Добавляем блокировку сайтов к Zone based firewall
Создадим следующие правила:
Группа машин без ограничения доступа
Группа машин с доступом на несколько разрешенных узлов (у нас будет cisco.com)
И остальные, которым закрыты некоторые узлы (у нас будет vk.com и odnoklassniki.ru)
Сначала опишем что будет видеть пользователь при попытке захода на непотребный сайт:
parameter-map type urlfpolicy local URLFilter
alert off
block-page message "This site is blocked"
Затем опишем все ненужные сайты:
parameter-map type urlf-glob BlockedSites
pattern *.vk.com
pattern vk.com
pattern odnoklassniki.ru
pattern *.odnoklassniki.ru
Теперь опишем все нужные сайты:
parameter-map type urlf-glob PermitedSites
pattern *
Теперь опишем те сайты, на которые будет доступ для той самой группы, у которой все кроме их запрещено:
parameter-map type urlf-glob OnlyOneSite
pattern *.cisco.com
pattern cisco.com
Теперь создадим списки доступа:
ip access-list extended ACL_Limit
deny tcp host 192.168.0.45 any eq www
deny tcp host 192.168.0.40 any eq www
permit tcp any any eq www
ip access-list extended ACL_Only_One
permit tcp host 192.168.0.10 any eq www
Синим указаны адреса компьютеров без ограничения доступа.
Красным указан адрес компьютера с доступом только на cisco.com
Всем остальным будет запрещен доступ к сайтам, перечисленным в parameter-map BlockedSites
Далее несколько class-map.
class-map type urlfilter match-any OnlyOneSite
match server-domain urlf-glob OnlyOneSite
class-map type urlfilter match-any BlockedSites
match server-domain urlf-glob BlockedSites
class-map type urlfilter match-any PermitedSites
match server-domain urlf-glob PermitedSites
class-map type inspect match-all WebLim
match protocol http
match access-group name ACL_Limit
class-map type inspect match-all Web_Only_One
match protocol http
match access-group name ACL_Only_One
И policy-map
policy-map type inspect urlfilter URLFL_MAP
parameter type urlfpolicy local URLFilter
class type urlfilter BlockedSites
reset
class type urlfilter PermitedSites
allow
policy-map type inspect urlfilter URLFL_MAP_ONLY_ONE_SITE
parameter type urlfpolicy local URLFilter
class type urlfilter OnlyOneSite
allow
class type urlfilter PermitedSites
reset
Теперь в нашей политике для пары зон добавим наши class-map и добавим service-policy.
В итоге она будет выглядеть примерно так:
policy-map type inspect Inspect_Inside_To_Outside
class type inspect Control
inspect
class type inspect SWeb
inspect
class type inspect SMTPS
inspect
class type inspect Web_Only_One
inspect
service-policy urlfilter URLFL_MAP_ONLY_ONE_SITE
class type inspect WebLim
inspect
service-policy urlfilter URLFL_MAP
class type inspect Web
inspect
class class-default
drop
Ну както так. Читайте предыдущий пост и документацию на cisco.com
Группа машин без ограничения доступа
Группа машин с доступом на несколько разрешенных узлов (у нас будет cisco.com)
И остальные, которым закрыты некоторые узлы (у нас будет vk.com и odnoklassniki.ru)
Сначала опишем что будет видеть пользователь при попытке захода на непотребный сайт:
parameter-map type urlfpolicy local URLFilter
alert off
block-page message "This site is blocked"
Затем опишем все ненужные сайты:
parameter-map type urlf-glob BlockedSites
pattern *.vk.com
pattern vk.com
pattern odnoklassniki.ru
pattern *.odnoklassniki.ru
Теперь опишем все нужные сайты:
parameter-map type urlf-glob PermitedSites
pattern *
Теперь опишем те сайты, на которые будет доступ для той самой группы, у которой все кроме их запрещено:
parameter-map type urlf-glob OnlyOneSite
pattern *.cisco.com
pattern cisco.com
Теперь создадим списки доступа:
ip access-list extended ACL_Limit
deny tcp host 192.168.0.45 any eq www
deny tcp host 192.168.0.40 any eq www
permit tcp any any eq www
ip access-list extended ACL_Only_One
permit tcp host 192.168.0.10 any eq www
Синим указаны адреса компьютеров без ограничения доступа.
Красным указан адрес компьютера с доступом только на cisco.com
Всем остальным будет запрещен доступ к сайтам, перечисленным в parameter-map BlockedSites
Далее несколько class-map.
class-map type urlfilter match-any OnlyOneSite
match server-domain urlf-glob OnlyOneSite
class-map type urlfilter match-any BlockedSites
match server-domain urlf-glob BlockedSites
class-map type urlfilter match-any PermitedSites
match server-domain urlf-glob PermitedSites
class-map type inspect match-all WebLim
match protocol http
match access-group name ACL_Limit
class-map type inspect match-all Web_Only_One
match protocol http
match access-group name ACL_Only_One
И policy-map
policy-map type inspect urlfilter URLFL_MAP
parameter type urlfpolicy local URLFilter
class type urlfilter BlockedSites
reset
class type urlfilter PermitedSites
allow
policy-map type inspect urlfilter URLFL_MAP_ONLY_ONE_SITE
parameter type urlfpolicy local URLFilter
class type urlfilter OnlyOneSite
allow
class type urlfilter PermitedSites
reset
Теперь в нашей политике для пары зон добавим наши class-map и добавим service-policy.
В итоге она будет выглядеть примерно так:
policy-map type inspect Inspect_Inside_To_Outside
class type inspect Control
inspect
class type inspect SWeb
inspect
class type inspect SMTPS
inspect
class type inspect Web_Only_One
inspect
service-policy urlfilter URLFL_MAP_ONLY_ONE_SITE
class type inspect WebLim
inspect
service-policy urlfilter URLFL_MAP
class type inspect Web
inspect
class class-default
drop
Ну както так. Читайте предыдущий пост и документацию на cisco.com
Комментарии
Отправить комментарий