Применение .class-map, policy-map, service-policy на межсетевых экранах ASA (8.2):
Class-map - определяет тип трафика.
Policy-map - определяет действие для типа трафика, заданного в class-map.
Service-Policy - определяет место применения policy-map, либо глобально (input direction), либо относительно интерфейса (может быть как input так и output, что указывается в policy-map).
Пример ограничения скорости скачивания (download) и загрузки (upload) на внешнем интерфейсе для HTTP 80 на ASA
access-list ACL permit tcp any any eq 80
access-list ACL permit tcp any eq 80 any
class-map HTTP
match access-list ACL
policy-map HTTP_Rule
class-map HTTP
police input 500000 - Входящий поток (500Kbits/s)
police output 500000 - Исходящий поток (500Kbits/s)
service-policy HTTP_Rule interface outside
Источник: http://telecombook.ru/archive/network/cisco/security/83-asa-traffic-policing
Для реализации фильтрации сайтов:
regex blockex1 "vk.com"
access-list ACL permit tcp 192.168.1.0 255.255.255.0 any eq 80
match access-list Test - описываем какой трафик необходимо обработать
class-map type inspect http match-any block-url-class
match request header host regex blockex1 - описываем совпадение с regex
policy-map type inspect http block-url-policy
parameters
class block-url-class - политика подключающая class-map
drop-connection log - действие с этим классом
policy-map block-users-url-policy-Testgroup
class block-users-class-Testgroup - подключаем трафик который удовлетворяет ACL
inspect http block-url-policy - выполняем инспекцию трафика и отсекаем от интересного трафика сайты.
service-policy block-users-url-policy-Testgroup interface inside - применяем policy на интерфейс inside
Решение для фильтрации сайтов и зарезания трафика:
regex blockex1 "vk.com"
access-list ACL permit tcp 192.168.1.0 255.255.255.0 any eq 80
policy-map type inspect http block_test
parameters
protocol-violation action drop-connection
match request uri regex blockex1
drop-connection log
class-map class_for_inside
match access-list ACL
policy-map policy_for_inside
class class_for_inside
inspect http block_test
police input 500000 1500 conform-action transmit exceed-action drop
service-policy policy_for_inside interface inside
police output 500000 - Исходящий поток (500Kbits/s)
service-policy HTTP_Rule interface outside
Источник: http://telecombook.ru/archive/network/cisco/security/83-asa-traffic-policing
Для реализации фильтрации сайтов:
regex blockex1 "vk.com"
access-list ACL permit tcp 192.168.1.0 255.255.255.0 any eq 80
access-list ACL deny tcp any any
class-map block-users-class-Testgroup match access-list Test - описываем какой трафик необходимо обработать
class-map type inspect http match-any block-url-class
match request header host regex blockex1 - описываем совпадение с regex
policy-map type inspect http block-url-policy
parameters
class block-url-class - политика подключающая class-map
drop-connection log - действие с этим классом
policy-map block-users-url-policy-Testgroup
class block-users-class-Testgroup - подключаем трафик который удовлетворяет ACL
inspect http block-url-policy - выполняем инспекцию трафика и отсекаем от интересного трафика сайты.
service-policy block-users-url-policy-Testgroup interface inside - применяем policy на интерфейс inside
regex blockex1 "vk.com"
access-list ACL permit tcp 192.168.1.0 255.255.255.0 any eq 80
access-list ACL deny tcp any any
policy-map type inspect http block_test
parameters
protocol-violation action drop-connection
match request uri regex blockex1
drop-connection log
class-map class_for_inside
match access-list ACL
policy-map policy_for_inside
class class_for_inside
inspect http block_test
police input 500000 1500 conform-action transmit exceed-action drop
service-policy policy_for_inside interface inside
Комментариев нет:
Отправить комментарий