Web セキュリティアプライアンスにようこそ

First Published: January 13, 2020

Last Updated: October 28, 2021

Web セキュリティアプライアンスについて

Cisco Web セキュリティ アプライアンスはインターネット トラフィックを代行受信してモニタし、ポリシーを適用することによって、マルウェア、機密データの漏洩、生産性の低下などのインターネット ベースの脅威から内部ネットワークを保護します。

最新情報

AsyncOS 12.0.3-007 の新機能:MD(メンテナンス導入)

このリリースには、多数のバグ修正が含まれています。詳細については、「リリース 12.0.3-007 の既知および修正済みの問題のリスト」を参照してください。

新しい URL カテゴリの更新通知

新しい URL カテゴリの更新通知がバナーに導入されました。

ユーザには、今後の URL カテゴリの更新に関する電子メール通知も送信されます。

AsyncOS 12.0.2-004 の新機能:MD(メンテナンス導入)

このリリースには、多数のバグ修正が含まれています。詳細については、「リリース 12.0.2-004 の既知および修正済みの問題のリスト」を参照してください。

機能

説明

TLS 1.0/1.1 の廃止

アプライアンスを AMP ファイル レピュテーション サーバに接続するには、TLS 1.2 以降のバージョンを使用します。南・北・中央アメリカ (レガシー)cloud-sa.amp.sourcefire.com は AMP ファイル レピュテーション サーバ リストから削除されるため、南・北・中央アメリカ (レガシー)cloud-sa.amp.sourcefire.com はアプライアンスで設定できません。

アプライアンスを 12.0.2 バージョンにアップグレードする前に、以下を推奨します。

  • AMP サービスが有効で、ファイル レピュテーション サーバが南・北・中央アメリカ (レガシー)cloud-sa.amp.sourcefire.com として設定されている場合は、ファイル レピュテーション サーバを南・北・中央アメリカ (cloud-sa.amp.cisco.com)に変更します。

  • アプライアンスをアップグレードした後、ファイル レピュテーション サーバが南・北・中央アメリカ(cloud-sa.amp.cisco.com)として保持されているかどうかを確認します。

(注)   

アプライアンスをアップグレードする前にヨーロッパまたはアジア太平洋、日本、中国をファイル レピュテーション サーバとして設定した場合、上記の条件は適用されません。

詳細については、Cisco Web セキュリティアプライアンスのレガシー ファイル レピュテーション サーバの使用停止を参照してください。

機能拡張

AMP での最大同時スキャン数の設定をサポート

Enter the number of concurrent scans to be supported by AMP オプションが、メインの CLI コマンド advancedproxyconfig > scanners > AMP に新たに追加されました。

この新しい CLI オプションを使用すると、AMP でサポートされる同時スキャン数を設定できます。すべてのモデルのデフォルト値は、上限の 250 です。

長時間実行中のスキャン削除時の判定変更をサポート

新しい CLI サブコマンド eviction がメインの CLI コマンド advancedproxyconfig > scanners に追加されました。

この新しい CLI サブコマンドを使用すると、長時間実行中のスキャン削除の判定設定をデフォルトの Unscannable から Timeout に、またはその逆に変更できます。

AsyncOS 12.0.1-334 GD(一般導入)の新機能

このリリースには、多数のバグ修正が含まれています。詳細については、「リリース 12.0.1-334 の既知および修正済みの問題のリスト」を参照してください。

advancedproxyconfig CLI コマンドの下に scanners サブコマンドが追加されました。

新しいコマンド ライン インターフェイス

説明

AMP エンジンによるスキャンからの MIME タイプの除外が可能

新しいサブコマンド scanners がメインの advanced proxyconfig コマンドの下に追加され、AMP エンジンによるスキャン対象から MIME タイプを除外できるようになりました。scanners サブコマンドを使用するには、「アダプティブスキャン」機能を無効にする必要があります。

scanners サブコマンドを使用して、AMP エンジンでスキャンする必要のない MIME タイプを追加し、スキャンのパフォーマンスを向上させることができます。デフォルトの MIME タイプのオプションは、「image/ALL and text/ALL」です。

MIME タイプを追加するには、デフォルトのオプションの後に追加する必要があります。たとえば、ビデオと音声の MIME タイプを追加する場合は、次の形式にする必要があります。

「image/ALL and text/ALL video/ALL audio/ALL」

AsyncOS 12.0.1-268 LD(限定導入)の新機能

このリリースには、多数のバグ修正が含まれています。詳細については、「リリース 12.0.1-268 の既知および修正済みの問題のリスト」を参照してください。

このリリースでは次の機能が導入されました。

機能

説明

ハイパフォーマンスのサポート

Cisco AsyncOS 12.0 リリースは、プラットフォーム S680、S690、および S695 向けにハイパフォーマンス(HP)を備えた Web セキュリティアプライアンスを提供します。これにより、既存のハイエンドアプライアンスのトラフィック処理パフォーマンスが向上します。

ハイパフォーマンスモードがアプライアンス上で有効になっている場合、次のスキャンエンジンは S680 モデルでは 2 インスタンス、S690/S695 モデルでは 3 インスタンスとして複製されます。

  • Sophos

  • Mcafee

  • Merlin

  • Firestone

  • AVC

  • アーカイブスキャン

  • AMP

Web セキュリティアプライアンスと Cisco Threat Response(CTR)ポータルの統合

Cisco Threat Response ポータルにアプライアンスを統合すると、Cisco Threat Response ポータルで次のアクションを実行できます。

  • 組織内の複数のアプライアンスから Webトラッキングデータを表示します。

  • Web トラッキングで検出された脅威を特定、調査、修正します。

  • 特定した脅威を迅速に解決し、特定した脅威に対して推奨されるアクションを実行します。

  • ポータルで脅威をドキュメント化して調査を保存し、ポータル内の他のデバイス間で情報を共有します。

ユーザーガイドの「Intercepting with Cisco Threat Response Portal」の章を参照してください。

TLS バージョン

アプライアンスは TLSv1.3 バージョンをサポートしています。暗号 「TLS_AES_256_GCM_SHA384」がデフォルトの暗号リストに追加されました。

デフォルトでは、TLSv1.3 はアプライアンス上で有効になります。

ユーザ ガイドの「Web 要求の代行受信」の章を参照してください。

拡張機能

コンフィギュレーション ファイルのバックアップのための Web インターフェイスの機能拡張

コンフィギュレーション ファイルのバックアップ機能がサブメニューの [ログサブスクリプション(Log Subscriptions)] から [システム管理の(System Administration)] 下にある [コンフィギュレーション ファイル(Configuration File)] に移動しました。

ECDSA 証明書のアップロード

アプライアンスが HTTPS プロキシの ECDSA 証明書のアップロードをサポートするようになりました。

(注)  

12.0.1-268 にアップグレードする前に次の機能を無効にし、モデル(S680、S690、S695、S680F、S690F、および S695F)でハイパフォーマンスモードを利用できるようにします。

  • Web トラフィック タップ(Web Traffic Tap)

  • ボリューム クォータと時間クォータ

  • 全体の帯域幅の制限(Overall Bandwidth Limits)

ハイパフォーマンスモードの Web セキュリティアプライアンスは、高レートのトランザクション処理をサポートしています。セキュリティ管理アプライアンスまたは Web セキュリティアプライアンスのハードディスク上のレポートデータとトラッキングデータを保持する期間は、処理容量の増加により、ハイパフォーマンスモードでは短縮されます。

(注)  

セキュリティ管理アプライアンス(SMA)モデルが 680 の場合は、SMA 12.7 バージョンを使用して Cisco Web セキュリティアプライアンス 12.0 を管理します。

このリリースでは、コマンド ライン インターフェイスに次の変更が加えられています。

コマンドライン インターフェイス

説明

highperformance

ハイパフォーマンスモードを有効または無効にするために、新しいサブコマンドの highperformanceadvancedproxyconfig メインコマンドに追加されました。

proxyscannermap

新しい診断 CLI サブコマンド proxyscannermap が、diagnostic > proxy に追加されました。

proxyscannermap サブコマンドは、各プロキシと対応するスキャナプロセス間の PID マッピングを表示します。

CLI コマンドの authcache に新しいオプションが追加されました。

新しいオプションの searchdetails が CLI コマンドの authcache に追加されました。

この CLI は、すべてのアプライアンスに適用されます。

CLI コマンド reportingconfig の新しいサブコマンド CTROBSERVABLE

CLI コマンド reportingconfig に新しいサブコマンド CTROBSERVABLE が追加されました。

サブコマンド CTROBSERVABLE を使用して、CTR の監視対象に基づくインデックス作成を有効または無効にすることができます。これを有効にすると、ユーザがアクセスした URL のインデックスを作成できます。また、アプライアンス トラッキング データベース内の URL を検索する粒度も提供されます。

このリリースでは、次の新しいログが導入されました。

  • プロキシインスタンスごとに trackstat ログファイルを分類

  • replicatord ログ

動作における変更

AsyncOS 12.0.2-012 の動作の変更

プロキシ malloc メモリ使用率に関する警告メッセージ

アプライアンスの Web ユーザーインターフェイスに次のアラートメッセージがトリガーされます([システム管理(System Administration)] > [アラート(Alerts)] > [上位アラートの表示(View Top Alerts)]

  • プロキシ malloc メモリがプロキシ malloc メモリ制限の 90% を超えた場合

    Proxy malloc memory reached to 90%, proxy will restart whenever max limit exceed(プロキシ malloc メモリが 90% に達しました。プロキシは最大上限を超えるたびに再起動します)

  • プロキシが malloc メモリの 100% に達し、再起動する場合

    Proxy malloc memory exceed the max limit, restarting proxy(プロキシ malloc メモリが上限を超えたため、プロキシを再起動します)

いずれの場合も、「Web プロキシ」の重要なアラートを受信するように設定されたすべての「アラート受信者」に、電子メール通知が送信されます。

重要なログメッセージにプロキシログが含まるようになりました。

新しい Web インターフェイスへのアクセス

新しい Web インターフェイスは、モニタリング レポートとトラッキング Web サービスの新しい外観を提供します。新しい Web インターフェイスには次の方法でアクセスできます。

  • レガシー Web インターフェイスにログインし、 をクリックすると、Cisco Web セキュリティアプライアンスが新しい外観になります。[試してみてください(Try it!!)] リンク。このリンクをクリックすると、Web ブラウザの新しいタブが開き、 https://wsa01-enterprise.com:<trailblazer-https-port>/ng-login に移動します。ここでは、wsa01-enterprise.com はアプライアンスのホスト名で、<trailblazer-https-port> は、新しい Web インターフェイスにアクセスするためにアプライアンスに設定されている TRAILBLAZER HTTPS ポートです。

重要

  • アプライアンスのレガシー Web インターフェイスにログインする必要があります。

  • 指定したアプライアンスのホスト名を DNS サーバが解決できることを確認します。

  • デフォルトでは、新しい Web インターフェイスでは、TCP ポート 6080、6443、および 4431 が動作可能である必要があります。これらのポートがエンタープライズ ファイアウォールでブロックされていないことを確認します。

  • 新しい Web インターフェイスにアクセスするためのデフォルト ポートは 4431 です。これは、trailblazerconfig CLI コマンドを使用してカスタマイズできます。trailblazerconfig CLI コマンドの詳細については、ユーザガイドの「コマンドライン インターフェイス」の章を参照してください。

  • 新しい Web インターフェイスでは、HTTP および HTTPS の AsyncOS API(モニタリング)ポートも必要です。デフォルトでは、これらのポートは 6080 および 6443 です。AsyncOS API(モニタリング)ポートは、interfaceconfig CLI コマンドを使用してカスタマイズすることもできます。Interfaceconfig CLI コマンドの詳細については、ユーザ ガイドの「コマンドライン インターフェイス」の章を参照してください。

これらのデフォルトポートを変更した場合は、新しい Web インターフェイスのカスタマイズされたポートがエンタープライズ ファイアウォールでブロックされていないことを確認します。

新しい Web インターフェイスは新しいブラウザウィンドウで開きます。それにアクセスするには、再度ログインする必要があります。アプライアンスから完全にログアウトする場合は、アプライアンスの新しい Web インターフェイスとレガシー Web インターフェイスの両方からログアウトする必要があります。

HTML ページのシームレスなナビゲーションとレンダリングのために、次のブラウザを使用してアプライアンスの新しい Web インターフェイス(AsyncOS 11.8 以降)にアクセスすることをお勧めします。

  • Google Chrome

  • Mozilla Firefox

サポートされているブラウザのいずれかで、アプライアンスのレガシー Web インターフェイスにアクセスできます。

アプライアンスの新しい Web インターフェイス(AsyncOS 11.8 以降)でサポートされている解像度は、1280x800 ~ 1680x1050 です。すべてのブラウザに対して最適に表示される解像度は 1440x900 です。


(注)  

シスコでは、より高い解像度でアプライアンスの新しい Web インターフェイスを表示することは推奨していません。

このリリースでサポートされているハードウェア

このビルドは、サポートされている既存のすべてのプラットフォーム上でのアップグレードに使用できますが、拡張パフォーマンスのサポートは次のハードウェアモデルでのみ使用できます。

  • S680

  • S690

  • S695

  • S680F

  • S690F

  • S695F

このビルドは、次のハードウェアと仮想モデルのアップグレードに使用できます。

ハードウェアモデル:

  • x80

  • x90

  • x95

仮想モデル:

  • S100v

  • S300v

  • S600v

一部のハードウェアモデルでは、この AsyncOS リリースをインストールまたはアップグレードする前に、メモリをアップグレードする必要があります。詳細については、http://www.cisco.com/c/en/us/support/docs/field-notices/638/fn63931.htmlを参照してください。

アップグレードパス

AsyncOS 12.0.4-002 へのアップグレード


(注)  

アップグレード中は、デバイス(キーボード、マウス、管理デバイス(Raritan) など)をアプライアンスの USB ポートに接続しないでください。

次のバージョンから AsyncOS for Cisco Web Security Appliances リリース 12.0.4-002 にアップグレードできます。

  • 10.6.0-240

  • 10.6.0-244

  • 11.7.0-418

  • 11.7.0-704

  • 11.7.1-006

  • 11.7.1-020

  • 11.7.1-043

  • 11.7.1-045

  • 11.7.1-049

  • 11.7.1-501

  • 11.7.2-011

  • 11.7.3-025

  • 11.8.0-414

  • 11.8.0-453

  • 11.8.0-603

  • 11.8.1-023

  • 11.8.1-028

  • 11.8.1-604

  • 11.8.1-702

  • 11.8.2-009

  • 11.8.2-702

  • 11.8.3-018

  • 11.8.3-021

  • 11.8.3-501

  • 11.8.4-004

  • 12.0.1-268

  • 12.0.1-334

  • 12.0.2-004

  • 12.0.2-012

  • 12.0.3-005

  • 12.0.3-007

AsyncOS 12.0.3-007 へのアップグレード


(注)  

アップグレード中は、デバイス(キーボード、マウス、管理デバイス(Raritan) など)をアプライアンスの USB ポートに接続しないでください。

次のバージョンから AsyncOS for Cisco Web Security Appliances リリース 12.0.3-007 にアップグレードできます。

  • 10.1.5-037

  • 10.5.6-024

  • 10.6.0-240

  • 10.6.0-244

  • 11.7.0-418

  • 11.7.0-704

  • 11.7.1-006

  • 11.7.1-020

  • 11.7.1-043

  • 11.7.1-045

  • 11.7.1-049

  • 11.7.1-501

  • 11.7.2-011

  • 11.7.3-025

  • 11.8.0-414

  • 11.8.0-453

  • 11.8.0-603

  • 11.8.1-023

  • 11.8.1-028

  • 11.8.1-604

  • 11.8.1-702

  • 11.8.2-009

  • 11.8.2-702

  • 11.8.3-018

  • 11.8.3-021

  • 11.8.3-501

  • 12.0.1-268

  • 12.0.1-334

  • 12.0.1-004

  • 12.0.2-012

  • 12.0.3-005

AsyncOS 12.0.3-005 へのアップグレード


(注)  

アップグレード中は、デバイス(キーボード、マウス、管理デバイス(Raritan) など)をアプライアンスの USB ポートに接続しないでください。

次のバージョンから AsyncOS for Cisco Web Security Appliances リリース 12.0.3-005 にアップグレードできます。

  • 10.1.5-037

  • 10.5.6-024

  • 10.6.0-240

  • 10.6.0-244

  • 11.7.0-418

  • 11.7.0-704

  • 11.7.1-006

  • 11.7.1-020

  • 11.7.1-043

  • 11.7.1-045

  • 11.7.1-049

  • 11-7-1-501

  • 11.7.2-011

  • 11.7.3-025

  • 11.8.0-414

  • 11.8.0-453

  • 11.8.0-603

  • 11.8.1-023

  • 11.8.1-028

  • 11.8.1-604

  • 11.8.1-702

  • 11.8.2-009

  • 11.8.2-702

  • 11.8.3-018

  • 11.8.3-021

  • 11.8.3-501

  • 12.0.1-268

  • 12.0.1-334

  • 12.0.1-004

  • 12.0.2-012

AsyncOS 12.0.2-012 へのアップグレード


(注)  

アップグレード中は、デバイス(キーボード、マウス、管理デバイス(Raritan) など)をアプライアンスの USB ポートに接続しないでください。

次のバージョンから AsyncOS for Cisco Web Security Appliances リリース 12.0.2-012 にアップグレードできます。

  • 10.1.4-017

  • 10.1.5-004

  • 10.1.5-034

  • 10.1.5-037

  • 10.5.2-072

  • 10.5.3-025

  • 10.5.4-018

  • 10.5.5-005

  • 10.5.6-022

  • 10.5.6-024

  • 10.6.0-240

  • 10.6.0-244

  • 11.5.1-125

  • 11.5.1-504

  • 11.5.1-603

  • 11.5.1-706

  • 11.5.2-020

  • 11.5.3-007

  • 11.5.3-016

  • 11.5.3-504

  • 11.7.0-407

  • 11.7.0-418

  • 11.7.0-704

  • 11.7.1-006

  • 11.7.1-020

  • 11.7.1-043

  • 11.7.1-045

  • 11.7.1-049

  • 11.7.1-501

  • 11.7.2-011

  • 11.8.0-414

  • 11.8.0-453

  • 11.8.0-603

  • 11.8.1-023

  • 11.8.1-028

  • 11.8.1-604

  • 11.8.1-702

  • 11.8.2-009

  • 11.8.2-702

  • 12.0.1-268

  • 12.0.1-334

  • 12.0.1-004

AsyncOS 12.0.2-004 へのアップグレード


(注)  

アップグレード中は、デバイス(キーボード、マウス、管理デバイス(Raritan) など)をアプライアンスの USB ポートに接続しないでください。

次のバージョンから AsyncOS for Cisco Web Security Appliances リリース 12.0.2-004 にアップグレードできます。

  • 10.1.4-017

  • 10.1.5-004

  • 10.1.5-034

  • 10.5.2-072

  • 10.5.3-025

  • 10.5.4-018

  • 10.5.5-005

  • 10.5.6-022

  • 10.5.6-024

  • 10.6.0-240

  • 10.6.0-244

  • 11.5.1-125

  • 11.5.1-504

  • 11.5.1-603

  • 11.5.1-706

  • 11.5.2-020

  • 11.5.3-007

  • 11.5.3-016

  • 11.5.3-504

  • 11.7.0-407

  • 11.7.0-418

  • 11.7.0-704

  • 11.7.1-006

  • 11.7.1-020

  • 11.7.1-043

  • 11.7.1-045

  • 11.7.1-049

  • 11.7.2-011

  • 11.8.0-414

  • 11.8.0-453

  • 11.8.1-023

  • 11.8.1-028

  • 11.8.1-604

  • 11.8.1-702

  • 11.8.2-009

  • 12.0.1-268

  • 12.0.1-334

AsyncOS 12.0.1-334 へのアップグレード


(注)  

アップグレード中は、デバイス(キーボード、マウス、管理デバイス(Raritan) など)をアプライアンスの USB ポートに接続しないでください。

次のバージョンから AsyncOS for Cisco Web Security Appliances リリース 12.0.1-334 にアップグレードできます。

  • 10.1.4-017

  • 10.1.5-004

  • 10.5.2-072

  • 10.5.3-025

  • 10.5.4-018

  • 10.5.5-005

  • 10.5.6-022

  • 10.6.0-240

  • 10.6.0-244

  • 11.5.1-125

  • 11.5.1-504

  • 11.5.1-603

  • 11.5.1-706

  • 11.5.2-020

  • 11.5.3-007

  • 11.5.3-016

  • 11.5.3-504

  • 11.7.0-407

  • 11.7.0-418

  • 11.7.0-704

  • 11.7.1-006

  • 11.7.1-020

  • 11.7.1-043

  • 11.7.1-045

  • 11.7.1-049

  • 11.8.0-453

  • 11.8.1-023

  • 12.0.1-268

AsyncOS 12.0.1-268 へのアップグレード

次のバージョンから AsyncOS for Cisco Web Security Appliances リリース 12.0.1-268 にアップグレードできます。

  • 10.1.4-017

  • 10.1.5-004

  • 10.5.2-072

  • 10.5.3-025

  • 10.5.4-018

  • 10.5.5-005

  • 10.6.0-240

  • 10.6.0-244

  • 11.5.1-125

  • 11.5.1-504

  • 11.5.1-603

  • 11.5.2-020

  • 11.5.3-007

  • 11.5.3-016

  • 11.5.3-504

  • 11.7.0-334

  • 11.7.0-406

  • 11.7.0-407

  • 11.7.0-418

  • 11.7.0-704

  • 11.7.1-006

  • 11.7.1-020

  • 11.8.0-348

  • 11.8.0-414

  • 11.8.0-429

  • 11.8.0-440

  • 11.8.0-446

  • 11.8.0-450

  • 11.8.0-453

  • 12.0.1-005

  • 12.0.1-161

アップグレード後の要件

アプライアンスを Cisco Threat Response に登録していない場合は、12.0.4-002 にアップグレードした後に次の手順を実行する必要があります。

手順

ステップ 1

管理者アクセス権を使用して、Cisco Threat Response ポータルでユーザアカウントを作成します。

新しいアカウントを作成するには、URL https://visibility.amp.cisco.com を使用して Cisco Threat Response ポータルにログインし、[Cisco セキュリティアカウントの作成(Create a Cisco Security Account)] をクリックします。新しいユーザ アカウントを作成できない場合は、Cisco TAC に連絡してサポートを受けてください。

ステップ 2

アプライアンスを Security Services Exchange(SSE)クラウドポータルに登録するには、自身の地域に対応する SSE ポータルからトークンを生成します。

(注)   
SSE クラウドポータルへの登録時に、アプライアンスの Web ユーザインターフェイスから、地域に基づいて次の FQDN を選択します。

  • 米国(api-sse.cisco.com)

  • 欧州(api.eu.sse.itd.cisco.com)

  • APJC(api.apj.sse.itd.cisco.com)
ステップ 3

Security Services Exchange ポータルのクラウドサービスにある Cisco Threat Response が有効になっていることを確認します。アプライアンスを Security Services Exchange ポータルに登録するには、FQDN api-sse.cisco.com(米国)のファイアウォールの HTTPS(インとアウト)443 ポートが開いていることを確認します。

仮想アプライアンスの展開については、『Cisco Content Security Virtual Appliance Installation Guide』を参照してください。このドキュメントは、http://www.cisco.com/c/en/us/support/security/web-security-appliance/products-installation-guides-list.html から入手できます。

互換性の詳細

セキュリティ管理のための Cisco AsyncOS との互換性

Cisco コンテンツ セキュリティ管理リリース向け AsyncOS とこのリリースとの互換性については、http://www.cisco.com/c/en/us/support/security/content-security-management-appliance/products-release-notes-list.html にある互換性のマトリックスを参照してください。


(注)  

このリリースは、現在使用可能なセキュリティ管理リリースと互換性がなく、使用することはできません。互換性のあるセキュリティ管理リリースは間もなく利用可能になります。

クラウド コネクタ モードでの IPv6 と Kerberos は使用不可

アプライアンスがクラウド コネクタ モードで設定されている場合、Web インターフェイスのページに「IPv6 アドレスと Kerberos 認証用のオプションは使用できません(unavailable options for IPv6 addresses and Kerberos authentication)」と表示されます。使用できるように見えても、それらのオプションはクラウド コネクタ モードではサポートされていません。クラウド コネクタ モードでは、IPv6 アドレスまたは Kerberos 認証を使用するようにアプライアンスを設定しようとしないでください。

IPv6 アドレスの機能サポート

IPv6 アドレスをサポートする特性と機能は次のとおりです。

  • コマンド ラインと Web インターフェイス。アプライアンスにアクセスするには、http://[2001:2:2::8]:8080 または https://[2001:2:2::8]:8443 を使用します。

  • IPv6 データ トラフィックでのプロキシ アクションの実行(HTTP/HTTPS/SOCKS/FTP)

  • IPv6 DNS サーバ

  • WCCP 2.01(Cat6K スイッチ)とレイヤ 4 透過リダイレクション

  • アップストリーム プロキシ

  • 認証サービス

    • Active Directory(NTLMSSP、Basic、および Kerberos)

    • LDAP

    • SaaS SSO

    • CDA による透過的ユーザ識別(CDA との通信は IPv4 のみ)

    • クレデンシャルの暗号化

  • Web レポートと Web トラッキング

  • 外部 DLP サーバ(アプライアンスと DLP サーバ間の通信は IPv4 のみ)

  • PAC ファイル ホスティング

  • プロトコル:管理サーバを介した NTP、RADIUS、SNMP、および syslog

IPv4 アドレスを必要とする特性と機能は次のとおりです。

  • 内部 SMTP リレー

  • 外部認証

  • ログ サブスクリプションのプッシュ方式:FTP、SCP、および syslog

  • NTP サーバ

  • ローカル アップデート サーバ(アップデート用のプロキシ サーバを含む)

  • 認証サービス

  • AnyConnect セキュア モビリティ

  • Novell eDirectory 認証サーバ

  • エンドユーザ 通知のカスタム ロゴのページ

  • Web セキュリティ アプライアンスとセキュリティ管理アプライアンス間の通信

  • 2.01 より前の WCCP バージョン

  • SNMP

オペレーティング システムとブラウザの Kerberos 認証の可用性

Kerberos 認証は、次のオペレーティング システムとブラウザで使用できます。

  • Windows サーバ 2003、2008、2008R2、および 2012

  • Mac での Safari および Firefox ブラウザの最新リリース (OSX バージョン10.5 以降)

  • IE(バージョン 7 以降)と Windows 7 以降の Firefox および Chrome ブラウザの最新リリース

Kerberos 認証は、次のオペレーティング システムとブラウザでは使用できません。

  • 上記に記載されていない Windows オペレーティング システム

  • 上記で説明していないブラウザ

  • iOS と Android

仮想アプライアンスの展開

仮想アプライアンスの展開については、『Cisco Content Security Virtual Appliance Installation Guide』を参照してください。このドキュメントは、http://www.cisco.com/c/en/us/support/security/web-security-appliance/products-installation-guides-list.html から入手できます。

ハードウェア アプライアンスから仮想アプライアンスへの移行

手順

ステップ 1

アップグレード後の要件」で説明されているマニュアルを使用して、この AsyncOS リリースで仮想アプライアンスをセットアップします。

(注)   

セキュリティサービスの更新が成功したことを確認します。
ステップ 2

ハードウェアアプライアンスをこの AsyncOS リリースにアップグレードします。
ステップ 3

アップグレードされたハードウェア アプライアンスから設定ファイルを保存します。
ステップ 4

ハードウェアアプライアンスから仮想アプライアンスに設定ファイルをロードします。

ハードウェアと仮想アプライアンスの IP アドレスが異なる場合は、設定ファイルをロードする前に、[ネットワーク設定のロード(Load Network Settings)] を選択解除します。
ステップ 5

変更を保存します。
ステップ 6

[ネットワーク(Network)] > [認証(Authentication)] に移動し、ドメインに再度参加します。そうしないと、アイデンティティは機能しません。

AsyncOS for Web のアップグレード

始める前に

  • RAID コントローラ ファームウェアの更新を含むアップグレード前の要件を実行します。

  • 管理者としてログインします。

手順

ステップ 1

[システム管理(System Administration)] > [設定ファイル(Configuration File)]ページで、Web セキュリティアプライアンスから XML コンフィギュレーション ファイルを保存します。

ステップ 2

[システム管理(System Administration)] > [システムアップグレード(System Upgrade)] ページで、[アップグレードオプション(Upgrade Options)] をクリックします。
ステップ 3

[ダウンロードとインストール(Download and install)] または [ダウンロードのみ(Download only)] のいずれかを選択できます。

使用可能なアップグレードのリストから選択します。
ステップ 4

[続行(Proceed)] をクリックします。

[ダウンロードのみ(Download only)] を選択した場合は、アップグレードがアプライアンスにダウンロードされます。

ステップ 5

([ダウンロードとインストール(Download and install)] を選択した場合) アップグレードが完了したら、[今すぐリブート(Reboot Now)] をクリックして、Web セキュリティアプライアンスをリブートします。

(注)   

ブラウザがアップグレードしたバージョンの AsyncOS に新しいオンライン ヘルプのコンテンツをロードすることを確認するには、ブラウザを終了してから開いてオンライン ヘルプを表示します。これにより、期限切れのコンテンツのブラウザ キャッシュがクリアされます。
(注)   

Nexus 56128P スイッチインターフェイスを使用して Cisco Web セキュリティアプライアンス S690F をアップグレードまたは再起動すると、10G ファイバインターフェイスのリンクステータスに「down」と表示されます。この問題を解決するには、次の手順を実行します。

  1. CLI コマンド etherconfig > media を使用して、アプライアンス インターフェイスの「media」を 10Gbase-SR に設定します。

  2. コミットしてアプライアンスを再起動します。
(注)   

ファイバインターフェイス上で、1G SFP から 10G SFP(またはその逆)へのすべての SFP スワップを行った後、S695F Cisco Web セキュリティアプライアンスをリブートします。これにより、目的の帯域幅の変更に合わせてドライババッファの設定が適切に調整されます。

重要:アップグレード後に必要なアクション

アップグレード後にアプライアンスが正常に機能し続けるようにするには、次の事項に対処する必要があります。

シスコが推奨する暗号スイートへのデフォルト プロキシ サービス暗号スイートの変更

AsyncOS 9.1.1 以降では、プロキシ サービスに使用可能なデフォルトの暗号スイートは、セキュアな暗号スイートのみを含むように変更されます。

ただし、AsyncOS 9.x.x 以降のリリースからアップグレードする場合、デフォルトのプロキシ サービスの暗号スイートは変更されません。セキュリティを強化するために、アップグレード後に、デフォルトのプロキシ サービス暗号スイートをシスコが推奨する暗号スイートに変更することをお勧めします。次の手順を実行します。

手順

ステップ 1

Web インターフェイスを使用してアプライアンスにログインします。

ステップ 2

[システム管理(System Administration)] > [SSL設定(SSL Configuration)] をクリックします。

ステップ 3

[設定の編集(Edit Settings)] をクリックします。

ステップ 4

[プロキシサービス(Proxy Services)] で、[使用する暗号(CIPHER(s) to Use)] フィールドを次のフィールドに設定します。

EECDH:DSS:RSA:!NULL:!eNULL:!aNULL:!EXPORT:!3DES:!SEED:!CAMELLIA:!SRP:!IDEA:!DHE-DSS-AES256-SHA:!AES256-SHA:DHE-RSA-AES128-SHA:TLS_AES_256_GCM_SHA384

注意     

上記の文字列を改行またはスペースを含まない単一の文字列として貼り付けてください。
ステップ 5

変更を送信し、保存します。

CLI で sslconfig コマンドを使用して、上記の手順を実行することもできます。

仮想アプライアンス:SSH セキュリティ脆弱性の修正に必要な変更

このセクションの要件は AsyncOS 8.8 で導入されました。

次のセキュリティ脆弱性は、アプライアンスに存在する場合、アップグレード中に修正されます。

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150625-ironport


(注)  

このパッチは、2015 年 6 月 25 日より前にダウンロードまたはアップグレードされた仮想アプライアンス リリースにのみ必要です。

アップグレード前にこの問題を修正しなかった場合は、修正されたことを示すメッセージがアップグレード中に表示されます。このメッセージが表示された場合、アップグレード後にアプライアンスを完全な動作順序に戻すには次のアクションを実行する必要があります。

  • SSH ユーティリティの既知のホスト リストから、アプライアンスの既存のエントリを削除します。その後、アプライアンスに SSH 接続し、新しいキーを使用して接続を受け入れます。

  • SCP プッシュを使用して、リモート サーバ(Splunk を含む)にログを転送する場合は、リモート サーバからアプライアンスの古い SSH ホスト キーをクリアします。

  • 展開に Cisco コンテンツ セキュリティ管理アプライアンスが含まれている場合は、そのアプライアンスのリリース ノートに記載されている重要な手順を参照してください。

ファイル分析:クラウドで分析結果の詳細を表示するために必要な変更

複数のコンテンツ セキュリティ アプライアンス(Web、電子メール、または管理)を展開しており、組織内の任意のアプライアンスからアップロードされたすべてのファイルについてクラウド内の詳細なファイル分析結果を表示する場合は、アップグレード後に各アプライアンスでアプライアンス グループを設定する必要があります。アプライアンス グループを設定するには、ユーザ ガイド(PDF)の「File Reputation Filtering and File Analysis」の章を参照してください(この PDF は AsyncOS 8.8 のオンライン ヘルプよりも最新です)。

ファイル分析:分析対象のファイル タイプの確認

AsyncOS 8.8 でファイル分析クラウド サ ーバの URL が変更されました。その結果、分析可能なファイル タイプがアップグレード後に変更された可能性があります。変更がある場合は、アラートが表示されます。分析用に選択したファイルタイプを確認するには、[セキュリティサービス(Security Services)] > [マルウェア対策およびレピュテーション(Anti-Malware and Reputation)] を選択し、Advanced Malware Protection の設定を確認します。

正規表現のエスケープされていないドット

正規表現のパターンマッチング エンジンにアップグレードすると、システムの更新後に既存のパターン定義でエスケープされていないドットに関するアラートが表示されることがあります。ドットの後に 64 文字以上を返すパターン内のエスケープされていないドットは、Velocity パターンマッチング エンジンによって無効化されます。その影響についてのアラートがユーザに送信され、パターンを修正または置換するまで、更新のたびにアラートは送信され続けます。一般に、長い正規表現内のエスケープされていないドットは問題を引き起こす可能性があるため、避ける必要があります。

マニュアルの更新

Web サイト(www.cisco.com)にあるユーザ ガイドは、オンライン ヘルプよりも最新である場合があります。この製品のユーザガイドとその他のドキュメントを入手するには、オンライン ヘルプの [PDFの表示(View PDF)] ボタンをクリックするか、「関連資料」に表示される URL にアクセスしてください。

既知および修正済みの問題

シスコのバグ検索ツールを使用して、このリリースの既知および修正済みの不具合に関する情報を検索します。

既知および修正済みの問題のリスト

既知および解決済みの問題に関する情報の検索

Cisco Bug Search Tool を使用して、既知および解決済みの不具合に関する現在の情報を検索します。

始める前に

シスコ アカウントを持っていない場合は、登録します。https://identity.cisco.com/ui/tenants/global/v1.0/enrollment-ui に移動します。

手順

ステップ 1

https://tools.cisco.com/bugsearch/ に移動します。

ステップ 2

シスコ アカウントのクレデンシャルでログインします。
ステップ 3

[リストから選択(Select from list)] > [セキュリティ(Security)] > [Web セキュリティ(Web Security)] > Cisco Web セキュリティアプライアンス(Cisco Web Security Appliance)] をクリックし、[OK] をクリックします。
ステップ 4

[リリース(Releases)] フィールドに、リリースのバージョン(x.x.x など)を入力します。
ステップ 5

要件に応じて、次のいずれかを実行します。

  • 解決済みの問題のリストを表示するには、[リリース(Releases)] ドロップダウンから、[これらのリリースで修正済み(Fixed in these Releases)] を選択します。

  • 既知の問題のリストを表示するには、[リリース(Releases)] ドロップダウンから [これらのリリースに影響(Affecting these Releases)] を選択し、[ステータス(Status)] ドロップダウンから [開く(Open)] を選択します。

(注)  

ご不明な点がある場合は、ツールの右上にある [ヘルプ(Help)] または [フィードバック(Feedback)] リンクをクリックしてください。また、インタラクティブなツアーもあります。これを表示するには、[検索(search)] フィールドの上のオレンジ色のバーにあるリンクをクリックします。

関連資料

資料

参照先

『Cisco Web Security Appliance User Guide』

http://www.cisco.com/c/en/us/support/security/web-security-appliance/tsd-products-support-series-home.html

シスコのコンテンツセキュリティ管理アプライアンスユーザガイド

https://www.cisco.com/c/en/us/support/security/content-security-management-appliance/series.html

仮想アプライアンス インストールガイド

https://www.cisco.com/c/en/us/support/security/email-securityappliance/products-installation-guides-list.html

サポート

シスコ サポート コミュニティ

シスコ サポート コミュニティは、シスコのお客様、パートナー、および従業員向けのオンライン フォーラムです。Web セキュリティに関する一般的な問題や、特定のシスコ製品に関する技術情報について話し合う場を提供します。このフォーラムにトピックを投稿して質問したり、他のシスコ ユーザと情報を共有したりできます。

Web セキュリティと関連管理については、シスコ サポート コミュニティにアクセスしてください。

https://supportforums.cisco.com/community/5786/web-security

カスタマー サポート


(注)  

仮想アプライアンスのサポートを受けるには、仮想ライセンス番号(VLN)をご用意の上 Cisco TAC に連絡してください。

Cisco TAC:http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html を参照してください。

従来の IronPort のサポート サイト:http://www.cisco.com/web/services/acquisitions/ironport.html を参照してください。

重大ではない問題の場合は、アプライアンスからカスタマー サポートにアクセスすることもできます。手順については、ユーザ ガイドまたはオンライン ヘルプを参照してください。