• はじめに
• 処理フロー概要
• 設定手順
• 1. ライセンス適用状況の確認
• 2. URLフィルタリング機能や自動アップデートなどの有効化
• 3. Access Control Policy(ACP)の設定
• 4. Block Response Pageの設定 (option)
• 動作確認
• 1. クライアント側の確認
• 2. FMCのログ確認
• よくある質問
• 特定URLのカテゴリの確認方法を教えてください
• 特定URLのカテゴリの変更を依頼したい場合の方法を教えてください
• 参考情報

　　　

はじめに

本ドキュメントでは、Firepower Systemの URLフィルタリングの動作概要、及び、設定と動作確認手順について紹介します。 本ドキュメントでは、FMCv 7.6.0 , FTDv 7.6.0 で動作を確認しています。

　　　 
　　　
　　　

処理フロー概要

URLフィルタリング対象の通信は、まず(1) ローカルのメモリキャッシュ上のURLデータベータでの照会と解決を試みます。 解決ができなかった場合、(2) FMCでのローカル確認と、必要に応じてCisco Collective Security Intelligence(CSI) Cloudへの照会を行います。 デフォルトで、Cisco CSIへの照会は無効です。

　　　
　　　
　　

設定手順

1. ライセンス適用状況の確認

Devices > Device Managementの 対象デバイスの Deviceタブより、URLフィルタリングのライセンスが有効である事を確認

 

　　　　　

2. URLフィルタリング機能や自動アップデートなどの有効化

FMCの System > Integrationより、Cloud Services タブを開き、URL Filteringの以下2つのチェックを確認した後、Saveをクリック

 

    

設定	説明
Enable URL Filtering	URLフィルタリング機能の有効化。URLフィルタリング ライセンスを有効時、デフォルト有効
Enable Automatic Updates	URLデータの自動アップデートの有効化。URLフィルタリング ライセンスを有効時、デフォルト有効。通常1日に1回アップデートされる(※1)

 

※1: 新規でURLフィルタリングを有効時、URLデータベースのダウンロードや ローカルへの展開に時間がかかる。 利用環境の帯域などに左右されるが、おおよそ30分～40分程度が目安

 

サービスを利用時、FMCから以下へのインターネットアクセスが可能である環境にすること。 TCP443を利用し、database.brightcloud.comより URLデータベースをローカルにダウンロードする。 不明URLがあった場合、TCP80を利用し、service.brightcloud.comに照会する

https://database.brightcloud.com
http://service.brightcloud.com

　　　
　　　　　

3. Access Control Policy(ACP)の設定

Policies > Access Control の Rulesタブより、対象デバイスを選択し、URLフィルタリングルールを設定。 以下は、Shoppingサイトのブロック、及び、Internet Portalの明示的な許可の設定例

[ACP設定例]

 

   　　　
    
[Shoppingサイト Block ルール設定例]

 

　　　

指定URLのフィルタリング設定方法については、以下URLを参照

[URL filtering の設定例]
https://supportforums.cisco.com/ja/document/12473886

　　　
　　　　

4. Block Response Pageの設定 (option)

ブロック時に特定サイトの表示が可能。 設定を行う場合は、Policies > Access Control の HTTP Responsesタブを開き、Block Reponse Pageより System-providedを選択した後、設定の保存(画面右上のSave)と、デバイスに適用(Deploy)

　　　
　　　　　　
　　　 
　　　

動作確認

1. クライアント側の確認

以下は、クライアントよりShoppingサイト(http://www.amazon.co.jp)にアクセスし、ブロック時のWebブラウザ表示

[Block Response Page 未設定時]

 

 

　　　　　　　
[Block Response Page 設定時]

 

     

以下は クライアントより Internet Portalサイト(http://www.yahoo.co.jp)にアクセス時の、Webブラウザ表示

　　　
　　　

2. FMCのログ確認

Analysis > Connections > Events より、各コネクションのカテゴリと処理結果(Action)などを確認できる

各送信元IP別の接続先URLを確認したい場合、コネクション一覧より、Initiator IPをクリックすると、以下のような詳細画面に移動できる

 

 

　　

表上部の × をクリックすると、表示するコラムを選択できる。 All Columnsのチェックを2回押し 全てのチェックを外してから、表示したいColumnを選択

以下例の場合、Actionと、First Packet(時間)、Initiator IP(送信元)、Responder IP(宛先)、URL、URL Category、URL Reputationをチェックした後、ポップアップ最下部の Applyをクリック

 

 

以下のように整形され、指定IPのアクセスしたURL情報やActionを確認可能

  

 

   

よくある質問

特定URLのカテゴリの確認方法を教えてください 

以下サイトよりカテゴリの確認が可能です。 例えば以下は、www.cisco.com のカテゴリ確認結果例となり、カテゴリは「Computers and Internet」であることがわかります。

https://talosintelligence.com/reputation_center/lookup?search=www.cisco.com

 

  

特定URLのカテゴリの変更を依頼したい場合の方法を教えてください 

以下サイトより申請が可能です。

https://talosintelligence.com/reputation_center/support

　　　
　　　
　　　

参考情報

• Troubleshoot Issues with URL Filtering on a FireSIGHT System
  
• URL Filtering on a FireSIGHT System Configuration Example
• Cisco Secure Firewall Management Center Device Configuration Guide, 7.6 - Chapter: URL Filtering
• Firepower System: FTD利用時の設定例 (FMC管理 or FDM管理)
• Cisco Secure Firewall (FTD) - how to  ※FTD情報 まとめサイト