Related Articles
در مباحث امنیت شبکه مبحث Web Filtering یکی از مقوله های بسیار مهمی است که در Internet sharing بسیار به آن توجه می شود و اکثر نرم افزار ها و یا سخت افزار های Firewall و Internet Sharing مثل روتر به نحوی از این قابلیت پشتیبانی می کنند. بطور مثال در نرم افزار ISA Server با استفاده از URL Set ، در Fortinet با استفاده از ماژول web filtering و در Cisco IOS مثل Router و PIX با استفاده از Web Sense و یا N2H2 می توان این کار را انجام داد. اما در برخی موارد مشکلی که مدیران با آن روبرو هستند فیلترینگ نمی باشد بلکه “محدودیت download” می باشد. اصولا download کردن عامل اصلی پر شدن ظرفیت پهنای باند می شود که سایر کاربران را با مشکل مواجه می کند. لذا بسیاری از مدیران شبکه های سعی دارند تا بنحوی پهنای باند دانلود را محدود و یا آنرا تماما حذف کنند.
در IOS سیسکو هم راه کار هایی تعبیه شده که بتوان در شبکه های LAN پهنای باند دانلود را محدود کرده و یا کلا آنرا حذف نمود. قابلیت Protocol Inspection در IOS توسط قابلیتی به نام NBAR صورت می گیرد که همانطور که از نام آن بر مشخص وظیفه شناسایی پروتکل ها در لایه Application را بر عهده دارد. پس قطعا بخشی از تنطیمات “download Restriction” بتوسط NBAR انجام می شود. پس تنها لازم است که ترافیک HTTP را شناسایی کرده و URL هایی که در که در آنها لغات فابل هایی قابل download مثل exe ،msi ، cab، bin،rar ، zip ، tar ، 3gp، swf ، flv ، avi ، mpg و… را drop کرد.
در زیر یک نمونه configuration مربوط به توضیحات بالا نوشته شده است :
RTR(config)#class-map match-any DOWNLOAD
RTR(config-cmap)# match protocol http url “*.zip”
RTR(config-cmap)# match protocol http url “*.rar”
RTR(config-cmap)# match protocol http url “*.exe”
RTR(config-cmap)# match protocol http url “*.msi”
RTR(config)#policy-map DOWNLOAD-RESTRICTION
RTR(config-pmap)#class DOWNLOAD
RTR(config-pmap-c)# drop
RTR(config)#int fastEthernet 0/0
RTR(config-if)#service-policy output DOWNLOAD-RESTRICTION
