ASA防火牆之URL的過濾

本篇繼續講解asa防火牆，主要講解asa防火牆對流量的關鍵字的過濾，通過正規表示式來過濾抑或是放行的url流量。

需求：1、當xp訪問站點www.cjc.com時，只允許ur1中包含「sh/run」關鍵字得流量通過。

2、訪問其他站點得流量不受控制。

3、丟棄不符合http協議標準的流量。

環境搭建，r2作為http伺服器，asa作為防火牆，修改xp的dns解析，將www.cjc.com的網域名稱解析為192.168.184.100.具體檔案在c:\windows\system32\drivers\etc的hosts檔案，修改新增如下。

xp位址設定如下

asa配置

asa(config)# access-list in permit ip any any //這裡為了方便直接放行any，因為xp網絡卡問題，所以若想單條放行的話需新增一下網絡卡的網段，因為我這裡網絡卡類似做轉接的，沒有與xp同一網段。若是想只做一條，就需修改一下網絡卡的網段了。

asa(config)# access-group in in inte***ce dmz

配置之後，使得xp可以訪問192.168.184.100

r2配置

ip http server //開啟ftp服務

ip http authentication local //開啟本地驗證

username ccie privilege 15 password cisco //建立使用者

配置完成，xp通過瀏覽器訪問網域名稱www.cjc.com，可以訪問到r2伺服器。

環境搭建好，那麼就開始做需求了。先看一下配置前效果，方便前後對比。

為了更能體驗效果，我們再新增乙個網域名稱。www.cjc2.com

配置過濾：

配置正規表示式

regex domain www.cjc.com

regex uri show/run

配置運用層監控型別的class-map

配置運用層監控型別的policy-map

呼叫運用層監控型別的policy-map

配置完成，來檢視http訪問情況，uri帶show/run的仍然是可以訪問的。

而其他的流量就不能夠訪問了。

所以上述是滿足需求的，現在我們再來檢視一下想象，訪問www.cjc2.com,不帶show/run的。

可以發現，還是能夠訪問的，原因就是我們做監控型別的class-map匹配了只是www.cjc.com這個網域名稱的。其他網域名稱是不被限制的。當然也可以修改class-map的all型別。這樣只要兩者一者包括的話就不能否訪問了。

到此講解結束，感謝**。