시스코 살펴보기
구매 방법

계정이 있습니까?

  •   맞춤형 콘텐츠
  •   제품 및 지원

계정이 필요하십니까?

계정 만들기

FireSIGHT 시스템에서 URL 필터링으로 문제 해결

다운로드 옵션

  • PDF     (603.7 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (459.1 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (375.5 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2017년 6월 15일 (목)
문서 ID:118852

Bias-Free Language

The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 URL 필터링의 일반적인 문제에 대해 설명합니다.FireSIGHT Management Center의 URL 필터링 기능은 모니터링되는 호스트의 트래픽을 분류하고 평판을 기반으로 액세스 제어 규칙에 조건을 작성할 수 있도록 합니다.

URL 필터링 조회 프로세스

URL 조회 프로세스를 가속화하기 위해 URL 필터링은 Firepower System에 로컬로 설치된 데이터 집합을 제공합니다.어플라이언스에서 사용 가능한 메모리(RAM)의 양에 따라 다음 두 가지 유형의 데이터 집합이 있습니다.

데이터 집합 유형 메모리 요구 사항
버전 5.3 버전 5.4 이상
2천만 개의 URL 데이터 집합 > 2GB > 3.4GB
1백만 개의 URL 데이터 집합 <= 2GB <= 3.4GB

118852-technote-firesight-00-00.png

클라우드 연결 문제

1단계:라이센스 확인

라이센스가 설치되었습니까?

카테고리 및 평판 기반 URL 조건을 URL 필터링 라이센스 없이 액세스 제어 규칙에 추가할 수 있습니다. 그러나 먼저 FireSIGHT Management Center에 URL 필터링 라이센스를 추가한 다음 정책의 대상 디바이스에서 활성화하기 전에는 액세스 제어 정책을 적용할 수 없습니다.

라이센스가 만료되었습니까?

URL 필터링 라이센스가 만료되면 카테고리 및 평판 기반 URL 조건이 있는 액세스 제어 규칙은 URL 필터링을 중지하고 FireSIGHT Management Center가 더 이상 클라우드 서비스에 연결하지 않습니다.

:FireSIGHT System에서 URL 필터링 기능을 활성화하고 관리되는 디바이스에 URL 필터링 라이센스를 적용하는 방법을 알아보려면 FireSIGHT System 컨피그레이션 예제의 URL 필터링을 읽어 보십시오.

2단계:상태 알림 확인

URL Filtering Monitor 모듈은 FireSIGHT Management Center와 Cisco 클라우드 간의 통신을 추적하며, 여기서 시스템은 자주 방문하는 URL에 대한 URL 필터링(카테고리 및 평판) 데이터를 가져옵니다.URL Filtering Monitor 모듈은 FireSIGHT Management Center와 URL 필터링을 활성화한 관리되는 디바이스 간의 통신도 추적합니다.

URL Filtering Monitor 모듈을 활성화하려면 Health Policy Configuration 페이지 이동하여 URL Filtering Monitor를 선택합니다.상태 테스트에 모듈 사용하려면 Enabled 옵션의 On 라디오 버튼을 클릭합니다.설정을 적용하려면 FireSIGHT Management Center에 상태 정책을 적용해야 합니다.

118852-technote-firesight-00-01.png

  • 위험 경고:FireSIGHT Management Center가 클라우드와 성공적으로 통신하거나 업데이트를 검색하지 못하면 해당 모듈에 대한 상태 분류가 Critical 변경됩니다.
  • 경고 경고:FireSIGHT Management Center가 클라우드와 성공적으로 통신하면 Management Center에서 새 URL 필터링 데이터를 관리되는 디바이스에 푸시할 수 없는 경우 모듈 상태가 Warning으로 변경됩니다.

3단계:DNS 설정 확인

FireSIGHT Management Center는 클라우드 조회 중에 다음 서버와 통신합니다.

database.brightcloud.com
service.brightcloud.com

방화벽에서 두 서버가 모두 허용되었는지 확인한 후 FireSIGHT Management Center에서 다음 명령을 실행하고 Management Center에서 이름을 확인할 수 있는지 확인합니다.

admin@FireSIGHT:~$ sudo nslookup database.brightcloud.com
admin@FireSIGHT:~$ sudo nslookup service.brightcloud.com

4단계:필수 포트에 대한 연결 확인

FireSIGHT Systems는 클라우드 서비스와 통신하기 위해 포트 443/HTTPS 및 80/HTTP를 사용합니다.

Management Center에서 성공적인 nslookup을 수행할 수 있는지 확인한 후 텔넷을 사용하여 포트 80 및 포트 443에 대한 연결을 확인합니다.URL 데이터베이스는 database.brightcloud.com을 포트 443에서 다운로드하며, 알 수 없는 URL 쿼리는 service.brightcloud.com 포트 80에서 수행됩니다.

telnet database.brightcloud.com 443
telnet service.brightcloud.com 80

이 출력은 database.brightcloud.com에 대한 성공적인 텔넷 연결의 예입니다.

Connected to database.brightcloud.com.
Escape character is '^]'.

액세스 제어 및 잘못된 분류 문제

문제 1:선택되지 않은 평판 레벨의 URL이 허용/차단됨

URL이 허용되거나 차단되었지만 액세스 제어 규칙에서 해당 URL의 평판 수준을 선택하지 않은 경우 URL 필터링 규칙의 작동 방식을 알아보려면 이 섹션을 읽어 보십시오.

규칙 작업이 허용임

평판 수준을 기준으로 트래픽 허용 규칙을 생성할 때 평판 레벨을 선택하면 원래 선택한 레벨보다 덜 안전한 평판 레벨도 모두 선택됩니다.예를 들어, 보안 위험이 있는 Benign 사이트(레벨 3)를 허용하도록 규칙을 구성할 경우 Benign sites(레벨 4) 및 Well known(레벨 5) 사이트도 자동으로 허용합니다.

118852-technote-firesight-00-02.png

규칙 작업은 차단입니다.

평판 수준을 기준으로 트래픽 차단을 위한 규칙을 생성할 때 평판 레벨을 선택하면 원래 선택한 레벨보다 더 심각한 평판 레벨도 모두 선택됩니다.예를 들어, 보안 위험 있는 안전한 사이트(레벨 3)를 차단하도록 규칙을 구성하는 경우 의심스러운 사이트(레벨 2) 및 고위험(레벨 1) 사이트도 자동으로 차단합니다. 

118852-technote-firesight-00-03.png

URL 선택 매트릭스

선택한 평판 레벨 선택한 규칙 작업
높은 위험 의심스러운 사이트

보안 위험이 있는 안전한 사이트

 안전한 사이트 잘 알려진
1 - 고위험 차단, 허용 허용 허용 허용 허용
2 - 의심스러운 사이트 차단 차단, 허용 허용 허용 허용
3 - 보안 위험이 있는 안전한 사이트 차단 차단 차단, 허용 허용 허용
4 - 안전한 사이트 차단 차단 차단 차단, 허용 허용
5 - 잘 알려진 차단 차단 차단 차단 차단, 허용

문제 2:액세스 제어 규칙에서 와일드카드가 작동하지 않음

FireSIGHT System은 URL 조건에서 와일드카드 사양을 지원하지 않습니다.이 상태는 cisco.com에 알림을 보내지 못할 수 있습니다.


*cisco*.com

또한 불완전한 URL은 원하지 않는 결과를 초래하는 다른 트래픽과 일치할 수 있습니다.URL 조건에서 개별 URL을 지정할 때 영향을 받을 수 있는 다른 트래픽을 신중하게 고려해야 합니다.예를 들어 cisco.com을 명시적으로 차단하려는 시나리오를 가정해 보십시오.그러나 부분 문자열 매칭은 cisco.com을 차단하는 것은 sanfrancisco.com도 차단한다는 것을 의미합니다. 이는 의도하지 않을 수도 있습니다.


URL을 입력할 때 도메인 이름을 입력하고 하위 도메인 정보를 생략합니다.예를 들어, www.cisco.com이 아닌 cisco.com을 입력합니다. 허용 규칙에서 cisco.com을 사용하면 사용자는 다음 URL을 찾아볼 수 있습니다. 

http://cisco.com
http://cisco.com/newcisco
http://www.cisco.com

문제 3:URL 범주 및 평판이 채워지지 않음

URL이 로컬 데이터베이스에 없고 트래픽에서 URL이 처음 표시되는 경우 카테고리 또는 평판이 채워지지 않을 수 있습니다.즉, 알 수 없는 URL이 처음 확인되면 AC 규칙과 일치하지 않습니다. 자주 방문하는 URL에 대한 URL 조회가 URL이 처음 표시될 때 확인되지 않을 수도 있습니다.이 문제는 버전 5.3.0.3, 5.3.1.2 및 5.4.0.2, 5.4.1.1에서 해결되었습니다.

관련 정보

TAC Authored

Cisco 엔지니어가 작성

  • Nazmul Rajib
    Cisco TAC 엔지니어

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품