Hướng dẫn cấu hình block website Youtube trên firewall ASA Cisco

Để firewall ASA có thể phân giải tên miền chúng ta cần cấu hình DNS Lookup:

dns domain-lookup outsite
dns name-server 8.8.8.8

Tiếp theo chúng ta tạo các Object cho domain youtube.com:

object network obj-youtube.com
 fqdn youtube.com
object network obj-wwwyoutube.com
 fqdn www.youtube.com

Tạo group service:

object-group service my_web_srvc
 service-object ip
 service-object tcp destination eq www
 service-object tcp destination eq https

Tạo group network cho các object trên:

object-group network block_web
 network-object object obj-youtube.com
 network-object object obj-wwwyoutube.com

Cấu hình access-lict và áp vào chiều ra của interface outside

access-list acl_web extended deny object-group my_web_srvc any object-group block_web
access-list acl_web extended permit ip any any

access-group acl_web out interface outsite

Kết quả: trang web youtube.com đã bị chặn, các trang web còn lại vẫn truy cập bình thường.

Kiểm tra gói match qua access-list:

Như vậy chúng ta đã chặn thành công website youtube.com. Ngoài ra chúng ta có thể thêm 1 option là cấm theo giờ, vì dụ cấm trong giờ làm việc từ 8h sáng đến 17h30 chiều bằng cách sau:

Tạo time range:

time-range block_youtube
 periodic daily 08:00 to 17:30

Sau đó áp vào access-list acl_web:

access-list acl_web extended deny object-group my_web_srvc any object-group block_web time-range block_youtube
access-list acl_web extended permit ip any any

access-group acl_web out interface outsite

Chúc các bạn thành công!