소개
이 문서에서는 URL 필터링의 일반적인 문제에 대해 설명합니다.FireSIGHT Management Center의 URL 필터링 기능은 모니터링되는 호스트의 트래픽을 분류하고 평판을 기반으로 액세스 제어 규칙에 조건을 작성할 수 있도록 합니다.
URL 필터링 조회 프로세스
URL 조회 프로세스를 가속화하기 위해 URL 필터링은 Firepower System에 로컬로 설치된 데이터 집합을 제공합니다.어플라이언스에서 사용 가능한 메모리(RAM)의 양에 따라 다음 두 가지 유형의 데이터 집합이 있습니다.
데이터 집합 유형 |
메모리 요구 사항 |
버전 5.3 |
버전 5.4 이상 |
2천만 개의 URL 데이터 집합 |
> 2GB |
> 3.4GB |
1백만 개의 URL 데이터 집합 |
<= 2GB |
<= 3.4GB |

클라우드 연결 문제
1단계:라이센스 확인
라이센스가 설치되었습니까?
카테고리 및 평판 기반 URL 조건을 URL 필터링 라이센스 없이 액세스 제어 규칙에 추가할 수 있습니다. 그러나 먼저 FireSIGHT Management Center에 URL 필터링 라이센스를 추가한 다음 정책의 대상 디바이스에서 활성화하기 전에는 액세스 제어 정책을 적용할 수 없습니다.
라이센스가 만료되었습니까?
URL 필터링 라이센스가 만료되면 카테고리 및 평판 기반 URL 조건이 있는 액세스 제어 규칙은 URL 필터링을 중지하고 FireSIGHT Management Center가 더 이상 클라우드 서비스에 연결하지 않습니다.
팁:FireSIGHT System에서 URL 필터링 기능을 활성화하고 관리되는 디바이스에 URL 필터링 라이센스를 적용하는 방법을 알아보려면 FireSIGHT System 컨피그레이션 예제의 URL 필터링을 읽어 보십시오.
2단계:상태 알림 확인
URL Filtering Monitor 모듈은 FireSIGHT Management Center와 Cisco 클라우드 간의 통신을 추적하며, 여기서 시스템은 자주 방문하는 URL에 대한 URL 필터링(카테고리 및 평판) 데이터를 가져옵니다.URL Filtering Monitor 모듈은 FireSIGHT Management Center와 URL 필터링을 활성화한 관리되는 디바이스 간의 통신도 추적합니다.
URL Filtering Monitor 모듈을 활성화하려면 Health Policy Configuration 페이지로 이동하여 URL Filtering Monitor를 선택합니다.상태 테스트에 모듈을 사용하려면 Enabled 옵션의 On 라디오 버튼을 클릭합니다.설정을 적용하려면 FireSIGHT Management Center에 상태 정책을 적용해야 합니다.

- 위험 경고:FireSIGHT Management Center가 클라우드와 성공적으로 통신하거나 업데이트를 검색하지 못하면 해당 모듈에 대한 상태 분류가 Critical로 변경됩니다.
- 경고 경고:FireSIGHT Management Center가 클라우드와 성공적으로 통신하면 Management Center에서 새 URL 필터링 데이터를 관리되는 디바이스에 푸시할 수 없는 경우 모듈 상태가 Warning으로 변경됩니다.
3단계:DNS 설정 확인
FireSIGHT Management Center는 클라우드 조회 중에 다음 서버와 통신합니다.
database.brightcloud.com
service.brightcloud.com
방화벽에서 두 서버가 모두 허용되었는지 확인한 후 FireSIGHT Management Center에서 다음 명령을 실행하고 Management Center에서 이름을 확인할 수 있는지 확인합니다.
admin@FireSIGHT:~$ sudo nslookup database.brightcloud.com
admin@FireSIGHT:~$ sudo nslookup service.brightcloud.com
4단계:필수 포트에 대한 연결 확인
FireSIGHT Systems는 클라우드 서비스와 통신하기 위해 포트 443/HTTPS 및 80/HTTP를 사용합니다.
Management Center에서 성공적인 nslookup을 수행할 수 있는지 확인한 후 텔넷을 사용하여 포트 80 및 포트 443에 대한 연결을 확인합니다.URL 데이터베이스는 database.brightcloud.com을 포트 443에서 다운로드하며, 알 수 없는 URL 쿼리는 service.brightcloud.com 포트 80에서 수행됩니다.
telnet database.brightcloud.com 443
telnet service.brightcloud.com 80
이 출력은 database.brightcloud.com에 대한 성공적인 텔넷 연결의 예입니다.
Connected to database.brightcloud.com.
Escape character is '^]'.
액세스 제어 및 잘못된 분류 문제
문제 1:선택되지 않은 평판 레벨의 URL이 허용/차단됨
URL이 허용되거나 차단되었지만 액세스 제어 규칙에서 해당 URL의 평판 수준을 선택하지 않은 경우 URL 필터링 규칙의 작동 방식을 알아보려면 이 섹션을 읽어 보십시오.
규칙 작업이 허용임
평판 수준을 기준으로 트래픽 허용 규칙을 생성할 때 평판 레벨을 선택하면 원래 선택한 레벨보다 덜 안전한 평판 레벨도 모두 선택됩니다.예를 들어, 보안 위험이 있는 Benign 사이트(레벨 3)를 허용하도록 규칙을 구성할 경우 Benign sites(레벨 4) 및 Well known(레벨 5) 사이트도 자동으로 허용합니다.

규칙 작업은 차단입니다.
평판 수준을 기준으로 트래픽 차단을 위한 규칙을 생성할 때 평판 레벨을 선택하면 원래 선택한 레벨보다 더 심각한 평판 레벨도 모두 선택됩니다.예를 들어, 보안 위험이 있는 안전한 사이트(레벨 3)를 차단하도록 규칙을 구성하는 경우 의심스러운 사이트(레벨 2) 및 고위험(레벨 1) 사이트도 자동으로 차단합니다.

URL 선택 매트릭스
선택한 평판 레벨 |
선택한 규칙 작업 |
높은 위험 |
의심스러운 사이트 |
보안 위험이 있는 안전한 사이트 |
안전한 사이트 |
잘 알려진 |
1 - 고위험 |
차단, 허용 |
허용 |
허용 |
허용 |
허용 |
2 - 의심스러운 사이트 |
차단 |
차단, 허용 |
허용 |
허용 |
허용 |
3 - 보안 위험이 있는 안전한 사이트 |
차단 |
차단 |
차단, 허용 |
허용 |
허용 |
4 - 안전한 사이트 |
차단 |
차단 |
차단 |
차단, 허용 |
허용 |
5 - 잘 알려진 |
차단 |
차단 |
차단 |
차단 |
차단, 허용 |
문제 2:액세스 제어 규칙에서 와일드카드가 작동하지 않음
FireSIGHT System은 URL 조건에서 와일드카드 사양을 지원하지 않습니다.이 상태는 cisco.com에 알림을 보내지 못할 수 있습니다.
*cisco*.com
또한 불완전한 URL은 원하지 않는 결과를 초래하는 다른 트래픽과 일치할 수 있습니다.URL 조건에서 개별 URL을 지정할 때 영향을 받을 수 있는 다른 트래픽을 신중하게 고려해야 합니다.예를 들어 cisco.com을 명시적으로 차단하려는 시나리오를 가정해 보십시오.그러나 부분 문자열 매칭은 cisco.com을 차단하는 것은 sanfrancisco.com도 차단한다는 것을 의미합니다. 이는 의도하지 않을 수도 있습니다.
URL을 입력할 때 도메인 이름을 입력하고 하위 도메인 정보를 생략합니다.예를 들어, www.cisco.com이 아닌 cisco.com을 입력합니다.
허용 규칙에서 cisco.com을 사용하면 사용자는 다음 URL을 찾아볼 수 있습니다.
http://cisco.com
http://cisco.com/newcisco
http://www.cisco.com
문제 3:URL 범주 및 평판이 채워지지 않음
URL이 로컬 데이터베이스에 없고 트래픽에서 URL이 처음 표시되는 경우 카테고리 또는 평판이 채워지지 않을 수 있습니다.즉, 알 수 없는 URL이 처음 확인되면 AC 규칙과 일치하지 않습니다. 자주 방문하는 URL에 대한 URL 조회가 URL이 처음 표시될 때 확인되지 않을 수도 있습니다.이 문제는 버전 5.3.0.3, 5.3.1.2 및 5.4.0.2, 5.4.1.1에서 해결되었습니다.
관련 정보