Cisco ASA [Lab 8.1] Cisco ASA url filtering and smartfilter

root

root

Specialist

Lab configure ASA url filtering and smartfilter



I. Mô hình Lab configure ASA url filtering and smartfilter
1. Mô hình

configure ASA url filtering and smartfilter (1)

2. yêu cầu
- Viết ACL thực hiện URL filtering
- Sử dụng ACL
  • kiểu cổ điển
  • Kiểu hiện đại Object-group
  • url filtering

II. Triển khai Lab configure ASA url filtering and smartfilter


1. Router
- cài đặt IP và route mạng 192.168.10.0/24
Mã: 
R1(config)#int f0/0
R1(config-if)#ip address dhcp
R1(config-if)#no shutdown
R1(config-if)#int f0/1
R1(config-if)#ip address 172.16.16.254 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit

R1(config)#ip route 192.168.10.0 255.255.255.0 172.16.16.1

- Ping ra net thành công
R1(config)#do ping 8.8.8.8

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
.!!!!
Nhấn để mở rộng...

2. Cấu hình Cisco ASA
- Đặt IP, nameif, default route và inspection ICMP
Mã: 
ciscoasa(config)# int g0
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip address 172.16.16.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# int g1
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip address 192.168.10.1 255.255.255.0
ciscoasa(config-if)# no shutdown

ciscoasa(config)# route outside 0 0 172.16.16.254
ciscoasa(config)# fixup protocol icmp

- Ping ra internet thành công
ciscoasa(config)# ping 8.8.8.8

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 70/84/90 ms
Nhấn để mở rộng...
- Trên 2 PC đặt IP và trỏ Gateway về ASA và ping ra internet thành công
 
Sửa lần cuối:
Bài viết liên quan
[Lab 2.7] Upgrade IOS Cisco ASA 5545 bởi root,
[Lab 6.2] Configure netflow analyzer on cisco asa bởi root,
Tổng hợp các bài lab Config Cisco ASA bởi root,
[Lab 13.2] Configure Virtual Firewall Cisco with Draytek bởi root,
[Lab 14.1] Configure redundant interface cisco ASA bởi root,
[lab 10.1] Configure cisco ASA email proxy bởi root,
Bài viết mới
[Lab 2.7] Upgrade IOS Cisco ASA 5545 bởi root,
[Lab 6.2] Configure netflow analyzer on cisco asa bởi root,
Tổng hợp các bài lab Config Cisco ASA bởi root,
[Lab 13.2] Configure Virtual Firewall Cisco with Draytek bởi root,
[Lab 14.1] Configure redundant interface cisco ASA bởi root,
[lab 10.1] Configure cisco ASA email proxy bởi root,

III. Configure ASA URL filtering and Smartfilter


- Ở đây mình sẽ trình bày 3 cách để filter 1 trang web

1. Viết ACL URL Filtering trên Cisco ASA
- Dùng ACL để filter IP của trang web: vnexpress.net
- Đầu tiên cần nslookup để lấy IP của vnexpress.net là 111.65.248.132
- Đây là ACL.

Mã: 
access-list POLICY extended permit icmp any any echo log
access-list POLICY extended deny tcp host 192.168.10.20 host 111.65.248.132 log
access-list POLICY extended permit ip any any log

access-group POLICY in interface inside
- Trên PC 1: 192.168.10.10 đi được vnexpress.net.

configure ASA url filtering and smartfilter (2)


- PC 2: 192.168.10.20 không đi được vnexpress.net nhưng đi được các trang khác.

configure ASA url filtering and smartfilter (3)
 
Sửa lần cuối:
2. Config Cisco ASA ACL Object group
- Object-group ACL được sử dụng trên các ASA version 8.3 trở đi, nó khá hữu dụng khi hệ thống mạng của bạn phức tạp, có nhiều PC, server cần add vào ACl.
- Sau đây mình viết 1 ACl cấm PC 1 đi trang vnexpress.net. Còn các PC khác thì đi như bình thường
Mã: 
ciscoasa(config)# object-group protocol TCP
ciscoasa(config-protocol-object-group)# protocol-object tcp

ciscoasa(config)# object-group network INSIDE
ciscoasa(config-network-object-group)# network-object host 192.168.10.10

ciscoasa(config)# object-group network OUTSIDE
ciscoasa(config-network-object-group)# network-object host 111.65.248.132

ciscoasa(config)# object-group service HTTP tcp
ciscoasa(config-service-object-group)# port-object eq http

ciscoasa(config)# access-list INSIDE_OUTSIDE extended deny object-group TCP object-group INSIDE object-group OUTSIDE object-group HTTP
ciscoasa(config)# access-list INSIDE_OUTSIDE line 2 permit ip any any log

// áp ACL lên interface
ciscoasa(config)# access-group INSIDE_OUTSIDE in interface inside

- Những PC trong group INSIDE sẽ không được đi trang vnexpress.net nhưng được phép đi các trang khác và các PC còn lại đi ra internet bình thường.

configure ASA url filtering and smartfilter (5)
 
Sửa lần cuối:

3. Configure Cisco ASA URL filtering


- sử dụng tính năng URL filtering trong ASA để cấm PC 1 đi trang svuit.vn

Mã: 
ciscoasa(config)# url-server (inside) vendor smartfilter host 192.168.10.10
ciscoasa(config)# filter url www 192.168.10.0 255.255.255.0 198.187.31.146 255.255.255.255
- Kết quả.

Configure Cisco ASA URL filtering (1)
 
Sửa lần cuối:
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top