چگونه در روترهای Cisco قابلیت URL Filtering را استفاده کنیم؟ URL Filtering چیست؟ روترهای سیسکو می توانند به عنوان یک فایروال لایه 7 عمل کنند. این قابلیت به روتر این اجازه را می دهد که ترافیک را براساس پارامترهای لایه 5 تا 7 کنترل کند. اجرای این فایروال بر پایه Zone-Based layer 3/4 Firewall انجام می گیرد.برخی از پروتکل ها که توسط (Application Inspection and Control (AIC پشتیبانی می شوند به شرح زیر است :
در این مقاله می خواهیم URL filter را مورد بحث قرار می دهیم
URL Filter این قابلیت را به ما می دهد که که ترافیک مربوط به URL خاص را Drop ، Pass یا log گیری کنیم. این قابلیت قدرتمند می تواند شامل مطابقت با یک آدرس ساده مثل یک آدرس دامینی مانند www.tosinso.com باشد یا به صورت پیچیده براساس مطابقت با یک گروه خاص از سایت ها مانند سایت های Game باشد. برای استفاده از حالت های پیچیده مثل تشخیص براساس گروه های خاص از یک سرور خارجی مانند Websense که دارای یک دیتابیس در این زمینه است استفاده می شود. برخلاف Zone-Based layer 3/4 Firewall که در مقاله قبلی توضیح داده شد در URL Filtering نیاز به استفاده از Parameter map داریم. Parameter Map برای مشخص کردن پارامترهای خاص که توسط Class map و Policy map اشاره خواهد شد مورد استفاده قرار می گیرد.
اگر در یادگیری سیسکو مشکل دارید ، به شما پیشنهاد می کنیم از طریق دوره های آموزش سیسکو حرفه ای سایت توسینسو و با دوره آموزش CCNA روتینگ و سویچینگ شروع کنید ، فراموش نکنید که پیشنیاز همه این دوره های آموزش شبکه ، دوره آموزش نتورک پلاس است ، فراموش نکنید توسینسو اولین و بهترین انتخاب شما در حوزه آموزش فناوری اطلاعات فارسی است.
دو نوع Parameter map برای URL Filter قابل استفاده و تنظیم است :
گزینه های موجود برای URL Filter Policy Parameter map بسته به نوع URL Filtering که می خواهیم استفاده کنیم می تواند Local ، N2H2 یا Websense باشد. با استفاده از N2H2 و Websense می توانیم از دیتابیس آنها که دارای دسته بندی های مختلف است برای URL Filtering استفاده کنیم.نمونه دستورات برای URL Filter Policy Parameter map به صورت زیر است:
Router(config)# parameter-map type urlfpolicy local local-urlf-parameter-map Router(config-profile)# alert on Router(config-profile)# block-page message “Access Denied”
URL Filter – GLOB Parameter map برای تهیه لیست از دامین ها یا کلمات کلیدی که قرار است به عنوان الگو با URLها مقایسه شوند به کار می رود. این الگوها بسیار انعصاف پذیر هستند. به صورت مثال به صورت ساده برای یک دامین مثل سایت tosinso.com یا با استفاده از کارکترهای خاص برای مشخص کردن حالت های خاصی از آدرس های دامینی و یا پیدا کردن یک کلمه در یک URL ، قابل انجام است. در جدول زیر کاراکترهای که برای مشخص کردن الگو می توانند به ما کمک کنند نمایش داده شده است :
شرح کاراکترهای جدول فوق به شرح زیر است :
استفاده از این کارکترها به ما در فیلتر کردن سایت ها کمک زیادی می کند.نمونه دستورات URL Filter – GLOB Parameter map به صورت زیر است :
Router(config)# parameter-map type urlf-glob glob_server_parameter_map Router(config-profile)# pattern testing-[1-3].com Router(config)# parameter-map type urlf-glob glob_keyword_parameter_map Router(config-profile)# pattern test Router(config-profile)# pattern example
از Class map برای شناسایی ترافیک مشابه با الگویی که در قسمت قبلی توسط URL Filter – GLOB Parameter map تعریف کرده ایم استفاده می شود. Class map که تعریف می کنیم از نوع urlfilter است و اگر از نوع local باشد برای این class map دو گزینه وجود دارد که به شرح زیر است :
نکته : در صورت استفاده از سرورهای خارجی مثل websense برای شناسایی ترافیک یک گزینه تحت عنوان server response داریم.نمونه دستورات Class map برای شناسایی ترافیک به صورت زیر است :
Router(config)# class-map type urlfilter url_class_map Router(config-cmap)# match server-domain urlf-glob glob_server_parameter_map Router(config-cmap)# match url-keyword urlf-glob glob_keyword_parameter_map
از policy map برای تعیین واکنش که نسبت به ترافیکی که توسط class map شناسایی شده است استفاده می شود. برای ترافیک شناسایی شده می توان واکنش هایی را در نظر گرفت که آنها را تشریح می کنیم :
نمونه دستورات Policy map برای تعیین واکنش نسبت به ترافیک شناسایی شده به صورت زیر است :
Router(config)# policy-map type inspect urlfilter url_policy_map Router(config-pmap)# parameter type urlfilter local local-urlf-parametermap Router(config-pmap)# class type urlfilter url_class_map Router(config-pmap-c)# log Router(config-pmap-c)# reset
اعمال کردن URL Filtering مقداری پیچیده است چون URL Filtering را نمی توان به صورت مستقیم به یک Zone pair اختصاص داد و باید در Class map مربوط به Zone Based layer 34 firewall ترافیک مربوط به http را بازرسی کرد و در Policy map مربوط به Zone Based layer 34 firewall باید URL Filtering را با استفاده از دستور service-policy اعمال کنیم. در ادامه یک مثال عملی را با هم اجرا می کنیم تا بهتر آنرا درک کنیم.نمونه دستورات برای فعال کردن URL Filtering به صورت زیر است :
Router(config)# policy-map type inspect http_policy_map Router(config-pmap)# class http_class_map Router(config-pmap-c)# inspect Router(config-pmap-c)# service-policy urlfilter url_policy_map
برای بررسی و خطایابی از دستورات زیر می توانید استفاده کنید :
Router#show class-map type urlfilter Router#show ip trm config Router#show ip trm subscription status Router#show parameter-map type trend-global Router#show parameter-map type urlf-glob Router#show parameter-map type urlfpolicy Router#show policy-map type inspect urlfilter Router#show policy-map type inspect zone-pair Router#show policy-map type inspect zone-pair urlfilter
در قسمت بعدی مقاله جهت آشنایی کامل و بهتر یک سناریو را به صورت عملی پیاده سازی می کنیم.