思科ASA防火墙：控制防火墙不让访问指定网站

环境：

内网客户机：win10

思科asa防火墙

外网客户机：server 2016

 win10可以通过域名访问网站

进入asa全局模式

access-list http permit tcp 192.168.6.0 255.255.255.0 any eq www

 access-list + 名字 + permit + 协议 + 要被控制的网段 +子网掩码 + any全部 + eq + 协议

class-map c1

 创建一个 c1  把acl放进去

match access-list http

 放入http

exit退回到全局

regex w1 "\\.web\\.com"

 regex + 创建的w1 + "\\.名字\\.后缀"

class-map type regex match-any c2

match regex w1

创建一个c2 把 w1 映射进去

exit 退回全局

class-map type inspect http c3 

match request header host regex class c2

 创建一个检查http类型的类 c3

要检查的内容是c2里包含的网址

exit 退回全局

policy-map type inspect http p1

class c3

drop-connection log

 创建一个检查类型的策略p1

对c3做策略

检查到c3里面的网址后把包丢弃 并且发送日志

exit exit 退回全局

policy-map p2

class c1

inspect http p1

 创建一个策略p2

对要过滤的的网段做策略

exit exit 退回全局

service-policy p2 interface inside

 把p2 放到 inside接口上inside为名称