Vamos a mostrar los pasos de configuración necesarios para filtrar el tráfico HTTP a los sitios web deseados utilizando el motor de inspección Cisco ASA.

Primer paso, definir la lista de dominios que queremos filtrar:

regex domain_1 "microsoft.com"  
regex domain_2 "cisco.com"  
regex domain_3 "vmware.com"

Definir la clase regex que contendrá la lista de dominios:

class-map type regex match-any domain_list  
 match regex domain_1  
 match regex domain_2  
 match regex domain_3

Añade la clase de inspección que gestionará el tráfico:

class-map type inspect http match-all domain_class  
 match request header host regex class domain_list

Añade la política de inspección y la acción a realizar cuando esos dominios sean en las peticiones:

policy-map type inspect http domain_policy  
 parameters  
 class domain-class  
 reset log

Si queremos habilitar esta política globalmente en nuestro ASA podemos añadirla a la inspección por defecto. Si necesitamos aplicarla a interfaces específicas o sólo a algunas fuentes entonces necesitaremos añadir y configurar políticas adicionales y quizás añadir algunas listas de acceso para filtrar el origen del tráfico. Para un ejemplo sencillo lo añadiremos globalmente a la política por defecto:

policy-map global_policy  
 class inspection_default  
 inspect http domain-policy

Y eso es todo. Una pequeña observación, si necesitamos bloquear todas las peticiones y permitir sólo los dominios de nuestra lista entonces necesitamos cambiar la sentencia match en la clase de inspección clase de inspección, como aquí:

class-map type inspect http match-all domain_class  
 match not request header host regex class domain_list

Salud,