IOSによるウェブサイトのフィルタリング

7

私たちのオフィスネットワークでは、ベースモジュールを備えたSG300 L3スイッチ（およびその他のいくつかのL2スイッチ）とともに1921 / K9ルーターを使用しています。従業員が特定のWebサイトにアクセスするのをブロックしたい場合、現在の機器でそれを行うための最良の方法は何でしょうか？

cisco security cisco-isr

— lamp_scaler
ソース

@WaxTraxはい。それをしました。しかし、それを更新するのはちょっと面倒です。オフィス内のすべてのコンピューターのすべてのホストファイルを簡単かつ一元的に管理するにはどうすればよいですか？

— lamp_scaler 2013年

2

Linux VMイメージを構築し、Squidプロキシを実行します...これは、既存のキットでWebトラフィックを無料でフィルタリングする「正しい」方法ですが、* nixのいくつかの種類に精通している必要があります。dansguardianを追加すると、わいせつなコンテンツをフィルタリングするために上司からクールなポイントを得ることができます。

— マイクペニントン

@MikePennington squidプロキシをネットワークセットアップのどこに配置しますか？

— lamp_scaler 2013年

LAN側では、WANルーターと同じサブネット... イカの構成については、サーバー障害を確認してください

— Mike Pennington

セットアップでファイアウォールについての言及はありませんでした。CX AVCとWSEを備えた新しいCisco ASA-Xを活用できます。

— generalnetworkerror 2013年

7

貧乏人のフィルターは、NBARを使用してブロックするURLと一致させ、一致するトラフィックをドロップすることで実装できます。

たとえば、Googleをブロックする場合は、次のように使用できます

class-map match-any BlockGoogle
    match protocol http url *.google.*

policy-map BlockGoogle
   class BlockGoogle
       drop

interface gig 0/1
    description WAN Interface
    ip address 4.2.2.1 255.255.255.252
    service-policy output BlockGoogle

これはmatch-anyクラスマップであるため、クラスに一致するURLをさらに追加できます。

注： URLに基づくマッチングは、L2 / 3スイッチではなく、1921年に行う必要があります。

— Bigmstone
ソース

これは、ユーザーがWebブラウザー設定内でプロキシーをセットアップした場合でも機能しますか？

— lamp_scaler 2013年

通常、プロキシのIPに標準のHTTPリクエストを送信するだけなので、間違っていない場合はプロキシトラフィックをブロックする必要があります。ただし、これはトンネルをブロックしません。また、プロキシは多くの異なることを意味することに注意することが重要です。ほとんどのブラウザ内でブラウザを使用できるように設定されたWebサイトがあります。あなたがそのサイトをブロックしない限り、これはそれに対してブロックしません。私はあなたの質問に基づいて私の回答を作成しましたが、より完全に機能するフィルターが必要な場合は、NBARを使用するのは/方法ではありません。Websense、IronPort Web Filter、Barracudaなどを使用するのが最適です。

— bigmstone 2013年

そうですか。このNBAR構成を微調整して、特定のMACアドレス、IP、またはVLANに対してのみ実施することは可能ですか？

— lamp_scaler 2013

はい。ただし、ブロックするWebサイトごとにクラスマップを作成する必要があります。match protocol http urlホストと一致するように構築されたACLと一致するすべてのステートメントを作成してから、そのステートメントを作成できます。それがVLANに基づいている場合は、元のサービスポリシーを、トラフィックが入るルーターのサブインターフェースに適用するだけで済みます。

— bigmstone 2013

5

IOSに統合されたScanSafeソリューションの使用については、シスコパートナーまたはCisco SEと協力してください。

http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6525/ps6538/ps6540/data_sheet_c78-655324.html

— ŁukaszBromirski
ソース

それは信じられないことです、私はシスコのScanSafeソリューションに気づいていませんでした...これはブランチオフィスにとって素晴らしいオプションです。毎日新しいことを学びましょう！

— infinisource 2013年

2

私の経験では、これは次のとおりです。

1）L3スイッチでSPANセッションをセットアップし、監視を行う宛先ポートにトラフィックを送信します。2）許可されるポリシーと許可されないポリシーを設定して、WebsenseがWebサイトのトラフィックを監視するように設定します。

それがおそらくあなたが探しているものとは正確には違うことは知っていますが、それは一言で言えば基本です。ルーターとL3スイッチだけでは、ウェブサイトのトラフィックを監視/ブロックすることはできません。DansguardianなどのWebsense以外にも他の製品がありますが、Websenseはおそらく最も簡単にセットアップできますが、ライセンスとハードウェア要件の点で最も高価な製品の1つでもあります。

Webサイトのトラフィックを監視するときに考慮する必要があるのは、ネットワークのサイズです。200以上のクライアントを監視している場合は、デュアルギガビットリンクと最低8GBのRAMを備えたクアッドコアXeonボックス以下のものはお勧めしません。トラフィックを監視することを決定する場合、サイジングは非常に重要です。これは、監視するボックスがアウトバウンドトラフィックを十分に遮断し、上位のユーザーがネットワークからボックスを除外する可能性があるためです。

それは私のウェブサイトのトラフィックを監視する経験でした、あなたの考えは何ですか？

— infinisource
ソース

1

もう1つの方法は、HOSTSファイルと同様の概念で、DNSサーバーでURLをブロックすることです（独自のDNSサーバーを実行している場合）。

たとえば、IOSがDNSサーバーを実行している場合は、以下を追加できます。

Router（config）＃ip host facebook.com 127.0.0.1

または、127.0.0.1を、単純なWebサーバーのIPに置き換えて、禁止されているサイトとその理由をリストした静的ページを追加することもできます。

— WaxTrax
ソース

* .facebook.comという構文を使用して、すべてのサブドメインを制限できますか？

— lamp_scaler 2013年