因?yàn)榉阑饓Φ倪^濾功能設(shè)置方法過于煩瑣，使得很多人都不愿使用其功能，但仔細(xì)研究后，你會發(fā)現(xiàn)防火墻的過濾功能是如此的強(qiáng)大，且可控性強(qiáng)，十分細(xì)化。

成都創(chuàng)新互聯(lián)是一家專注于網(wǎng)站建設(shè)、成都做網(wǎng)站與策劃設(shè)計(jì),北關(guān)網(wǎng)站建設(shè)哪家好?成都創(chuàng)新互聯(lián)做網(wǎng)站,專注于網(wǎng)站建設(shè)十年,網(wǎng)設(shè)計(jì)領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:北關(guān)等地區(qū)。北關(guān)做網(wǎng)站價(jià)格咨詢:18980820575

以下皆為實(shí)際案例測試通過

1. 先計(jì)劃好需要過濾的IP網(wǎng)段

object-group network url_filter_group

network-object 172.16.10.0 255.255.255.128

network-object 172.16.10.128 255.255.255.192

network-object 172.16.10.192 255.255.255.224

2. 然后定義好時(shí)間段：

time-range url_range

periodic weeddays 8:30 to 17:30

3. 定義ACL并入時(shí)間控制

access-list url_filter_list extended permit tcp object-group url_filter_group any eq www time-range url_range

之所以不用any any 除了些許IP不需要過濾外，最主要的原因是只過濾http流量中的關(guān)鍵字，其它流量含此關(guān)鍵詞不用過濾。

4. 接下來寫好需要過濾的網(wǎng)站關(guān)鍵字，利用正則表達(dá)式來達(dá)到匹配多個(gè)關(guān)鍵詞（正則表達(dá)式使用方法可自行搜索，屬于數(shù)學(xué)的內(nèi)容。）

regex url_filter1 \.youku\.com

regex url_filter2 \.tudou\.com

……

5. 建立普通class-map 來匹配ACL。

class-map url_class

match access-list url_filter_list

exit

6. 建立正式表達(dá)式類型的class-map來關(guān)聯(lián)所要過濾的正式表達(dá)式關(guān)鍵詞。

class-map type regex match-any url_class_regex

match regex url_filter1

match regex url_filter2

exit

說明: class-map可建立兩種類型，一為審查，二為正則表達(dá)式。審查類型的class-map只能被審查類型的調(diào)用。正則表達(dá)式只能被正則表達(dá)類型的class-map匹配。正則表達(dá)式類型的class-map可被任意類型的map匹配。審查類型的 可以審查DNS、FTP、HTTP等，并且可以選擇match需求還是答復(fù)報(bào)文(rquest與response),答復(fù)報(bào)文與需求報(bào)文的子選項(xiàng)不一樣。我們要過濾網(wǎng)站的關(guān)鍵詞，這里選擇需求報(bào)文，并選擇header就可以了。（如果你想審查內(nèi)容，選擇body, 這樣，網(wǎng)站內(nèi)含有關(guān)鍵詞也會被丟棄。）

7. 建立類型為審查的class-map來關(guān)聯(lián)正則表達(dá)式的class-map

class-map type inspect http match-all url_class_inspect

match request header host regex class url_class_regex

頭部包含很多字項(xiàng)，如下圖，我們選擇host項(xiàng)，并選擇審查正則表達(dá)式class-map內(nèi)容，如果這里填上match not request header host regex class url_class_regex 將達(dá)到只允許訪問某些網(wǎng)站的目的。

8. 建立審查類型的policy-map來匹配審查類型的class-map并做出相應(yīng)動作

policy-map type inspect http url_policy_inspect

class url_class_inspect

drop-connection log

exit

說明：policy-map只有普通與審查兩種，審查類型的policy-map只能調(diào)用審查類型的class-map。同樣，普通類型的policy-map也只能調(diào)用普通類型的class-map。然接口只能應(yīng)用普通類型的policy-map,所以還得建立普通類型的policy-map來調(diào)用普通類型的class-map。再在普通類型的class-map下調(diào)用審查類型的policy-map（polci-map只有調(diào)用class-map后才有執(zhí)行動作的功能，class-map沒有單獨(dú)執(zhí)行動作的功能，policy-map單獨(dú)也沒有，雖然policy-map也可以match正則表達(dá)式或者正則表達(dá)式的class-map，但卻沒有執(zhí)行動作的功能。普通policy-map調(diào)用普通class-map后，可執(zhí)行審查inspect功能，可以設(shè)置流量帶寬，帶有drop功能，但inspect沒有，所以需要在審查類型的policy-map調(diào)用審查類型的class-map后執(zhí)行drop功能。）

9. 最后建立普通的policy-map來關(guān)聯(lián)普通的class-map并調(diào)用審查類型的policy-map達(dá)到丟棄正則表達(dá)式內(nèi)容的目的。

policy-map url_policy

class url_class

inspect http url_policy_inspect

exit

接下來就是應(yīng)用在接口上。因?yàn)槲覀儗彶榈牡氖切枨罅髁?，故?yīng)用在靠近數(shù)據(jù)源的接口上。

service-policy url_policy interface inside

通過以上命令，可以對相關(guān)IP組內(nèi)的的http流量進(jìn)行審查，查找含有.you.com或.tudou.com的需求流量并丟失，達(dá)到屏蔽這兩個(gè)網(wǎng)址的作用。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

本文標(biāo)題：ASA防火墻審查功能執(zhí)行流量過濾-創(chuàng)新互聯(lián)
文章路徑：http://weahome.cn/article/dhjsec.html