安全 : Cisco Firepower Management Center

排除故障与URL过滤的问题在FireSIGHT系统

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

在FireSIGHT管理中心的URL过滤功能分类受监视主机流量,并且允许您写入在根据名誉的访问控制规则的一个条件。本文描述与URL过滤的常见问题。

贡献用Nazmul Rajib, Cisco TAC工程师。

URL过滤查找进程

Cloud连通性问题

步骤 1:检查许可证

许可证安装?

您能添加类别,并且对访问控制规则的基于名誉的URL条件没有URL过滤准许,然而您在策略瞄准的设备不能运用访问控制策略,直到您首先添加一个URL过滤许可证到FireSIGHT管理中心,然后启用它。

许可证超时?

如果URL过滤许可证超时,访问控制规定与类别,并且基于名誉的URL情况停止过滤URL,并且FireSIGHT管理中心不再与网云服务联系。

提示:读本文学习如何启用在FireSIGHT系统的URL过滤功能,并且应用在受管理设备的URL过滤许可证。

步骤 2:检查健康警报

FireSIGHT管理中心和思科之间的URL过滤箴言报模块跟踪通信覆盖,其中系统得到其URL过滤(类别和名誉)数据为通常被访问的URL。URL过滤箴言报模块也跟踪FireSIGHT管理中心和您启用URL过滤的所有受管理设备之间的通信。 

为了启用URL过滤箴言报模块,请去健康策略配置页,选择URL过滤箴言报。选择为了已启用选项能启用使用健康状态测试的模块。如果希望您的设置生效,您必须运用卫生政策到FireSIGHT管理中心。

  • 重要告警:如果FireSIGHT管理中心不能成功通信与或从网云获取更新,该模块更改的状态分类对关键
  • 警告警报:如果FireSIGHT管理中心成功通信与网云,模块状态更改对警告管理中心是否不能推送新建的URL过滤数据到其受管理设备。

步骤 3:检查DNS设置

在网云查找期间, FireSIGHT管理中心与以下服务器联络:

database.brightcloud.com
service.brightcloud.com

一旦确保,两个服务器在防火墙允许,请运行以下on命令FireSIGHT管理中心并且验证,如果管理中心能解决cnames :

admin@FireSIGHT:~$ sudo nslookup database.brightcloud.com
admin@FireSIGHT:~$ sudo nslookup service.brightcloud.com

步骤 4:检查连接到需要的端口

FireSIGHT系统使用端口443/HTTPS和80/HTTP与网云服务联络。

一旦确认管理中心能执行一成功的nslookup,使用telnet,请验证连接到端口80和端口443。

telnet database.brightcloud.com 80
telnet database.brightcloud.com 443

telnet service.brightcloud.com 80
telnet service.brightcloud.com 443

以下输出是成功的Telnet连接的示例对database.brightcloud.com的

Connected to database.brightcloud.com.
Escape character is '^]'.

访问控制和Miscategorization问题

问题 1:与取消选择的名誉级别的URL允许/阻止

如果注意URL允许或阻塞,但是您没有选择名誉级在您的访问控制规则的该URL,阅读以下部分知道如何完成URL过滤规则工作。

规则操作是准许

当您创建规则允许根据名誉级别时的流量,选择名誉级别比您最初选择的级别也选择所有名誉级别安全的较少。例如,如果配置规则允许有安全风险的(级别3)良性站点,它自动地也允许良性站点(级别4)和著名的(级别5)站点。

规则操作是块

当您创建规则阻塞根据名誉级别时的流量,选择名誉级别比您最初选择的级别也选择所有名誉级别严重。例如,如果配置规则阻塞有安全风险的(级别3)良性站点,它自动地也阻塞可疑站点(级别2)和高危险(级别1)站点。 

URL选择矩阵

选定名誉级别选定规则操作
高危险可疑站点

有安全风险的良性站点

良性站点著名的
1 -高危险块,准许准许准许准许准许
2 -可疑站点块,准许准许准许准许
3 -有安全风险的良性站点块,准许准许准许
4 -良性站点块,准许准许
5 -著名的块,准许

问题 2:通配符在访问控制规则不工作

FireSIGHT系统不支持指定在URL情况的通配符。以下情况在cisco.com可能不能警告。


*cisco*.com
另外,不完整URL可能配比导致一种不期望的结果的其他流量。当指定在URL的各自的URL调节,您必须认真考虑也许受影响的其他流量。例如,请考虑您要明确地阻塞cisco.com的一个方案。然而,子链匹配意味着阻塞cisco.com也阻塞sanfrancisco.com,也许不是您的目的。

当输入URL时,请输入域名并且省略子域信息。例如,请键入cisco.com而不是www.cisco.com。 当曾经cisco.com允许规则时,用户可能浏览到任何以下URL :

http://cisco.com
http://cisco.com/newcisco
http://www.cisco.com

问题 3:URL类别和名誉没有填充

如果URL不在本地数据库,并且它是URL第一次被看到在流量,类别或名誉不可以填充。有时,第一次URL被看到,通常被访问的URL的URL查找可能不解决在。此问题在版本5.3.0.3、5.3.1.2和5.4.0.2修复, 5.4.1.1。

相关文档


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 118852