キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
1233
閲覧回数
15
いいね!
0
コメント
tatskoba
Cisco Employee
Cisco Employee

Firepower Threat Defense (FTD) において、IP アドレスではなく FQDN に対しての通信制御を行いたい、という要件はよくあります。

この要件は、Access Control Policy (ACP) にて URL Filtering を使うことで実現可能です。

以下は、www.cisco.com へのアクセスを block with reset する場合の設定例です。cap1.png

 

しかしながら、http および https にしか利用できません。

 

その他のアプリケーションにて FQDN を指定して通信制御を行いたい場合には、Version 6.3.0 にてサポートされた FQDN Object を登録し、ACP や Prefilter の Rule で利用することで、この要件は実現可能です。

FTD 自身がその FQDN の名前解決を行い、得た IP アドレスを FTD がキャッシュし、その IP アドレスを包含した Rule として保持されます。

cap2.png

ACP での利用の場合には、Block することはもちろん、Allow にして Intrusion Policy や File Policy による IPS や AMP のセキュリティ対策を付与することができます。

 

Version 6.2.3 以前では FQDN Object を ACP や Prefilter で利用することはできません。

もしその要件が "止めるだけ (許可して IPS / AMP 適用、等は利用しない) " であれば、DNS Policy が利用できます。

 

設定例は以下の通りです。

まず、当該 FQDN を以下のように1行ずつ記載したテキストファイルをご準備ください。

 

www.cisco.com
ftp.cisco.com

 

FMC にて Object --> Object Management --> Security Intelligence --> DNS Lists and Feeds と辿り、Add DNS Lists and Feeds をクリックして、先程作成したテキストファイルを読み込ませ、upload をクリックします。cap6.png

 

Upload が無事に完了すると以下のように読み込んだ内容を確認する画面が出てきます。問題なければ save してください。

cap7.png

 

続いて、Policy --> DNS と辿り、現在利用している DNS ポリシーを編集します。何も過去に設定していなければ以下のように Default DNS Policy というポリシーが使われています。cap5.png

 

 Add DNS Rule をクリックして、先程作成した DNS List を Blacklist として追加してください。Action は Drop や NX Domain が選択できます。

cap8.png

 

設定内容を確認し、問題なければ save --> deploy を実施してください。

この結果、DNS での名前解決の時点でブロックできるようになり、冒頭の要件を満たすことができます。

実際にクライアントで名前解決を試みてみると、先程読み込ませたリストに含まれる FQDN の名前解決はできません。cap9.png

 

もちろんこれら以外の FDQN の名前解決は可能です。cap10.png

 

この名前解決のブロックは Security Intelligence (SI) の機能を利用しております。イベントは SI のところを参照してください。cap11.png

 

参考情報

Firepower System / Firepower Threat Defense (FTD) トラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733

Cisco Secure Firewall (FTD) - how to  ※FTD情報 まとめサイト
https://community.cisco.com/t5/-/-/ta-p/5024782

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします