中文版:管理音频播放之控制APP的音量与播放
- 我的笔记本的鼠标又乱跑了!寻求帮助!
- 这么做科研你也能成功!
- [C#.Net]判断文件是否被占用的两种方法
- 不能连接到 mysql_怎么无法连接到数据库?
- Mac实用技巧:怎样使用终端在macOS Big Sur Finder中锁定文件!
- 发票ocr识别查验解决方案
- 量化学习:大数据时代的学习方式
- Switchport详细用法
- 读《The C Programming Language》
- 仿真1 - takeoff_land
- android自定义item大小,Android GridView Item平分宽度
热门文章
- [技巧]WIN10笔记本生成电池损耗报表,与笔记本电池损耗恢复方法
- 非浙A号牌迁入为浙A区域号牌条件与流程
- ios适配iPhone和iPad
- 解锁iPhone/iPad密码锁
- SSHD服务的搭建与管理
- Ubuntu18.04grub增加console口输出
- 转载:MATLAB中怎么表示对数函数及e
- 俄勒冈之旅_俄勒冈州立大学开源实验室主持160个项目
- 二年级计算机学什么礼物,二年级的小朋友喜欢什么礼物(最美好的礼物二年级)...
- 22:紧急措施http://noi.openjudge.cn/ch0107/22/