Cisco Support Community
cancel
Showing results for 
Search instead for 
Did you mean: 
Community Member

Blocage de site avec url et keyword

Bonjour a tous,

J'utilise un SR520 tout fonctionne bien, mais je souhaiterais bloque certain site avec l'url et/ou keyword

Quelqu'un aurait il un exemple ou des explications claires -> sachant que je suis nouveau dans le CLI

Merci bien

4 REPLIES

Re: Blocage de site avec url et keyword

Hi

Pour configurer Cisco IOS filtrage de l'URL, vous devez avoir une bonne compréhension des règles de pare-feu et de filtrage de l'URL. Une fois que vous avez enregistré votre routeur avec le système de Trend Micro, le résumé des étapes pour configurer le nouveau Trend Micro Filtrage d'URL dans le logiciel IOS de Cisco est la suivante:

Cartes de classe Configuration pour le filtrage URL locale
Cartes de classe Configuration pour Trend Micro URL Filtering
Cartographies de paramètre de configuration pour Trend Micro URL Filtering
Configurer des stratégies de filtrage d'URL
Fixer une politique de filtrage d'URL

S'il vous plaît se référer au document ci-dessous

http://cisco.biz/en/US/products/ps5855/products_configuration_example09186a0080ab4ddb.shtml

Regards

Chetan Kumar

Cisco Employee

Re: Blocage de site avec url et keyword

Bonjour,

Bien que la réponse ci dessus soit correcte, la traduction automatique des mots clés du routeur la rend difficile a comprendre.

Comme expliqué, il serait préférable d'avoir une bonne compréhension des firewall d'IOS pour configurer cela. Il existe deux sortes de firewall, CBAC et ZBF. L'explication donnée ci dessus est pour ZBF mais le lien montre un exemple pour CBAC.

Pour faire du content filtering on utilise des serveurs de réputation comme trend et websense: ils ont une très grosse base de donnée et l'inspection de tout le traffic demanderait trop de ressources au routeur. Cependant je comprend que vous ne voulez bloquer que quelques url, et ceci est faisable avec IOS et chacun des deux firewalls. Voici deux exemples pour un filtrage local.

Puisque vous n'êtes pas familier avec le CLI, voici d'abord un exemple pour CBAC repris de l'URL ci dessus, beaucoup plus facile a configurer mais je n'ai pas trouvé comment bloquer les keyword:

CBAC:

R0>en
R0#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R0(config)#ip inspect name TEST http urlfilter
R0(config)#ip urlfilter allow-mode on
R0(config)#ip urlfilter exclusive-domain deny www.denyme.com
R0(config)#ip urlfilter exclusive-domain permit www.cisco.com
R0(config)#ip urlfilter audit-trail
R0(config)#interface FastEthernet0/0
R0(config-if)#ip inspect TEST out
R0(config-if)#end
R0#

En quelque mots:

- On définit un firewall nommé TEST qui va inspecter les packets http

- allow-mod on: l'action par défaut est "allow" pour les packets qui ne seront pas "matchés" par les règles

- On définit les règles permit/deny une a une

- audit-trail pour avoir les logs des packets droppés

- Puis on définit TOUTES les interfaces outside OU TOUTES les interfaces inside. Ici je n'ai qu'une interface outside, donc par défaut toutes les autres interfaces du routeur seront inside et les packets entrant par ces interfaces seront inspectés.

ZBF:

Beaucoup plus complexe a cause de l'interaction avec le firewall, mais permet d'utiliser des keywords. Je me base ici sur cette très bonne documentation:

https://supportforums.cisco.com/docs/DOC-8028/#_Configuration_with_Static_Filtering_

Vous y trouverez les versions d'IOS requis etc. Voici un exemple de configuration pour filtrage local:

parameter-map type urlfpolicy local LOCALACTIONS
 allow-mode on
 block-page message "This page has been blocked by your network administrator"
parameter-map type urlf-glob url-whitelist
 pattern www.cisco.com
!
parameter-map type urlf-glob url-blacklist
 pattern *.myspace.com
 pattern 6.6.6.6
!
parameter-map type urlf-glob keyword-blacklist
 pattern hack
 pattern exec
!
class-map type urlfilter match-any permitted-sites
 match  server-domain urlf-glob url-whitelist
class-map type urlfilter match-any blocked-sites
 match  server-domain urlf-glob url-blacklist
 match  server-domain urlf-glob keyword-blacklist
class-map type inspect match-any ANY
 match access-group 101
class-map type inspect match-all filtered-hosts
 match protocol http
policy-map type inspect urlfilter urlfilter-actions
 parameter type urlfpolicy local LOCALACTIONS
 class type urlfilter permitted-sites
  allow
 class type urlfilter blocked-sites
  reset   
  log
policy-map type inspect in->out
 class type inspect filtered-hosts
  inspect 
  service-policy urlfilter urlfilter-actions
 class type inspect ANY
  inspect 
 class class-default
  drop
!
zone security inside
zone security outside
zone-pair security in-to-out source inside destination outside
 service-policy type inspect in->out
!
interface FastEthernet0/0
 zone-member security inside
!
interface FastEthernet0/1
 zone-member security outside
!
access-list 101 permit ip any any

Explication:

1) On doit définir comment on va filtrer les URL pour le firewall:

- parameter-map type urlfpolicy local va définir les actions a prendre pour les packets "urlfiltrés"

- parameter-map type urlf-glob  va définir comment filtrer les URL ou les keywords

- class-map type urlfilter va regrouper les packets par classes, ici deux classes suffisent, ceux qu'on admet et ceux qu'on drop

- policy-map type inspect urlfilter pour définir la policy a appliquer pour chaque classe

- Et finalement, on applique cette policy dans la policy du firewall policy-map type inspect in->out

2) On doit définir le firewall lui meme, ZBF fonctionne par zone, ici nous allons définir deux zones, inside et outside puis nous allons définir la policy a appliquer pour les packets allant de inside vers outside. L'action par défaut est "drop" dans cet exemple tous les packets allant de outside vers inside seront droppés a moins que ce soit une réponse à une connection venue de l'intérieur. Attention: toutes les interfaces doivent appartenir à une zone!

- class-map type inspect match-any ANY -> c'est pour avoir un match sur tout le traffic IP avec l'access-list 101, sinon l'action par défaut étant drop, on laissera passer le traffic http (au second point) et on drop tout le reste

- class-map type inspect match-all filtered-hosts ce sera la classe de tous les packets http que l'on veut inspecter

- policy-map type inspect in->out on y définit la policy pour nos deux classes: on inspecte HTTP et on applique la policy urlfiltering du point1), et on laisse passer tout ce qui n'est pas http dans ANY. On ne passe donc jamais dans la classe défault.

- On définit les deux noms de zone inside et outside

- zone-pair security pour associer la policy aux packets allant de inside vers outside

-et enfin zone-member security sur CHAQUE interface pour définir leur appartenance à la zone inside ou outside

Bon amusement :-)

             
Community Member

Re: Blocage de site avec url et keyword

Merci bien pour les explications de chacun, effectivement la solution ZBF me semble bien appropriée mais plus difficile a mettre en oeuvre, je vais m'y attacher, car c'est un sujet de plus en plus brulant , demandé par les responsables de sociétés ( au vu des sites sociaux, de rencontres et d'échanges qui commence a pullulés sur le net ) cette demande est croisante.

Encore merci

Cisco Employee

Re: Blocage de site avec url et keyword

Avec plasir En effet, apprendre a se servir de ZBF ne sera certainement pas du temps perdu, d'autant plus que CBAC sera le premier a ne plus être supporté d'ici quelques années!

Bonne journée!

Raphael

2963
Views
0
Helpful
4
Replies
CreatePlease to create content