Cisco路由器實現Web內容過濾
對于企業限制員工的WEB瀏覽內容是基本的設置,那么我們要如何進行操作呢?本文從URL過濾,路由器過濾設置,IOS設置等方面進行的詳細的解答。
為了保護企業網絡以及終端用戶免受惡意或不良網頁內容的入侵,我們可以使用基于訂閱的思科IOS內容過濾。這是思科首次將第三方公司如 SmartFilter (之前的N2H2公司)和Websense 提供的服務納入IOS 12.2(15)T。今年,在IOS12.4 (15) XZ和12.4(20)T中,思科IOS又加入了Trend Micro(趨勢)公司的URL過濾服務。
如果想使用上述功能,應該首先確保我們的路由器IOS支持該特性。通過Cisco IOS Feature Navigator,我們可以驗證所使用的軟件映像是否支持該特性。
當然,除了適當的IOS映像之外,我們必須在這些第三方公司進行服務注冊,這樣才能獲取他們的URL過濾服務。根據趨勢科技的向導,我們可以注冊路由器以獲取Trend Router Provisioning Server( TRPS ) 。更多的信息可以參閱Prerequisites for Cisco Subscription-based IOS Content Filtering。
為什么要依靠 URL過濾?
作為網絡管理員,我們肯定不想把大量時間用于關注用戶瀏覽的網絡內容上。而互聯網過濾服務就是針對這種情況提供的方便功能。以前當我部署網頁過濾服務的時候,我總是喜歡對提出抱怨的用戶說: “這是Web過濾服務,說你的某某網站是不允許訪問的。 ”
通過部署URL過濾,我們可以利用第三方公司的服務從終端用戶過濾掉惡意或不恰當的互聯網流量。除了可以簡單的開啟或關閉過濾功能外,我們也可以為特定的網站和用戶開放這些內容或者站點。
終端用戶的URL請求與Trend Router Provisioning Server( TRPS )關聯 ,根據我們預先設定的策略允許或拒絕用戶的訪問。當用戶鍵入一個網址,服務會進行策略執行查詢。如果策略允許,那么用戶可以繼續向訪問該網站,如果策略禁止,那么用戶就被阻止訪問這個URL地址。
Cisco 過濾選項
白名單:(信任域名單) 設定特定的域名,允許通過路由器,比如設定www.techrepublic.com
黑名單:(非受信域名單) 設定特定的域名,無法通過路由器。設置信息會在路
由器上進行緩存,以便后期檢查。比如www.badsite.com
阻止關鍵字: 設置用于過濾的 URL字符串或關鍵字,比如 *www.parrot.* 或者 *rockbaby* 。這樣的話,一旦URL中出現“rockbaby,” ,路由器將阻止訪問而不需要經過TRPS服務器。緩存最近的請求: 此功能可以保存最近訪問請求的處理策略。因此對于之后用戶每一次請求就沒有必要再讓他們通過TRPS進程。
分組緩沖:此功能可讓你在等待查詢過程完成的過程中存儲網址信息。這是一個強大的功能,可以防止HTTP請求量過大導致路由器超負荷。默認的響應數是200,不過可以進行修改。此功能同樣也適用于第三方過濾器服務器Websense和SmartFilter 。
如何配置 Cisco IOS URL過濾?
要配置 Cisco IOS URL過濾,我們需要深刻了解防火墻規則以及URL過濾原理。當我們在趨勢科技的過濾系統進行注冊后,在Cisco IOS里對Trend Micro URL 過濾服務的設置可以遵循以下步驟:
為本地URL過濾配置 Class Maps
為Trend Micro URL過濾配置 Class Maps
為Trend Micro URL過濾配置 Parameter Maps
配置 URL過濾策略
附加URL過濾策略
有關配置第三方URL過濾所需的 IOS命令以及配置范例,可以參閱Cisco’s Subscription-based IOS Content Filtering 網頁。
總結
通過使用 Cisco IOS 過濾器過濾URL功能,我們可以輕松的將惡意網站屏蔽在企業網絡之外。對于各種類型的企業來說,為了保護企業網絡安全,保持員工工作效率,對于Web內容過濾的需求正在日漸增強。
【編輯推薦】
