Network/Security

IOS Firewall (2) URL Filtering

billy0529 2014. 7. 25. 15:57
728x90

<>URL Filtering



말그대로 특정 URL 주소를 필터링하는 정책을 말한다.

IOS 기반의 URL 필터링은 프록시나 기타 우회접속은 차단할수 없다. 따라서 보다 본격적인 URL  필터링을 구현

하기 위해서는 전문 시스코 방화벽 장비나 PaloAlto 등의 차세대 방화벽을 사용하는것이 권장된다. 




1. Filter Server (CBAC)



   Websense 등의 URL 필터 서버를 이용해 조회하고 이를 허용하거나 차단한다.



   (1) CBAC 에서 http urlfter 항목을 설정한다.

   (2) websense 로 필터링할 URL을 조회하도록 하고 서버주소를 명시한다.

   (3) exclusive-domain 명령은 서버의 조회 없이 임시로 필터링을 할수 있도록 지원하며, 12시간후 혹은 10분간 도메인과

       통신이 없을경우 삭제된다. 네이버를 차단했다.

   (4) 구글을 허용하였다.

   (5) CBAC를 인터페이스에 적용한다.




2. Policy Map URL Filtering



  MQC를 이용해 사용자 IP별로 시간대별로 필터링하며, 도메인명을 정규 표현법을 사용하여 지정할수있다.

  세세한 설정이 가능하다. 



   위 예제는 특정 사용자 IP에 대해 URL 필터를 적용한 예이다.


   (1) URL 필터링을 적용할 IP대역을 ACL로 만들때, 192.168.0.100 IP 이용자는 필터링에서 제외되도록 한다. (관리자등)

   (2) 위에서 허용한 IP를 제외한 192.168.0.0/24 대역에서 모두 필터링 되도록 설정한다. 대상들이 모두 사설IP를 이용한

        다고 가정하였다. 이는 실무에서 요긴하게 사용될수 있다. (ACL에 timerange 명령을 함께 적용하여 특정 사무실인원들이

        업무시간에 포털사이트를 이용하지 못하도록 한다든지)

   (3) forbidden, adult, secret 키워드가 포함된 URL을 정규표현법에 따라 클래스맵에 지정하였다 

   (4) 필터링정책을 적용할 네트워크 대역 ACL을 불러온다, 그리고 클래스맵을 폴리시맵에 적용한다. 

   (5) drop 명령을 사용해 불러온 클래스맵의 조건에 맞을경우 패킷이 드랍되면서 해당 URL에 대해 접근이 불가능해진다.

   (6) 외부에서 내부로 들어오는 포트에 input으로 설정했다. 이는 각 보안정책에 맞게 변경한다.


'Network > Security' 카테고리의 다른 글

NAT (1)  (0) 2014.08.03
IOS Firewall (3) ZFW  (0) 2014.07.25
IOS Firewall (1) CBAC  (0) 2014.07.25
ACL (6) DACL  (0) 2014.07.25
ACL (5) RACL  (0) 2014.07.24