>[оверквотинг удален]
>  name-server 8.8.8.8
> object network obj-www.website.com
>  fqdn www.website.com
> object network obj-website.com
>  fqdn website.com
> access-list INSIDE-IN extended permit tcp any object obj-www.website.com 443
> access-list INSIDE-IN extended permit tcp any object obj-website.com 443
> access-list INSIDE-IN extended deny ip any any
> access-group INSIDE-IN in interface inside
>

А он точно можно в HTTPS залезть?

>[оверквотинг удален]
>> object network obj-www.website.com
>>  fqdn www.website.com
>> object network obj-website.com
>>  fqdn website.com
>> access-list INSIDE-IN extended permit tcp any object obj-www.website.com 443
>> access-list INSIDE-IN extended permit tcp any object obj-website.com 443
>> access-list INSIDE-IN extended deny ip any any
>> access-group INSIDE-IN in interface inside
>>
> А он точно можно в HTTPS залезть?

В смысле лезть в HTTPS?
Вопрос был про доступ по доменному имени, а не по ip.

Если вы хотите анализировать/инспектировать трафик, это другая тема. Обычная ASA может инспектировать просто http, для https нужно другое решение.

Если вы не знаете по какому порту или протоколу будет доступ на сайты, просто разрешите целиком ip на сайт, а не tcp 443

>[оверквотинг удален]
>>> access-list INSIDE-IN extended deny ip any any
>>> access-group INSIDE-IN in interface inside
>>>
>> А он точно можно в HTTPS залезть?
> В смысле лезть в HTTPS?
> Вопрос был про доступ по доменному имени, а не по ip.
> Если вы хотите анализировать/инспектировать трафик, это другая тема. Обычная ASA может
> инспектировать просто http, для https нужно другое решение.
> Если вы не знаете по какому порту или протоколу будет доступ на
> сайты, просто разрешите целиком ip на сайт, а не tcp 443

Ну, а как он доменное имя узнает, если не лезть в HTTPS? Тут только либо SNI, либо подмена сертификата

> Ну, а как он доменное имя узнает, если не лезть в HTTPS?
> Тут только либо SNI, либо подмена сертификата

ХЗ, как в циске, а прокси на сквиде прекрасно видит домены, куда ходят по https без всяких sni и подмен сертификатов.

>> Ну, а как он доменное имя узнает, если не лезть в HTTPS?
>> Тут только либо SNI, либо подмена сертификата
> ХЗ, как в циске, а прокси на сквиде прекрасно видит домены, куда
> ходят по https без всяких sni и подмен сертификатов.

Не знаю как в сквиде. Но в самом https url зашифрован

> Не знаю как в сквиде. Но в самом https url зашифрован

15/Jul/2020:15:15:32 +0400 172.16.10.205 TCP_TUNNEL/200 6563 CONNECT osce12-ru-census.trendmicro.com:443 - HIER_DIRECT/23.42.152.130 -
15/Jul/2020:15:15:32 +0400 172.16.10.142 TCP_TUNNEL/200 9261 CONNECT messages.megafon.ru:443 - HIER_DIRECT/85.26.205.134 -
15/Jul/2020:15:15:32 +0400 172.16.10.229 TCP_TUNNEL/200 1276 CONNECT ok.ru:443 - HIER_DIRECT/217.20.155.13 -

urn -да, не видно. домен - лехко. ЧЯДНТ?

>> Не знаю как в сквиде. Но в самом https url зашифрован
> 15/Jul/2020:15:15:32 +0400 172.16.10.205 TCP_TUNNEL/200 6563 CONNECT osce12-ru-census.trendmicro.com:443
> - HIER_DIRECT/23.42.152.130 -
> 15/Jul/2020:15:15:32 +0400 172.16.10.142 TCP_TUNNEL/200 9261 CONNECT messages.megafon.ru:443
> - HIER_DIRECT/85.26.205.134 -
> 15/Jul/2020:15:15:32 +0400 172.16.10.229 TCP_TUNNEL/200 1276 CONNECT ok.ru:443 - HIER_DIRECT/217.20.155.13
> -
> urn -да, не видно. домен - лехко. ЧЯДНТ?

Это называется SNI, гуглите

>> 15/Jul/2020:15:15:32 +0400 172.16.10.229 TCP_TUNNEL/200 1276 CONNECT ok.ru:443 - HIER_DIRECT/217.20.155.13
>> -
>> urn -да, не видно. домен - лехко. ЧЯДНТ?
> Это называется SNI, гуглите

https://ru.wikipedia.org/wiki/Server_Name_Indication

Server Name Indication (SNI) — расширение компьютерного протокола TLS[1], которое позволяет клиентам сообщать имя хоста, с которым он желает соединиться во время процесса «рукопожатия». Это позволяет серверу предоставлять несколько сертификатов на одном IP-адресе и TCP-порту, и, следовательно, позволяет работать нескольким безопасным (HTTPS) сайтам (или другим сервисам поверх TLS) на одном IP-адресе без использования одного и того же сертификата на всех сайтах. Это эквивалентно возможности основанного на имени виртуального хостинга из HTTP/1.1. Запрашиваемое имя хоста не шифруется,[2] что позволяет злоумышленнику его перехватить.

>[оверквотинг удален]
>>>>
>>> А он точно можно в HTTPS залезть?
>> В смысле лезть в HTTPS?
>> Вопрос был про доступ по доменному имени, а не по ip.
>> Если вы хотите анализировать/инспектировать трафик, это другая тема. Обычная ASA может
>> инспектировать просто http, для https нужно другое решение.
>> Если вы не знаете по какому порту или протоколу будет доступ на
>> сайты, просто разрешите целиком ip на сайт, а не tcp 443
> Ну, а как он доменное имя узнает, если не лезть в HTTPS?
> Тут только либо SNI, либо подмена сертификата

Доменное имя он узнает из директивы "object network".
Базовые правила фильтрации трафика основываются на IP.
Топикстартер хочет сделать правило на основе имени хоста, что логично, вдруг IP адрес изменится. Выше привели пример как.

Никому в HTTPS лезть не надо. ASA узнает какие IP адреса соответствуют указанному имени сайта и разрешит трафик к этим адресам. Он-же будет следить, если какой-то адрес изменится, и разрешит трафик на новый IP. Всё это "под капотом", в конфигурации никаких IP не будет, а только FQDN сайтов.

Если вы ожидали что надо парсить HTTPS, подменять сертификаты и смотреть SNI, то это другая задача. Которую тоже можно решить, но сначала её надо сформулировать.