ASA防火墙之基于用户MPF配置实例
ASA防火墙之基于用户MPF
本篇继续介绍ASA防火墙,上篇我们讲了URL的过滤,那么本篇我们在这个基础下设置不同的用户,来控制一个可以访问,一个过滤掉。
配置实例
需求:
ASA本地有两个用户:分别是cjc和ccie 密码均为cisco
lsj用户在通过ASA时。不能够通过http的show run流量
ccie用户在通过ASA时。不能够通过http的 show ip int br
网络基本配置:
省略。
HTTP SERVER配置:
R1(config)#ip http server //开启HTTP服务
Ip http authentication local //开启本地验证
username ccie privilege 15 password cisco //创建用户
测试:
两者可以正常的访问流量。
ASA配置:
ASA(config)# username lsj password cisco privilege 15 //定义用户lsj
ASA(config)# username ccie password cisco privilege 15 //定义用户ccie
ASA(config)# object-group user usergroup1 //创建usergourp1
ASA(config-user-object-group)# user LOCAL\cjc // 把lsj帐号划分入usergroup1
ASA(config)# object-group user usergroup2 //创建usergroup2
ASA(config-user-object-group)# user LOCAL\ccie //把ccie帐号划分入
ASA(config)#access-list lsj extended permit tcp object-group-user usergroup1 any any eq www //匹配usergroup1里面的帐号。产生的源是任意到任意的TCP 80流量。
ASA(config)#access-list ccie extended permit tcp object-group-user usergroup2 any any eq www //匹配usergroup2里面的帐号。产生的源是任意到任意的TCP 80流量。
ASA(config)#access-list http extended permit tcp 192.168.150.0 255.255.255.0 host 192.168.184.100 eq www //抓取内部到外部的http流量
ASA(config)#aaa authentication match http inside LOCAL //把ACL http抓到的流量送往本地认证。
ASA(config)# class-map usergroup1 //定义class-map
ASA(config-cmap)# match access-list cjc //匹配ACL
ASA(config)# class-map usergroup2 //定义class-map
ASA(config-cmap)# match access-list ccie //匹配ACL
ASA(config)# regex shrun show/run //配置正则表达式匹配关键字
ASA(config)# regex shipintbr show/ip/int/br //配置正则表达式匹配关键字
ASA(config)# policy-map type inspect http usergroup1 //定义7层policy-map
ASA(config-pmap)# match request uri regex shrun //匹配URI流量正则表达式为shrun
ASA(config-pmap-c)# drop-connection log //丢弃连接并产生log
ASA(config)# policy-map type inspect http usergroup2 //定义7层policy-map
ASA(config-pmap)# match request uri regex shipintbr //匹配URI流量正则表达式为shipintbr
ASA(config-pmap-c)# drop-connection log //丢弃连接并产生log
ASA(config)# policy-map global_policy //进入全局policy-map
ASA(config-pmap)# class usergroup1 //匹配class-map usergroup1
ASA(config-pmap-c)# inspect http usergroup1 //监控http并调用7层policy-map
ASA(config-pmap)# class usergroup2 //匹配class-map usergroup2
ASA(config-pmap-c)# inspect http usergroup2 //监控http并调用7层policy-map
测试:
lsj帐号
这里使用的是本地的认证,续与ASA本地账号和密码进行认证。
这里使用服务端(R2)的用户和密码
访问show/int/ip/br正常
访问sh run 失败,被过滤掉
ASA(config)# clear uauth //清除认证,重新验证,以便缓存认证。
测试:
ccie帐号
访问show/run正常
访问show/int/ip/br失败,直接被过滤掉。
最后
到此讲解结束,感谢观看。
ASA防火墙之基于用户MPF配置实例相关推荐
- Juniper防火墙AP全网状NSRP配置实例
以下为Juniper ISG-2000防火墙相关配置:<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office ...
- ASA防火墙的网管方式ACL配置实例
ASA防火墙的网管方式ACL配置实例 上篇讲了ASDM的使用,那本篇就讲一下命令模式的配置ASA防火墙的网络管理以及ACl配置. ASA防火墙的网管方式 拓扑 1.telnet 需求 inside区域 ...
- ASA防火墙之MPF配置监控流量
MPF配置监控流量 本篇继续讲解ASA防火墙,关于使用MPF的方式来配置监控流量,使得流量可以正常的回包. 配置命令如下 配置ICMP监控流量 ASA(config)#policy-map globa ...
- 防火墙双机热备配置实例(三)
今天继续给大家介绍HCIE安全系列相关内容.本文以华为eNSP模拟器为例,实现了配置防火墙双击热备技术配置实例,采用的是上下行交换机配置VRRP的主备模式. 阅读本文,您需要有一定的防火墙配置基础和防 ...
- 防火墙双机热备配置实例(一)
今天继续给大家介绍HCIE安全.本文以华为eNSP模拟器为例,实现了配置防火墙双击热备技术配置实例,采用的是上下行交换机配置VRRP的主备模式. 阅读本文,您需要有一定的防火墙配置基础和防火墙双机热备 ...
- 基于ASA防火墙的SSL ×××配置
基于ASA防火墙的SSL ×××配置 实验拓扑图 实验目的,PC2通过SSL×××能够访问到PC1 SSL×××服务端配置全在ASA上面,下面为配置步骤: 第一步:建立RSA密钥证书,名称为ssl** ...
- ASA防火墙之NAT的实例配置
ASA防火墙之NAT的实例配置 关于nat的知识点我们在讲路由器的时候已经讲述过了,具体为啥配置NAT技术这里不再讲述,本篇讲述的关于ASA防火墙的各个NAT配置实例的分析,包括static NAT. ...
- ASA防火墙之telnet的AAA穿越认证配置实例
telnet的AAA穿越认证 本篇继续介绍ASA防火墙,主要讲解网络穿越ASA防火墙进行访问,并进行AAA认证,才可以正常的访问通信. 实验拓扑 环境(ASA防火墙,ACS服务器,路由器) 需求: 为 ...
- 思科pix防火墙配置实例大全
在配置PIX防火墙之前,先来介绍一下防火墙的物理特性.防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口:当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下: 内部区域(内网):内 ...
最新文章
- CVPR 2020 | 将深度学习算法应用于移动端最新研究汇总
- 一些开源搜索引擎实现——倒排使用原始文件,列存储Hbase,KV store如levelDB、mongoDB、redis,以及SQL的,如sqlite或者xxSQL...
- [JavaScript]关于div的隐藏
- 图解MySql命令行创建存储过程
- 国内互联网广告生态现状【计算广告】
- 拼装机器人感想_机器人学习心得体会(精选3篇)
- C#[抽象类,接口]
- Python3 中 random模块
- petshop4.0 详解之五(PetShop之业务逻辑层设计)[转]
- 详细介绍JAVA中的字符串
- C#LeetCode刷题之#58-最后一个单词的长度(Length of Last Word)
- idea里边创建类的时候和方法自动生成注释
- sql decimal 转string_音频怎么转文字?这个软件带你体验飞一般的感觉
- 怎么拷贝计算机桌面,电脑怎么拷贝软件
- 未来不迎,当时不杂,过往不乱
- 操作系统概论02323-2110期
- java 两张图片合并_java实现把两张图片合并(Graphics2D)
- 基于Java swing的多人,图片,语音聊天室
- UIAutomatorViewer基础
- MySQL ERROR 1698 (28000) 错误