ASA防火墙审查功能执行流量过滤

因为防火墙的过滤功能设置方法过于烦琐，使得很多人都不愿使用其功能，但仔细研究后，你会发现防火墙的过滤功能是如此的强大，且可控性强，十分细化。

以下皆为实际案例测试通过

1. 先计划好需要过滤的IP网段

object-group network url_filter_group

network-object 172.16.10.0 255.255.255.128

network-object 172.16.10.128 255.255.255.192

network-object 172.16.10.192 255.255.255.224

2. 然后定义好时间段：

time-range url_range

periodic weeddays 8:30 to 17:30

3. 定义ACL并入时间控制

access-list url_filter_list extended permit tcp object-group url_filter_group any eq www time-range url_range

之所以不用any any 除了些许IP不需要过滤外，最主要的原因是只过滤http流量中的关键字，其它流量含此关键词不用过滤。

4. 接下来写好需要过滤的网站关键字，利用正则表达式来达到匹配多个关键词（正则表达式使用方法可自行搜索，属于数学的内容。）

regex url_filter1 \.youku\.com

regex url_filter2 \.tudou\.com

……

5. 建立普通class-map 来匹配ACL。

class-map url_class

match access-list url_filter_list

exit

6. 建立正式表达式类型的class-map来关联所要过滤的正式表达式关键词。

class-map type regex match-any url_class_regex

match regex url_filter1

match regex url_filter2

exit

说明: class-map可建立两种类型，一为审查，二为正则表达式。审查类型的class-map只能被审查类型的调用。正则表达式只能被正则表达类型的class-map匹配。正则表达式类型的class-map可被任意类型的map匹配。审查类型的 可以审查DNS、FTP、HTTP等，并且可以选择match需求还是答复报文(rquest与response),答复报文与需求报文的子选项不一样。我们要过滤网站的关键词，这里选择需求报文，并选择header就可以了。（如果你想审查内容，选择body, 这样，网站内含有关键词也会被丢弃。）

7. 建立类型为审查的class-map来关联正则表达式的class-map

class-map type inspect http match-all url_class_inspect

match request header host regex class url_class_regex

头部包含很多字项，如下图，我们选择host项，并选择审查正则表达式class-map内容，如果这里填上match not request header host regex class url_class_regex 将达到只允许访问某些网站的目的。

8. 建立审查类型的policy-map来匹配审查类型的class-map并做出相应动作

policy-map type inspect http url_policy_inspect

class url_class_inspect

drop-connection log

exit

说明：policy-map只有普通与审查两种，审查类型的policy-map只能调用审查类型的class-map。同样，普通类型的policy-map也只能调用普通类型的class-map。然接口只能应用普通类型的policy-map,所以还得建立普通类型的policy-map来调用普通类型的class-map。再在普通类型的class-map下调用审查类型的policy-map（polci-map只有调用class-map后才有执行动作的功能，class-map没有单独执行动作的功能，policy-map单独也没有，虽然policy-map也可以match正则表达式或者正则表达式的class-map，但却没有执行动作的功能。普通policy-map调用普通class-map后，可执行审查inspect功能，可以设置流量带宽，带有drop功能，但inspect没有，所以需要在审查类型的policy-map调用审查类型的class-map后执行drop功能。）

9. 最后建立普通的policy-map来关联普通的class-map并调用审查类型的policy-map达到丢弃正则表达式内容的目的。

policy-map url_policy

class url_class

inspect http url_policy_inspect

exit

接下来就是应用在接口上。因为我们审查的的是需求流量，故应用在靠近数据源的接口上。

service-policy url_policy interface inside

通过以上命令，可以对相关IP组内的的http流量进行审查，查找含有.you.com或.tudou.com的需求流量并丢失，达到屏蔽这两个网址的作用。