آموزش راه اندازی URL Filtering در روترهای سیسکو در قالب سناریو

چگونه در روترهای سیسکو URL Filtering راه اندازی کنیم؟ در قسمت قبلی مقاله با URL Filtering و مفاهیم آن آشنا شدیم و همانطور که قول داده بودیم در این قسمت می خواهیم یک سناریو را به صورت عملی پیاده سازی می کنیم تا با مفاهیم آن بیشتر آشنا شویم :

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

برای مشاهده تخفیف های ویژه امروز کلیک کنید

با توجه به شکل زیر ، می خواهیم PC نتواند سایت های tosinso.com و msn.com را باز کند ولی بتواند تمام سایت های دیگر را باز کند.

در ابتدا به اینترفیس ها IP اختصاص می دهیم و NAT را روی روتر فعال می کنیم و از یک Static Route برای ارسال ترافیک به سمت اینترنت استفاده می کنیم :

Router(config)#interface FastEthernet0/0
Router(config-if)#description to LAN
Router(config-if)#ip address 192.168.1.1 255.255.255.0
Router(config-if)#ip nat inside
Router(config)#interface FastEthernet0/1
Router(config-if)#description to internet
Router(config-if)#ip address 5.5.5.1 255.255.255.0
Router(config-if)#ip nat outside
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)#ip nat pool home 5.5.5.1 5.5.5.1 prefix-length 24
Router(config)#ip nat inside source list 1 pool home overload
Router(config)#ip route 0.0.0.0 0.0.0.0 fastethernet 0/1

در حال حاضر PC به تمام سایت های دسترسی دارد. مرحله بعدی اجرای Zone Based layer 34 firewall است که قبلا توضیح داده شده است برای آشنایی با عملکرد آن پیشنهاد می شود که آن مبحث را مطالعه فرمائید. دستورات اجرای Zone Based layer 34 firewall به صورت زیر است :

Router(config)#class-map type inspect match-any httpc
Router(config-cmap)#match protocol http
Router(config)#class-map type inspect match-any dnsc
Router(config-cmap)#match protocol icmp
Router(config-cmap)#match protocol dns
Router(config-cmap)#match protocol https
Router(config)#policy-map type inspect in-out
Router(config-pmap)#class type inspect httpc
Router(config-pmap-c)#inspect
Router(config-pmap)#class type inspect dnsc
Router(config-pmap-c)#inspect
Router(config-pmap)#class class-default
Router(config-pmap-c)#drop
Router(config)#zone security inside
Router(config)#zone security outside
Router(config)#zone-pair security inside-outside source inside destination outside
Router(config-sec-zone-pair)#service-policy type inspect in-out
Router(config)#interface FastEthernet0/0
Router(config-if)#zone-member security inside
Router(config)#interface FastEthernet0/1
Router(config-if)#zone-member security outside

حالا باید تنظیمات مربوط به URL Filtering را انجام دهیم : در ابتدا URL Filter Policy Parameter map را تعریف می کنیم و در آنرا Alert را فعال می کنیم و پیغام Access Denied را جهت نمایش به کاربر تعیین می کنیم :

Router(config)#parameter-map type urlfpolicy local lupm
Router(config-profile)#alert on
Router(config-profile)#block-page message “Access Denied”

سپس URL Filter – GLOB Parameter map را تعریف می کنیم و در آن چند الگو برای سایت های tosinso.com و msn.com تعریف کنیم :

Router(config)#parameter-map type urlf-glob http-w
Router(config-profile)#pattern tosinso.com
Router(config-profile)#pattern msn.com
Router(config-profile)#pattern *msn.com

بعد یک URL Filter – GLOB Parameter map دیگر تعریف می کنیم و در آن یک الگو تعریف می کنیم که با تمام سایت ها مطابقت پیدا کند :

Router(config)#parameter-map type urlf-glob all
Router(config-profile)#pattern *

حالا یک Class map تعریف می کنیم که ترافیک را با parameter map که با نام http-w در بالا تعریف کردیم مقایسه کند :

Router(config)#class-map type urlfilter match-any ucm
Router(config-cmap)#match  server-domain urlf-glob http-w

یک Class map دیگر هم تعریف می کنیم که ترافیک را با parameter map که با نام all در بالا تعریف کردیم مقایسه کند :

Router(config)#class-map type urlfilter match-any ucm2
Router(config-cmap)#match  server-domain urlf-glob all

سپس یک Policy map تعریف می کنیم و در آن واکنشی که نسبت به دو Class map که در بالا تعریف کردیم را مشخص می کنیم و همچنین URL Filter Policy Parameter map را به آن اختصاص می دهیم :

Router(config)#policy-map type inspect urlfilter upm
Router(config-pmap)#parameter type urlfpolicy local lupm
Router(config-pmap)#class type urlfilter ucm
Router(config-pmap-c)#log
Router(config-pmap-c)#reset
Router(config-pmap)#class type urlfilter ucm2
Router(config-pmap-c)#log
Router(config-pmap-c)#allow

آخرین مرحله فعال کردن URL Filtering است در اینجا Policy map که برای URL Filtering با نام upm تعریف کردیم را به Policy map مربوط به Zone Based layer 3/4 firewall که با نام in-out تعریف کرده ایم اختصاص می دهیم :

Router(config)#policy-map type inspect in-out
Router(config-pmap)#class type inspect httpc
Router(config-pmap-c)#inspect
Router(config-pmap-c)#service-policy urlfilter upm

تنظیمات کامل شده است و از این لحظه همانطور که در تصویر می بینید امکان دسترسی به سایت های ذکر شده وجود ندارد.

امیدوارم که این مقاله مفید واقع شده باشد. موفق ، پیروز و توسینسو باشید.

جعفر قنبری شوهانی

مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان بیشتر از 10 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم

آموزش راه اندازی URL Filtering در روترهای سیسکو در قالب سناریو

نظرات