Tweet
Lab: ASA URL Filter
I. Sơ đồ hình vẽ
II. Yêu cầu cấu hình:
- Cấu hình cổng bên ngoài của ASA xin địa chỉ IP từ DHCP server do ISP cấp. ASA cũng sẽ tự động thêm vào một default route chỉ về gateway của ISP.
- Cấu hình NAT sao cho người dùng bên trong LAN đi ra ngoài Internet, truy cập được các web site www.thanhnien.com.vn, www.vnpro.org. Người quản trị có thể gán địa chỉ DNS server trên PC của người dùng.
- Cấu hình lọc các web site www.thanhnien.com.vn, www.ngoisao.net dùng biểu thức chính qui.
III. Cấu hình đầy đủ
pixfirewall# show run
PIX Version 8.0(3)
!
hostname pixfirewall
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
nameif inside
security-level 100
ip address 30.30.30.1 255.255.255.0
!
interface Ethernet1
nameif outside
security-level 0
ip address dhcp - xin địa chỉ IP từ ISP
!
!Định nghĩa các biểu thức chính qui, chỉ ra các web site đang quan tâm
!
regex url1 ".+yahoo.com"
regex url2 ".+ngoisao.net"
regex url3 ".+vnpro.org"
regex url4 ".+thanhnien.com.vn"
!
!Cấu hình NAT overload ra interface bên ngoài.
!
global (outside) 1 interface
nat (inside) 1 30.30.30.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 192.168.0.1 1
!
!
class-map type regex match-any regex-class
match regex url1
match regex url2
match regex url3
match regex url4
match regex url5
!
class-map type inspect http match-all http-class
match request header host regex class regex-class
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
policy-map type inspect http my_http_map
parameters
protocol-violation action drop-connection
class http-class
reset
match request method connect
drop-connection
policy-map block-http
class inspection_default
inspect http my_http_map
!
service-policy global_policy global
service-policy block-http interface outside
prompt hostname context
Cryptochecksum:52ae224cdaeca3fee8e450d992f169f4
: end
pixfirewall# show run regex
regex url1 ".+yahoo.com"
regex url2 ".+ngoisao.net"
regex url3 ".+vnpro.org"
regex url4 ".+thanhnien.com.vn"
!
pixfirewall# show run class-map
!
class-map type regex match-any regex-class
match regex url1
match regex url2
match regex url3
match regex url4
match regex url5
class-map type inspect http match-all http-class
match request header host regex class regex-class
class-map inspection_default
match default-inspection-traffic
!
pixfirewall# show run policy-map
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
policy-map type inspect http my_http_map
parameters
protocol-violation action drop-connection
class http-class
reset
match request method connect
drop-connection
policy-map block-http
class inspection_default
inspect http my_http_map
!
pixfirewall# show run service-policy
service-policy global_policy global
service-policy block-http interface outside
Comment