Блокировка сайтов (например Вконтакте), на ASA
Трафик который будем фильтровать
access-list PC_to_Internet extended permit ip 192.168.1.0 255.255.255.0 any
Что будем фильтровать
regex rgx_VK "\.vk\.com"
Тут можно перечислить много правил
class-map type regex match-any VK_DOMAIN
match regex rgx_VK
Тут опишем как же мы будем искать то что описали выше
class-map type inspect http match-all VK_DOMAIN_INSPECT
match request header host regex class VK_DOMAIN
Это классификация трафика, по ACL
class-map PC_TO_INTERNET
match access-list PC_to_Internet
Тут мы мы опишем что будем делать с классифицированным трафиком.
policy-map type inspect http HTTP_D_POL
parameters
protocol-violation action drop-connection
class VK_DOMAIN_INSPECT
reset
А это уже политика для интерфейса.
policy-map DMZ_POL_M
class PC_TO_INTERNET
inspect http HTTP_D_POL
Применение политики на интерфейсе.
service-policy DMZ_POL_M interface inside
Но есть один могильничек:
Note: HTTPS filtering is not supported on ASA. ASA cannot do deep packet inspection or inspection based on regular expression for HTTPS traffic, because in HTTPS, content of packet is encrypted (SSL).
access-list PC_to_Internet extended permit ip 192.168.1.0 255.255.255.0 any
Что будем фильтровать
regex rgx_VK "\.vk\.com"
Тут можно перечислить много правил
class-map type regex match-any VK_DOMAIN
match regex rgx_VK
Тут опишем как же мы будем искать то что описали выше
class-map type inspect http match-all VK_DOMAIN_INSPECT
match request header host regex class VK_DOMAIN
Это классификация трафика, по ACL
class-map PC_TO_INTERNET
match access-list PC_to_Internet
Тут мы мы опишем что будем делать с классифицированным трафиком.
policy-map type inspect http HTTP_D_POL
parameters
protocol-violation action drop-connection
class VK_DOMAIN_INSPECT
reset
А это уже политика для интерфейса.
policy-map DMZ_POL_M
class PC_TO_INTERNET
inspect http HTTP_D_POL
Применение политики на интерфейсе.
service-policy DMZ_POL_M interface inside
Но есть один могильничек:
Note: HTTPS filtering is not supported on ASA. ASA cannot do deep packet inspection or inspection based on regular expression for HTTPS traffic, because in HTTPS, content of packet is encrypted (SSL).
Комментарии
Отправить комментарий