ASA防火墙之URL的过滤

最新推荐文章于 2024-07-17 18:00:00 发布
最新推荐文章于 2024-07-17 18:00:00 发布
阅读量1.2k 收藏 3
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Stephen_jj/article/details/105795498
版权

ASA防火墙之URL的过滤

本篇继续讲解ASA防火墙,主要讲解ASA防火墙对流量的关键字的过滤,通过正则表达式来过滤抑或是放行的url流量。

拓扑

在这里插入图片描述
需求:
1、 当XP访问站点www.cjc.com时,只允许UR1中包含“sh/run”关键字得流量通过。
2、 访问其他站点得流量不受控制。
3、 丢弃不符合HTTP协议标准的流量。

环境搭建,R2作为http服务器,ASA作为防火墙,修改XP的DNS解析,将www.cjc.com的域名解析为192.168.184.100.具体文件在C:\Windows\System32\drivers\etc的hosts文件,修改添加如下。
在这里插入图片描述
XP地址设置如下

在这里插入图片描述
ASA配置
ASA(config)# access-list in permit ip any any //这里为了方便直接放行ANY,因为XP网卡问题,所以若想单条放行的话需添加一下网卡的网段,因为我这里网卡类似做转接的,没有与XP同一网段。若是想只做一条,就需修改一下网卡的网段了。
ASA(config)# access-group in in interface dmz
配置之后,使得XP可以访问192.168.184.100
在这里插入图片描述
R2配置
Ip http server //开启ftp服务
Ip http authentication local //开启本地验证
username ccie privilege 15 password cisco //创建用户

配置完成,XP通过浏览器访问域名www.cjc.com,可以访问到R2服务器。
在这里插入图片描述
环境搭建好,那么就开始做需求了。先看一下配置前效果,方便前后对比。
http://www.cjc.com/exec/show/run
在这里插入图片描述
http://www.cjc.com/exec/show/ip/int/br
在这里插入图片描述
为了更能体验效果,我们再添加一个域名。www.cjc2.com
在这里插入图片描述
配置过滤:

配置正则表达式
regex domain www.cjc.com
regex uri show/run

配置运用层监控类型的class-map
class-map type inspect http match-all match-http-class
match request header host regex domain
match not request uri regex uri

配置运用层监控类型的policy-map
ASA(config)# policy-map type inspect http http-policy-map
ASA(config-pmap)# parameters
ASA(config-pmap-p)# protocol-violation action reset
ASA(config-pmap)# class match-http-class
ASA(config-pmap-c)# reset
调用运用层监控类型的policy-map
ASA(config)# policy-map global_policy
ASA(config-pmap)# class inspection_default
ASA(config-pmap-c)# inspect http http-policy-map

配置完成,来查看HTTP访问情况,uri带show/run的仍然是可以访问的。
在这里插入图片描述
而其他的流量就不能够访问了。
在这里插入图片描述
所以上述是满足需求的,现在我们再来查看一下想象,访问www.cjc2.com,不带show/run的。
在这里插入图片描述
可以发现,还是能够访问的,原因就是我们做监控类型的class-map匹配了只是www.cjc.com这个域名的。其他域名是不被限制的。当然也可以修改class-map的all类型。这样只要两者一者包括的话就不能否访问了。

最后

到此讲解结束,感谢观看。

成禾
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Cisco防火墙配置实战
悦分享
11-15 1008
Cisco自适应安全设备管理器(Adaptive Security Device Manager,ASDM)通过一个直观、易用、基于Web的管理界面,提供了世界级的安全管理和监控服务。结合Cisco ASA 5500系列自适应安全设备和Cisco PIX安全设备,Cisco ASDM提供的智能向导、强大的管理工具和灵活的监控服务,进一步增强了Cisco安全设备套件提供的先进的集成安全和网络功能,从而加速安全设备的部署。
URL防火墙过滤
06-04
URL防火墙过滤,基于IOS的URL过滤,非常使用,很多公司都会使用这个技术进行过滤
Cisco ASA 高级配置之URL过滤
weixin_33826268的博客
04-30 594
现在呢,有很多管理上网行为的软件,那么ASA作为状态化防火墙,它也可以进行管理上网行为,我们可以利用ASA防火墙iOS的特性实施URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的。实施URL过滤一般分成以下三个步骤:1、创建class-map(类映射),识别传输流量。2、创建policy-map(策略映射),关联class-map。3、应用policy-map到接口上。 配置实例: 使用...
华为防火墙安全,反病毒、入侵防御、URL过滤
最新发布
ZL_1618的博客
07-17 1454
介绍反病毒特性的定义和目的。病毒是一种恶意代码,可感染或附着在应用程序或文件中,一般通过邮件或文件共享等协议进行传播,威胁用户主机和网络的安全。有些病毒会耗尽主机资源、占用网络带宽,有些病毒会控制主机权限、窃取数据,有些病毒甚至会对主机硬件造成破坏。反病毒是一种安全机制,它可以通过识别和处理病毒文件来保证网络安全,避免由病毒文件而引起的数据破坏、权限更改和系统崩溃等情况的发生。介绍入侵防御特性的定义和目的。
ASA防火墙设置URL过滤
weixin_34130389的博客
05-30 786
实施URL过滤一般分为以下三个步骤:1.创建class-map(类映射),识别传输流量;2.创建policy-map(策略映射),关联class-map;3.应用policy-map到接口上。创建class-map,识别传输流量 ASA(config)# access-list 100 permit tcp 192.168.1.0 255.255.255.0 any eq www ASA(conf...
防火墙安全策略之URL过滤域名
zljszn的博客
12-14 3955
定义URL过滤功能可以对用户访问的URL进行控制,允许或禁止用户访问某些网页资源,达到规范上网行为的目的。另外,对于指定URL分类的HTTP报文,FW可以修改报文中的DSCP字段,即DSCP优先级,从而便于其他网络设备根据修改后的DSCP优先级区分流量,对不同分类的URL流量采取差异化处理目的员工在工作时间随意地访问与工作无关的网站,严重影响了工作效率员工随意访问非法或恶意的网站,造成公司机密信息泄露,甚至会带来病毒、木马和蠕虫等威胁攻击。
ASA-URL过滤
weixin_45138093的博客
06-28 330
URL过滤技术简介 拓扑图需求如下所示:基于URL防火墙过滤 1.当访问站点www,cisco.com时,只允许URL中包含“show/run”的关键字的流量通过 2.丢弃不符合http协议标准的流量,访问其他站点的流量不受控制。 实验准备: 1.在gns3添加一个云设备桥接三张ASA网卡作为ASA防火墙 2.再添加一个云设备桥接一张ASA为未用的网卡模拟外网PC 3.模拟pc的网卡网关地址指向防火墙接口(202.100.1.254) 4.在CLI添加route add 172.16.1.0 mask
asa 防火墙拦截了https_Cisco ASA防火墙URL过滤控制
weixin_39675728的博客
12-20 466
要求IP地址范围在192.168.0.1-192.168.0.15中的主机只能访问www.163.com,不能访问其它任何网站。实施URL过滤分为3个步骤创建class-map(类映射),识别传输流量创建policy-map(策略映射),关联class-map应用policy-map到接口上任务一:IP地址范围在192.168.0.1-192.168.0.15中的主机只能访问www.163.com...
cisco C3750 qos ASA5510 防火墙过滤
09-14
企业网络经典案例系列实例:一、ciscoC3750简单mls qos限速,ciscoasa5510实现url过滤
ASA防火墙
Pespi_Co1a的博客
01-03 6396
一、防火墙的四种类型 无状态包过滤(statless packet)---ACL 状态监控包过滤(stateful packet) 运用层监控和控制的状态包过滤(stateful packet filtering with application inspection and control) 代理服务器(proxy server)   #无状态包过滤 特性:(1)依赖于静态的策略来允...
Cisco ASA 高级配置之URL过滤
看清所以看轻
05-22 806
现在呢,有很多管理上网行为的软件,那么ASA作为状态化防火墙,它也可以进行管理上网行为,我们可以利用ASA防火墙iOS的特性实施URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的。 实施URL过滤一般分成以下三个步骤: 1、创建class-map(类映射),识别传输流量。 2、创建policy-map(策略映射),关联class-map。 3、应用policy-map到接口上。 配置实例...
asa清空配置_Cisco ASA 高级配置
weixin_32263265的博客
02-06 969
Cisco ASA 高级配置一、防范IP分片攻击1、Ip分片的原理;2、Ip分片的安全问题;3、防范Ip分片。这三个问题在之前已经详细介绍过了,在此就不多介绍了。详细介绍请查看上一篇文章:IP分片原理及分析。二、URL过滤利用ASA防火墙IOS的特性URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的。实施URL过滤一般分为以下三个步骤:(1) 创建class-map (类映射),识别传输...
ASAURL过滤-拒绝与工作无关的网站
weixin_33981932的博客
09-17 190
实施URL过滤一般分为三个步骤:1.创建class-map(类映射),识别传输流量2.创建policy-map(策略映射),关联class-map3.应用policy-map到街口上配置如下:第一层ciscoasa(config)#access-listtcp_filter1permittcp10.1.1.0255.255.255.0anyeqwww匹配ACL:ciscoas...
防火墙实现URL过滤原理
iteye_582的博客
05-08 6799
对于URL过滤:1.HTTP URL过滤 2.https URL过滤 1.HTTP URL过滤 (http请求和服务端口:80) 实现原理:iptables 规则在协议栈中获取到HTTP请求报头中的HOST字段;拦截目地端口为80的包,布配HOST字段的值是否是设置过虑的URL ,如果是则DORP掉,否则放行。 2.https URL过滤 (https请求端口为随机值,https...
asa 防火墙拦截了https_ASA防火墙设置URL过滤
weixin_31681589的博客
01-12 447
实施URL过滤一般分为以下三个步骤:1.创建class-map(类映射),识别传输流量;2.创建policy-map(策略映射),关联class-map;3.应用policy-map到接口上。创建class-map,识别传输流量ASA(config)# access-list 100 permit tcp 192.168.1.0 255.255.255.0 any eq wwwASA(config...
HCIE Security AC访客管理和终端安全 备考笔记(幕布)
tushanpeipei的博客
11-03 348
文字版:https://mubu.com/doc/7ImViN3gdmQ 参考资料:华为hedex文档
ASA防火墙配置url过滤。详细实验步骤
weixin_33701617的博客
10-17 568
实验拓扑图。。。。服务器ip:202.168.1.10 web www.cisco.com www.kkgame.com分别用不同的主机名在服务器上搭建权限添加成everyone。。因为要向外发布网站。添加一个自己改过名的默认文档,,如果没改过名的话就上移移动到顶层。内存4G的电脑只能开两...
防火墙ASA)高级配置之URL过滤、日志管理、透明模式
weixin_33720078的博客
09-24 1127
对于防火墙产品来说,最重要的一个功能就是对事件进行日志记录。本篇博客将介绍如何对ASA进行日志管理与分析、ASA透明模式的原理与配置、利用ASA防火墙的IOS特性实施URL过滤。一、URL过滤 利用ASA防火墙IOS的特性URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的。 实施URL过滤一般分为以下三个步骤:(1)创建class-map(类映射...
ASA防火墙上做基于域名URL过滤
weixin_33782386的博客
03-31 739
实验实验拓扑图:实验环境:在server2008服务器上搭建WEB网站和DNS服务,分别创建域名为benet.com和accp.com两个网站。实验要求:首先客户端可以访问服务器上的两个网站,成功后在防火墙上做URL过滤使客户端无法访问accp.com网站。实验步骤:首先在ASA防火墙上配置各区域名称和IP地址:ciscoasa(config)#inte0/0c...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值