購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
9278
閲覧回数
10
いいね!
4
返信

WindowsUpdateやTrendMicroUpdateの通信のみを許可する方法

解決策を見る
SHINKOMATSUZAKI3238
Level 1
Level 1

‎2019-09-24 03:35 PM

お世話になっております。

 

C891FJルータに設定するアクセスリストに関する質問です。

 

Config(抜粋)
---------------------------------------------------------
interface Vlan10
 ip address 192.168.100.10 255.255.255.0
 ip access-group TO_INTERNET in  (★)
 ip nat inside
 ip virtual-reassembly in
 standby 100 ip 192.168.100.1
 standby 100 preempt delay minimum 60 reload 60
 ip tcp adjust-mss 1414

interface Dialer1
 ip address negotiated
 ip access-group FROM_INTERNET in
 ip mtu 1454
 ip nat outside
 ip inspect CBAC out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication pap callin
 ppp chap refuse
 ppp pap sent-username c085342388@ngnfbipst.dion.ne.jp password 7 *****
 ppp ipcp dns request accept
 ppp ipcp route default
---------------------------------------------------------

補足
Vlan10は社内LANのVLANです。
Dialer1の先はインターネット網です。

 

社内LANからインターネット網に向かう際、Vlan10のIN側にアクセスリスト「TO_INTERNET」(★)を適用し
WindowsUpdateやTrendMicroUpdate(TMCMがパターンファイルを取得etc)の通信のみを許可したかったのですが、
拡張アクセスリストではURLが指定出来ません。

 

これはもう宛先ポート制御するしかないのでしょうか?

仮にポート制御しか方法がない場合、宛先ポートが80 or 443のみを許可する設定で良いのでしょうか?

※WindowsやTrendMicroはハイポートを宛先ポートとするような仕様ではないですよね?

 

-------------------------------------------------------------------------------------------------
[参考]
~WindowsUpdate~
https://support.microsoft.com/ja-jp/help/888764

 

~TrendMicroUpdate~
http://esupport.trendmicro.com/solution/ja-jp/1311886.aspx (Trend Micro Control Manager 6.0)
http://esupport.trendmicro.com/solution/ja-jp/1119632.aspx (Trend Micro Control Manager 7.0)
-------------------------------------------------------------------------------------------------

 

可能であれば、URL(数が多いのでワイルドカードで)で制御したいのですが、
そういった制御をする設定はあるのでしょうか?

 

もしご存じの方がいれば、是非ともご教示いただけませんでしょうか?

 

以上、宜しくお願い致します。

ラベル:
0 いいね!
1 件の受理された解決策

受理された解決策

解決策を見る
kk_king08
Level 1
Level 1
SHINKOMATSUZAKI3238に対する応答

‎2019-10-04 05:04 PM

確実な情報が必要のようでしたら、Trend Micro へ確認する必要があると思います。以下の Trend Micro の情報を確認する限りでは、パターンファイルなどは 80/443 のようですね。

<Trend Micro Control Managerで利用するポート番号>
https://success.trendmicro.com/jp/solution/1096250

元の投稿で解決策を見る

4件の返信4

解決策を見る
kk_king08
Level 1
Level 1

‎2019-10-04 02:38 PM

こんにちは。

 

設定したことはないですが、一応 URL フィルタリングできそうな機能はあるようです。"ip urlfilter exclusive-domain" などで検索してみてると、設定方法を説明しているページがちらほら出てきます。CPU 負荷が高くなり、スループットが低下するなどの情報もありますね。また、https では使えないようです。

なので、宛先ポートでの設定ぐらいしか方法はなさそうです。調べてみた限りですと、80 と 443 のみで良さそうですね。

<Windows Update / Microsoft Update の接続先 URL について>
https://blogs.technet.microsoft.com/jpwsus/2017/02/27/wu-mu-list/

 

 

解決策を見る
SHINKOMATSUZAKI3238
Level 1
Level 1
kk_king08に対する応答

‎2019-10-04 02:58 PM

お世話になっています。

 

ご返信ありがとうございます。

 

参照サイトまでご提示いただきありがとうございます。

確認した所、確かに80/443のみのようですね。

ただ、将来的にポートが変わる可能性もあるので、定期的にMSサイトを参照・問い合わせなどをする運用は必要そうですね。

 

ちなみに、トレンドマイクロも同様なのでしょうか?

もしご存じであれば、ご教授いただければ幸いです。

0 いいね!

解決策を見る
kk_king08
Level 1
Level 1
SHINKOMATSUZAKI3238に対する応答

‎2019-10-04 05:04 PM

確実な情報が必要のようでしたら、Trend Micro へ確認する必要があると思います。以下の Trend Micro の情報を確認する限りでは、パターンファイルなどは 80/443 のようですね。

<Trend Micro Control Managerで利用するポート番号>
https://success.trendmicro.com/jp/solution/1096250

解決策を見る
SHINKOMATSUZAKI3238
Level 1
Level 1
SHINKOMATSUZAKI3238に対する応答

‎2019-10-11 11:04 AM

お世話になります。

ご返信ありがとうございます。

承知しました。

URLフィルタリングは負荷がかかるとの事なので、

80/443のポート制御で対応します。

0 いいね!
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents