Cisco ASA 5500 シリーズ 適応型セキュリティ アプライアンス スタートアップ ガイド

設定の要件

適応型セキュリティ アプライアンスの配置を計画するときは、ネットワークが次の要件を満たしている必要があります。

• SSM の管理ポートの IP アドレスに、ASDM の実行に使用するホストからアクセスできる。ただし、SSM の管理ポートと適応型セキュリティ アプライアンス管理インターフェイスの IP アドレスは、別のサブネットにできる。

• SSM の管理ポートは、CSC SSM が Trend Micro のアップデート サーバに到達できるように、インターネットに接続できる必要がある。

コンテント セキュリティ用の CSC SSM の設定

適応型セキュリティ アプライアンスと同時にオプションの CSC SSM モジュールを注文した場合、初期設定を完了するために、いくつかの手順を実行する必要があります。設定手順の一部は適応型セキュリティ アプライアンスで実行し、残りの設定手順は CSC SSM で実行するソフトウェアで実行します。

このマニュアルの前の手順を実行していた場合、この時点で、ASA システムはライセンス付きのソフトウェアを実行し、セットアップ ウィザードで基本的なシステム値が入力されています。次に、コンテント セキュリティ配置用に、適応型セキュリティ アプライアンスを設定します。

基本的な手順は、次のとおりです。

1. Cisco.com からソフトウェア アクティベーション キーを取得する。

2. CSC SSM の設定に必要な情報を収集する。

3. Cisco.com からアクティベーション キーを取得する。

4. このセットアップ プロセスのすべての設定作業に使用する ASDM を開く。

5. 時間設定を確認する。

6. CSC セットアップ ウィザードを実行して、CSC SSM を設定する。

7. 適応型セキュリティ アプライアンスを設定して、トラフィックを CSC SSM に誘導してスキャンする。

これらの手順は、次の項で詳しく説明します。

Cisco.com からのソフトウェア アクティベーション キーの取得

CSC SSM を使用して、Product Authorization Key（PAK）を受信します。PAK を使用して、次の URL で CSC SSM を登録します。

登録後、電子メールでアクティベーション キーを受信します。このアクティベーション キーは、 「CSC セットアップ ウィザードの実行」 で説明する手順で必要になります。

情報の収集

適応型セキュリティ アプライアンス、および CSC SSM の設定を開始する前に、次の情報を収集します。

CSC SSM の管理ポートの IP アドレス ネットマスク、ゲートウェイ IP アドレス、およびネットマスク（適応型セキュリティ アプライアンスの IP アドレスは、 第5章「適応型セキュリティ アプライアンスの設定」 で説明するように、Setup Wizard を実行したときに割り当てられます）

（注） SSM の管理ポート IP アドレスには、ASDM の実行に使用するホストからアクセスできる必要があります。SSM の管理ポートと、適応型セキュリティ アプライアンス管理インターフェイスの IP アドレスは、別のサブネットにできます。

• CSC SSM で使用するホスト名とドメイン名

• DNS サーバの IP アドレス

• HTTP プロキシ サーバの IP アドレス（ネットワークで、インターネットへの HTTP アクセスにプロキシを使用している場合）

• 電子メール通知に使用する電子メール アドレスと、SMTP サーバの IP アドレスおよびポート番号

• CSC SSM への管理アクセスを許可するホスト、およびネットワークの IP アドレス

ASDM の起動

ASDM を使用して、CSC SSM の設定と管理を行います。CSC SSM ソフトウェアのコンテント セキュリティ ポリシーの高度な設定を行うには、ASDM のリンクをクリックして、CSC SSM の Web ベースの GUI にアクセスします。

ASDM を起動するには、次の手順を実行します。

ステップ 1 適応型セキュリティ アプライアンス、および CSC SSM の管理ポートにアクセスできる PC で、インターネット ブラウザを起動します。

ステップ 2 ブラウザのアドレス フィールドに、URL「 https://IP_address/ 」を入力します。

ここで、 IP_address は、適応型セキュリティ アプライアンスの IP アドレスです。

（注） 適応型セキュリティ アプライアンスの出荷時のデフォルト IP アドレスは 192.168.1.1 です。「s」を追加して「https」にすることに注意してください。追加しないと、接続が失敗します。HTTPS（HTTP over SSL）は、ブラウザと適応型セキュリティ アプライアンスとの間でセキュアな接続を提供します。

ステップ 3 ユーザ名とパスワードを要求するダイアログボックスで、両方のフィールドを空のままにします。 Enter キーを押します。

ステップ 4 Yes をクリックして、証明書を受け付けます。すべてのユーザ認証および証明書ダイアログボックスで、Yes をクリックします。

ASDM のメイン ウィンドウが表示されます。

時間設定の確認

適応型セキュリティ アプライアンスの時間設定が、時間帯を含めて正しいことを確認します。時間は、CSC SSM でのセキュリティ イベントのロギング、およびコンテント フィルタ リストの自動アップデートにとって重要です。また、ライセンスは時間の影響を受けるため、ライセンスにとっても重要です。

• 時間設定を手動で制御する場合は、クロック設定を確認します。ASDM で、 Configuration > Properties > Device Administration > Clock をクリックします。

• NTP を使用して時間設定を制御する場合は、NTP 設定を確認します。ASDM で、 Configuration > Properties > Device Administration > NTP をクリックします。

CSC セットアップ ウィザードの実行

ステップ 1 ASDM のメイン ウィンドウで、 Configuration タブをクリックします。

ステップ 2 左ペインで、 Trend Micro Content Security タブをクリックします。

Wizard Setup 画面が表示されます。

ステップ 3 CSC Wizard の Step 1 で、Base License の Software Activation Codes （アクティベーション コード）を入力します。オプションで、Plus License のアクティベーション コードを入力します。

Plus License のアクティベーション コードは、CSC SSM の初期設定の後でも入力できます。

ステップ 4 Next をクリックします。

ステップ 5 CSC Wizard の Step 2 で、次の情報を入力します。

• CSC 管理インターフェイスの IP アドレス、ネットマスク、およびゲートウェイ IP アドレス

• プライマリ DNS サーバの IP アドレス

• HTTP プロキシ サーバの IP アドレスおよびプロキシ ポート（ネットワークで HTTP 要求をインターネットに送信するときに、HTTP プロキシを使用している場合のみ）

ステップ 6 Next をクリックします。

ステップ 7 CSC Setup Wizard の Step 3 で、次の情報を入力します。

• CSC SSM の Hostname （ホスト名）および Domain （ドメイン名）

• Domain （ドメイン名）は、着信ドメインとしてローカル メール サーバで使用します。

（注） アンチスパム ポリシーは、このドメインに着信した電子メール トラフィックにのみ適用されます。

• 通知に使用する管理者の電子メール アドレスと、電子メール サーバの IP アドレスおよびポート

ステップ 8 Next をクリックします。

ステップ 9 CSC Setup Wizard の Step 4 で、CSC SSM への管理アクセスが必要な各サブネットおよびホストの、IP アドレスとマスクを入力します。

デフォルトでは、すべてのネットワークが CSC SSM に管理アクセスできます。セキュリティ上の理由により、特定のサブネットまたは管理ホストにアクセスを制限することが推奨されます。

ステップ 10 Next をクリックします。

ステップ 11 CSC Setup Wizard の Step 5 で、管理アクセス用の新しいパスワードを入力します。Old Password フィールドに、工場出荷時のデフォルト パスワード「cisco」を入力します。

ステップ 12 Next をクリックします。

ステップ 13 CSC Setup Wizard の Step 6 で、CSC SSM に入力したコンフィギュレーション設定値を確認します。

これらの設定が正しいことを確認したら、 Finish をクリックします。

ASDM に、CSC デバイスがアクティブになったことを示すメッセージが表示されます。

コンテント スキャン用の CSC SSM へのトラフィック誘導

適応型セキュリティ アプライアンスは、ファイアウォール ポリシーを適用した後、出力インターフェイスから出る前に、パケットを CSC SSM に誘導します。たとえば、アクセスリストによってブロックされたパケットは、CSC SSM に転送されません。

適応型セキュリティ アプライアンスで、CSC SSM に誘導するトラフィックを指定するサービス ポリシーを設定します。CSC SSM は、HTTP、POP3、FTP、および SMTP プロトコルの既知のポートに送信された、これらのトラフィックをスキャンできます。

初期設定プロセスを簡素化するために、この手順では、サポートされるプロトコルのすべてのトラフィック（着信および発信）を CSC SSM に誘導する、グローバル サービス ポリシーを作成します。適応型セキュリティ アプライアンスを通過するすべてのトラフィックをスキャンすると、適応型セキュリティ アプライアンス、および CSC SSM のパフォーマンスが低下する可能性があるため、このセキュリティ ポリシーは後で変更できます。たとえば、通常、内部ネットワークからの着信トラフィックは、信頼される発信元から着信しているため、すべてをスキャンする必要はありません。CSC SSM が信頼されない発信元からのトラフィックだけをスキャンするようにサービス ポリシーを調整することによって、セキュリティの目的を達成しながら、適応型セキュリティ アプライアンス、および CSC SSM の最大のパフォーマンスが得られます。

スキャンするトラフィックを特定するグローバル サービス ポリシーを作成するには、次の手順を実行します。

ステップ 1 ASDM のメイン ウィンドウで、 Configuration タブをクリックします。

ステップ 2 Security Policies をクリックし、 Service Policy Rules オプション ボタンをクリックします。

ステップ 3 Add をクリックします。

Add Service Policy Rule が表示されます。

ステップ 4 Service Policy ページで、 Global - applies to all interfaces オプション ボタンをクリックします。

ステップ 5 Next をクリックします。Traffic Classification Criteria ページが表示されます。

ステップ 6 Traffic Classification Criteria ページで、 User class-default as the traffic class オプション ボタンをクリックします。

ステップ 7 Next をクリックします。Add Service Policy Rule Wizard - Rule Actions ページが表示されます。

ステップ 8 Service Policy Rule Wizard で、 CSC Scan タブをクリックします。

ステップ 9 CSC Scan タブ ページで、 Enable CSC scan for this traffic flow チェックボックスをオンにします。

If CSC card fails, then 領域で、CSC SSM を使用できないときに選択されたトラフィックを、適応型セキュリティ アプライアンスが許可するか拒否するかを選択します。

ステップ 10 Finish をクリックします。

新しいサービス ポリシーが Service Policy Rules ペインに表示されます。

ステップ 11 Apply をクリックします。

デフォルトでは、CSC SSM は、購入したライセンスでイネーブルになっているコンテント セキュリティ スキャン（アンチウイルス、アンチスパム、アンチフィッシング、コンテント フィルタリングなど）を実行するように設定されています。また、Trend Micro のアップデート サーバから、定期的にアップデートを取得するように設定されています。

購入したライセンスに含まれている場合、URL ブロッキングおよび URL フィルタリング用のカスタム設定や、電子メールおよび FTP のパラメータを作成できます。詳細については、『Cisco Content Security and Control SSM Administrator Guide』を参照してください。