ASA防火墙之基于用户MPF

本篇继续介绍ASA防火墙，上篇我们讲了URL的过滤，那么本篇我们在这个基础下设置不同的用户，来控制一个可以访问，一个过滤掉。

配置实例

需求：
ASA本地有两个用户：分别是cjc和ccie 密码均为cisco
lsj用户在通过ASA时。不能够通过http的show run流量
ccie用户在通过ASA时。不能够通过http的 show ip int br
网络基本配置：
省略。
HTTP SERVER配置：
R1(config)#ip http server //开启HTTP服务
Ip http authentication local //开启本地验证
username ccie privilege 15 password cisco //创建用户

测试：

两者可以正常的访问流量。

ASA配置:
ASA(config)# username lsj password cisco privilege 15 //定义用户lsj
ASA(config)# username ccie password cisco privilege 15 //定义用户ccie
ASA(config)# object-group user usergroup1 //创建usergourp1
ASA(config-user-object-group)# user LOCAL\cjc // 把lsj帐号划分入usergroup1
ASA(config)# object-group user usergroup2 //创建usergroup2
ASA(config-user-object-group)# user LOCAL\ccie //把ccie帐号划分入
ASA(config)#access-list lsj extended permit tcp object-group-user usergroup1 any any eq www //匹配usergroup1里面的帐号。产生的源是任意到任意的TCP 80流量。
ASA(config)#access-list ccie extended permit tcp object-group-user usergroup2 any any eq www //匹配usergroup2里面的帐号。产生的源是任意到任意的TCP 80流量。
ASA(config)#access-list http extended permit tcp 192.168.150.0 255.255.255.0 host 192.168.184.100 eq www //抓取内部到外部的http流量
ASA(config)#aaa authentication match http inside LOCAL //把ACL http抓到的流量送往本地认证。
ASA(config)# class-map usergroup1 //定义class-map
ASA(config-cmap)# match access-list cjc //匹配ACL
ASA(config)# class-map usergroup2 //定义class-map
ASA(config-cmap)# match access-list ccie //匹配ACL
ASA(config)# regex shrun show/run //配置正则表达式匹配关键字
ASA(config)# regex shipintbr show/ip/int/br //配置正则表达式匹配关键字
ASA(config)# policy-map type inspect http usergroup1 //定义7层policy-map
ASA(config-pmap)# match request uri regex shrun //匹配URI流量正则表达式为shrun
ASA(config-pmap-c)# drop-connection log //丢弃连接并产生log
ASA(config)# policy-map type inspect http usergroup2 //定义7层policy-map
ASA(config-pmap)# match request uri regex shipintbr //匹配URI流量正则表达式为shipintbr
ASA(config-pmap-c)# drop-connection log //丢弃连接并产生log
ASA(config)# policy-map global_policy //进入全局policy-map
ASA(config-pmap)# class usergroup1 //匹配class-map usergroup1
ASA(config-pmap-c)# inspect http usergroup1 //监控http并调用7层policy-map
ASA(config-pmap)# class usergroup2 //匹配class-map usergroup2
ASA(config-pmap-c)# inspect http usergroup2 //监控http并调用7层policy-map
测试：
lsj帐号

这里使用的是本地的认证，续与ASA本地账号和密码进行认证。
这里使用服务端（R2）的用户和密码
访问show/int/ip/br正常

访问sh run 失败，被过滤掉

ASA(config)# clear uauth //清除认证，重新验证，以便缓存认证。
测试：
ccie帐号

访问show/run正常

访问show/int/ip/br失败，直接被过滤掉。

最后

到此讲解结束，感谢观看。

ASA防火墙之基于用户MPF配置实例相关推荐

Juniper防火墙AP全网状NSRP配置实例
以下为Juniper ISG-2000防火墙相关配置:<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office ...
ASA防火墙的网管方式ACL配置实例
ASA防火墙的网管方式ACL配置实例上篇讲了ASDM的使用,那本篇就讲一下命令模式的配置ASA防火墙的网络管理以及ACl配置. ASA防火墙的网管方式拓扑 1.telnet 需求 inside区域 ...
ASA防火墙之MPF配置监控流量
MPF配置监控流量本篇继续讲解ASA防火墙,关于使用MPF的方式来配置监控流量,使得流量可以正常的回包. 配置命令如下配置ICMP监控流量 ASA(config)#policy-map globa ...
防火墙双机热备配置实例（三）
今天继续给大家介绍HCIE安全系列相关内容.本文以华为eNSP模拟器为例,实现了配置防火墙双击热备技术配置实例,采用的是上下行交换机配置VRRP的主备模式. 阅读本文,您需要有一定的防火墙配置基础和防 ...
防火墙双机热备配置实例（一）
今天继续给大家介绍HCIE安全.本文以华为eNSP模拟器为例,实现了配置防火墙双击热备技术配置实例,采用的是上下行交换机配置VRRP的主备模式. 阅读本文,您需要有一定的防火墙配置基础和防火墙双机热备 ...
基于ASA防火墙的SSL ×××配置
基于ASA防火墙的SSL ×××配置实验拓扑图实验目的,PC2通过SSL×××能够访问到PC1 SSL×××服务端配置全在ASA上面,下面为配置步骤: 第一步:建立RSA密钥证书,名称为ssl** ...
ASA防火墙之NAT的实例配置
ASA防火墙之NAT的实例配置关于nat的知识点我们在讲路由器的时候已经讲述过了,具体为啥配置NAT技术这里不再讲述,本篇讲述的关于ASA防火墙的各个NAT配置实例的分析,包括static NAT. ...
ASA防火墙之telnet的AAA穿越认证配置实例
telnet的AAA穿越认证本篇继续介绍ASA防火墙,主要讲解网络穿越ASA防火墙进行访问,并进行AAA认证,才可以正常的访问通信. 实验拓扑环境(ASA防火墙,ACS服务器,路由器) 需求: 为 ...
思科pix防火墙配置实例大全
在配置PIX防火墙之前,先来介绍一下防火墙的物理特性.防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口:当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下: 内部区域(内网):内 ...

ASA防火墙之基于用户MPF配置实例

ASA防火墙之基于用户MPF

配置实例

最后

ASA防火墙之基于用户MPF配置实例相关推荐

最新文章

热门文章