Ограничение доступа по URL с помощью Cisco IOS

Опубликовано – 29.08.2014

  Добрый день, уважаемые читатели! Тут мне попала в руки довольно интересная задача — разрешить доступ в Интернет сотрудникам, находящимся в локальной сети миниофиса, но только к определенным URL.

  Имея под рукой маршрутизатор Cisco, эта задача решается довольно просто, если только нет необходимости в доступе к сайтам по https. На помощь нам придет Zone Based Firewall и

  Наша начальная конфигурация выглядит достаточно тривиально:

Current configuration : 2798 bytes
!
! Last configuration change at 07:16:39 UTC Fri Aug 29 2014
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 $1$82td$usJJeq4Qr1MuvXR52XLnV/
!
no aaa new-model
!
!
ip name-server 8.8.8.8
no ipv6 cef
!
!
username cisco privilege 15 secret 5 $1$EmVD$IWZA8e7CtCDGFycezqFYr/
!
!
interface GigabitEthernet0/0
description --- External ---
ip address dhcp
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
description --- Internal ---
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat inside source list Inet-Access interface GigabitEthernet0/0 overload
!
ip access-list extended Inet-Access
permit ip host 192.168.1.2 any
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
login
transport input all
!
scheduler allocate 20000 1000
end

  Первое, с чего нам придется начать — это настройка ZBF, так как функционал Cisco IOS content filtering добавляется как service-policy с классом, описывающим HTTP к ZBF. У нас будет только одно направление, с Inside к Outside, трафик от Outside к Inside будет отброшен. Обратите внимание на то, что если Вам необходимо осуществлять доступ к какому либо ресурсу по https, то в class-map нужно указывать ACL, в котором перечислять IP-адреса требуемых ресурсов. Это связано с тем, что IOS Content Filtering не может проанализировать HTTPS (HTTP over SSL/TLS) сессии.

class-map type inspect match-any Control
match protocol dns
match protocol icmp
class-map type inspect match-any HTTP
match protocol http
class-map type inspect match-any HTTPS
match access-group name Mail.ru
!
!
policy-map type inspect InsideToOutside
class type inspect HTTP
inspect
class type inspect HTTPS
inspect
class type inspect Control
inspect
class class-default
drop
!
zone security Inside
zone security Outside
zone-pair security Inside_to_Outside source Inside destination Outside
service-policy type inspect InsideToOutside
!
!
interface GigabitEthernet0/0
zone-member security Outside
!
interface GigabitEthernet0/1
zone-member security Inside
!
ip access-list extended Mail.ru
permit ip 192.168.1.0 0.0.0.255 host 94.100.180.199
permit ip 192.168.1.0 0.0.0.255 host 217.69.139.201
permit ip 192.168.1.0 0.0.0.255 host 217.69.139.199
permit ip 192.168.1.0 0.0.0.255 host 94.100.180.201
!

  Осталось настроить ограничение доступа. Для этого мы описываем нужные нам URL с помощью parameter-map type urlf-glob, создаем class-map type urlfilter, определяем правило фильтрации (пропустить/запретить) через policy-map type inspect urlfilter и привязываемся к ZBF:

parameter-map type urlf-glob Opennet
pattern opennet.ru
pattern *.opennet.ru

parameter-map type urlf-glob Dreamcatcher
pattern dreamcatcher.ru
pattern *.dreamcatcher.ru

parameter-map type urlf-glob AnyOther
pattern *
!
class-map type urlfilter match-any MustDeny
match server-domain urlf-glob AnyOther
class-map type urlfilter match-any Dreamcatcher
match server-domain urlf-glob Opennet
match server-domain urlf-glob Dreamcatcher
!
!
policy-map type inspect urlfilter WebAccess
class type urlfilter Dreamcatcher
allow
log
class type urlfilter MustDeny
reset
log
!
policy-map type inspect InsideToOutside
class type inspect Web
inspect
service-policy urlfilter WebAccess

  Ну, собственно, и всё.

  Список используемой литературы:

Security Configuration Guide: Zone-Based Policy Firewall Cisco IOS Release 12.4T

Zone-Based Policy Firewall Design and Application Guide

Communications Technologies Tips and Tricks (CT3)

  Для общего развития:

Cisco Application Visibility and Control FAQ

Cisco Application Visibility and Control User Guide for IOS Release 15.4(2)T and IOS XE Release 3.12S

NBAR2 or Next Generation NBAR




 Уважайте труд автора, сохраняйте копирайты.
Реклама на сайте висит не просто так и если статья Вам понравилась, с ее помощью Вы можете отблагодарить автора за проделанную работу. Спасибо!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*