Ejemplo de filtrado de URL local con IOS Zone Based Firewall

Document

May 31, 2011 8:17 AM
May 31st, 2011

A continuación se muestra un ejemplo para poder configurar filtrado de URL local con IOS ZBF.

NOTA: Es importante recordar que no se puede aplicar una class-map o policy-map type ulrfilter a los zone pairs. Es por ello que se debe de crear class-map y policy-map type inspect  (capa 3) que mande a llamar estas clases y policies de capa 7.


parameter-map type urlfpolicy local URLFilter
  alert off
  block-page message "Access Denied"

!
parameter-map type urlf-glob BlockedURLs // Se crean los patrones para bloquear facebook, myspace y twitter //
  pattern *.facebook.com
  pattern *.myspace.com

  pattern *.twitter.com

!

parameter-map type urlf-glob PermittedSites // Se crea un parameter map que selecciona cualquier otro URL //
  pattern *
!
class-map type urlfilter match-any BlockedSites // Se crea el class-map que manda a llamar el parameter-map de BlockedURLs  //
  match  server-domain urlf-glob BlockedURLs

class-map type urlfilter match-any PermittedSites // Se crea el class-map que manda a llamar el parameter-map de PermittedSites (cualquier otro URL) //
  match  server-domain urlf-glob PermittedSites

!

ip access-list extended blocked-hosts  // Se configura ACL de tráfico interesante//

permit tcp any any eq 80

!

class-map type inspect match-all WebFilter  //Se configura el class map que selecciona el trafico interesante que viaja por http //
  match protocol http
  match access-group name blocked-hosts
!
policy-map type inspect urlfilter BlockedSites //   //
  parameter type urlfpolicy local URLFilter
  class type urlfilter BlockedSites
   log
   reset
  class type urlfilter PermittedSites
   allow

!

policy-map type inspect InsideToOutside // Se configura el policy map que manda a llamar la class WebFilter, al que se le aplica el filtrado de URL//
  class type inspect WebFilter
   inspect
   service-policy urlfilter BlockedSites
  class class-default
   pass

!
policy-map type inspect PermitAll //  En este ejemplo se permitira el trafico de Outside a Inside, sin embargo no es necesario para la configuración de URL//
  class class-default
   pass
!
zone security Inside // Se crean las zonas//
zone security Outside
zone-pair security Inside_to_Outside source Inside destination Outside // Se configuran zone-pairs, se aplican las policy-map //
  service-policy type inspect InsideToOutside

zone-pair security out-in source Outside destination Inside
  service-policy type inspect PermitAll
!
interface FastEthernet0 // Se aplican las zonas a las interfaces //
  zone-member security Outside
!
interface Vlan2
  zone-member security Inside
!

Average Rating: 0 (0 ratings)

Comments

Actions

Login or Register to take actions

This Document

Posted May 31, 2011 at 8:17 AM
Stats:
Comments:2 Avg. Rating:0
Views:2180 Contributors:2
Shares:0
Tags: No tags.

Documents Leaderboard