ASA FirePOWER モジュールのライセンス
組織に対して ASA FirePOWER の最適な展開を実現するために、さまざまな機能についてライセンスを取得することができます。
詳細については、以下を参照してください。
ライセンスについて
ライセンス: 任意
組織に対して ASA FirePOWER の最適な展開を実現するために、さまざまな機能についてライセンスを取得することができます。
ライセンスにより、デバイスは次のようなさまざまな機能を実行できます。
- 侵入検知と防御
- セキュリティ インテリジェンス フィルタリング
- ファイル制御および高度なマルウェア防御
- アプリケーション、ユーザ、および URL 制御
ASA FirePOWER モジュール のライセンス付き機能にアクセスできなくなる状況がいくつかあります。ライセンス付き機能を削除できます。また、一部のライセンスには有効期限が設定されています。いくつかの例外がありますが、期限切れライセンスまたは削除済みライセンスに関連付けられている機能は使用できません。
ここでは、ASA FirePOWER モジュール 展開環境で使用可能なライセンスのタイプについて説明します。アプライアンスで有効にできるライセンスは、他の有効なライセンスに応じて異なる場合があります。
次の表に、ASA FirePOWER モジュール ライセンスの要約を示します。
表 42-1 ASA FirePOWER モジュール ライセンス
|
|
|
保護 |
侵入検知と防御 ファイル制御 セキュリティ インテリジェンス フィルタリング |
なし |
Control |
ユーザおよびアプリケーション制御 |
保護 |
マルウェア |
高度なマルウェア防御(ネットワークベースのマルウェアの検出とブロッキング) |
保護 |
URL フィルタリング |
カテゴリとレピュテーションに基づく URL フィルタリング |
保護 |
詳細については、以下を参照してください。
保護
ライセンス: 保護
保護 ライセンスでは、侵入検知および防御、ファイル制御、およびセキュリティ インテリジェンスのフィルタリングを実行できます。
- 侵入検知および防御 により、侵入とエクスプロイトを検出するためネットワーク トラフィックを分析できます。またオプションで違反パケットをドロップできます。
- ファイル制御 により、特定のアプリケーション プロトコルを介した特定タイプのファイルを検出し、オプションでこれらのファイルのアップロード(送信)またはダウンロード(受信)をブロックできます。マルウェア ライセンス(マルウェアを参照)では、マルウェアの性質に基づいて限られたファイル タイプを検査およびブロックすることもできます。
- Security Intelligence フィルタリング により、トラフィックをアクセス コントロール ルールによる分析対象にする前に、特定の IP アドレスをブラックリストに追加(その IP アドレスとの間のトラフィックを拒否)できます。ダイナミック フィードにより、最新の情報に基づいて接続をただちにブラックリストに追加できます。オプションで、セキュリティ インテリジェンス フィルタリングに「モニタのみ」設定を使用できます。
ライセンスがない状態で 保護 関連の検査を実行するようにアクセス コントロール ポリシーを設定できますが、保護 ライセンスを最初に ASA FirePOWER モジュール に追加するまではポリシーを適用できません。
保護 ライセンスを ASA FirePOWER モジュール から削除すると、ASA FirePOWER モジュール は侵入イベントとファイル イベントを検出しなくなります。また、ASA FirePOWER モジュール は シスコ によって提供される情報またはサードパーティのセキュリティ インテリジェンス情報を取得するためにインターネットに接続しなくなります。保護 を再度有効にするまでは、既存のポリシーを再適用できません。
保護 ライセンスは URL フィルタリング、マルウェア、およびControl ライセンスに必要であるため、保護 ライセンスを削除または無効にすると、URL フィルタリング、マルウェア、または Control ライセンスを削除または無効にすることと同じ効果があります。
Control
ライセンス: Control
Control ライセンスでは、アクセス コントロール ルールにユーザとアプリケーションの条件を追加することで、ユーザとアプリケーションの制御を実装できます。Control を有効にするには、保護 も有効にする必要があります。
Control ライセンスがない状態でアクセス コントロール ルールにユーザ条件とアプリケーション条件を追加できますが、ポリシーを適用するには、最初に Control ライセンスを ASA FirePOWER モジュール に追加します。
Controlライセンスを削除すると、既存のアクセス コントロール ポリシーにユーザまたはアプリケーションの条件が含まれている場合はそのポリシーを再適用できません。
URL フィルタリング
ライセンス: URL フィルタリング
URL フィルタリングにより、モニタ対象ホストにより要求される URL に基づいて、ネットワークを移動可能なトラフィックを判別するアクセス コントロール ルールを作成し、ASA FirePOWER モジュール が シスコ クラウドから取得する URL に関する情報に関連付けることができます。URL フィルタリング を有効にするには、保護 ライセンスも有効にする必要があります。
ヒント URL フィルタリング ライセンスがない状態で、許可またはブロックする個別 URL または URL グループを指定できます。これにより、Web トラフィックをカスタムできめ細かく制御できますが、URL カテゴリおよびレピュテーション データをネットワーク トラフィックのフィルタリングに使用することはできません。
URL フィルタリングにはサブスクリプション ベースの URL フィルタリング ライセンスが必要です。URL フィルタリング ライセンスがない状態でも、アクセス コントロール ルールにカテゴリ ベースの URL 条件およびレピュテーション ベースの URL 条件を追加できますが、ASA FirePOWER モジュール は URL 情報を取得するためにクラウドに接続しません。最初に URL フィルタリング ライセンスを ASA FirePOWER モジュール に追加するまでは、アクセス コントロール ポリシーを適用できません。
ASA FirePOWER モジュール からライセンスを削除すると、URL フィルタリングにアクセスできなくなることがあります。また、URL フィルタリング ライセンスが期限切れになることがあります。ライセンスが期限切れになるか、ライセンスを削除すると、URL 条件が含まれているアクセス コントロール ルールは URL フィルタリングをただちに停止し、ASA FirePOWER モジュール はクラウドにアクセスできなくなります。既存のアクセス コントロール ポリシーに、カテゴリ ベースまたはレピュテーション ベースの URL 条件を含むルールが含まれている場合は、それらのポリシーを再適用することができません。
マルウェア
ライセンス: マルウェア
マルウェア ライセンスでは、高度なマルウェア防御を実行できます。つまり、デバイスを使用して、ネットワーク上で送信されるファイルからマルウェアを検出してブロックできます。デバイス上で マルウェア を有効にするには、保護 も有効にする必要があります。
ファイル ポリシーの一部としてマルウェア検出を設定し、その後 1 つ以上のアクセス コントロール ルールを関連付けます。ファイル ポリシーは、特定のアプリケーション プロトコルを使用して特定のファイルをアップロードまたはダウンロードするユーザを検出できます。マルウェア ライセンスでは、限られたファイル タイプのセットを調べてマルウェアが存在するかどうかを確認します。マルウェア ライセンスでは、ファイル リストに特定のファイルを追加し、そのファイル リストをファイル ポリシー内で有効にすることもできます。これにより、検出時にこれらのファイルを自動的に許可またはブロックできます。
マルウェア ライセンスがなくてもアクセス コントロール ルールにマルウェア検出ファイル ポリシーを追加できますが、アクセス コントロール ルール エディタでこのファイル ポリシーに警告アイコン( )が付きます。ファイル ポリシー内でも、マルウェア クラウド ルックアップ ルールに警告アイコンが付きます。マルウェア検出ファイル ポリシーを含むアクセス コントロール ポリシーを適用する前に、マルウェア ライセンスを追加する 必要があります 。後からライセンスを削除すると、マルウェア検出を実行するファイル ポリシーが含まれている既存のアクセス コントロール ポリシーをこれらのデバイスに対して再適用することはできません。
マルウェア ライセンスを削除するか、期限切れになると、ASA FirePOWER モジュール はマルウェア クラウド ルックアップの実行と、シスコ クラウドから送信される遡及的イベントの認識を停止します。既存のアクセス コントロール ポリシーにマルウェア検出を実行するファイル ポリシーが含まれている場合、このアクセス コントロール ポリシーを再適用することはできません。マルウェア ライセンスの期限切れまたは削除後のごく短い時間内は、マルウェア クラウド ルックアップ ファイル ルールで検出されたファイルのキャッシュされた性質を、システムが使用できることに注意してください。この時間枠の経過後は、システムは検索を実行せず Unavailable
という性質をこれらのファイルに割り当てます。
ライセンスの表示
ライセンス: 任意
[ライセンス(Licenses)] ページで、ASA FirePOWER モジュール のライセンスを表示します。
[ラインセス(Licenses)] ページ以外にも、ライセンスとライセンス制限を確認できる方法がいくつかあります。
- [製品ライセンス(Product Licensing)] ダッシュボード ウィジェットはライセンスの概要を示します。
- [デバイス(Device)] ページ([設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [デバイス管理(Device Management)] > [デバイス(Device)])には、ライセンスがリストされます。
ライセンスを確認するには、次の手順を実行します。
ステップ 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ライセンス(Licenses)] の順に選択します。
[ライセンス(Licenses)] ページが表示されます。
ASA FirePOWER モジュールへのライセンスの追加
ライセンス: 任意
ASA FirePOWER モジュールにライセンスを追加する前に、ライセンスの購入時にシスコから提供されたアクティベーション キーがあることを確認してください。ライセンス付き機能を使用する前に、ライセンスを追加する 必要があります 。
(注) バックアップが完了した後にライセンスを追加した場合は、このバックアップを復元するときに、それらのライセンスが削除されたり上書きされたりすることはありません。復元の際の競合を防止するためにも、バックアップを復元する前に、これらのライセンスを(それらが使用されている場所をメモした上で)削除し、バックアップを復元した後で、追加して再設定してください。競合が発生した場合は、サポートに連絡してください。
ライセンスを追加するには、次の手順を実行します。
ステップ 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ライセンス(Licenses)] の順に選択します。
[ライセンス(Licenses)] ページが表示されます。
ステップ 2 [新規ライセンスの追加(Add New License)] をクリックします。
[ライセンスの追加(Add License)] ページが表示されます。
ステップ 3 ライセンスを電子メールで受信しましたか?
- 電子メールで受信した場合は電子メールからライセンスをコピーし、[ライセンス(License)] フィールドに貼り付け、[ライセンスの送信(Submit License)] をクリックします。
ライセンスが正しい場合、ライセンスが追加されます。残りの手順は省略します。
- 電子メールで受信していない場合は、[ライセンスの取得(Get License)] をクリックします。
[製品ライセンス登録(Product License Registration)] ポータルが表示されます。インターネットにアクセスできない場合は、インターネットにアクセスできるコンピュータに切り替えてください。ページ下部に表示されるライセンス キーを書きとめ、 https://www.cisco.com/go/license [英語] を参照します。
ステップ 4 画面の指示に従ってライセンスを取得します。ライセンスは電子メールで送信されます。
ヒント サポート サイトにログインした後で、[ライセンス(Licenses)] タブでライセンスを要求することもできます。
ステップ 5 電子メールからライセンスをコピーし、ASA FirePOWER モジュール の Web ユーザ インターフェイスの [ライセンス(License)] フィールドに貼り付け、[ライセンスの送信(Submit License)] をクリックします。
ライセンスが有効な場合、ライセンスが追加されます。
ライセンスの削除
ライセンス: 任意
何らかの理由でライセンスを削除する必要がある場合は、次の手順を使用します。シスコ は各 ASA FirePOWER モジュール の固有ライセンス キーに基づいてライセンスを生成するため、ある ASA FirePOWER モジュール からライセンスを削除し、この削除したライセンスを別の ASA FirePOWER モジュール で再利用することはできないことに注意してください。
ほとんどの場合、ライセンスを削除すると、そのライセンスによって有効になる機能を使用することができなくなります。詳細については、ライセンスについてを参照してください。
ライセンスを削除するには:
ステップ 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ライセンス(Licenses)] の順に選択します。
[ライセンス(Licenses)] ページが表示されます。
ステップ 2 削除するライセンスの横にある削除アイコン( )をクリックします。
ステップ 3 ライセンスを削除することを確認します。
ライセンスが削除されます。