ルータ : Cisco 3800 シリーズ サービス統合型ルータ

SDM: Cisco IOS ルータ URL フィルタリングの設定例

2016 年 3 月 19 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2012 年 12 月 18 日) | 英語版 (2016 年 2 月 29 日) | フィードバック


目次


概要

このドキュメントでは、Cisco IOS ルータで URL フィルタリングを設定する方法を示します。 URL フィルタリングによって Cisco IOS ルータを経由するトラフィックを綿密に制御することができます。 URL フィルタリングは、Cisco IOS のバージョン 12.2(11)YU 以降でサポートされています。

注: URL フィルタリングは CPU への負荷が高いので、外部のフィルタリング サーバを使用して他のトラフィックに影響が生じないようにしてください。 外部フィルタリング サーバを使用してトラフィックをフィルタリングしている場合でも、ネットワークの速度および URL フィルタリング サーバのキャパシティによっては、最初の接続に必要な時間が著しく長くなる場合もあります。

前提条件

ファイアウォール Websense URL フィルタリングの制限事項

Websense サーバの要件: この機能を有効に するために、少なくとも 1 つの Websenseサーバがなければなりません; 、しかし 2つ以上の Websenseサーバは好まれます。 保持可能な Websense サーバの数は無制限で、必要なだけサーバを設定できますが、常時アクティブにできるのは 1 つのサーバ、つまりプライマリ サーバだけです。 URL ルックアップ要求はプライマリ サーバのみに送信されます。

URL フィルタリングのサポートの制限事項: この機能は、一度に 1 つの URL フィルタリング方式しかサポートしません (Websense URL フィルタリングを有効にする前に、必ず、別の URL フィルタリング方式(N2H2 など)が設定されていないことを確認してください)。

ユーザ名の制限事項: この機能は、ユーザ名とグループ情報を Websense サーバに渡しませんが、Websense サーバは、ユーザ名を IP アドレスに対応付けることができる別のメカニズムを保持しているため、ユーザベースのポリシーに従って動作することができます。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco IOS が付いている Cisco 2801 ルータか。 ソフトウェア リリース 12.4(15)T

  • Cisco Security Device Manager(SDM)バージョン 2.5

注: ルータを SDM で設定できるようにするには、『SDM を使用した基本的なルータ設定』を参照してください。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

ファイアウォール Websense URL フィルタリング機能によって、Cisco IOS ファイアウォール(Cisco Secure Integrated Software(CSIS)としても知られる)は Websense URL フィルタリング ソフトウェアとやり取りできるようになります。 これを使用して、いくつかのポリシーに基づいて、指定した Web サイトへのユーザ アクセスを阻止することができます。 Cisco IOS ファイアウォールは Websense サーバと連動し、特定の URL に対する許可または拒否(ブロック)を判断します。

CLI によるルータの設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/110318/ciscoiosurlfiltering-0.gif

この例では、URL フィルタリング サーバが内部ネットワークに配置されています。 ネットワーク内部のエンドユーザは、インターネット経由でネットワーク外部にある Web サーバへのアクセスを試みます。

Web サーバへのユーザ要求時には以下の手順が完了されます。

  1. エンド ユーザが Web サーバ上のページを参照すると、ブラウザが HTTP 要求を送信します。

  2. Cisco IOS ファイアウォールは、この要求を受信した後、その要求を Web サーバへ転送します。 それと同時に URL を抽出し、ルックアップ要求を URL フィルタリング サーバへ送信します。

  3. URL フィルタリング サーバがルックアップ要求を受信し、データベースを調べて URL を許可または拒否するのかを決定します。 それは Cisco IOS へのルックアップ応答の割り当てまたは拒否ステータスを返しますか。 ファイアウォール。

  4. Cisco IOS か。 ファイアウォールはこのルックアップ応答を受け取り、これらの機能の 1 つを行います:

    • ルックアップ応答により URL が許可される場合は、HTTP 応答をエンド ユーザに送信します。

    • ルックアップ応答により URL が拒否される場合は、URL フィルタリング サーバがユーザを専用の内部 Web サーバへリダイレクトします。このサーバは URL がブロックされたカテゴリを示すメッセージを表示します。 その後、接続は両端でリセットされます。

フィルタリング サーバの識別

フィルタリング サーバのアドレスを識別する必要があります。識別するには、ip urlfilter server vendor コマンドを使用します。 このコマンドは、使用するフィルタリング サーバのタイプに応じて適切な形式で使用する必要があります。

注: 設定できるサーバは、1 種類だけです(Websense または N2H2)。

Websense

Websense はサードパーティ製のフィルタリング ソフトウェアで、次のポリシーに基づいて HTTP 要求をフィルタリングできます。

  • 宛先ホスト名

  • 宛先 IP アドレス

  • キーワード

  • ユーザ名

このソフトウェアの URL データベースには、2000 万以上のサイトを 60 以上のカテゴリおよびサブカテゴリに分類して保存できます。

ip urlfilter server vendor コマンドでは、N2H2 または Websense URL フィルタリング アプリケーションを実行しているサーバを指定します。 URL フィルタリングのベンダー サーバを設定するには、グローバル コンフィギュレーション モードで ip urlfilter server vendor コマンドを使用します。 コンフィギュレーションからサーバを削除するには、このコマンドの no 形式を使用します。 以下は、ip urlfilter server vendor コマンドの構文です。

hostname(config)# ip urlfilter server vendor 
   {websense | n2h2} ip-address [port port-number] 
[timeout seconds] [retransmit number] [outside] [vrf vrf-name] 

ip-address は、Websense サーバの IP アドレスで置き換えます。 seconds は、IOS ファイアウォールがフィルタリング サーバへの接続試行を継続しなければならない秒数で置き換えます。

たとえば、URL フィルタリング用に単一の Websense フィルタリング サーバを設定するには、以下のコマンドを実行します。

hostname(config)#
   ip urlfilter server vendor websense 192.168.15.15

フィルタリング ポリシーの設定

注: URL フィルタリングを有効にする前に、URL フィルタリング サーバを指定し、有効にする必要があります。

長い HTTP URL の切り捨て

URL フィルタに、サーバへの長い URL の切り捨てを許可するには、グローバル コンフィギュレーション モードで ip urlfilter truncate コマンドを使用します。 切り捨てオプションを無効にするには、このコマンドの no 形式を使用します。 このコマンドは、Cisco IOS バージョン 12.4(6)T 以降でサポートされます。

ip urlfilter truncate {script-parameters | hostname} がこのコマンドの構文です。

script-parameters: スクリプト オプションを選択すると URL のみが送信されます。 たとえば、URL 全体が http://www.cisco.com/dev/xxx.cgi?when=now の場合、URL の一部の http://www.cisco.com/dev/xxx.cgi のみが送信されます(サポートされる URL の最大長を超えている場合)。

Hostname: ホスト名のみが送信されます。 たとえば、URL 全体が http://www.cisco.com/dev/xxx.cgi?when=now の場合は、http://www.cisco.com のみが送信されます。

script-parameters と hostname の両方のキーワードを設定した場合は、script-parameters キーワードのほうが hostname キーワードより優先されます。 両方のキーワードが設定され、スクリプト パラメータの URL が切り捨てられても、サポートされる URL の最大長を超えている場合は、URL はホスト名に切り捨てられます。

注: script-parameters と hostname の両方のキーワードを設定する場合は、以下に示すように、個別の行にする必要があります。 1 行に組み合わせることはできません。

注:  ip urlfilter truncate script-parameters

注:  ip urlfilter truncate hostname

Cisco IOS バージョン 12.4 を実行するルータの設定

以下のコンフィギュレーションには、このドキュメントで説明しているコマンドが含まれています。

Cisco IOS バージョン 12.4 を実行するルータの設定
R3#show running-config
: Saved
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname R3
!
!

!--- 

username cisco123 privilege 15 password 
   7 104D000A061843595F
!
aaa session-id common
ip subnet-zero
!
!
ip cef
!
!
ip ips sdf location flash://128MB.sdf
ip ips notify SDEE
ip ips po max-events 100


!--- use the ip inspect name 
   command in global configuration 
mode to define a set of inspection rules. 
   This Turns on HTTP inspection. 
   The urlfilter keyword 
associates URL filtering with HTTP inspection. 

ip inspect name test http urlfilter



!--- use the ip urlfilter allow-mode 
   command in global configuration 
mode to turn on the default mode (allow mode) 
   of the filtering algorithm.

ip urlfilter allow-mode on



!--- use the ip urlfilter exclusive-domain 
   command in global 
configuration mode to add or remove 
   a domain name to or 
   from the exclusive domain list so 
that the firewall does not have to send 
   lookup requests to the vendor server. 
   Here we have 
configured the IOS firewall to permit the URL 
   www.cisco.com without sending any lookup 
requests to the vendor server.

ip urlfilter exclusive-domain permit www.cisco.com



!--- use the ip urlfilter audit-trail 
   command in 
global configuration mode to log messages into 
   the syslog server or router.

ip urlfilter audit-trail



!--- use the ip urlfilter urlf-server-log 
   command in 
global configuration mode to enable the logging of 
system messages on the URL filtering server.

ip urlfilter urlf-server-log



!--- use the ip urlfilter server vendor command 
   in global configuration mode 
to configure a vendor server for URL filtering. 
   Here we have configured a websense server 
for URL filtering

ip urlfilter server vendor websense 192.168.15.15
no ftp-server write-enable
!
!

!--- Below is the basic interface configuration 
  on the router

interface FastEthernet0
 ip address 192.168.5.10 255.255.255.0
 ip virtual-reassembly
 
!--- use the ip inspect command in interface 
   configuration mode 
to apply a set of inspection rules to an interface. 
   Here the inspection name TEST is 
applied to the interface FastEthernet0.

 ip inspect test in 
 duplex auto
 speed auto
!
interface FastEthernet1
 ip address 192.168.15.1 255.255.255.0
 ip virtual-reassembly
 duplex auto 
 speed auto
!
interface FastEthernet2
 ip address 10.77.241.109 255.255.255.192
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface FastEthernet2
 no ip address
!

interface Vlan1
 ip address 10.77.241.111 255.255.255.192
 ip virtual-reassembly
!
ip classless
ip route 10.10.10.0 255.255.255.0 172.17.1.2
ip route 10.77.0.0 255.255.0.0 10.77.241.65
!
!

!--- Configure the below commands to enable 
   SDM access to the cisco routers

ip http server
ip http authentication local
no ip http secure-server
!
!
line con 0
line aux 0
line vty 0 4
 privilege level 15
 transport input telnet ssh
!
end

ルータへの SDM の設定

ルータ SDM の設定

次のステップを実行して、Cisco IOS ルータに URL フィルタリングを設定します。

注: URL フィルタリングと SDM を設定するには、グローバル コンフィギュレーション モードで ip inspect name コマンドを使用して、一連のインスペクション ルールを定義します。 これにより、HTTP インスペクションが有効になります。 urlfilter キーワードによって URL フィルタリングと HTTP インスペクションが関連付けられます。 その後、設定されたインスペクション名は、たとえば、フィルタリングを実行しりインターフェイスにマッピングされます。

hostname(config)#ip inspect 
   name test http urlfilter
  1. ブラウザを開き、https://<SDM にアクセスするように設定されたルータのインターフェイスの IP アドレス> と入力して、ルータ上の SDM にアクセスします。

    SSL 証明書の信憑性に関連してブラウザから出力されるすべての警告を認可します。 デフォルトのユーザ名とパスワードは、両方とも空白です。

    ルータがこのウィンドウを表示するのは、SDM アプリケーションのダウンロードを許可するためです。 次の例の場合、アプリケーションはローカル コンピュータにロードされ、Java アプレットでは動作しません。

    ciscoiosurlfiltering-1.gif

  2. SDM のダウンロードが開始されます。 SDM Launcher がダウンロードされたら、ソフトウェアをインストールし、Cisco SDM Launcher を実行するために、プロンプトに従って一連の手順を完了します。

  3. ユーザ名パスワードを、指定してある場合は入力し、[OK] をクリックします。

    次の例では、ユーザ名として cisco123、パスワードとして cisco123 を使用しています。

    /image/gif/paws/110318/ciscoiosurlfiltering-2.gif

  4. SDM ホームページで、[Configuration] -> [Additional Tasks] を選択し、[URL Filtering] をクリックします。 その後、以下に示すように、[Edit Global Settings] をクリックします。

    /image/gif/paws/110318/ciscoiosurlfiltering-3.gif

  5. 表示された新しいウィンドウで、Allow-Mode、URL Filter Alert、Audit-Trial、および URL Filtering Server Log などの URL フィルタリングに必要なパラメータを有効にします。 以下に示すように、各パラメータの横にあるチェックボックスをオンにします。 ここで、キャッシュ サイズHTTP バッファに関する情報を入力します。 また URL フィルタがサーバに長い URL を切捨てるように示されているように Advanced セクションの下でソースインターフェイスおよび URL 先端を切った様な方式を提供して下さい。(ここに切り捨てパラメータはホスト名として選択されます。) ここで、[OK] をクリックします。

    ciscoiosurlfiltering-4.gif

  6. 次に、[URL Filtering] タブの下にある [Local URL List] オプションを選択します。 ドメイン名を追加するため [追加] をクリックし、追加されたドメイン名を許可または拒否するようにファイアウォールを設定します。 また、必要な URL のリストがファイルとして存在する場合は、[Import URL List] オプションを選択できます。 URL リストの要件と可用性に基づいて、[Add URL] または [Import URL List] オプションのいずれかを選択します。

    /image/gif/paws/110318/ciscoiosurlfiltering-5.gif

  7. この例では、[追加] をクリックして URL を追加し、必要に応じて、URL を許可または拒否するように IOS ファイアウォールを設定します。 ここで、[ADD Local URL] というタイトルの新しいウィンドウが開きます。このウィンドウではドメイン名を入力し、URL を許可または拒否するかどうかを決定する必要があります。 示されるように、[Permit] または [Deny] オプションの横にあるオプション ボタンをクリックします。 ここでは、ドメイン名は www.cisco.com で、ユーザは URL www.cisco.com許可しています。 同様の方法で、[追加] をクリックして、必要な数の URL を追加し、要件に応じてそれらの URL を許可または拒否するようにファイアウォールを設定します。

    /image/gif/paws/110318/ciscoiosurlfiltering-6.gif

  8. 以下に示すように、[URL Filtering] タブにある [URL Filter Servers] オプションを選択します。 [追加] をクリックして、URL フィルタリング機能を実行する URL フィルタリング サーバの名前を追加します。

    /image/gif/paws/110318/ciscoiosurlfiltering-7.gif

  9. この例では Websense フィルタリング サーバが使用されているため、以下に示すように、[追加] をクリックした後、フィルタリング サーバを Websense として選択します。

    ciscoiosurlfiltering-8.gif

  10. この [Add Websense Server] ウィンドウで、Websense サーバの IP アドレスを [IP address] に、フィルタが作用する方向を [Direction] に、ポート番号を [Port Number] (Websense サーバのデフォルトのポート番号は 15868)に指定します。 また、示されるように、[Retransmission Count] と [Retransmission Timeout] 値も入力します。 [OK] をクリックします。これで、URL フィルタリングの設定は完了です。

    /image/gif/paws/110318/ciscoiosurlfiltering-9.gif

検証

URL フィルタリングの情報を表示するために、このセクションで取り上げるコマンドを使用できます。 これらのコマンドを使用して設定を検証できます。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

  • show ip urlfilter statistics:フィルタリング サーバに関する情報と統計を示します。

    次に、例を示します。

    Router# show ip urlfilter statistics
    URL filtering statistics
    ================
    Current requests count:25
    Current packet buffer count(in use):40
    Current cache entry count:3100
    Maxever request count:526
    Maxever packet buffer count:120
    Maxever cache entry count:5000
    Total requests sent to 
       URL Filter Server: 44765
    Total responses received from 
       URL Filter Server: 44550
    Total requests allowed: 44320
    Total requests blocked: 224
    
  • show ip urlfilter cache:特権 EXEC モードで show ip urlfilter cache コマンドを使用した場合のキャッシュ テーブルにキャッシュ可能な最大エントリ数、現在のエントリ数、キャッシュ テーブルにキャッシュされている宛先 IP アドレスを表示します。

  • show ip urlfilter filter config:フィルタリングの設定を表示します。

    次に、例を示します。

    hostname#show ip urlfilter config
    
    URL filter is ENABLED
    Primary Websense server configurations
    ======================================
    Websense server IP address Or Host Name: 
       192.168.15.15
    Websense server port: 15868
    Websense retransmission time out: 
       6 (in seconds)
    Websense number of retransmission: 2
    
    Secondary Websense servers configurations
    =========================================
    None
    
    Other configurations
    =====================
    Allow Mode: ON
    System Alert: ENABLED
    Audit Trail: ENABLED
    Log message on Websense server: ENABLED
    Maximum number of cache entries: 5000
    Maximum number of packet buffers: 200
    Maximum outstanding requests: 1000
    
    

トラブルシューティング

エラー メッセージ

%URLF-3-SERVER_DOWN: Connection to the URL filter server 10.92.0.9 is down:このレベル 3 の LOG_ERR タイプのメッセージは、設定した UFS がダウンしたときに表示されます。 これが発生した場合、ファイアウォールは設定したサーバをセカンダリとしてマークし、他のセカンダリ サーバのいずれかを起動しプライマリ サーバとしてマークしようと試みます。 設定されている他のサーバがない場合は、ファイアウォールは許可モードに切り替わり、URLF-3-ALLOW_MODE メッセージを表示します。

%URLF-3-ALLOW_MODE: すべての URL フィルタ サーバへの接続はダウンし、すべての UFS がダウンしている、システムは割り当てモードを開始しますとき割り当てモードは以外のこの LOG_ERR 型メッセージ表示であり

注: システムが許可モードに切り替わると(すべてのフィルタ サーバがダウン)、定期的にキープアライブ タイマーがトリガーされ、TCP 接続を開いてサーバを起動しようと試みます。

%URLF-5-SERVER_UP: Connection to an URL filter server 10.92.0.9 is made; the system is returning from ALLOW MODE:この LOG_NOTICE タイプのメッセージは、UFS がアップしたことが検出され、システムが許可モードから復帰した場合に表示されます。

%URLF-4-URL_TOO_LONG:URL too long (more than 3072 bytes), possibly a fake packet? :この LOG_WARNING タイプのメッセージは、ルックアップ要求内の URL が長すぎる場合に表示されます。 3K より長い URL はドロップされます。

%URLF-4-MAX_REQ: The number of pending request exceeds the maximum limit <1000>:この LOG_WARNING タイプのメッセージは、システム内で保留中の要求の数が最大制限を超えた場合に表示されます。それ以降の要求はすべてドロップされます。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 110318