製品の概要
(注) |
バージョン 4.21 以降、Cisco Security Manager では、すべてのアグリゲーション サービス ルータ、統合サービスルータ、埋め込み型サービスルータ、および次のデバイスを含む Cisco IOS ソフトウェアで動作するすべてのデバイスについて、バグ修正または拡張機能のサポートを含むサポート全体が終了します。
|
注意 |
バージョン 4.18 以降、Cisco Security Manager では、ASA 5512、ASA 5506、ASA 5506H、および ASA 5506W モデルの ASA 9.10(1) 以降の SFR はサポートされないため、Image Manager を介して 9.10(1) にアップグレードすると、既存の SFR 設定が失われます。 |
Cisco Security Manager(Security Manager)を使用すると、シスコ セキュリティ デバイスのセキュリティ ポリシーを管理できます。Cisco Security Manager では、複数の ASA セキュリティアプライアンス間でのファイアウォール、および VPN(サイト間、リモートアクセス、および SSL)サービスの統合的なプロビジョニングがサポートされています。
Cisco Security Manager でサポートされるデバイスおよび OS バージョンの一覧については、Cisco.com で Cisco Security Manager のサポート対象デバイスとソフトウェアバージョン [英語] を参照してください。
Security Manager では、インターフェイス、ルーティング、ID、QoS、ロギングなど、さまざまなプラットフォーム固有の設定のプロビジョニングもサポートしています。
Security Manager は、数台のデバイスで構成される小規模ネットワークから、数千台のデバイスで構成される大規模ネットワークまで、広範囲のネットワークを効率的に管理します。共有可能なオブジェクトおよびポリシーの持つ豊富なフィーチャ セットと、デバイスのグループ化機能により、スケーラビリティが実現されます。
Security Manager では、さまざまなタスク フローと使用例に基づいて最適化された、複数の設定ビューをサポートしています。
ここでは、Security Manager の概要について説明します。
Cisco Security Manager の主な利点
Security Manager を使用する主な利点は、次のとおりです。
-
スケーラブルなネットワーク管理:小規模ネットワーク、または数千台のデバイスで構成される大規模ネットワークのセキュリティポリシーとデバイス設定を集中管理します。ポリシーおよび設定は、定義したあとに、必要に応じて個別のデバイス、デバイスのグループ、または企業内のすべてのデバイスに割り当てます。
-
異なるプラットフォームにまたがる複数のセキュリティテクノロジーのプロビジョニング:ルータ、セキュリティアプライアンス、Catalyst デバイスとサービスモジュール、および IPS デバイス上の VPN、ファイアウォール、および IPS テクノロジーを管理します。
-
プラットフォーム固有の設定およびポリシーのプロビジョニング:特定のデバイスタイプでのプラットフォーム固有の設定を管理します。たとえば、ルータでのルーティング、802.1x、EzSDD、ネットワーク アドミッション コントロールや、ファイアウォール デバイスでのデバイス アクセス セキュリティ、DHCP、AAA、マルチキャストなどがあります。
-
VPN ウィザード:異なる VPN デバイスタイプにわたってポイントツーポイント VPN、ハブアンドスポーク VPN、完全メッシュ、およびエクストラネット サイト間 VPN をすばやく簡単に設定します。ASA、IOS、および PIX デバイスでリモート アクセス IPsec および SSL VPN をすばやく簡単に設定します。
-
複数の管理ビュー:デバイスビュー、ポリシービュー、およびマップビューを使用することにより、ニーズに最も適した環境でセキュリティを管理できます。
-
再利用可能なポリシーオブジェクト:ネットワークアドレス、デバイス設定、VPN パラメータなどを表す、再利用可能なオブジェクトを作成します。作成後は、手動で値を入力する代わりに、このオブジェクトを使用します。
-
デバイスのグループ化機能:組織構造を表すデバイスグループを作成します。グループ内のすべてのデバイスを同時に管理します。
-
ポリシー継承:必須ポリシーおよび組織の下層に適用するポリシーを一元的に指定します。
-
ロールベースの管理:複数のオペレータに対する適切なアクセスコントロールが可能です。
-
ワークフロー:(任意)ネットワークオペレータとセキュリティオペレータの間で責務分担と作業負荷分散が可能となり、変更管理の承認とトラッキングメカニズムを実現します。
-
チケット管理:チケット ID をポリシーの変更に関連付け、それらの変更に関するコメントを簡単に追加および更新し、Security Manager から外部の変更管理システムにすばやく移動します。
-
単一で一貫性のあるユーザインターフェイスによる共通ファイアウォール機能の管理:すべてのプラットフォーム(ルータ、PIX、ASA、および FWSM)に対応した単一のルールテーブル。
-
イメージ管理:ASA デバイス用の完全なイメージ管理。イメージリポジトリのダウンロードと保守、イメージの評価、アップグレードの影響の分析、信頼性が高く安定したデバイスアップグレードの準備と計画、十分なフォールバックと回復メカニズムの確保によって、デバイスのイメージアップグレードのすべての段階を容易にします。
-
ファイアウォールポリシーのインテリジェントな分析:競合検出機能を使用して、他のルールと重複または競合するルールを分析およびレポートします。ACL ヒット カウント機能により、パケットが特定のルールに一致したか、または特定のルールがトリガーされたかどうかがリアルタイムでチェックされます。
-
ルールテーブルの高度な編集:インライン編集、ルールのカット、コピー、およびペースト機能とルールテーブル内でのルールの順序変更。
-
デバイスからのファイアウォールポリシー検出:デバイス上に存在するポリシーを Security Manager にインポートし、あとで管理することができます。
-
柔軟性のある展開オプション:デバイスに設定を直接展開する方法と設定ファイルに展開する方法をサポートします。Auto-Update Server(AUS)、Configuration Engine、または Token Management Server(TMS)を使用して、展開することもできます。
-
ロールバック:必要に応じて以前の設定にロールバックすることができます。
-
FlexConfig(テンプレートマネージャ):デバイスで使用可能な機能を管理するためのインテリジェントな CLI configlet エディタ。ただし、Security Manager では、ネイティブにはサポートしていません。
-
統合されたデバイスモニタリングとレポート:IPS、ASA、および FWSM デバイスでイベントをモニターし、関連する設定ポリシーにこれらのイベントを関連付けて、セキュリティレポートと使用状況レポートを作成するための機能。これらの機能には、次のスタンドアロン Security Manager アプリケーションが含まれます。
-
Event Viewer:Event Viewer は、ASA および FWSM デバイス、ならびにセキュリティコンテキストからのシステムログ(syslog)イベント、ならびに IPS デバイスおよび仮想センサーからの SDEE イベントを対象にネットワークをモニターします。Event Viewer は、これらのイベントを収集し、収集したイベントを表示し、グループ化し、その詳細をほぼリアルタイムで調べるためのインターフェイスを備えています。
-
Report Manager:Report Manager を使用すると、ASA および IPS デバイス、および ASA がホストするリモートアクセス IPsec および SSL VPN に関するさまざまなネットワーク使用状況とセキュリティ情報を収集、表示、およびエクスポートできます。これらのレポートは、上位の送信元、宛先、攻撃者、攻撃対象などのセキュリティデータと、上位の帯域幅、期間、スループットユーザなどのセキュリティ情報を集計します。データは、時間、日、および月の期間で利用できます。(Report Manager は、Event Manager サービスによってモニターされるデバイスから収集される情報を集約します。このため、デバイスに関するレポートを表示するには、Event Viewer で該当デバイスをモニタリングしている必要があります)
-
(注) |
Event Viewer は FWSM を処理しますが、Report Manager は FWSM イベントについては報告しません。 |
-
Health and Performance Monitor:Health and Performance Monitor(HPM)は、モニター対象の ASA デバイス、IPS デバイス、および ASA がホストする VPN サービスを、正常性およびパフォーマンスデータについて定期的にポーリングします。これらのデータには、メモリ使用量、インターフェイスステータス、ドロップされたパケット、トンネルステータスなど、重大な問題、および重大ではない問題が含まれます。この情報は、アラートの生成と電子メール通知に使用され、時間単位、日単位、および週単位で利用可能な集計データに基づいて傾向を表示します。
(注) |
Health and Performance Monitor は、FWSM デバイスをモニターしません。 |
-
ダッシュボード:ダッシュボードは、IPS と FW タスクをより便利にする Cisco Security Manager で設定可能な起動点です。元のダッシュボードに加えて、新規ダッシュボードや追加のダッシュボードを作成したり、すべてのダッシュボードをカスタマイズしたりすることができます。ダッシュボードを使用することによって、Security Manager の他のいくつかの領域にある、IPS Health Monitor ページ、Report Manager、Health and Performance Monitor および IP Intelligence 設定などの多くのタクスを 1 箇所で実行できます。ダッシュボードの詳細については、ダッシュボードの概要を参照してください。
追加機能を使用すると、Cisco Security Monitoring, Analysis and Response System(CS-MARS)、Cisco Performance Monitor、および ASDM(Security Manager に含まれる機能の読み取り専用バージョン)などのデバイスマネージャを含め、関連の深い他のアプリケーションを使用して、Security Manager からデバイスをモニターできます。
Security Manager のポリシー フィーチャ セット
Security Manager には、主に次のような設定ポリシーのフィーチャ セットが用意されています。
ファイアウォール サービス
IOS ルータ、ASA/PIX デバイス、Catalyst ファイアウォール サービス モジュール(FWSM)など、複数のプラットフォームにまたがるファイアウォールポリシーの設定および管理です。次の機能が含まれています。
-
アクセス コントロール ルール:IPv4 と IPv6 の両方のトラフィックに関するアクセス コントロール リストを使用して、インターフェイス上のトラフィックを許可または拒否する。
-
ボットネット トラフィック フィルタ ルール:(ASA のみ)。既知のマルウェアサイトに基づいてトラフィックをフィルタ処理し、必要に応じて脅威レベルに基づいてトラフィックをドロップします。
-
インスペクション ルール:アプリケーション レイヤ プロトコルのセッション情報に基づいて、TCP パケットおよび UDP パケットをフィルタリングする。
-
AAA/認証プロキシ ルール:HTTP、HTTPS、FTP、または Telnet のセッションを経由してネットワークにログインする、またはインターネットにアクセスするユーザの認証と認可に基づいて、トラフィックをフィルタリングする。
-
Web フィルタリング ルール:Websense などの URL フィルタリング ソフトウェアを使用して、特定の Web サイトへのアクセスを拒否する。
-
ScanSafe Web セキュリティ:(ルータのみ)。コンテンツスキャンおよびマルウェア保護サービスのために、HTTP/HTTPS トラフィックを ScanSafe Web セキュリティセンターにリダイレクトします。
-
トランスペアレント ファイアウォール ルール:トランスペアレントなインターフェイスまたはブリッジングされたインターフェイス上で、レイヤ 2 トラフィックをフィルタリングする。
-
ゾーンベースのファイアウォール ルール:個々のインターフェイスではなく、ゾーンに基づいて、アクセル ルール、インスペクション ルール、および Web フィルタリング ルールを設定する。
詳細については、ファイアウォール サービスの概要を参照してください。
サイト間 VPN
IPsec サイト間 VPN のセットアップと設定です。IOS ルータ、PIX/ASA デバイス、Catalyst VPN サービス モジュールなど、複数のデバイス タイプが単一の VPN に参加できます。サポートされる VPN トポロジは、次のとおりです。
-
ポイントツーポイント
-
ハブアンドスポーク
-
完全メッシュ
-
エクストラネット(管理対象外デバイスへのポイントツーポイント接続)
サポートされる IPsec テクノロジーは、次のとおりです。
-
通常の IPsec
-
GRE
-
GRE ダイナミック IP
-
DMVPN
-
Easy VPN
-
GET VPN
詳細については、サイト間 VPN の管理:基本を参照してください。
リモートアクセス VPN
サーバと、Cisco VPN Client または AnyConnect クライアント ソフトウェアが稼働しているモバイル リモート ワークステーション間の IPsec および SSL VPN のセットアップと設定です。詳細については、リモート アクセス VPN の管理の基礎を参照してください。
侵入防御システム(IPS)管理
Cisco IPS センサー(アプライアンスとサービス モジュール)および IOS IPS デバイス(IPS 対応イメージ搭載の Cisco IOS ルータと Cisco サービス統合型ルータ)の管理および設定です。
詳細については、IPS 設定の概要およびCisco IOS IPS 設定の概要を参照してください。
ファイアウォール デバイス(PIX/ASA/FWSM)固有の機能
プラットフォーム固有の高度な機能の設定、および PIX/ASA デバイスと Catalyst FWSM の設定です。これらの機能は、セキュリティ プロファイルを管理するときに付加価値を提供し、次のものを含みます。
-
インターフェイス コンフィギュレーション
-
ID 認証ファイアウォール設定
-
デバイス管理設定
-
セキュリティ
-
ルーティング
-
マルチキャスト
-
ログ
-
NAT
-
ブリッジング
-
フェールオーバー
-
セキュリティ コンテキスト
詳細については、ファイアウォール デバイスの管理を参照してください。
IOS ルータ固有の機能
プラットフォーム固有の高度な機能の設定、および IOS ルータの設定です。これらの機能は、セキュリティ プロファイルを管理するときに付加価値を提供し、次のものを含みます。
-
インターフェイス コンフィギュレーション
-
ルーティング
-
NAT
-
802.1x
-
NAC
-
QoS
-
ダイヤラ インターフェイス
-
セキュア デバイス プロビジョニング
詳細については、ルータの管理を参照してください。
Catalyst 6500/7600 デバイスおよび Catalyst スイッチ固有の機能
VLAN、ネットワーク接続、およびサービス モジュールの機能の設定と、Catalyst 6500/7600 デバイスおよびその他の Catalyst スイッチの設定です。
詳細については、Cisco Catalyst スイッチおよび Cisco 7600 シリーズ ルータの管理を参照してください。
FlexConfig
FlexConfig ポリシーおよびポリシー オブジェクトを使用すると、デバイスでは使用できるが、Security Manager でネイティブにサポートされていない機能をプロビジョニングできます。このポリシーやオブジェクトによって、一連の CLI コマンドを手動で指定し、Cisco Security Manager のプロビジョニングメカニズムを使用して、デバイスにコマンドを展開できます。Security Manager で生成されたコマンドの前後にこれらのコマンドを追加すると、セキュリティ ポリシーをプロビジョニングできます。
詳細については、FlexConfig の管理を参照してください。
Security Manager アプリケーションの概要
Cisco Security Manager クライアントには、6 つの主要アプリケーションとモバイルデバイス用に設計された 1 つのアプリケーションがあります。
-
Configuration Manager:これがプライマリアプリケーションです。Configuration Manager を使用して、デバイス インベントリの管理、ローカル ポリシーと共有ポリシーの作成と編集、VPN 設定の管理、およびデバイスへのポリシーの展開を行います。Configuration Manager は最大のアプリケーションであり、ほとんどのマニュアルでこのアプリケーションが扱われています。手順でアプリケーションが明確に言及されていない場合は、手順では Configuration Manager を使用しています。Configuration Manager の概要については、Configuration Manager の使用方法 - 概要を参照してください。
-
イベントビューア:これはイベント モニタリング アプリケーションで、Cisco Security Manager にイベントを送信するよう設定した IPS、ASA、および FWSM デバイスから生成されたイベントを表示および分析できます。Event Viewer の使用については、イベントの表示を参照してください。
-
Report Manager:これはレポートアプリケーションで、デバイスに関する集約された情報および VPN 統計情報のレポートを表示および作成できます。多くの情報は、Event Viewer で使用可能なイベントから取得されますが、一部の VPN 統計情報は、デバイスと直接通信することで取得されます。Report Manager の使用方法については、レポートの管理を参照してください。
-
Health & Performance Monitor:HPM アプリケーションを使用すると、デバイスのステータスとトラフィック情報をネットワークレベルで可視化することで、ASA(ASA-SM を含む)デバイス、IPS デバイス、VPN サービスの主要な正常性データとパフォーマンスデータを監視できます。この機能を使用して、主要なネットワークとデバイスのメトリックを監視することで、ネットワーク内のデバイスの誤動作やボトルネックをすばやく検出して解決できます。このアプリケーションの詳細については、ヘルスとパフォーマンスのモニタリングを参照してください。
-
Image Manager:Image Manager アプリケーションでは、ASA デバイス用の完全なイメージ管理が提供されるため、イメージの更新のダウンロード、評価、分析、準備、および計画が容易になります。また、イメージの可用性、互換性、デバイスへの影響を評価し、デバイス更新のスケジュール、グループ化、および変更管理が提供されます。さらに、Image Manager には、イメージリポジトリを維持するための機能と、ASA デバイスでのイメージ更新の安定したフォールバックや回復メカニズムを保証するための機能が含まれています。Image Manager の使用方法については、Image Manager の使用を参照してください。
-
ダッシュボード:ダッシュボードは、Cisco Security Manager で設定可能な起動ポイントで、IPS および FW タスクをより便利なタスクにできます。元のダッシュボードに加えて、新規ダッシュボードや追加のダッシュボードを作成したり、すべてのダッシュボードをカスタマイズしたりすることができます。ダッシュボードを使用することによって、Security Manager の他のいくつかの領域にある、IPS Health Monitor ページ、Report Manager、Health and Performance Monitor および IP Intelligence 設定などの多くのタクスを 1 箇所で実行できます。ダッシュボードの詳細については、ダッシュボードの概要を参照してください。
これらのアプリケーションはすべて、Windows のスタートメニューまたはデスクトップアイコンから直接開くことができます。または、アプリケーションの [起動(Launch)] メニューから開くことができます。アプリケーションを開く方法については、Security Manager へのログインおよび終了を参照してください。
Cisco Security Manager クライアントには、モバイルデバイス用に特別に設計された追加のアプリケーションである CSM Mobile があります。
-
CSM Mobile:CSM Mobile では、モバイルデバイスから Device Health Summary 情報にアクセスできます。この方法で入手できる情報は、Device Health Summary ウィジェットで入手可能な情報と同じ、HPM によって生成される現在の重大度が低いまたは中程度のアクティブなアラートになります。アラートは、Alert-Description、Predefined-Category、Device または Alert Technology 別にグループ化できます。CSM Mobile の詳細については、CSM Mobileを参照してください。Device Health Summary 情報の詳細については、ダッシュボードの概要を参照してください。CSM Mobile の有効化または無効化については、[CSM Mobile] ページを参照してください。
デバイス モニタリングの概要
Security Manager には、デバイスをモニタするための機能がいくつか備わっています。
-
イベントビューア:この統合ツールを使用すると、ASA、FWSM、および IPS デバイスでイベントを表示し、関連する設定ポリシーにそのイベントを関連付けることができます。これは、問題の特定、設定のトラブルシューティング、および設定の修正と再展開を行う場合に役立ちます。詳細については、イベントの表示を参照してください。
-
Report Manager:これはレポートアプリケーションで、デバイスに関する集約された情報および VPN 統計情報のレポートを表示および作成できます。多くの情報は、Event Viewer で使用可能なイベントから取得されますが、一部の VPN 統計情報は、デバイスと直接通信することで取得されます。Report Manager の使用方法については、レポートの管理を参照してください。
Security Manager で使用可能なレポートのすべてのタイプについては、Security Manager で使用可能なレポートのタイプについてを参照してください。
-
Health & Performance Monitor:HPM アプリケーションを使用すると、ASA(ASA-SM を含む)デバイスの主要な正常性データとパフォーマンスデータを監視できます。このアプリケーションの詳細については、ヘルスとパフォーマンスのモニタリングを参照してください。
-
ダッシュボード:ダッシュボードは、Cisco Security Manager で設定可能な起動ポイントで、IPS および FW タスクをより便利なタスクにできます。元のダッシュボードに加えて、新規ダッシュボードや追加のダッシュボードを作成したり、すべてのダッシュボードをカスタマイズしたりすることができます。ダッシュボードを使用することによって、Security Manager の他のいくつかの領域にある、IPS Health Monitor ページ、Report Manager、Health and Performance Monitor および IP Intelligence 設定などの多くのタクスを 1 箇所で実行できます。ダッシュボードの詳細については、ダッシュボードの概要を参照してください。
-
パケットトレーサ:このツールを使用すると、特定のタイプのパケットが ASA デバイスを通過するのを許可されているかテストできます。詳細については、Packet Tracer を使用した ASA または PIX の設定の分析を参照してください。
-
ping、トレース ルート、および NS ルックアップ:管理対象デバイスで ping とトレースルートを使用して、デバイスと特定の宛先の間にルートが存在するかどうかを確認できます。NS ルックアップを使用すると、アドレスを DNS 名に解決できます。詳細については、ping、トレースルート、または NS ルックアップツールを使用した接続問題の分析を参照してください。
-
Cisco Prime Security Manager(PRSM)の統合:Configuration Manager アプリケーションから PRSM を「クロス起動」できます。PRSM アプリケーションは、ASA CX デバイスの設定と管理に使用されます。詳細については、Cisco Prime Cisco Security Manager または FireSIGHT Management Center の起動を参照してください。
-
デバイスマネージャの統合:Cisco Security Manager には、Adaptive Security Device Manager(ASDM)など、さまざまなデバイスマネージャの読み取り専用コピーが含まれています。これらのツールを使用すると、デバイス ステータスの表示はできますが、デバイス設定の変更はできません。詳細については、デバイス マネージャの起動を参照してください。
-
Cisco Security Monitoring, Analysis and Response System(CS-MARS)の統合:CS-MARS アプリケーションを使用する場合は、Cisco Security Manager と統合して、CS-MARS のイベントを Cisco Security Manager で表示したり、逆にイベントに関連する Cisco Security Manager ポリシーを CS-MARS で表示できます。詳細については、CS-MARS と Security Manager の統合を参照してください。
Security Manager での IPv6 サポート
Security Manager では、より多くの IPv6 設定、モニタリング、およびレポートのサポートを提供しています。
バージョン 4.12 以降、Security Manager は、IPv6 アドレスまたは IPv4 アドレスを介した Security Manager サーバーから管理対象デバイスへの通信をサポートします。この機能は、ファイアウォールデバイス、つまり、OS タイプが ASA または FWSM のデバイスでのみ使用できます。IPv6 アドレスを介した通信を有効にするには、最初に Security Manager サーバーで IPv6 アドレスを有効にする必要があります。詳細については、Cisco Security Manager サーバーでの IPv6 の設定を参照してください。
(注) |
Security Manager サーバーと Security Manager クライアント間の通信は、IPv4 アドレスのみを介して行われます。サーバーからクライアントへの通信では、IPv6 アドレスはサポートされていません。また、認証に ACS サーバーを使用する場合、ACS には IPv4 アドレスが必要です。ACS サーバーへの IPv6 通信はサポートされていません。Auto Update Server(AUS)は IPv6 アドレスをサポートしていません。 |
4.12 以前のバージョンで、IPv6 アドレスをサポートするデバイスを Security Manager で管理するには、デバイスの管理アドレスを IPv4 アドレスとして設定する必要があります。ポリシー検出と展開など、デバイスと Security Manager 間のすべての通信で IPv4 トランスポートが使用されます。サポートされるデバイスで IPv6 ポリシーが表示されない場合は、デバイス ポリシーを再検出します。必要に応じて、インベントリからそのデバイスを削除して、再度追加します。
Cisco Security Manager サーバーでの IPv6 の設定
次の手順に従って、IPv6 アドレスを介してデバイスと通信するように Security Manager サーバーで IPv6 を設定します。
手順
ステップ 1 |
Security Manager サーバーで、 に移動します。 |
||
ステップ 2 |
使用可能なネットワーク接続をクリックして、[イーサネットのステータス(Ethernet Status)] ウィンドウを開きます。[プロパティ(Properties)] をクリックします。 [イーサネットのプロパティ(Ethernet Properties)] ウィンドウが表示されます。 |
||
ステップ 3 |
[ネットワーク(Networking)] タブで、[インターネットプロトコルバージョン6(TCP/IPv6)(Internet Protocol Version 6 (TCP/IPv6))] チェックボックスをオンにし、[プロパティ(Properties)] をクリックします。[インターネットプロトコルバージョン 6(TCP/IPv6)のプロパティ(Internet Protocol Version 6 (TCP/IPv6) Properties)] ウィンドウが表示されます。 |
||
ステップ 4 |
IPv6 静的アドレスと DNS サーバーを設定し、[OK] をクリックします。
|
IPv6 ポリシーの設定
通常、次のタイプのデバイスで IPv6 ポリシーを設定できます。さらに、IPS、ASA、および FWSM デバイスによって生成された IPv6 アラートをモニタできます。その他のタイプのデバイスでは、FlexConfig ポリシーを使用して IPv6 設定を行います。IPv6 デバイスサポートに関する具体的な情報については、Cisco.com でCisco Security Manager のサポート対象デバイスとソフトウェアバージョン [英語] を参照してください。
-
ASA:ルータモードで実行されている場合はリリース 7.0 以降、トランスペアレントモードで実行されている場合はリリース 8.2 以降。1 つのセキュリティ コンテキスト デバイスと複数のセキュリティ コンテキスト デバイスの両方がサポートされます。
-
FWSM:ルータモードで実行されている場合はリリース 3.1 以降。トランスペアレント モードではサポートされません。1 つのセキュリティ コンテキスト デバイスと複数のセキュリティ コンテキスト デバイスの両方がサポートされます。
-
IPS:リリース 6.1 以降。
次に、IPv6 アドレッシングをサポートする Security Manager 機能の要約を示します。
-
ポリシーオブジェクト:次のポリシーオブジェクトで IPv6 アドレスがサポートされます。
-
ネットワーク/ホスト。ネットワーク/ホストオブジェクトについてを参照してください。
-
サービス。このオブジェクトには、IPv6 ポリシーとのみ使用できる、ICMP6 および DHCPv6 用の定義済みサービスが含まれています。他のサービスは、IPv4 と IPv6 の両方に適用されます。サービス オブジェクトの詳細については、サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定を参照してください。
-
-
ファイアウォール サービスポリシー:次のファイアウォール サービス ポリシーとツールでは IPv6 設定がサポートされます。
-
AAA ルール。ファイアウォール AAA ルールの管理を参照してください。
-
アクセスルール。アクセス ルールの設定を参照してください。
-
インスペクションルール。ファイアウォール インスペクション ルールの管理を参照してください。
アクセス コントロール ポリシー設定の指定を参照してください。
。 -
Tools:
-
[Hit Count]。ヒットカウントの詳細の表示を参照してください。
[Find and Replace]。ルール テーブルの項目の検索と置換を参照してください。
-
ASA および FWSM ポリシー:次の ASA および FWSM ポリシーでは IPv6 設定がサポートされます。
-
(ASA 7.0 以降のルーテッドモード、ASA 8.2 以降のトランスペアレントモード、FWSM 3.1 以降のルーテッドモード)。インターフェイス:[インターフェイスの追加(Add Interface)] および [インターフェイスの編集(Edit Interface)] ダイアログボックスの [IPv6] タブ。IPv6 インターフェイスの設定(ASA/FWSM)を参照してください。
-
(ASA のみ)。IPv6 ネイバー キャッシュの管理を参照してください。
。 -
(ASA 5505 8.2/8.3 のみ)。[Management IPv6] ページ(ASA 5505)を参照してください。
。 -
(ASA 8.4.2 以降のみ)。[DNS] ページを参照してください。
。
-
-
FlexConfig ポリシー:デバイスで IPv6 ACL を識別するために使用できる 2 つのファイアウォールシステム変数があります。詳細については、FlexConfig システム変数を参照してください。
これらの変数を使用する定義済みの FlexConfig ポリシー オブジェクト(ASA_add_IPv6_ACE)もあります。
-
イベントビューア:IPv6 アドレスが含まれているイベントがサポートされ、アドレスは、IPv4 アドレスと同じ列([送信元(Source)]、[宛先(Destination)]、および [IPLogアドレス(IPLog Address)](IPS アラートの場合))に表示されます。ただし、Security Manager サーバへのイベントの送信に IPv4 を使用するようデバイスを設定する必要があります。すべてのイベント通信で IPv4 トランスポートが使用されます。Event Viewer の詳細については、イベントの表示を参照してください。
-
ダッシュボード:ダッシュボードでは、IP アドレスを使用するすべてのウィジェットで IPv6 アドレスがサポートされます。ただし、Cisco Security Manager における他の場合と同様に、Cisco Security Manager サーバーへのイベントの送信時に IPv4 を使用するようデバイスを設定する必要があります。すべてのイベント通信で IPv4 トランスポートが使用されます。ダッシュボードの詳細については、ダッシュボードの概要を参照してください。
-
Report Manager:レポートには、イベント管理によって収集された IPv6 イベントの統計情報が含まれています。Report Manager の詳細については、レポートの管理を参照してください。
Cisco Security Manager 4.4 でのポリシーオブジェクトの変更
以前は分離していた IPv4 要素と IPv6 要素を統合するために、Security Manager 4.4 のいくつかのポリシーとポリシーオブジェクトに一定の変更が加えられました。これらの変更の中で最も重要なのは、ネットワーク/ホストオブジェクト(それ自体はネットワーク/ホストオブジェクトとネットワーク/ホスト IPv6 オブジェクトの統合を表す)に対する変更です。
-
新しいネットワーク/ホストオブジェクト「All-IPv4-Addresses」によって、IPv4「any」ネットワーク ポリシー オブジェクトは置き換えられます。以前のバージョンから Security Manager 4.4 にアップグレードすると、IPv4「any」ネットワーク ポリシー オブジェクトへのすべての参照が「All-IPv4-Addresses」に変更されます。
-
新しいネットワーク/ホストオブジェクト「All-IPv6-Addresses」によって、IPv6「any」ネットワーク ポリシー オブジェクトは置き換えられます。以前のバージョンから Security Manager 4.4 にアップグレードすると、IPv6「any」ネットワーク ポリシー オブジェクトへのすべての参照が「All-IPv6-Addresses」に変更されます。
-
新しいネットワーク/ホストオブジェクト「All-Addresses」には、以前のバージョンの Security Manager に対応するポリシーオブジェクトがありません。これは新しいグローバルな「any」ポリシーオブジェクトであり、すべての IPv4 および IPv6 アドレス範囲を含みます。
その他の関連する変更には、アクセスルール、検査ルールといったデバイス固有のポリシーの IPv4 バージョンと IPv6 バージョンの統合が含まれます。
さらに、ポリシーとオブジェクトを編集するとき、IPv4、IPv6、または混合モード(IPv4 と IPv6 の両方)のエントリは、ダイアログボックスなどの要素で自動的にフィルタリングされます(これらのエントリの 1 つ以上が要素に該当しません)。