Lọc trang web qua iOS

7

Mạng văn phòng của chúng tôi sử dụng bộ định tuyến 1921 / K9 cùng với công tắc SG300 L3 (và một vài công tắc L2 khác) tất cả đều có mô-đun cơ sở. Nếu chúng tôi muốn chặn nhân viên truy cập một số trang web nhất định, cách tốt nhất để làm điều đó với thiết bị hiện tại là gì?

cisco security cisco-isr

— đèn_scaler
nguồn

@WaxTrax có. đã làm điều đó. nhưng cập nhật nó là một nỗi đau. Làm thế nào để một người dễ dàng và tập trung quản lý tất cả các tập tin máy chủ của mọi máy tính trong văn phòng?

— lamp_scaler

2

xây dựng hình ảnh VM linux và chạy proxy mực ... đây là cách "đúng" để lọc lưu lượng truy cập web miễn phí với bộ công cụ hiện có của bạn, nhưng bạn sẽ cần phải làm quen với một số hương vị của * nix. Thêm dansguardian và bạn thậm chí có thể nhận được điểm tuyệt vời từ ông chủ của mình để lọc nội dung tục tĩu.

— Mike Pennington

@MikePennington nơi nào phù hợp với proxy mực trong thiết lập mạng?

— lamp_scaler

Về phía mạng LAN, cùng mạng con với bộ định tuyến WAN của bạn ... hãy kiểm tra Lỗi máy chủ để biết thông tin về cách định cấu hình mực

— Mike Pennington

Không có đề cập đến một tường lửa trong thiết lập. Cisco ASA-X mới với CX AVC và WSE có thể được đưa vào hoạt động.

— generalnetworkerror

7

Bộ lọc của một người nghèo có thể được triển khai bằng cách sử dụng NBAR để khớp với URL bạn muốn chặn và sau đó giảm lưu lượng phù hợp.

Chẳng hạn, nếu bạn muốn chặn google, bạn có thể sử dụng như sau

class-map match-any BlockGoogle
    match protocol http url *.google.*

policy-map BlockGoogle
   class BlockGoogle
       drop

interface gig 0/1
    description WAN Interface
    ip address 4.2.2.1 255.255.255.252
    service-policy output BlockGoogle

Bởi vì đây là một trận đấu - bất kỳ bản đồ lớp nào, bạn chỉ có thể thêm nhiều URL để khớp trong lớp.

Lưu ý: Việc khớp dựa trên URL sẽ cần được thực hiện vào năm 1921, chứ không phải chuyển đổi L2 / 3.

— đá lớn
nguồn

Điều này vẫn hoạt động nếu người dùng thiết lập proxy trong cài đặt trình duyệt web của họ?

— lamp_scaler

Nếu tôi không nhầm, nó sẽ chặn lưu lượng proxy vì nó thường chỉ thực hiện một yêu cầu HTTP tiêu chuẩn đến IP của proxy. Điều này, tuy nhiên, sẽ không chặn đường hầm. Ngoài ra, điều quan trọng cần lưu ý là proxy có nghĩa là nhiều thứ khác nhau. Có những trang web được thiết lập cho phép bạn sử dụng một trình duyệt trong trình duyệt gần như. Điều này sẽ không ngăn chặn điều đó trừ khi bạn có trang web đó bị chặn. Tôi đã hình thành câu trả lời của mình dựa trên câu hỏi của bạn, nhưng nếu bạn muốn có một bộ lọc đầy đủ tính năng hơn thì sử dụng NBAR là / không / cách để đi. Sử dụng một cái gì đó như Websense, IronPort Web Filter, Barracuda, v.v. sẽ là tốt nhất.

— bigmstone

Tôi hiểu rồi. Có thể điều chỉnh cấu hình NBAR này để nó chỉ thực thi cho một số địa chỉ MAC, IP hoặc VLans nhất định không?

— lamp_scaler

Có, nhưng bạn phải xây dựng một bản đồ lớp cho mỗi trang web bạn muốn chặn. Bạn có thể tạo một câu lệnh khớp tất cả match protocol http urlvà sau đó là một câu lệnh khớp với một ACL được tạo để khớp với máy chủ của bạn. Nếu nó dựa trên Vlan thì bạn có thể áp dụng chính sách dịch vụ ban đầu cho giao diện phụ trên bộ định tuyến mà lưu lượng truy cập từ đó.

— bigmstone

5

Làm việc với Đối tác Cisco hoặc Cisco SE của bạn khi sử dụng giải pháp ScanSafe được tích hợp trong iOS:

http://www.cisco.com/en/US/prod/collonymous/vpndevc/ps6525/ps6538/ps6540/data_sheet_c78-655324.html

— Łukasz Bromirski
nguồn

Thật không thể tin được, tôi không biết về giải pháp ScanSafe của Cisco ... đây là một lựa chọn tuyệt vời cho các Văn phòng chi nhánh. Học điều mới mỗi ngày!

— infinisource

2

Theo kinh nghiệm của tôi, những gì tôi đã làm là thế này:

1) Thiết lập phiên SPAN trên L3 Switch và gửi lưu lượng đến một cổng đích sẽ thực hiện giám sát. 2) Định cấu hình Websense để giám sát lưu lượng truy cập trang web bằng cách thiết lập các chính sách cho những gì được và không được phép.

Tôi biết rằng có lẽ không chính xác những gì bạn đang tìm kiếm, nhưng đó là những điều cơ bản trong một tóm tắt. Chỉ cần có bộ chuyển đổi Bộ định tuyến và L3 không cho phép bạn giám sát / chặn lưu lượng truy cập trang web. Ngoài ra còn có các sản phẩm khác ngoài Websense như Dansguardian sẽ thực hiện mánh khóe nhưng Websense có lẽ là dễ cài đặt nhất nhưng cũng là một trong những yêu cầu đắt nhất về cấp phép và phần cứng.

Điều bạn cũng phải cân nhắc khi theo dõi lưu lượng truy cập trang web là kích thước của mạng của bạn. Nếu bạn đang theo dõi hơn 200 khách hàng, tôi sẽ không đề xuất bất cứ điều gì ngoài hộp Quadon Xeon với Dual Gigabit Link và 8GB RAM ở mức tối thiểu. Định cỡ là rất quan trọng khi quyết định giám sát lưu lượng vì hộp theo dõi có khả năng gây nghẹt lưu lượng ra bên ngoài đủ để người cao cấp quyết định lấy hộp ra khỏi mạng cho bạn.

Đó là kinh nghiệm của tôi khi theo dõi lưu lượng truy cập trang web, suy nghĩ của bạn là gì?

— nguồn tin
nguồn

1

Một cách khác là chặn các URL, tương tự như khái niệm với tệp HOSTS, tại máy chủ DNS (giả sử bạn đang chạy máy chủ DNS của riêng mình).

Ví dụ: nếu IOS đang chạy máy chủ DNS, bạn có thể thêm:

Bộ định tuyến (cấu hình) # ip máy chủ facebook.com 127.0.0.1

Hoặc bạn có thể thay thế 127.0.0.1 bằng IP của một máy chủ web đơn giản bằng một trang liệt kê danh sách các trang web bị cấm và tại sao.

— WaxTrax
nguồn

Tôi có thể sử dụng cú pháp này: * .facebook.com để hạn chế tất cả tên miền phụ không?

— lamp_scaler