公司目前利用域环境下的组策略,对用户的权限进行设定。默认用户是没有软件安装权限的。在公司给出的标准软件中,聊天类的软件也是不允许安装的。
最近,公司领导有反映,看见某些同事上班时间聊QQ, 因为公司的外网是没有禁用的,大家可以访问互联网,就可以去访问WEB QQ. 所有上班时间打开网页,聊天就成为了可能,时间长了,被领导发现也就很正常不过的了。
下面给大家介绍一下,如何在公司防火墙上设置URL FILITER, 对webqq进行拦截,还大家一个正常的办公环境。公司使用的防火墙是cisco ASA 5505型号,它能够独立的配置url 过滤, 起到警用某些网站的作用。因为公司的网络环境比较简单,所有不需要配合专门的web 过滤服务器使用。这对中小型企业而言,是比较友好的,可以节约一些服务器等硬件设备费用。
配置方法:
第一步 :创建class-map, 用来识别数据流。利用扩展访控列表进行设置:
asa 5505(config)# access-list tcp_filter permit tcp any any eq www
asa 5505(config)# class-map tcp_filter_class
asa 5505(config-cmap)# match access-list tcp_filter
asa 5505(config-cmap)# exit
asa 5505(config)# regex url "\.qq.\.com"\
asa 5505(config-cmap)# class-map type regex match-any rul_class
asa 5505(config-cmap)#match regex url
asa 5505(config)# exit
asa 5505(config)# class-map type inspect http http_url_class
asa 5505(config-cmap)#match request header host regex class url_class
第二步:创建policy-map ,关联Policy-map
asa5505(config)# policy-map type inspect http http_url_policy
asa5505(config-pmap)# class http_url_class
asa5505(config-pmap-c)# drop-connection log
asa5505(config-pmap-c)# exit
asa5505(config-pmap)#exit
asa5505(config)# policy-map inside_http_url_policy
asa5505(config-pmap)# class tcp_filter_class
asa5505(config-pmap-c)# inspect http http_url_policy
asa5505(config-pmap-c)# exit
asa5505(config-pmap)#exit
第三步:在inside 端口上使用策略
asa5505(config)# service-policy inside_http_url_policy interface inside
最后别忘记了保存配置,退出防火墙。从客户端,浏览器上输入web.qq.com,这时大家发现,页面已经不能正常登陆了。只要是qq.com结尾的都不能正常显示,已经被防火墙丢弃。
