現(xiàn)在呢，有很多管理上網(wǎng)行為的軟件，那么ASA作為狀態(tài)化防火墻，它也可以進行管理上網(wǎng)行為，我們可以利用ASA防火墻iOS的特性實施URL過濾可以對訪問的網(wǎng)站域名進行控制，從而達到某種管理目的。
實施URL過濾一般分成以下三個步驟：
1、創(chuàng)建class-map（類映射），識別傳輸流量。
2、創(chuàng)建policy-map（策略映射），關聯(lián)class-map。
3、應用policy-map到接口上。

創(chuàng)新互聯(lián)公司專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務，包含不限于網(wǎng)站設計制作、成都網(wǎng)站制作、扶溝網(wǎng)絡推廣、小程序制作、扶溝網(wǎng)絡營銷、扶溝企業(yè)策劃、扶溝品牌公關、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運營等，從售前售中售后，我們都將竭誠為您服務，您的肯定，是我們大的嘉獎；創(chuàng)新互聯(lián)公司為所有大學生創(chuàng)業(yè)者提供扶溝建站搭建服務，24小時服務熱線：028-86922220，官方網(wǎng)址：www.cdcxhl.com

配置實例：

使用下面簡單的網(wǎng)絡拓撲圖，在內(nèi)網(wǎng)主機上編輯hosts文件，添加如下記錄（若是生產(chǎn)環(huán)境，DNS服務器等齊全，則可省略這步）：

• 172.16.1.1 ：www.kkgame.com 。

• 172.16.1.1 ：www.163.com 。
  實現(xiàn)內(nèi)網(wǎng)網(wǎng)段192.168.1.0/24中的主機禁止訪問網(wǎng)站www.kkgame.com 但允許訪問其他網(wǎng)站（如www.163.com ）。
  

  配置步驟如下（接口等基本配置省略）：
  （1）、創(chuàng)建class-map，識別傳輸流量：

ciscoasa(config)# access-list tcp_filter1 permit tcp 192.168.1.0 255.255.255.0  any eq www

ciscoasa(config)# class-map tcp_filter_class1

ciscoasa(config-cmap)# match access-list tcp_filter1                #在class-map中定義允許的流量。

ciscoasa(config-cmap)# exit

ciscoasa(config)# regex url1 "\.kkgame\.com"        #定義名稱為urll的正則表達式，
表示URL擴展名是“.kkgame.com”

ciscoasa(config)# class-map type regex match-any url_class1            #創(chuàng)建名稱為
url_class1的clas-map，類型為regex。關鍵字match-any表示匹配任何一個。

ciscoasa(config-cmap)# match regex url1               

ciscoasa(config)# class-map type inspect http http_url_class1        #創(chuàng)建
名為http-url-class1的class-map，類型為inspect http（檢查http流量）

ciscoasa(config-cmap)# match request header host regex class url_class1            #匹配http請求
報文頭中的host域中的URL擴展名“.kkgame.com”，url_class1表示調(diào)用名稱為url_class1的class-map。

ciscoasa(config-cmap)# exit

（2）、創(chuàng)建policy-map，關聯(lián)class-map。

ciscoasa(config)# policy-map type inspect http http_url_policy1
#創(chuàng)建名稱為 http_url_policy1的policy-map，類型為inspect  http（檢查http流量）

ciscoasa(config-pmap)# class http_url_class1              #調(diào)用之前創(chuàng)建的class-map

ciscoasa(config-pmap-c)# drop-connection log     #drop數(shù)據(jù)包并關閉連接，并發(fā)送系統(tǒng)日志。
ciscoasa(config-pmap-c)# exit
ciscoasa(config-pmap)# exit

ciscoasa(config)# policy-map inside_http_url_policy       #創(chuàng)建名稱為 inside_http_url_policy 的policy-map，
它將被應用到接口上。

ciscoasa(config-pmap)# class tcp_filter_class1               #調(diào)用之前創(chuàng)建的class-map

ciscoasa(config-pmap-c)# inspect http http_url_policy1               #檢查http流量
ciscoasa(config-pmap-c)# exit
ciscoasa(config-pmap)# exit

（3）、應用policy-map到接口上：

ciscoasa(config)# service-policy inside_http_url_policy interface inside

至此，已經(jīng)實現(xiàn)了需求，需要注意的是，一個接口只能應用一個policy-map。

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

本文標題：CiscoASA高級配置之URL過濾-創(chuàng)新互聯(lián)
網(wǎng)站URL：http://weahome.cn/article/degcei.html