Настройка Zone-Based Policy Firewall (ZBF) и фильтрация доступа по URL в маршрутизаторах Cisco

В начало
Назад
1
Вперёд
В конец

TOLLIFi
Автор темы
Не в сети
Moderator
TOLLIFi Inc.

Больше

6 года 3 мес. назад - 5 года 2 мес. назад #122 от TOLLIFi

COM_KUNENA_MESSAGE_CREATED_NEW

В статье описана усовершенствованная технологии защиты периметра сети на основе Zone-Based Policy Firewall на маршрутизаторах Cisco. Аналогичный подход разделения на зоны применяется в ASA. Здесь же приведены примеры настройки URL-фильтрации, ограничивающей доступ пользователям сети к тому или иному Интернет-ресурсу.

Задача:

- Разделить сеть на две зоны: внутренняя защищенная сеть (zone security INSIDE) и внешняя сеть (zone security INTERNET). И как всегда контроль доступа - INSIDE -> INTERNET - разрешить, INTERNET -> INSIDE - запретить (за исключением публикации внутренних серверов). Применить функцию инспектирования распространенного трафика (в прерыдущих конфигурациях это можно было сделать с помощью 'ip inspect', теперь же это можно сделать гораздо проще и эффективнее, используя технологию Zone-Based Policy Firewall (ZBF)).

- Настроить простейший прокси, запрещающий доступ на выборочные сайты по URL (например, соц.сети и некоторые развлекательные ресурсы, сайты поиска работы и т.п.) в рабочее время с 9:00 до 18:00, за исключением времени обеденного перерыва с 13:00 до 14:00. Обычно это нужно для сетей, где нет стандартного прокси-сервера, например, для гостевой сети Wi-Fi, которая маршрутизируется через наш роутер и которой охотно пользуются сотрудники со своих мобильных устройств для обхода прокси

--- ПРИМЕР КОНФИГУРАЦИИ ZONE-BASED POLICY и URL-фильтра >>>

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

!
ip urlfilter allow-mode on
!
parameter-map type inspect global
 log dropped-packets enable

parameter-map type urlfpolicy local BLOCK-MESSAGE
 alert off
 block-page message "Access to this web-page is restricted at time 9:00-18:00 (exept lunch time 13:00-14:00)"
parameter-map type urlf-glob SOCIAL
 pattern facebook.com
 pattern *.facebook.com
 pattern *.fb.com
 pattern vkontakte.ru
 pattern *.vkontakte.ru
 pattern vk.com
 pattern *.vk.com
 pattern twitter.com
 pattern *.twitter.com
 pattern fishki.net
 pattern *.fishki.net
 pattern trinixy.ru
 pattern *.trinixy.ru
 pattern odnoklassniki.ru
 pattern *.odnoklassniki.ru
 pattern ok.ru
 pattern *.ok.ru

parameter-map type urlf-glob ANY
 pattern *

parameter-map type urlf-glob JOB
 pattern hh.ru
 pattern *.hh.ru
 pattern job.ru
 pattern *.job.ru
 pattern joblist.ru
 pattern *.joblist.ru
 pattern rabota.ru
 pattern *.rabota.ru
 pattern superjob.ru
 pattern *.superjob.ru

parameter-map type ooo global
 tcp reassembly queue length 128
!
class-map type inspect match-all CLASS-INSPECT-HTTP
 match protocol http
 match access-group name ACL-LAN-TIMEBASED
class-map type inspect match-any CLASS-INSPECT
 description *** Inspection for Protocols ***
 match protocol ftp
 match protocol ftps
 match protocol tftp
 match protocol smtp
 match protocol pop3
 match protocol dns
 match protocol https
 match protocol http
 match protocol tcp
 match protocol udp
 match protocol icmp
class-map type urlfilter match-any CLASS-BANNED
 match  server-domain urlf-glob SOCIAL
 match  server-domain urlf-glob JOB
class-map type urlfilter match-any CLASS-PERMIT
 match  server-domain urlf-glob ANY
!
policy-map type inspect urlfilter POLICY-URLFILTER
 parameter type urlfpolicy local BLOCK-MESSAGE
 class type urlfilter CLASS-BANNED
  reset
  log
 class type urlfilter CLASS-PERMIT
  allow
policy-map type inspect INSIDE->INTERNET
 class type inspect CLASS-INSPECT-HTTP
  inspect
  service-policy urlfilter POLICY-URLFILTER
 class type inspect CLASS-INSPECT
  inspect
 class class-default
  drop
!
zone security INSIDE
 description *** LAN ***
zone security INTERNET
 description *** Internet ***
zone-pair security INSIDE->INTERNET source INSIDE destination INTERNET
 service-policy type inspect INSIDE->INTERNET
!
interface GigabitEthernet0/0
 description *** LAN ***
 zone-member security INSIDE
!
interface FastEthernet0/1/0
 description *** INET ***
 zone-member security INTERNET
!
ip access-list extended ACL-LAN-TIMEBASED
 deny   ip 10.0.0.0 0.255.255.255 any time-range DINNER-TIME
 permit ip 10.0.0.0 0.255.255.255 any time-range WORK-TIME
!
time-range DINNER-TIME
 periodic weekdays 13:00 to 14:00
!
time-range WORK-TIME
 periodic weekdays 9:00 to 18:00
!

IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.

Это сообщение содержит прикрепленные файлы.
Пожалуйста, войдите или зарегистрируйтесь, чтобы увидеть их.

Last edit: 5 года 2 мес. назад by TOLLIFi.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

В начало
Назад
1
Вперёд
В конец

Joomla Templates Best Joomla Templates Premium Joomla Templates Free Joomla Templates

Forum Login

Работает на Kunena форум

Настройка Zone-Based Policy Firewall (ZBF) и фильтрация доступа по URL в маршрутизаторах Cisco

Это сообщение содержит прикрепленные файлы. Пожалуйста, войдите или зарегистрируйтесь, чтобы увидеть их.

Это сообщение содержит прикрепленные файлы.
Пожалуйста, войдите или зарегистрируйтесь, чтобы увидеть их.