使用萤光管理中心进行Url过滤

Question

我们已经在我们的Vmware Exsi安装在我们的sfr模块5.3.1中的火力管理中心。我们的ASA是5515-x版本9.2.2和ASDM版本7.2.2。ASA的管理IP为192.168.1.1，火力管理中心的源防御中心为192.168.0.9，我们已经安装了sfr模块的许可证。但我们没有网址过滤许可证。两者都在不同的网络中。现在，我看不出防御中心和ASA有任何联系。我该如何堵住交通或用这种方式过滤url？我的要求很简单，我想要的只是网址过滤的最终解决方案。我们也没有url过滤许可证。如何过滤流量？

Answer 1

在ASA上，您可以通过两种不同的方式阻止单个URL。第一种方法是使用FQDN，这基本上会导致ASA按计划解析DNS中的主机名，并使用查找的结果更新ACL。因此，您创建了一个ACL条目，该条目拒绝向FQDN的通信量，并且它将一直使用DNS应答进行更新。

第二种方法是使用class-maps中的regex模式阻止URL，该模式与policy-map绑定。只有当通信通过端口80时，此方法才能工作。

与此相反，使用火力，URL许可为您提供了一个更有能力的解决方案，能够按类别阻止URL。这种方法的好处之一是，Cisco Talos总是提供URL数据库的更新，因此您可以只需单击一次就可以阻止URL的整个类型。

现在，你提到，

我看不出防御中心和ASA有任何联系

在火力传感器上，运行命令show managers，查看传感器是否连接到管理中心。如果没有连接，那么您就根本无法控制传感器(在5515 x上)，因为传感器接收到管理中心的指示。如果它连接到管理器，则HTTPS连接到管理器并登录。如果没有，请按照文档将传感器连接到FMC。