Skip to content
Site Tools
Narrow screen resolution Wide screen resolution Auto adjust screen size Increase font size Decrease font size Default font size default color blue color green color
Konumun : Anasayfa arrow Çözümler arrow Cisco Çözümleri arrow Cisco IOS Firewall ile URL Filtering
Haberler
  • Previous
  • Next
/
 
Cisco IOS Firewall ile URL Filtering Yazdır

Yazan: Hayrullah Kolukisaoglu, Tarih: 27-11-2007 23:40

Okunma Sayısı : 609    

Beğenilme : 1
ImageMerhaba arkadaşlar. Bu yazıda Firewall kullanmayan ve Cisco Router ile internet erişimi sağlayan arkadaşlara faydalı olacağını düşündüğüm, IOS ile URL filtreleme üzerinde duracağım. Gerçekten çok basit bir konfigürasyon ile Cisco Routerlar üzerinde URL filtreleme işlemleri yapılabilmektedir.

 

Bunun için öncelikle CBAC'in nasıl çalıştığı hakkında bilgi sahibi olunmalıdır. Bunun için Cisco IOS Firewall makalesinden faydalanabilirsiniz. Burada ben çok kısa olarak değineceğim.

 CBAC ile biz incelemek istediğimiz protokolü ve bu protokolün hangi interface’de hangi yönde (in | out) inceleneceğini belirleriz. Sadece belirli bir grup protokol CBAC tarafında incelenebilir. Router’ımıza gelen ve bizim CBAC ile incelenmesini istediğimiz paketler, inbound bir access-list uygulanmışsa, sadece bu access-listi geçtikten sonra incelenirler. Yani Router önce access-list’i sonra CBAC ile tanımlanmış rule’ları inceler.

CBAC 

 

 

Örneğin şekilde bilgisayarımızdan internetteki farklı serverlara gönderilmiş TCP ve UDP istekleri var. Burada Router üzerinde ya geri dönüş trafiğine access-list’ler ile statik olarak izin vermeliyiz ya da dinamik bir çözüm bulmalıyız.

CBAC inside interface’imizden Router’a gelen paketleri, eğer statik bir access-list tarafından bloklanmamışlarsa, inceler ve bu paketlere cevap olarak dönecek paketlere izin veren geçici access listleri dinamik olarak oluşturur. Yani CBAC dışarıdan içeriye gelen TCP veya UDP trafiğinine sadece oturum iç networkümüzden başlatılmışsa izin verir, bunun dışında ki paketlere izin vermez.

 CBAC komut satırından kısaca aşağıdaki gibi konfigüre edilebilir;

Önce CBAC için rule’lar oluşturulur ve sonra interface altında bu rule’ ların çalıştırılması sağlanır.

Router(config)#ip inspect name inspection-name protocol

Router(config)#interface interface
Router(config-if)# ip inspect inspection-name in|out

URL Filtering için de  öncelikle CBAC'in  etkin hale getirilmesi gerekmektedir.. Burada oluşturulacak rule'lardan HTTP Rule'u için URLFilter  keyword'ü aşağıdaki gibi girilebilir.

 

HTTP URLFILTER 

 

Daha sonra yapılacak işlem "ip urlfilter allow-mode on"  komutu ile defaul olarak bütün url'lere izin vermek olacaktır. Defaul olarak "off" durumda olan durum bu komut ile düzenlendikten sonra hangi domainler için "deny" kuralı uygulanacağını belirleyebiliriz.  

"ip urlfilter exclusive-domain deny www.xxx.com"

 Ben örnek uygulamamda bana ait olan www.networkerfactory.com adlı siteyi yasakladım.

 Deny Url

 

Inside interface'de bu rule aşağıdaki gibi tanımlanabilir.

Interface Configuration 

 

Outside interface'e uygulanacak bir ACL  ile bütün paketler yasaklanmıştır. Bu durumda sadece "ip inspect" ile izin verilen kuralla geçerli olacaktır.

 

 

Bu konfigürasyonun sonunda ilgili siteye erişmek istediğimde aşağıdaki gibi bir mesajla karşılaştım.

 Forbidden Mesajı

Command Line Interface'ile konfigürasyon monitor edilebilir.

CLI 

 İlgili Diğer Makaleler

Cisco IOS Firewall - Authentication Proxy

Cisco SDM ile IOS Firewall Konfigürasyonu 

Cisco IOS ile Paket Filtreleme 1

Cisco IOS ile Paket Filtreleme 2

Cisco IOS ile Paket Filtreleme 3 

    
Bu yazıyı sitenizde alıntılayın
Favori Makalelerime Ekle
Arkadaşıma Gönder

Okuyucu yorumları  RSS feed Yorum
 

Ortalama Üye Değerlendirmesi

   (0 Oylama)

  

Yorum Sayısı: 1 / 1

[+] Göster

teşekkürler

Yazan:: Korhan () Tarih: 05-02-2008 23:49

[-] Gizle

teşekkürler

Yazan:: Korhan Tarih: 05-02-2008 23:49

hocam mükemmel olmuş emeğine sağlık 
teşekkürler :)

 

» Yorumu cevapla...

Yorum Sayısı: 1 / 1



Yorumunuzu ekleyin
[-] Yorum Formunu gizle
Sadece kayitli kullanicilar bir Makaleyi yorumlayabilir. Lütfen ücretsiz üye olun veya giriş yapın.


mXcomment 1.0.5 © 2007-2008 - visualclinic.fr
License Creative Commons - Some rights reserved
 
Yazar Adı: Hayrullah Kolukisaoglu
Mail Adresi: Bu mail adresi spam botlara karşı korumalıdır, görebilmek için Javascript açık olmalıdır
Unvanı: Bölüm Editörü
Online Destek:Evet
Hayrullah Kolukisaoglu 1978 Giresun dogumluyum. Ilk orta ve liseyi Giresun’da tamamladim. 1996 – 2000 yillari arasinda devam ettigim Sakarya üniversitesi Elektrik – Elektronik Mühendisligi bölümünden zorla da olsa 2000 yilinda mezun oldum. MCSA, CCNP, CCSI#31839 sertifikalarina sahibim. Sertifikalar disinda agirlikli olarak Security, Qos gibi konular ile ilgileniyorum. Halen Netron Bilisim Akademisinde Network ve Bilgi Güvenliği Eğitimleri Ürün Müdürü olarak çalışmaktayım.

Yazarımızın toplam 40 makalesi bulunmaktadır.

Diğer makalelerini görmek için tıklayınız.

< Önceki
[ Geri ]
 

Live Help

Ana Menü

Anasayfa
Makaleler
Çözümler
Ipuçlari(KB)
Forum
Haberler
Yazarlar
Download
Genel

Siteye Giris






Kayıp Parola?
Hesabınız yok mu? Kayıt Ol

Oylama

Siteden En Cok Faydalandığınız Alan Hangisi ?
 

Site Istatistikleri

Üyeler: 1269
Haberler: 253
Web Bağlantıları: 7
Ziyaretçiler: 661293

Kim Bagli

Şuanda 9 misafir ve 2 üye bağlı
  • samba
  • fatihtan81

Desteklenen Okuyucular