URL过滤技术简介
拓扑图需求如下所示:基于URL的防火墙过滤
1.当访问站点www,cisco.com时,只允许URL中包含“show/run”的关键字的流量通过
2.丢弃不符合http协议标准的流量,访问其他站点的流量不受控制。
实验准备:
1.在gns3添加一个云设备桥接三张ASA网卡作为ASA防火墙
2.再添加一个云设备桥接一张ASA为未用的网卡模拟外网PC
3.模拟pc的网卡网关地址指向防火墙接口(202.100.1.254)
4.在CLI添加route add 172.16.1.0 mask 255.255.255.0 202.100.1.254
5.在C:\Windows\System32\drivers\etc编辑host文件
172.16.1.1 www.cisco.com 172.16.1.1 www.cisc0.com
(host文件必须为ASCII编码且注意授权和保存为.bat文件格式)
防火墙放行outside到http服务器的流量
定义正则表达式匹配URL过滤信息
定义监控类型的http class匹配正则表达式条件
定义监控类型的http-policy对不符合http协议标准化的reset,匹配http-class不是请求show/run信息的动作为reset
在全局调用的service-policy global_policy里监控http-policy
测试当访问地址为www.cisco.com时只能输入show run命令
而在访问地址为www.Cisc0.com时不受URL限制
