用Cisco IOS路由器实现Web内容过滤
如今,过滤网络内容已经不仅仅是企业的可选操作,而是已经成为了法律必须的以及企业为了防止员工犯错所必须采取的行动。在本文中,作者David Davis将向大家解说Cisco IOS 路由器如何通过第三方服务实现Web内容过滤。
为了保护企业网络以及终端用户免受恶意或不良网页内容的入侵,我们可以使用基于订阅的思科IOS内容过滤。这是思科首次将第三方公司如 SmartFilter (之前的N2H2公司)和Websense 提供的服务纳入IOS 12.2(15)T。今年,在IOS12.4 (15) XZ和12.4(20)T中,思科IOS又加入了Trend Micro(趋势)公司的URL过滤服务。
如果想使用上述功能,应该首先确保我们的路由器IOS支持该特性。通过Cisco IOS Feature Navigator,我们可以验证所使用的软件映像是否支持该特性。
当然,除了适当的IOS映像之外,我们必须在这些第三方公司进行服务注册,这样才能获取他们的URL过滤服务。根据趋势科技的向导,我们可以注册路由器以获取Trend Router Provisioning Server( TRPS ) 。更多的信息可以参阅Prerequisites for Cisco Subscription-based IOS Content Filtering。
为什么要依靠URL过滤?
作为网络管理员,我们肯定不想把大量时间用于关注用户浏览的网络内容上。而互联网过滤服务就是针对这种情况提供的方便功能。以前当我部署网页过滤服务的时候,我总是喜欢对提出抱怨的用户说: “这是Web过滤服务,说你的某某网站是不允许访问的。 ”
通过部署URL过滤,我们可以利用第三方公司的服务从终端用户过滤掉恶意或不恰当的互联网流量。除了可以简单的开启或关闭过滤功能外,我们也可以为特定的网站和用户开放这些内容或者站点。
终端用户的URL请求与Trend Router Provisioning Server( TRPS )关联 ,根据我们预先设定的策略允许或拒绝用户的访问。当用户键入一个网址,服务会进行策略执行查询。如果策略允许,那么用户可以继续向访问该网站,如果策略禁止,那么用户就被阻止访问这个URL地址。
Cisco 过滤选项
白名单:(信任域名单) 设定特定的域名,允许通过路由器,比如设定www.techrepublic.com。
黑名单:(非受信域名单) 设定特定的域名,无法通过路由器。设置信息会在路由器上进行缓存,以便后期检查。比如www.badsite.com。
阻止关键字: 设置用于过滤的 URL字符串或关键字,比如 *www.parrot.* 或者 *rockbaby* 。这样的话,一旦URL中出现“rockbaby,” ,路由器将阻止访问而不需要经过TRPS服务器。
缓存最近的请求: 此功能可以保存最近访问请求的处理策略。因此对于之后用户每一次请求就没有必要再让他们通过TRPS进程。
分组缓冲:此功能可让你在等待查询过程完成的过程中存储网址信息。这是一个强大的功能,可以防止HTTP请求量过大导致路由器超负荷。默认的响应数是200,不过可以进行修改。此功能同样也适用于第三方过滤器服务器Websense和SmartFilter 。
如何配置Cisco IOS URL过滤?
要配置 Cisco IOS URL过滤,我们需要深刻了解防火墙规则以及URL过滤原理。当我们在趋势科技的过滤系统进行注册后,在Cisco IOS里对Trend Micro URL 过滤服务的设置可以遵循以下步骤:
为本地URL过滤配置 Class Maps
为Trend Micro URL过滤配置 Class Maps
为Trend Micro URL过滤配置 Parameter Maps
配置 URL过滤策略
附加URL过滤策略
有关配置第三方URL过滤所需的 IOS命令以及配置范例,可以参阅Cisco’s Subscription-based IOS Content Filtering 网页。
总结
通过使用 Cisco IOS 过滤器过滤URL功能,我们可以轻松的将恶意网站屏蔽在企业网络之外。对于各种类型的企业来说,为了保护企业网络安全,保持员工工作效率,对于Web内容过滤的需求正在日渐增强。