سناریوی کاملا عملی برای پیاده سازی URL Filtering در روترهای سیسکو
در قسمت قبلی مقاله با URL Filtering و مفاهیم آن آشنا شدیم و همانطور که قول داده بودیم در این قسمت می خواهیم یک سناریو را به صورت عملی پیاده سازی می کنیم تا با مفاهیم آن بیشتر آشنا شویم :
با توجه به شکل زیر ، می خواهیم PC نتواند سایت های tosinso.com و msn.com را باز کند ولی بتواند تمام سایت های دیگر را باز کند.
در ابتدا به اینترفیس ها IP اختصاص می دهیم و NAT را روی روتر فعال می کنیم و از یک Static Route برای ارسال ترافیک به سمت اینترنت استفاده می کنیم :
Router(config)#interface FastEthernet0/0 Router(config-if)#description to LAN Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#ip nat inside Router(config)#interface FastEthernet0/1 Router(config-if)#description to internet Router(config-if)#ip address 5.5.5.1 255.255.255.0 Router(config-if)#ip nat outside Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 Router(config)#ip nat pool home 5.5.5.1 5.5.5.1 prefix-length 24 Router(config)#ip nat inside source list 1 pool home overload Router(config)#ip route 0.0.0.0 0.0.0.0 fastethernet 0/1
در حال حاضر PC به تمام سایت های دسترسی دارد. مرحله بعدی اجرای Zone Based layer 3/4 firewall است که قبلا توضیح داده شده است برای آشنایی با عملکرد آن پیشنهاد می شود که آن مبحث را مطالعه فرمائید. دستورات اجرای Zone Based layer 3/4 firewall به صورت زیر است :
Router(config)#class-map type inspect match-any httpc Router(config-cmap)#match protocol http Router(config)#class-map type inspect match-any dnsc Router(config-cmap)#match protocol icmp Router(config-cmap)#match protocol dns Router(config-cmap)#match protocol https Router(config)#policy-map type inspect in-out Router(config-pmap)#class type inspect httpc Router(config-pmap-c)#inspect Router(config-pmap)#class type inspect dnsc Router(config-pmap-c)#inspect Router(config-pmap)#class class-default Router(config-pmap-c)#drop Router(config)#zone security inside Router(config)#zone security outside Router(config)#zone-pair security inside-outside source inside destination outside Router(config-sec-zone-pair)#service-policy type inspect in-out Router(config)#interface FastEthernet0/0 Router(config-if)#zone-member security inside Router(config)#interface FastEthernet0/1 Router(config-if)#zone-member security outside
حالا باید تنظیمات مربوط به URL Filtering را انجام دهیم :
در ابتدا URL Filter Policy Parameter map را تعریف می کنیم و در آنرا Alert را فعال می کنیم و پیغام Access Denied را جهت نمایش به کاربر تعیین می کنیم :
Router(config)#parameter-map type urlfpolicy local lupm Router(config-profile)#alert on Router(config-profile)#block-page message “Access Denied”
سپس URL Filter – GLOB Parameter map را تعریف می کنیم و در آن چند الگو برای سایت های tosinso.com و msn.com تعریف کنیم :
Router(config)#parameter-map type urlf-glob http-w Router(config-profile)#pattern tosinso.com Router(config-profile)#pattern msn.com Router(config-profile)#pattern *msn.com
بعد یک URL Filter – GLOB Parameter map دیگر تعریف می کنیم و در آن یک الگو تعریف می کنیم که با تمام سایت ها مطابقت پیدا کند :
Router(config)#parameter-map type urlf-glob all Router(config-profile)#pattern *
حالا یک Class map تعریف می کنیم که ترافیک را با parameter map که با نام http-w در بالا تعریف کردیم مقایسه کند :
Router(config)#class-map type urlfilter match-any ucm Router(config-cmap)#match server-domain urlf-glob http-w
یک Class map دیگر هم تعریف می کنیم که ترافیک را با parameter map که با نام all در بالا تعریف کردیم مقایسه کند :
Router(config)#class-map type urlfilter match-any ucm2 Router(config-cmap)#match server-domain urlf-glob all
سپس یک Policy map تعریف می کنیم و در آن واکنشی که نسبت به دو Class map که در بالا تعریف کردیم را مشخص می کنیم و همچنین URL Filter Policy Parameter map را به آن اختصاص می دهیم :
Router(config)#policy-map type inspect urlfilter upm Router(config-pmap)#parameter type urlfpolicy local lupm Router(config-pmap)#class type urlfilter ucm Router(config-pmap-c)#log Router(config-pmap-c)#reset Router(config-pmap)#class type urlfilter ucm2 Router(config-pmap-c)#log Router(config-pmap-c)#allow
آخرین مرحله فعال کردن URL Filtering است در اینجا Policy map که برای URL Filtering با نام upm تعریف کردیم را به Policy map مربوط به Zone Based layer 3/4 firewall که با نام in-out تعریف کرده ایم اختصاص می دهیم :
Router(config)#policy-map type inspect in-out Router(config-pmap)#class type inspect httpc Router(config-pmap-c)#inspect Router(config-pmap-c)#service-policy urlfilter upm
تنظیمات کامل شده است و از این لحظه همانطور که در تصویر می بینید امکان دسترسی به سایت های ذکر شده وجود ندارد.
امیدوارم که این مقاله مفید واقع شده باشد.