接続、インストール、設定の概要
Web Security Appliances には、標準と クラウド Web セキュリティ コネクタ の 2 つの動作モードがあります。
Web Security Appliances の標準動作モードには、オンサイトの Web プロキシ サービスとレイヤ 4 トラフィック モニタリングが含まれています。これらのサービスはいずれも クラウド Web セキュリティ コネクタ モードでは使用できません。
クラウド Web セキュリティ コネクタ モードでは、アプライアンスは、Web セキュリティ ポリシーが適用されている Cisco Cloud Web Security(CWS)プロキシに接続してトラフィックをルーティングします。
アプライアンスには複数のポートが搭載されており、各ポートは割り当てられた 1 つ以上の特定のデータ型を管理します。
アプライアンスは、ネットワーク ルート、DNS、VLAN、およびその他の設定とサービスを使用して、ネットワーク接続とトラフィック代行受信を管理します。システム セットアップ ウィザード(System Setup Wizard)では基本的なサービスと設定項目をセットアップすることができ、アプライアンスの Web インターフェイスでは、設定の変更や追加オプションの設定を行うことができます。
操作モードの比較
Web セキュリティ アプライアンスの標準動作モードには、オンサイトの Web プロキシ サービスとレイヤ 4 トラフィック モニタリングが含まれています。これらのサービスはいずれも クラウド Web セキュリティ コネクタ モードでは使用できません。
クラウド Web セキュリティ コネクタ モードでは、アプライアンスは、Web セキュリティ ポリシーが適用されている Cisco Cloud Web Security プロキシに接続してトラフィックをルーティングします。
以下の表では、各モードで使用可能なさまざまなメニュー コマンドを示し、それにより各モードで使用可能なさまざまな機能について説明します。
|
|
|
|
システム ステータス(System Status) 概要 Users Web サイト(Web Sites) URL カテゴリ(URL Categories) アプリケーションの表示(Application Visibility) マルウェア対策(Anti-Malware) 高度なマルウェア防御(Advanced Malware Protection) ファイル分析(File Analysis) AMP 判定のアップデート(AMP Verdict Updates) クライアント マルウェア リスク(Client Malware Risk) Web レピュテーション フィルタ(Web Reputation Filters) レイヤ 4 トラフィック モニタ(Layer-4 Traffic Monitor) ユーザの場所別レポート(Reports by User Location) Web トラッキング(Web Tracking) システム容量(System Capacity) システム ステータス(System Status) スケジュール設定されたレポート(Scheduled Reports) アーカイブ レポート(Archived Reports) |
システム ステータス(System Status) |
Web セキュリティ マネージャ(Web Security Manager)
|
識別プロファイル(Identification Profiles) クラウド ルーティング ポリシー(Cloud Routing Policies) SaaS ポリシー(SaaS Policies) 復号ポリシー(Decryption Policies) ルーティング ポリシー(Routing Policies) アクセス ポリシー(Access Policies) 全体の帯域幅の制限(Overall Bandwidth Limits) Cisco データ セキュリティ(Cisco Data Security) 発信マルウェアスキャン(Outbound Malware Scanning) 外部データ消失防止(External Data Loss Prevention) SOCKS ポリシー(SOCKS Policies) カスタム URL カテゴリ 時間範囲およびクォータの定義(Define Time Ranges and Quotas) バイパス設定(Bypass Settings) レイヤ 4 トラフィック モニタ(Layer-4 Traffic Monitor) |
識別プロファイル(Identification Profiles) クラウド ルーティング ポリシー(Cloud Routing Policies) 外部データ消失防止(External Data Loss Prevention) カスタム URL カテゴリ(Custom URL Categories) |
|
Web プロキシ(Web Proxy) FTP プロキシ(FTP Proxy) HTTPS プロキシ(HTTPS Proxy) SOCKS プロキシ(SOCKS Proxy) PAC ファイル ホスティング(PAC File Hosting) 使用許可コントロール(Acceptable Use Controls) マルウェア対策とレピュテーション(Anti-Malware and Reputation) データ転送フィルタ(Data Transfer Filters) AnyConnect セキュア モビリティ(AnyConnect Secure Mobility) ユーザ通知(End-User Notification) L4 トラフィック モニタ(L4 Traffic Monitor) SensorBase レポート |
Web プロキシ(Web Proxy) |
|
インターフェイス 透過リダイレクション(Transparent Redirection) ルート DNS 高可用性 内部 SMTP リレー(Internal SMTP Relay) 上位プロキシ(Upstream Proxy) 外部 DLP サーバ(External DLP Servers) 証明書の管理(Certificate Management) 認証 SaaS のアイデンティティ プロバイダー Identity Services Engine |
インターフェイス 透過リダイレクション(Transparent Redirection) ルート DNS 高可用性 内部 SMTP リレー(Internal SMTP Relay) 外部 DLP サーバ(External DLP Servers) 証明書の管理(Certificate Management) 認証 マシン ID サービス(Machine ID Service) クラウド コネクタ(Cloud Connector) |
|
ポリシー トレース(Policy Trace) アラート(Alerts) ログ サブスクリプション(Log Subscriptions) 返信先アドレス(Return Addresses) SSL の設定(SSL Configuration) Users Network Access タイム ゾーン 時刻設定(Time Settings) 設定の概要 設定ファイル(Configuration File) 機能キーの設定(Feature Key Settings) ライセンス キー(Feature Keys) アップグレードとアップデートの設定(Upgrade and Update Settings) システム アップグレード(System Upgrade) システム セットアップ ウィザード(System Setup Wizard) FIPS モード(FIPS Mode) 次の手順 |
アラート(Alerts) ログ サブスクリプション(Log Subscriptions) SSL の設定(SSL Configuration) Users Network Access タイム ゾーン 時刻設定(Time Settings) 設定の概要 設定ファイル(Configuration File) ライセンス キー(Feature Keys) アップグレードとアップデートの設定(Upgrade and Update Settings) システム アップグレード(System Upgrade) システム セットアップ ウィザード(System Setup Wizard) |
アプライアンスの接続
はじめる前に
- アプライアンスを設置するには、管理用アプライアンスにケーブルを配線して電源に接続し、そのアプライアンスのハードウェア ガイドの手順に従います。ご使用のモデルのマニュアルの場所については、ドキュメント セットを参照してください。
- 透過リダイレクションのためにアプライアンスを物理的に WCCP v2 ルータに接続する場合は、まず、WCCP ルータがレイヤ 2 リダイレクションに対応していることを確認します。
- 以下のシスコ推奨設定に注意してください。
– パフォーマンスとセキュリティの向上のために、可能な場合はシンプレックス ケーブル(着信と発信トラフィック用の個別のケーブル)を使用します。
手順 1 管理インターフェイスを接続します(まだ接続していない場合)。
|
|
M1 |
接続可能な場所に M1 を接続します。
- 管理トラフィックを送受信します。
- (任意)Web プロキシ データ トラフィックを送受信します。
M1 にラップトップを直接接続して、アプライアンスを管理できます。 ホスト名(http://hostname:8080)を使用して管理インターフェイスに接続するには、アプライアンスのホスト名と IP アドレスを DNS サーバ データベースに追加します。 |
P1 および P2(任意) |
- 発信方向の管理サービス トラフィックで使用可能ですが、管理には使用できません。
- [ポート M1 は管理目的でのみ使用(Use M1 port for management only)]([ネットワーク(Network)] > [インターフェイス(Interfaces)] ページ)をイネーブルにします。
- データ インターフェイスを使用するように、サービスのルーティングを設定します。
|
手順 2 (任意)アプライアンスをデータ トラフィックに直接接続するか、透過リダイレクション デバイスを介して接続します。
|
|
|
P1/P2 |
P1 のみ:
- [ポート M1 は管理目的でのみ使用(Use M1 port for management only)] をイネーブルにします。
- P1 と M1 を異なるサブネットに接続します。
- 着信と発信の両方のトラフィックを受信できるように、デュプレックス ケーブルを使用して P1 を内部ネットワークとインターネットに接続します。
P1 および P2
- P1 をイネーブルにします。
- M1、P1、P2 を異なるサブネットに接続します。
- P2 をインターネットに接続し、着信インターネット トラフィックを受信します。
システム セットアップ ウィザードの実行後、P2 をイネーブルにします。 |
デバイス:WCCP v2 ルータ:
- レイヤ 2 リダイレクションの場合は、ルータを物理的に P1/P2 に接続します。
- レイヤ 3 リダイレクションの場合は、総称ルーティング カプセル化(GRE)でパフォーマンス上の問題が発生する可能性があるので注意してください。
- アプライアンス上に WCCP サービスを作成します。
デバイス:レイヤ 4 スイッチ:
- レイヤ 2 リダイレクションの場合は、スイッチを物理的に P1/P2 に接続します。
- レイヤ 3 リダイレクションの場合は、総称ルーティング カプセル化(GRE)でパフォーマンス上の問題が発生する可能性があるので注意してください。
(注) アプライアンスはインライン モードをサポートしていません。
|
M1(任意) |
[ポート M1 は管理目的でのみ使用(Use M1 port for management only)] がディセーブルの場合は、M1 がデフォルトのデータ トラフィック用ポートになります。 |
該当なし。 |
手順 3 (任意)レイヤ 4 トラフィックをモニタするには、プロキシ ポートの後ろと、クライアント IP アドレスのネットワーク アドレス変換(NAT)を実行するデバイスの前に、タップ、スイッチ、またはハブを接続します。
|
|
T1/T2 |
レイヤ 4 トラフィック モニタのブロッキングを許可するには、Web セキュリティ アプライアンスと同じネットワーク上にレイヤ 4 トラフィック モニタを配置します。 推奨設定: デバイス:ネットワーク タップ:
- ネットワーク タップに T1 を接続し、発信クライアント トラフィックを受信します。
- ネットワーク タップに T2 を接続し、着信インターネット トラフィックを受信します。
その他のオプション: デバイス:ネットワーク タップ:
- T1 でデュプレックス ケーブルを使用し、着信および発信トラフィックを受信します。
デバイス:スイッチ上のスパン化またはミラー化されたポート
- 発信クライアント トラフィックを受信するように T1 を接続し、着信インターネット トラフィックを受信するように T2 を接続します。
- (準推奨)半二重または全二重ケーブルを使用して T1 を接続し、着信と発信の両方のトラフィックを受信します。
デバイス:ハブ:
- (低推奨)デュプレックス ケーブルを使用して T1 を接続し、着信と発信の両方のトラフィックを受信します。
アプライアンスは、これらのインターフェイス上のすべての TCP ポートでトラフィックをリッスンします。 |
手順 4 外部プロキシをアプライアンスのアップストリームに接続し、外部プロキシがアプライアンスからデータを受信できるようにします。
次の作業
関連項目
設定情報の収集
以下のワークシートを使用して、システム セットアップ ウィザード(System Setup Wizard)の実行時に必要な設定値を記録できます。各プロパティの詳細については、システム セットアップ ウィザードの参照情報を参照してください。
|
|
|
|
|
アプライアンスの詳細(Appliance Details) |
|
ルート |
|
デフォルト システム ホスト名(Default System Hostname) |
|
管理トラフィック(Management Traffic) |
|
ローカル DNS サーバ(Local DNS Server(s)) (インターネット ルート サーバを使用しない場合に必要) |
|
デフォルト ゲートウェイ(Default Gateway) |
|
DNS サーバ 1(DNS Server 1) |
|
(任意)スタティック ルート テーブル名(Static Route Table Name) |
|
(任意)DNS サーバ 2(DNS Server 2) |
|
(任意)スタティック ルート テーブルの宛先ネットワーク(Static Route Table Destination Network) |
|
(任意)DNS サーバ 3(DNS Server 2) |
|
(任意)標準サービスのルータ アドレス(Standard Service Router Addresses) |
|
(任意)時間の設定(Time Settings) |
|
(任意)データ トラフィック(Data Traffic) |
|
ネットワーク タイム プロトコル サーバ(Network Time Protocol Server) |
|
デフォルト ゲートウェイ(Default Gateway) |
|
(任意)外部プロキシの詳細(External Proxy Details) |
|
スタティック ルート テーブル名(Static Route Table Name) |
|
プロキシ グループ名(Proxy Group Name) |
|
スタティック ルート テーブルの宛先ネットワーク(Static Route Table Destination Network) |
|
プロキシ サーバのアドレス(Proxy Server Address) |
|
(任意) WCCP 設定(WCCP Settings) |
|
プロキシ ポート番号(Proxy Port Number) |
|
WCCP ルータ アドレス(WCCP Router Address) |
|
インターフェイスの詳細(Interface Details) |
|
WCCP ルータ パスフレーズ(WCCP Router Passphrase) |
|
管理(M1)ポート(Management (M1) Port) |
|
管理設定(Administrative Settings) |
|
IPv4 アドレス(IPv4 Address)(必須) IPv6 アドレス(IPv6 Address)(任意) |
|
管理者パスフレーズ(Administrator Passphrase) |
|
ネットワーク マスク(Network Mask) |
|
システム アラート メールの送信先(Email System Alerts To) |
|
ホストネーム |
|
(任意)SMTP リレー ホスト(SMTP Relay Host) |
|
(任意)データ(P1)ポート(Data (P1) Port) |
|
|
|
IPv4(任意) IPv6 アドレス(IPv6 Address)(任意) |
|
|
|
ネットワーク マスク(Network Mask) |
|
|
|
ホストネーム |
|
|
|
はじめる前に:
- アプライアンスをネットワークとデバイスに接続します。アプライアンスの接続を参照してください。
- システム セットアップ ウィザードのワークシートを完成させます。設定情報の収集を参照してください。
- 仮想アプライアンスを設定する場合は、以下の手順に従います。
– loadlicense
コマンドを使用して、仮想アプライアンスのライセンスをロードします。詳細については、『 Cisco Content Security Virtual Appliance Installation Guide 』を参照してください。このドキュメントは、 http://www.cisco.com/c/en/us/support/security/web-security-appliance/products-installation-guides-list.html から入手できます。
– HTTP、および/または HTTPS インターフェイスを有効にします(コマンドライン インターフェイス(CLI)で、 interfaceconfig
コマンドを実行します)。
警告 初めてアプライアンスをインストールする場合や既存の設定を完全に上書きする場合にのみ、システム セットアップ ウィザード(System Setup Wizard)を使用してください。
手順 1 ブラウザを開き、Web Security Appliance の IP アドレスを入力します。初めてシステム セットアップ ウィザード(System Setup Wizard)を実行するときは、以下のデフォルトの IP アドレスを使用します。
https://192.168.42.42:8443
または http://192.168.42.42:8080
ここで、 192.168.42.42
はデフォルト IP アドレス、 8080
は、HTTP のデフォルトの管理ポートの設定、 8443
は HTTPS のデフォルトの管理ポートです。
あるいは、アプライアンスが現在設定されている場合は、M1 ポートの IP アドレスを使用します。
手順 2 アプライアンスのログイン画面が表示されたら、アプライアンスにアクセスするためのユーザ名とパスフレーズを入力します。デフォルトで、アプライアンスには以下のユーザ名とパスフレーズが付属します。
- ユーザ名: admin
- パスフレーズ: ironport
手順 3 パスフレーズをただちに変更する必要があります。
手順 4 [システム管理(System Administration)] > [システム セット アップウィザード(System Setup Wizard)] を選択します。
アプライアンスがすでに設定されている場合は、設定がリセットされるという警告が表示されます。システム セットアップ ウィザード(System Setup Wizard)を続行するには、[設定情報のリセット(Reset Configuration)] ボタンをクリックします。アプライアンスがリセットされ、ブラウザが更新されてアプライアンスのホーム画面が表示されます。
手順 5 エンドユーザ ライセンス契約が表示されたら、内容を読んで同意します。
手順 6 続行するには、[セットアップの開始(Begin Setup)] をクリックします。
手順 7 必要に応じて、以下のセクションで提供されるリファレンス テーブルを使用して、すべての設定を行います。システム セットアップ ウィザードの参照情報を参照してください。
手順 8 設定情報を確認してください。オプションを変更する必要がある場合は、そのセクションで [編集(Edit)] をクリックします。
手順 9 [この設定をインストール(Install This Configuration)] をクリックします。
設定がインストールされると、[次のステップ(Next Steps)] ページが表示されます。ただし、セットアップ中に設定した IP、ホスト名、DNS 設定によっては、この段階でアプライアンスへの接続が失われることがあります。「ページが見つかりません(Page Not Found)」というメッセージがブラウザに表示される場合は、新しいアドレス設定が反映されるように URL を変更し、ページをリロードします。その後、実行する必要があるポスト セットアップ タスクを続行します。
ネットワーク/システムの設定
|
|
デフォルト システム ホスト名(Default System Hostname) |
システム ホスト名は、以下の領域でアプライアンスの識別に使用される完全修飾ホスト名です。
- コマンドライン インターフェイス(CLI)
- システム アラート
- エンドユーザ通知ページおよび確認ページ
- Web Security Appliance が Active Directory ドメインに参加するときに、マシンの NetBIOS 名を作成する場合
システム ホスト名はインターフェイスのホスト名と直接対応しておらず、クライアントがアプライアンスに接続するために使用されません。 |
DNS サーバ(DNS Server(s)) |
- [インターネットのルート DNS サーバを使用(Use the Internet's Root DNS Servers)]:アプライアンスがネットワーク上の DNS サーバにアクセスできない場合に、ドメイン名サービス ルックアップにインターネットのルート DNS サーバを使用することを選択できます。
(注) インターネット ルート DNS サーバは、ローカル ホスト名を解決しません。アプライアンスでローカル ホスト名を解決する必要がある場合は、ローカル DNS サーバを使用して解決するか、CLI からローカル DNS に適切なスタティック エントリを追加する必要があります。 [以下の DNS サーバを使用(Use these DNS Servers)]:アプライアンスがホスト名の解決に使用できるローカル DNS サーバにアドレスを提供します。 これらの設定の詳細については、DNS の設定を参照してください。 |
NTP サーバ(NTP Server) |
システム クロックをネットワークまたはインターネット上の他のサーバと同期させるために使用する、Network Time Protocol(NTP)サーバ。 デフォルトは、time.sco.cisco.com です。 |
タイム ゾーン |
アプライアンスの場所に応じたタイム ゾーン情報を提供します。メッセージ ヘッダーおよびログファイルのタイムスタンプに影響します。 |
アプライアンスの動作モード(Appliance Mode of Operation) |
- 標準:標準的なオンプレミス ポリシーの適用に使用します。
- クラウド Web セキュリティ コネクタ:主に、Cisco クラウド Web セキュリティ サービスにトラフィックをダイレクトし、ポリシーを適用して脅威から防御するために使用します。
これらの動作モードの詳細については、操作モードの比較を参照してください。 |
ネットワーク/ネットワーク コンテキスト
(注) 別のプロキシ サーバを含むネットワークで Web Security Appliance を使用する場合は、プロキシ サーバのダウンストリームで、クライアントのできるだけ近くに Web Security Appliance を配置することを推奨します。
|
|
ネットワークには他の Web プロキシがありますか?(Is there another web proxy on your network?) |
ネットワークに以下のような別のプロキシがあるかどうか。 a. トラフィックが通過する必要があるプロキシ b. Web Security Appliance のアップストリームになるプロキシ 両方とも該当する場合は、チェックボックスをオンにします。これにより、1 つのアップストリーム プロキシのプロキシ グループを作成できます。後で、さらにアップストリーム プロキシを追加できます。 |
プロキシ グループ名(Proxy group name) |
アプライアンスでプロキシ グループの識別に使用される名前。 |
アドレス(Address) |
アップストリーム プロキシ サーバのホスト名または IP アドレス。 |
ポート(Port) |
アップストリーム プロキシ サーバのポート番号。 |
関連項目
ネットワーク/クラウド コネクタの設定
|
|
クラウド Web セキュリティ プロキシ サーバ(Cloud Web Security Proxy Servers) |
クラウド プロキシ サーバ(CPS)のアドレス(例: proxy1743.scansafe.net )。 |
失敗のハンドリング(Failure Handling) |
AsyncOS がクラウド Web セキュリティ プロキシへの接続に失敗した場合、インターネットに [直接接続(Connect directly)] するか、[要求をドロップ(Drop requests)] します。 |
Cloud Web Security 認証スキーム(Cloud Web Security Authorization Scheme) |
トランザクションを認証する方式:
- Web セキュリティ アプライアンスの公開されている IPv4 アドレス。
- 各トランザクションに含まれている認証キー。Cisco Cloud Web Security Portal 内で認証キーを生成できます。
|
ネットワーク/ネットワーク インターフェイスおよび配線
Web Security Appliance の管理および(デフォルトで)プロキシ(データ)トラフィック用に使用される IP アドレス、ネットワーク マスク、ホスト名。
アプライアンス管理インターフェイスに接続するときに(または、M1 がプロキシ データに使用される場合はブラウザ プロキシ設定で)、ここで指定したホスト名を使用できます。ただし、そのホスト名を組織の DNS に登録しておく必要があります。
|
|
イーサネット ポート(Ethernet Port) |
(任意)データ トラフィック用に個別のポートを使用する場合は、[ポート M1 は管理目的でのみ使用(Use M1 Port For Management Only)] をオンにします。 M1 インターフェイスを管理トラフィック専用として設定する場合は、データ トラフィック用の P1 インターフェイスを設定する必要があります。また、管理トラフィックとデータ トラフィック用に異なるルートを定義する必要があります。ただし、管理トラフィックとデータ トラフィックの両方を M1 インターフェイスとして使用する場合でも、P1 インターフェイスを設定できます。 システム セットアップ ウィザード(System Setup Wizard)では、P1 ポートのみをイネーブルにして設定できます。P2 インターフェイスをイネーブルにする場合は、システム セットアップ ウィザード(System Setup Wizard)を終了してから行う必要があります。 |
IP アドレス/ネットマスク(IP Address / Netmask) |
このネットワーク インターフェイス上の Web セキュリティ アプライアンスを管理する際に使用する IP アドレスとネットワーク マスク。 |
ホストネーム |
このネットワーク インターフェイス上の Web セキュリティ アプライアンスを管理する際に使用するホスト名。 |
ネットワーク/レイヤ 4 トラフィック モニタの配線
|
|
レイヤ 4 トラフィック モニタ(Layer-4 Traffic Monitor) |
「T」インターフェイスに接続されている有線接続のタイプ:
- デュプレックス タップ。 T1 ポートは、着信と発信の両方のトラフィックを受信します。
- シンプレックス タップ。 T1 ポートは(クライアントからインターネットへの)発信トラフィックを受信し、T2 ポートは(インターネットからクライアントへの)着信トラフィックを受信します。
シスコでは、パフォーマンスおよびセキュリティを向上させることができるため、可能な限りシンプレックスを使用することを推奨します。 |
管理およびデータ トラフィックのネットワーク/ルートの設定
(注) [ポート M1 は管理目的でのみ使用(Use M1 port for management only)] をイネーブルにした場合、このセクションには、管理トラフィックとデータ トラフィック用の個別のセクションが表示されます。それ以外の場合は 1 つの結合されたセクションが表示されます。
|
|
デフォルト ゲートウェイ(Default Gateway) |
管理およびデータ インターフェイスを通過するトラフィックに使用するデフォルト ゲートウェイの IP アドレス。 |
スタティック ルート テーブル(Static Routes Table) |
管理およびデータ トラフィック用のオプションのスタティック ルート。複数のルートを追加できます。
- [名前(Name)]:スタティック ルートの識別に使用する名前。
- [内部ネットワーク(Internal Network)]:このルートのネットワーク上の宛先の IPv4 アドレス。
- [内部ゲートウェイ(Internal Gateway)]:このルートのゲートウェイ IPv4 アドレス。ルート ゲートウェイは、それが設定されている管理インターフェイスまたはデータ インターフェイスと同じサブネット上に存在する必要があります。
|
ネットワーク/透過的接続の設定
(注) デフォルトでは、クラウド コネクタは透過モードで展開され、レイヤ 4 スイッチまたは WCCP バージョン 2 ルータと接続する必要があります。
|
|
レイヤ 4 スイッチまたはデバイスなし(Layer-4 Switch or No Device) |
Web Security Appliance が透過リダイレクション用にレイヤ 4 スイッチに接続されていること、または透過リダイレクション デバイスを使用せず、クライアントがアプライアンスに明示的に要求を転送することを指定します。 |
WCCP v2 ルータ(WCCP v2 Router) |
Web Security Appliance が WCCP バージョン 2 対応ルータに接続されていることを指定します。 アプライアンスを WCCP バージョン 2 ルータに接続する場合は、少なくとも 1 つの WCCP サービスを作成する必要があります。この画面で、または システム セットアップ ウィザード(System Setup Wizard)の終了後に、標準サービスをイネーブルにでき、複数のダイナミック サービスを作成することもできます。 標準サービスをイネーブルにすると、ルータ セキュリティをイネーブルにして、パスフレーズを入力することもできます。ここで使用されるパスフレーズは、同じサービス グループ内のすべてのアプライアンスと WCCP ルータで使用する必要があります。 標準サービス タイプ(別名「Web キャッシュ」サービス)には、固定 ID「ゼロ」、固定リダイレクト方式「宛先ポート別」、固定宛先ポート「80」 が割り当てられます。 ダイナミック サービス タイプでは、カスタム ID、ポート番号、およびリダイレクト オプションとロード バランシング オプションを定義できます。 |
ネットワーク/管理の設定
|
|
管理者パスフレーズ(Administrator Passphrase) |
管理のために Web Security Appliance にアクセスするときに使用されるパスフレーズ。 |
システム アラート メールの送信先(Email System Alerts To) |
アプライアンスがシステム アラートを送信する宛先の電子メール アドレス。 |
SMTP リレー ホスト経由で電子メールを送信(Send Email via SMTP Relay Host)(任意) |
AsyncOS がシステムで生成された電子メール メッセージの送信に使用できる、SMTP リレー ホストのアドレスとポート。 SMTP リレー ホストが定義されていない場合、AsyncOS は MX レコードにリストされているメール サーバを使用します。 |
オートサポート(AutoSupport) |
アプライアンスがシステム アラートと毎週のステータス レポートをシスコ カスタマー サポートに送信するかどうかを指定します。 |
SensorBase ネットワークに参加(SensorBase Network Participation) |
Cisco SensorBase ネットワークに参加するかどうかを指定します。参加する場合、制限付き参加または標準(完全な)参加を設定できます。デフォルトは標準です。 SensorBase ネットワークは、世界中の何百万ものドメインを追跡し、インターネット トラフィックのグローバルな監視リストを保持する脅威管理データベースです。SensorBase ネットワーク参加をイネーブルにすると、Web Security Appliance は SensorBase ネットワーク データの価値を高めるために、HTTP 要求に関する匿名の統計情報をシスコに送信します。 |
セキュリティ/セキュリティ設定
|
|
グローバル ポリシーのデフォルト アクション(Global Policy Default Action) |
システム セットアップ ウィザード(System Setup Wizard)の完了後、デフォルトで、すべての Web トラフィックをブロックするか、モニタするかを選択します。グローバル アクセス ポリシーのプロトコルとユーザ エージェントの設定を編集することで、後でこの動作を変更できます。デフォルトの設定は、トラフィックのモニタです。 |
L4 トラフィック モニタ(L4 Traffic Monitor) |
システム セットアップ ウィザード(System Setup Wizard)の完了後、デフォルトで、レイヤ 4 トラフィック モニタでモニタするか、疑わしいマルウェアをブロックするかを選択します。この設定は後で変更できます。デフォルトの設定は、トラフィックのモニタです。 |
使用許可コントロール(Acceptable Use Controls) |
[使用許可コントロール(Acceptable Use Controls)] をイネーブルにするかどうかを指定します。 イネーブルにすると、使用許可コントロールにより、URL フィルタリングに基づいてポリシーを設定できます。また、アプリケーションの可視性と制御に加えて、セーフ サーチの適用などの関連オプションを使用できるようになります。デフォルトの設定はイネーブルです。 |
評価フィルタリング(Reputation Filtering) |
グローバル ポリシー グループに対して Web レピュテーション フィルタリングをイネーブルにするかどうかを指定します。 Web 評価フィルタは、Web サーバの動作を分析し、評価スコアを URL に割り当て、URL ベースのマルウェアを含む可能性を判定するセキュリティ機能です。デフォルトの設定はイネーブルです。 |
マルウェアとスパイウェアのスキャン(Malware and Spyware Scanning) |
Webroot、McAfee、または Sophos によるマルウェアやスパイウェアのスキャンをイネーブルにするかどうかを指定します。デフォルトの設定では、3 つのオプションがすべて有効になります。 オプションをイネーブルにした場合は、検出されたマルウェアをモニタするかブロックするかも選択します。デフォルトの設定は、マルウェアのモニタです。 システム セットアップ ウィザード(System Setup Wizard)を完了後、マルウェア スキャンを追加設定することもできます。 |
Cisco データ セキュリティ フィルタリング(Cisco Data Security Filtering) |
Cisco データ セキュリティ フィルタをイネーブルにするかどうかを指定します。 イネーブルにすると、Cisco データ セキュリティ フィルタはネットワークから発信されるデータを評価し、ユーザは、特定タイプのアップロード要求をブロックするシスコ データ セキュリティ ポリシーを作成できます。デフォルトの設定はイネーブルです。 |
アップストリーム プロキシ
Web プロキシは、Web トラフィックを宛先 Web サーバに直接転送することも、ルーティング ポリシーを使用して外部アップストリーム プロキシにリダイレクトすることもできます。
アップストリーム プロキシのプロキシ グループの作成
手順 1 [ネットワーク(Network)] > [アップストリームプロキシ(Upstream Proxies)] を選択します。
手順 2 [グループの追加(Add Group)] をクリックします。
手順 3 プロキシ グループの設定を完了させます。
|
|
名前(Name) |
ルーティング ポリシーなどでアプライアンス上のプロキシ グループの識別に使用される名前など。 |
プロキシ サーバ(Proxy Servers) |
グループのプロキシ サーバのアドレス、ポート、再接続試行(プロキシが応答しない場合)。必要に応じて、各プロキシ サーバの行を追加または削除できます。 (注) 同じプロキシ サーバを複数回追加して、プロキシ グループのプロキシ間に不均衡に負荷を分散できます。 |
ロード バランシング |
複数のアップストリーム プロキシ間のロード バランス要求のために Web プロキシが使用する方法。次から選択します。
- [なし(フェールオーバー)(None (failover))]。Web プロキシは、グループ内の 1 つの外部プロキシにトランザクションを送信します。一覧表示されている順序でプロキシへの接続を試みます。あるプロキシに到達できない場合、Web プロキシはリストの以下のプロキシに接続を試みます。
- [最少接続(Fewest connections)]。Web プロキシは、グループ内のざまざまなプロキシにおけるアクティブな要求の数を追跡し、その時点で接続数が最も少ないプロキシにトランザクションを送信します。
- [ハッシュベース(Hash based)]。 [最も長い間使われていない(Least recently used)]。すべてのプロキシがアクティブである場合、Web プロキシは、最も長い間トランザクションを受信していないプロキシにトランザクションを送信します。この設定はラウンドロビンに似ています。異なる点は、Web プロキシが、異なるプロキシ グループのメンバーであるプロキシが受信したトランザクションも考慮するということです。つまり、あるプロキシが複数のプロキシ グループのリストに含まれている場合でも、[最も長い間使われていない(least recently used)] オプションによってそのプロキシが過負荷になることはほとんどありません。
- [ラウンドロビン(Round robin)]。Web プロキシは、リストに記載されている順序で、グループ内のすべてのプロキシにトランザクションを均等に割り当てます。
(注) 複数のプロキシを定義するまで、[ロードバランシング(Load Balancing)] オプションはグレー表示されます。 |
失敗のハンドリング(Failure Handling) |
このグループのすべてのプロキシが失敗した場合のデフォルト アクションを指定します。次から選択します。
- [直接接続(Connect directly)]。 宛先サーバに直接、要求を送信します。
- [要求をドロップ(Drop requests)]。 要求を転送しないで、廃棄します。
|
手順 4 変更を送信し、保存します。
次の作業
ネットワーク インターフェイス
IP アドレスのバージョン
標準モードでは、Cisco Web セキュリティ アプライアンスは大部分の場合に IPv4 と IPv6 アドレスをサポートします。
(注) クラウド コネクタ モードでは、Cisco Web セキュリティ アプライアンスは IPv4 のみをサポートします。
DNS サーバは、IPv4 と IPv6 の両方のアドレスと共に結果を返すことができます。DNS の設定項目には [IP アドレスバージョン設定(IP Address Version Preference)] が含まれているので、以下の場合における AsyncOS の動作を設定できます。
|
|
|
|
M1 インターフェイス |
必須 |
オプション |
IPv6 アドレスを使用するには、デフォルトの IPv6 ゲートウェイを定義する IPv6 ルーティング テーブルが必要です。ネットワークによっては、ルーティング テーブルで IPv6 スタティック ルートも指定する必要があります。 |
P1 インターフェイス |
オプション |
オプション |
P1 インターフェイスに IPv6 アドレスが設定されており、アプライアンスが分割ルーティング(個別の管理ルートとデータ ルート)を使用している場合、P1 インターフェイスは管理ルート上に設定された IPv6 ゲートウェイを使用できません。代わりに、データ ルーティング テーブルに IPv6 ゲートウェイを指定します。 |
P2 インターフェイス |
オプション |
オプション |
— |
データ サービス |
サポート対象 |
サポート対象 |
— |
制御および管理サービス |
サポート対象 |
一部サポートあり |
イメージ(エンドユーザ通知ページのカスタム ロゴなど)には IPv4 が必要です。 |
AnyConnect セキュア モビリティ(MUS) |
サポート対象 |
未サポート |
— |
関連項目
ネットワーク インターフェイスのイネーブル化または変更
- インターフェイス IP アドレスの追加または変更
- レイヤ 4 トラフィック モニタの配線タイプの変更
- 管理およびデータ トラフィックの分割ルーティングのイネーブル化
手順 1 [ネットワーク(Network)] > [インターフェイス(Interfaces)] を選択します。
手順 2 [設定の編集(Edit Settings)] をクリックします。
手順 3 インターフェイスのオプションを設定します。
|
|
インターフェイス |
M1、P1、または P2 インターフェイスの新しい IPv4 または IPv6 アドレス、ネットマスク、ホスト名の詳細を追加するか、既存の詳細を変更します。
- M1 :AsyncOS には M1(管理)ポートの IPv4 アドレスが必要です。IPv4 アドレスに加えて、IPv6 アドレスも指定できます。デフォルトで、管理インターフェイスはアプライアンスおよび Web プロキシ(データ)のモニタリングを管理するために使用されます。ただし、管理用途専用の M1 ポートを設定できます。
- P1 および P2 :データ ポートの IPv4 アドレス、IPv6 アドレス、または両方を使用します。データ インターフェイスは Web プロキシによるモニタリングとレイヤ 4 トラフィック モニタによるブロッキング(任意)で使用されます。これらのインターフェイスを設定して、DNS、ソフトウェア アップグレード、NTP、および traceroute データ トラフィックなどの発信サービスをサポートすることもできます。
(注) 管理およびデータ インターフェイスをすべて設定する場合、それぞれに異なるサブネット上の IP アドレスを割り当てる必要があります。 |
管理サービス用の分離ルーティング(Separate Routing for Management Services) |
M1 を管理トラフィック専用に制限して、データ トラフィック用に別のポートを使用する必要がある場合は、[M1 ポートをアプライアンス管理サービスのみに限定する(Restrict M1 port to appliance management services only)] をオンにします。 (注) M1 を管理トラフィック専用にする場合は、別のサブネットにプロキシ トラフィック用のデータ インターフェイスを少なくとも 1 つ設定します。管理トラフィックとデータ トラフィック用に異なるルートを定義してください。 |
アプライアンス管理サービス(Appliance Management Services) |
以下のネットワーク プロトコルの使用をイネーブルまたはディセーブルにして、そのデフォルトのポート番号を指定します。
- FTP :デフォルトでディセーブルになります。
- SSH
- HTTP
- HTTPS
また、HTTP トラフィックの HTTPS へのリダイレクションをイネーブルまたはディセーブルにできます。 |
手順 4 変更を送信し、保存します。
次の作業
- IPv6 アドレスを追加する場合は、IPv6 ルーティング テーブルを追加します。
関連項目
ハイ アベイラビリティを実現するためのフェールオーバー グループの設定
共通アドレス冗長プロトコル(CARP)を使用すると、WSA ではネットワーク上の複数のホストで IP アドレスを共有できるようになります。これにより IP 冗長性が実現され、それらのホストから提供されるサービスのハイ アベイラビリティを確保できます。
フェールオーバーはプロキシ サービスでのみ使用できます。フェールオーバー グループが作成されると、プロキシは動的にフェールオーバー インターフェイスにバインドします。したがって、プロキシが何らかの理由でダウンすると、フェールオーバーがトリガーされます。
CARP には、ホスト用の 3 種類のステータスがあります。
- マスター:各フェールオーバー グループに存在できるマスター ホストは 1 つのみです。
- バックアップ
- init
CARP フェールオーバー グループ内のマスター ホストは、ローカル ネットワークにアドバタイズメントを定期的に送信して、バックアップ ホストに自身がまだ「活動中」であることを知らせます(このアドバタイズメント間隔は WSA で設定できます)。バックアップ ホストが、指定した期間中に(プロキシのダウン、WSA 自体のダウン、WSA のネットワークからの切断が原因で)マスターからアドバタイズメントを受信しなかった場合は、フェールオーバーがトリガーされ、いずれかのバックアップがマスターの役割を引き継ぎます。
フェールオーバー グループの追加
はじめる前に
- このフェールオーバー グループ専用に使用する仮想 IP アドレスを特定します。クライアントはこの IP アドレスを使用して、明示的な転送プロキシ モードでフェールオーバー グループに接続します。
- 以下のパラメータに対して、フェールオーバー グループ内のすべてのアプライアンスに同じ値を設定します。
– フェールオーバー グループ ID(Failover Group ID)
– ホストネーム
– 仮想 IP アドレス(Virtual IP Address)
- 仮想アプライアンスにこの機能を設定する場合は、各アプライアンス固有の仮想スイッチと仮想インターフェイスが無差別モードを使用するように設定されていることを確認します。詳細については、各自の仮想ハイパーバイザのマニュアルを参照してください。
手順 1 [ネットワーク(Network)] > [ハイアベイラビリティ(High Availability)] を選択します。
手順 2 [フェールオーバーグループの追加(Add Failover Group)] をクリックします。
手順 3 [フェールオーバーグループ ID(Failover Group ID)] に 1 ~ 255 の値を入力します。
手順 4 (任意)[説明(Description)] に説明を入力します。
手順 5 [ホスト名(Hostname)] にホスト名を入力します(www.example.com など)。
手順 6 [仮想 IP アドレスとネットマスク(Virtual IP Address and Netmask)] に値を入力します。例:10.0.0.3/24(IPv4)または 2001:420:80:1::5/32(IPv6)。
手順 7 [インターフェイス(Interface)] メニューからオプションを選択します。[インターフェイスの自動選択(Select Interface Automatically)] オプションを選択すると、指定した IP アドレスに基づいてインターフェイスが選択されます。
(注) [インターフェイスの自動選択(Select Interface Automatically)] オプションを選択しない場合は、指定した仮想 IP アドレスと同じサブネット内のインターフェイスを選択する必要があります。
手順 8 優先順位を選択します。[マスター(Master)] をクリックし、優先順位を 255 に設定します。または、[バックアップ(Backup)] を選択し、[優先順位(Priority)] フィールドに 1(最下位) ~ 254 の優先順位を入力します。
手順 9 (任意)。サービスに対してセキュリティをイネーブルにするには、[サービスのセキュリティ有効化(Enable Security Service)] チェックボックスをオンにし、共有シークレットとして使用する文字列を [共有シークレット(Shared Secret)] と [共有シークレットの再入力(Retype Shared Secret)] フィールドに入力します。
(注) 共有シークレット、仮想 IP、フェールオーバー グループ ID は、フェールオーバー グループ内のすべてのアプライアンスで同一でなければなりません。
手順 10 [アドバタイズメントの間隔(Advertisement Interval)] フィールドに、アベイラビリティをアドバタイズするホスト間の遅延を秒単位(1 ~ 255)で入力します。
手順 11 変更を送信し、保存します。
関連項目
高可用性グローバル設定の編集
手順 1 [ネットワーク(Network)] > [ハイアベイラビリティ(High Availability)] を選択します。
手順 2 [高可用性グローバル設定(High Availability Global Settings)] 領域で、[設定を編集(Edit Settings)] をクリックします。
手順 3 [フェールオーバー処理(Failover Handling)] メニューからオプションを選択します。
- [プリエンプティブ(Preemptive)]:使用可能な場合、優先順位が最も高いホストが制御を担います。
- [プリエンプティブでない(Non-preemptive)]:より優先順が高いホストが使用可能になった場合でも、現在制御を担っているホストが制御を続行します。
手順 4 [送信(Submit)] をクリックします。または、[キャンセル(Cancel)] をクリックして変更を破棄します。
フェールオーバー グループのステータスの表示
[ネットワーク(Network)] > [ハイアベイラビリティ(High Availability)] を選択します。[フェールオーバーグループ(Failover Groups)] 領域に現在のフェールオーバー グループが表示されます。[ステータスの更新(Refresh Status)] をクリックすると、表示を更新できます。また、[ネットワーク(Network)] > [インターフェイス(Interfaces)] または [レポート(Report)] > [システムステータス(System Status)] を選択すると、フェールオーバーの詳細を表示できます。
Web プロキシ データに対する P2 データ インターフェイスの使用
デフォルトでは、イネーブルになっている場合でも、Web プロキシは P2 で要求をリッスンしません。ただし、Web プロキシ データをリッスンするように P2 を設定できます。
(注) advancedproxyconfig > miscellaneous
CLI コマンドを使用して、P2 でのクライアント要求のリッスンをイネーブルにする場合は、発信トラフィックに P1 を使用するか、P2 を使用するかを選択できます。発信トラフィックに P1 を使用するには、データ トラフィックのデフォルト ルートを変更して、P1 インターフェイスが接続されている以下の IP アドレスを指定します。
はじめる前に
手順 1 CLI にアクセスします。
手順 2 advancedproxyconfig
-> miscellaneous
コマンドを使用して、必要なエリアにアクセスします。
example.com> advancedproxyconfig
Choose a parameter group:
- AUTHENTICATION - Authentication related parameters
- CACHING - Proxy Caching related parameters
- DNS - DNS related parameters
- EUN - EUN related parameters
- NATIVEFTP - Native FTP related parameters
- FTPOVERHTTP - FTP Over HTTP related parameters
- HTTPS - HTTPS related parameters
- SCANNING - Scanning related parameters
- PROXYCONN - Proxy connection header related parameters
- CUSTOMHEADERS - Manage custom request headers for specific domains
- MISCELLANEOUS - Miscellaneous proxy related parameters
- SOCKS - SOCKS Proxy parameters
手順 3 []> miscellaneous
手順 4 下記の質問が表示されるまで、Enter キーを押して各質問をパスします。
Do you want proxy to listen on P2?
この質問に対して「 y 」を入力します。
手順 5 Enter キーを押して、残りの質問をパスします。
手順 6 変更を保存します。
関連項目
TCP/IP トラフィック ルートの設定
ルートは、ネットワーク トラフィックの送信先(ルーティング先)を指定するために使用されます。Web Security Appliance は、以下の種類のトラフィックをルーティングします。
- データ トラフィック。 Web を参照しているエンド ユーザからの Web プロキシが処理するトラフィック。
- 管理トラフィック。 Web インターフェイスを介してアプライアンスを管理することによって作成されるトラフィック、およびアプライアンスが管理サービス(AsyncOS のアップグレード、コンポーネントのアップデート、DNS、認証など)用に作成するトラフィック。
デフォルトでは、どちらのトラフィックも、すべての設定済みネットワーク インターフェイス用に定義されたルートを使用します。ただし、管理トラフィックが管理ルーティング テーブルを使用し、データ トラフィックがデータ ルーティング テーブルを使用するように、ルーティングを分割することを選択できます。これらのトラフィックはそれぞれ以下のように分割されます。
|
|
- WebUI
- SSH
- SNMP
- NTLM 認証(ドメイン コントローラによる)
- 外部 DLP サーバによる ICAP 要求
- Syslogs
- FTP プッシュ
- DNS(設定可能)
- アップデート/アップグレード/機能キー(設定可能)
|
- HTTP
- HTTPS
- FTP
- WCCP ネゴシエーション
- DNS(設定可能)
- アップデート/アップグレード/機能キー(設定可能)
|
[ネットワーク(Network)] > [ルート(Routes)] ページのセクションの数は、分割ルーティングがイネーブルかどうかに応じて決まります。
- 管理トラフィックとデータ トラフィック用の個別のルート設定セクション (分割ルーティングがイネーブルの場合)。管理インターフェイスを管理トラフィック専用に使用する場合([M1 ポートをアプライアンス管理サービスのみに限定する(Restrict M1 port to appliance management services only)] がイネーブルの場合)、このページには、ルートを入力する 2 つのセクション(管理トラフィック用とデータ トラフィック用)が表示されます。
- すべてのトラフィックに対して 1 つのルート設定セクション (分割ルーティングがディセーブルの場合)。管理トラフィックとデータ トラフィックの両方に管理インターフェイスを使用する場合([M1 ポートをアプライアンス管理サービスのみに限定する(Restrict M1 port to appliance management services only)] がディセーブルの場合)、このページには、Web Security Appliance から送信されるすべてのトラフィック(管理トラフィックとデータ トラフィックの両方)のルートを入力する 1 つのセクションが表示されます。
(注) ルート ゲートウェイは、それが設定されている管理インターフェイスまたはデータ インターフェイスと同じサブネット上に存在する必要があります。複数のポートがイネーブルになっている場合、Web プロキシは、データ トラフィック用に設定されているデフォルト ゲートウェイと同じネットワーク上のデータ インターフェイスでトランザクションを送信します。
関連項目
デフォルト ルートの変更
手順 1 [ネットワーク(Network)] > [ルート(Routes)] を選択します。
手順 2 必要に応じて、[管理(Management)] テーブルまたは [データ(Data)] テーブルの [デフォルト ルート(Default Route)] をクリックします(分割ルーティングがイネーブルになっていない場合は、統合された [管理/データ(Management/Data)] テーブル)。
手順 3 [ゲートウェイ(Gateway)] カラムで、編集するネットワーク インターフェイスに接続されているネットワークのネクスト ホップ上のコンピュータ システムの IP アドレスを入力します。
手順 4 変更を送信し、保存します。
ルートの追加
手順 1 [ネットワーク(Network)] > [ルート(Routes)] を選択します。
手順 2 ルートを作成するインターフェイスに対応する [ルートを追加(Add Route)] ボタンをクリックします。
手順 3 名前、宛先ネットワーク、およびゲートウェイを入力します。
手順 4 変更を送信し、保存します。
ルーティング テーブルの保存およびロード
手順 1 [ネットワーク(Network)] > [ルート(Routes)] を選択します。
ルート テーブルを保存するには、[ルート テーブルを保存(Save Route Table)] をクリックし、ファイルの保存場所を指定します。
保存されているルート テーブルをロードするには、[ルート テーブルをロード(Load Route Table)] をクリックし、ファイルを探して開き、変更を送信して確定します。
(注) 宛先アドレスが物理ネットワーク インターフェイスの 1 つと同じサブネット上にある場合、AsyncOS は同じサブネット内のネットワーク インターフェイスを使用してデータを送信します。ルーティング テーブルは参照されません。
ルートの削除
手順 1 [ネットワーク(Network)] > [ルート(Routes)] を選択します。
手順 2 該当するルートの [削除(Delete)] 列のチェックボックスをオンにします。
手順 3 [削除(Delete)] をクリックして確認します。
手順 4 変更を送信し、保存します。
関連項目
透過リダイレクション デバイスの指定
はじめる前に
- レイヤ 4 スイッチまたは WCCP v2 ルータにアプライアンスを接続します。
手順 1 [ネットワーク(Network)] > [トランスペアレント リダイレクション(Transparent Redirection)] を選択します。
手順 2 [デバイスの編集(Edit Device)] をクリックします。
手順 3 [タイプ(Type)] ドロップダウン リストで、トラフィックをアプライアンスに透過的にリダイレクトするデバイスのタイプとして [レイヤ 4 スイッチもしくはデバイスなし(Layer 4 Switch or No Device)] または [WCCP v2 ルータ(WCCP v2 Router)] を選択します。
手順 4 変更を送信し、保存します。
手順 5 WCCP v2 デバイスの場合は、以下の追加手順を実行します。
a. デバイスのマニュアルを参照して、WCCP ルータを設定します。
b. アプライアンスの [トランスペアレント リダイレクション(Transparent Redirection)] ページで、[サービスの追加(Add Service)] をクリックし、WCCP サービスの追加と編集の説明に従って WCCP サービスを追加します。
c. アプライアンスで IP スプーフィングがイネーブルになっている場合は、セカンド WCCP サービスを作成します。
関連項目
L4 スイッチの使用
透過リダイレクションのためにレイヤ 4 スイッチを使用している場合、スイッチの設定によっては、WSA でいくつかの追加オプションを設定する必要があります。
- 通常は IP スプーフィングを有効にしないでください。アップストリーム IP アドレスのスプーフィングを行う場合は、非同期ルーティング ループを作成します。
- [Web プロキシ設定の編集(Edit Web Proxy Settings)] ページ([セキュリティ サービス(Security Services)] > [Web プロキシ(Web Proxy)])の[受信ヘッダーを使用する(Use Received Headers)] セクション(詳細設定)にある [X-Forwarded-For を使用したクライアント IP アドレスの識別を有効にする(Enable Identification of Client IP Addresses using X-Forwarded-For)] をオンにします。次に、1 つ以上の出力 IP アドレスを [信頼できるダウンストリーム プロキシまたはロード バランサ(Trusted Downstream Proxy or Load Balancer)] リストに追加します。
- 次に示すプロキシ関連パラメータを必要に応じて設定するには、CLI コマンド
advancedproxyconfig
> miscellaneous
を使用できます。
– Would you like proxy to respond to health checks from L4 switches (always enabled if WSA is in L4 transparent mode)?
:WSA がヘルス チェックに応答できるようにするには Y と入力します。
– Would you like proxy to perform dynamic adjustment of TCP receive window size?
:ほとんどの場合はデフォルトの Y を使用します。WSA の別のプロキシ デバイス アップストリームがある場合は N と入力します。
– Do you want to pass HTTP X-Forwarded-For headers?
:X-Forwarded-For(XFF)ヘッダーの要件アップストリームがない場合は不要です。
– Would you like proxy to log values from X-Forwarded-For headers in place of incoming connection IP addresses?
:トラブルシューティングを支援するには Y と入力できます。クライアント IP アドレスがアクセス ログに表示されます。
– Would you like the proxy to use client IP addresses from X-Forwarded-For headers?
ポリシー設定とレポートを支援するには Y と入力できます。
- X-Forwarded-For(XFF)ヘッダーを使用する場合は、XFF ヘッダーをログに記録するため、アクセス ログ サブスクリプションに
%f
を追加します。W3C ログ形式の場合は cs(X-Forwarded-For)
を追加します。
WCCP サービスの設定
WCCP サービスは、WCCP v2 ルータにサービス グループを定義するアプライアンスの設定です。使用するサービス ID やポートなどの情報が含まれます。サービス グループを使用することにより、Web プロキシは WCCP ルータとの接続を確立して、ルータからリダイレクトされたトラフィックを処理できます。
(注) 1 つのアプライアンスに最大 15 個のサービス グループを設定できます。
WCCP サービスの追加と編集
はじめる前に
手順 1 [ネットワーク(Network)] > [透過リダイレクション(Transparent Redirection)] を選択します。
手順 2 [サービスの追加(Add Service)] をクリックします。または、WCCP サービスを編集するには、[サービスプロファイル名(Service Profile Name)] 列にある WCCP サービスの名前をクリックします。
手順 3 以下の手順に従って、WCCP のオプションを設定します。
|
|
サービス プロファイル名(Service Profile Name) |
WCCP サービスの名前。 (注) このオプションを空のままにして、標準サービス(下記を参照)を選択すると、「web_cache」という名前が自動的に割り当てられます。 |
サービス |
ルータのサービス グループのタイプ。次から選択します。 [標準サービス(Standard service)]。 このサービス タイプには、固定 ID「ゼロ」、固定リダイレクト方式「 宛先ポート別 」、固定宛先ポート「80」が割り当てられます。1 つの標準サービスのみ作成できます。アプライアンスに標準サービスがすでに存在している場合、このオプションはグレー表示されます。 [ダイナミックサービス(Dynamic service)]。 このサービス タイプでは、カスタム ID、ポート番号、およびリダイレクト オプションとロード バランシング オプションを定義できます。WCCP ルータでサービスを作成するときは、ダイナミック サービスで指定したパラメータと同じパラメータを入力します。 ダイナミック サービスを作成する場合は、以下の情報を入力します。
- [サービス ID(Service ID)]。 [ダイナミックサービス ID(Dynamic Service ID)] フィールドに 0 ~ 255 の任意の数字を入力できます。ただし、このアプライアンスには 15 個以上のサービス グループを設定することはできません。
- [ポート番号(Port number(s))]。 [ポート番号(Port Numbers)] フィールドにリダイレクトするトラフィックに最大 8 つのポート番号を入力します。
- [リダイレクションの基礎(Redirection basis)]。送信元ポートまたは宛先ポートに基づいてトラフィックをリダイレクトするように選択します。デフォルトは宛先ポートです。
(注) 透過リダイレクションと IP スプーフィングを使用してネイティブ FTP を設定するには、[ソースポート(リターン パス)に基づいてリダイレクト(Redirect based on source port (return path))] を選択し、送信元ポートを 13007 に設定します。
- [ロード バランシングの基礎(Load balancing basis)]。ネットワークで複数の Web セキュリティ アプライアンスを使用している場合は、アプライアンス間にパケットを分散する方法を選択できます。サーバまたはクライアント アドレスに基づいてパケットを配布できます。クライアント アドレスを選択した場合、クライアントからのパケットは常に同じアプライアンスに配布されます。デフォルトはサーバ アドレスです。
|
ルータ IP アドレス(Router IP Addresses) |
1 つまたは複数の WCCP 対応ルータの IPv4 または IPv6 アドレスを入力します。各ルータ固有の IP を使用します。マルチキャスト アドレスは入力できません。1 つのサービス グループ内に IPv4 と IPv6アドレスを混在させることはできません。 |
ルータ セキュリティ(Router Security) |
このサービス グループに対してパスフレーズを要求する場合は、[サービスのセキュリティ有効化(Enable Security for Service)] をオンにします。イネーブルにした場合、そのサービス グループを使用するアプライアンスと WCCP ルータは同じパスフレーズを使用する必要があります。 使用するパスフレーズと確認パスフレーズを入力します。 |
詳細設定(Advanced) |
[ロードバランシング方式(Load-Balancing Method)]。 複数の Web Security Appliance 間においてルータがパケットのロード バランシングを実行する方法を決定します。次から選択してください。
- [マスクのみ許可(Allow Mask Only)]。 WCCP ルータは、ルータのハードウェアを使用して決定を行います。この方式は、ハッシュ方式よりもルータのパフォーマンスを向上させます。ただし、すべての WCCP ルータがマスク割り当てをサポートしているわけではありません。(IPv4 のみ)
- [ハッシュのみ許可(Allow Hash Only)]。 この方式は、ハッシュ関数に依存して、リダイレクションに関する決定を下します。この方式はマスク方式ほど効率的ではありませんが、ルータがこのオプションしかサポートしていない場合もあります。(IPv4)
- [ハッシュもしくはマスクを許可(Allow Hash or Mask)]。AsyncOS がルータと方式をネゴシエートできるようになります。ルータがマスクをサポートしている場合、AsyncOS はマスクを使用します。サポートしていない場合は、ハッシュが使用されます。
[マスクのカスタマイズ(Mask Customization)]。 [マスクのみ許可(Allow Mask Only)] または [ハッシュのみ許可(Allow Hash Only)] を選択する場合、マスクをカスタマイズしたり、ビット数を指定したりできます。
- [カスタム マスク(最大 6 ビット)]。マスクを指定できます。指定したマスクに関連付けられているビット数が Web インターフェイスに表示されます。IPv4 ルータの場合は最大 5 ビット、IPv6 ルータの場合は最大 6 ビットを使用できます。
- [システム生成マスク(System generated mask)]。 システムがマスクを生成するように設定できます。任意で、システムにより生成されたマスクにビット数(1 ~ 5)を指定できます。
[転送方式(Forwarding method)]。 この方式では、リダイレクトされたパケットがルータから Web プロキシに転送されます。 [リターン方式(Return Method)]。 この方式では、リダイレクトされたパケットが Web プロキシからルータに転送されます。 転送方式およびリターン方式では、以下のいずれかのメソッドが使用されます。
- [レイヤ 2 (L2)(Layer 2 (L2))]。 パケットの宛先 MAC アドレスをターゲット Web プロキシの MAC アドレスに置き換えることで、レイヤ 2 のトラフィックをリダイレクトします。L2 メソッドはハードウェア レベルで動作し、通常、最高のパフォーマンスを実現します。ただし、すべての WCCP ルータが L2 転送をサポートしているわけではありません。また、WCCP ルータは、(物理的に)直接接続されている Web Security Appliance との L2 ネゴシエーションのみを許可します。
- [総称ルーティングカプセル化(GRE)(Generic Routing Encapsulation (GRE))]。この方式は、GRE ヘッダーとリダイレクト ヘッダーを含む IP パケットをカプセル化することで、レイヤ 3 でトラフィックをリダイレクトします。GRE はソフトウェア レベルで動作し、パフォーマンスに影響する可能性があります。
- [L2 または GRE(L2 or GRE)]。このオプションを指定すると、アプライアンスはルータがサポートしている方式を使用します。ルータとアプライアンスの両方が L2 と GRE をサポートする場合、アプライアンスは L2 を使用します。
ルータが直接アプライアンスに接続されていない場合、GRE を選択する必要があります。 |
手順 4 変更を送信し、保存します。
IP スプーフィングの WCCP サービスの作成
手順 1 Web プロキシで IP スプーフィングがイネーブルになっている場合は、2 つの WCCP サービスを作成します。標準の WCCP サービスを作成するか、宛先ポートに基づいてトラフィックをリダイレクトするダイナミック WCCP サービスを作成します。
手順 2 宛先ポートに基づいてトラフィックをリダイレクトするダイナミック WCCP サービスを作成します。
手順 1 で作成したサービスで使用されるポート番号、ルータ IP アドレス、ルータ セキュリティの設定と同じ設定を使用します。
(注) シスコでは、リターン パスに使用する(送信元ポートに基づく)WCCP サービスには 90 ~ 97 のサービス ID 番号を使用することを推奨します。
関連項目
VLAN の使用によるインターフェイス能力の向上
1 つまたは複数の VLAN を設定することで、組み込まれている物理インターフェイスの数を超えて、Cisco Web セキュリティ アプライアンスが接続可能なネットワークの数を増加できます。
VLAN は、「VLAN DDDD」という形式のラベルが付いた動的な「データ ポート」として表示されます。「DDDD」は最大 4 桁の整数の ID です(たとえば、VLAN 2、VLAN 4094 など)。AsyncOS は、最大 30 の VLAN をサポートします。
物理ポートは、VLAN に配置するために IP アドレスを設定する必要がありません。VLAN を作成した物理ポートに VLAN 以外のトラフィックを受信する IP アドレスを設定できるため、VLAN のトラフィックと VLAN 以外のトラフィックの両方を同じインターフェイスで受信できます。
VLAN は、管理および P1 データ ポートでのみ作成できます。
VSAN の設定と管理
VLAN の作成、編集、および削除を行うには、 etherconfig
コマンドを使用します。作成した VLAN は、CLI の interfaceconfig
コマンドを使用して設定できます。
例 1:新しい VLAN の作成
この例では、P1 ポート上に 2 つの VLAN(VLAN 31 と VLAN 34)を作成します。
手順 1 T1 または T2 インターフェイス上で VLAN を作成しないでください。CLI にアクセスします。
手順 2 次の手順を実行します。
Choose the operation you want to perform:
- MEDIA - View and edit ethernet media settings.
- VLAN - View and configure VLANs.
- MTU - View and configure MTU.
Choose the operation you want to perform:
- NEW - Create a new VLAN.
VLAN ID for the interface (Ex: "34"):
Enter the name or number of the ethernet interface you wish bind to:
Choose the operation you want to perform:
- NEW - Create a new VLAN.
- DELETE - Delete a VLAN.
VLAN ID for the interface (Ex: "34"):
Enter the name or number of the ethernet interface you wish bind to:
Choose the operation you want to perform:
- NEW - Create a new VLAN.
- DELETE - Delete a VLAN.
手順 3 変更を保存します。
例 2:VLAN 上の IP インターフェイスの作成
この例では、VLAN 34 イーサネット インターフェイス上に新しい IP インターフェイスを作成します。
(注) インターフェイスに変更を加えると、アプライアンスとの接続が閉じることがあります。
手順 1 CLI にアクセスします。
手順 2 以下の手順を実行します。
example.com> interfaceconfig
Currently configured interfaces:
1. Management (10.10.1.10/24 on Management: example.com)
2. P1 (10.10.0.10 on P1: example.com)
Choose the operation you want to perform:
- NEW - Create a new interface.
- EDIT - Modify an interface.
- DELETE - Remove an interface.
IP Address (Ex: 10.10.10.10):
Netmask (Ex: "255.255.255.0" or "0xffffff00"):
Currently configured interfaces:
1. Management (10.10.1.10/24 on Management: example.com)
2. P1 (10.10.0.10 on P1: example.com)
3. VLAN 34 (10.10.31.10 on VLAN 34: v.example.com)
Choose the operation you want to perform:
- NEW - Create a new interface.
- EDIT - Modify an interface.
- DELETE - Remove an interface.
手順 3 変更を保存します。
関連項目
リダイレクト ホスト名とシステム ホスト名
システム セットアップ ウィザードを実行すると、システム ホスト名とリダイレクト ホスト名が同一になります。しかし、sethostname コマンドを使用してシステムのホスト名を変更しても、リダイレクト ホスト名は変更されません。そのため、複数の設定に異なる値が含まれることになります。
AsyncOS は、エンドユーザ通知と応答確認にリダイレクト ホスト名を使用します。
システム ホスト名は、以下の領域でアプライアンスの識別に使用される完全修飾ホスト名です。
- コマンドライン インターフェイス(CLI)
- システム アラート
- Web Security Appliance が Active Directory ドメインに参加するときに、マシンの NetBIOS 名を作成する場合
システム ホスト名はインターフェイスのホスト名と直接対応しておらず、クライアントがアプライアンスに接続するために使用されません。
リダイレクト ホスト名の変更
手順 1 Web ユーザ インターフェイスで、[ネットワーク(Network)] > [認証(Authentication)] に移動します。
手順 2 [グローバル設定を編集(Edit Global Settings)] をクリックします。
手順 3 [リダイレクトホスト名(Redirect Hostname)] に新しい値を入力します。
システム ホスト名の変更
手順 1 CLI にアクセスします。
手順 2 Web Security Appliance の名前を変更するには、 sethostname
コマンドを使用します。
example.com> hostname.com
手順 3 変更を保存します。
SMTP リレー ホストの設定
AsyncOS は、通知、アラート、Cisco IronPort カスタマー サポート要求など、システムにより生成された電子メール メッセージを定期的に送信します。デフォルトでは、AsyncOS はドメインの MX レコードにリストされている情報を使用して電子メールを送信します。ただし、アプライアンスが MX レコードにリストされているメール サーバに直接到達できない場合、アプライアンス上に少なくとも 1 つの SMTP リレー ホストを設定します。
(注) Web Security Appliance は、MX レコードにリストされているメール サーバまたは設定済み SMTP リレー ホストと通信できない場合、電子メール メッセージを送信できず、ログ ファイルにメッセージを書き込みます。
1 つまたは複数の SMTP リレー ホストを設定できます。複数の SMTP リレー ホストを設定する場合、AsyncOS は、使用可能な最上位の SMTP リレー ホストを使用します。SMTP リレー ホストが使用できない場合、AsyncOS は、そのリスト 1 つ下のリレー ホストの使用を試みます。
SMTP リレー ホストの設定
手順 1 [ネットワーク(Network)] > [内部 SMTP リレー(Internal SMTP Relay)] を選択します。
手順 2 [設定の編集(Edit Settings)] をクリックします。
手順 3 [内部 SMTP リレー(Internal SMTP Relay)] の設定を完成させます。
|
|
リレーのホスト名または IP アドレス(Relay Hostname or IP Address) |
SMTP リレーに使用するホスト名または IP アドレス。 |
[ポート(Port)] |
SMTP リレーに接続するためのポート。このプロパティを空欄にした場合、アプライアンスはポート 25 を使用します。 |
SMTP への接続に使用するルーティング テーブル(Routing Table to Use for SMTP) |
SMTP リレーへの接続に使用するアプライアンスのネットワーク インターフェイス(管理またはデータのいずれか)に関連付けられているルーティング テーブル。リレー システムと同じネットワークにあるインターフェイスを選択します。 |
手順 4 (任意)[行を追加(Add Row)] をクリックして別の SMTP リレー ホストを追加します。
手順 5 変更を送信し、保存します。
DNS の設定
アプライアンスでは、インターネット ルート DNS サーバまたはユーザ独自の DNS サーバを使用できます。インターネット ルート サーバを使用する場合、特定のドメインに使用する代替サーバを指定できます。代替 DNS サーバは単一のドメインに適用されるため、当該ドメインの権威サーバ(最終的な DNS レコードを提供)である必要があります。
スプリット DNS
アプライアンスは、内部サーバが特定のドメイン用に設定され、外部またはルート DNS サーバが他のドメイン用に設定されているスプリット DNS をサポートします。ユーザ独自の内部サーバを使用している場合は、例外のドメインおよび関連する DNS サーバを指定することもできます。
DNS キャッシュのクリア
はじめる前に
- DNS キャッシュをクリアすると、キャッシュに事前に読み込む際にパフォーマンスが一時的に低下することがあります。
手順 1 [ネットワーク(Network)] > [DNS] を選択します。
手順 2 [DNS キャッシュを消去(Clear DNS Cache)] をクリックします。
DNS 設定の編集
手順 1 [ネットワーク(Network)] > [DNS] を選択します。
手順 2 [設定の編集(Edit Settings)] をクリックします。
手順 3 必要に応じて、DNS 設定値を設定します。
|
|
DNS サーバ(DNS Server(s)) |
[これらの DNS サーバを使用(Use these DNS Servers)]。 アプライアンスがホスト名の解決に使用できるローカル DNS サーバ。 [インターネットのルート DNS サーバを使用(Use the Internet's Root DNS Servers)]。 アプライアンスがネットワーク上の DNS サーバにアクセスできない場合に、ドメイン名サービス ルックアップにインターネットのルート DNS サーバを使用することを選択できます。 (注) インターネット ルート DNS サーバは、ローカル ホスト名を解決しません。アプライアンスでローカル ホスト名を解決する必要がある場合は、ローカル DNS サーバを使用して解決するか、コマンドライン インターフェイスからローカル DNS に適切なスタティック エントリを追加する必要があります。 [優先代替 DNS サーバ(オプション)(Alternate DNS servers Overrides (Optional))]。特定のドメイン用の権威 DNS サーバ。 |
DNS トラフィック用ルーティングテーブル(Routing Table for DNS Traffic) |
DNS サービスがルート トラフィックをルーティングする際に経由するインターフェイスを指定します。 |
IP アドレス バージョン設定(IP Address Version Preference) |
DNS サーバが IPv4 と IPv6 の両方のアドレスを提供する場合、AsyncOS はこの設定を使用して IP アドレスのバージョンを選択します。
(注) AsyncOS は、透過的 FTP 要求のバージョン設定に従いません。
|
DNS 逆引きタイムアウト(Wait Before Timing out Reverse DNS Lookups) |
無応答逆引き DNS ルックアップがタイムアウトするまでの待機時間(秒単位)。 |
ドメイン検索リスト(Domain Search List) |
簡易ホスト名(「.」記号がないホスト名)宛てに要求を送信する際に使用される DNS ドメイン検索リスト。ドメイン名を加えたホスト名に一致する DNS が存在するどうかを調べるために、指定されたドメインが入力順に照合されます。 |
手順 4 変更を送信し、保存します。
関連項目
接続、インストール、設定に関するトラブルシューティング