cisco web セキュリティ アプラ イアンス向け asyncos 11.0...
TRANSCRIPT
-
Cisco Webセキュリティアプライアンス向けAsyncOS 11.0ユーザガイド
初版:2017年 4月 28日
最終更新:2017年 5月 24日
シスコシステムズ合同会社〒107-6227東京都港区赤坂9-7-1 ミッドタウン・タワーhttp://www.cisco.com/jpお問い合わせ先:シスココンタクトセンター
0120-092-255(フリーコール、携帯・PHS含む)電話受付時間:平日 10:00~12:00、13:00~17:00http://www.cisco.com/jp/go/contactcenter/
-
【注意】シスコ製品をご使用になる前に、安全上の注意( www.cisco.com/jp/go/safety_warning/)をご確認ください。本書は、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照くだ
さい。また、契約等の記述については、弊社販売パートナー、または、弊社担当者にご確認ください。
このマニュアルに記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。このマニュアルに記載されている表現、情報、および推奨事
項は、すべて正確であると考えていますが、明示的であれ黙示的であれ、一切の保証の責任を負わないものとします。このマニュアルに記載されている製品の使用は、
すべてユーザ側の責任になります。
対象製品のソフトウェアライセンスおよび限定保証は、製品に添付された『Information Packet』に記載されています。添付されていない場合には、代理店にご連絡ください。
The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB's public domain version ofthe UNIX operating system.All rights reserved.Copyright © 1981, Regents of the University of California.
ここに記載されている他のいかなる保証にもよらず、各社のすべてのマニュアルおよびソフトウェアは、障害も含めて「現状のまま」として提供されます。シスコおよ
びこれら各社は、商品性の保証、特定目的への準拠の保証、および権利を侵害しないことに関する保証、あるいは取引過程、使用、取引慣行によって発生する保証をは
じめとする、明示されたまたは黙示された一切の保証の責任を負わないものとします。
いかなる場合においても、シスコおよびその供給者は、このマニュアルの使用または使用できないことによって発生する利益の損失やデータの損傷をはじめとする、間
接的、派生的、偶発的、あるいは特殊な損害について、あらゆる可能性がシスコまたはその供給者に知らされていても、それらに対する責任を一切負わないものとしま
す。
このマニュアルで使用している IPアドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワークトポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図
的なものではなく、偶然の一致によるものです。
Ciscoおよび Ciscoロゴは、シスコや米国および他の国の関連会社の商標です。シスコの商標の一覧は、https://www.cisco.com/go/trademarksで参照できます。本書に記載されているサードパーティの商標は、それぞれの所有者の財産です。「パートナー」という用語の使用はシスコと他社との間のパートナーシップ関係を意味するもので
はありません(1721R)
© 2018 Cisco Systems, Inc. All rights reserved.
https://www.cisco.com/go/trademarks
-
目次
製品およびリリースの概要 1第 1 章
Webセキュリティアプライアンスの概要 1
最新情報 2
AsyncOS 11.0の新機能 2
関連項目 3
アプライアンスWebインターフェイスの使用 3
Webインターフェイスのブラウザ要件 4
仮想アプライアンスでのWebインターフェイスへのアクセスのイネーブル化 4
アプライアンスWebインターフェイスへのアクセス 5
Webインターフェイスでの変更内容のコミット 5
Webインターフェイスでの変更内容のクリア 6
サポートされる言語 6
Cisco SensorBaseネットワーク 6
SensorBaseの利点とプライバシー 6
Cisco SensorBaseネットワークへの参加の有効化 7
接続、インストール、設定 9第 2 章
接続、インストール、設定の概要 9
操作モードの比較 10
接続、インストール、設定に関するタスクの概要 16
アプライアンスの接続 16
設定情報の収集 20
システムセットアップウィザード 22
システムセットアップウィザードの参照情報 24
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドiii
-
ネットワーク/システムの設定 24
ネットワーク/ネットワークコンテキスト 25
ネットワーク/クラウドコネクタの設定 26
ネットワーク/ネットワークインターフェイスおよび配線 26
ネットワーク/レイヤ 4トラフィックモニタの配線 27
管理およびデータトラフィックのネットワーク/ルートの設定 27
ネットワーク/透過的接続の設定 28
ネットワーク/管理の設定 29
セキュリティ/セキュリティ設定 30
アップストリームプロキシ 31
アップストリームプロキシのタスクの概要 31
アップストリームプロキシのプロキシグループの作成 32
ネットワークインターフェイス 33
IPアドレスのバージョン 33
ネットワークインターフェイスのイネーブル化または変更 34
ハイアベイラビリティを実現するためのフェールオーバーグループの設定 36
フェールオーバーグループの追加 36
高可用性グローバル設定の編集 37
フェールオーバーグループのステータスの表示 38
Webプロキシデータに対する P2データインターフェイスの使用 38
TCP/IPトラフィックルートの設定 39
発信サービストラフィック 40
デフォルトルートの変更 41
ルートの追加 41
ルーティングテーブルの保存およびロード 41
ルートの削除 42
トランスペアレントリダイレクションの設定 42
透過リダイレクションデバイスの指定 42
L4スイッチの使用 43
WCCPサービスの設定 44
VLANの使用によるインターフェイス能力の向上 50
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドiv
目次
-
VLANの設定と管理 50
リダイレクトホスト名とシステムホスト名 52
リダイレクトホスト名の変更 52
システムホスト名の変更 53
SMTPリレーホストの設定 53
SMTPリレーホストの設定 53
DNSの設定 54
スプリット DNS 54
DNSキャッシュのクリア 55
DNS設定の編集 55
接続、インストール、設定に関するトラブルシューティング 57
CiscoクラウドWebセキュリティプロキシへのアプライアンスの接続 59第 3 章
クラウドコネクタモードで機能を設定および使用する方法 59
クラウドコネクタモードでの展開 60
クラウドコネクタの設定 60
クラウドのディレクトリグループの使用によるWebアクセスの制御 64
クラウドプロキシサーバのバイパス 64
クラウドコネクタモードでの FTPおよび HTTPSの部分的サポート 65
セキュアデータの漏洩防止 66
グループ名、ユーザ名、IPアドレスの表示 66
クラウドコネクタログへの登録 66
クラウドWebセキュリティコネクタの使用による識別プロファイルと認証 66
ポリシーの適用に対するマシンの識別 67
未認証ユーザのゲストアクセス 68
Cisco Defense Orchestratorへのアプライアンスの接続 69第 4 章
Cisco Defense Orchestratorの統合の概要 69
Cisco Defense Orchestratorモードで機能を設定および使用する方法 69
Cisco Defense Orchestratorモードでの展開 70
Cisco Defense Orchestratorモードでの設定の変更と制約 70
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドv
目次
-
システムセットアップウィザードを使用したCisco Defense Orchestratorモードでのアプラ
イアンスの設定 72
Webインターフェイスを使用した Cisco Defense Orchestratorモードでの標準モードの設定73
Cisco Defense Orchestratorの無効化 75
Cisco Defense Orchestratorの有効化 75
Cisco Defense Orchestratorのレポート 76
Cisco Defense Orchestratorのレポートを有効にする方法 76
Cisco Defense Orchestratorモードの問題のトラブルシューティング 77
Cisco Defense Orchestratorを登録できない 77
Web要求の代行受信 79第 5 章
Web要求の代行受信の概要 79
Web要求の代行受信のためのタスク 79
Web要求の代行受信のベストプラクティス 81
Web要求を代行受信するためのWebプロキシオプション 81
Webプロキシの設定 82
Webプロキシキャッシュ 84
Webプロキシキャッシュのクリア 84
Webプロキシキャッシュからの URLの削除 84
Webプロキシによってキャッシュしないドメインまたは URLの指定 85
Webプロキシのキャッシュモードの選択 86
Webプロキシの IPスプーフィング 87
Webプロキシのカスタムヘッダー 88
Web要求へのカスタムヘッダーの追加 88
Webプロキシのバイパス 89
Webプロキシのバイパス(Web要求の場合) 89
Webプロキシのバイパス設定(Web要求の場合) 89
Webプロキシのバイパス設定(アプリケーションの場合) 90
Webプロキシ使用規約 90
Web要求をリダイレクトするためのクライアントオプション 90
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドvi
目次
-
クライアントアプリケーションによる PACファイルの使用 91
プロキシ自動設定(PAC)ファイルのパブリッシュオプション 91
プロキシ自動設定(PAC)ファイルを検索するクライアントオプション 91
PACファイルの自動検出 92
Webセキュリティアプライアンスでの PACファイルのホスティング 92
クライアントアプリケーションでの PACファイルの指定 93
クライアントでの PACファイルの場所の手動設定 93
クライアントでの PACファイルの自動検出 94
FTPプロキシサービス 94
FTPプロキシサービスの概要 94
FTPプロキシの有効化と設定 95
SOCKSプロキシサービス 96
SOCKSプロキシサービスの概要 97
SOCKSトラフィックの処理のイネーブル化 97
SOCKSプロキシの設定 97
SOCKSポリシーの作成 98
要求の代替受信に関するトラブルシューティング 99
エンドユーザクレデンシャルの取得 101第 6 章
エンドユーザクレデンシャルの取得の概要 101
認証タスクの概要 102
認証に関するベストプラクティス 102
認証の計画 103
Active Directory/Kerberos 104
Active Directory/基本 105
Active Directory/NTLMSSP 106
LDAP/基本 107
ユーザの透過的識別 107
透過的ユーザ識別について 108
透過的ユーザ識別のルールとガイドライン 111
透過的ユーザ識別の設定 112
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドvii
目次
-
CLIを使用した透過的ユーザ識別の詳細設定 112
シングルサインオンの設定 113
認証レルム 113
外部認証 113
LDAPサーバによる外部認証の設定 114
RADIUS外部認証のイネーブル化 114
Kerberos認証方式の Active Directoryレルムの作成 115
Active Directory認証レルムの作成(NTLMSSPおよび基本) 118
Active Directory認証レルムの作成の前提条件(NTLMSSPおよび基本) 118
複数の NTLMレルムとドメインの使用について 119
Active Directory認証レルムの作成(NTLMSSPおよび基本) 119
LDAP認証レルムの作成 121
複数の NTLMレルムとドメインの使用 126
認証レルムの削除について 126
グローバル認証の設定 127
認証シーケンス 134
認証シーケンスについて 134
認証シーケンスの作成 135
認証シーケンスの編集および順序変更 135
認証シーケンスの削除 136
認証の失敗 136
認証の失敗について 136
問題のあるユーザエージェントの認証のバイパス 137
認証のバイパス 138
認証サービスが使用できない場合の未認証トラフィックの許可 139
認証失敗後のゲストアクセスの許可 139
ゲストアクセスをサポートする識別プロファイルの定義 140
ゲストアクセスをサポートしている識別プロファイルのポリシーでの使用 140
ゲストユーザの詳細の記録方法の設定 141
認証の失敗:異なるクレデンシャルによる再認証の許可 141
異なるクレデンシャルによる再認証の許可について 141
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドviii
目次
-
異なるクレデンシャルによる再認証の許可 141
識別済みユーザの追跡 142
明示的要求でサポートされる認証サロゲート 142
透過的要求でサポートされる認証サロゲート 142
再認証ユーザの追跡 143
資格情報 144
セッション中のクレデンシャルの再利用の追跡 144
認証および承認の失敗 145
クレデンシャルの形式 145
基本認証のクレデンシャルの暗号化 145
基本認証のクレデンシャルの暗号化について 145
クレデンシャル暗号化の設定 145
認証に関するトラブルシューティング 146
ポリシーの適用に対するエンドユーザの分類 147第 7 章
ユーザおよびクライアントソフトウェアの分類:概要 147
ユーザおよびクライアントソフトウェアの分類:ベストプラクティス 148
識別プロファイルの条件 148
ユーザおよびクライアントソフトウェアの分類 149
IDの有効化/無効化 155
識別プロファイルと認証 156
識別プロファイルのトラブルシューティング 158
SaaSアクセスコントロール 159第 8 章
SaaSアクセスコントロールの概要 159
IDプロバイダーとしてのアプライアンスの設定 160
SaaSアクセスコントロールと複数のアプライアンスの使用 162
SaaSアプリケーション認証ポリシーの作成 162
シングルサインオン URLへのエンドユーザアクセスの設定 165
Cisco Identity Services Engineの統合 167第 9 章
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドix
目次
-
Identity Services Engineサービスの概要 167
pxGridについて 167
ISEサーバの展開とフェールオーバーについて 168
Identity Services Engineの証明書 168
自己署名証明書の使用 169
CA署名付き証明書の使用 169
ISEサービスを認証および統合するためのタスク 170
ISEサービスへの接続 174
Identity Services Engineに関する問題のトラブルシューティング 176
ポリシーの適用に対する URLの分類 177第 1 0 章
URLトランザクションの分類の概要 177
失敗した URLトランザクションの分類 178
動的コンテンツ分析エンジンのイネーブル化 178
未分類の URL 179
URLと URLカテゴリの照合 179
未分類の URLと誤って分類された URLの報告 180
URLカテゴリデータベース 180
URLフィルタリングエンジンの設定 180
URLカテゴリセットの更新の管理 181
URLカテゴリセットの更新による影響について 181
URLカテゴリセットの変更によるポリシーグループメンバーシップへの影響 181
URLカテゴリセットの更新によるポリシーのフィルタリングアクションへの影響 182
マージされたカテゴリ:例 185
URLカテゴリセットの更新の制御 186
手動による URLカテゴリセットの更新 187
新規および変更されたカテゴリのデフォルト設定 187
既存の設定の確認または変更の実行 187
カテゴリおよびポリシーの変更に関するアラートの受信 188
URLカテゴリセットの更新に関するアラートへの応答 188
URLカテゴリによるトランザクションのフィルタリング 188
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドx
目次
-
アクセスポリシーグループの URLフィルタの設定 189
埋め込み/参照コンテンツのブロックの例外 191
復号化ポリシーグループの URLフィルタの設定 192
データセキュリティポリシーグループの URLフィルタの設定 194
カスタム URLカテゴリの作成および編集 196
カスタムおよび外部 URLカテゴリのアドレス形式とフィードファイル形式 202
外部フィードファイルの形式 202
アダルトコンテンツのフィルタリング 204
セーフサーチおよびサイトコンテンツレーティングの適用 205
アダルトコンテンツアクセスのロギング 205
アクセスポリシーでのトラフィックのリダイレクト 206
ロギングとレポート 207
ユーザへの警告と続行の許可 207
[エンドユーザフィルタリング警告(End-User Filtering Warning)]ページの設定 208
時間ベースの URLフィルタの作成 209
URLフィルタリングアクティビティの表示 209
フィルタリングされない未分類のデータについて 210
アクセスログへの URLカテゴリの記録 210
正規表現 210
正規表現の形成 211
検証エラーを回避するための注意事項 211
正規表現の文字テーブル 213
URLカテゴリについて 214
インターネット要求を制御するポリシーの作成 229第 1 1 章
ポリシーの概要:代行受信されたインターネット要求の制御 229
代行受信された HTTP/HTTPS要求の処理 230
ポリシータスクによるWeb要求の管理:概要 231
ポリシーによるWeb要求の管理:ベストプラクティス 231
ポリシー 231
ポリシータイプ 232
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxi
目次
-
ポリシーの順序 235
ポリシーの作成 236
ポリシーのセキュリティグループタグの追加と編集 240
ポリシーの設定 241
アクセスポリシー:オブジェクトのブロッキング 242
アーカイブ検査の設定 245
トランザクション要求のブロック、許可、リダイレクト 246
クライアントアプリケーション 248
クライアントアプリケーションについて 248
ポリシーでのクライアントアプリケーションの使用 249
クライアントアプリケーションによるポリシーメンバーシップの定義 249
クライアントアプリケーションによるポリシー制御設定の定義 249
認証からのクライアントアプリケーションの除外 250
時間範囲およびクォータ 250
ポリシーおよび使用許可コントロールの時間範囲 250
時間範囲の作成 251
時間およびボリュームクォータ 251
ボリュームクォータの計算 252
時間クォータの計算 253
時間およびボリュームクォータの定義 253
URLカテゴリによるアクセス制御 254
URLカテゴリによるWeb要求の識別 254
URLカテゴリによるWeb要求へのアクション 255
リモートユーザ 256
リモートユーザについて 256
リモートユーザの IDを設定する方法 257
リモートユーザの IDの設定 257
ASAのリモートユーザステータスと統計情報の表示 258
ポリシーに関するトラブルシューティング 259
HTTPSトラフィックを制御する復号ポリシーの作成 261第 1 2 章
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxii
目次
-
HTTPSトラフィックを制御する復号ポリシーの作成:概要 261
復号化ポリシータスクによる HTTPSトラフィックの管理の概要 262
復号化ポリシーによる HTTPSトラフィックの管理:ベストプラクティス 262
復号化ポリシー 263
HTTPSプロキシのイネーブル化 264
HTTPSトラフィックの制御 266
復号化オプションの設定 268
認証および HTTPS接続 268
ルート証明書 269
証明書の検証と HTTPSの復号化の管理 270
有効な証明書 270
無効な証明書の処理 270
ルート証明書およびキーのアップロード 271
HTTPSプロキシ用の証明書およびキーの生成 271
無効な証明書の処理の設定 272
証明書失効ステータスのチェックのオプション 273
リアルタイムの失効ステータスチェックの有効化 273
信頼できるルート証明書 275
信頼できるリストへの証明書の追加 275
信頼できるリストからの証明書の削除 275
HTTPSトラフィックのルーティング 276
暗号化/HTTPS/証明書のトラブルシューティング 276
発信トラフィックでの既存の感染のスキャン 277第 1 3 章
発信トラフィックのスキャンの概要 277
要求が DVSエンジンによってブロックされた場合のユーザエクスペリエンス 278
アップロード要求について 278
グループメンバーシップの基準 278
クライアント要求と発信マルウェアスキャンポリシーグループの照合 279
アウトバウンドマルウェアスキャンポリシーの設定 279
アップロード要求の制御 282
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxiii
目次
-
DVSスキャンのロギング 283
セキュリティサービスの設定 285第 1 4 章
セキュリティサービスの設定の概要 285
Webレピュテーションフィルタの概要 286
Webレピュテーションスコア 286
Webレピュテーションフィルタの動作のしくみについて 287
アクセスポリシーのWebレピュテーション 287
復号化ポリシーのWebレピュテーション 288
CiscoデータセキュリティポリシーのWebレピュテーション 288
マルウェア対策スキャンの概要 289
DVSエンジンの動作のしくみについて 289
複数のマルウェア判定の使用 289
Webrootスキャン 290
McAfeeスキャン 291
ウィルスシグニチャパターンの照合 291
ヒューリスティック分析 291
McAfeeカテゴリ 291
Sophosスキャン 292
適応型スキャンについて 292
適応型スキャンとアクセスポリシー 292
マルウェア対策とレピュテーションフィルタの有効化 293
ポリシーにおけるマルウェア対策およびレピュテーションの設定 294
アクセスポリシーにおけるマルウェア対策およびレピュテーションの設定 295
マルウェア対策およびレピュテーションの設定(適応型スキャンがイネーブルの場合)
295
マルウェア対策およびレピュテーションの設定(適応型スキャンがディセーブルの場
合) 297
Webレピュテーションスコアの設定 298
アクセスポリシーのWebレピュテーションスコアのしきい値の設定 298
復号化ポリシーグループのWebレピュテーションフィルタの設定 299
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxiv
目次
-
データセキュリティポリシーグループのWebレピュテーションフィルタの設定 299
データベーステーブルの保持 300
Webレピュテーションデータベース 300
Webレピュテーションフィルタリングアクティビティおよび DVSスキャンのロギング 300
適応型スキャンのロギング 300
キャッシング(Caching) 301
マルウェアのカテゴリについて 301
ファイルレピュテーションフィルタリングとファイル分析 303第 1 5 章
ファイルレピュテーションフィルタリングとファイル分析の概要 303
ファイル脅威判定のアップデート 304
ファイル処理の概要 304
ファイルレピュテーションおよび分析サービスでサポートされるファイル 306
アーカイブまたは圧縮されたファイルの処理 307
クラウドに送信される情報のプライバシー 307
ファイルレピュテーションと分析機能の設定 308
ファイルレピュテーションと分析サービスとの通信の要件 308
データインターフェイス経由でのファイルレピュテーションサーバおよびファイル分
析サーバへのトラフィックのルーティング 309
オンプレミスのファイルレピュテーションサーバの設定 311
オンプレミスのファイル分析サーバの設定 312
ファイルレピュテーションと分析サービスの有効化と設定 313
重要:ファイル分析設定に必要な変更 317
(パブリッククラウドファイル分析サービスのみ)アプライアンスグループの設定 317
分析グループ内のアプライアンスの確認 318
アクセスポリシーごとのファイルレピュテーションおよび分析サービスのアクションの
設定 319
高度なマルウェア防御の問題に関連するアラートの受信の確認 319
高度なマルウェア防御機能の集約管理レポートの設定 320
ファイルレピュテーションおよびファイル分析のレポートとトラッキング 321
SHA-256ハッシュによるファイルの識別 321
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxv
目次
-
ファイルレピュテーションとファイル分析レポートのページ 322
その他のレポートでのファイルレピュテーションフィルタデータの表示 323
Webトラッキング機能と高度なマルウェア防御機能について 323
ファイルの脅威判定の変更時のアクションの実行 324
ファイルレピュテーションと分析のトラブルシューティング 325
ログファイル(Log Files) 325
ファイルレピュテーションサーバまたはファイル分析サーバへの接続失敗に関する各種
アラート 325
APIキーのエラー(オンプレミスのファイル分析) 326
ファイルが予想どおりにアップロードされない 326
クラウド内のファイル分析の詳細が完全でない 327
分析のために送信できるファイルタイプに関するアラート 327
Webアプリケーションへのアクセスの管理 329第 1 6 章
Webアプリケーションへのアクセスの管理:概要 329
AVCエンジンの有効化 330
AVCエンジンのアップデートとデフォルトアクション 331
要求が AVCエンジンによりブロックされた場合のユーザエクスペリエンス 331
アプリケーション制御のポリシー設定 331
範囲要求の設定(Range Request Settings) 332
アプリケーション制御の設定のためのルールとガイドライン 333
アクセスポリシーグループのアプリケーション管理設定 334
帯域幅の制御 335
全体の帯域幅制限の設定 336
ユーザの帯域幅制限の設定 336
アプリケーションタイプのデフォルトの帯域幅制限の設定 337
アプリケーションタイプのデフォルトの帯域幅制限の無効化 337
アプリケーションの帯域幅制御の設定 338
インスタントメッセージトラフィックの制御 338
AVCアクティビティの表示 339
アクセスログファイルの AVC情報 339
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxvi
目次
-
機密データの漏洩防止 341第 1 7 章
機密データの漏洩防止の概要 341
最小サイズ以下のアップロード要求のバイパス 342
要求が機密データとしてブロックされた場合のユーザエクスペリエンス 343
アップロード要求の管理 343
外部 DLPシステムにおけるアップロード要求の管理 344
データセキュリティおよび外部 DLPポリシーグループのメンバーシップの評価 345
クライアント要求とデータセキュリティおよび外部 DLPポリシーグループとの照合 345
データセキュリティポリシーおよび外部 DLPポリシーの作成 346
アップロード要求の設定の管理 349
URLカテゴリ 349
Webレピュテーション 349
コンテンツのブロック 350
外部 DLPシステムの定義 351
外部 DLPサーバの設定 351
外部 DLPポリシーによるアップロード要求の制御 354
データ損失防止スキャンのロギング 355
エンドユーザへのプロキシアクションの通知 357第 1 8 章
エンドユーザ通知の概要 357
通知ページの一般設定項目の設定 358
エンドユーザ確認応答ページ 359
エンドユーザ確認ページによる HTTPSおよび FTPサイトへのアクセス 359
エンドユーザ確認応答ページについて 360
エンドユーザ確認応答ページの設定 360
エンドユーザ通知ページ 363
オンボックスエンドユーザ通知ページの設定 363
オフボックスエンドユーザ通知ページ 364
アクセスをブロックする理由に基づく適切なオフボックスページの表示 364
オフボックス通知ページの URL基準 365
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxvii
目次
-
オフボックスエンドユーザ通知ページのパラメータ 365
カスタム URLへのエンドユーザ通知ページのリダイレクト(オフボックス) 366
エンドユーザ URLフィルタリング警告ページの設定 367
FTP通知メッセージの設定 368
通知ページ上のカスタムメッセージ 368
通知ページのカスタムメッセージでサポートされる HTMLタグ 368
通知ページの URLとロゴに関する注意事項 369
通知ページ HTMLファイルの直接編集 370
通知 HTMLファイルを直接編集するための要件 370
通知 HTMLファイルの直接編集 371
通知 HTMLファイルでの変数の使用 371
通知 HTMLファイルのカスタマイズのための変数 372
通知ページのタイプ 374
エンドユーザのアクティビティをモニタするレポートの生成 397第 1 9 章
レポートの概要 397
レポートでのユーザ名の使用 397
レポートページ 398
レポートページの使用 398
時間範囲の変更 399
データの検索 400
チャート化するデータの選択 400
カスタムレポート 400
カスタムレポートに追加できないモジュール 401
カスタムレポートページの作成 401
レポートおよびトラッキングにおけるサブドメインとセカンドレベルドメインの比較
402
レポートページからのレポートの印刷とエクスポート 402
レポートデータのエクスポート 403
レポートの有効化 404
レポートのスケジュール設定 405
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxviii
目次
-
スケジュール設定されたレポートの追加 405
スケジュール設定されたレポートの編集 406
スケジュール設定されたレポートの削除 406
オンデマンドでのレポートの生成 406
アーカイブレポート 407
Webセキュリティアプライアンスのレポート 409第 2 0 章
[概要(Overview)]ページ 409
[ユーザ(Users)]ページ 411
[ユーザの詳細(User Details)]ページ 412
[Webサイト(Web Sites)]ページ 412
[URLカテゴリ(URL Categories)]ページ 413
URLカテゴリセットの更新とレポート 414
[アプリケーションの表示(Application Visibility)]ページ 414
[マルウェア対策(Anti-Malware)]ページ 415
[マルウェアカテゴリ(Malware Category)]レポートページ 416
[マルウェア脅威(Malware Threats)]レポートページ 416
[高度なマルウェア防御(Advanced Malware Protection)]ページ 416
[ファイル分析(File Analysis)]ページ 416
[AMP判定のアップデート(AMP Verdict Updates)]ページ 416
[クライアントマルウェアリスク(Client Malware Risk)]ページ 417
[Webプロキシ:マルウェアリスク別クライアント(Web Proxy: Clients by Malware Risk)]
の [クライアントの詳細(Client Detail)]ページ 417
[Webレピュテーションフィルタ(Web Reputation Filters)]ページ 418
[L4トラフィックモニタ(L4 Traffic Monitor)]ページ 419
[SOCKSプロキシ(SOCKS Proxy)]ページ 419
[ユーザロケーション別のレポート(Reports by User Location)]ページ 419
[Webトラッキング(Web Tracking)]ページ 421
Webプロキシによって処理されるトランザクションの検索 421
L4トラフィックモニタによって処理されたトランザクションの検索 424
SOCKSプロキシによって処理されるトランザクションの検索 424
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxix
目次
-
[システム容量(System Capacity)]ページ 425
[システムステータス(System Status)]ページ 425
非標準ポートでの不正トラフィックの検出 427第 2 1 章
不正トラフィックの検出の概要 427
L4トラフィックモニタの設定 427
既知のサイトのリスト 428
L4トラフィックモニタのグローバル設定 429
L4トラフィックモニタアンチマルウェアルールのアップデート 429
不正トラフィック検出ポリシーの作成 429
有効な形式 431
L4トラフィックモニタのアクティビティの表示 431
モニタリングアクティビティとサマリー統計情報の表示 431
L4トラフィックモニタのログファイルのエントリ 432
ログによるシステムアクティビティのモニタ 433第 2 2 章
ロギングの概要 433
ロギングの共通タスク 434
ロギングのベストプラクティス 434
ログによるWebプロキシのトラブルシューティング 435
ログファイルのタイプ 436
ログサブスクリプションの追加および編集 443
W3Cログフィールドの非匿名化 448
別のサーバへのログファイルのプッシュ 449
ログファイルのアーカイブ 449
ログのファイル名とアプライアンスのディレクトリ構造 450
ログファイルの閲覧と解釈 450
ログファイルの表示 451
アクセスログファイル内のWebプロキシ情報 452
トランザクション結果コード 456
ACLデシジョンタグ 457
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxx
目次
-
アクセスログのスキャン判定エントリの解釈 464
W3C準拠のアクセスログファイル 473
W3Cフィールドタイプ 473
W3Cアクセスログの解釈 473
W3Cログファイルのヘッダー 473
W3Cフィールドのプレフィックス 474
アクセスログのカスタマイズ 475
アクセスログのユーザ定義フィールド 475
標準アクセスログのカスタマイズ 476
W3Cアクセスログのカスタマイズ 477
CTA固有のカスタムW3Cログの設定 477
トラフィックモニタのログファイル 479
トラフィックモニタログの解釈 479
ログファイルのフィールドとタグ 480
アクセスログのフォーマット指定子とW3Cログファイルのフィールド 480
マルウェアスキャンの判定値 494
ロギングのトラブルシューティング 496
システム管理タスクの実行 497第 2 3 章
システム管理の概要 497
アプライアンス設定の保存、ロード、およびリセット 498
アプライアンス設定の表示と印刷 498
アプライアンス設定ファイルの保存 498
アプライアンス設定ファイルのロード 499
アプライアンス設定の出荷時デフォルトへのリセット 500
機能キーの使用 500
機能キーの表示と更新 500
機能キーの更新設定の変更 501
仮想アプライアンスのライセンス 501
仮想アプライアンスのライセンスのインストール 502
リモート電源再投入の有効化 502
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxxi
目次
-
ユーザアカウントの管理 503
ローカルユーザアカウントの管理 504
ローカルユーザアカウントの追加 504
ユーザアカウントの削除 505
ユーザアカウントの編集 506
パスフレーズの変更 506
RADIUSユーザ認証 506
RADIUS認証のイベントのシーケンス 506
RADIUSを使用した外部認証の有効化 507
ユーザプリファレンスの定義 509
管理者の設定 509
管理ユーザのパスフレーズ要件の設定 509
アプライアンスの割り当てに対するセキュリティ設定の追加 510
ユーザネットワークアクセス 512
管理者パスフレーズのリセット 513
生成されたメッセージの返信アドレスの設定 513
アラートの管理 513
アラートの分類と重大度 514
アラートの分類 514
アラートの重大度 514
アラート受信者の管理 514
アラート受信者の追加および編集 515
アラート受信者の削除 515
アラート設定値の設定 515
アラートリスト 516
機能キーアラート 516
ハードウェアアラート 517
ロギングアラート 517
レポートアラート 519
システムアラート 521
アップデータアラート 523
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxxii
目次
-
マルウェア対策アラート 524
FIPS Compliance 524
FIPS証明書の要件 524
FIPS証明書の検証 525
FIPSモードの有効化または無効化 525
システムの日時の管理 526
タイムゾーンの設定 526
NTPサーバによるシステムクロックの同期 527
SSLの設定 527
証明書の管理(Certificate Management) 529
厳格な証明書検証について 529
証明書およびキーについて 530
信頼できるルート証明書の管理 530
証明書の更新 531
ブロックされた証明書の表示 531
証明書とキーのアップロードまたは生成 531
証明書およびキーのアップロード 531
証明書およびキーの生成 532
証明書署名要求 533
中間証明書 533
AsyncOS for Webのアップグレートとアップデート 534
AsyncOS for Webをアップグレードするためのベストプラクティス 534
AsyncOSおよびセキュリティサービスコンポーネントのアップグレードとアップデート534
アップグレードのダウンロードとインストール 534
バックグラウンドダウンロードのキャンセルまたは削除ステータスの表示 536
自動および手動によるアップデート/アップグレードのクエリー 537
セキュリティサービスのコンポーネントの手動による更新 538
ローカルおよびリモートアップデートサーバ 538
Ciscoアップデートサーバからのアップデートとアップグレード 539
ローカルサーバからのアップグレード 540
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxxiii
目次
-
ローカルとリモートにおけるアップグレード方法の相違 541
アップグレードおよびサービスアップデートの設定 542
以前のバージョンの AsyncOS for Webへの復元 543
仮想アプライアンスの AsyncOSを復元した場合のライセンスへの影響 543
復元プロセスでのコンフィギュレーションファイルの使用 544
SMAによって管理されるアプライアンスの AsyncOSの復元 544
以前のバージョンへのWeb用の AsyncOSの復元 544
SNMPを使用したシステムの状態のモニタリング 545
MIBファイル 546
SNMPモニタリングのイネーブル化と設定 546
ハードウェアオブジェクト 547
SNMPトラップ 547
SNMPの connectivityFailureトラップについて 547
CLIの例:snmpconfig 548
トラブルシューティング 551付録 A:
一般的なトラブルシューティングとベストプラクティス 551
FIPSモードの問題 552
CSP暗号化 552
証明書の検証 552
認証に関する問題 553
認証の問題のトラブルシューティングツール 553
認証の失敗による通常動作への影響 553
LDAPに関する問題 553
NTLMSSPに起因する LDAPユーザの認証の失敗 553
LDAP参照に起因する LDAP認証の失敗 554
基本認証に関する問題 554
基本認証の失敗 554
シングルサインオンに関する問題 554
エラーによりユーザがクレデンシャルを要求される 555
オブジェクトのブロックに関する問題 555
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxxiv
目次
-
一部のMicrosoft Officeファイルがブロックされない 555
DOSの実行可能オブジェクトタイプをブロックすると、Windows OneCareのアップデー
トがブロックされる 555
ブラウザに関する問題 555
FirefoxでWPADを使用できない 556
DNSに関する問題 556
アラート:DNSキャッシュのブートに失敗(Failed to bootstrap the DNS cache) 556
フェールオーバーの問題 556
フェールオーバーの誤った設定 557
仮想アプライアンスでのフェールオーバーに関する問題 557
機能キーの期限切れ 557
FTPに関する問題 557
URLカテゴリが一部の FTPサイトをブロックしない 558
大規模 FTP転送の切断 558
ファイルのアップロード後に FTPサーバにゼロバイトファイルが表示される 558
Chromeブラウザが FTP-over-HTTP要求でユーザエージェントとして検出されない 558
アップロード/ダウンロード速度の問題 558
ハードウェアに関する問題 560
アプライアンスの電源の再投入 560
アプライアンスの状態およびステータスインジケータ 560
アラート:380または680ハードウェアでバッテリ再学習タイムアウト(RAIDイベント)
(Battery Relearn Timed Out (RAID Event) on 380 or 680 Hardware) 560
HTTPS/復号化/証明書に関する問題 560
URLカテゴリ基準を使用しているルーティングポリシーによるHTTPSサイトへのアクセ
ス 561
HTTPS要求の失敗 561
IPベースのサロゲートと透過的要求を含む HTTPS 561
カスタムおよびデフォルトカテゴリの異なるクライアントの「Hello」動作 561
特定Webサイトの復号化のバイパス 562
埋め込み/参照コンテンツのブロックの例外に対する条件および制約事項 562
アラート:セキュリティ証明書に関する問題(Problem with Security Certificate) 563
Identity Services Engineに関する問題 563
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxxv
目次
-
ISE問題のトラブルシューティングツール 563
ISEサーバの接続に関する問題 564
証明書の問題 564
ネットワークの問題 565
ISEサーバの接続に関するその他の問題 565
ISE関連の重要なログメッセージ 566
カスタム URLカテゴリおよび外部 URLカテゴリに関する問題 567
外部ライブフィードファイルのダウンロードに関する問題 567
.CSVファイルの IISサーバでのMIMEタイプに関する問題 568
コピーアンドペーストの後にフィードファイルの形式が不正になる 568
ロギングに関する問題 568
アクセスログエントリにカスタム URLカテゴリが表示されない 569
HTTPSトランザクションのロギング 569
アラート:生成データのレートを維持できない(Unable to Maintain the Rate of Data Being
Generated) 569
W3Cアクセスログでサードパーティ製ログアナライザツールを使用する場合の問題 570
ポリシーに関する問題 570
HTTPSに対してアクセスポリシーを設定できない 570
オブジェクトのブロックに関する問題 570
一部のMicrosoft Officeファイルがブロックされない 571
DOSの実行可能オブジェクトタイプをブロックすると、WindowsOneCareのアップデー
トがブロックされる 571
識別プロファイルがポリシーから削除される 571
ポリシーの照合に失敗 571
ポリシーが適用されない 571
HTTPSおよび FTP over HTTP要求が、認証を必要としないアクセスポリシーにのみ一
致する 572
HTTPS要求および FTP over HTTP要求の場合にユーザがグローバルポリシーに一致572
ユーザに誤ったアクセスポリシーが割り当てられる 572
ポリシーのパラメータを変更した後のポリシートレースの不一致 573
ポリシーのトラブルシューティングツール:ポリシートレース 573
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxxvi
目次
-
ポリシートレースツールについて 573
クライアント要求のトレース 574
詳細設定:要求の詳細 575
詳細設定:レスポンスの詳細の上書き 576
ファイルレピュテーションとファイル分析に関する問題 576
リブートの問題 576
KVMで動作する仮想アプライアンスがリブート時にハングアップ 577
ハードウェアアプライアンス:アプライアンスの電源のリモートリセット 577
サイトへのアクセスに関する問題 578
認証をサポートしていない URLにアクセスできない 578
POST要求を使用してサイトにアクセスできない 578
アップストリームプロキシに関する問題 579
アップストリームプロキシが基本クレデンシャルを受け取らない 579
クライアント要求がアップストリームプロキシで失敗する 579
アップストリームプロキシ経由で FTP要求をルーティングできない 579
仮想アプライアンス 580
AsyncOSの起動中に強制リセット、電源オフ、リセットのオプションを使用しないでくだ
さい 580
KVM展開でネットワーク接続が最初は機能するが、その後失敗する 580
KVM展開におけるパフォーマンスの低下、ウォッチドッグ問題、および高CPU使用率580
Linuxホスト上で実行されている仮想アプライアンスの一般的なトラブルシューティング581
WCCPに関する問題 581
最大ポートエントリ数 581
パケットキャプチャ 581
パケットキャプチャの開始 581
パケットキャプチャファイルの管理 583
パケットキャプチャファイルのダウンロードまたは削除 583
サポートの使用 583
効率的なサービス提供のための情報収集 583
テクニカルサポート要請の開始 584
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxxvii
目次
-
仮想アプライアンスのサポートの取得 584
アプライアンスへのリモートアクセスのイネーブル化 585
コマンドラインインターフェイス 587付録 B:
コマンドラインインターフェイスの概要 587
コマンドラインインターフェイスへのアクセス 587
初回アクセス 588
以降のアクセス 588
コマンドプロンプトの使用 588
コマンドの構文 589
選択リスト 589
Yes/Noクエリー 589
サブコマンド 589
サブコマンドのエスケープ 590
コマンド履歴 590
コマンドのオートコンプリート 590
CLIを使用した設定変更の確定 590
汎用 CLIコマンド 591
CLIの例:設定変更の確定 591
CLIの例:設定変更のクリア 591
CLIの例:コマンドラインインターフェイスセッションの終了 591
CLIの例:コマンドラインインターフェイスでのヘルプの検索 591
Webセキュリティアプライアンスの CLIコマンド 592
その他の情報 611付録 C:
Cisco通知サービス 611
ドキュメントセット 611
トレーニング(Training) 612
ナレッジベースの記事(TechNotes) 612
シスコサポートコミュニティ 612
カスタマーサポート 612
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxxviii
目次
-
リソースにアクセスするためのシスコアカウントの登録 613
マニュアルに関するフィードバック 613
サードパーティコントリビュータ 613
エンドユーザライセンス契約書 615付録 D:
Cisco Systemsエンドユーザライセンス契約書 615
Ciscoコンテンツセキュリティソフトウェア用エンドユーザライセンス契約補則 622
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxxix
目次
-
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイドxxx
目次
-
第 1 章製品およびリリースの概要
この章は、次の項で構成されています。
• Webセキュリティアプライアンスの概要(1ページ)•最新情報(2ページ)•アプライアンスWebインターフェイスの使用(3ページ)•サポートされる言語(6ページ)• Cisco SensorBaseネットワーク(6ページ)
Webセキュリティアプライアンスの概要CiscoWebセキュリティアプライアンスはインターネットトラフィックを代行受信してモニタし、ポリシーを適用することによって、マルウェア、機密データの漏洩、生産性の低下などの
インターネットベースの脅威から内部ネットワークを保護します。
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド1
-
最新情報
AsyncOS 11.0の新機能説明機能
アプライアンスを Cisco Defense Orchestratorに接続し、アプライアンスのセキュリティポリシー設定を分析することで、ポリシー
の不整合を特定および解決し、ポリシーの変更をモデル化してそ
の影響を検証し、ポリシーの変更を調整してセキュリティポス
チャの整合性を実現し、その明瞭さを維持することができます。
Cisco Defense Orchestratorはクラウドベースのプラットフォームであり、ネットワーク運用スタッフがシスコのセキュリティデバ
イスに対するセキュリティポリシーを管理することで、エンド
ツーエンドセキュリティポスチャを確立および維持できます。
詳細については、Cisco Defense Orchestratorへのアプライアンスの接続(69ページ)を参照してください。
Cisco Defense Orchestratorの統合
[CTAテンプレート(CTA Template)]オプションを使用して、W3Cログを Cisco Cognitive Threat Analytics(CTA)システムに送信するために必要なフィールドと基準を自動的に選択できます。
詳細については、CTA固有のカスタムW3Cログの設定(477ページ)を参照してください。
CTAでのアプライアンス登録の簡素化
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド2
製品およびリリースの概要
最新情報
-
説明機能
プライマリネームサーバで解決できなかったホスト名クエリを
解決するためのセカンダリ DNSサーバを指定できるようになりました。サーバの優先レベルも設定できます。プライマリ DNSサーバから次のエラーが返されると、セカンダリ DNSサーバがホスト名クエリを受信します。
•エラーなし、応答セクションを受信しませんでした。(NoError, no answer section received.)
•サーバが要求を完了できませんでした。応答セクションがありません。(Server failed to complete request, no answer section.)
•名前エラー、応答セクションを受信しませんでした。(NameError, no answer section received.)
•実装されていない機能です。(Function not implemented.)
•サーバがクエリへの応答を拒否しました。(ServerRefused toAnswer Query.)
詳細については、DNS設定の編集(55ページ)を参照してください。
セカンダリ DNSサーバ
supportrequestコマンドを使用してオプションのステップでサー
ビス要求番号を指定した場合、サービス要求に自動的に追加する
システム情報と設定情報のセットを送信できます。
詳細については、Webセキュリティアプライアンスの CLIコマンド(592ページ)を参照してください。
supportrequestコマンドの
機能拡張
仮想アプライアンスをMicrosoft Hyper-Vバージョン 5.0に導入できるようになりました。
『Cisco Content Security Virtual Appliance Installation Guide』を参照してください。このドキュメントは、http://www.cisco.com/c/en/us/support/security/web-security-appliance/products-installation-guides-list.htmlから入手できます。
仮想アプライアンスの機能
拡張
関連項目• http://www.cisco.com/c/en/us/support/security/web-security-appliance/products-release-notes-list.html
アプライアンスWebインターフェイスの使用• Webインターフェイスのブラウザ要件(4ページ)
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド3
製品およびリリースの概要
関連項目
http://www.cisco.com/c/en/us/support/security/web-security-appliance/products-installation-guides-list.htmlhttp://www.cisco.com/c/en/us/support/security/web-security-appliance/products-installation-guides-list.htmlhttp://www.cisco.com/c/en/us/support/security/web-security-appliance/products-installation-guides-list.htmlhttp://www.cisco.com/c/en/us/support/security/web-security-appliance/products-release-notes-list.html
-
•仮想アプライアンスでのWebインターフェイスへのアクセスのイネーブル化(4ページ)
•アプライアンスWebインターフェイスへのアクセス(5ページ)• Webインターフェイスでの変更内容のコミット(5ページ)• Webインターフェイスでの変更内容のクリア(6ページ)
Webインターフェイスのブラウザ要件Webインターフェイスにアクセスするには、ブラウザが JavaScriptおよび Cookieをサポートし、受け入れがイネーブルになっている必要があります。また、Cascading Style Sheet(CSS)を含む HTMLページをレンダリングできる必要があります。
Cisco Webセキュリティアプライアンスは YUI(http://yuilibrary.com/yui/environments/)で設定されたターゲット環境に準拠しています。
セッションは、非アクティブな状態が 30分続くと自動的にタイムアウトします。
Webインターフェイス内の一部のボタンとリンクを使用すると、さらにウィンドウが開きます。そのため、Webインターフェイスを使用するには、ブラウザのポップアップブロックを設定する必要があります。
アプライアンスの設定を編集する場合は、一度に1つのブラウザウィンドウまたはタブを使用します。また、WebインターフェイスおよびCLIを同時に使用してアプライアンスを編集しないでください。複数の場所からアプライアンスを編集すると、予期しない動作が発生するの
で、サポートされません。
(注)
仮想アプライアンスでのWebインターフェイスへのアクセスのイネーブル化
デフォルトでは、HTTPおよび HTTPSインターフェイスは仮想アプライアンスで有効化されません。これらのプロトコルを有効にするには、コマンドラインインターフェイスを使用する
必要があります。
ステップ 1 コマンドラインインターフェイスにアクセスします。コマンドラインインターフェイスへのアクセス(587ページ)を参照してください。
ステップ 2 interfaceconfigコマンドを実行します。
プロンプトで Enterキーを押すと、デフォルト値が受け入れられます。
HTTPおよび HTTPSのプロンプトを検索し、使用するプロトコルをイネーブルにします。
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド4
製品およびリリースの概要
Webインターフェイスのブラウザ要件
-
アプライアンスWebインターフェイスへのアクセス仮想アプライアンスを使用している場合は、仮想アプライアンスでのWebインターフェイスへのアクセスのイネーブル化(4ページ)を参照してください。
ステップ 1 ブラウザを開き、Webセキュリティアプライアンスの IPアドレス(またはホスト名)を入力します。アプライアンスが事前に設定されていない場合は、デフォルト設定を使用します。
https://192.168.42.42:8443
または
http://192.168.42.42:8080
ここで、192.168.42.42はデフォルト IPアドレス、8080は HTTPのデフォルトの管理ポートの設定、8443は HTTPSのデフォルトの管理ポートです。
アプライアンスが現在設定されている場合は、M1ポートの IPアドレス(またはホスト名)を使用します。
アプライアンスに接続するときはポート番号を使用する必要があります(デフォルトはポート
8080)。Webインターフェイスにアクセスするときにポート番号を指定しないと、デフォルトポート 80になり、[ライセンスなしプロキシ(ProxyUnlicensed)]エラーページが表示されます。
(注)
ステップ 2 アプライアンスのログイン画面が表示されたら、アプライアンスにアクセスするためのユーザ名とパスフレーズを入力します。
デフォルトで、アプライアンスには以下のユーザ名とパスフレーズが付属します。
•ユーザ名:admin•パスフレーズ:ironport
adminのユーザ名でログインするのが初めての場合は、パスフレーズをすぐに変更するよう求められます。
ステップ 3 自分のユーザ名での最近のアプライアンスへのアクセス試行(成功、失敗を含む)を表示するには、アプリケーションウィンドウの右上の [ログイン(Logged in as)]エントリの前にある [最近のアクティビティ(recent-activity)]アイコン(成功は i、失敗は !)をクリックします。
Webインターフェイスでの変更内容のコミット
ステップ 1 [変更を確定(Commit Changes)]ボタンをクリックします。
ステップ 2 選択する場合、[コメント(Comment)]フィールドにコメントを入力します。
ステップ 3 [変更を確定(Commit Changes)]をクリックします。
すべてをコミットする前に、複数の設定変更を行うことができます。(注)
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド5
製品およびリリースの概要
アプライアンスWebインターフェイスへのアクセス
-
Webインターフェイスでの変更内容のクリア
ステップ 1 [変更を確定(Commit Changes)]ボタンをクリックします。
ステップ 2 [変更を破棄(Abandon Changes)]をクリックします。
サポートされる言語AsyncOSは次の言語のいずれかで GUIおよび CLIを表示できます。
•ドイツ語
•英語
•スペイン語
•フランス語
•イタリア語
•日本語
• Korean
•ポルトガル語
•ロシア語
•中国語
•台湾語
Cisco SensorBaseネットワークCisco SensorBaseネットワークは、世界中の何百万ものドメインを追跡し、インターネットトラフィックのグローバルウォッチリストを維持する脅威の管理データベースです。SensorBaseは、既知のインターネットドメインの信頼性の評価をシスコに提供します。Webセキュリティアプライアンスは、SensorBaseデータフィードを使用して、Webレピュテーションスコアを向上させます。
SensorBaseの利点とプライバシーCisco SensorBaseネットワークへの参加は、シスコがデータを収集して、SensorBase脅威管理データベースとそのデータを共有することを意味します。このデータには要求属性に関する情
報およびアプライアンスが要求を処理する方法が含まれます。
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド6
製品およびリリースの概要
Webインターフェイスでの変更内容のクリア
-
シスコはプライバシーを維持する重要性を理解しており、ユーザ名やパスフレーズなどの個人
情報または機密情報も収集または使用しません。また、ファイル名とホスト名に続く URL属性は、機密性を保証するために難読化されます。復号化されたHTTPSトランザクションでは、SensorBaseネットワークは IPアドレス、Webレピュテーションスコア、および証明書内のサーバ名の URLカテゴリのみを受信します。
SensorBaseネットワークへの参加に同意する場合、アプライアンスから送信されたデータはHTTPSを使用して安全に転送されます。データを共有すると、Webベースの脅威に対応して、悪意のあるアクティビティから企業環境を保護するシスコの機能が向上します。
Cisco SensorBaseネットワークへの参加の有効化
システムの設定時にデフォルトで [標準 SensorBaseネットワークに参加(Standard SensorBaseNetwork Participation)]がイネーブルにされています。
(注)
ステップ 1 [セキュリティサービス(Security Services)] > [SensorBase(SensorBase)]を選択します。
ステップ 2 [SensorBaseネットワークに参加(SensorBase Network Participation)]がイネーブルであることを確認します。
ディセーブルの場合、アプライアンスが収集するデータはSensorBaseネットワークサーバには戻されません。
ステップ 3 [加入レベル(Participation Level)]セクションで、以下のレベルのいずれかを選択します。
• [制限(Limited)]。基本的な参加はサーバ名情報をまとめ、SensorBaseネットワークサーバにMD5ハッシュパスセグメントを送信します。
•標準。拡張された参加は、unobfuscatedパスセグメントを使用したURL全体を SensorBaseネットワークサーバに送信します。このオプションは、より強力なデータベースの提供を支援し、継続的にWebレピュテーションスコアの整合性を向上させます。
ステップ 4 [AnyConnectネットワークへの参加(AnyConnect Network Participation)]フィールドで、Cisco AnyConnectクライアントを使用してWebセキュリティアプライアンスに接続するクライアントから収集された情報を含めるかどうかを選択します。
AnyConnectクライアントは、Secure Mobility機能を使用してアプライアンスにWebトラフィックを送信します。
ステップ 5 [除外されたドメインと IPアドレス(Excluded Domains and IP Addresses)]フィールドで、任意でドメインまたは IPアドレスを入力して、SensorBaseサーバに送信されたトラフィックを除外します。
ステップ 6 変更を送信し、保存します。
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド7
製品およびリリースの概要
Cisco SensorBaseネットワークへの参加の有効化
-
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド8
製品およびリリースの概要
Cisco SensorBaseネットワークへの参加の有効化
-
第 2 章接続、インストール、設定
この章は、次の項で構成されています。
•接続、インストール、設定の概要(9ページ)•仮想アプライアンスの展開(10ページ)•操作モードの比較(10ページ)•接続、インストール、設定に関するタスクの概要(16ページ)•アプライアンスの接続(16ページ)•設定情報の収集(20ページ)•システムセットアップウィザード(22ページ)•アップストリームプロキシ(31ページ)•ネットワークインターフェイス(33ページ)•ハイアベイラビリティを実現するためのフェールオーバーグループの設定(36ページ)• Webプロキシデータに対する P2データインターフェイスの使用(38ページ)•リダイレクトホスト名とシステムホスト名(52ページ)• DNSの設定(54ページ)•接続、インストール、設定に関するトラブルシューティング(57ページ)
接続、インストール、設定の概要Webセキュリティアプライアンスの動作モードは、標準、クラウドWebセキュリティコネクタ、および Cisco Defense Orchestratorの 3種類です。
• Webセキュリティアプライアンスの標準動作モードには、オンサイトのWebプロキシサービスとレイヤ4トラフィックモニタリングが含まれます。これらのサービスはクラウドWebセキュリティコネクタモードでは使用できません。
•クラウドWebセキュリティコネクタモードでは、アプライアンスは、Webセキュリティポリシーが適用されているCiscoCloudWebSecurity(CWS)プロキシに接続してトラフィックをルーティングします。
• Cisco Defense Orchestratorモードでは、アプライアンスは Cisco Defense Orchestratorにオンボーディングされています。ポリシー管理とオプションのレポートは、Cisco Defense
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド9
-
Orchestratorを介して実行されます。設定の変更と制約の詳細については、Cisco DefenseOrchestratorモードでの設定の変更と制約(70ページ)を参照してください。
アプライアンスには複数のポートが搭載されており、各ポートは割り当てられた1つ以上の特定のデータ型を管理します。
アプライアンスは、ネットワークルート、DNS、VLAN、およびその他の設定とサービスを使用して、ネットワーク接続とトラフィック代行受信を管理します。システムセットアップウィ
ザードでは基本的なサービスと設定項目をセットアップすることができ、アプライアンスの
Webインターフェイスでは、設定の変更や追加オプションの設定を行うことができます。
仮想アプライアンスの展開仮想Webセキュリティアプライアンスの展開については、『Cisco Content Security VirtualAppliance Installation Guide』を参照してください。このドキュメントは、http://www.cisco.com/c/en/us/support/security/web-security-appliance/products-installation-guides-list.html[英語]から入手できます。
物理アプライアンスから仮想アプライアンスへの移行
物理アプライアンスから仮想アプライアンスに展開を移行するには、前のトピックで言及した
『Virtual Appliance Installation Guide』、および使用している AsyncOSのバージョンに応じたリリースノートを参照してください。
操作モードの比較以下の表では、標準モードとクラウドコネクタモードで使用可能なさまざまなメニューコマ
ンドを示し、それにより各モードで使用可能なさまざまな機能について説明します。
Cisco Defense Orchestratorモードで使用できる機能を確認するには、Cisco Defense Orchestratorモードでの設定の変更と制約(70ページ)を参照してください。
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド10
接続、インストール、設定
仮想アプライアンスの展開
http://www.cisco.com/c/en/us/support/security/web-security-appliance/products-installation-guides-list.html
-
クラウドコネクタモードで使用可能標準モードで使用可能メニュー
システムステータス(SystemStatus)システムステータス(SystemStatus)
概要
Users
ユーザ数(User Count)
Webサイト(Web Sites)
URLカテゴリ(URL Categories)
アプリケーションの表示(ApplicationVisibility)
マルウェア対策(Anti-Malware)
高度なマルウェア防御(AdvancedMalware Protection)
ファイル分析(File Analysis)
AMP判定のアップデート(AMPVerdict Updates)
クライアントマルウェアリスク
(Client Malware Risk)
Webレピュテーションフィルタ(Web Reputation Filters)
レイヤ 4トラフィックモニタ(Layer-4 Traffic Monitor)
ユーザの場所別レポート(Reports byUser Location)
Webトラッキング(Web Tracking)
システム容量(System Capacity)
システムステータス(SystemStatus)
スケジュール設定されたレポート
(Scheduled Reports)
アーカイブレポート(ArchivedReports)
レポート
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド11
接続、インストール、設定
操作モードの比較
-
クラウドコネクタモードで使用可能標準モードで使用可能メニュー
識別プロファイル(IdentificationProfiles)
クラウドルーティングポリシー
(Cloud Routing Policies)
外部データ消失防止(External DataLoss Prevention)
カスタムURLカテゴリ(CustomURLCategories)
識別プロファイル(IdentificationProfiles)
クラウドルーティングポリシー
(Cloud Routing Policies)
SaaSポリシー(SaaS Policies)
復号ポリシー(Decryption Policies)
ルーティングポリシー(RoutingPolicies)
アクセスポリシー(Access Policies)
全体の帯域幅の制限(OverallBandwidth Limits)
Ciscoデータセキュリティ(CiscoData Security)
発信マルウェアスキャン(OutboundMalware Scanning)
外部データ消失防止(External DataLoss Prevention)
SOCKSポリシー(SOCKS Policies)
カスタムURLカテゴリ(CustomURLCategories)
時間範囲およびクォータの定義
(Define Time Ranges and Quotas)
バイパス設定(Bypass Settings)
レイヤ 4トラフィックモニタ(Layer-4 Traffic Monitor)
Webセキュリティマネージャ
(Web SecurityManager)
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド12
接続、インストール、設定
操作モードの比較
-
クラウドコネクタモードで使用可能標準モードで使用可能メニュー
Webプロキシ(Web Proxy)Webプロキシ(Web Proxy)
FTPプロキシ(FTP Proxy)
HTTPSプロキシ(HTTPS Proxy)
SOCKSプロキシ(SOCKS Proxy)
PACファイルホスティング(PACFile Hosting)
使用許可コントロール(AcceptableUse Controls)
マルウェア対策とレピュテーション
(Anti-Malware and Reputation)
データ転送フィルタ(Data TransferFilters)
AnyConnectセキュアモビリティ(AnyConnect Secure Mobility)
ユーザ通知(End-User Notification)
L4トラフィックモニタ(L4 TrafficMonitor)
SensorBase
レポート
Cisco Cloudlock
Cisco Cognitive Threat Analytics
セキュリティ
サービス
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド13
接続、インストール、設定
操作モードの比較
-
クラウドコネクタモードで使用可能標準モードで使用可能メニュー
インターフェイス
透過リダイレクション(TransparentRedirection)
ルート
DNS
高可用性
内部 SMTPリレー(Internal SMTPRelay)
外部 DLPサーバ(External DLPServers)
証明書の管理(CertificateManagement)
認証
マシン IDサービス(Machine IDService)
クラウドコネクタ(CloudConnector)
インターフェイス
透過リダイレクション(TransparentRedirection)
ルート
DNS
高可用性
内部 SMTPリレー(Internal SMTPRelay)
上位プロキシ(Upstream Proxy)
外部 DLPサーバ(External DLPServers)
証明書の管理(CertificateManagement)
認証
SaaSのアイデンティティプロバイダー
Identity Services Engine
ネットワーク
(Network)
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド14
接続、インストール、設定
操作モードの比較
-
クラウドコネクタモードで使用可能標準モードで使用可能メニュー
アラート(Alerts)
ログサブスクリプション(LogSubscriptions)
SSLの設定(SSL Configuration)
Users
Network Access
タイムゾーン
時刻設定(Time Settings)
設定の概要
設定ファイル(Configuration File)
ライセンスキー(Feature Keys)
アップグレードとアップデートの設
定(Upgrade and Update Settings)
システムアップグレード(SystemUpgrade)
システムセットアップウィザード
(System Setup Wizard)
ポリシートレース(Policy Trace)
アラート(Alerts)
ログサブスクリプション(LogSubscriptions)
返信先アドレス(Return Addresses)
SSLの設定(SSL Configuration)
Users
Network Access
タイムゾーン
時刻設定(Time Settings)
設定の概要
設定ファイル(Configuration File)
機能キーの設定(Feature KeySettings)
ライセンスキー(Feature Keys)
アップグレードとアップデートの設
定(Upgrade and Update Settings)
システムアップグレード(SystemUpgrade)
システムセットアップウィザード
(System Setup Wizard)
FIPSモード(FIPS Mode)
次の手順
システム管理
該当なし該当なしCiscoCWSポータル(Cisco CWSPortal)(ハイブリッドWebセキュリティモー
ドでのみ使用可
能)
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド15
接続、インストール、設定
操作モードの比較
-
接続、インストール、設定に関するタスクの概要
詳細情報タスク
アプライアンスの接続(16ページ)•アプライアンスをインターネットトラフィックに接続する。
設定情報の収集(20ページ)•設定情報を収集して記録する。
システムセットアップウィザード(22ページ)
•システムセットアップウィザードを実行する。
HTTPSプロキシのイネーブル化(264ページ)
認証レルム(113ページ)
識別プロファイルと認証(156ページ)
• HTTPSプロキシ設定、認証レルム、識別プロファイルを設定する。この手順はハイブ
リッドWebセキュリティモードで実行する必要があります。
アップストリームプロキシ(31ページ)•(任意)アップストリームプロキシを接続する。
アプライアンスの接続
始める前に
•アプライアンスを設置するには、管理用アプライアンスにケーブルを配線して電源に接続し、そのアプライアンスのハードウェアガイドの手順に従います。ご使用のモデルのマ
ニュアルの場所については、ドキュメントセット(611ページ)を参照してください。•透過リダイレクションのためにアプライアンスを物理的にWCCP v2ルータに接続する場合は、まず、WCCPルータがレイヤ 2リダイレクションに対応していることを確認します。
•以下のシスコ推奨設定に注意してください。
•パフォーマンスとセキュリティの向上のために、可能な場合はシンプレックスケーブル(着信と発信トラフィック用の個別のケーブル)を使用します。
ステップ 1 管理インターフェイスを接続します(まだ接続していない場合)。
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド16
接続、インストール、設定
接続、インストール、設定に関するタスクの概要
-
注記(Notes)イーサネットポート
接続可能な場所にM1を接続します。
•管理トラフィックを送受信します。•(任意)Webプロキシデータトラフィックを送受信します。
M1にラップトップを直接接続して、アプライアンスを管理できます。
ホスト名(http://hostname:8080)を使用して管理インターフェイスに接続するには、アプライアンスのホスト名と IPアドレスをDNSサーバデータベースに追加します。
M1
•発信方向の管理サービストラフィックで使用可能ですが、管理には使用できません。
• [ポートM1は管理目的でのみ使用(Use M1 port for management only)]([ネットワーク(Network)] > [インターフェイス(Interfaces)]ページ)をイネーブルにします。
•データインターフェイスを使用するように、サービスのルーティングを設定します。
P1および P2(任意)
ステップ 2 (任意)アプライアンスをデータトラフィックに直接接続するか、透過リダイレクションデバイスを介して接続します。
Cisco Webセキュリティアプライアンス向け AsyncOS 11.0ユーザガイド17
接続、インストール、設定
アプライアンスの接続
-
透過リダイレクション明示的な転送イーサネット
ポート
デバイス:WCCP v2ルータ:
•レイヤ2リダイレクションの場合は、ルータを物理的に P1/P2に接続します。
•レイヤ 3リダイレクションの場合は、総称ルーティングカプセル化(GRE)でパフォーマンス上の問題が発生する可能性
があるので注意してください。
•アプライアンス上にWCCPサービスを作成します。
デバイス:レイヤ 4スイッチ:
•レイヤ 2リダイレクションの場合は、スイッチを物理的に P1/P2に接続します。
•レイヤ 3リダイレクションの場合は、総称ルーティングカプセル化(GRE)でパフォーマンス上の問題が発生する可能性
があるので注意してください。
アプライアンスはインラインモード
をサポートしていません。
(注)
P1のみ:
• [ポートM1は管理目的でのみ使用(Use M1 port for management only)]をイネーブルにします。
• P1とM1を異なるサブネットに接続します。
•着信と発信の両方のトラフィックを受信できるように、デュプレックス
ケーブルを使用してP1を内部ネットワークとインターネットに接続しま
す。
P1および P2
• P1をイネーブルにします。• M1、P1、P2を異なるサブネットに接続します。
• P2をインターネットに接続し、着信インターネットトラフィックを受信
します。
システムセットアップウィザードの実行
後、P2をイネーブルにします。
P1/P2
該当なし[ポートM1は管理目的でのみ使用(UseM1 port formanagement only)]がディセーブルの場合は、M1がデフォルトのデータトラフィック用ポートになります。
M1(任意)
ステップ 3 (任意)レイヤ 4トラフィックをモニタするには、プ�