デバイスの通信要件について
Security Manager には、デバイスを管理するための多くの方法が用意されています。最も簡単なのは、Security Manager からデバイスに直接接続する方法です。Security Manager がデバイスにアクセスするのは、インベントリまたはポリシーのディスカバリ中、設定の展開中、または Security Manager でデバイス接続を要求するアクション(接続のテストなど)が行われた場合などです。
オフラインの方法を使用して、Security Manager インベントリにデバイスを追加したり、デバイスに設定変更を展開したりできるため、Security Manager で使用するためにデバイス通信設定を行うかどうかは任意に選択できます。ただし、通常は、オフラインまたはカスタマイズした設定展開ツールを実装するために、デバイスで基本的なデバイス通信設定を行う必要があります。
Security Manager では、特定のタイプのデバイスがデフォルトで使用するトランスポート プロトコルを設定する一方で、別のプロトコルに応答するように設定されたデバイスではそのデフォルトのプロトコルを変更できます。Security Manager は、そのタイプのデバイスで最もよく使用されるプロトコルがデフォルトのプロトコルとして設定されます。あるタイプのデバイスに対するデフォルトのデバイス通信設定を変更するには、[ツール(Tools)] > [Security Manager管理(Security Manager Administration)] を選択し、コンテンツテーブルから [デバイス通信(Device Communication)] を選択します(詳細については、[Device Communication] ページを参照してください)。特定のデバイスに対するトランスポート設定を変更するには、デバイス プロパティの表示または変更の説明に従って、そのデバイス プロパティを変更します。
Security Manager では、次のトランスポート プロトコルを使用できます。
-
SSL(HTTPS):Secure Socket Layer は HTTPS 接続であり、PIX ファイアウォール、Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)、および Firewall Services Module(FWSM; ファイアウォール サービス モジュール)で使用される唯一のトランスポート プロトコルです。また、SSL は、Cisco IOS ソフトウェアリリース 12.3 以降を実行しているルータおよび IPS デバイスのデフォルトプロトコルです。
Cisco IOS ルータでトランスポート プロトコルとして SSL を使用する場合、ルータで SSH も設定する必要があります。Security Manager は、SSH 接続を使用して、SSL 展開中にインタラクティブ コマンド展開を処理します。
Cisco Security Manager は、Transport Layer Security(TLS)およびセキュアソケットレイヤ(SSL)プロトコルに OpenSSL を使用していました。バージョン 4.13 以降、Cisco Security Manager は OpenSSL バージョン 1.0.2 を Cisco SSL バージョン 6.x に置き換えました。Cisco SSL は、完全な FIPS 検証による FIPS 準拠を可能にし、高速で費用対効果の高い接続を実現します。Cisco SSL のコモンクライテリアモードにより、コンプライアンスが容易になります。OpenSSL と比較して、Cisco SSL は機能が進んでいます。Cisco SSL の製品セキュリティベースライン(PSB)要件により、ログイン情報とキーの管理、暗号化標準規格、スプーフィング対策機能、整合性と改ざん防止といったセキュリティの重要な側面が保証され、セッション、データ、ストリームの管理と運用が保護対象となります。
SSL の設定方法の詳細については、SSL(HTTPS)の設定を参照してください。
-
SSH:セキュア シェルは、Catalyst スイッチおよび Catalyst 6500/7600 デバイスのデフォルトのトランスポート プロトコルです。また、Cisco IOS ルータでも SSH を使用できます。
SSH の設定方法の詳細については、SSH の設定を参照してください。
-
Telnet:Telnet は、Cisco IOS ソフトウェア Release 12.1 および 12.2 を実行しているルータのデフォルト プロトコルです。また、Catalyst スイッチ、Catalyst 6500/7600 デバイス、および、Cisco IOS ソフトウェア Release 12.3 以降を実行しているルータでも Telnet を使用できます。Telnet の設定方法の詳細については、Cisco IOS ソフトウェアのマニュアルを参照してください。
-
HTTP:IPS デバイスでは、HTTPS(SSL)の代わりに HTTP を使用できます。いずれのデバイス タイプでも、HTTP はデフォルト プロトコルではありません。
-
SQL Anywhere:バージョン 4.20 まで、Security Manager は SQL Anywhere バージョン 12.x をデータベースとして使用していました。バージョン 4.21 以降、Security Manager は Sybase SQL Anywhere バージョン 17.0.10.5855 を使用しています。
-
TMS:Token Management Server は、Security Manager でトランスポート プロトコルと同様に処理されますが、実際のトランスポート プロトコルではありません。TMS をルータのトランスポート プロトコルとして設定することにより、設定を TMS に展開するように Security Manager に指示します。TMS から設定を eToken にダウンロードし、その eToken をルータの USB バスにプラグインして、設定を更新できます。TMS は、Cisco IOS ソフトウェア 12.3 以降を実行している特定のルータでのみ使用可能です。
設定を TMS に展開してルータにダウンロードする方法の詳細については、Token Management Server への設定の展開を参照してください。
また、Security Manager は、間接的な方法を使用して設定をデバイスに展開し、展開を管理するサーバ上の設定をデバイスにステージングすることもできます。さらに、これらの間接的な方法を使用すると、デバイスでダイナミック IP アドレスを使用することもできます。これらの方法はトランスポート プロトコルとしてではなく、デバイスの補助トランスポート プロトコルとして扱われます。次の間接的な方法を使用できます。
-
AUS(Auto Update Server):デバイスを Security Manager に追加するときに、Security Manager を管理している AUS サーバを選択できます。AUS は、PIX ファイアウォールおよび ASA デバイスで使用できます。
AUS サーバを使用するようにデバイスを設定する方法の詳細については、AUS または Configuration Engine の設定を参照してください。
-
Configuration Engine:ルータを Security Manager に追加するときに、Security Manager を管理している Configuration Engine を選択できます。
Configuration Engine サーバを使用するようにデバイスを設定する方法の詳細については、AUS または Configuration Engine の設定を参照してください。
AUS サーバまたは Configuration Engine サーバを使用するデバイスを Security Manager に追加する方法の詳細については、次の項を参照してください。