セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

認証されたユーザ名を Websense サーバに送信するための PIX ファイアウォールの設定

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

PIX Firewall は、Websense サーバと通信して、発信 HTTP トラフィック(FTP および HTTP 6.3)を制限するように設定できます。 Websense サーバの本質的な役割は、特定の URL へのアクセスを許可または拒否するように、ポリシーのセットを作成し、適用することです。 Websense ポリシーは、ユーザ レベルで割り当てることができます。 これによって、Websense の管理者が個々のユーザに特定のアクセス権を割り当てることができます。 PIX Firewall は、認証されたユーザ名を Websense サーバに送信できます。 これが特定のユーザのポリシーを評価するために使用されます。 PIX Firewall が認証されたユーザ名を Websense に送信する仕組みは、カットスルー プロキシ機能によって PIX がユーザを認証済みであることに依存しています。 認証されたユーザ名を Websense に渡す PIX の機能は、Websense に対して TCP バージョン 4 プロトコルを使用するように PIX が設定されている場合にだけ使用できます。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco Secure PIX Firewall ソフトウェア バージョン 6.2.2

  • Websense マネージャ、バージョン 4.4.0

  • Cisco Secure ACS for Windows バージョン 3.0

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

Websense セットアップ

この資料は Websense 管理者が既に Websenseサーバを正しく設定したと仮定します。 認証する PIX が行っている各ユーザが Websense マネージャのディレクトリ オブジェクトとして追加されることが、そしてこのユーザはディレクトリ 認証のためにプロンプト表示されるために設定されることまたここに仮定されます。 Websense ドキュメントかアクセスを Websenseサーバを設定する方法leavingcisco.com の詳細については Websense サイト参照して下さい。

Cisco Secure ACS セットアップ

この資料は Websense が使用する同じアクティブ Directory/NT データベースを問い合わせるために Cisco Secure ACS 管理者が ACS サーバを設定したと仮定します。 Cisco Secure ACS for Windows のためのこのタスクを完了する方法の情報に関してはユーザデータベースを使用を参照して下さい。

この資料はまた Cisco Secure ACS サーバがクライアントとして既に PIX を追加してしまったと仮定します。 このタスクを完了する方法の詳細については設定およびネットワークコンフィギュレーションを管理することAAA Client Configuration セクションを参照して下さい。

PIXファイアウォール セットアップ

これらのコマンドは既にインターネット接続があっている PIX で入力されます


!--- Specify AAA server protocols.

aaa-server TACACS protocol tacacs+

!--- This specifies that the authentication server 
!--- with the IP address 192.168.253.111 resides on the inside 
!--- interface.  It is in the default TACACS+ server group.

aaa-server TACACS (inside) host 192.168.253.111 letmein timeout 10

!--- Enable TACACS+ user authentication to the above AAA server.  
!--- Users are prompted for authentication credentials.

aaa authentication include http inside 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 TACACS

!--- Designates server 192.168.253.111 that runs Websense. It is used 
!--- in tandem with the filter url command.

url-server (inside) vendor websense host 192.168.253.111 protocol tcp version 4

!--- Enable URL filtering on port 80 (the port that receives Internet traffic).

filter url 80 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 allow

これらのコマンドの付加はこの設定を生成 します:

PIX Version 6.2(2)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
nameif ethernet3 intf3 security15
nameif ethernet4 intf4 security20
nameif ethernet5 intf5 security25
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname TestPIX
domain-name ciscopix.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
pager lines 24
logging on
interface ethernet0 100full
interface ethernet1 100full
interface ethernet2 auto shutdown
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 10.0.0.1 255.255.255.0
ip address inside 192.168.253.1 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.255
ip address intf3 127.0.0.1 255.255.255.255
ip address intf4 127.0.0.1 255.255.255.255
ip address intf5 127.0.0.1 255.255.255.255
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address intf2 0.0.0.0
failover ip address intf3 0.0.0.0
failover ip address intf4 0.0.0.0
failover ip address intf5 0.0.0.0
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.253.0 255.255.255.0 0 0
route outside 0.0.0.0 0.0.0.0 10.0.0.254 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323
0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
aaa-server TACACS protocol tacacs+
aaa-server TACACS (inside) host 192.168.253.111 letmein timeout 10
url-server (inside) vendor websense host 192.168.253.111 timeout 5 protocol
TCP version 4
aaa authentication telnet console TACACS
aaa authentication include http inside 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
TACACS
filter url http 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 allow
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
no sysopt route dnat
ssh timeout 5
terminal width 80
Cryptochecksum:d18e45ed25d122af34a5e4f3a183cdff
: end

ユーザに対する表示

内部ネットワークのクライアントから、ブラウザは開きます。 ブラウザが PIX によってインターネットサイトにアクセスすることを試みればユーザはユーザ名 および パスワードを入力するためにプロンプト表示されます。 PIX は Cisco Secure ACS for Windows にそれから送信 HTTPセッションを認証するためにユーザ名 および パスワードを送信 します。 アクセスが Cisco Secure ACS サーバによって認められれば、PIX は Websenseサーバに認証済みユーザ名を送信 します。 Websenseサーバはそれからユーザと関連付けられるポリシーを調べます。 それは PIX への応答の送信によってアクセス許可か拒否アクセスします。 ユーザアクセスを認めるようにこの応答が設計されている場合クライアント および サーバ間の HTTP tranaction は完了します。 応答がユーザアクセスを拒否することである場合 PIX は Webサーバから HTTP応答を廃棄します。 ブラウザは" access restriction " メッセージを表示する。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 41060