ASA防火墙之基于用户MPF配置实例
ASA防火墙之基于用户MPF
本篇继续介绍ASA防火墙,上篇我们讲了URL的过滤,那么本篇我们在这个基础下设置不同的用户,来控制一个可以访问,一个过滤掉。
配置实例
需求:
ASA本地有两个用户:分别是cjc和ccie 密码均为cisco
lsj用户在通过ASA时。不能够通过http的show run流量
ccie用户在通过ASA时。不能够通过http的 show ip int br
网络基本配置:
省略。
HTTP SERVER配置:
R1(config)#ip http server //开启HTTP服务
Ip http authentication local //开启本地验证
username ccie privilege 15 password cisco //创建用户
测试:
两者可以正常的访问流量。
ASA配置:
ASA(config)# username lsj password cisco privilege 15 //定义用户lsj
ASA(config)# username ccie password cisco privilege 15 //定义用户ccie
ASA(config)# object-group user usergroup1 //创建usergourp1
ASA(config-user-object-group)# user LOCAL\cjc // 把lsj帐号划分入usergroup1
ASA(config)# object-group user usergroup2 //创建usergroup2
ASA(config-user-object-group)# user LOCAL\ccie //把ccie帐号划分入
ASA(config)#access-list lsj extended permit tcp object-group-user usergroup1 any any eq www //匹配usergroup1里面的帐号。产生的源是任意到任意的TCP 80流量。
ASA(config)#access-list ccie extended permit tcp object-group-user usergroup2 any any eq www //匹配usergroup2里面的帐号。产生的源是任意到任意的TCP 80流量。
ASA(config)#access-list http extended permit tcp 192.168.150.0 255.255.255.0 host 192.168.184.100 eq www //抓取内部到外部的http流量
ASA(config)#aaa authentication match http inside LOCAL //把ACL http抓到的流量送往本地认证。
ASA(config)# class-map usergroup1 //定义class-map
ASA(config-cmap)# match access-list cjc //匹配ACL
ASA(config)# class-map usergroup2 //定义class-map
ASA(config-cmap)# match access-list ccie //匹配ACL
ASA(config)# regex shrun show/run //配置正则表达式匹配关键字
ASA(config)# regex shipintbr show/ip/int/br //配置正则表达式匹配关键字
ASA(config)# policy-map type inspect http usergroup1 //定义7层policy-map
ASA(config-pmap)# match request uri regex shrun //匹配URI流量正则表达式为shrun
ASA(config-pmap-c)# drop-connection log //丢弃连接并产生log
ASA(config)# policy-map type inspect http usergroup2 //定义7层policy-map
ASA(config-pmap)# match request uri regex shipintbr //匹配URI流量正则表达式为shipintbr
ASA(config-pmap-c)# drop-connection log //丢弃连接并产生log
ASA(config)# policy-map global_policy //进入全局policy-map
ASA(config-pmap)# class usergroup1 //匹配class-map usergroup1
ASA(config-pmap-c)# inspect http usergroup1 //监控http并调用7层policy-map
ASA(config-pmap)# class usergroup2 //匹配class-map usergroup2
ASA(config-pmap-c)# inspect http usergroup2 //监控http并调用7层policy-map
测试:
lsj帐号
这里使用的是本地的认证,续与ASA本地账号和密码进行认证。
这里使用服务端(R2)的用户和密码
访问show/int/ip/br正常
访问sh run 失败,被过滤掉
ASA(config)# clear uauth //清除认证,重新验证,以便缓存认证。
测试:
ccie帐号
访问show/run正常
访问show/int/ip/br失败,直接被过滤掉。
最后
到此讲解结束,感谢观看。