Bonjour,
Bien que la réponse ci dessus soit correcte, la traduction automatique des mots clés du routeur la rend difficile a comprendre.
Comme expliqué, il serait préférable d'avoir une bonne compréhension des firewall d'IOS pour configurer cela. Il existe deux sortes de firewall, CBAC et ZBF. L'explication donnée ci dessus est pour ZBF mais le lien montre un exemple pour CBAC.
Pour faire du content filtering on utilise des serveurs de réputation comme trend et websense: ils ont une très grosse base de donnée et l'inspection de tout le traffic demanderait trop de ressources au routeur. Cependant je comprend que vous ne voulez bloquer que quelques url, et ceci est faisable avec IOS et chacun des deux firewalls. Voici deux exemples pour un filtrage local.
Puisque vous n'êtes pas familier avec le CLI, voici d'abord un exemple pour CBAC repris de l'URL ci dessus, beaucoup plus facile a configurer mais je n'ai pas trouvé comment bloquer les keyword:
CBAC:
R0>en
R0#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R0(config)#ip inspect name TEST http urlfilter
R0(config)#ip urlfilter allow-mode on
R0(config)#ip urlfilter exclusive-domain deny www.denyme.com
R0(config)#ip urlfilter exclusive-domain permit www.cisco.com
R0(config)#ip urlfilter audit-trail
R0(config)#interface FastEthernet0/0
R0(config-if)#ip inspect TEST out
R0(config-if)#end
R0#
En quelque mots:
- On définit un firewall nommé TEST qui va inspecter les packets http
- allow-mod on: l'action par défaut est "allow" pour les packets qui ne seront pas "matchés" par les règles
- On définit les règles permit/deny une a une
- audit-trail pour avoir les logs des packets droppés
- Puis on définit TOUTES les interfaces outside OU TOUTES les interfaces inside. Ici je n'ai qu'une interface outside, donc par défaut toutes les autres interfaces du routeur seront inside et les packets entrant par ces interfaces seront inspectés.
ZBF:
Beaucoup plus complexe a cause de l'interaction avec le firewall, mais permet d'utiliser des keywords. Je me base ici sur cette très bonne documentation:
https://supportforums.cisco.com/docs/DOC-8028/#_Configuration_with_Static_Filtering_
Vous y trouverez les versions d'IOS requis etc. Voici un exemple de configuration pour filtrage local:
parameter-map type urlfpolicy local LOCALACTIONS
allow-mode on
block-page message "This page has been blocked by your network administrator"
parameter-map type urlf-glob url-whitelist
pattern www.cisco.com
!
parameter-map type urlf-glob url-blacklist
pattern *.myspace.com
pattern 6.6.6.6
!
parameter-map type urlf-glob keyword-blacklist
pattern hack
pattern exec
!
class-map type urlfilter match-any permitted-sites
match server-domain urlf-glob url-whitelist
class-map type urlfilter match-any blocked-sites
match server-domain urlf-glob url-blacklist
match server-domain urlf-glob keyword-blacklist
class-map type inspect match-any ANY
match access-group 101
class-map type inspect match-all filtered-hosts
match protocol http
policy-map type inspect urlfilter urlfilter-actions
parameter type urlfpolicy local LOCALACTIONS
class type urlfilter permitted-sites
allow
class type urlfilter blocked-sites
reset
log
policy-map type inspect in->out
class type inspect filtered-hosts
inspect
service-policy urlfilter urlfilter-actions
class type inspect ANY
inspect
class class-default
drop
!
zone security inside
zone security outside
zone-pair security in-to-out source inside destination outside
service-policy type inspect in->out
!
interface FastEthernet0/0
zone-member security inside
!
interface FastEthernet0/1
zone-member security outside
!
access-list 101 permit ip any any
Explication:
1) On doit définir comment on va filtrer les URL pour le firewall:
- parameter-map type urlfpolicy local va définir les actions a prendre pour les packets "urlfiltrés"
- parameter-map type urlf-glob va définir comment filtrer les URL ou les keywords
- class-map type urlfilter va regrouper les packets par classes, ici deux classes suffisent, ceux qu'on admet et ceux qu'on drop
- policy-map type inspect urlfilter pour définir la policy a appliquer pour chaque classe
- Et finalement, on applique cette policy dans la policy du firewall policy-map type inspect in->out
2) On doit définir le firewall lui meme, ZBF fonctionne par zone, ici nous allons définir deux zones, inside et outside puis nous allons définir la policy a appliquer pour les packets allant de inside vers outside. L'action par défaut est "drop" dans cet exemple tous les packets allant de outside vers inside seront droppés a moins que ce soit une réponse à une connection venue de l'intérieur. Attention: toutes les interfaces doivent appartenir à une zone!
- class-map type inspect match-any ANY -> c'est pour avoir un match sur tout le traffic IP avec l'access-list 101, sinon l'action par défaut étant drop, on laissera passer le traffic http (au second point) et on drop tout le reste
- class-map type inspect match-all filtered-hosts ce sera la classe de tous les packets http que l'on veut inspecter
- policy-map type inspect in->out on y définit la policy pour nos deux classes: on inspecte HTTP et on applique la policy urlfiltering du point1), et on laisse passer tout ce qui n'est pas http dans ANY. On ne passe donc jamais dans la classe défault.
- On définit les deux noms de zone inside et outside
- zone-pair security pour associer la policy aux packets allant de inside vers outside
-et enfin zone-member security sur CHAQUE interface pour définir leur appartenance à la zone inside ou outside
Bon amusement :-)
