ルータ : Cisco 3800 シリーズ サービス統合型ルータ

SDM:Cisco IOS ルータ URL フィルタリングの設定例

2012 年 12 月 18 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2009 年 5 月 15 日) | フィードバック

SDM:Cisco IOS ルータ URL フィルタリングの設定例

概要

このドキュメントでは、Cisco IOS ルータで URL フィルタリングを設定する方法を示します。URL フィルタリングによって Cisco IOS ルータを経由するトラフィックを綿密に制御することができます。URL フィルタリングは、Cisco IOS のバージョン 12.2(11)YU 以降でサポートされています。

注:URL フィルタリングは CPU を集中的に使用するため、外部フィルタリング サーバを使用して、他のトラフィックのスループットに影響が及ばないように確保します。外部フィルタリング サーバを使用してトラフィックをフィルタリングしている場合でも、ネットワークの速度および URL フィルタリング サーバのキャパシティによっては、最初の接続に必要な時間が著しく長くなる場合もあります。

前提条件

ファイアウォール Websense URL フィルタリングの制限事項

Websense サーバの要件:この機能を有効にするには、少なくとも 1 つ以上の Websense サーバを配備する必要があります。ただし、2 つ以上の Websense サーバを使用することを推奨します。保持可能な Websense サーバの数は無制限で、必要なだけサーバを設定できますが、常時アクティブにできるのは 1 つのサーバ、つまりプライマリ サーバだけです。URL ルックアップ要求はプライマリ サーバのみに送信されます。

URL フィルタリングのサポートの制限事項:この機能は、一度に 1 つの URL フィルタリング方式しかサポートしません(Websense URL フィルタリングを有効にする前に、必ず、別の URL フィルタリング方式(N2H2 など)が設定されていないことを確認してください)。

ユーザ名の制限事項:この機能は、ユーザ名とグループ情報を Websense サーバに渡しませんが、Websense サーバは、ユーザ名を IP アドレスに対応付けることができる別のメカニズムを保持しているため、ユーザベースのポリシーに従って動作することができます。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco 2801 ルータ(Cisco IOS® Software Release 12.4(15)T 搭載)

  • Cisco Security Device Manager(SDM)バージョン 2.5

注:ルータを SDM で設定できるようにするには、『SDM を使用した基本的なルータ設定』を参照してください。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用されるデバイスはすべて、初期設定(デフォルト)の状態から作業を開始しています。ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

ファイアウォール Websense URL フィルタリング機能によって、Cisco IOS ファイアウォール(Cisco Secure Integrated Software(CSIS)としても知られる)は Websense URL フィルタリング ソフトウェアとやり取りできるようになります。これを使用して、いくつかのポリシーに基づいて、指定した Web サイトへのユーザ アクセスを阻止することができます。Cisco IOS ファイアウォールは Websense サーバと連動し、特定の URL に対する許可または拒否(ブロック)を判断します。

CLI によるルータの設定

このセクションでは、このドキュメントで説明する機能の設定に必要な情報を提供します。

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

ciscoiosurlfiltering-0.gif

この例では、URL フィルタリング サーバが内部ネットワークに配置されています。ネットワーク内部のエンドユーザは、インターネット経由でネットワーク外部にある Web サーバへのアクセスを試みます。

Web サーバへのユーザ要求時には以下の手順が完了されます。

  1. エンド ユーザが Web サーバ上のページを参照すると、ブラウザが HTTP 要求を送信します。

  2. Cisco IOS ファイアウォールは、この要求を受信した後、その要求を Web サーバへ転送します。それと同時に URL を抽出し、ルックアップ要求を URL フィルタリング サーバへ送信します。

  3. URL フィルタリング サーバは、ルックアップ要求を受信した後、URL を許可するか、または拒否するかを決定するためにデータベースをチェックします。その後、ルックアップ応答とともに許可または拒否ステータスを Cisco IOS® ファイアウォールに返します。

  4. Cisco IOS® ファイアウォールはこのルックアップ応答を受信し、次の機能のいずれかを実行します。

    • ルックアップ応答により URL が許可される場合は、HTTP 応答をエンド ユーザに送信します。

    • ルックアップ応答により URL が拒否される場合は、URL フィルタリング サーバがユーザを専用の内部 Web サーバへリダイレクトします。このサーバは URL がブロックされたカテゴリを示すメッセージを表示します。その後、接続は両端でリセットされます。

フィルタリング サーバの識別

フィルタリング サーバのアドレスを識別する必要があります。識別するには、ip urlfilter server vendor コマンドを使用します。このコマンドは、仕様するフィルタリング サーバのタイプに基づいて適切な形式で使用する必要があります。

注:コンフィギュレーションに指定できるサーバは、1 つのタイプ(Websense または N2H2)だけです。

Websense

Websense は、次のポリシーに基づいて HTTP 要求をフィルタできるサードパーティ製のフィルタリング アプリケーションです。

  • 宛先ホスト名

  • 宛先 IP アドレス

  • キーワード

  • ユーザ名

ソフトウェアは、2,000 万を超えるサイトを 60 以上のカテゴリとサブカテゴリに体系化した URL データベースを維持しています。

ip urlfilter server vendor コマンドでは、N2H2 または Websense URL フィルタリング アプリケーションを実行しているサーバを指定します。URL フィルタリングのベンダー サーバを設定するには、グローバル コンフィギュレーション モードで ip urlfilter server vendor コマンドを使用します。コンフィギュレーションからサーバを削除するには、このコマンドの no 形式を使用します。以下は、ip urlfilter server vendor コマンドの構文です。

hostname(config)# ip urlfilter server vendor 
   {websense | n2h2} ip-address [port port-number] 
[timeout seconds] [retransmit number] [outside] [vrf vrf-name] 

ip-address は、Websense サーバの IP アドレスで置き換えます。seconds は、IOS ファイアウォールがフィルタリング サーバへの接続試行を継続しなければならない秒数で置き換えます。

たとえば、URL フィルタリング用に単一の Websense フィルタリング サーバを設定するには、以下のコマンドを実行します。

hostname(config)#
   ip urlfilter server vendor websense 192.168.15.15

フィルタリング ポリシーの設定

注:URL フィルタリングを有効にする前に、URL フィルタリング サーバを指定し、有効にする必要があります。

長い HTTP URL の切り捨て

URL フィルタに、サーバへの長い URL の切り捨てを許可するには、グローバル コンフィギュレーション モードで ip urlfilter truncate コマンドを使用します。切り捨てオプションを無効にするには、このコマンドの no 形式を使用します。このコマンドは、Cisco IOS バージョン 12.4(6)T 以降でサポートされます。

ip urlfilter truncate {script-parameters | hostname} がこのコマンドの構文です。

script-parameters:スクリプト オプションを選択すると URL のみが送信されます。たとえば、URL 全体が http://www.cisco.com/dev/xxx.cgi?when=now の場合、URL の一部の http://www.cisco.com/dev/xxx.cgi のみが送信されます(サポートされる URL の最大長を超えている場合)。

Hostname:ホスト名のみが送信されます。たとえば、URL 全体が http://www.cisco.com/dev/xxx.cgi?when=now の場合は、http://www.cisco.com のみが送信されます。

script-parameters と hostname の両方のキーワードを設定した場合は、script-parameters キーワードのほうが hostname キーワードより優先されます。両方のキーワードが設定され、スクリプト パラメータの URL が切り捨てられても、サポートされる URL の最大長を超えている場合は、URL はホスト名に切り捨てられます。

注:script-parameters と hostname の両方のキーワードを設定する場合は、以下に示すように、個別の行にする必要があります。1 行に組み合わせることはできません。

注: ip urlfilter truncate script-parameters

注: ip urlfilter truncate hostname

Cisco IOS バージョン 12.4 を実行するルータの設定

以下のコンフィギュレーションには、このドキュメントで説明しているコマンドが含まれています。

Cisco IOS バージョン 12.4 を実行するルータの設定
R3#show running-config
: Saved
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname R3
!
!

!--- 

username cisco123 privilege 15 password 
   7 104D000A061843595F
!
aaa session-id common
ip subnet-zero
!
!
ip cef
!
!
ip ips sdf location flash://128MB.sdf
ip ips notify SDEE
ip ips po max-events 100


!--- グローバル コンフィギュレーション モードで ip inspect name 
コマンドを使用して、一連の 
インスペクション ルールを定義します。 
これにより、HTTP インスペクションが有効になります。 
urlfilter キーワードは、 
URL フィルタリングと HTTP インスペクションを関連付けます。

ip inspect name test http urlfilter



!--- グローバル コンフィギュレーション モードで ip urlfilter allow-mode 
コマンドを使用して、 
フィルタリング アルゴリズムのデフォルト モード 
(許可モード)を有効にします。

ip urlfilter allow-mode on



!--- グローバル コンフィギュレーション モードで ip urlfilter exclusive-domain 
コマンドを使用して、 
排他ドメイン リストに対して 
ドメイン名を 
追加または削除して、 
ファイアウォールがベンダー サーバへ 
ルックアップ要求を送信する必要がないようにします。 
ここでは、IOS ファイアウォールは 
ベンダー サーバにルックアップ要求を送信することなく 
URL www.cisco.com を許可するように 
設定されています。

ip urlfilter exclusive-domain permit www.cisco.com



!--- グローバル コンフィギュレーション モードで ip urlfilter audit-trail 
コマンドを使用して、 
syslog サーバまたはルータに 
メッセージを記録します。

ip urlfilter audit-trail



!--- グローバル コンフィギュレーション モードで ip urlfilter urlf-server-log 
コマンドを使用して、 
URL フィルタリング サーバのシステム メッセージ 
のロギングを有効にします。

ip urlfilter urlf-server-log



!--- グローバル コンフィギュレーション モードで 
ip urlfilter server vendor コマンドを使用して、 
URL フィルタリング用のベンダー サーバを設定します。 
ここでは、Websense サーバが 
URL フィルタリング用として設定されています。

ip urlfilter server vendor websense 192.168.15.15
no ftp-server write-enable
!
!

!--- 以下はルータ上の基本的な 
インターフェイス設定です。

interface FastEthernet0
 ip address 192.168.5.10 255.255.255.0
 ip virtual-reassembly
 
!--- インターフェイス コンフィギュレーション モードで 
ip inspect コマンドを使用して、一連の 
インスペクション ルールをインターフェイスに適用します。 
ここで、インスペクション名 TEST は 
インターフェイス FastEthernet0 に適用されます。

 ip inspect test in 
 duplex auto
 speed auto
!
interface FastEthernet1
 ip address 192.168.15.1 255.255.255.0
 ip virtual-reassembly
 duplex auto 
 speed auto
!
interface FastEthernet2
 ip address 10.77.241.109 255.255.255.192
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface FastEthernet2
 no ip address
!

interface Vlan1
 ip address 10.77.241.111 255.255.255.192
 ip virtual-reassembly
!
ip classless
ip route 10.10.10.0 255.255.255.0 172.17.1.2
ip route 10.77.0.0 255.255.0.0 10.77.241.65
!
!

!--- 以下のコマンドを設定して、 
Cisco ルータへの SDM アクセスを有効にします。

ip http server
ip http authentication local
no ip http secure-server
!
!
line con 0
line aux 0
line vty 0 4
 privilege level 15
 transport input telnet ssh
!
end

ルータへの SDM の設定

ルータ SDM の設定

次のステップを実行して、Cisco IOS ルータに URL フィルタリングを設定します。

注:URL フィルタリングと SDM を設定するには、グローバル コンフィギュレーション モードで ip inspect name コマンドを使用して、一連のインスペクション ルールを定義します。これにより、HTTP インスペクションが有効になります。urlfilter キーワードによって URL フィルタリングと HTTP インスペクションが関連付けられます。その後、設定されたインスペクション名は、たとえば、フィルタリングを実行しりインターフェイスにマッピングされます。

hostname(config)#ip inspect 
   name test http urlfilter
  1. ブラウザを開き、https://<SDM にアクセスするように設定されたルータのインターフェイスの IP アドレス> と入力して、ルータ上の SDM にアクセスします。

    SSL 証明書の信憑性に関連してブラウザから出力されるすべての警告を認可します。デフォルトのユーザ名とパスワードは、両方とも空白です。

    ルータがこのウィンドウを表示するのは、SDM アプリケーションのダウンロードを許可するためです。次の例の場合、アプリケーションはローカル コンピュータにロードされ、Java アプレットでは動作しません。

    ciscoiosurlfiltering-1.gif

  2. SDM のダウンロードが開始されます。SDM Launcher がダウンロードされたら、ソフトウェアをインストールし、Cisco SDM Launcher を実行するために、プロンプトに従って一連の手順を完了します。

  3. ユーザ名パスワードを、指定してある場合は入力し、[OK] をクリックします。

    次の例では、ユーザ名として cisco123、パスワードとして cisco123 を使用しています。

    ciscoiosurlfiltering-2.gif

  4. SDM ホームページで、[Configuration] -> [Additional Tasks] を選択し、[URL Filtering] をクリックします。その後、以下に示すように、[Edit Global Settings] をクリックします。

    ciscoiosurlfiltering-3.gif

  5. 表示された新しいウィンドウで、Allow-Mode、URL Filter Alert、Audit-Trial、および URL Filtering Server Log などの URL フィルタリングに必要なパラメータを有効にします。以下に示すように、各パラメータの横にあるチェックボックスをオンにします。ここで、キャッシュ サイズHTTP バッファに関する情報を入力します。また、示されているように、[Advanced] セクションの下で [Source Interface] を指定し、さらに URL フィルタがサーバへの長い URL を切り捨てることができるように [URL Truncate] の方法を指定します(ここでは、[Hostname] として選択されています)。ここで、[OK] をクリックします。

    ciscoiosurlfiltering-4.gif

  6. 次に、[URL Filtering] タブの下にある [Local URL List] オプションを選択します。ドメイン名を追加するため [追加] をクリックし、追加されたドメイン名を許可または拒否するようにファイアウォールを設定します。また、必要な URL のリストがファイルとして存在する場合は、[Import URL List] オプションを選択できます。URL リストの要件と可用性に基づいて、[Add URL] または [Import URL List] オプションのいずれかを選択します。

    ciscoiosurlfiltering-5.gif

  7. この例では、[追加] をクリックして URL を追加し、必要に応じて、URL を許可または拒否するように IOS ファイアウォールを設定します。ここで、[ADD Local URL] というタイトルの新しいウィンドウが開きます。このウィンドウではドメイン名を入力し、URL を許可または拒否するかどうかを決定する必要があります。示されるように、[Permit] または [Deny] オプションの横にあるオプション ボタンをクリックします。ここでは、ドメイン名は www.cisco.com で、ユーザは URL www.cisco.com許可しています。同様の方法で、[追加] をクリックして、必要な数の URL を追加し、要件に応じてそれらの URL を許可または拒否するようにファイアウォールを設定します。

    ciscoiosurlfiltering-6.gif

  8. 以下に示すように、[URL Filtering] タブにある [URL Filter Servers] オプションを選択します。[追加] をクリックして、URL フィルタリング機能を実行する URL フィルタリング サーバの名前を追加します。

    ciscoiosurlfiltering-7.gif

  9. この例では Websense フィルタリング サーバが使用されているため、以下に示すように、[追加] をクリックした後、フィルタリング サーバを Websense として選択します。

    ciscoiosurlfiltering-8.gif

  10. この [Add Websense Server] ウィンドウで、Websense サーバの IP アドレスを [IP address] に、フィルタが作用する方向を [Direction] に、ポート番号を [Port Number] (Websense サーバのデフォルトのポート番号は 15868)に指定します。また、示されるように、[Retransmission Count] と [Retransmission Timeout] 値も入力します。[OK] をクリックします。これで、URL フィルタリングの設定は完了です。

    ciscoiosurlfiltering-9.gif

確認

URL フィルタリングの情報を表示するために、このセクションで取り上げるコマンドを使用できます。これらのコマンドを使用して設定を検証できます。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。

  • show ip urlfilter statistics:フィルタリング サーバに関する情報と統計を示します。

    次に例を示します。

    Router# show ip urlfilter statistics
    URL filtering statistics
    ================
    Current requests count:25
    Current packet buffer count(in use):40
    Current cache entry count:3100
    Maxever request count:526
    Maxever packet buffer count:120
    Maxever cache entry count:5000
    Total requests sent to 
       URL Filter Server: 44765
    Total responses received from 
       URL Filter Server: 44550
    Total requests allowed: 44320
    Total requests blocked: 224
    
  • show ip urlfilter cache:特権 EXEC モードで show ip urlfilter cache コマンドを使用した場合のキャッシュ テーブルにキャッシュ可能な最大エントリ数、現在のエントリ数、キャッシュ テーブルにキャッシュされている宛先 IP アドレスを表示します。

  • show ip urlfilter filter config:フィルタリングの設定を表示します。

    次に例を示します。

    hostname#show ip urlfilter config
    
    URL filter is ENABLED
    Primary Websense server configurations
    ======================================
    Websense server IP address Or Host Name: 
       192.168.15.15
    Websense server port: 15868
    Websense retransmission time out: 
       6 (in seconds)
    Websense number of retransmission: 2
    
    Secondary Websense servers configurations
    =========================================
    None
    
    Other configurations
    =====================
    Allow Mode: ON
    System Alert: ENABLED
    Audit Trail: ENABLED
    Log message on Websense server: ENABLED
    Maximum number of cache entries: 5000
    Maximum number of packet buffers: 200
    Maximum outstanding requests: 1000
    
    

トラブルシューティング

エラー メッセージ

%URLF-3-SERVER_DOWN: Connection to the URL filter server 10.92.0.9 is down:このレベル 3 の LOG_ERR タイプのメッセージは、設定した UFS がダウンしたときに表示されます。これが発生した場合、ファイアウォールは設定したサーバをセカンダリとしてマークし、他のセカンダリ サーバのいずれかを起動しプライマリ サーバとしてマークしようと試みます。設定されている他のサーバがない場合は、ファイアウォールは許可モードに切り替わり、URLF-3-ALLOW_MODE メッセージを表示します。

%URLF-3-ALLOW_MODE: Connection to all URL filter servers are down and ALLOW MODE is OFF:この LOG_ERR タイプのメッセージは、すべての UFS がダウンした場合に表示され、システムは許可モードに切り替わります。

注:システムが許可モードに切り替わると(すべてのフィルタ サーバがダウン)、定期的にキープアライブ タイマーがトリガーされ、TCP 接続を開いてサーバを起動しようと試みます。

%URLF-5-SERVER_UP: Connection to an URL filter server 10.92.0.9 is made;the system is returning from ALLOW MODE:この LOG_NOTICE タイプのメッセージは、UFS がアップしたことが検出され、システムが許可モードから復帰した場合に表示されます。

%URLF-4-URL_TOO_LONG:URL too long (more than 3072 bytes), possibly a fake packet? :この LOG_WARNING タイプのメッセージは、ルックアップ要求内の URL が長すぎる場合に表示されます。3K より長い URL はドロップされます。

%URLF-4-MAX_REQ: The number of pending request exceeds the maximum limit <1000>:この LOG_WARNING タイプのメッセージは、システム内で保留中の要求の数が最大制限を超えた場合に表示されます。それ以降の要求はすべてドロップされます。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 110318