公司的环境下，经常老板会要求网管设置不能访问一些非业务相关网站（比如淘宝、京东之类），而可以访问一些常用网站（百度、人才网站等）。

1、应用nat转换

实现内网192.168.1.1主机能访问IPS网络。

2、实现RUL过滤。

要求，内网不能访问www.taobao.com，但可以访问www.baidu.com，实现通信。

ASA 配置

设置ip地址，默认路由

ASA 实现RUL 过滤www.taobao.com

实施方案

（1）创建class-map （类映射），识别传输流量。

（2）创建policy-map （策略映射），关联class-map。

（3）应用policy-map 到接口，

配置如下,

1.（1）定义访问控制列表，源地址到目标地址使用的协议，根据本实验环境如下配置{（访问控制列表名称是(tcp）}

ciscoasa(config） access-list tcp permit tcp 192.168.1.0 255.255.255.0 any eq www

##（any）代表所有网络地址，匹配的协议是http协议。

（2）创建class-map ，识别传输流量（class-map名称）

ciscoasa(config）class-map c1

match access-list tcp

exit

#定义允许的流量是上个访问控制列变

（3）定义名字为URL的正则表达式，表示URL的后缀名是".taobao.com".

ciscoasa(config) regex u1 "\.taobao\.com"

## regex u1 设置网络名称 taobao.com是目标地址。

（4） 以下创建名字为u2 的class-map，类型为regex。

ciscoasa(config）class-map type regex match-any u2

#match-any 表示匹配任何一个

match regex u1

exit

应用 u1 URL的正则表达式

（5）ciscoasa(config） class-map type inspect http p1

match request header host regex class u2

exit

## 创建名称为P1 在http请求报文头中的host域中的URL后缀命如果是“taobao.com"调用名字为u2的calss-map，将被丢弃。

2,创建policy-map 关联class-map

（1)创建名称为P2，policy-map，类型为inspect http 检查http流量

ciscoasa(config）policy-map type inspect http p2

class p1 //调用前的class-map （P2）

drop-connection log //drop 数据包关闭连接，并发送系统日志

exit

exit

（2）创建名字为P3 的policy-map，

ciscoasa(config）policy-map p3

class c1 //调用之前class-map （源地址）

inspect http p2 //调用P2的policy-map 的策略

exit

exit

3，应用policy-map 到接口

service-policy p3 interface inside

注意（一个接口只能应用一个policy-map）

过滤URL淘宝完成.