06-11-2010 10:51 AM - edited 03-04-2019 08:45 AM
Bonjour a tous,
J'utilise un SR520 tout fonctionne bien, mais je souhaiterais bloque certain site avec l'url et/ou keyword
Quelqu'un aurait il un exemple ou des explications claires -> sachant que je suis nouveau dans le CLI
Merci bien
06-11-2010 11:31 AM
Hi
Pour configurer Cisco IOS filtrage de l'URL, vous devez avoir une bonne compréhension des règles de pare-feu et de filtrage de l'URL. Une fois que vous avez enregistré votre routeur avec le système de Trend Micro, le résumé des étapes pour configurer le nouveau Trend Micro Filtrage d'URL dans le logiciel IOS de Cisco est la suivante:
Cartes de classe Configuration pour le filtrage URL locale
Cartes de classe Configuration pour Trend Micro URL Filtering
Cartographies de paramètre de configuration pour Trend Micro URL Filtering
Configurer des stratégies de filtrage d'URL
Fixer une politique de filtrage d'URL
S'il vous plaît se référer au document ci-dessous
http://cisco.biz/en/US/products/ps5855/products_configuration_example09186a0080ab4ddb.shtml
Regards
Chetan Kumar
06-12-2010 02:51 AM
Bonjour,
Bien que la réponse ci dessus soit correcte, la traduction automatique des mots clés du routeur la rend difficile a comprendre.
Comme expliqué, il serait préférable d'avoir une bonne compréhension des firewall d'IOS pour configurer cela. Il existe deux sortes de firewall, CBAC et ZBF. L'explication donnée ci dessus est pour ZBF mais le lien montre un exemple pour CBAC.
Pour faire du content filtering on utilise des serveurs de réputation comme trend et websense: ils ont une très grosse base de donnée et l'inspection de tout le traffic demanderait trop de ressources au routeur. Cependant je comprend que vous ne voulez bloquer que quelques url, et ceci est faisable avec IOS et chacun des deux firewalls. Voici deux exemples pour un filtrage local.
Puisque vous n'êtes pas familier avec le CLI, voici d'abord un exemple pour CBAC repris de l'URL ci dessus, beaucoup plus facile a configurer mais je n'ai pas trouvé comment bloquer les keyword:
CBAC:
R0>en R0#conf t Enter configuration commands, one per line. End with CNTL/Z. R0(config)#ip inspect name TEST http urlfilter R0(config)#ip urlfilter allow-mode on R0(config)#ip urlfilter exclusive-domain deny www.denyme.com R0(config)#ip urlfilter exclusive-domain permit www.cisco.com R0(config)#ip urlfilter audit-trail R0(config)#interface FastEthernet0/0 R0(config-if)#ip inspect TEST out R0(config-if)#end R0#
En quelque mots:
- On définit un firewall nommé TEST qui va inspecter les packets http
- allow-mod on: l'action par défaut est "allow" pour les packets qui ne seront pas "matchés" par les règles
- On définit les règles permit/deny une a une
- audit-trail pour avoir les logs des packets droppés
- Puis on définit TOUTES les interfaces outside OU TOUTES les interfaces inside. Ici je n'ai qu'une interface outside, donc par défaut toutes les autres interfaces du routeur seront inside et les packets entrant par ces interfaces seront inspectés.
ZBF:
Beaucoup plus complexe a cause de l'interaction avec le firewall, mais permet d'utiliser des keywords. Je me base ici sur cette très bonne documentation:
https://supportforums.cisco.com/docs/DOC-8028/#_Configuration_with_Static_Filtering_
Vous y trouverez les versions d'IOS requis etc. Voici un exemple de configuration pour filtrage local:
parameter-map type urlfpolicy local LOCALACTIONS allow-mode on block-page message "This page has been blocked by your network administrator" parameter-map type urlf-glob url-whitelist pattern www.cisco.com ! parameter-map type urlf-glob url-blacklist pattern *.myspace.com pattern 6.6.6.6 ! parameter-map type urlf-glob keyword-blacklist pattern hack pattern exec ! class-map type urlfilter match-any permitted-sites match server-domain urlf-glob url-whitelist class-map type urlfilter match-any blocked-sites match server-domain urlf-glob url-blacklist match server-domain urlf-glob keyword-blacklist class-map type inspect match-any ANY match access-group 101 class-map type inspect match-all filtered-hosts match protocol http policy-map type inspect urlfilter urlfilter-actions parameter type urlfpolicy local LOCALACTIONS class type urlfilter permitted-sites allow class type urlfilter blocked-sites reset log policy-map type inspect in->out class type inspect filtered-hosts inspect service-policy urlfilter urlfilter-actions class type inspect ANY inspect class class-default drop ! zone security inside zone security outside zone-pair security in-to-out source inside destination outside service-policy type inspect in->out ! interface FastEthernet0/0 zone-member security inside ! interface FastEthernet0/1 zone-member security outside ! access-list 101 permit ip any any
Explication:
1) On doit définir comment on va filtrer les URL pour le firewall:
- parameter-map type urlfpolicy local va définir les actions a prendre pour les packets "urlfiltrés"
- parameter-map type urlf-glob va définir comment filtrer les URL ou les keywords
- class-map type urlfilter va regrouper les packets par classes, ici deux classes suffisent, ceux qu'on admet et ceux qu'on drop
- policy-map type inspect urlfilter pour définir la policy a appliquer pour chaque classe
- Et finalement, on applique cette policy dans la policy du firewall policy-map type inspect in->out
2) On doit définir le firewall lui meme, ZBF fonctionne par zone, ici nous allons définir deux zones, inside et outside puis nous allons définir la policy a appliquer pour les packets allant de inside vers outside. L'action par défaut est "drop" dans cet exemple tous les packets allant de outside vers inside seront droppés a moins que ce soit une réponse à une connection venue de l'intérieur. Attention: toutes les interfaces doivent appartenir à une zone!
- class-map type inspect match-any ANY -> c'est pour avoir un match sur tout le traffic IP avec l'access-list 101, sinon l'action par défaut étant drop, on laissera passer le traffic http (au second point) et on drop tout le reste
- class-map type inspect match-all filtered-hosts ce sera la classe de tous les packets http que l'on veut inspecter
- policy-map type inspect in->out on y définit la policy pour nos deux classes: on inspecte HTTP et on applique la policy urlfiltering du point1), et on laisse passer tout ce qui n'est pas http dans ANY. On ne passe donc jamais dans la classe défault.
- On définit les deux noms de zone inside et outside
- zone-pair security pour associer la policy aux packets allant de inside vers outside
-et enfin zone-member security sur CHAQUE interface pour définir leur appartenance à la zone inside ou outside
Bon amusement :-)
06-14-2010 09:50 AM
Merci bien pour les explications de chacun, effectivement la solution ZBF me semble bien appropriée mais plus difficile a mettre en oeuvre, je vais m'y attacher, car c'est un sujet de plus en plus brulant , demandé par les responsables de sociétés ( au vu des sites sociaux, de rencontres et d'échanges qui commence a pullulés sur le net ) cette demande est croisante.
Encore merci
06-15-2010 02:38 AM
Avec plasir En effet, apprendre a se servir de ZBF ne sera certainement pas du temps perdu, d'autant plus que CBAC sera le premier a ne plus être supporté d'ici quelques années!
Bonne journée!
Raphael
Discover and save your favorite ideas. Come back to expert answers, step-by-step guides, recent topics, and more.
New here? Get started with these tips. How to use Community New member guide