Windows Updateを除いて、インターネットへのインまたはアウトバウンドトラフィックを許可したくないボックスがいくつかあります。ただし、適切なファイアウォール(Cisco ASA)は、IPベースのルールのみをサポートしているようです。最善の方法として、Microsoftの更新プログラムへのアクセスを他の方法で伝えることができます。それ以外の場合、必要に応じてMicrosoftがリストする半ダースのURLマスクは不可能と思われます。
完全なWSUSの構築を開始し、更新ファイルを手動でコピーして、Microsoftに直接アクセスする必要がないようにしましたが、関係するボックスが非常に少ないため、これは非常に重いように思えます。
また、手動更新をあちこちで始めましたが、正しい更新が正しい順序で適用されていることを便利かつ自信を持って確認する方法がわかりません。
あらゆる方向からのアイデアをいただければ幸いです。私はこれをできるだけシンプルで費用効果の高いものにしたいのですが、絶対に必要な唯一のインターネットアクセスポリシーにはほとんど柔軟性がありません。
Cisco ASAは、HTTPインスペクションが有効になっている場合にURLフィルタリングを実行できます。彼らはそれがどのように機能するかを示す素晴らしい記事を持っています ここ 。そのドキュメントの最も関連性の高い例は、次のようになります。
! Replace regex with all known MS Update hostnames
regex ms-updates "^update\.Microsoft\.com|download\.windowsupdate\.com$"
! Match if the Host: header does not match the regex.
class-map type inspect http match-any not-ms-updates
match not request header Host regex ms-updates
! Drop packets matching the class-map (and thus not matching the regex).
policy-map type inspect http ms-update-policy
parameters
class not-ms-updates
drop-connection log
! Configure HTTP inspection with the policy applied.
policy-map global_policy
class inspection_default
inspect http ms-update-policy
service-policy global_policy global
主な問題は、HTTP検査は暗号化されていないHTTPのみを処理できることです。 ASAでHTTPSトラフィックを検査することはできません。一部のMicrosoftUpdate URLはHTTPSとして利用できるため、これは注意が必要です。
検査ポリシーを使用すると、ポリシーに一致するカスタムHTTPリクエストを作成するユーザーが引き続き利用できますが、実際には承認されたサイトにアクセスすることはありません。これは、8.4(2)で導入された FQDN Object 機能を使用して、アクセスリストで実際のホスト名を使用することで軽減できます。これにより、完全修飾ドメイン名を参照するオブジェクトを作成できます。このドメイン名は、アクセスリストで使用できます。例えば:
object network ms-update-1
fqdn update.Microsoft.com
access-list inside_access_out extended permit any object ms-update-1 eq 80
access-list inside_access_out extended deny ip any any log
access-group inside_access_out in interface inside
このアプローチを採用する場合は、ACLでFQDN行をできるだけ低く配置して、実際の更新トラフィックに対してのみトリガーされるようにすることをお勧めします。 ASAはDNSキャッシングを実行しますが、照会されたFQDNのTTLが非常に低い場合、ASAからのDNS要求が多くなる可能性があります。ローカルのキャッシングDNSサーバーを使用すると、最小限に抑えることができます。遅延。
これらの2つのアプローチを組み合わせることで、必要なことを追加のコストなしで実行できますが、リンクされたドキュメントを読んで、それらの制限を理解することを強くお勧めします。