URL フィルタリング

URL フィルタリングの概要

URL フィルタリング機能を使用してネットワークのユーザーがアクセスできる Web サイトを制御します。

  • カテゴリおよびレピュテーションベースの URL フィルタリング:URL フィルタリング ライセンスでは、URL の一般的な分類(カテゴリ)とリスク レベル(レピュテーション)に基づいて Web サイトへのアクセスを制御することができます。これは推奨オプションです。

  • 手動 URL フィルタリング:任意のライセンスで、個々の URL、URL のグループおよび URL リストとフィードを手動で指定し、Web トラフィックのきめ細かいカスタム制御を実現できます。詳細については、手動 URL フィルタリングを参照してください。

セキュリティ インテリジェンスによるトラフィックのブロックも参照してください。悪意のある URL、ドメイン、および IP アドレスをブロックするための類似した別の機能です。

カテゴリおよびレピュテーションによる URL のフィルタリングについて

URL フィルタリング ライセンスでは、要求された URL のカテゴリおよびレピュテーションに基づいて、Web サイトへのアクセスを制御できます。

  • カテゴリ:URL の一般的な分類。たとえば ebay.com はオークション カテゴリ、monster.com は求職カテゴリに属します。

    1 つの URL は複数のカテゴリに属することができます。

  • レピュテーション:この URL が、組織のセキュリティ ポリシーに違反するかもしれない目的で使用される可能性がどの程度であるか。レピュテーションの範囲は、[不明なリスク(Unknown Risk)](レベル 0)または[信頼できない(Untrusted)](レベル 1)から [信頼できる(Trusted)](レベル 5)まであります。

カテゴリおよびレピュテーションベースの URL フィルタリングのメリット

URL カテゴリとレピュテーションによって、URL フィルタリングをすぐに設定できます。たとえば、アクセス コントロールを使用して、ハッキング カテゴリの信頼できない URL をブロックできます。または、QoS を使用してストリーミング ビデオ カテゴリのサイトからのトラフィックをレート制限できます。スパイウェアおよびアドウェア カテゴリなど、脅威のタイプのカテゴリもあります。

カテゴリおよびレピュテーション データを使用すると、ポリシーの作成と管理がより簡単になります。この方法では、システムが Web トラフィックを期待どおりに確実に制御します。脅威インテリジェンスは、新しい URL だけでなく、既存の URL に対する新しいカテゴリとリスクで常に更新されるため、システムは最新の情報を使用して要求された URL をフィルタ処理します。セキュリティに対する脅威を表すサイトや望ましくないコンテンツが表示されるサイトは、ユーザーが新しいポリシーを更新したり展開したりするペースを上回って次々と現れては消える可能性があります。

システムはどのように適応するのか、いくつかの例を示します。

  • アクセス コントロール ルールですべてのゲーム サイトをブロックする場合、新しいドメインが登録されてゲームに分類されると、これらのサイトをシステムで自動的にブロックできます。同様に、QoS ルールですべてのストリーミング ビデオ サイトをレート制限する場合、システムは新しいストリーミング ビデオ サイトへのトラフィックを自動的に制限できます。

  • アクセス コントロール ルールですべてのマルウェア サイトをブロックし、あるショッピング ページがマルウェアに感染すると、システムはその URL をショッピング サイトからマルウェア サイトに再分類して、そのサイトをブロックすることができます。

  • アクセス コントロール ルールで信頼できないソーシャル ネットワーキング サイトをブロックし、誰かがプロファイル ページに悪意のあるペイロードへのリンクが含まれるリンクを掲載すると、システムはそのページのレピュテーションを [好ましい(Favorable)] から [信頼できない(Untrusted)] に変更してブロックすることができます。

URL カテゴリとレピュテーションの説明

カテゴリの説明

各 URL カテゴリの説明は https://www.talosintelligence.com/categories から入手できます。

これらのカテゴリを表示するには、[脅威カテゴリ(Threat Categories)] を必ずクリックしてください。

レピュテーション レベルの説明

https://talosintelligence.com/reputation_center/supportに移動して、よくある質問のセクションを参照してください。

Cisco Cloud からの URL フィルタリングのデータ

カテゴリおよびレピュテーションに基づく URL フィルタリングには、クラウド サービスから提供されたデータ セットが必要です。

一般に、デフォルトでは、有効な URL フィルタリング ライセンスがアクティブなデバイスに適用されると、URL カテゴリおよびレピュテーションのデータ セットが Cisco Cloud から Firepower Management Center にダウンロードされ、デバイスにプッシュされます。このローカルに保存されたデータ セットは定期的に更新されます。

ネットワーク上のユーザーが URL にアクセスすると、システムはローカル(ダウンロードした)データ セット内の一致を検索します。一致がない場合、システムが Cisco Cloud で以前に検索した結果のキャッシュをチェックします。それでも一致がなければ、システムは Cisco Cloud で URL を検索し、結果をキャッシュに追加します。

URL カテゴリのセットは定期的に変更されることがあります。このような変更の通知を受信したとき、ポリシー内の URL ルールを再検討して変更を加える必要があるかどうかを確認する必要があります。詳細については、URL カテゴリセットが変更された場合、アクションを実行を参照してください。

URL フィルタリングのベスト プラクティス

URL フィルタリングに関する次のガイドラインと制限事項に注意してください。

カテゴリとレピュテーションによるフィルタリング

その場合は、カテゴリとレピュテーションを使用した URL フィルタリングの設定方法の手順に従ってください。

URL を識別する前に通過する必要があるパケットを検査するポリシーの設定

システムは以下の動作の前に URL をフィルタリングできません。

  • モニター対象の接続がクライアントとサーバーの間で確立される。

  • システムによりセッションで HTTP または HTTPS アプリケーションが識別される。

  • 要求された URL がシステムにより識別される(暗号化されるセッションの場合、ClientHello メッセージまたはサーバー証明書から)。

この識別は 3 ~ 5 パケット以内で、またはトラフィックが暗号化されている場合は、TLS/SSL ハンドシェイクのサーバー証明書交換の後に行われる必要があります。

重要システムが調べなければ通過するこれらの初期パケットをシステムが確実に調べるようにするには、トラフィック識別の前に通過するパケットのインスペクションおよびサブトピックを参照してください。

早期のトラフィックがその他のすべてのルール条件に一致するが、識別が不完全な場合、システムは、パケットの受け渡しと接続の確立(または、TLS/SSL ハンドシェイクの完了)を許可します。システムは識別を完了した後、残りのセッション トラフィックに適切なルール アクションを適用します。

脅威カテゴリのブロック

ポリシーが既知の悪意のあるサイトを識別する脅威カテゴリに明確に対応していることを確認してください。レピュテーションの低いサイトをブロックすることに加えて、これを行います。

たとえば、悪意のあるサイトからネットワークを保護するには、レピュテーションが低いまたは疑わしいサイトをブロックするだけでなく、すべての脅威カテゴリをブロックする必要があります。

詳細については、URL カテゴリとレピュテーションの説明の URL にある [脅威カテゴリ(Threat Categories)] を参照してください。

URL 条件とルールの順序

  • ヒットする必要のある他のすべてのルールの後に URL ルールを配置します。

  • URL は複数のカテゴリに属することができます。Web サイトの 1 つのカテゴリを許可し、別のカテゴリをブロックすることができます(明示的に行うか、デフォルト アクションに依存して)。この場合、許可またはブロックが優先されるかどうかに応じて、適切な効果が得られるように URL ルールを作成して順序付けしてください。

ルールに関するその他のガイドラインについては、アクセス制御ルールのベストプラクティスおよびルール条件の仕組みを参照してください。

未分類またはレピュテーションのない URL

URL ルールを作成するときは、まず一致させるカテゴリを選択します。[未分類(Uncategorized)] URL を明示的に選択した場合は、レピュテーションによりさらに制約を追加することはできません。

URL を処理するアクションは、カテゴリがあっても、レピュテーションがなければ明示的に指定できません。ただし、これらの URL は [任意(Any)] のレピュテーションを指定するルールと一致します。

信頼できないレピュテーションの未分類 URL は、[悪意のあるサイト(Malicious Sites)] カテゴリによって処理されます。他のレピュテーション レベル(疑わしいなど)を使用する未分類サイトをブロックする場合は、すべての未分類サイトをブロックする必要があります。

カテゴリとレピュテーションを URL に手動で割り当てることはできませんが、アクセス コントロール ポリシーと QoS ポリシーでは、特定の URL を手動でブロックできます。手動 URL フィルタリングを参照してください。URL カテゴリとレピュテーションの異議申し立ても参照してください。

暗号化された Web トラフィックの URL フィルタリング

暗号化された Web トラフィックに対して URL フィルタリングを実行すると、システムは次のように動作します。

  • 暗号化プロトコルを無視します。ルールに URL 条件はあるがプロトコルを指定するアプリケーション条件がない場合、ルールは HTTPS および HTTP 両方のトラフィックを照合します。

  • URL リストを使用しません。代わりに、URL オブジェクトとグループを使用する必要があります。

  • トラフィックの暗号化に使用された公開キー証明書のサブジェクト共通名に基づいて HTTPS トラフィックを照合します。また、トランザクション中のどの時点で提示される他の URL(復号後の HTTP URL など)のレピュテーションも評価します。

  • サブジェクト共通名内のサブドメインを無視します。

  • アクセス制御ルール(または、その他の設定)によってブロックされている暗号化された接続の場合は HTTP 応答ページを表示しません。HTTP 応答ページの制限 を参照してください。

HTTP/2

システムは、TLS 証明書から HTTP/2 URL を抽出できますが、ペイロードから抽出することはできません。

手動 URL フィルタリング

  • カスタム セキュリティ インテリジェンス リストまたはフィードオブジェクトを使用して URL を指定します。URL オブジェクトを使用したり、ルールに URL を直接入力したりしないでください。詳細は、手動 URL フィルタリングオプションを参照してください。

  • URL オブジェクトの使用やルールへの URL の直接入力によって、特定の URL を手動でフィルタリングする場合は、影響を受ける可能性のある他のトラフィックを慎重に考慮してください。ネットワーク トラフィックが URL 条件に一致するかどうか判別するために、システムは単純な部分文字列マッチングを実行します。要求された URL が文字列の任意の部分に一致する場合、URL は一致するとみなされます。

  • 手動の URL フィルタリングを使用して他のルールの例外を作成する場合は、例外を含む特定のルールを、それらが適用されない場合に適用される一般的なルールの上に配置します。

URL での検索クエリ パラメータ

システムでは、URL 条件の照合に URL 内の検索クエリ パラメータを使用しません。たとえば、すべてのショッピング トラフィックをブロックする場合を考えます。amazon.com を探すために Web 検索を使用してもブロックされませんが、amazon.com を閲覧しようとするとブロックされます。

高可用性展開での URL フィルタリング

高可用性での Firepower Management Center を使用した URL フィルタリングのガイドラインについては、URL フィルタリングとセキュリティ インテリジェンスを参照してください。

選択したデバイス モデルのメモリ制限

  • NGIPSv を使用する場合、カテゴリおよびレピュテーションベースの URL フィルタリングを実行するために正しい量のメモリを割り当てる方法については、『Cisco Firepower NGIPSv Quick Start Guide for VMware』を参照してください。

  • メモリが不足しているデバイスモデルでは、ローカルで格納される URL データが減少します。したがって、システムはクラウドをより頻繁にチェックして、ローカルデータベースにないサイトのカテゴリとレピュテーションを判断します。

    低メモリ デバイスには、次のデバイスが含まれます。

    • FTD 1010

    • 8 GB の RAM を搭載した仮想 FTD(FTDv)

    • ASA 5508-X、および ASA 5516-X

    • ASA 5525-X

HTTPS トラフィックのフィルタリング

暗号化されたトラフィックをフィルタリングするには、システムは TLS/SSL ハンドシェイク時に渡される情報(トラフィックを暗号化するために使用される公開キー証明書のサブジェクト共通名)に基づいて、要求された URL を決定します。

HTTPS フィルタリングは、HTTP フィルタリングとは異なり、サブジェクト共通名内のサブドメインを無視します。アクセス コントロールまたは QoS ポリシーで HTTPS URL を手動でフィルタリングする場合は、サブドメイン情報を含めないでください。たとえば、www.example.com ではなく、example.com を使用します。

また、HTTPS フィルタリングは URL リストもサポートしていません。代わりに、URL オブジェクトとグループを使用する必要があります。


ヒント

SSL ポリシーでは、特定の URL に対するトラフィックの処理と復号は、識別名の SSL ルール条件を定義することで行えます。証明書のサブジェクト識別名にある共通名属性には、サイトの URL が含まれています。HTTPS トラフィックを復号することで、復号されたセッションをアクセス コントロール ルールによって評価できるようになり、URL フィルタリングの質が向上します。

暗号化プロトコルによるトラフィックの制御

アクセス コントロールまたは QoS ポリシー内で URL フィルタリングを実行する場合、暗号化プロトコル(HTTP または HTTPS)は無視されます。これは、手動およびレピュテーションベース両方の URL 条件で発生します。つまり、URL フィルタリングは、次の Web サイトへのトラフィックを同じように扱います。

  • http://example.com/

  • https://example.com/

HTTP または HTTPS トラフィックのみに一致するルールを設定するには、アプリケーション条件をルールに追加します。たとえば、あるサイトへの HTTPS アクセスを許可する一方で、HTTP アクセスを許可しないようにできます。そのためには、2 つのアクセス コントロール ルールを作成し、それぞれにアプリケーションと URL の条件を割り当てます。

最初のルールは Web サイトへの HTTPS トラフィックを許可します。

  • アクション:許可
  • アプリケーション:HTTPS
  • URL:example.com

2 番目のルールは同じ Web サイトへの HTTP アクセスをブロックします。

  • アクション:ブロック
  • アプリケーション:HTTP
  • URL:example.com

URL フィルタリングのライセンス要件

FTD ライセンス

  • カテゴリとレピュテーション フィルタリング:URL フィルタリング

  • 手動フィルタリング:追加のライセンスはありません。

従来のライセンス

  • カテゴリとレピュテーション フィルタリング:URL フィルタリング

  • 手動フィルタリング:追加のライセンスはありません。

URL フィルタリングの要件と前提条件

モデルのサポート

任意

サポートされるドメイン

任意

ユーザの役割

  • 管理者

  • アクセス管理者

  • ネットワーク管理者

カテゴリとレピュテーションを使用した URL フィルタリングの設定方法

操作手順

詳細情報

ステップ

NGIPSv デバイスでカテゴリおよびレピュテーションベースの URL フィルタリングを使用する場合は、必要なメモリ量を割り当てます。

Cisco Firepower NGIPSv Quick Start Guide for VMware

ステップ

正しいライセンスがあることを確認します。

Firepower システムのライセンス次のようなものがあります。

URL フィルタリング ライセンスを URL をフィルタ処理する各管理対象デバイスに割り当てます。

機能を有効にするには、そのデバイスに割り当てられた URL フィルタリング ライセンスが少なくても 1 台の管理対象デバイスにある必要があります。

ステップ

Firepower Management Center はクラウドと通信して URL フィルタリング データを取得できることを確認します。

インターネット アクセス要件通信ポートの要件

ステップ

制限事項とガイドラインを理解し、必要なアクションを実行します。

URL フィルタリングのベスト プラクティス

ステップ

URL フィルタリング機能を有効にします。

カテゴリとレピュテーションを使用した URL フィルタリングの有効化

ステップ

カテゴリとレピュテーションによって URL をフィルタ処理するルールを設定します。

URL 条件の設定

悪意のあるサイトに対する最高の保護を実現するには、レピュテーションによってサイトをブロックするとともに、すべての脅威カテゴリに含まれる URL をブロックする必要があります。

(オプション)カテゴリおよびレピュテーションベースの URL フィルタリングの補完または選択的オーバーライド

ステップ

(オプション)警告ページをクリック スルーすることで Web サイトのブロックをバイパスできるようにします。

HTTP 応答ページとインタラクティブなブロッキング

ステップ

トラフィックがキー ルールに最初にヒットするようにルールを順序付けます。

URL ルールの順序

ステップ

(オプション)URL フィルタリング関連の詳細オプションを変更します。

変更する特別な理由がない限り、通常はデフォルトを使用します。

次のオプションを含む詳細オプションについては、アクセス コントロール ポリシーの詳細設定を参照してください。

  • [接続イベントで保存する URL の最大文字数(Maximum URL characters to store in connection events)]

  • [インタラクティブブロックを一時的に許可する時間(秒)(Allow an Interactive Block to bypass blocking for (seconds))]

  • [URL キャッシュのミス検索の再試行(Retry URL cache miss lookup)]

ステップ

変更を展開します。

設定変更の展開

ステップ

システムが将来の URL データの更新を予想どおりに受信することを確認します。

URL フィルタリングのヘルス モニターの設定

ステップ

悪意のあるサイトからネットワークを保護する他の Firepower 機能が有効になっていることを確認します。

セキュリティ インテリジェンスによるトラフィックのブロック を参照してください。

カテゴリとレピュテーションを使用した URL フィルタリングの有効化

このタスクを実行するには、管理者ユーザーである必要があります。

始める前に

カテゴリとレピュテーションを使用した URL フィルタリングの設定方法に記載されている前提条件を満たす必要があります。

手順

ステップ 1

[システム(System)] > [統合(Integration)]を選択します。

ステップ 2

[Cloud Services] をクリックします。

ステップ 3

URL フィルタリング オプション を設定します。

ステップ 4

[保存(Save)] をクリックします。

URL フィルタリング オプション

次のオプションは、[システム(System) ] > [統合(Integration)] ページにあります。

Enable URL Filtering

Web サイトの一般的な分類、カテゴリ、リスク レベル、またはレピュテーションに基づくトラフィックのフィルタリングを可能にします。URL フィルタリング ライセンスを追加すると、[URLフィルタンリングを有効にする(Enable URL Filtering)] が自動的に有効になります。URL フィルタリングは、他の URL フィルタリング オプションを選択する前に有効にする必要があります。

URL フィルタリングを有効にする場合は、URL フィルタリングが最後に有効になってから経過した時間に応じて、または URL フィルタリングを今回初めて有効にするかどうかに応じて、Firepower Management CenterCisco Cloudから URL データをダウンロードします。このプロセスには、時間がかかる場合があります。

自動更新を有効にする(Enable Automatic Updates)

URL フィルタリング脅威データを更新するためのオプション。

  • [システム(System) ] > [統合(Integration)] ページの [自動更新を有効にする(Enable Automatic Updates)] オプションを有効にすると、Firepower Management Center は 30 分ごとにクラウドの更新をチェックします。 このオプションは、URL フィルタリング ライセンスを追加すると、デフォルトで有効になります。

  • システムが外部リソースに接触する時間を厳格に制御する必要がある場合、このページの自動更新を無効にし、代わりにスケジューラを使用して定期的なタスクを作成します。スケジュール設定されたタスクを使用した URL フィルタリング更新の自動化を参照してください。

[今すぐアップデート(Update Now)]

このダイアログ ボックスの上部にある [今すぐアップデート(Update Now)] ボタンをクリックすると、ワンタイムのオンデマンド更新を実行できますが、自動更新を有効にするか、スケジューラを使用して定期的なタスクを作成する必要があります。更新がすでに進行中である場合は、オンデマンド更新を開始できません。

通常、毎日の更新は小規模ですが、最終更新日から 5 日を超えると、帯域幅によっては新しい URL データのダウンロードに最長 20 分かかる場合があります。その後、更新自体を実行するのに最長で 30 分かかることがあります。

[不明 URL を Cisco Cloud に問い合わせる(Query Cisco Cloud for Unknown URLs)]

カテゴリとレピュテーションがローカル データセットにない Web サイトをユーザーが閲覧するときに、脅威インテリジェンス評価のために URL がクラウドに送信されるようにします。プライバシー上の理由などで未分類の URL を送信したくない場合は、このオプションを無効にしてください。

このオプションは、少なくとも 1 台の管理対象デバイスに有効な URL フィルタリング ライセンスがある場合にデフォルトで有効になります。

未分類の URL への接続は、カテゴリまたはレピュテーションベースの URL 条件を含むルールに一致しません。URL に手動でカテゴリやレピュテーションを割り当てることはできません。

暗号化されたトラフィックを SSL ルールを使用して処理する場合は、TLS/SSL ルールのガイドラインと制限事項も参照してください。

キャッシュされた URL の期限切れ

この設定は、[不明 URL を Cisco CSI に問い合わせる(Query Cisco CSI for Unknown URL)][不明 URL を Cisco Cloud に問い合わせる(Query Cisco Cloud for Unknown URLs)] が有効になっている場合にのみ該当します。

カテゴリおよびレピュテーション データのキャッシングにより、Web ブラウジングが高速化されます。デフォルトでは、最速のパフォーマンスを得るため、URL のキャッシュされたデータの有効期限はありません。

古いデータと一致する URL のインスタンスを最小限に抑えるため、キャッシュ内の URL を期限切れに設定できます。脅威データの正確性と即時性を向上させるため、短い有効期限を選択します。

キャッシュされた URL は、指定された時間が経過した後、ネットワーク上のユーザーが初めてアクセスした後に更新されます。最初のユーザーに更新済みの結果は表示されませんが、この URL に次にアクセスしたユーザーには更新済みの結果が表示されます。

URL データのキャッシングについては、Cisco Cloud からの URL フィルタリングのデータ を参照してください。

URL 条件の設定

URL のカテゴリとレピュテーションに基づいてサイトへのアクセスを制御することにより、ネットワークを保護します。

手順

ステップ 1

ルールエディタで、URL 条件に関して次をクリックします。

  • アクセスコントロールまたは QoS:[URL(URLs)] をクリックします。
  • SSL:[カテゴリ(Categoy)] をクリックします。
ステップ 2

制御する URL カテゴリを見つけて選択します。

アクセスコントロールまたは QoS ルールでは、[カテゴリ(Categoy)] をクリックしてカテゴリを選択します。

悪意のあるサイトからの効果的な保護を実現するには、レピュテーションが低いまたは疑わしい URL をブロックするだけでなく、すべての脅威カテゴリの URL をブロックする必要があります。脅威カテゴリのリストについては、URL カテゴリとレピュテーションの説明を参照してください。

リストの下部にある矢印をクリックして、使用可能なすべてのカテゴリを表示してください。
ステップ 3

(オプション)レピュテーションを選択して URL カテゴリを制約します。

[未分類(Uncategorized)] URL を明示的に照合する場合は、レピュテーションによりさらに制約を追加することはできないことに注意してください。レピュテーション レベルを選択すると、ルール アクションに応じて、選択したレベルよりも重大または重大でない他のレピュテーションも含められます。

  • [より重大でないレピュテーションを含める(Includes less severe reputations)]:ルールで Web トラフィックを許可または信頼する場合。たとえば、[好ましい(Favorable)](レベル 4)を許可するようアクセス コントロール ルールを設定した場合、[信頼できる(Trusted)](レベル 5)サイトも自動的に許可されます。

  • [より重大なレピュテーションを含める(Includes more severe reputations)]:ルールで Web トラフィックをレート制限、復号、ブロック、またはモニターする場合。たとえば、[不審なサイト(Questionable sites)](レベル 2)をブロックするようアクセス コントロール ルールを設定した場合、[信頼できない(Untrusted)](レベル 1)のサイトも自動的にブロックされます。

ルール アクションを変更すると、URL 条件のレピュテーション レベルが自動的に変更されます。

ステップ 4

[ルールに追加(Add to Rule)] をクリックするか、ドラッグ アンド ドロップします。

ステップ 5

ルールを保存するか、編集を続けます。

例:アクセス コントロール ルールの URL 条件

次の図は、すべてのマルウェア サイト、すべての [信頼できない(Untrusted)] サイト、およびすべてのソーシャル ネットワーキング サイト(レピュテーション レベルが ニュートラルまたは悪化)をブロックするアクセス コントロール ルールの URL 条件を示しています。

サンプル URL 条件のスクリーンショット

次の表では、条件を作成する方法を要約します。

ブロックする URL

カテゴリ

レピュテーション

マルウェア サイト(レピュテーションに関係なく)

マルウェア サイト(Malware Sites)

任意

信頼できない URL(レベル 1)

任意

1:[信頼できない(Untrusted)]

レピュテーション レベルがニュートラルまたは悪化)ソーシャル ネットワーキング サイト(レベル 1 ~ 3)

ソーシャル ネットワーク(Social Network)

3:[ニュートラル(Newtral)]

次のタスク

URL 条件を伴うルール

次の表に、URL 条件をサポートするルールと、各ルール タイプがサポートするフィルタリングのタイプを一覧します。

ルール タイプ

カテゴリとレピュテーション フィルタリングをサポートしますか。

手動フィルタリングのサポート

アクセス コントロール

対応

対応

SSL

対応

非対応。代わりに識別名条件を使用

QoS

対応

対応

URL ルールの順序

URL マッチングを最も効果的に行うには、URL 条件を含むルールを他のルールより前に配置します。特に、URL ルールがブロック ルールで、他のルールが次の条件を両方とも満たす場合には、URL 条件を含むルールを前に配置します。

  • その他のルールがアプリケーション条件を含んでいる。

  • 検査対象のトラフィックが暗号化されている。

ルールに例外を設定する場合は、例外を他のルールの上に配置してください。

手動 URL フィルタリング

アクセス コントロール ルールおよび QoS ルールでは、個々の URL、URL のグループ、または URL のリストとフィードを手動でフィルタリングすることで、カテゴリとレピュテーション ベースの URL のフィルタリングを補足したり、選択的にオーバーライドしたりできます。

たとえば、アクセス コントロールを使用して組織に適していない Web サイトのカテゴリをブロックできます。ただし、カテゴリに適切な Web サイトが含まれていて、そこにアクセスを提供する必要がある場合は、そのサイトに手動で許可ルールを作成し、カテゴリのブロック ルールの前に配置できます。

特殊なライセンスなしでこのタイプの URL フィルタリングを実行することができます。

手動 URL フィルタリングは SSL ルールではサポートされません。その代わりに、識別名の条件を使用します。


注意    

手動 URL フィルタリングの実装方法によっては、URL マッチングが意図したものにならない可能性があります。手動 URL フィルタリングオプション を参照してください。

手動 URL フィルタリングオプション

手動 URL フィルタリング用の URL を指定する方法は、いくつかあります。

図 1. アクセスコントロールルールの手動 URL フィルタリングオプション
manual-url-filtering-options-in-AC-rule

オプション

説明

(ベストプラクティス)

カスタム セキュリティ インテリジェンス URL リストまたはフィードオブジェクトを使用します。

これは、Web インターフェイスのルールページの [新規 URL リスト(New URL List)] オプションです。

これは、手動 URL フィルタリングの推奨される手法です。

新しいリストまたはフィードを作成するか、アクセスコントロールまたは QoS ルールの [URL] タブの [URL] サブタブから既存のリストまたはフィードを選択することができます。

詳細については、カスタム セキュリティ インテリジェンスのリストとフィードとサブトピックを参照してください。

URL オブジェクトは、個別にまたはグループとして使用します(URL オブジェクトについては、URL オブジェクトを参照)。

または

アクセスコントロールルールに URL を直接入力します(Web インターフェイスのルールページの [URL の入力(Enter URL)] オプション)。

パスを含めない(つまり、URL に / の文字がない)場合、一致はサーバーのホスト名のみに基づきます。ホスト名は、:// の区切り記号の後、またはホスト名のドットの後に来る場合、一致とみなされます。たとえば、ign.com は ign.com および www.ign.com と一致するが、verisign.com とは一致しません。

1 つ以上の / を含める場合、サーバ名、パス、およびクエリ パラメータを含む文字列の部分一致には URL 文字列全体が使用されます。ただし、サーバは再構成することができ、ページは新しいパスに移動できるため、個々の Web ページまたはサイトの一部をブロックまたは許可するのに手動の URL フィルタリングは使用しないことをお勧めします。文字列の部分一致も予期しない一致となる可能性があり、URL オブジェクトに含める文字列が意図しないサーバ上のパスやクエリ パラメータ内の文字列とも一致することがあります。

[URL の入力(Enter URL)] オプションはワイルドカードをサポートしていません。

カテゴリおよびレピュテーションベースの URL フィルタリングの補完または選択的オーバーライド

アクセスコントロールルールまたは QoS ルールでは、セキュリティ インテリジェンス URL リストおよびフィードを使用して、カテゴリおよびレピュテーションベースの URL フィルタリングルールを補足したり、それらに例外を指定することができます

(SSL ルールでは、この目的を果たすために識別名条件を使用)。

始める前に

手順

ステップ 1

ルールを定義するアクセス コントロール ポリシーまたは QoS ポリシーに移動します。

ステップ 2

新しい条件を追加するルールを作成または編集します。

  • カテゴリまたはレピュテーションベースの URL フィルタリングルールを補足する場合は、既存のルールを編集します。
  • カテゴリまたはレピュテーションベースの URL フィルタリングルールをオーバーライドしたり、それらの例外を作成する場合は、新しいルールを作成します。
ステップ 3

新しいルールを作成する場合は、ルールの上部でルール名、位置、アクション、およびその他のオプションを設定します。

重要この手順で設定しているリストまたはフィードにカテゴリまたはレピュテーションベースのルールの例外が含まれている場合は、ルールの順序で、それらのルールの上にこのルールを配置します。

ステップ 4

[URL(URLs)] をクリックします。

ステップ 5

[URL(URLs)]([カテゴリ(Category)] タブの横)をクリックします。
ステップ 6

このタスクの前提条件で作成したリストまたはフィードを選択します。
ステップ 7

[ルールに追加(Add to Rule)] をクリックします。

ステップ 8

[追加(Add)] をクリックするか、ルールの編集を続けます。

次のタスク

(任意)SSL ルールで、識別名条件を使用して並列動作を設定します。

URL フィルタリングのヘルス モニターの設定

次のヘルス ポリシーは、システムに URL カテゴリとレピュテーション データを取得または更新に問題がある場合は通知します。

  • URL フィルタリング モニター

  • デバイスでの脅威データの更新

これらが考えているとおりに設定されていることを確認するには、およびヘルス モニタリングの設定を参照します。

URL カテゴリとレピュテーションの異議申し立て

Talos によって割り当てられたカテゴリまたはレピュテーションに食い違いがある場合は、再評価の要求を提出できます。

始める前に

シスコ アカウントのクレデンシャルが必要になります。

手順

ステップ 1

Firepower Management Center の Web インターフェイスで次のいずれかを実行します。

異議申し立てオプションの場所

異議申し立てオプションへのパス

[クラウドサービス(Cloud Services)] 設定ページ

a. [システム(System)] > [統合(Integration)] > [クラウド サービス(Cloud Services)] ページに移動します。

b. [URL のカテゴリとレピュテーションの異議申し立て(Dispute URL categories and reputations)] を選択します。

[手動 URL ルックアップ(Manual URL Lookup)] ページ

a. [分析(Analysis)] > [詳細(Advanced)] > [URL] から [手動 URL ルックアップ(Manual URL Lookup)] ページに移動します。

b. 問題の URL を検索します。

c. テーブルの行の末尾にある [異議申し立て(Dispute)] を表示するには、結果のリスト内の関連エントリにマウスのポインタをおき、[異議申し立て(dispute)] をクリックします。

URL 接続イベント

a. [分析(Analysis)] > [接続(Connections)] メニューで、URL が含まれているテーブルがあるページに移動します。

b. [URL カテゴリ(URL Category)] 列または [URL レピュテーション(URL Reputation)] 列(必要な場合は非表示列を表示) の項目を右クリックしてオプションを選択します。

Talos の Web サイトが個別のブラウザ ウィンドウに開きます。

ステップ 2

シスコのクレデンシャルで Talos サイトにサインインします。
ステップ 3

情報を確認し、Talos ページで手順を実行します。

ステップ 4

提出された異議申し立ての処理方法と予想される応答に関する情報を Talos で探します。

異議申し立てプロセスは Firepower 製品に依存しません。

URL カテゴリセットが変更された場合、アクションを実行

スマートライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス

URL フィルタリング

URL フィルタリング

任意

任意

Admin/Access Admin/Network Admin

URL フィルタリング カテゴリのセットは、新しい Web のトレンドと進化する使用パターンに合わせてときどき変更されます。

これらの変更は、ポリシーとイベントの両方に影響します。

スケジュールされている URL カテゴリ変更の少し前と変更後に、この変更の影響を受けるアクセス コントロール ポリシー、SSL ポリシー、および QoS ポリシーのルールのリスト、および編集するルールの [URL] または [Category] にアラートが表示されます。

これらのアラートが表示された場合は、対処する必要があります。


(注)  

このトピックの説明どおりに設定された URL カテゴリへの更新は、新しい URL を既存のカテゴリに単純に追加したり、誤って分類された URL を再分類する変更とは異なります。このトピックは個々の URL のカテゴリ変更には適用されません。

手順

ステップ 1

アクセス コントロール ポリシーのルールの横にアラートが表示された場合は、アラートの上にマウスを置いて詳細を確認します。

ステップ 2

アラートが URL カテゴリの変更について言及している場合は、ルールを編集してさらなる詳細を確認します。
ステップ 3

[ルール(Rule)] ダイアログの [URL] または [カテゴリ(Category)] にマウスカーソルを合わせると、変更のタイプに関する一般情報が表示されます。

ステップ 4

カテゴリの横にアラートが表示された場合は、このアラートをクリックして詳細を表示します。

ステップ 5

[More information] リンクが変更の説明に表示されている場合は、そのリンクをクリックするとカテゴリに関する情報が Talos の Web サイトに表示されます。

または、URL カテゴリとレピュテーションの説明 のリンクですべてのカテゴリのリストと説明を確認してください。

ステップ 6

変更のタイプに応じて、適切なアクションを実行します。

カテゴリ変更のタイプ

システムで実行されること

自分で実行すべきこと

既存のカテゴリはまもなく廃止される予定です

まだ廃止されていません。影響を受けるルールを変更するには数週間かかります。

その期間内にアクションを実行しない場合は、システムは最終的にポリシーを再展開することはできません。

 このカテゴリを含むすべてのルールからこのカテゴリを削除します。同様の新しいカテゴリがある場合は、代わりにそのカテゴリを使用することを検討してください。

新しいカテゴリが追加されます

デフォルトでは、システムは新たに追加されたカテゴリを使用しません。

新しいカテゴリに新しいルールを作成することを検討します。

既存のカテゴリは削除されます。

該当するカテゴリは取り消し線が引かれた状態で(つまり、カテゴリ名全体に線が引かれた状態で)ルールに表示されます。

ポリシーを展開する前にルールから古いカテゴリを削除する必要があります。
ステップ 7

これらの変更について SSL ルール([カテゴリ(Category)])を確認し、必要に応じてアクションを実行します。
ステップ 8

これらの変更について QoS ルール([URL])を確認し、必要に応じてアクションを実行します。

次のタスク

設定変更を展開します。設定変更の展開を参照してください。

URL カテゴリとレピュテーションの変更:イベントへの影響

  • URL カテゴリが変更されるとカテゴリ変更の前にシステムによって処理されたイベントは元のカテゴリ名に関連付けられ、「Legacy」というラベルがつけられます。カテゴリ変更後にシステムが処理したイベントは新しいカテゴリに関連付けられます。

    より古い、レガシー イベントは時間の経過とともにシステムからエージ アウトします。

  • 処理された時点で URL にレピュテーションがない場合は、イベント ビューア内の URL レピュテーションは空になります。

URL フィルタリングのトラブルシューティング

予想される URL カテゴリが [カテゴリ(Categories)] リストにない

URL フィルタリング機能は、セキュリティ インテリジェンス機能とは異なる一連のカテゴリを使用します。表示されると予想されるカテゴリは、セキュリティ インテリジェンス カテゴリである可能性があります。これらのカテゴリを表示するには、アクセス コントロール ポリシーの [セキュリティインテリジェンス(Security Intelligence)] タブにある [URL(URLs)] タブを調べます。

初期パケットが検査されずに渡される

トラフィック識別の前に通過するパケットのインスペクション」およびサブトピックを参照してください。

ヘルス アラート:「URL フィルタリングの登録に失敗しました(URL Filtering registration failure)」

FMC とプロキシが Cisco Cloud に接続できることを確認します。次のトピックの URL フィルタリングおよび URL カテゴリに関する情報が必要な場合:インターネット アクセス要件および通信ポートの要件

特定の URL のカテゴリとレピュテーションはどのようにしたら確認できますか。

手動ルックアップを実行します。URL カテゴリとレピュテーションの検索を参照してください。

手動ルックアップ試行時のエラー:「<URL> のクラウド ルックアップに失敗しました(Cloud Lookup Failure for <URL>)」

機能が適切に有効になっていることを確認します。URL カテゴリとレピュテーションの検索の前提条件を参照してください。

URL はその URL カテゴリとレピュテーションに基づいて誤って処理されたように見えます。

問題: システムは URL カテゴリとレピュテーションに基づいて URL を正しく処理しません。

対処方法:

  • URL カテゴリと URL に関連付けられているレピュテーションが想定どおりであることを確認します。URL カテゴリとレピュテーションの検索を参照してください。

  • 次の問題は、カテゴリとレピュテーションを使用した URL フィルタリングの有効化を使用してアクセスできる、URL フィルタリング オプションで説明した設定で対処できる場合があります。

    • URL キャッシュに古い情報が保存されている可能性があります。URL フィルタリング オプションの [キャッシュされたURLの期限切れ(Cached URLs Expire)] 設定に関する情報を参照してください。

    • クラウドからの最新情報でローカルのデータ セットが更新されていない可能性があります。URL フィルタリング オプションの [自動更新を有効にする(Enable Automatic Updates)] 設定に関する情報を参照してください。

    • 最新のデータに関してクラウドを確認しないようにシステムが設定されている可能性があります。URL フィルタリング オプションの [不明 URL を Cisco CSI に問い合わせる(Query Cisco CSI for Unknown URL)][不明 URL を Cisco Cloud に問い合わせる(Query Cisco cloud for unknown URLs)] の設定に関する情報を参照してください。

  • クラウドを確認せずに URL にトラフィックを渡すようにアクセス コントロール ポリシーが設定されている可能性があります。アクセス コントロール ポリシーの詳細設定 で、[URL キャッシュ ミス ルックアップを再試行する(Retry URL cache miss lookup)] 設定に関する情報を参照してください。

  • URL フィルタリングのベスト プラクティスも参照してください。

  • SSL ルールを使用して URL を処理した場合は、TLS/SSL ルールのガイドラインと制限事項およびSSL ルールの順序を参照してください。

  • URL を処理している思われるアクセス制御ルールを使用して URL が処理されていることを確認し、アクセス制御ルールが想定どおりに機能していることを確認します。ルールの順序を考慮します。

  • Firepower Management Center のローカル URL カテゴリおよびレピュテーション データベースがクラウドから正常に更新されており、管理対象デバイスが Firepower Management Center から正常に更新されていることを確認します。

    これらのプロセスのステータスは、[URL フィルタリング モニタ(URL Filtering Monitor)] モジュールおよび [デバイスでの脅威データの更新(Threat Data Updates on Devices)] モジュールのヘルス モニタでレポートされます。詳細は、ヘルス モニタリングを参照してください。

ローカル URL カテゴリおよびレピュテーション データベースを即座に更新する場合、[システム(System)] > [統合(Integration)] に移動し、[Cloud Services] をクリックしてから [今すぐアップデート(Update Now)] をクリックします。詳細については、URL フィルタリング オプションを参照してください。

URL カテゴリまたはレピュテーションが正しくありません。

アクセス コントロールまたは QoS ルールの場合:ルールの順序に細心の注意を払って、手動フィルタリングを使用します。手動 URL フィルタリングおよびURL 条件の設定を参照してください。

SSL ルールの場合:手動フィルタリングはサポートされていません。代わりに識別名条件を使用します。

URL カテゴリとレピュテーションの異議申し立ても参照してください。

Web ページのロードに時間がかかる

セキュリティとパフォーマンスのトレードオフがあります。いくつかのオプションを次に示します。

  • [キャッシュされたURLの期限切れ(Cached URLs Expire)] 設定の変更を検討します。[システム(System)] > [統合(Integration)] をクリックし、[Cloud Services] を選択します。詳細については、URL フィルタリング オプションを参照してください。

  • アクセス コントロール ポリシーの詳細設定の [URL キャッシュのミス検索の再試行(Retry URL cache miss lookup)] 設定の選択解除を検討します。

イベントに URL カテゴリおよびレピュテーションは含まれていません

  • アクセス コントロール ポリシーに適用可能な URL ルールが含まれていること、ルールがアクティブになっていること、およびポリシーが関連するデバイスに展開されていることを確認します。

  • URL ルールと一致する前に接続が処理される場合、URL カテゴリとレピュテーションはイベントに表示されません。

  • 接続を処理するルールでは、URL カテゴリとレピュテーションを構成する必要があります。

  • SSL ルールの [カテゴリ(Categories)] タブで URL カテゴリを設定した場合でも、アクセス コントロール ポリシーのルールで [URL(URLs)] タブを設定する必要があります。

URL フィルタリングの履歴

機能

バージョン

詳細

新規および変更された URL カテゴリ

レピュテーション レベルの新しい名前

6.5

次の変更は、アクセス コントロール ポリシーおよび QoS ポリシーの URL ルールと SSL ポリシーのカテゴリ ルールに適用されます。

一連の URL カテゴリが変更されました。現在、URL ルールを作成するときに選択するカテゴリの 2 つの「ページ」があります。

各レピュテーション レベルに関連付けられている名前が変更されました。

新しいカテゴリとレピュテーションの名前の説明については、URL カテゴリとレピュテーションの説明を参照してください。

アップグレード固有の詳細については、バージョン 6.5 のリリース ノートとアップグレード手順も参照してください。

カテゴリ セットの変更が将来ある場合、ルールには警告するためのアイコンが表示されます。

変更された画面:アクセス コントロール ポリシー、SSL ポリシー、および QoS ポリシーの URL ルール、URL カテゴリに関連するイベント データ

サポートされるプラットフォーム:FMC とリリース 6.5 を実行しているデバイス。

従来のデバイス ライセンスへの細かい変更

6.5

従来のライセンスを使用するデバイスでは、デバイスが FMC に登録され、URL フィルタリング ライセンスがデバイスに割り当てられるまで、URL フィルタリングは有効になりません。

サポートされるプラットフォーム:NGIPSv および ASA with FirePOWER Services デバイス。

Cisco Cloud から URL データを取得するためのアドレスが変更されました。

6.5

インターネット アクセス要件の URL フィルタリング行を参照してください。

割り当てられている URL カテゴリに異議を唱える機会

6.5

システムによって URL に割り当てられたカテゴリに不満がある場合は、カテゴリを変更する要求を提出できます。

新しい/変更された画面:

  • [分析(Analysis)] メニューの接続イベントのテーブルにある URL カテゴリまたはレピュテーションを右クリックしたときの新しいメニュー オプション。

  • [URL ルックアップ(URL Lookups)] ページの新しいボタン([分析(Analysis)] > [詳細(Advanced)] > [URL])(URL 上にポインタを合わせるとボタンが表示されます)。

  • [システム(System) ] > [統合(Integration)] > [クラウド サービス(Cloud Services)] ページの新しいオプション

サポート対象プラットフォーム:すべて

[Cisco CSI] タブの名前が [クラウド サービス(Cloud Services)] に変更されました。

6.4

変更された画面と移動:[システム(System)] > [統合(Integration)] > [Cisco CSI] は [システム(System)] > [統合(Integration)] > [クラウド サービス(Cloud Services)] になりました。

サポート対象プラットフォーム: FMC

URL フィルタリング情報をさまざまな場所から新しい URL フィルタリングの章に移動しました。

6.3

URL フィルタリングのクラウド通信の設定に関する情報を新しい URL フィルタリングの章に移動しました。その他の特定の URL フィルタリングの情報をこの章の他の場所に移動しました。章内の Cisco CSI のトピックの構成に関連する変更を加えました。

新規オプション:キャッシュされた URL の期限切れ

6.3

この新しいコントロールを使用して、古いデータで一致している URL のインスタンスを最小限に抑えるため、新しい URL カテゴリおよびレピュテーションとパフォーマンスとのバランスを取ります。

変更された画面:[システム(System)] > [統合(Integration)] > [Cisco CSI]。

サポート対象プラットフォーム:すべて

変更されたメニュー パス

6.3

[手動 URL ルックアップ(Manual URL Lookup)] へのパスが [分析(Analysis)] > [ルックアップ(Lookup)] > [URL] から [分析(Analysis)] > [詳細(Advanced)] > [URL] に変更されました。