Web セキュリティアプライアンスにようこそ
Web セキュリティアプライアンスについて
Cisco Web セキュリティ アプライアンスはインターネット トラフィックを代行受信してモニターし、ポリシーを適用することによって、マルウェア、機密データの漏洩、生産性の低下などのインターネット ベースの脅威から内部ネットワークを保護します。
最新情報
AsyncOS 12.5.6-008 MD(メンテナンス導入)の新機能
このリリースには複数のバグ修正が含まれています。詳細については、「リリース 12.5.6-008 の既知および修正済みの問題のリスト」を参照してください。
AsyncOS 12.5.5-008 MD(メンテナンス導入)の新機能:更新
このリリースには複数のバグ修正が含まれています。詳細については、「リリース 12.5.5-008 の既知および修正済みの問題のリスト」を参照してください。
 (注) |
現在、12.5.5-008 では、Cisco Secure Email および Web Manager の互換ビルドは利用できません。 |
AsyncOS 12.5.5-004 MD(メンテナンス導入)の新機能
このリリースには複数のバグ修正が含まれています。詳細については、「リリース 12.5.5-004 の既知および修正済みの問題のリスト」を参照してください。
AsyncOS 12.5.4-011 MD(メンテナンス導入)の新機能:更新
このリリースには複数のバグ修正が含まれています。詳細については、「リリース 12.5.4-011 の既知および修正済みの問題のリスト」を参照してください。
AsyncOS 12.5.4-005 MD(メンテナンス導入)の新機能
このリリースには複数のバグ修正が含まれています。詳細については、「リリース 12.5.4-005 の既知および修正済みの問題のリスト」を参照してください。
AsyncOS 12.5.3-002 MD(メンテナンス導入)の新機能
このリリースには、多数のバグ修正が含まれています。詳細については、「リリース 12.5.3-002 の既知および修正済みの問題のリスト」を参照してください。
AsyncOS 12.5.2-011 MD(メンテナンス導入)の新機能
このリリースには、多数のバグフィックスが含まれています。詳細については、「リリース 12.5.2-011 の既知および修正済みの問題のリスト」を参照してください。
AsyncOS 12-5-2-007 MD(メンテナンス導入)の新機能
このリリースには、多数のバグフィックスが含まれています。詳細については、「リリース 12.5.2-007 の既知および修正済みの問題のリスト」を参照してください。
|
機能 |
説明 |
|---|---|
|
新しい URL カテゴリの更新通知 |
新しい URL カテゴリの更新通知がバナーに導入されました。ユーザには、今後の URL カテゴリの更新に関する電子メール通知も送信されます。 |
AsyncOS 12-5-1-043 GD(一般導入)の新機能:更新
このリリースには、多数のバグフィックスが含まれています。詳細については、「リリース 12.5.1-043 の既知および修正済みの問題のリスト」および「 AsyncOS 12.5.1-043 GD(一般導入)の動作の変更:更新」を参照してください。
AsyncOS 12.5.1-035 GD(一般導入)の新機能
このリリースには、多数のバグフィックスが含まれています。詳細については、「リリース 12.5.1-035 の既知および修正済みの問題のリスト」を参照してください。
|
機能 |
説明 |
||
|---|---|---|---|
|
TLS 1.0/1.1 の廃止 |
アプライアンスを AMP ファイル レピュテーション サーバに接続するには、TLS 1.2 以降のバージョンを使用します。南・北・中央アメリカ (レガシー)cloud-sa.amp.sourcefire.com は AMP ファイル レピュテーション サーバ リストから削除されるため、南・北・中央アメリカ (レガシー)cloud-sa.amp.sourcefire.com はアプライアンスで設定できません。 アプライアンスを 12.5.1 バージョンにアップグレードする前に、以下を推奨します。
詳細については、『Decommissioning Legacy File Reputation Servers for Cisco Web Security Appliances』を参照してください。 |
||
|
信頼できるドメイン ルックアップの有効化 |
レルムの信頼できるドメインルックアップの動作を制御するために、[信頼できるドメインのルックアップを有効にする(Enable Trusted Domain Lookup)] オプションが [Active Directory アカウント(Active Directory Account)] セクション([ネットワーク(Network)] > [認証(Authentication)] > [レルムの追加(Add Realm)])に追加されました。 このオプションは、デフォルトでは有効になっています。 |
AsyncOS 12.5.1-011 LD(限定導入)の新機能
このリリースでは、次の機能が導入されています。
|
機能 |
説明 |
||
|---|---|---|---|
|
ハイパフォーマンスのサポート |
Cisco AsyncOS 12.5 リリースは、プラットフォーム S680、S690、および S695 向けに、高いパフォーマンス(HP)を備えた Web セキュリティアプライアンスを提供します。HP により、既存のハイエンドアプライアンスのトラフィック処理パフォーマンスが向上します。
|
||
|
Web プロキシの IP スプーフィング |
IP スプーフィングプロファイルを作成し、それをルーティングポリシーに追加することによって、Web プロキシ IP スプーフィングを設定できるようになりました。IP スプーフィングプロファイルがルーティングポリシーで使用されている場合、Web プロキシは送信元 IP アドレスを IP スプーフィングプロファイルで定義されたカスタム IP アドレスに変更します。 FTP プロキシ設定で、ネイティブ FTP 要求のクライアント IP スプーフィングを有効または無効にすることができるようになりました。 前提条件:
ユーザ ガイドの「Web 要求の代行受信」の章を参照してください。 |
||
|
YouTube 分類のサポート |
セキュアなアクセス制御のため、YouTube のカスタム URL カテゴリを作成し、YouTube カスタムカテゴリでポリシーを設定できるようになりました。 前提条件: 次のように設定されていることを確認します。
ユーザ ガイドの「ポリシー アプリケーションのための URL の分類」の章を参照してください。 |
||
|
新しい Web インターフェイスの [システムステータス(System Status)] ダッシュボード |
新しい Web インターフェイスでは、アプライアンスに新しいページ([モニタリング(Monitoring)] > [システムステータス(System Status)])があり、アプライアンスの現在のステータスと設定が表示されます。 ユーザガイドの「Web Security Appliance Reports on the New Web Interface」の章を参照してください。 |
||
|
Web セキュリティアプライアンスにおける Cisco Success Network |
Cisco Success Network(CSN)機能によって、シスコはアプライアンスの機能使用状況情報のテレメトリを収集できます。シスコはこれらの詳細情報を使用して、デバイス情報、無料の機能やライセンス供与された機能のリスト、およびそれらのアクティベーション ステータスを識別します。
前提条件:
ユーザガイドの「Integrating with Cisco Threat Response」の章を参照してください。 |
||
|
ネットワーク、ログサブスクリプション、およびその他の設定用の REST API |
設定情報を取得し、変更(既存の情報の変更、新しい情報の追加、エントリの削除など)を、REST API を使用してアプライアンスの設定データで実行できるようになりました。 『AsyncOS API 12.5 for Cisco Web Security Appliances - Getting Started Guide』を参照してください。 |
動作における変更
AsyncOS 12.5.5-004 MD(メンテナンス導入)の動作の変更
|
networktuning |
Cisco AsyncOS 12.5 へのアップグレード後、初めて networktuning コマンドを実行すると、プロキシプロセスを再起動するように求めるプロンプトが表示されます。
|
AsyncOS 12.5.4-005 MD(メンテナンス導入)の動作の変更
|
SSL の設定 |
Cisco AsyncOS 12.5.4 バージョンから、TLSv1.2 は、Chrome ブラウザのバージョン 98.0.4758.80 以降をサポートするために、[システム管理者(System Administrator)] > [SSL設定(SSL Configuration)] にある [アプライアンス管理Webユーザーインターフェイス(Appliance Management Web User Interface)] に対してデフォルトで有効になっています。 |
|
セッション再開 |
Cisco AsyncOS 12.5.4 バージョンへのアップグレード後、セッションの再開はデフォルトで無効になります。 |
|
Context Directory Agent(CDA) |
Cisco AsyncOS 12.5.4 バージョン以降、CDA のサポートの終了を示す次のメッセージが CDA 設定セクションに追加されています。 「Context Directory Agent(CDA)のサポートが終了しました。CDAの代わりに透過的なユーザー認証用にISE/ISE-PICを設定することをお勧めします。(Context Directory Agent (CDA) has reached EOS. It is recommended configuring ISE/ISE-PIC for transparent user authentication instead of CDA.)」 |
AsyncOS 12.5.1-043 GD(一般導入)の動作の変更:更新
|
プロキシ malloc メモリ使用率に関する警告メッセージ |
アプライアンスの Web ユーザインターフェイスに次のアラートメッセージが表示されます([システム管理(System Administration)] > [アラート(Alerts)] > [上位アラートの表示(View Top Alerts)])。
いずれの場合も、「Web プロキシ」の重要なアラートを受信するように設定されたすべての「アラート受信者」に、電子メール通知が送信されます。 重要なログメッセージにプロキシログが含まるようになりました。 |
AsyncOS 12.5.1-035 GD(一般導入)の動作の変更
|
認証のキャッシュサイズ設定 |
認証のキャッシュサイズ設定は、AsyncOS 12.5.1-035 以降のバージョンではサポートされていません。 AsyncOS 12.5.1-035 以降のバージョンでは、[キャッシュサイズ(Cache Size)] オプション([ネットワーク(Network)] > [認証(Authentication)] > [認証設定(Authentication Settings)] > [クレデンシャル キャッシュ オプション(Credential Cache Options)])がアプライアンスの Web インターフェイスから削除されました。 |
AsyncOS 12.5.1-011 LD(限定導入)の動作の変更
|
ログ サブスクリプション |
次のログが変更されて、詳細が追加されました。
|
新しい Web インターフェイスへのアクセス
新しい Web インターフェイスは、モニタリング レポートとトラッキング Web サービスの新しい外観を提供します。新しい Web インターフェイスにアクセスするには、次の手順を実行します。
-
レガシー Web インターフェイスにログインします。
-
UI の上部に表示される [SecureWeb Applianceの外観が新しくなりました。お試しください。(SecureWeb Appliance is getting a new look. Try it!!)]をクリックします。
リンクをクリックすると、Web ブラウザの新しいタブが開き、 https://wsa01-enterprise.com:<trailblazer-https-port>/ng-login に移動します。ここでは、wsa01-enterprise.com はアプライアンスのホスト名で、<trailblazer-https-port> は、新しい Web インターフェイスにアクセスするためにアプライアンスに設定されている TRAILBLAZER HTTPS ポートです。
重要
-
アプライアンスのレガシー Web インターフェイスにログインする必要があります。
-
指定したアプライアンスのホスト名を DNS サーバが解決できることを確認します。
-
デフォルトでは、新しい Web インターフェイスでは、TCP ポート 6080、6443、および 4431 が動作可能である必要があります。これらのポートがエンタープライズ ファイアウォールによってブロックされていないことを確認します。
-
新しい Web インターフェイスにアクセスするためのデフォルト ポートは 4431 です。これは、trailblazerconfig コマンドを使用してカスタマイズできます。trailblazerconfig コマンドの詳細については、「コマンドライン インターフェイス」を参照してください。
-
新しい Web インターフェイスでは、HTTP および HTTPS の AsyncOS API(モニタリング)ポートも必要です。デフォルトでは、これらのポートは 6080 および 6443 です。AsyncOS API(モニタリング)ポートは、interfaceconfig コマンドを使用してカスタマイズすることもできます。interfaceconfig コマンドの詳細については、「コマンドライン インターフェイス」を参照してください。
-
これらのデフォルトポートを変更した場合は、新しい Web インターフェイスのカスタマイズされたポートがエンタープライズ ファイアウォールによってブロックされていないことを確認します。
-
新しい Web インターフェイスは新しいブラウザウィンドウで開きます。アクセスするには、再度ログインする必要があります。アプライアンスから完全にログアウトする場合は、アプライアンスの新しい Web インターフェイスとレガシー Web インターフェイスの両方からログアウトする必要があります。
-
HTML ページのシームレスなナビゲーションとレンダリングのために、次のブラウザを使用してアプライアンスの新しい Web インターフェイス(AsyncOS 11.8 以降)にアクセスすることをお勧めします。
-
Google Chrome
-
Mozilla Firefox
-
-
サポートされているブラウザのいずれかで、アプライアンスのレガシー Web インターフェイスにアクセスできます。
-
アプライアンスの新しい Web インターフェイス(AsyncOS 11.8 以降)でサポートされている解像度は、1280x800 ~ 1680x1050 です。すべてのブラウザに対して最適に表示される解像度は 1440x900 です。
(注) |
シスコでは、より高い解像度でアプライアンスの新しい Web インターフェイスを表示することは推奨していません。 |
リリースの分類
各リリースは、リリースのタイプ(ED:初期導入、GD:全面導入など)によって識別されています。これらの用語の説明については、http://www.cisco.com/c/dam/en/us/products/collateral/security/web-security-appliance/content-security-release-terminology.pdfを参照してください。
サポート対象ハードウェア
このビルドは、サポートされている既存のすべてのプラットフォーム上でのアップグレードに使用できますが、拡張パフォーマンスのサポートは次のハードウェアモデルでのみ使用できます。
-
Sx80
-
Sx90/F
-
Sx95/F
アプライアンスをアップグレードまたは再起動する前に、接続されているファイバ スイッチ ポート インターフェイスで LLDP を無効にします。これにより、FCoE トラフィックが自動的に無効になります。
仮想モデル:
-
S100v
-
S300v
システムの CPU およびメモリ要件は、12.5 リリース以降で変更されています。詳細については、『Cisco Content Security Virtual Appliance Installation Guide』 を参照してください。
-
S600v
(注) |
アプライアンスに付属の Cisco SFP を使用します。 |
アップグレードパス
AsyncOS 12.5.6-008 へのアップグレード
(注) |
アップグレード中は、デバイス(キーボード、マウス、管理デバイス(Raritan) など)をアプライアンスの USB ポートに接続しないでください。 |
次のバージョンから Cisco Web セキュリティアプライアンス向け AsyncOS 12.5.6-008 にアップグレードできます。
|
|
AsyncOS 12.5.5-008 へのアップグレード
(注) |
アップグレード中は、デバイス(キーボード、マウス、管理デバイス(Raritan) など)をアプライアンスの USB ポートに接続しないでください。 |
次のバージョンから Cisco Web セキュリティアプライアンス向け AsyncOS 12.5.5-008 にアップグレードできます。
|
|
|
AsyncOS 12.5.5-004 へのアップグレード
(注) |
アップグレード中は、デバイス(キーボード、マウス、管理デバイス(Raritan) など)をアプライアンスの USB ポートに接続しないでください。 |
次のバージョンから Cisco Web セキュリティアプライアンス向け AsyncOS 12.5.5-004 にアップグレードできます。
|
|
|
|
AsyncOS 12.5.4-011 へのアップグレード
(注) |
アップグレード中は、デバイス(キーボード、マウス、管理デバイス(Raritan) など)をアプライアンスの USB ポートに接続しないでください。 |
次のバージョンから Cisco Web セキュリティアプライアンス向け AsyncOS 12.5.4-011 にアップグレードできます。
|
|
|
|
AsyncOS 12.5.4-005 へのアップグレード
(注) |
アップグレード中は、デバイス(キーボード、マウス、管理デバイス(Raritan) など)をアプライアンスの USB ポートに接続しないでください。 |
次のバージョンから Cisco Web セキュリティアプライアンス向け AsyncOS 12.5.4-005 にアップグレードできます。
|
|
|
|
AsyncOS 12.5.3-002 へのアップグレード
(注) |
アップグレード中は、デバイス(キーボード、マウス、管理デバイス(Raritan) など)をアプライアンスの USB ポートに接続しないでください。 |
次のバージョンから Cisco Web セキュリティアプライアンス向け AsyncOS リリース 12.5.3-002 にアップグレードできます。
|
|
|
|
AsyncOS 12.5.2-011 へのアップグレード
(注) |
アップグレード中は、デバイス(キーボード、マウス、管理デバイス(Raritan) など)をアプライアンスの USB ポートに接続しないでください。 |
次のバージョンから Cisco Web セキュリティアプライアンス向け AsyncOS リリース 12.5.2-011 にアップグレードできます。
|
|
|
|
AsyncOS 12.5.2-007 へのアップグレード
(注) |
アップグレード中は、デバイス(キーボード、マウス、管理デバイス(Raritan) など)をアプライアンスの USB ポートに接続しないでください。 |
次のバージョンから Cisco Web セキュリティアプライアンス向け AsyncOS リリース 12.5.2-007 にアップグレードできます。
|
|
|
|
AsyncOS 12.5.1-043 へのアップグレード
(注) |
アップグレード中は、デバイス(キーボード、マウス、管理デバイス(Raritan) など)をアプライアンスの USB ポートに接続しないでください。 |
次のバージョンから Cisco Web セキュリティアプライアンス向け AsyncOS リリース 12.5.1-043 にアップグレードできます。
|
|
|
|
|
AsyncOS 12.5.1-035 へのアップグレード
(注) |
アップグレード中は、デバイス(キーボード、マウス、管理デバイス(Raritan) など)をアプライアンスの USB ポートに接続しないでください。 |
次のバージョンから Cisco Web セキュリティアプライアンス向け AsyncOS リリース 12.5.1-035 にアップグレードできます。
|
|
|
|
|
AsyncOS 12.5.1-011 へのアップグレード
(注) |
アップグレード中は、デバイス(キーボード、マウス、管理デバイス(Raritan) など)をアプライアンスの USB ポートに接続しないでください。 |
次のバージョンから Cisco Web セキュリティアプライアンス向け AsyncOS リリース 12.5.1-011 にアップグレードできます。
|
|
|
|
|
アップグレード後の要件
12.5.5-008 にアップグレードした後、次の手順を実行する必要があります。
手順
|
ステップ 1 |
管理者アクセス権を使用して、Cisco Threat Response ポータルでユーザアカウントを作成します。 新しいアカウントを作成するには、URL:https://visibility.amp.cisco.com を使用して Cisco Threat Response ポータルにログインし、[Cisco セキュリティアカウントの作成(Create a Cisco Security Account)] をクリックします。新しいユーザ アカウントを作成できない場合は、Cisco TAC に連絡してサポートを受けてください。 |
|
ステップ 2 |
アプライアンスを Security Services Exchange(SSE)クラウドポータルに登録するには、自身の地域に対応する SSE ポータルからトークンを生成します。 SSE クラウドポータルへの登録時に、アプライアンスの Web ユーザインターフェイスから、地域に基づいて次の FQDN を選択します。
|
|
ステップ 3 |
Security Services Exchange ポータルのクラウドサービスにある Cisco Threat Response が有効になっていることを確認します。アプライアンスを Security Services Exchange ポータルに登録するには、FQDN api-sse.cisco.com(米国)のファイアウォールの HTTPS(インとアウト)443 ポートが開いていることを確認します。 仮想アプライアンスの展開については、『Cisco Content Security Virtual Appliance Installation Guide』を参照してください。このドキュメントは、http://www.cisco.com/c/en/us/support/security/web-security-appliance/products-installation-guides-list.html から入手できます。 |
互換性の詳細
セキュリティ管理のための Cisco AsyncOS との互換性
このリリースと Cisco Content Security Management 用の AsyncOS のリリースの互換性については、https://www.cisco.com/c/dam/en/us/td/docs/security/security_management/sma/sma_all/web-compatibility/index.htmlで互換性マトリックスを参照してください。
クラウド コネクタ モードでの IPv6 と Kerberos は使用不可
アプライアンスがクラウド コネクタ モードで設定されている場合、Web インターフェイスのページに「IPv6 アドレスと Kerberos 認証用のオプションは使用できません(unavailable options for IPv6 addresses and Kerberos authentication)」と表示されます。使用できるように見えても、それらのオプションはクラウド コネクタ モードではサポートされていません。クラウド コネクタ モードでは、IPv6 アドレスまたは Kerberos 認証を使用するようにアプライアンスを設定しようとしないでください。
IPv6 アドレスの機能サポート
IPv6 アドレスをサポートする特性と機能は次のとおりです。
-
コマンド ラインと Web インターフェイス。アプライアンスにアクセスするには、http://[2001:2:2::8]:8080 または https://[2001:2:2::8]:8443 を使用します。
-
IPv6 データトラフィックでのプロキシアクションの実行(HTTP/HTTPS/SOCKS/FTP)
-
IPv6 DNS サーバ
-
WCCP 2.01(Cat6K スイッチ)とレイヤ 4 透過リダイレクション
-
アップストリーム プロキシ
-
認証サービス
-
Active Directory(NTLMSSP、Basic、および Kerberos)
-
LDAP
-
SaaS SSO
-
CDA による透過的ユーザー識別(CDA との通信は IPv4 のみ)
-
クレデンシャルの暗号化
-
-
Web レポートと Web トラッキング
-
外部 DLP サーバ(アプライアンスと DLP サーバ間の通信は IPv4 のみ)
-
PAC ファイル ホスティング
-
プロトコル:管理サーバを介した NTP、RADIUS、SNMP、および Syslog
IPv4 アドレスを必要とする特性と機能は次のとおりです。
-
内部 SMTP リレー
-
外部認証
-
ログサブスクリプションのプッシュ方式:FTP、SCP、および Syslog
-
NTP サーバー
-
ローカル アップデート サーバ(アップデート用のプロキシサーバを含む)
-
認証サービス
-
AnyConnect セキュア モビリティ
-
Novell eDirectory 認証サーバ
-
エンドユーザ 通知のカスタム ロゴのページ
-
Cisco Web セキュリティアプライアンスとセキュリティ管理アプライアンス間の通信
-
2.01 より前の WCCP バージョン
-
SNMP
オペレーティング システムとブラウザの Kerberos 認証の可用性
Kerberos 認証は、次のオペレーティング システムとブラウザで使用できます。
-
Windows サーバ 2003、2008、2008R2、および 2012
-
Mac での Safari および Firefox ブラウザの最新リリース (OSX バージョン10.5 以降)
-
IE(バージョン 7 以降)と Windows 7 以降の Firefox および Chrome ブラウザの最新リリース
Kerberos 認証は、次のオペレーティング システムとブラウザでは使用できません。
-
上記に記載されていない Windows オペレーティング システム
-
上記で説明していないブラウザ
-
iOS と Android
仮想アプライアンスの展開
仮想アプライアンスの展開については、『Cisco Content Security Virtual Appliance Installation Guide』を参照してください。このドキュメントは、http://www.cisco.com/c/en/us/support/security/web-security-appliance/products-installation-guides-list.html から入手できます。
ハードウェア アプライアンスから仮想アプライアンスへの移行
手順
|
ステップ 1 |
この AsyncOS リリースで仮想アプライアンスを設定します。「アップグレード後の要件」を参照してください。
|
||
|
ステップ 2 |
ハードウェアアプライアンスをこの AsyncOS リリースにアップグレードします。 |
||
|
ステップ 3 |
アップグレードされたハードウェア アプライアンスから設定ファイルを保存します。 |
||
|
ステップ 4 |
ハードウェアアプライアンスから仮想アプライアンスに設定ファイルをロードします。 ハードウェアと仮想アプライアンスの IP アドレスが異なる場合は、設定ファイルをロードする前に、[ネットワーク設定のロード(Load Network Settings)] を選択解除します。 |
||
|
ステップ 5 |
変更を確定します。 |
||
|
ステップ 6 |
[ネットワーク(Network)] > [認証(Authentication)] に移動し、ドメインに再度参加します。そうしないと、アイデンティティは機能しません。 |
AsyncOS for Web のアップグレード
始める前に
-
RAID コントローラ ファームウェアの更新を含むアップグレード前の要件を実行します。
-
管理者としてログインします。
手順
|
ステップ 1 |
[システム管理(System Administration)] > [設定ファイル(Configuration File)] ページで、Web セキュリティアプライアンスから XML コンフィギュレーション ファイルを保存します。 |
||
|
ステップ 2 |
[システム管理(System Administration)] > [システムアップグレード(System Upgrade)] ページで、[アップグレードオプション(Upgrade Options)] をクリックします。 |
||
|
ステップ 3 |
[ダウンロードとインストール(Download and install)] または [ダウンロードのみ(Download only)] のいずれかを選択できます。 使用可能なアップグレードのリストから選択します。 |
||
|
ステップ 4 |
[続行(Proceed)] をクリックします。 [ダウンロードのみ(Download only)] を選択した場合は、アップグレードがアプライアンスにダウンロードされます。 |
||
|
ステップ 5 |
([ダウンロードとインストール(Download and install)] を選択した場合) アップグレードが完了したら、[今すぐリブート(Reboot Now)] をクリックして、Web セキュリティアプライアンスをリブートします。
|
重要:アップグレード後に必要なアクション
アップグレード後にアプライアンスが正常に機能し続けるようにするには、次の事項に対処する必要があります。
シスコが推奨する暗号スイートへのデフォルト プロキシ サービス暗号スイートの変更
AsyncOS 9.1.1 以降では、プロキシ サービスに使用可能なデフォルトの暗号スイートは、セキュアな暗号スイートのみを含むように変更されます。
ただし、AsyncOS 9.x.x 以降のリリースからアップグレードする場合、デフォルトのプロキシ サービスの暗号スイートは変更されません。セキュリティを強化するために、アップグレード後に、デフォルトのプロキシ サービス暗号スイートをシスコが推奨する暗号スイートに変更することをお勧めします。次の手順を実行します。
手順
|
ステップ 1 |
Web インターフェイスを使用してアプライアンスにログインします。 |
||
|
ステップ 2 |
[システム管理(System Administration)] > [SSL設定(SSL Configuration)] をクリックします。 |
||
|
ステップ 3 |
[設定の編集(Edit Settings)] をクリックします。 |
||
|
ステップ 4 |
[プロキシサービス(Proxy Services)] で、[使用する暗号(CIPHER(s) to Use)] フィールドを次のフィールドに設定します。
|
||
|
ステップ 5 |
変更を送信し、保存します。 |
CLI で sslconfig コマンドを使用して、上記の手順を実行することもできます。
仮想アプライアンス:SSH セキュリティ脆弱性の修正に必要な変更
このセクションの要件は AsyncOS 8.8 で導入されました。
次のセキュリティ脆弱性は、アプライアンスに存在する場合、アップグレード中に修正されます。
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150625-ironport
(注) |
このパッチは、2015 年 6 月 25 日より前にダウンロードまたはアップグレードされた仮想アプライアンス リリースにのみ必要です。 |
アップグレード前にこの問題を修正しなかった場合は、修正されたことを示すメッセージがアップグレード中に表示されます。このメッセージが表示された場合、アップグレード後にアプライアンスを完全な動作順序に戻すには次のアクションを実行する必要があります。
-
SSH ユーティリティの既知のホスト リストから、アプライアンスの既存のエントリを削除します。新しいキーが作成されたら、ssh 経由でアプライアンスに接続し、接続を承認します。
-
SCP プッシュを使用して、リモートサーバ(Splunk を含む)にログを転送する場合は、リモートサーバからアプライアンスの古い SSH ホストキーをクリアします。
-
展開に Cisco コンテンツ セキュリティ管理アプライアンスが含まれている場合は、そのアプライアンスのリリース ノートに記載されている重要な手順を参照してください。
ファイル分析:クラウドで分析結果の詳細を表示するために必要な変更
複数のコンテンツ セキュリティ アプライアンス(Web、電子メール、または管理)を展開しており、組織内の任意のアプライアンスからアップロードされたすべてのファイルについてクラウド内の詳細なファイル分析結果を表示する場合は、アップグレード後に各アプライアンスでアプライアンス グループを設定する必要があります。アプライアンスグループを設定するには、「File Reputation Filtering and File Analysis」を参照してください。
ファイル分析:分析対象のファイル タイプの確認
AsyncOS 8.8 でファイル分析クラウドサ ーバの URL が変更されました。その結果、分析可能なファイルタイプがアップグレード後に変更された可能性があります。変更がある場合は、アラートが表示されます。分析用に選択したファイルタイプを確認するには、[セキュリティサービス(Security Services)] > [マルウェア対策およびレピュテーション(Anti-Malware and Reputation)] を選択し、Advanced Malware Protection の設定を確認します。
正規表現のエスケープされていないドット
正規表現のパターンマッチング エンジンにアップグレードすると、システムの更新後に既存のパターン定義でエスケープされていないドットに関するアラートが表示されることがあります。ドットの後に 64 文字以上を返すパターン内のエスケープされていないドットは、Velocity パターンマッチングエンジンによって無効化され、その影響についてのアラートがユーザーに送信されます。パターンを修正または置換するまで、更新のたびにアラートは送信され続けます。一般に、長い正規表現内のエスケープされていないドットは問題を引き起こす可能性があるため、避ける必要があります。
マニュアルの更新
この製品のユーザーガイドおよびその他のマニュアルは、「関連資料」から入手できます。
既知および修正済みの問題
バグ検索ツールの要件
シスコ アカウントを持っていない場合は、登録します。https://identity.cisco.com/ui/tenants/global/v1.0/enrollment-ui に移動します。
既知および修正済みの問題のリスト
リリース 12.5.6-008 の既知および修正済みの問題のリスト
リリース 12.5.5-008 の既知および修正済みの問題のリスト
リリース 12.5.5-004 の既知および修正済みの問題のリスト
リリース 12.5.4-011 の既知および修正済みの問題のリスト
リリース 12.5.4-005 の既知および修正済みの問題のリスト
リリース 12.5.3-002 の既知および修正済みの問題のリスト
リリース 12.5.2-011 の既知および修正済みの問題のリスト
リリース 12.5.2-007 の既知および修正済みの問題のリスト
リリース 12.5.1-043 の既知および修正済みの問題のリスト
リリース 12.5.1-035 の既知および修正済みの問題のリスト
リリース 12.5.1-011 の既知および修正済みの問題のリスト
既知および解決済みの問題に関する情報の検索
Cisco Bug Search Tool を使用して、既知および解決済みの不具合に関する現在の情報を検索します。
始める前に
シスコ アカウントを持っていない場合は、登録します。https://identity.cisco.com/ui/tenants/global/v1.0/enrollment-ui に移動します。
手順
|
ステップ 1 |
|
|
ステップ 2 |
シスコ アカウントのクレデンシャルでログインします。 |
|
ステップ 3 |
[リストから選択(Select from list)] > [セキュリティ(Security)] > [Webセキュリティ(Web Security)] > [Cisco Webセキュリティアプライアンス(Cisco Web Security Appliance)] > [Cisco Secure Web Appliance] をクリックし、[OK] をクリックします。 |
|
ステップ 4 |
[リリース(Releases)] フィールドに、リリースのバージョン(x.x.x など)を入力します。 |
|
ステップ 5 |
要件に応じて、次のいずれかを実行します。
|
(注) |
ご不明な点がある場合は、ツールの右上にある [ヘルプ(Help)] または [フィードバック(Feedback)] リンクをクリックしてください。また、インタラクティブなツアーもあります。これを表示するには、[検索(search)] フィールドの上のオレンジ色のバーにあるリンクをクリックします。 |
関連資料
|
資料 |
参照先 |
|---|---|
|
Cisco Secure Web Appliance ユーザーガイド |
|
|
シスコのコンテンツセキュリティ管理アプライアンスユーザーガイド |
https://www.cisco.com/c/en/us/support/security/content-security-management-appliance/series.html |
|
仮想アプライアンス インストールガイド |
|
|
Cisco Secure Email and Web Manager と Cisco Secure Web Appliance の互換性マトリックス |
|
|
API ガイド |
サポート
シスコサポートコミュニティ
シスコサポートコミュニティは、シスコのお客様、パートナー、および従業員向けのオンラインフォーラムです。Web セキュリティに関する一般的な問題や、特定のシスコ製品に関する技術情報について話し合う場を提供します。このフォーラムにトピックを投稿して質問したり、他のシスコユーザーと情報を共有したりできます。
Web セキュリティと関連管理については、シスコサポートコミュニティにアクセスしてください。
カスタマー サポート
(注) |
仮想アプライアンスのサポートを受けるには、仮想ライセンス番号(VLN)をご用意の上 Cisco TAC に連絡してください。 |
Cisco TAC:http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html [英語] を参照してください。
従来の IronPort のサポートサイト:http://www.cisco.com/web/services/acquisitions/ironport.html [英語] を参照してください。
重大ではない問題の場合は、アプライアンスからカスタマー サポートにアクセスすることもできます。手順については、ユーザ ガイドまたはオンライン ヘルプを参照してください。
フィードバック