キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

Firepower System: URL Filtering 動作概要と 設定確認

   

はじめに

本ドキュメントでは、Firepower Systemの URLフィルタリングの動作概要、及び、設定と動作確認手順について紹介します。 本ドキュメントでは、以下構成を元に作成、確認をしております。

 製品 バージョン
 ASA5515 with Firepower Service ASA 9.5(2)              
 Firepower 6.0.0 (build 1005)       
 Firepower Management Center(FMC)
   ※旧名 FireSIGHT Management Center
 6.0.0 (build 1005)               

 

    
   
   

処理フロー概要

URLフィルタリング対象の通信は、まず(1) ローカルのメモリキャッシュ上のURLデータベータでの照会と解決を試みます。 解決ができなかった場合、(2) FMCでのローカル確認と、必要に応じてCisco Collective Security Intelligence(CSI) Cloudへの照会を行います。 デフォルトで、Cisco CSIへの照会は無効です。

   
   
  

設定手順

1. ライセンス適用状況の確認

Devices > Device Managementの 対象デバイスの Deviceタブより、URLフィルタリングのライセンスが有効である事を確認


     

2. URLフィルタリング機能や自動アップデートなどの有効化

FMCの System > Integrationより、Cisco CSIタブを開き、URL Filteringの以下3つのチェックを確認した後、Saveをクリック


    

 設定  説明
 Enable URL Filtering  URLフィルタリング機能の有効化。URLフィルタリング ライセンスを有効時、デフォルト有効
 Enable Automatic Updates URLデータの自動アップデートの有効化。URLフィルタリング ライセンスを有効時、デフォルト有効。通常1日に1回アップデートされる(※1)
 Query Cisco CSI for Unknown URLs ローカルで解決できなかった時に、Cisco CSIへの照会を有効化する。デフォルト無効(※2)

 

※1: 新規でURLフィルタリングを有効時、URLデータベースのダウンロードや ローカルへの展開に時間がかかる。 利用環境の帯域などに左右されるが、おおよそ30分~40分程度が目安

※2: Cisco CSIにURL情報を照会したくない場合は、無効のままが良い。 ローカルのURLデータベースには よく利用されるURLが格納されるが、通常は、ローカルで解決できなかったURLの照会のため、Cisco CSIへのQuery(照会)の有効化を推奨

   

サービスを利用時、FMCから以下へのインターネットアクセスが可能である環境にすること。 TCP443を利用し、database.brightcloud.comより URLデータベースをローカルにダウンロードする。 不明URLがあった場合、TCP80を利用し、service.brightcloud.comに照会する

https://database.brightcloud.com
http://service.brightcloud.com

   
     

3. Access Control Policy(ACP)の設定

Policies > Access Control の Rulesタブより、対象デバイスを選択し、URLフィルタリングルールを設定。 以下は、Shoppingサイトのブロック、及び、Internet Portalの明示的な許可の設定例

[ACP設定例]

      
    

[Shoppingサイト Block ルール設定例]

   

指定URLのフィルタリング設定方法については、以下URLを参照

[URL filtering の設定例]
https://supportforums.cisco.com/ja/document/12473886

   
    

4. Block Response Pageの設定 (option)

ブロック時に特定サイトの表示が可能。 設定を行う場合は、Policies > Access Control の HTTP Responsesタブを開き、Block Reponse Pageより System-providedを選択した後、設定の保存(画面右上のSave)と、デバイスに適用(Deploy)

   
      
   
   

動作確認

1. クライアント側の確認

以下は、クライアントよりShoppingサイト(http://www.amazon.co.jp)にアクセスし、ブロック時のWebブラウザ表示

[Block Response Page 設定時]

       
[Block Response Page 設定時]

     

以下は クライアントより Internet Portalサイト(http://www.yahoo.co.jp)にアクセス時の、Webブラウザ表示

   
   

2. FMCのログ確認

Analysis > Connections > Events より、各コネクションのカテゴリと処理結果(Action)などを確認できる

各送信元IP別の接続先URLを確認したい場合、コネクション一覧より、Initiator IPをクリックすると、以下のような詳細画面に移動できる

   

表上部の × をクリックすると、表示するコラムを選択できる。 All Columnsのチェックを2回押し 全てのチェックを外してから、表示したいColumnを選択

以下例の場合、Actionと、First Packet(時間)、Initiator IP(送信元)、Responder IP(宛先)、URL、URL Category、URL Reputationをチェックした後、ポップアップ最下部の Applyをクリック

   

以下のように整形され、指定IPのアクセスしたURL情報やActionを確認可能


 

 

 

ベストプラクティス

URLフィルタリング利用時の、ASAソフトウェアバージョンについて 

ASA5508/5515/5516/5525の ASA with Firepower Servicesにて URLフィルタリングを利用する場合のみは、ASAソフトウェアは9.4トレインの利用を 検討してください。  9.5や9.6トレインの場合、Firepowerモジュール全体のパフォーマンス強化のため、メモリ関連の仕様変更が行われており、それに伴い URLフィルタリングのカテゴリ・Reputation評価のために使う URLデータベースサイズの低下(2000万→100万 URL Dataset)が発生する可能性があるためです。 詳しくは、CSCuz39475 を参照してください。 なお、Firepowerバージョン 6.1以降の場合、ASAソフトウェア 9.4トレインはサポートしてません。 詳しくは、互換性ガイドを参照してください。

ASA5506は 搭載DRAMサイズが小さいため、URLフィルタリングのカテゴリ・Reputation評価に使う URLデータベースサイズは 小さく(100万 URL Dataset)なります。

ASA5545以上は 搭載DRAMサイズが大きいため、大きなURLデータベース(2000万 URL Dataset)を利用可能です。

   
   
   

参考情報

Troubleshoot Issues with URL Filtering on a FireSIGHT System
https://www.cisco.com/c/en/us/support/docs/security/firesight-management-center/118852-technote-firesight-00.html

URL Filtering on a FireSIGHT System Configuration Example
http://www.cisco.com/c/en/us/support/docs/security/firesight-management-center/117956-technote-sourcefire-00.html

Firepower Management Center Configuration Guide, Version 6.0 - Access Control Rules: URL Filtering
http://www.cisco.com/c/en/us/td/docs/security/firepower/60/configuration/guide/fpmc-config-guide-v60/Access_Control_Rules__URL_Filtering.html

バージョン履歴
改訂番号
2/2
最終更新:
‎08-31-2017 06:53 PM
更新者:
 
寄稿者: