Cisco ASA [Lab 8.1] Cisco ASA url filtering and smartfilter

root

root

Leader IT/Architect
Dec 31, 2012
1,153
72
48

Lab configure ASA url filtering and smartfilter



I. Mô hình Lab configure ASA url filtering and smartfilter
1. Mô hình

configure ASA url filtering and smartfilter (1)

2. yêu cầu
- Viết ACL thực hiện URL filtering
- Sử dụng ACL
  • kiểu cổ điển
  • Kiểu hiện đại Object-group
  • url filtering

II. Triển khai Lab configure ASA url filtering and smartfilter


1. Router
- cài đặt IP và route mạng 192.168.10.0/24
Code: 
R1(config)#int f0/0
R1(config-if)#ip address dhcp
R1(config-if)#no shutdown
R1(config-if)#int f0/1
R1(config-if)#ip address 172.16.16.254 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit

R1(config)#ip route 192.168.10.0 255.255.255.0 172.16.16.1

- Ping ra net thành công
R1(config)#do ping 8.8.8.8

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
.!!!!
Click to expand...

2. Cấu hình Cisco ASA
- Đặt IP, nameif, default route và inspection ICMP
Code: 
ciscoasa(config)# int g0
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip address 172.16.16.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# int g1
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip address 192.168.10.1 255.255.255.0
ciscoasa(config-if)# no shutdown

ciscoasa(config)# route outside 0 0 172.16.16.254
ciscoasa(config)# fixup protocol icmp

- Ping ra internet thành công
ciscoasa(config)# ping 8.8.8.8

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 70/84/90 ms
Click to expand...
- Trên 2 PC đặt IP và trỏ Gateway về ASA và ping ra internet thành công
 
Last edited:

III. Configure ASA URL filtering and Smartfilter


- Ở đây mình sẽ trình bày 3 cách để filter 1 trang web

1. Viết ACL URL Filtering trên Cisco ASA
- Dùng ACL để filter IP của trang web: vnexpress.net
- Đầu tiên cần nslookup để lấy IP của vnexpress.net là 111.65.248.132
- Đây là ACL.

Code: 
access-list POLICY extended permit icmp any any echo log
access-list POLICY extended deny tcp host 192.168.10.20 host 111.65.248.132 log
access-list POLICY extended permit ip any any log

access-group POLICY in interface inside
- Trên PC 1: 192.168.10.10 đi được vnexpress.net.

configure ASA url filtering and smartfilter (2)


- PC 2: 192.168.10.20 không đi được vnexpress.net nhưng đi được các trang khác.

configure ASA url filtering and smartfilter (3)
 
Last edited:
2. Config Cisco ASA ACL Object group
- Object-group ACL được sử dụng trên các ASA version 8.3 trở đi, nó khá hữu dụng khi hệ thống mạng của bạn phức tạp, có nhiều PC, server cần add vào ACl.
- Sau đây mình viết 1 ACl cấm PC 1 đi trang vnexpress.net. Còn các PC khác thì đi như bình thường
Code: 
ciscoasa(config)# object-group protocol TCP
ciscoasa(config-protocol-object-group)# protocol-object tcp

ciscoasa(config)# object-group network INSIDE
ciscoasa(config-network-object-group)# network-object host 192.168.10.10

ciscoasa(config)# object-group network OUTSIDE
ciscoasa(config-network-object-group)# network-object host 111.65.248.132

ciscoasa(config)# object-group service HTTP tcp
ciscoasa(config-service-object-group)# port-object eq http

ciscoasa(config)# access-list INSIDE_OUTSIDE extended deny object-group TCP object-group INSIDE object-group OUTSIDE object-group HTTP
ciscoasa(config)# access-list INSIDE_OUTSIDE line 2 permit ip any any log

// áp ACL lên interface
ciscoasa(config)# access-group INSIDE_OUTSIDE in interface inside

- Những PC trong group INSIDE sẽ không được đi trang vnexpress.net nhưng được phép đi các trang khác và các PC còn lại đi ra internet bình thường.

configure ASA url filtering and smartfilter (5)
 
Last edited:

3. Configure Cisco ASA URL filtering


- sử dụng tính năng URL filtering trong ASA để cấm PC 1 đi trang svuit.vn

Code: 
ciscoasa(config)# url-server (inside) vendor smartfilter host 192.168.10.10
ciscoasa(config)# filter url www 192.168.10.0 255.255.255.0 198.187.31.146 255.255.255.255
- Kết quả.

Configure Cisco ASA URL filtering (1)
 
Last edited:
You must log in or register to reply here.

Similar Threads

[Lab 2.7] Upgrade IOS Cisco ASA 5545
Cisco ASA [Lab 2.7] Upgrade IOS Cisco ASA 5545
Replies
0
Views
3K
root
root
[Lab 6.2] Configure netflow analyzer on cisco asa
Cisco ASA [Lab 6.2] Configure netflow analyzer on cisco asa
Replies
0
Views
3K
root
root
Tổng hợp các bài lab Config Cisco ASA
  • Sticky
Cisco ASA Tổng hợp các bài lab Config Cisco ASA
Replies
0
Views
8K
root
root
[Lab 13.2] Configure Virtual Firewall Cisco with Draytek
Cisco ASA [Lab 13.2] Configure Virtual Firewall Cisco with Draytek
Replies
2
Views
4K
root
root
[Lab 14.1] Configure redundant interface cisco ASA
Cisco ASA [Lab 14.1] Configure redundant interface cisco ASA
Replies
0
Views
4K
root
root

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

Home Forums Contact us

User Menu

Login
Top Bottom
Back