如何使用 ASDM 配置 Cisco ASA 以阻止/允许网站、IP 等流量?

网络工程 思科 思科 防火墙 思科火力
2021-07-18 17:11:24

我有一个 Cisco ASA 5515,我的配置如下:

ASA Version 9.2(2)4   

hostname ciscoasa  
enable password ********* encrypted  
names  
!  
interface GigabitEthernet0/0  
 nameif Public-IP  
 security-level 0  
 ip address 202.67.23.37 255.255.255.0   
!  
interface GigabitEthernet0/1  
 nameif CC-Camera  
 security-level 50  
 ip address 10.10.20.1 255.255.255.0   
!  
interface GigabitEthernet0/2  
 nameif Computer-Lab  
 security-level 90  
 ip address 10.10.21.1 255.255.255.0  
!         
interface GigabitEthernet0/3             
 nameif Private-LAN  
 security-level 100  
 ip address 10.10.22.1 255.255.255.0   
!  
interface GigabitEthernet0/4             
 nameif Wireless  
 security-level 80  
 ip address 10.10.23.1 255.255.255.0  
!  
interface GigabitEthernet0/5  
 shutdown  
 no nameif  
 no security-level  
 no ip address  
!  
interface Management0/0  
 management-only  
 nameif management  
 security-level 100  
 ip address 192.168.1.1 255.255.255.0   
!  
boot system disk0:/asa922-4-smp-k8.bin  
ftp mode passive  

object network CC-Camera-subnet  
 subnet 10.10.20.0 255.255.255.0  
object network Computer-Lab  
 subnet 10.10.21.0 255.255.255.0  
object network Private-LAN  
 subnet 10.10.22.0 255.255.255.0  
object network Wireless  
 subnet 10.10.23.0 255.255.255.0  

!  
object network CC-Camera-subnet  
 nat (CC-Camera,Public-IP) dynamic interface  
object network Computer-Lab  
 nat (Computer-Lab,Public-IP) dynamic interface   
object network Private-LAN  
 nat (Private-LAN,Public-IP) dynamic interface  
object network Wireless  
 nat (Wireless,Public-IP) dynamic interface  
access-group Public-IP_access_in in interface Public-IP  
access-group CC-Camera_access_in in interface CC-Camera  

route Public-IP 0.0.0.0 0.0.0.0 x.x.x.x

timeout xlate 3:00:00  
timeout pat-xlate 0:00:30  
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02  
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00  
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00  
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute  
timeout tcp-proxy-reassembly 0:01:00  
timeout floating-conn 0:00:00  

dynamic-access-policy-record DfltAccessPolicy  

user-identity default-domain LOCAL  

http server enable  
http 192.168.1.0 255.255.255.0 management  

no snmp-server location  
no snmp-server contact  

crypto ipsec security-association pmtu-aging infinite  
crypto ca trustpool policy  

telnet timeout 5  
no ssh stricthostkeycheck  
ssh timeout 5  
ssh key-exchange group dh-group1-sha1  
console timeout 0  

dhcpd address 192.168.1.2-192.168.1.254 management  
dhcpd enable management  
!
threat-detection basic-threat   
threat-detection statistics access-list  
no threat-detection statistics tcp-intercept  

ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1  
!  
class-map inspection_default  
 match default-inspection-traffic  
!  
policy-map type inspect dns preset_dns_map  
 parameters  
  message-length maximum client auto  
  message-length maximum 512  

policy-map global_policy  
 class inspection_default  
  inspect dns preset_dns_map   
  inspect ftp   
  inspect h323 h225   
  inspect h323 ras   
  inspect rsh   
  inspect rtsp   
  inspect esmtp  
  inspect sqlnet  
  inspect skinny   
  inspect sunrpc  
  inspect xdmcp  
  inspect sip

我的问题如下:

我的客户希望阻止 Facebook、YouTube、种子等。我怎样才能使用 ASDM 做到这一点?

ciscoasa(config)# sh module

Mod  Card Type                                    Model              Serial No. 
---- -------------------------------------------- ------------------ -----------
   0 ASA 5515-X with SW, 6 GE Data, 1 GE Mgmt, AC ASA5515            FCH200571ES
 ips Unknown                                      N/A                FCH200571ES
cxsc Unknown                                      N/A                FCH200571ES
 sfr FirePOWER Services Software Module           ASA5515            FCH200571ES

Mod  MAC Address Range                 Hw Version   Fw Version   Sw Version     
---- --------------------------------- ------------ ------------ ---------------
   0 00c8.8bd3.9f63 to 00c8.8bd3.9f6a  1.0          2.1(9)8      9.2(2)4
 ips 00c8.8bd3.9f61 to 00c8.8bd3.9f61  N/A          N/A          
cxsc 00c8.8bd3.9f61 to 00c8.8bd3.9f61  N/A          N/A          
 sfr 00c8.8bd3.9f61 to 00c8.8bd3.9f61  N/A          N/A          5.3.1-152

Mod  SSM Application Name           Status           SSM Application Version
---- ------------------------------ ---------------- --------------------------
 ips Unknown                        No Image Present Not Applicable
cxsc Unknown                        No Image Present Not Applicable
 sfr ASA FirePOWER                  Up               5.3.1-152

Mod  Status             Data Plane Status     Compatibility
---- ------------------ --------------------- -------------
   0 Up Sys             Not Applicable        
 ips Unresponsive       Not Applicable        
<--- More --->

cxsc Unresponsive       Not Applicable        
 sfr Up                 Up                    

Mod  License Name   License Status  Time Remaining
---- -------------- --------------- ---------------
 ips IPS Module     Disabled        perpetual

由于火力模块状态上升,我希望我们可以阻止某些网站,但我看不到这样做的选项。

3个回答

您的问题是如何通过 Sourfire 管理中心配置 Sourcefire IPS 以阻止某些站点。

FireSIGHT 系统配置示例上的 URL 过滤

从阻止的 URL 类别中排除特定站点

FireSIGHT 管理中心不允许您拥有覆盖默认 Sourcefire 提供的类别评级的 URL 本地评级。为了完成此任务,您必须使用访问控制策略。这些说明描述了如何在访问控制规则中使用 URL 对象以从阻止类别中排除特定站点。导航到对象 > 对象管理页面。

为 URL 选择单个对象,然后单击添加 URL 按钮。出现 URL 对象窗口。 在此处输入图片说明 在此处输入图片说明

实际上,在我的案例中,阻止 cisco ASA 流量的唯一方法是使用带有 SFR 模块的防御中心。我所做的是: 1.从cisco网站下载了最新的防御中心(火力管理中心)。2.由于我使用的是5515-x ASA,所以我的ASA不支持ASDM本身来提供DC的功能。3. 我使用我的服务器来托管 DC 并将该 DC 与 ASA 中的 SFR 模块链接起来。4. 现在,我可以使用 DC 来阻止/允许我想要的任何流量。但话虽如此,我使用手动 url 阻止,这仍然可以在不购买 url 过滤许可证的情况下实现。

对于 ASA5515,您需要在 6.X 上安装 SFR 模块,以便使用 ASDM 对其进行管理。目前它显示为 5.3,因此您必须升级它才能使用 ASDM 进行管理。否则您需要使用 FireSIGHT 管理中心来管理 SFR 模块。

一旦您能够管理 SFR,您就可以通过 Web 应用程序类型阻止这些站点(需要 SFR 模块附带的 CONTROL 许可证),也可以通过 URL 阻止(需要 URL 许可证)。

其它你可能感兴趣的问题
上一篇调整 TCP Reno 参数以减少 20KB 大小的短流所经历的延迟? 下一篇Cisco 路由器 - 拒绝访问 8080 端口上的主机,允许 80