Настройка оборудования Cisco

Все очень просто: access-list <имя списка> line   <номер строки> куда надо вставить запись, и далее как обычно.

Попытаюсь начать цикл коротких статей по WSA. Начну не сначала, в последствии постараюсь дописать все с начала. Итак, предположим что WSA уже настроен, так же на ASA и WSA настроено перенаправление WEB трафика по WCCP. Внутренние пользователи работают через прокси сервер, а вот пользователи, подключенные через AnyConnect работают без прокси. Вы решили внедрить концепцию BYOD - то есть, все пользователи, как локальные так и удаленные, работают по одним и тем же правилам. Одна из составляющих этого - WEB безопасность. Как же нам быть? как пустить удаленных пользователей через прокси? Сделать это можно несколькими способами: 1. Использовать явное указание прокси сервера в групповой политике удаленных пользователей. 2. Использовать WCCP перенаправление не на ASA, а на другом маршрутизаторе. 3. Отправить весь трафик AnyConnect пользователей на маршрутизатор за Cisco ASA, и вернуть его обратно (U-Turn), после чего он уже будет аналогичен трафику от локальных машин. Мы рассмо...

Нам нужны порты TCP и UDP 445,88,389 И TCP 135,3268 и диапазон 49152-65535 object-group service AD_LOGIN tcp-udp  port-object eq 445  port-object eq 88  port-object eq 389  port-object eq domain object-group service AD_LOGIN_TCP tcp  port-object eq 135  port-object eq 3268  port-object range 49152 65535 access-list AD_ACL extended permit tcp object <сеть откуда идет трафик> object-group <сеть с доменом> object-group AD_LOGIN access-list AD_ACL extended permit udp object  <сеть откуда идет трафик>  object-group  <сеть с доменом>  object-group AD_LOGIN access-list AD_ACL extended permit tcp object  <сеть откуда идет трафик>  object-group  <сеть с доменом>  object-group AD_LOGIN_TC

Трафик который будем фильтровать access-list PC_to_Internet extended permit ip 192.168.1.0 255.255.255.0 any Что будем фильтровать regex rgx_VK "\.vk\.com" Тут можно перечислить много правил class-map type regex match-any VK_DOMAIN  match regex rgx_VK Тут опишем как же мы будем искать то что описали выше class-map type inspect http match-all VK_DOMAIN_INSPECT  match request header host regex class VK_DOMAIN Это классификация трафика, по ACL class-map PC_TO_INTERNET  match access-list PC_to_Internet Тут мы мы опишем что будем делать с классифицированным трафиком. policy-map type inspect http HTTP_D_POL  parameters   protocol-violation action drop-connection  class  VK_DOMAIN_INSPECT   reset А это уже политика для интерфейса. policy-map DMZ_POL_M  class PC_TO_INTERNET   inspect http HTTP_D_POL Применение политики на интерфейсе. service-policy  DMZ_POL_M  interface inside Но есть один могильни...