本篇繼續講解asa防火牆,主要講解asa防火牆對流量的關鍵字的過濾,通過正規表示式來過濾抑或是放行的url流量。
需求:1、 當xp訪問站點www.cjc.com時,只允許ur1中包含「sh/run」關鍵字得流量通過。
2、 訪問其他站點得流量不受控制。
3、 丟棄不符合http協議標準的流量。
環境搭建,r2作為http伺服器,asa作為防火牆,修改xp的dns解析,將www.cjc.com的網域名稱解析為192.168.184.100.具體檔案在c:\windows\system32\drivers\etc的hosts檔案,修改新增如下。
xp位址設定如下
asa配置
asa(config)# access-list in permit ip any any //這裡為了方便直接放行any,因為xp網絡卡問題,所以若想單條放行的話需新增一下網絡卡的網段,因為我這裡網絡卡類似做轉接的,沒有與xp同一網段。若是想只做一條,就需修改一下網絡卡的網段了。
asa(config)# access-group in in inte***ce dmz
配置之後,使得xp可以訪問192.168.184.100
r2配置
ip http server //開啟ftp服務
ip http authentication local //開啟本地驗證
username ccie privilege 15 password cisco //建立使用者
配置完成,xp通過瀏覽器訪問網域名稱www.cjc.com,可以訪問到r2伺服器。
環境搭建好,那麼就開始做需求了。先看一下配置前效果,方便前後對比。
為了更能體驗效果,我們再新增乙個網域名稱。www.cjc2.com
配置過濾:
配置正規表示式
regex domain www.cjc.com
regex uri show/run
配置運用層監控型別的class-map
配置運用層監控型別的policy-map
呼叫運用層監控型別的policy-map
配置完成,來檢視http訪問情況,uri帶show/run的仍然是可以訪問的。
而其他的流量就不能夠訪問了。
所以上述是滿足需求的,現在我們再來檢視一下想象,訪問www.cjc2.com,不帶show/run的。
可以發現,還是能夠訪問的,原因就是我們做監控型別的class-map匹配了只是www.cjc.com這個網域名稱的。其他網域名稱是不被限制的。當然也可以修改class-map的all型別。這樣只要兩者一者包括的話就不能否訪問了。
到此講解結束,感謝**。
防火牆實現URL過濾原理
對於url過濾 1.http url過濾 2.https url過濾 1.http url過濾 http請求和服務埠 80 實現原理 iptables 規則在協議棧中獲取到http請求報頭中的host欄位 攔截目地埠為80的包,布配host欄位的值是否是設定過慮的url 如果是則dorp掉,否則放行...
ASA防火牆之global ACL配置例項
本篇繼續介紹asa防火牆的相關配置,有關全域性訪問控制acl的配置,相對於介面對的呼叫,全域性更加的靈活。需求 全域性放行icmp與telnet的流量,進行測試。再將outside介面入方向telnet流量deny掉,再進行測試。配置命令如下 asa config access list globa...
ASA防火牆訪問配置總結
show run 找到如下資訊 access list inside1 outside1 extended permit udp xx.0 內網位址 255.255.255.0 內網掩碼 host 外網位址 range 16000 33000 access list inside1 outside1...