實驗

創(chuàng)新互聯(lián)10多年企業(yè)網(wǎng)站設(shè)計服務(wù);為您提供網(wǎng)站建設(shè),網(wǎng)站制作,網(wǎng)頁設(shè)計及高端網(wǎng)站定制服務(wù),企業(yè)網(wǎng)站設(shè)計及推廣,對PE包裝袋等多個行業(yè)擁有多年的網(wǎng)站設(shè)計經(jīng)驗的網(wǎng)站建設(shè)公司。

實驗拓撲圖：

實驗環(huán)境：

在server2008服務(wù)器上搭建WEB網(wǎng)站和DNS服務(wù)，分別創(chuàng)建域名為benet.com和accp.com兩個網(wǎng)站。

實驗要求：

首先客戶端可以訪問服務(wù)器上的兩個網(wǎng)站，成功后在防火墻上做URL過濾使客戶端無法訪問accp.com網(wǎng)站。

實驗步驟：

首先在ASA防火墻上配置各區(qū)域名稱和IP地址：

ciscoasa(config)# int e0/0

ciscoasa(config-if)# nameif inside

ciscoasa(config-if)# ip add 192.168.10.1 255.255.255.0

ciscoasa(config-if)# no shut

ciscoasa(config-if)# int e0/1

ciscoasa(config-if)# nameif outside

ciscoasa(config-if)# ip add 13.0.0.1 255.255.255.0

ciscoasa(config-if)# no shut

在服務(wù)器上創(chuàng)建兩個網(wǎng)站，指定網(wǎng)站存放位置和域名：

創(chuàng)建accp.com網(wǎng)站：

創(chuàng)建benet.com網(wǎng)站：

指定DNS主機A記錄：

測試用客戶端訪問者兩個網(wǎng)站：

測試訪問成功：

接下來在防火墻上做URL過濾使客戶端無法訪問accp.com網(wǎng)站。

ASA上的配置：

做URL過濾需要下面三個步驟;

url過濾

一， 創(chuàng)建class-map (類映射),識別傳輸流量。

ciscoasa(config)# access-list aclfile permit tcp 192.168.10.0 255.255.255.0 an$   //定義ACL訪問控制列表aclfile。

ciscoasa(config)# class-map aclclass   //建立類映射aclclass。

ciscoasa(config-cmap)# match access-list aclfile  //匹配訪問控制列表。

ciscoasa(config-cmap)# regex url "\.accp\.com"  //定義正則表達式，過濾不允許訪問的網(wǎng)站。

ciscoasa(config)# class-map type regex match-any urlclass  //建立類映射urlclass，關(guān)鍵字match-any表示匹配任何一個。

ciscoasa(config-cmap)# match regex url  //調(diào)用匹配正則表達式。

ciscoasa(config-cmap)# ex

ciscoasa(config)# class-map type inspect http httpclass  //建立檢查流量的類映射

ciscoasa(config-cmap)# match request header host regex class urlclass  //調(diào)用之前已配置好的urlclass。

二， 創(chuàng)建policy-map (策略映射)，關(guān)聯(lián)class-map

ciscoasa(config)# policy-map type inspect http httppolicy  //建立策略映射。

ciscoasa(config-pmap)# class httpclass  //調(diào)用已經(jīng)做好的檢查http頭部的類映射。

ciscoasa(config-pmap-c)# drop-connection log   //丟棄并記錄日志。

ciscoasa(config-pmap-c)# policy-map insidepolicy  //對訪問控制列表進行操作，定義相應(yīng)策略。

ciscoasa(config-pmap)# class aclclass  //調(diào)用訪問控制列表的類映射。

ciscoasa(config-pmap-c)# inspect http httppolicy  //檢查定義好的策略映射。

三， 應(yīng)用class-map到接口上。

ciscoasa(config)# service-policy insidepolicy interface inside //應(yīng)用在端口。

測試使用客戶端訪問accp.com網(wǎng)站：

結(jié)果顯示為無法訪問：

實驗完成

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

分享標題：ASA防火墻上做基于域名的URL過濾-創(chuàng)新互聯(lián)
當前鏈接：http://weahome.cn/article/dgpooi.html