IPベースのルールと一般的なアウトバウンド接続のみがオフになっている物理ファイアウォールの背後にあるWindowsUpdate

Cisco ASAは、HTTPインスペクションが有効になっている場合にURLフィルタリングを実行できます。彼らはそれがどのように機能するかを示す素晴らしい記事を持っています ここ 。そのドキュメントの最も関連性の高い例は、次のようになります。

! Replace regex with all known MS Update hostnames
regex ms-updates "^update\.Microsoft\.com|download\.windowsupdate\.com$"

! Match if the Host: header does not match the regex.
class-map type inspect http match-any not-ms-updates
 match not request header Host regex ms-updates

! Drop packets matching the class-map (and thus not matching the regex).
policy-map type inspect http ms-update-policy
 parameters
 class not-ms-updates
  drop-connection log

! Configure HTTP inspection with the policy applied.
policy-map global_policy
 class inspection_default
  inspect http ms-update-policy

service-policy global_policy global

主な問題は、HTTP検査は暗号化されていないHTTPのみを処理できることです。 ASAでHTTPSトラフィックを検査することはできません。一部のMicrosoftUpdate URLはHTTPSとして利用できるため、これは注意が必要です。

検査ポリシーを使用すると、ポリシーに一致するカスタムHTTPリクエストを作成するユーザーが引き続き利用できますが、実際には承認されたサイトにアクセスすることはありません。これは、8.4（2）で導入された FQDN Object 機能を使用して、アクセスリストで実際のホスト名を使用することで軽減できます。これにより、完全修飾ドメイン名を参照するオブジェクトを作成できます。このドメイン名は、アクセスリストで使用できます。例えば：

object network ms-update-1
 fqdn update.Microsoft.com

access-list inside_access_out extended permit any object ms-update-1 eq 80
access-list inside_access_out extended deny ip any any log

access-group inside_access_out in interface inside

このアプローチを採用する場合は、ACLでFQDN行をできるだけ低く配置して、実際の更新トラフィックに対してのみトリガーされるようにすることをお勧めします。 ASAはDNSキャッシングを実行しますが、照会されたFQDNのTTLが非常に低い場合、ASAからのDNS要求が多くなる可能性があります。ローカルのキャッシングDNSサーバーを使用すると、最小限に抑えることができます。遅延。

これらの2つのアプローチを組み合わせることで、必要なことを追加のコストなしで実行できますが、リンクされたドキュメントを読んで、それらの制限を理解することを強くお勧めします。