Filtrado de URL mediante zonas

Una de las nuevas opciones de la IOS Cisco de seguridad, concretamente a partir de la 12.4 20T es la posibilidad de realizar un filtrado de URL si necesidad de disponer de un servidor de websense o n2h2 externo, sino configurándolas directamente en el router de forma local.

Para ello necesitamos configurar nuestro router habilitando el firewall basado en zonas (ZBF).

Aqui teneis un ejemplo:



Definimos los patrones de las URL bloqueadas y permitidas:

parameter-map type urlf-glob Facebook
pattern facebook.com
pattern *.facebook.com
pattern *.fb.com

parameter-map type urlf-glob Youtube
pattern youtube.com
pattern *.youtube.com

 parameter-map type urlf-glob InternetAllowed

pattern *

Definimos las clases con los patrones de URL anteriores, nose pude aplicaar un patron a una policy de forma directa:

class-map type urlfilter match-any VideoSites

match  server-domain urlf-glob Youtube

 class-map type urlfilter match-any SocialNetwork

match  server-domain urlf-glob Facebook

 class-map type urlfilter match-any InternetAllowed

match  server-domain urlf-glob InternetAllowed

Creamos las policy asociadas a la clase y ponemos la acción a las mismas:

policy-map type inspect urlfilter URLFILTER

class type urlfilter SocialNetwork
  reset
  log
class type urlfilter VideoSites
  reset
  log
class type urlfilter InternetAllowed
  allow
  log

Configuramos la regla de inspeccion de la capa 7 con filtrado URL

policy-map type inspect IN_2_OUT

class type inspect HTTPTRAFFIC
inspect
service-policy urlfilter URLFILTER

y este es el resultado cuando navegan por paginas no permitidas