- このマニュアルについて
- サービス ポリシーとアクセス コントロール
- モジュラ ポリシー フレームワークを使用したサービス ポリシー
- アプリケーション インスペクションの特別なアクション(インスペクション ポリシー マップ)
- アクセル ルール
- ネットワーク アドレス変換
- ネットワーク アドレス変換(NAT)
- ネットワーク オブジェクト NAT の設定
- Twice NAT
- アプリケーション インスペクション
- アプリケーション レイヤ プロトコル インスペクションの準備
- 基本インターネット プロトコルのインスペクション
- 音声とビデオのプロトコルのインスペクション
- データベースおよびディレクトリ プロトコルのインスペクション
- 管理アプリケーション プロトコルのインスペクション
- 接続設定とサービスの品質
- 接続設定
- QoS
- 接続のトラブルシューティングおよびリソース
- 高度なネットワーク保護
- ASA および Cisco Cloud Web Security
- 脅威の検出
- ASA モジュール
- ASA FirePOWER(SFR)モジュール
- ASA CX モジュール
- ASA IPS モジュール
Cisco ASA シリーズファイアウォールCLIコンフィギュレーションガイドソフトウェアバージョン 9.3
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年12月6日
章のタイトル: ASA および Cisco Cloud Web Security
- について
- のライセンス要件
- クラウド Web セキュリティの前提条件
- ガイドラインと制限事項
- デフォルト設定
- の設定
- クラウド Web セキュリティのモニタ
- の設定例
- シングル モードの例
- マルチ モードの例
- ホワイトリストの例
- ディレクトリの統合の例
- LDAP を使用する Active Directory サーバの設定
- RADIUS を使用する Active Directory エージェントの設定
- AD エージェント サーバのクライアントとしての ASA の作成
- AD エージェントと DC の間のリンクの作成
- AD エージェントのテスト
- ASA のアイデンティティ オプションの設定
- ユーザ アイデンティティ オプションの設定および詳細なレポートのイネーブル化
- Active Directory グループのモニタリング
- Active Directory サーバからのアクティブ ユーザ データベース全体のダウンロード
- AD エージェントからのデータベースのダウンロード
- アクティブ ユーザのリストの表示
- アイデンティティ ファイアウォールを使用したクラウド Web セキュリティの例
- 関連資料
- の機能の履歴
ASA および Cisco Cloud Web Security
Cisco クラウド Web セキュリティ では、Software as a Service(SaaS)による Web セキュリティおよび Web フィルタリング サービスが提供されます。ネットワークで ASA を使用している企業は、追加ハードウェアをインストールせずにクラウド Web セキュリティ サービスを使用できます。
ASA でクラウド Web セキュリティがイネーブルになっている場合、ASA は、選択された HTTP および HTTPS トラフィックをクラウド Web セキュリティ プロキシ サーバに透過的にリダイレクトします。クラウド Web セキュリティ プロキシ サーバは、コンテンツをスキャンし、Cisco ScanCenter で設定されたポリシーに基づいてトラフィックに関する警告を許可、ブロック、または送信して、許容範囲での使用を促進し、マルウェアからユーザを保護します。
ASA は、任意でアイデンティティ ファイアウォール(IDFW)および AAA ルールによりユーザを認証および識別できます。ASA は、ユーザ クレデンシャル(ユーザ名またはユーザ グループ、あるいはその両方を含む)を暗号化して、クラウド Web セキュリティにリダイレクトするトラフィックに含めます。クラウド Web セキュリティ サービスは、このユーザ クレデンシャルを使用して、ポリシーとトラフィックを照合します。また、ユーザベースのレポーティングでもこのクレデンシャルを使用します。ASA は、ユーザ認証を行わずに(オプションの)デフォルトのユーザ名またはグループ、あるいはその両方を指定できます。ただし、クラウド Web セキュリティ サービスがポリシーを適用するために、ユーザ名とグループは必要ありません。
サービス ポリシー ルールを作成するときに、クラウド Web セキュリティに送信するトラフィックをカスタマイズできます。また、サービス ポリシー ルールに一致する Web トラフィックのサブセットが最初に要求された Web サーバに代わりに直接移動し、クラウド Web セキュリティにスキャンされないように、「ホワイトリスト」を設定できます。
プライマリおよびバックアップ クラウド Web セキュリティ プロキシ サーバを設定できます。ASA は各サーバを定期的にポーリングして、可用性を確認します。
(注) この機能は「ScanSafe」とも呼ばれていますので、ScanSafe という名前が表示されるコマンドがあります。
•
「Cisco クラウド Web セキュリティのライセンス要件」
• 「関連資料」
Cisco クラウド Web セキュリティについて
• 「クラウド Web セキュリティへの Web トラフィックのリダイレクト」
• 「認証キー」
• 「プライマリ プロキシ サーバからバックアップ プロキシ サーバへのフェールオーバー」
クラウド Web セキュリティへの Web トラフィックのリダイレクト
エンド ユーザが HTTP または HTTPS 要求を送信すると、ASA はその要求を受信し、オプションでユーザやグループの情報を取得します。トラフィックがクラウド Web セキュリティの ASA サービス ポリシー ルールと一致した場合、ASA は要求をクラウド Web セキュリティ プロキシ サーバにリダイレクトします。ASA は、プロキシ サーバへの接続のリダイレクトによって、エンド ユーザとクラウド Web セキュリティ プロキシ サーバの間の仲介役として機能します。ASA は、クライアント要求の宛先 IP アドレスおよびポートを変更し、クラウド Web セキュリティに固有の HTTP ヘッダーを追加して、クラウド Web セキュリティ プロキシ サーバに変更された要求を送信します。クラウド Web セキュリティ HTTP ヘッダーには、ユーザ名、ユーザ グループなど、さまざまな種類の情報が含まれています(使用可能な場合)。
ユーザ認証およびクラウド Web セキュリティ
ユーザ アイデンティティは、クラウド Web セキュリティでポリシーを適用するために使用できます。また、ユーザ アイデンティティは、クラウド Web セキュリティ レポーティングにも役立ちます。クラウド Web セキュリティを使用するには、ユーザ アイデンティティは必要はありません。クラウド Web セキュリティ ポリシーのトラフィックを識別する他の方法があります。
ASA は、ユーザのアイデンティティを決定したり、デフォルト アイデンティティを提供したりする次の方式をサポートします。
• AAA ルール:ASA が AAA ルールを使用してユーザ認証を実行すると、ユーザ名が AAA サーバまたはローカル データベースから取得されます。AAA ルールによるアイデンティティには、グループ情報が含まれていません。設定されている場合は、デフォルトのグループが使用されます。AAA ルールの設定については、従来の機能ガイドを参照してください。
• IDFW:ASA が Active Directory(AD)で IDFW を使用すると、アクセス ルールなどの機能またはサービス ポリシーで ACL を使用するか、ユーザ アイデンティティ モニタを設定してユーザ アイデンティティ情報を直接ダウンロードして、ユーザやグループをアクティブ化したときに、AD エージェントからユーザ名およびグループが取得されます。
IDFW の設定方法については、一般的な操作のコンフィギュレーション ガイドを参照してください。
• デフォルトのユーザ名とグループ:ASA は、ユーザ認証を使用せずに、クラウド Web セキュリティ サービス ポリシー ルールと一致するすべてのユーザのオプションのデフォルトのユーザ名やグループを使用します。
認証キー
各 ASA は、クラウド Web セキュリティから取得した認証キーを使用する必要があります。認証キーを使用して、クラウド Web セキュリティは、Web 要求に関連付けられた会社を識別し、ASA が有効なカスタマーに関連付けられていることを確認できます。
ASA では、2 つの認証キー(企業キーおよびグループ キー)のいずれか 1 つを使用できます。
• 「企業認証キー」
企業認証キー
企業認証キーは、企業内の複数の ASA で使用できます。このキーは、単に ASA のクラウド Web セキュリティ サービスをイネーブルにします。管理者は ScanCenter( https://scancenter.scansafe.com/portal/admin/login.jsp )でこのキーを生成します。後で使用するためにこのキーを電子メールで送信できます。ScanCenter では、後でこのキーを検索できません。ScanCenter には、最後の 4 桁だけが表示されます。詳細については、クラウド Web セキュリティのマニュアルを参照してください。マニュアルは、 http://www.cisco.com/en/US/products/ps11720/products_installation_and_configuration_guides_list.html から入手できます。
グループ認証キー
グループ認証キーは 2 つの機能を実行する各 ASA に固有の特別なキーです。
• 1 つの ASA のクラウド Web セキュリティ サービスをイネーブルにします。
• ASA からのすべてのトラフィックが識別されるため、ASA ごとに ScanCenter ポリシーを作成できます。
ポリシーにグループ認証キーを使用する方法については、「ScanCenter ポリシー」を参照してください。
管理者は ScanCenter( https://scancenter.scansafe.com/portal/admin/login.jsp )でこのキーを生成します。後で使用するためにこのキーを電子メールで送信できます。ScanCenter では、後でこのキーを検索できません。ScanCenter には、最後の 4 桁だけが表示されます。詳細については、クラウド Web セキュリティのマニュアルを参照してください。マニュアルは、 http://www.cisco.com/en/US/products/ps11720/products_installation_and_configuration_guides_list.html から入手できます。
ScanCenter ポリシー
ScanCenter では、トラフィックは、ルールに一致するまで順にルールに照合されます。その後、クラウド Web セキュリティがルールの設定済みのアクションを適用します。ユーザ トラフィックはグループの関連付け( ディレクトリ グループ または カスタム グループ )に基づいて ScanCenter ポリシー ルールと照合できます。
ディレクトリ グループ
ディレクトリ グループはトラフィックが属するグループを定義します。グループが存在する場合、グループは、クライアント要求の HTTP ヘッダーに含まれています。ASA は、IDFW を設定すると HTTP ヘッダーにグループを含めます。IDFW を使用しない場合は、クラウド Web セキュリティ インスペクションの ASA ルールに一致するトラフィックのデフォルト グループを設定できます。
ディレクトリ グループを設定する場合、グループ名を正確に入力する必要があります。
ASA が IDFW グループ名を学習すると、ASA での形式は domain-name \\ group-name となります。ただし、一般的な ScanCenter 表記に準拠させるため、ASA はバックスラッシュ(\)を 1 つだけ使用するように名前を変更します。
ASA では、オプションのドメイン名を 2 つのバックスラッシュ(\\)が続くように設定する必要があります。ただし、一般的な ScanCenter 表記に準拠させるため、ASA はバックスラッシュ(\)を 1 つだけ使用するように名前を変更します。たとえば、「Cisco\\Boulder1」と指定すると、ASA は、グループ名をクラウド Web セキュリティに送信するときに、バックスラッシュ(\)を 1 つのみ使用する「Cisco\Boulder1」に変更します。
カスタム グループ
カスタム グループは、次の 1 つ以上の基準を使用して定義されます。
• ScanCenter グループ認証キー:カスタム グループのグループ認証キーを生成できます。その後、ASA を設定するときにこのグループ キーを識別すると、ASA からのすべてのトラフィックがグループ キーでタグ付けされます。
• 送信元 IP アドレス:カスタム グループの送信元 IP アドレスを特定できます。ASA サービス ポリシーが送信元 IP アドレスに基づくため、代わりに ASA で IP アドレスベースのポリシーを設定することもできます。
– RADIUS または TACACS+ を使用する場合、AAA ユーザ名は次の形式で送信されます。
– LDAP を使用する場合、AAA ユーザ名は次の形式で送信されます。
たとえば「ゲスト」としてデフォルトのユーザ名を設定する場合、ASA は「ゲスト」を送信します。「Cisco \ゲスト」としてデフォルトのユーザ名を設定する場合は、ASA は「Cisco \ゲスト」を送信します。
グループおよび認証キーの相互運用の仕組み
カスタム group+group キーが提供する ASA ごとのポリシーが必要ない場合は、企業キーを使用します。すべてのカスタム グループがグループ キーに関連付けられているわけではありません。キーを使用しないカスタム グループを使用して、IP アドレスまたはユーザ名を識別できます。また、キーを使用しないカスタム グループは、ディレクトリ グループを使用するルールとともにポリシー内で使用できます。
ASA ごとのポリシーが必要であり、グループ キーを使用している場合でも、ディレクトリ グループおよびキーを使用しないカスタム グループによって提供される照合機能を使用できます。この場合、グループ メンバーシップ、IP アドレス、またはユーザ名に基づいていくつかの例外を除いて ASA ベースのポリシーが必要になる場合があります。たとえば、すべての ASA 間で America\Management グループのユーザを除外する場合は、次の手順を実行します。
1. America\Management 用のディレクトリ グループを追加します。
3. 免除ルールの後に各カスタム group+group キーのルールを追加して、ASA ごとのポリシーを適用します。
4. America\Management のユーザからのトラフィックは免除ルールに一致し、その他すべてのトラフィックは発信元の ASA のルールに一致します。
クラウド Web セキュリティのアクション
設定されたポリシーの適用後、クラウド Web セキュリティは、ユーザ要求をブロック、許可、またはユーザ要求に関する警告を送信します。
• 許可:クラウド Web セキュリティは、クライアント要求を許可する場合、最初の要求先サーバにアクセスし、データを取得します。サーバ応答が ASA に転送され、ここからユーザに転送されます。
• ブロック:クラウド Web セキュリティは、クライアント要求をブロックする場合、アクセスがブロックされたことをユーザに通知します。HTTP 302「Moved Temporarily」応答が、クライアント アプリケーションをクラウド Web セキュリティ プロキシ サーバでホストされている Web ページに送信され、ブロック エラー メッセージが表示されます。ASA はクライアントに 302 応答を転送します。
• 警告:サイトにアクセプタブル ユース ポリシー違反があることをクラウド Web セキュリティ プロキシ サーバが決定すると、サイトに関する警告ページが表示されます。警告を挿入し、接続要求をドロップすることも、警告をクリックし、要求されたサイトに進むこともできます。
ASA がプライマリまたはバックアップ クラウド Web セキュリティ プロキシ サーバに到達できない場合の、ASA による Web トラフィックの処理方法を選択できます。これにより、すべての Web トラフィックがブロックされたり、許可されたりする可能性があります。デフォルトでは、Web トラフィックをブロックします。
ホワイトリストを使用したスキャンのバイパス
AAA ルールまたは IDFW を使用する場合、その他の場合にはサービス ポリシー ルールに一致する特定のユーザまたはグループからの Web トラフィックがスキャンのためクラウド Web セキュリティ プロキシ サーバにリダイレクトされないように ASA を設定できます。クラウド Web セキュリティ スキャンをバイパスすると、ASA はプロキシ サーバに接続せず、最初に要求された Web サーバからコンテンツを直接取得します。Web サーバから応答を受け取ると、データをクライアントに送信します。このプロセスはトラフィックの「ホワイトリスト」といいます。
ACL を使用してクラウド Web セキュリティに送信するトラフィックのクラスを設定すると、ユーザまたはグループに基づいてトラフィックを免除する同じ結果を得ることができますが、ホワイトリストを使用した方がより簡単です。ホワイトリスト機能は、ユーザおよびグループだけに基づき、IP アドレスには基づかないことに注意してください。
IPv4 および IPv6 のサポート
クラウド Web セキュリティは、現在 IPv4 アドレスだけをサポートしています。IPv6 を内部的に使用する場合は、クラウド Web セキュリティに送信する必要がある IPv6 フローに対して NAT 64 を実行する必要があります。
次の表に、クラウド Web セキュリティ リダイレクションでサポートされるクラス マップ トラフィックを示します。
|
|
|
|---|---|
プライマリ プロキシ サーバからバックアップ プロキシ サーバへのフェールオーバー
Cisco クラウド Web セキュリティ サービスに登録すると、プライマリ クラウド Web セキュリティ プロキシ サーバとバックアップ プロキシ サーバが割り当てられます。
クライアントがプライマリ サーバに到達できない場合、ASA は可用性を判定するためにタワーのポーリングを開始します(クライアントのアクティビティが存在しない場合、ASA は 15 秒ごとにポーリングします)。設定された回数だけ再試行してもプロキシ サーバが使用できない場合(デフォルトは 5 回。この設定は設定可能)、サーバは到達不能として宣言され、バックアップ プロキシ サーバがアクティブになります。
クライアントまたは ASA が、再試行回数に到達する前に少なくとも 2 回連続してサーバに到達できる場合、ポーリングは停止し、タワーはアクセス可能であると判定されます。
バックアップ サーバへのフェールオーバー後、ASA はプライマリ サーバをポーリングし続けます。プライマリ サーバが到達可能になると、ASA はプライマリ サーバの使用に戻ります。
Cisco クラウド Web セキュリティのライセンス要件
|
|
|
|---|---|
クラウド Web セキュリティ側では、Cisco クラウド Web セキュリティ ライセンスを購入し、ASA が処理するユーザの数を特定する必要があります。その後、ScanCenter にログインし、認証キーを生成します。
クラウド Web セキュリティの前提条件
クラウド Web セキュリティにユーザ アイデンティティ情報を送信するには、ASA で次のいずれかを設定します。
• AAA ルール(ユーザ名のみ):従来の機能ガイドを参照してください。
• IDFW(ユーザ名およびグループ):一般的な操作のコンフィギュレーション ガイドを参照してください。
サービス ポリシー ルールまたはクラウド Web セキュリティ サーバに対して ACL で FQDN を使用する場合は、一般的な操作のコンフィギュレーション ガイドに従って ASA の DNS サーバを設定する必要があります。
ガイドラインと制限事項
シングル コンテキスト モードとマルチ コンテキスト モードでサポートされています。
マルチ コンテキスト モードでは、サーバ設定はシステム内だけで使用でき、サービス ポリシー ルールの設定はセキュリティ コンテキスト内だけで使用できます。
各コンテキストには、必要に応じて独自の認証キーを設定できます。
ルーテッド ファイアウォール モードでだけサポートされています。トランスペアレント ファイアウォール モードはサポートされません。
IPv6 はサポートされません。「IPv4 および IPv6 のサポート」を参照してください。
• クラウド Web セキュリティは、ASA クラスタリングではサポートされません。
• クライアントレス SSL VPN はクラウド Web セキュリティではサポートされません。クラウド Web セキュリティの ASA サービス ポリシーからクライアントレス SSL VPN トラフィックを免除してください。
• クラウド Web セキュリティ プロキシ サーバへのインターフェイスがダウンすると、 show scansafe server コマンドは、約 15 ~ 25 分間、両方のサーバを示します。この状態が発生する原因は、ポーリング メカニズムがアクティブな接続に基づいていること、また、そのインターフェイスがダウンしており、ゼロ接続を示し、ポーリング時間が最も長い方法が使用されることなどです。
• クラウド Web セキュリティは、ASA CX モジュールではサポートされません。同じトラフィックに対して ASA CX アクションおよびクラウド Web セキュリティ インスペクションの両方を設定した場合、ASA は ASA CX アクションのみを実行します。
• クラウド Web セキュリティ インスペクションは同じトラフィックの HTTP インスペクションと互換性があります。HTTP インスペクションは、デフォルト グローバル ポリシーの一部としてデフォルトでイネーブルになっています。
• クラウド Web セキュリティは、別の接続に対して同じ送信元ポートおよび IP アドレスを使用できる可能性がある拡張 PAT またはアプリケーションではサポートされません。たとえば、2 つの異なる接続(別個のサーバへの接続)が拡張 PAT を使用する場合、これらの接続は別個の宛先によって区別されているため、ASA は、両方の接続変換に同じ送信元 IP および送信元ポートを再利用する可能性があります。ASA がこれらの接続をクラウド Web セキュリティ サーバにリダイレクトすると、宛先がクラウド Web セキュリティ サーバの IP アドレスおよびポート(デフォルトは 8080)に置き換えられます。その結果、接続は両方とも、同じフロー(同じ送信元 IP/ポートおよび宛先 IP/ポート)に属しているように見え、リターン トラフィックが適切に変換解除されません。
• この match default-inspection-traffic コマンドには、クラウド Web セキュリティ インスペクションのデフォルト ポートは含まれません(80 および 443)。
デフォルト設定
Cisco クラウド Web セキュリティの設定
• 「クラウド Web セキュリティ プロキシ サーバとの通信の設定」
• 「(マルチ コンテキスト モード)セキュリティ コンテキストごとのクラウド Web セキュリティの許可」
• 「クラウド Web セキュリティにトラフィックを送信するサービス ポリシーの方法」
• 「(任意)ホワイトリストに記載されたトラフィックを設定します」
クラウド Web セキュリティ プロキシ サーバとの通信の設定
ガイドライン
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
server primary { ip ip_address | fqdn fqdn} [ port port ] |
プライマリ クラウド Web セキュリティ プロキシ サーバの完全修飾ドメイン名または IP アドレスを設定します。 デフォルトでは、クラウド Web セキュリティ プロキシ サーバは HTTP と HTTPS の両方のトラフィックにポート 8080 を使用します。指示されている場合以外は、この値を変更しないでください。 |
|
server backup { ip ip_address | fqdn fqdn} [ port port ] hostname(cfg-scansafe)# server backup fqdn server.example.com |
(任意)バックアップ クラウド Web セキュリティ プロキシ サーバの完全修飾ドメイン名または IP アドレスを設定します。 デフォルトでは、クラウド Web セキュリティ プロキシ サーバは HTTP と HTTPS の両方のトラフィックにポート 8080 を使用します。指示されている場合以外は、この値を変更しないでください。 |
|
|
|
(任意)サーバが到達不能であると判定する前に、クラウド Web セキュリティ プロキシ サーバに対するポーリングに連続して失敗した回数を示す値を入力します。ポーリングは、30 秒ごとに実行されます。有効な値は 2 ~ 100 で、デフォルトは 5 です。 |
|
|
|
要求の送信元の組織を示すため、ASA がクラウド Web セキュリティ プロキシ サーバに送信する認証キーを設定します。認証キーは 16 バイトの 16 進数です。 「認証キー」を参照してください。 |
例
次に、プライマリ サーバとバックアップ サーバを設定する例を示します。
(マルチ コンテキスト モード)セキュリティ コンテキストごとのクラウド Web セキュリティの許可
マルチ コンテキスト モードでは、コンテキストごとにクラウド Web セキュリティを許可する必要があります。詳細については、一般的な操作のコンフィギュレーション ガイドを参照してください。
(注) 管理コンテキストおよび特定のコンテキスト両方の Scansafe タワーに対応するルートを設定する必要があります。これは Scansafe タワーがアクティブ/アクティブ フェールオーバーのシナリオで到達不能にならないことを保障します。
次に、デフォルトのライセンスを使用してコンテキスト 1 でクラウド Web セキュリティをイネーブルにし、ライセンス キーの上書きを使用してコンテキスト 2 でクラウド Web セキュリティをイネーブルにする設定の例を示します。
クラウド Web セキュリティにトラフィックを送信するサービス ポリシーの方法
サービス ポリシー ルールの詳細については、「モジュラ ポリシー フレームワークを使用したサービス ポリシー」を参照してください。
前提条件
(任意)ホワイトリストを使用して一部のトラフィックをクラウド Web セキュリティへの送信から免除する必要がある場合は、サービス ポリシー ルールでホワイトリストを参照できるように、最初に「(任意)ホワイトリストに記載されたトラフィックを設定します」に従ってホワイトリストを作成します。
手順の詳細
|
|
|
|
|---|---|---|
policy-map type inspect scansafe name1 hostname(config)# policy-map type inspect scansafe cws_inspect_pmap1 |
インスペクション ポリシー マップを作成すると、ルールのために必要なパラメータを設定し、任意でホワイトリストを識別できます。クラウド Web セキュリティに送信するトラフィックのクラスごとにインスペクション ポリシー マップが必要です。 |
|
|
|
パラメータを使用すると、プロトコルおよびデフォルト ユーザまたはグループを設定できます。パラメータ コンフィギュレーション モードを開始します。 |
|
|
|
このインスペクション ポリシー マップには、 http または https のいずれか 1 つのサービス タイプのみを指定できます。 |
|
| default { [user username ] [ group groupname ]} |
ASA に入ってくるユーザのアイデンティティを ASA が判別できない場合にデフォルトのユーザやグループが HTTP ヘッダーに含まれることを指定します。 |
|
|
|
「(任意)ホワイトリストに記載されたトラフィックを設定します」で作成したホワイトリスト クラス マップ名を識別します。 |
|
|
|
||
policy-map type inspect scansafe name2 default { [user user ] [ group group ]} hostname(config)# policy-map type inspect scansafe cws_inspect_pmap2 hostname(config-pmap)# parameters hostname(config-pmap-p)# default group2 default_group2 |
ステップ 1 ~ ステップ 6 を繰り返して、HTTPS トラフィックの各クラス マップを作成します(例)。クラウド Web セキュリティに送信するトラフィックのクラスごとにインスペクション クラス マップを作成できます。必要に応じて、トラフィックの複数のクラスに対してインスペクション クラス マップを再利用できます。 |
|
access-list access_list_name [ line line_number ] extended { deny | permit } tcp [ user_argument ] [ security_group_argument ] source_address_argument [ port_argument ] dest_address_argument [ port_argument ] hostname(config)# object network cisco1 hostname(config-object-network)# fqdn www.cisco.com hostname(config)# object network cisco2 hostname(config-object-network)# fqdn tools.cisco.com hostname(config)# access-list SCANSAFE_HTTP extended deny tcp any4 object cisco1 eq 80 hostname(config)# access-list SCANSAFE_HTTP extended deny tcp any4 object cisco2 eq 80 hostname(config)# access-list SCANSAFE_HTTP extended permit tcp any4 any4 eq 80 |
クラウド Web セキュリティに送信するトラフィックのクラスを識別します。1 つまたは複数のアクセス コントロール エントリ(ACE)で構成される ACL を作成します。ACL の設定の詳細については、一般的な操作のコンフィギュレーション ガイドを参照してください。 クラウド Web セキュリティは HTTP および HTTPS トラフィックだけで動作します。各トラフィックのタイプは、ASA によって個別に処理されます。したがって、HTTP のみの ACL および HTTPS のみの ACL を作成する必要があります。ポリシーに必要な数の ACL を作成します。 許可 ACE は、クラウド Web セキュリティに一致したトラフィックを送信します。 拒否 ACE は、クラウド Web セキュリティに送信されないように、トラフィックをサービス ポリシー ルールから免除します。 ACL を作成する場合は、インターネット宛ての適切なトラフィックを照合し、他のインターネット ネットワーク宛てのトラフィックを照合しないようにする方法を考慮します。たとえば、宛先が DMZ の内部サーバである場合に内部トラフィックがクラウド Web セキュリティに送信されないようにするには、DMZ へのトラフィックを免除する ACL に拒否 ACE を追加します。 FQDN ネットワーク オブジェクトは、特定のサーバへのトラフィックを免除するのに役立つ場合があります。 user_argument を使用すると、インラインまたはオブジェクト グループを参照することにより、IDFW のユーザ名またはグループを指定できます。 security_group_argument を使用すると、インラインまたはオブジェクト グループを参照することにより、TrustSec セキュリティ グループを指定できます。セキュリティ グループによってクラウド Web セキュリティに送信するトラフィックを照合できますが、ASA はクラウド Web セキュリティの HTTP ヘッダーにセキュリティ グループ情報を送信しないことに注意してください。クラウド Web セキュリティはセキュリティ グループに基づいてポリシーを作成できません。 |
|
|
|
クラウド Web セキュリティ フィルテリングをイネーブルにするトラフィックを識別するためのクラス マップを作成します。 |
|
|
|
ステップ 8 で作成した ACL を指定します。 このルールには別の照合ステートメントを使用できますが、HTTP または HTTPS のみのトラフィックを識別する最も汎用的なコマンドである match access-list コマンドを使用することを推奨します。詳細については、「トラフィックの特定(レイヤ 3/4 クラス マップ)」を参照してください。 |
|
|
|
(任意)HTTPS トラフィックなどのクラス マップを作成します。このサービス ポリシー ルールに必要な数のクラスを作成できます。 |
|
|
|
クラス マップ トラフィックで実行するアクションを設定するポリシー マップを追加または編集します。デフォルトのグローバル ポリシーのグローバル マップは global_policy と呼ばれます。このポリシーを編集するか、または新しいポリシーを作成できます。各インターフェイスにポリシー マップを 1 つだけ適用するか、またはグローバルに適用できます。 |
|
|
|
ステップ 9 で作成したクラス マップを識別します。 |
|
inspect scansafe scansafe_policy_name1 [ fail-open | fail-close ] hostname(config-pmap-c)# inspect scansafe cws_inspect_pmap1 fail-open |
このクラスのトラフィックに対するクラウド Web セキュリティ インスペクションをイネーブルにします。ステップ 1 で作成したインスペクション クラス マップの名前を指定します。 fail-open を指定すると、クラウド Web セキュリティ サーバを使用できない場合にトラフィックが ASA を通過できます。 fail-close を指定すると、クラウド Web セキュリティ サーバを使用できない場合にすべてのトラフィックがドロップされます。 fail-close がデフォルトです。 |
|
| inspect scansafe scansafe_policy_name2 [ fail-open | fail-close ] hostname(config-pmap)# class cws_class2 hostname(config-pmap-c)# inspect scansafe cws_inspect_pmap2 fail-open |
(任意)ステップ 11 で作成した 2 番目のクラス マップを識別し、そのマップに対するクラウド Web セキュリティ インスペクションをイネーブルにします。 |
|
service-policy policymap_name {global | interface interface_name } |
1 つまたは複数のインターフェイスでポリシー マップをアクティブにします。 global はポリシー マップをすべてのインターフェイスに適用し、 interface は 1 つのインターフェイスに適用します。グローバル ポリシーは 1 つしか適用できません。インターフェイスのグローバル ポリシーは、そのインターフェイスにサービス ポリシーを適用することで上書きできます。各インターフェイスには、ポリシー マップを 1 つだけ適用できます。詳細については、「インターフェイス(サービス ポリシー)へのアクションの適用」を参照してください。 |
例
次に、2 つのクラス(HTTP に 1 つ、HTTPS に 1 つ)を設定する例を示します。各 ACL は www.cisco.com と tools.cisco.com、DMZ ネットワーク、および HTTP と HTTPS の両方に対するトラフィックを免除します。他のすべてのトラフィックは、複数のホワイトリストに記載されたユーザおよびグループを除き、クラウド Web セキュリティに送信されます。ポリシーは、内部インターフェイスに適用されます。
(任意)ホワイトリストに記載されたトラフィックを設定します
ユーザ認証を使用する場合は、ユーザ名やグループ名に基づいて一部のトラフィックをクラウド Web セキュリティによるフィルタリングから免除できます。クラウド Web セキュリティ サービス ポリシー ルールを設定する場合は、ホワイトリスト インスペクション クラス マップを参照できます。IDFW および AAA のユーザ クレデンシャルをこの機能とともに使用できます。
サービス ポリシー ルールを設定すると、ユーザまたはグループに基づいてトラフィックを免除する同じ結果を得ることができますが、ホワイトリストを使用した方がより簡単です。ホワイトリスト機能は、ユーザおよびグループだけに基づき、IP アドレスには基づかないことに注意してください。
手順の詳細
例
次に、HTTP および HTTPS インスペクション ポリシー マップの同じユーザおよびグループをホワイトリストに記載する例を示します。
(任意)ユーザ アイデンティティ モニタを設定します
IDFW を使用する場合、ASA は、アクティブな ACL に含まれるユーザおよびグループの AD サーバからのユーザ アイデンティティ情報のみをダウンロードします。ACL は、アクセス ルール、AAA ルール、サービス ポリシー ルール、またはアクティブと見なされるその他の機能で使用する必要があります。クラウド Web セキュリティでは、そのポリシーがユーザ アイデンティティに基づくことができるため、すべてのユーザに対する完全な IDFW カバレッジを取得するには、アクティブな ACL の一部ではないグループをダウンロードする必要があります。たとえば、ユーザおよびグループとともに ACL を使用するクラウド Web セキュリティ サービス ポリシー ルールを設定して、関連グループをアクティブ化できますが、これは必須ではありません。IP アドレスのみに基づく ACL を使用できます。ユーザ アイデンティティ モニタ機能を使用すると、AD エージェントからグループ情報を直接ダウンロードできます。
制限事項
ASA は、ユーザ アイデンティティ モニタ用に設定されたグループ、アクティブな ACL によってモニタされているグループも含めて 512 以下のグループモニタできます。
手順の詳細
クラウド Web セキュリティ ポリシーの設定
ASA サービス ポリシー ルールを設定した後は、ScanCenter ポータルを起動して、Web コンテンツ スキャン、フィルタリング、マルウェア保護サービスおよびレポートを設定します。
手順の詳細
https://scancenter.scansafe.com/portal/admin/login.jsp に移動します。
詳細については、『Cisco ScanSafe Cloud Web Security Configuration Guides』を参照してください。
http://www.cisco.com/en/US/products/ps11720/products_installation_and_configuration_guides_list.html
クラウド Web セキュリティのモニタ
|
|
|
|---|---|
サーバが現在のアクティブ サーバ、バックアップ サーバ、または到達不能のいずれであるか、サーバのステータスを表示します。 |
|
トラフィックがクラウド Web セキュリティ サーバに移動するかどうかを確認するには、クライアントからこの Web サイトにアクセスします。 |
show scansafe server コマンドは、クラウド Web セキュリティ プロキシ サーバが到達可能かどうかを示します。
show scansafe statistics コマンドは、プロキシ サーバにリダイレクトされる接続数、現在リダイレクトされている接続数、ホワイトリストに記載されている接続数などのクラウド Web セキュリティ アクティビティに関する情報を示します。
show service policy inspect scansafe コマンドは、特定のポリシーによってリダイレクトまたはホワイトリストに記載された接続数を表示します。
Cisco クラウド Web セキュリティの設定例
• 「アイデンティティ ファイアウォールを使用したクラウド Web セキュリティの例」
シングル モードの例
次に、Cisco クラウド Web セキュリティの完全な設定の例を示します。
通過した HTTP および HTTPS パケットの数を確認できるように、個別の HTTP および HTTPS クラス マップを作成して、トラフィックを分割することを推奨します。
その後、トラブルシューティングする必要がある場合、デバッグ コマンドを実行して、各クラス マップを通過したパケットの数を識別し、HTTP または HTTPS トラフィックをさらに通過させているかを確認できます。
マルチ モードの例
次に、デフォルトのライセンスを使用してコンテキスト 1 でクラウド Web セキュリティをイネーブルにし、認証キーの上書きを使用してコンテキスト 2 でクラウド Web セキュリティをイネーブルにする例を示します。
ホワイトリストの例
どのアクセス リスト トラフィックをクラウド Web セキュリティに送信する必要があるかを設定します。
user1 がこのアクセス リストの範囲内であることを確認するホワイト リストを設定して、クラウド Web セキュリティをバイパスするには、次を実行します。
クラウド Web セキュリティ ポリシー マップにクラス マップを添付するには、次を実行します。
このインスペクション ポリシーを作成したら、サービス グループに割り当てられるポリシー マップに添付します。
次に、ポリシー マップをサービス ポリシーに添付して、グローバルに有効にするか、または ASA インターフェイスごとに有効にします。
ディレクトリの統合の例
この項では、ディレクトリの統合のさまざまな設定例を示します。
• 「LDAP を使用する Active Directory サーバの設定」
• 「RADIUS を使用する Active Directory エージェントの設定」
• 「AD エージェント サーバのクライアントとしての ASA の作成」
• 「ユーザ アイデンティティ オプションの設定および詳細なレポートのイネーブル化」
• 「Active Directory グループのモニタリング」
LDAP を使用する Active Directory サーバの設定
次に、LDAP を使用して ASA で Active Directory サーバを設定する例を示します。
RADIUS を使用する Active Directory エージェントの設定
次に、RADIUS を使用して ASA で Active Directory エージェントを設定する例を示します。
AD エージェント サーバのクライアントとしての ASA の作成
次に、Active Directory エージェント サーバのクライアントとして ASA を作成する例を示します。
AD エージェントと DC の間のリンクの作成
次に、ログオン/ログオフ イベントをモニタする Active Directory エージェントとすべての DC の間にリンクを作成する例を示します。
最後のコマンドを実行すると、ステータス「UP」が表示されます。
AD_Agent がログオン/ログオフ イベントをモニタするには、アクティブにモニタされているすべての DC でこれらのイベントがログに記録されていることを確認する必要があります。これを行うには、次を選択します。
[Start] > [Administrative Tools] > [Domain Controller Security Policy]
[Local policies] > [Audit Policy] > [Audit account logon events (success and failure)]
AD エージェントのテスト
次に、ASA と通信できるようにテスト Active Directory エージェントを設定する例を示します。
ASA のアイデンティティ オプションの設定
次に、ASA でアイデンティティ オプションを設定する例を示します。
ユーザ アイデンティティ オプションの設定および詳細なレポートのイネーブル化
次に、ASA にユーザ クレデンシャルを送信し、プロキシ サーバからの詳細なユーザ レポートをイネーブルにするユーザ アイデンティティ オプションを設定する例を示します。
Active Directory グループのモニタリング
次に、Active Directory グループをモニタするように設定する例を示します。
Active Directory サーバからのアクティブ ユーザ データベース全体のダウンロード
次のコマンドは、ポーリング インポート ユーザ グループ タイマーの満了を待たずに即時に Active Directory サーバを照会して、指定されたインポート ユーザ グループ データベースを更新します。
AD エージェントからのデータベースのダウンロード
次に、ユーザ データベースが Active Directory と同期していないと思われる場合に、Active Directory エージェントからのデータベースのダウンロードを手動で開始する例を示します。
アクティブ ユーザのリストの表示
アイデンティティ ファイアウォールには、フル ダウンロードおよびオンデマンドの 2 つのダウンロード モードがあります。
• フル ダウンロード:ユーザがネットワークにログインするたびに、IDFW は即時に ASA にユーザ アイデンティティを通知します(ASA 5512-X 以降で推奨)。
• オンデマンド:ユーザがネットワークにログインするたびに、ASA が AD(ADHOC)からユーザ アイデンティティを要求します。
アイデンティティ ファイアウォールを使用したクラウド Web セキュリティの例
次に、ASA でアイデンティティ ファイアウォールを使用するクラウド Web セキュリティを設定する例を示します。
関連資料
|
|
|
|---|---|
http://www.cisco.com/en/US/products/ps11720/products_installation_and_configuration_guides_list.html |
Cisco クラウド Web セキュリティの機能の履歴
表 15-1 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。
フィードバック