FireSIGHT 시스템에서 URL 필터링 문제 해결

다운로드 옵션

PDF (570.3 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (459.0 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (375.4 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2017년 6월 15일 (목)

문서 ID:118852

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 URL 필터링의 일반적인 문제에 대해 설명합니다. FireSIGHT Management Center의 URL 필터링 기능은 모니터링되는 호스트의 트래픽을 분류하고 평판을 기반으로 액세스 제어 규칙에 조건을 작성할 수 있도록 합니다.

URL 필터링 조회 프로세스

URL 조회 프로세스를 가속화하기 위해 URL 필터링은 Firepower System에 로컬로 설치되는 데이터 집합을 제공합니다. 어플라이언스에서 사용 가능한 메모리(RAM)의 양에 따라 두 가지 유형의 데이터 세트가 있습니다.

데이터 집합 유형	메모리 요구 사항
데이터 집합 유형	버전 5.3	버전 5.4 이상
2,000만 URL 데이터 집합	> 2GB	> 3.4GB
1백만 URL 데이터 집합	<= 2GB	<= 3.4GB

클라우드 연결 문제

1단계: 라이센스 확인

라이센스가 설치되었습니까?

URL 필터링 라이센스가 없는 액세스 제어 규칙에 카테고리 및 평판 기반 URL 조건을 추가할 수 있지만, 먼저 FireSIGHT Management Center에 URL 필터링 라이센스를 추가한 다음 정책 대상 디바이스에서 활성화해야 액세스 제어 정책을 적용할 수 있습니다.

라이센스가 만료되었습니까?

URL Filtering 라이센스가 만료되면 카테고리 및 평판 기반 URL 조건의 액세스 제어 규칙이 URL 필터링을 중지하며, FireSIGHT Management Center에서 더 이상 클라우드 서비스에 연결하지 않습니다.

팁: FireSIGHT System에서 URL 필터링 기능을 활성화하고 관리되는 디바이스에 URL 필터링 라이센스를 적용하는 방법을 알아보려면 FireSIGHT System 컨피그레이션 예의 URL 필터링을 읽어보십시오.

2단계: 상태 알림 확인

URL Filtering Monitor 모듈은 FireSIGHT Management Center와 Cisco 클라우드 간의 통신을 추적합니다. 시스템에서는 자주 방문하는 URL에 대한 URL 필터링(카테고리 및 평판) 데이터를 가져옵니다. URL Filtering Monitor 모듈은 FireSIGHT Management Center와 URL 필터링을 활성화한 관리되는 디바이스 간의 통신도 추적합니다.

URL Filtering Monitor 모듈을 활성화하려면 Health Policy Configuration 페이지로 이동하여 URL Filtering Monitor를 선택합니다. 상태 테스트를 위해 모듈의 사용을 활성화하려면 Enabled 옵션에 대한 On 라디오 버튼을 클릭합니다. 설정을 적용하려면 FireSIGHT Management Center에 상태 정책을 적용해야 합니다.

중요 알림: FireSIGHT Management Center가 클라우드와 성공적으로 통신하거나 클라우드에서 업데이트를 검색하지 못하면 해당 모듈에 대한 상태 분류가 Critical로 변경됩니다.
경고 알림: FireSIGHT Management Center가 클라우드와 성공적으로 통신할 경우 Management Center가 관리되는 디바이스에 새 URL 필터링 데이터를 푸시할 수 없으면 모듈 상태가 Warning(경고)으로 변경됩니다.

3단계: DNS 설정 확인

FireSIGHT Management Center는 클라우드 조회 중에 다음 서버와 통신합니다.

database.brightcloud.com
service.brightcloud.com

방화벽에서 두 서버가 모두 허용되는지 확인한 후 FireSIGHT Management Center에서 다음 명령을 실행하고 Management Center에서 이름을 확인할 수 있는지 확인합니다.

admin@FireSIGHT:~$ sudo nslookup database.brightcloud.com

admin@FireSIGHT:~$ sudo nslookup service.brightcloud.com

4단계: 필수 포트에 대한 연결 확인

FireSIGHT 시스템은 클라우드 서비스와 통신하기 위해 포트 443/HTTPS 및 80/HTTP를 사용합니다.

Management Center에서 성공적으로 nslookup을 수행할 수 있는지 확인했으면 텔넷을 사용하여 포트 80 및 포트 443에 대한 연결을 확인합니다. URL 데이터베이스는 포트 443에서 database.brightcloud.com과 함께 다운로드되며, 알 수 없는 URL 쿼리는 포트 80의 service.brightcloud.com에서 수행됩니다.

telnet database.brightcloud.com 443
telnet service.brightcloud.com 80

이 출력은 database.brightcloud.com에 대한 텔넷 연결에 성공한 예입니다.

Connected to database.brightcloud.com.
Escape character is '^]'.

액세스 제어 및 잘못된 분류 문제

문제 1: 선택되지 않은 평판 수준의 URL이 허용/차단됨

URL이 허용되거나 차단되었지만 액세스 제어 규칙에서 해당 URL의 평판 수준을 선택하지 않은 경우 URL 필터링 규칙이 작동하는 방식을 이해하려면 이 섹션을 읽어 보십시오.

규칙 작업이 허용임

평판 레벨을 기반으로 트래픽을 허용하는 규칙을 생성할 때, 평판 레벨을 선택하면 원래 선택한 레벨보다 안전하지 않은 모든 평판 레벨이 선택됩니다. 예를 들어, 보안 위험이 있는 양성 사이트(수준 3)를 허용하는 규칙을 구성할 경우, 양성 사이트(수준 4) 및 잘 알려진(수준 5) 사이트도 자동으로 허용합니다.

규칙 작업이 차단됨

평판 레벨을 기반으로 트래픽을 차단하는 규칙을 생성할 때, 평판 레벨을 선택하면 원래 선택한 레벨보다 심각한 모든 평판 레벨이 선택됩니다. 예를 들어 보안 위험이 있는 양성 사이트(수준 3)를 차단하는 규칙을 구성할 경우 의심스러운 사이트(수준 2) 및 높은 위험(수준 1) 사이트도 자동으로 차단됩니다.

URL 선택 매트릭스

선택한 평판 수준	선택한 규칙 작업
선택한 평판 수준	고위험	의심스러운 사이트	보안 위험이 있는 안전한 사이트	양성 사이트	주지되어
1 - 고위험	차단, 허용	허용	허용	허용	허용
2 - 의심스러운 사이트	차단	차단, 허용	허용	허용	허용
3 - 보안 위험이 있는 안전한 사이트	차단	차단	차단, 허용	허용	허용
4 - 안전한 사이트	차단	차단	차단	차단, 허용	허용
5 - 잘 알려진	차단	차단	차단	차단	차단, 허용

문제 2: 와일드카드가 액세스 제어 규칙에서 작동하지 않음

FireSIGHT 시스템은 URL 조건에서 와일드카드 지정을 지원하지 않습니다. 이 조건은 cisco.com에서 알림을 보내지 못할 수 있습니다.

 *cisco*.com

또한 불완전한 URL이 다른 트래픽과 일치하여 원하지 않는 결과가 발생할 수 있습니다. URL 조건에서 개별 URL을 지정할 때 영향을 받을 수 있는 다른 트래픽을 신중하게 고려해야 합니다. 예를 들어, cisco.com을 명시적으로 차단하려는 시나리오를 가정해보겠습니다. 그러나 하위 문자열 매칭은 cisco.com을 차단하면 sanfrancisco.com도 차단됩니다. 이는 의도한 바가 아닐 수 있습니다.

URL을 입력할 때 도메인 이름을 입력하고 하위 도메인 정보를 생략합니다. 예를 들어, www.cisco.com이 아닌 cisco.com을 입력합니다. Allow(허용) 규칙에서 cisco.com을 사용할 경우 다음 URL 중 하나로 이동할 수 있습니다.

 http://cisco.com
http://cisco.com/newcisco
http://www.cisco.com

문제 3: URL 범주 및 평판이 채워지지 않음

URL이 로컬 데이터베이스에 없고 URL이 트래픽에서 처음으로 표시되는 경우, 카테고리 또는 평판이 채워지지 않을 수 있습니다. 즉, 알 수 없는 URL이 처음 표시될 때 AC 규칙과 일치하지 않습니다. 일반적으로 방문하는 URL에 대한 URL 조회는 URL을 처음 볼 때 확인되지 않을 수 있습니다. 이 문제는 버전 5.3.0.3, 5.3.1.2 및 5.4.0.2, 5.4.1.1에서 수정되었습니다.