Cisco URL Filtering



 ◆ Cisco URLフィルタリング

 Ciscoルータを利用したURLフィルタリングは、CiscoルータとWebsense等の外部のURLフィルタリング
 サーバとが連携して提供することができます。その連携した時のパケットフローは下図のようになります。


     


 また、簡単なフィルタリングとなりますが、Ciscoルータだけを利用しURLフィルタリングを提供することも
 可能です。ただし、URLフィルタリングを行う場合、
専用のアプライアンスを導入することが推奨となります。



 ◆ Ciscoルータだけを利用したURLフィルタリング

 Securityライセンスが有効化されたCiscoルータや、advipservicesライセンスが有効なCisco892などでは
 CiscoルータだけでURLフィルタリングをできます。しかし、CiscoルータでURL Filteringを行う場合には
 そのCiscoルータの
CPU使用率が高くなるという点、スループットが低下するという点には注意しましょう。


   


 CiscoルータだけでURLフィルタリングするための本来の実装はないので、
ip urlfilter exclusive-domain
 コマンドを使用して、URLフィルタポリシーの対象にならないドメインを指定することにより、Ciscoルータ
 だけでURLフィルタリングを行うようにします。それでは以下にURL Filteringの設定コマンドを紹介します。


 ◆ Cisco URL Filtering - 設定コマンド


  


 ip inspect name CBAC tcp
 ip inspect name CBAC udp
 ip inspect name CBAC ftp
 ip inspect name CBAC http urlfilter
 ip urlfilter allow-mode on
 ip urlfilter exclusive-domain deny www.yahoo.co.jp

 interface GigabitEthernet 0/0
 no ip address
 duplex auto
 speed auto
 pppoe enable group global
 pppoe-client dial-pool-number 1

 interface GigabitEthernet 0/1
 ip address 192.168.1.254 255.255.255.0
 ip nat inside
 ip inspect CBAC in
 ip virtual-reassembly
 ip tcp adjust-mss 1414
 duplex auto

 interface Dialer1
 ip address negotiated
 ip access-group 101 in
 ip mtu 1454
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication chap callin
 ppp chap hostname test@example.com
 ppp chap password test

 ip route 0.0.0.0 0.0.0.0 Dialer1

 ip nat inside source list 1 interface Dialer1 overload

 access-list 1 permit 192.168.1.0 0.0.0.255
 access-list 101 deny ip any any
 dialer-list 1 protocol ip permit



 ◇ ip inspect name CBAC http urlfilter
 ⇒ 「urlfilter」を指定した上でHTTPのインスペクションを有効化(httpフィルタリングであり
httpsは不可

 ◇ ip urlfilter allow-mode on
 ⇒ 外部URLフィルタリングサーバ(Websense or Secure Computing)の停止時に接続を許可する設定。

 ◇ ip urlfilter exclusive-domain deny www.yahoo.co.jp
 ⇒ URLポリシーの対象にならない拒否ドメインの設定。

例外ドメインの設定コマンド 説明
ip urlfilter exclusive-domain deny  URLフィルターポリシーの対象にならない拒否ドメインを指定する。これを使用する。
ip urlfilter exclusive-domain permit  URLフィルターポリシーの対象にならない許可ドメインを指定する。


 ◇ ip inspect CBAC in
 ⇒ LAN側の着信トラフィックにCBACを適用。

 
※ 必要最小限の設定は以上であり、必要に応じて ip urlfilter audit-trail などの設定やCache Sizeなどの設定を行います。


 ip urlfilter exclusive-domain denyで定義したWebサイトにアクセスすると以下メッセージが表示されます。

 


 FireFoxの場合は、以下ようなメッセージ画面が表示されます。

 




 なお、「ip urlfilter exclusive-domain deny
www.yahoo.co.jp」と指定した場合、weather.yahoo.co.jp や
 transit.loco.yahoo.co.jp にはアクセスできてしまいます。そこで以下のように指定することで yahoo.co.jp の
 名前のドメインの全サイトを対象とすることができます。⇒ ip urlfilter exclusive-domain deny .yahoo.co.jp

 ip urlfilter exclusive-domain deny .yahoo.co.jp


 ip urlfilter exclusive-domain deny .yahoo.co.jp と設定すると、transit.map.yahoo.co.jp も合致するので
 アクセスするとブラウザ表示は以下となります。※ yahoo.co.jpの前に「 . 」を忘れないよう注意しましょう。

 



 以下のように複数の拒否ドメインを設定することもできます。


 ip urlfilter exclusive-domain deny .yahoo.co.jp
 ip urlfilter exclusive-domain deny www.infraexpert.com
 ip urlfilter exclusive-domain deny www.jal.co.jp


 以下のように設定すれば co.jp のWebサイト全てにアクセスできないようになります。※ http://が対象。

 ip urlfilter exclusive-domain deny .co.jp



ネットワークセキュリティ

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.