千家信息网

ASA防火墙审查功能执行流量过滤

发表于:2024-11-19 作者:千家信息网编辑
千家信息网最后更新 2024年11月19日,因为防火墙的过滤功能设置方法过于烦琐,使得很多人都不愿使用其功能,但仔细研究后,你会发现防火墙的过滤功能是如此的强大,且可控性强,十分细化。以下皆为实际案例测试通过1. 先计划好需要过滤的IP网段ob
千家信息网最后更新 2024年11月19日ASA防火墙审查功能执行流量过滤

因为防火墙的过滤功能设置方法过于烦琐,使得很多人都不愿使用其功能,但仔细研究后,你会发现防火墙的过滤功能是如此的强大,且可控性强,十分细化。

以下皆为实际案例测试通过


1. 先计划好需要过滤的IP网段

object-group network url_filter_group

network-object 172.16.10.0 255.255.255.128

network-object 172.16.10.128 255.255.255.192

network-object 172.16.10.192 255.255.255.224


2. 然后定义好时间段:

time-range url_range

periodic weeddays 8:30 to 17:30


3. 定义ACL并入时间控制

access-list url_filter_list extended permit tcp object-group url_filter_group any eq www time-range url_range

之所以不用any any 除了些许IP不需要过滤外,最主要的原因是只过滤http流量中的关键字,其它流量含此关键词不用过滤。


4. 接下来写好需要过滤的网站关键字,利用正则表达式来达到匹配多个关键词(正则表达式使用方法可自行搜索,属于数学的内容。)

regex url_filter1 \.youku\.com

regex url_filter2 \.tudou\.com

……

5. 建立普通class-map 来匹配ACL。

class-map url_class

match access-list url_filter_list

exit


6. 建立正式表达式类型的class-map来关联所要过滤的正式表达式关键词。

class-map type regex match-any url_class_regex

match regex url_filter1

match regex url_filter2

exit




说明: class-map可建立两种类型,一为审查,二为正则表达式。审查类型的class-map只能被审查类型的调用。正则表达式只能被正则表达类型的class-map匹配。正则表达式类型的class-map可被任意类型的map匹配。审查类型的 可以审查DNS、FTP、HTTP等,并且可以选择match需求还是答复报文(rquest与response),答复报文与需求报文的子选项不一样。我们要过滤网站的关键词,这里选择需求报文,并选择header就可以了。(如果你想审查内容,选择body, 这样,网站内含有关键词也会被丢弃。)



7. 建立类型为审查的class-map来关联正则表达式的class-map

class-map type inspect http match-all url_class_inspect

match request header host regex class url_class_regex


头部包含很多字项,如下图,我们选择host项,并选择审查正则表达式class-map内容,如果这里填上match not request header host regex class url_class_regex 将达到只允许访问某些网站的目的。

8. 建立审查类型的policy-map来匹配审查类型的class-map并做出相应动作

policy-map type inspect http url_policy_inspect

class url_class_inspect

drop-connection log

exit


说明:policy-map只有普通与审查两种,审查类型的policy-map只能调用审查类型的class-map。同样,普通类型的policy-map也只能调用普通类型的class-map。然接口只能应用普通类型的policy-map,所以还得建立普通类型的policy-map来调用普通类型的class-map。再在普通类型的class-map下调用审查类型的policy-map(polci-map只有调用class-map后才有执行动作的功能,class-map没有单独执行动作的功能,policy-map单独也没有,虽然policy-map也可以match正则表达式或者正则表达式的class-map,但却没有执行动作的功能。普通policy-map调用普通class-map后,可执行审查inspect功能,可以设置流量带宽,带有drop功能,但inspect没有,所以需要在审查类型的policy-map调用审查类型的class-map后执行drop功能。)



9. 最后建立普通的policy-map来关联普通的class-map并调用审查类型的policy-map达到丢弃正则表达式内容的目的。

policy-map url_policy

class url_class

inspect http url_policy_inspect

exit


接下来就是应用在接口上。因为我们审查的的是需求流量,故应用在靠近数据源的接口上。

service-policy url_policy interface inside



通过以上命令,可以对相关IP组内的的http流量进行审查,查找含有.you.com或.tudou.com的需求流量并丢失,达到屏蔽这两个网址的作用。


0