キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
告知

JTAC-Mid-Career-Recruitment-2021.8

 

3094
閲覧回数
10
いいね!
4
返信

WindowsUpdateやTrendMicroUpdateの通信のみを許可する方法

お世話になっております。

 

C891FJルータに設定するアクセスリストに関する質問です。

 

Config(抜粋)
---------------------------------------------------------
interface Vlan10
 ip address 192.168.100.10 255.255.255.0
 ip access-group TO_INTERNET in  (★)
 ip nat inside
 ip virtual-reassembly in
 standby 100 ip 192.168.100.1
 standby 100 preempt delay minimum 60 reload 60
 ip tcp adjust-mss 1414

interface Dialer1
 ip address negotiated
 ip access-group FROM_INTERNET in
 ip mtu 1454
 ip nat outside
 ip inspect CBAC out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication pap callin
 ppp chap refuse
 ppp pap sent-username c085342388@ngnfbipst.dion.ne.jp password 7 *****
 ppp ipcp dns request accept
 ppp ipcp route default
---------------------------------------------------------

補足
Vlan10は社内LANのVLANです。
Dialer1の先はインターネット網です。

 

社内LANからインターネット網に向かう際、Vlan10のIN側にアクセスリスト「TO_INTERNET」(★)を適用し
WindowsUpdateやTrendMicroUpdate(TMCMがパターンファイルを取得etc)の通信のみを許可したかったのですが、
拡張アクセスリストではURLが指定出来ません。

 

これはもう宛先ポート制御するしかないのでしょうか?

仮にポート制御しか方法がない場合、宛先ポートが80 or 443のみを許可する設定で良いのでしょうか?

※WindowsやTrendMicroはハイポートを宛先ポートとするような仕様ではないですよね?

 

-------------------------------------------------------------------------------------------------
[参考]
~WindowsUpdate~
https://support.microsoft.com/ja-jp/help/888764

 

~TrendMicroUpdate~
http://esupport.trendmicro.com/solution/ja-jp/1311886.aspx (Trend Micro Control Manager 6.0)
http://esupport.trendmicro.com/solution/ja-jp/1119632.aspx (Trend Micro Control Manager 7.0)
-------------------------------------------------------------------------------------------------

 

可能であれば、URL(数が多いのでワイルドカードで)で制御したいのですが、
そういった制御をする設定はあるのでしょうか?

 

もしご存じの方がいれば、是非ともご教示いただけませんでしょうか?

 

以上、宜しくお願い致します。

1 件の受理された解決策

受理された解決策

確実な情報が必要のようでしたら、Trend Micro へ確認する必要があると思います。以下の Trend Micro の情報を確認する限りでは、パターンファイルなどは 80/443 のようですね。

<Trend Micro Control Managerで利用するポート番号>
https://success.trendmicro.com/jp/solution/1096250

元の投稿で解決策を見る

4件の返信4
kk_king08
Beginner

こんにちは。

 

設定したことはないですが、一応 URL フィルタリングできそうな機能はあるようです。"ip urlfilter exclusive-domain" などで検索してみてると、設定方法を説明しているページがちらほら出てきます。CPU 負荷が高くなり、スループットが低下するなどの情報もありますね。また、https では使えないようです。

なので、宛先ポートでの設定ぐらいしか方法はなさそうです。調べてみた限りですと、80 と 443 のみで良さそうですね。

<Windows Update / Microsoft Update の接続先 URL について>
https://blogs.technet.microsoft.com/jpwsus/2017/02/27/wu-mu-list/

 

 

お世話になっています。

 

ご返信ありがとうございます。

 

参照サイトまでご提示いただきありがとうございます。

確認した所、確かに80/443のみのようですね。

ただ、将来的にポートが変わる可能性もあるので、定期的にMSサイトを参照・問い合わせなどをする運用は必要そうですね。

 

ちなみに、トレンドマイクロも同様なのでしょうか?

もしご存じであれば、ご教授いただければ幸いです。

確実な情報が必要のようでしたら、Trend Micro へ確認する必要があると思います。以下の Trend Micro の情報を確認する限りでは、パターンファイルなどは 80/443 のようですね。

<Trend Micro Control Managerで利用するポート番号>
https://success.trendmicro.com/jp/solution/1096250

元の投稿で解決策を見る

お世話になります。

ご返信ありがとうございます。

承知しました。

URLフィルタリングは負荷がかかるとの事なので、

80/443のポート制御で対応します。