- Форум
- /
- IT и телекоммуникации
- /
- Конфигурация сетевого оборудования
- /
- Настройка Zone-Based Policy Firewall (ZBF) и фильтрация доступа по URL в маршрутизаторах Cisco
Настройка Zone-Based Policy Firewall (ZBF) и фильтрация доступа по URL в маршрутизаторах Cisco
Rendering Error in layout Widget/Social: Call to a member function exists() on null. Please enable debug mode for more information.
9 года 5 мес. назад - 8 года 4 мес. назад #122
от TOLLIFi
IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.
Это сообщение содержит прикрепленные файлы.
TOLLIFi создал тему: Настройка Zone-Based Policy Firewall (ZBF) и фильтрация доступа по URL в маршрутизаторах Cisco
В статье описана усовершенствованная технологии защиты периметра сети на основе Zone-Based Policy Firewall на маршрутизаторах Cisco. Аналогичный подход разделения на зоны применяется в ASA. Здесь же приведены примеры настройки URL-фильтрации, ограничивающей доступ пользователям сети к тому или иному Интернет-ресурсу.
Задача:
- Разделить сеть на две зоны: внутренняя защищенная сеть (zone security INSIDE) и внешняя сеть (zone security INTERNET). И как всегда контроль доступа - INSIDE -> INTERNET - разрешить, INTERNET -> INSIDE - запретить (за исключением публикации внутренних серверов). Применить функцию инспектирования распространенного трафика (в прерыдущих конфигурациях это можно было сделать с помощью 'ip inspect', теперь же это можно сделать гораздо проще и эффективнее, используя технологию Zone-Based Policy Firewall (ZBF)).
- Настроить простейший прокси, запрещающий доступ на выборочные сайты по URL (например, соц.сети и некоторые развлекательные ресурсы, сайты поиска работы и т.п.) в рабочее время с 9:00 до 18:00, за исключением времени обеденного перерыва с 13:00 до 14:00. Обычно это нужно для сетей, где нет стандартного прокси-сервера, например, для гостевой сети Wi-Fi, которая маршрутизируется через наш роутер и которой охотно пользуются сотрудники со своих мобильных устройств для обхода прокси
--- ПРИМЕР КОНФИГУРАЦИИ ZONE-BASED POLICY и URL-фильтра >>>
Задача:
- Разделить сеть на две зоны: внутренняя защищенная сеть (zone security INSIDE) и внешняя сеть (zone security INTERNET). И как всегда контроль доступа - INSIDE -> INTERNET - разрешить, INTERNET -> INSIDE - запретить (за исключением публикации внутренних серверов). Применить функцию инспектирования распространенного трафика (в прерыдущих конфигурациях это можно было сделать с помощью 'ip inspect', теперь же это можно сделать гораздо проще и эффективнее, используя технологию Zone-Based Policy Firewall (ZBF)).
- Настроить простейший прокси, запрещающий доступ на выборочные сайты по URL (например, соц.сети и некоторые развлекательные ресурсы, сайты поиска работы и т.п.) в рабочее время с 9:00 до 18:00, за исключением времени обеденного перерыва с 13:00 до 14:00. Обычно это нужно для сетей, где нет стандартного прокси-сервера, например, для гостевой сети Wi-Fi, которая маршрутизируется через наш роутер и которой охотно пользуются сотрудники со своих мобильных устройств для обхода прокси

--- ПРИМЕР КОНФИГУРАЦИИ ZONE-BASED POLICY и URL-фильтра >>>
ВНИМАНИЕ: Спойлер!
!
ip urlfilter allow-mode on
!
parameter-map type inspect global
log dropped-packets enable
parameter-map type urlfpolicy local BLOCK-MESSAGE
alert off
block-page message "Access to this web-page is restricted at time 9:00-18:00 (exept lunch time 13:00-14:00)"
parameter-map type urlf-glob SOCIAL
pattern facebook.com
pattern *.facebook.com
pattern *.fb.com
pattern vkontakte.ru
pattern *.vkontakte.ru
pattern vk.com
pattern *.vk.com
pattern twitter.com
pattern *.twitter.com
pattern fishki.net
pattern *.fishki.net
pattern trinixy.ru
pattern *.trinixy.ru
pattern odnoklassniki.ru
pattern *.odnoklassniki.ru
pattern ok.ru
pattern *.ok.ru
parameter-map type urlf-glob ANY
pattern *
parameter-map type urlf-glob JOB
pattern hh.ru
pattern *.hh.ru
pattern job.ru
pattern *.job.ru
pattern joblist.ru
pattern *.joblist.ru
pattern rabota.ru
pattern *.rabota.ru
pattern superjob.ru
pattern *.superjob.ru
parameter-map type ooo global
tcp reassembly queue length 128
!
class-map type inspect match-all CLASS-INSPECT-HTTP
match protocol http
match access-group name ACL-LAN-TIMEBASED
class-map type inspect match-any CLASS-INSPECT
description *** Inspection for Protocols ***
match protocol ftp
match protocol ftps
match protocol tftp
match protocol smtp
match protocol pop3
match protocol dns
match protocol https
match protocol http
match protocol tcp
match protocol udp
match protocol icmp
class-map type urlfilter match-any CLASS-BANNED
match server-domain urlf-glob SOCIAL
match server-domain urlf-glob JOB
class-map type urlfilter match-any CLASS-PERMIT
match server-domain urlf-glob ANY
!
policy-map type inspect urlfilter POLICY-URLFILTER
parameter type urlfpolicy local BLOCK-MESSAGE
class type urlfilter CLASS-BANNED
reset
log
class type urlfilter CLASS-PERMIT
allow
policy-map type inspect INSIDE->INTERNET
class type inspect CLASS-INSPECT-HTTP
inspect
service-policy urlfilter POLICY-URLFILTER
class type inspect CLASS-INSPECT
inspect
class class-default
drop
!
zone security INSIDE
description *** LAN ***
zone security INTERNET
description *** Internet ***
zone-pair security INSIDE->INTERNET source INSIDE destination INTERNET
service-policy type inspect INSIDE->INTERNET
!
interface GigabitEthernet0/0
description *** LAN ***
zone-member security INSIDE
!
interface FastEthernet0/1/0
description *** INET ***
zone-member security INTERNET
!
ip access-list extended ACL-LAN-TIMEBASED
deny ip 10.0.0.0 0.255.255.255 any time-range DINNER-TIME
permit ip 10.0.0.0 0.255.255.255 any time-range WORK-TIME
!
time-range DINNER-TIME
periodic weekdays 13:00 to 14:00
!
time-range WORK-TIME
periodic weekdays 9:00 to 18:00
!
IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.
Это сообщение содержит прикрепленные файлы.
Пожалуйста, войдите или зарегистрируйтесь, чтобы увидеть их.
Последнее редактирование: 8 года 4 мес. назад пользователем TOLLIFi.
Пожалуйста Войти , чтобы присоединиться к беседе.
- Вы здесь:
-
Главная
-
Форум
-
IT и телекоммуникации
-
Конфигурация сетевого оборудования
- Настройка Zone-Based Policy Firewall (ZBF) и фильтрация доступа по URL в маршрутизаторах Cisco