セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA:ASA から CSC-SSM へのネットワーク トラフィックの送信の設定例

2011 年 3 月 29 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2007 年 10 月 18 日) | フィードバック


概要

このドキュメントでは、Cisco ASA 5500 シリーズ Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)から Content Security and Control Security Services Module(CSC-SSM)へネットワーク トラフィックを送信するための設定例について説明します。

CSC-SSM は、ウイルス、スパイウェア、スパム、その他の不要なトラフィックを防止します。これは、適応型セキュリティ アプライアンスが CSC-SSM に転送する FTP、HTTP、POP3、および SMTP トラフィックをスキャンすることによって実現されます。ASA にトラフィックを CSC-SSM へ転送させるには、モジュラ ポリシー フレームワークを使用する必要があります。

Cisco ASA 5500 シリーズ ASA を経由して Advanced Inspection and Prevention Security Services Module(AIP-SSM)(IPS)モジュールにネットワーク トラフィックを送信するには、「ASA:ASA から AIP SSM へのネットワーク トラフィックの送信の設定例」を参照してください。

注:CSC-SSM は、接続を要求するパケットの宛先ポートが指定されたプロトコルの既知のポートである場合にのみ、FTP、HTTP、POP3、および SMTP トラフィックをスキャンできます。CSC-SSM は、次の接続だけをスキャンできます。

  • TCP ポート 21 への FTP 接続

  • TCP ポート 80 への HTTP 接続

  • TCP ポート 110 への POP3 接続

  • TCP ポート 25 への SMTP 接続



前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • ソフトウェア バージョン 7.1 以降を実行する Cisco ASA 5500 シリーズの設定方法についての基本的な知識があること。

  • CSC-SSM がインストールされていること。



使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ソフトウェア バージョン 7.1 以降が稼働する ASA 5520

  • ソフトウェア バージョン 6.1 が稼働する CSC-SSM-10

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。



表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。



背景説明

CSC-SSM は、疑わしいコンテントのシグニチャ プロファイルを含むファイルを維持し、Trend Micro のアップデート サーバから定期的にアップデートします。CSC-SSM は、適応型セキュリティ アプライアンスから受信したトラフィックをスキャンし、Trend Micro から取得したコンテント プロファイルと比較します。正当なコンテントは、適応型セキュリティ アプライアンスへルーティングのために転送します。疑わしいコンテントはブロックしてレポートします。

デフォルトで、CSC-SSM には次の機能を提供するベース ライセンスが含まれています。

  • ネットワーク トラフィック内のウイルスおよびマルウェアを検出し、対処します。

  • 指定のパラメータを超える、圧縮ファイルまたは非常に大きいサイズのファイルをブロックします。

  • スパイウェア、アドウェア、およびその他の種類の Grayware をスキャンして削除します。

さらに、Plus License がある場合は、次の作業も実行します。

  • SMTP および POP3 トラフィック内のスパムを減らし、フィッシング詐欺を防止します。

  • キーワードまたはフレーズを含む電子メール トラフィックを許可または禁止できるコンテント フィルタを設定します。

  • ユーザにアクセスさせたくない URL、または、隠された目的や悪意のある目的があることが判明している URL をフィルタまたはブロックします。

注:CSC-SSM は、ASA で FTP 検査がイネーブルである場合にだけ、FTP ファイル転送をスキャンします。デフォルトで、FTP 検査はイネーブルです。

注:CSC-SSM は、接続情報を維持しないためステートフル フェールオーバーをサポートできません。したがって、ステートフル フェールオーバーに必要な情報をフェールオーバー ユニットに提供できません。CSC-SSM がインストールされているセキュリティ アプライアンスに障害が発生した場合、CSC-SSM がスキャンしている接続がドロップされます。スタンバイ適応型セキュリティ アプライアンスがアクティブになったとき、スキャンされたトラフィックが CSC-SSM に転送され、接続がリセットされます。



設定

CSC-SSM とともに適応型セキュリティ アプライアンスを配置したネットワークでは、スキャンする種類のトラフィックだけを CSC-SSM に送信するように適応型セキュリティ アプライアンスを設定します。

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。



ASA - CSC SSM フロー図

次の図は、ASA と CSC-SSM の中のトラフィック フローを示しています。

asa-traffic-csc-ssm-config-diagram1.gif

この例では、クライアントは Web サイトにアクセスするネットワーク ユーザ、FTP サーバからファイルをダウンロードするネットワーク ユーザ、または POP3 サーバからメールを取得するネットワーク ユーザです。

この設定では、トラフィック フローは次のようになります。

  1. クライアントが要求を開始します。

  2. 適応型セキュリティ アプライアンスが要求を受信し、インターネットに転送します。

  3. 要求されたコンテントを取得したとき、適応型セキュリティ アプライアンスは、このコンテント タイプが CSC SSM に転送してスキャンする対象としてサービス ポリシーで定義されているかどうかを判別します。定義されている場合は、CSC SSM に転送します。

  4. CSC-SSM が適応型セキュリティ アプライアンスからコンテントを受信し、スキャンし、Trend Micro コンテント フィルタの最新アップデートと比較します。

  5. コンテントが疑わしい場合、CSC SSM はコンテントをブロックし、イベントをレポートします。コンテントが疑わしくない場合、CSC SSM は要求されたコンテントを適応型セキュリティ アプライアンスへルーティングのために転送します。



CSC 初期設定

初期設定では、複数のパラメータの設定が必要です。設定を開始する前に、これらのパラメータに必要な情報を収集してください。

最初に、CSC-SSM を設定し、Cisco ASDM を起動します。デフォルトで、ASA の管理 IP アドレスを経由して https://192.168.1.1/ で CSC-SSM にアクセスできます。PC および ASA の管理インターフェイスが同一のネットワークにあることを確認する必要があります。または、後続のアクセスのために ASDM Launcher をダウンロードします。

ASDM で次のパラメータを設定します。

  1. メイン ASDM ウィンドウで、[Configuration] > [Trend Micro Content Security] > [Wizard Setup] を順に選択し、[Launch Setup Wizard] をクリックします。

    asa-traffic-csc-ssm-config-1.gif

  2. アクティベーション キー:

    アクティベーション キーの獲得の第 1 段階は、製品とともに出荷された Product Authorization Key(PAK)を指定することです。PAK には、バーコードおよび 11 桁の 16 進数文字列が含まれています。たとえば、サンプル PAK は、120106C7D4A です。

    製品ライセンス登録登録ユーザ専用)Web ページで PAK を使用して CSC-SSM を 登録します。登録後、電子メールでアクティベーション キーを受信します。

    asa-traffic-csc-ssm-config-2.gif

  3. 管理ポート IP パラメータ:

    CSC 管理インターフェイスの IP アドレス、ネットマスク、およびゲートウェイ IP アドレスを指定します。

    [DNS Servers]:プライマリ DNS サーバの IP アドレス。

    asa-traffic-csc-ssm-config-3.gif

  4. [Hostname and Domain Names]:CSC-SSM のホスト名およびドメイン名を指定します。

    [Incoming E-mail Domain Name]:ローカル メール サーバが着信電子メール ドメインとして使用するドメイン名。

    注:このドメインに着信した電子メール トラフィックだけにアンチスパム ポリシーが適用されます。

    [Notification Settings]:通知に使用される管理者電子メール アドレスおよび電子メール サーバの IP アドレスとポート。

    asa-traffic-csc-ssm-config-4.gif

  5. 管理ホスト アクセス パラメータ:

    CSC-SSM への管理アクセスが必要な各サブネットおよびホストの IP アドレスおよびマスクを入力します。

    注:デフォルトでは、すべてのネットワークが CSC-SSM に管理アクセスできます。セキュリティ上の理由により、特定のサブネットまたは管理ホストにアクセスを制限することが推奨されます。

    asa-traffic-csc-ssm-config-5.gif

  6. CSC-SSM の新しいパスワード:

    管理アクセスのデフォルト パスワードである cisco を新しいパスワードに変更します。

    asa-traffic-csc-ssm-config-6.gif

  7. CSC Setup Wizard のステップ 6 で、スキャンするトラフィックの種類を指定します。

    適応型セキュリティ アプライアンスは、ファイアウォール ポリシーを適用した後、パケットが出力インターフェイスを出る前に、パケットを CSC-SSM へ転送します。たとえば、アクセス リストによってブロックされたパケットは CSC-SSM に転送されません。

    適応型セキュリティ アプライアンスがどのトラフィックを CSC-SSM に転送するかを指定するサービス ポリシーを設定します。CSC-SSM は、HTTP、POP3、FTP、および SMTP のトラフィックの既知のポートに送信された、これらのプロトコルのトラフィックをスキャンできます。

    初期設定プロセスを簡単にするために、この手順では、サポートするプロトコルのすべてのトラフィック(着信と送信の両方)を CSC-SSM に送信するグローバル ポリシー サービスを作成します。適応型セキュリティ アプライアンスに到着するすべてのトラフィックをスキャンすることによって、適応型セキュリティ アプライアンスおよび CSC-SSM のパフォーマンスが低下する可能性があるため、このセキュリティ ポリシーは後で修正する必要があります。たとえば、通常、内部ネットワークから着信したトラフィックは信頼できる送信元から着信するため、スキャンする必要がありません。CSC-SSM が信頼できない送信元からのトラフィックだけをスキャンするようにサービス ポリシーを調整すると、セキュリティの目標を達成するとともに、適応型セキュリティ アプライアンスおよび CSC-SSM のパフォーマンスを最大化できます。

    スキャンされるトラフィックを特定するグローバル サービス ポリシーを作成するには、次の手順を実行します。

    asa-traffic-csc-ssm-config-7.gif

    1. 新しいトラフィックの種類を追加するには、[Add] をクリックします。

    2. [Interface] ドロップダウン リストから、[Global] を選択します。

    3. [Source] フィールドおよび [Destination] フィールドは、[Any] に設定したままにします。

    4. [Service] 領域で省略記号 [...] オプションボタンをクリックします。このダイアログボックスでは、事前定義されたサービスを選択するか、または新しいサービスを作成するために [Add] をクリックします。

    5. [If CSC card fails, then] 領域で、CSC-SSM が使用できないときに、適応型セキュリティ アプライアンスが選択されたトラフィックを許可するか、拒否するかを選択します。

    6. [Traffic Selection for CSC Scan] ウィンドウに戻るには、[OK] をクリックします。

    7. [Next] をクリックします。

  8. CSC Setup Wizard のステップ 7 で、入力した CSC-SSM の設定値を確認します。

    asa-traffic-csc-ssm-config-8.gif

    これらの設定値が正しいことを確認したら、[Finish] をクリックします。

    ASDM には、CSC デバイスが現在アクティブであることを示すメッセージが表示されます。

    デフォルトでは、購入したライセンスでイネーブルであるコンテント セキュリティ スキャン(アンチウイルス、アンチスパム、アンチフィッシング、およびコンテント フィルタリングなど)を実行するように設定されています。また、Trend Micro アップデート サーバからアップデートを定期的に取得するように設定されています。

    購入したライセンスに含まれている場合、URL ブロックと URL フィルタリング用のカスタム設定、および電子メール パラメータと FTP パラメータを作成できます。詳細については、『Cisco Content Security and Control SSM 管理者ガイド』を参照してください。



トラフィックを CSC-SSM に転送するように ASA を設定する方法

ASA にトラフィックを CSC-SSM へ転送させるには、モジュラ ポリシー フレームワークを使用する必要があります。トラフィックの特定と CSC-SSM への転送を実現するには、次の手順を実行します。

  1. access-list extended コマンドを使用して、CSC-SSM にスキャンさせるトラフィックに合致するアクセスリストを作成します。

    hostname(config)#access-list acl-name extended {deny | permit} protocol src_ip mask dest_ip mask operator port
    
    
  2. class-map コマンドを使用して、CSC-SSM に転送するトラフィックを特定するためのクラス マップを作成します。

    hostname(config)#class-map class_map_name
    
    
  3. クラス マップ コンフィギュレーション モードを開始し、match access-list コマンドで前に指定したアクセスリストを使用して、トラフィックを特定します。

    hostname(config-cmap)#match access-list acl-name
    
    hostname(config-cmap)#exit
    
  4. policy-map コマンドを使用して、トラフィックを CSC-SSM に送信するためのポリシー マップを作成します。

    hostname(config)#policy-map policy_map_name
    
    
  5. ポリシー マップ コンフィギュレーション モードを開始し、class コマンドを使用して、スキャンされるトラフィックを特定する、以前に作成したクラス マップを指定します。

    hostname(config-pmap)#class class_map_name
    
    
  6. ポリシー マップ クラス コンフィギュレーション モードを開始し、次のように設定します。

    • 適応型セキュリティ アプライアンスが CSC-SSM に送信する同時接続数に対するクライアントごとの制限を設定するには、次のように set connection コマンドを使用します。

      hostname(config-pmap-c)#set connection per-client-max n
       

      ここで、n は、適応型セキュリティ アプライアンスが各クライアントに許可する最大同時接続数です。このコマンドは、CSC-SSM または SSM が保護するサーバのサービスを単一クライアントが悪用することを防止します。これには、CSC-SSM が保護する HTTP、FTP、POP3、または SMTP サーバでの DoS 攻撃の試みの防止も含まれます。

    • csc コマンドを使用して、CSC-SSM が使用できない場合に ASA がトラフィックを処理する方法を制御します。

      hostname(config-pmap-c)#csc {fail-close | fail-open}
       

      ここで、fail-close は、CSC-SSM に障害が発生したときに ASA がトラフィックをブロックすることを指定します。これに対して、fail-open は、CSC-SSM に障害が発生したときに ASA がトラフィックを許可することを指定します。

      注:これは、クラス マップで選択されたトラフィックにのみ適用されます。CSC-SSM に送信されないその他のトラフィックは、CSC-SSM の障害に影響されません。

  7. 最後に、service-policy コマンドを使用して、ポリシー マップをグローバルに、または、特定のインターフェイスに適用します。

    hostname(config-pmap-c)#service-policy policy_map_name [global | interface interface_ID]
     

    ここで、interface_ID は、nameif コマンドでインターフェイスに割り当てられた名前です。

    注:許可されるグローバル ポリシーは 1 つだけです。インターフェイスでは、そのインターフェイスへサービス ポリシーを適用することで、グローバル ポリシーを上書きできます。各インターフェイスに適用できるポリシー マップは 1 つだけです。



ネットワーク図

この図は、次のパラメータが設定された ASA 5500 の例です。

asa-traffic-csc-ssm-config-9.gif

ネットワーク図の概要は、次のとおりです。

  • 外部ネットワークへの HTTP 接続

  • セキュリティ アプライアンス内部のクライアントからセキュリティ アプライアンス外部のサーバへの FTP 接続

  • セキュリティ アプライアンス内部のクライアントからセキュリティ アプライアンス外部のサーバへの POP3 クライアント

  • 内部メール サーバに指定された着信 SMTP 接続



ASA の設定

ASA5520
ciscoasa(config)#show running-config
: Saved
:
ASA Version 8.0(2) 
!
hostname ciscoasa
domain-name Security.lab.com
enable password 2kxsYuz/BehvglCF encrypted
no names
dns-guard
!
interface GigabitEthernet0/0
 speed 100
 duplex full
 nameif outside
 security-level 0
 ip address 172.30.21.222 255.255.255.0 
!
interface GigabitEthernet0/1
 description INSIDE
 nameif inside
 security-level 100
 ip address 192.168.5.1 255.255.255.0 
!


!--- 出力を省略。

access-list csc-acl remark Exclude CSC module traffic from being scanned
access-list csc-acl deny ip host 10.89.130.241 any

!--- ASA および CSC モジュールのパフォーマンスを向上させるために
!--- CSC モジュールからのすべてのトラフィックがスキャンから排除される。

access-list csc-acl remark Scan Web & Mail traffic

access-list csc-acl permit tcp any any eq www
access-list csc-acl permit tcp any any eq smtp
access-list csc-acl permit tcp any any eq pop3

!

!--- Web、メール サービスのすべての着信および発信トラフィックがスキャンされている。


access-list csc-acl-ftp permit tcp any any eq ftp

!--- FTP サービスのすべての着信および発信トラフィックがスキャンされている。
 
class-map csc-class 
match access-list csc-acl 
!

class-map csc-ftp-class 
match access-list csc-acl-ftp
! 
policy-map global_policy
class csc-class
csc fail-open

class csc-ftp-class
csc fail-open
policy-map global_policy
 class inspection_default

!--- スキャンのため FTP トラフィックを検査する。

  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect sqlnet 
  inspect skinny  
  inspect sunrpc 
  inspect xdmcp 
  inspect sip  
  inspect netbios 
  inspect tftp 
  inspect icmp 
  inspect http 
service-policy global_policy global


!--- 出力を省略。



CSC ホームページ

CSC 設定

Cisco CSC-SSM の Trend Micro InterScan は、従業員が誤って個人の電子メール アカウントからウイルスを持ち込まないようにするため、SMTP、HTTP、および FTP などの主要なトラフィック プロトコル、および POP3 トラフィックを保護します。

CSC-SSM を開始するには、[Configuration] > [Trend Micro Content Security] を選択します。[Configuration] メニューから、次の設定オプションを選択します。asa-traffic-csc-ssm-config-10.gif

  • [CSC Setup]:Setup Wizard を起動して、CSC-SSM をインストールし、設定します。

  • [Web]:Web スキャニング、ファイル ブロック、URL フィルタリング、URL ブロックを設定します。

  • [Mail]:着信と発信の SMTP 電子メールおよび POP3 電子に対するメールスキャニング、コンテント フィルタリング、およびスパム防止を設定します。

  • [File Transfer]:ファイル スキャニングおよびブロッキングを設定します。

  • [Updates]:コンテント セキュリティ スキャニング コンポーネント(ウイルス パターン ファイル、スキャン エンジンなど)のアップデートの予定を作成します。

[Web]、[Mail]、[File Transfer]、および [Updates] オプションは次の章で詳しく説明しています。

次の例は、内部ネットワークへの着信 SMTP メッセージをスキャンするように CSC-SSM を設定する方法を示します。

着信 SMTP メッセージは、スキャンのために CSC-SSM に転送されます。次の例は、SMTP サービスのために内部メール サーバ(192.168.5.2/24)にアクセスする外部からのトラフィックをすべて CSC-SSM に転送します。

access-list csc_inbound extended permit tcp any host 192.168.5.2 eq smtp 

これらのデフォルト設定によって、Trend Micro InterScan for Cisco CSC-SSM のインストール後は電子メール トラフィックが保護されます。



SMTP の設定

Trend Micro SMTP の設定

ASDM を使用して、着信 SMTP メッセージをスキャンするように CSC-SSM を設定するには、次の手順を実行します。

  1. ASDM で [Configuration] > [Trend Micro Content Security] > [Mail] を順に選択し、[Configure Incoming Scan] をクリックして、[SMTP Incoming Message Scan/Target] ウィンドウを表示します。

    asa-traffic-csc-ssm-config-11.gif

  2. ウィンドウに [Trend Micro InterScan for Cisco CSC-SSM] ログイン プロンプトが表示されます。CSC-SSM のパスワードを入力します。

    asa-traffic-csc-ssm-config-12.gif

  3. [SMTP Incoming Message Scan] ウィンドウには次の 3 つのビューがあります。

    • [Target]

    • [Action]

    • [Notification]

    表示する情報に該当するタブをクリックすると、ビューが切り替えられます。アクティブなタブの名前は茶色のテキストで表示されます。一方、アクティブでないタブの名前は黒色のテキストで表示されます。着信 SMTP トラフィックのウイルス スキャンを設定するには、3 つのタブのすべてを使用します。

    アクティビティの対象となるスコープを定義するには、[Target] をクリックします。

    [SMTP Incoming Message Scan] はデフォルトでイネーブルになっています。

    asa-traffic-csc-ssm-config-13.gif

  4. [Default Scanning] セクションでは、[All scannable files] がデフォルトで選択されています。ファイル名の拡張子に関係なくスキャンされます。

    asa-traffic-csc-ssm-config-14.gif

  5. 着信メールの SMTP の [Compressed File Handling] を設定します。

    asa-traffic-csc-ssm-config-15.gif

    次のうちのいずれかに当てはまる場合、圧縮ファイルのスキャンはスキップされます。

    • 圧縮解除されたファイルの数が 200 を超える。

    • 圧縮解除されたファイルのサイズが 20 MB を超える。

    • 圧縮階層の数が 3 を超える。

    • 圧縮解除されたファイルと圧縮ファイルのサイズの比率が、100 対 1 を超える。

    • 圧縮ファイル数が、指定されたスキャンの基準を超える。

    圧縮解除されたファイルの数のデフォルト パラメータを 300 に、また、圧縮解除されたファイルのサイズのデフォルト パラメータを 30 MB に変更します。

    asa-traffic-csc-ssm-config-16.gif

  6. ステップ 5 で示されたウィンドウの [Scan for Spyware/Grayware] セクションで、Trend Micro InterScan for Cisco CSC-SSM に検出させる Grayware の種類を選択します。一覧表示された Grayware の種類の詳細については、オンライン ヘルプを参照してください。

    新しい設定をイネーブルにするには、[Save] をクリックします。

  7. 脅威が検出されたときに実行されるアクションを定義するには、[Action] タブをクリックします。アクションの例は、クリーンまたは削除です。

    asa-traffic-csc-ssm-config-17.gif

    次の値は、着信メールに実行されるデフォルトのアクションです。

    • [For Messages with Virus/Malware Detection] セクション:マルウェアが検出されたメッセージまたは添付をクリアします。メッセージまたは添付がクリアできない場合は削除されます。

      asa-traffic-csc-ssm-config-18.gif

    • [For Spyware/Grayware Detections]:これらは、スパイウェアや Grayware が検出された SMTP メッセージの場合に配信されるファイルです。

      新しい設定をイネーブルにするには、[Save] をクリックします。

  8. 通知メッセージを構成し、イベントとアクションを通知されるユーザを定義するには、[Notification] タブをクリックします。

    asa-traffic-csc-ssm-config-19.gif

    デフォルトの通知設定が十分であれば、特に対処は必要ありません。しかし、通知オプションを検証し、デフォルトの変更が必要かどうかを決定できます。たとえば、電子メールのメッセージにセキュリティのリスクが検出されたときに管理者に通知を送信できます。SMTP の場合、送信者と受信者も通知できます。

    [Administrator] および [Recipient] のチェックボックスをオンにします。次のスクリーン ショットのように、通知メッセージのデフォルト テキストを組織に適した内容に変更することもできます。

    asa-traffic-csc-ssm-config-20.gif

  9. ウィンドウの [Inline Notifications] セクションで、表示されたオプションの 1 つを選択するか、両方とも選択しないか、または両方とも選択することができます。

    asa-traffic-csc-ssm-config-21.gif

    この例では、[Risk free message] を選択し、用意されたフィールドにユーザ自身のメッセージを入力します。

    asa-traffic-csc-ssm-config-22.gif

    [Save] をクリックして、新しい設定をイネーブルにします。



HTTP の設定

スキャニング

インストール後は、デフォルトで HTTP および FTP トラフィックがウイルス、ワーム、およびトロイの木馬に関してスキャンされます。スパイウェアやその他の Grayware などのマルウェアに対しては、検出される前に設定の変更が必要です。

これらのデフォルト設定によって、Trend Micro InterScan for Cisco CSC-SSM のインストール後は Web および FTP トラフィックが保護されます。これらの設定は変更できます。たとえば、マルウェアの検出での [All Scannable Files] の代わりに、指定したファイル拡張子オプションによってスキャンするように設定できます。変更する前に、これらの選択肢の詳細について、オンライン ヘルプを参照してください。

インストール後に、Web および FTP トラフィックの保護を最大化するために、その他の設定をアップデートすることができます。Plus License を購入した場合は、URL ブロック、アンチフィッシング、および URL フィルタリングの機能が使用でき、これらの機能を設定する必要があります。

ASDM を使用して、HTTP メッセージをスキャンするように CSC-SSM を設定するには、次の手順を実行します。

  1. [Trend Micro] ページで [Web (HTTP)] をクリックします。この [Web Message Scan] ウィンドウには、次の 4 つのビューがあります。

    • [Target]

    • [Webmail Scanning]

    • [Action]

    • [Notification]

    表示する情報に該当するタブをクリックすると、ビューが切り替えられます。アクティブなタブの名前は茶色のテキストで表示されます。一方、アクティブでないタブの名前は黒色のテキストで表示されます。Web トラフィックのウイルス スキャンを設定するには、すべてのタブを使用します。

    アクティビティの対象となるスコープを定義するには、[Target] をクリックします。

    • HTTP メッセージのスキャンはデフォルトでイネーブルになっています。

    • スキャニングの方式として [All Scannable Files] を使用するように設定されています。

    • Web からダウンロードする際の Web(HTTP)の圧縮ファイル処理:次のうちのいずれかに当てはまる場合、圧縮ファイルのスキャンはスキップするように設定されています。

      • 圧縮解除されたファイルの数が 200 を超える。

      • 圧縮解除されたファイルのサイズが 30 MB を超える。

      • 圧縮階層の数が 3 を超える。

      • 圧縮解除されたファイルと圧縮ファイルのサイズの比率が、100 対 1 を超える。

      asa-traffic-csc-ssm-config-23.gif

    [Webmail Scanning]:Yahoo、AOL、MSN、および Google の Webmail サイトをスキャンするように設定されています。

  2. 大容量ファイルの処理

    [HTTP Scanning] ウィンドウおよび [FTP Scanning] ウィンドウの [Target] タブでは、大容量のダウンロードファイルのうちのスキャンするファイルのサイズを定義できます。たとえば、20 MB 未満のダウンロード ファイルをスキャンし、20 MB 以上のダウンロード ファイルはスキャンしないことを指定できます。

    さらに、次の指定が可能です。

    • 大容量のダウンロード ファイルをスキャンせずに配信することを指定します。これは、セキュリティ リスクを導入する可能性があります。

    • 指定した制限を超えるダウンロード ファイルは削除することを指定します。

    デフォルトでは、CSC-SSM ソフトウェアは、50 MB より小さいファイルをスキャンする指定になっています。これを 75 MB に変更します。すると、75 MB 以上のファイルは、スキャンせずに要求クライアントに配信されます。

    asa-traffic-csc-ssm-config-24.gif

    遅延スキャン

    遅延スキャン機能は、デフォルトではイネーブルではありません。イネーブルである場合、この機能によって、ダウンロード ファイル全体のスキャンをせずにデータのダウンロードを開始できます。遅延スキャニングによって、情報の本体全体のスキャンにかかる時間を待機することなく、データの参照を始められます。

    注:遅延スキャン オプションをイネーブルにしない場合、CSC モジュールによるアップデートの失敗に直面することがあります。

    asa-traffic-csc-ssm-config-25.gif

    注:遅延スキャンがイネーブルである場合、情報の未スキャン部分がセキュリティ リスクを導入する可能性があります。

    注: HTTPS を通過するトラフィックは、CSC-SSM ソフトウェアではウイルスおよびその他の脅威をスキャンできません。

    遅延スキャンがイネーブルでない場合、ダウンロード ファイルのコンテントが表示される前に、全体のコンテントがスキャンされなければなりません。しかし、スキャンするにはファイル全体を構成するために十分なネットワーク パケットを収集する時間が必要なため、一部のクライアント ソフトウェアがタイムアウトすることがあります。この表は、それぞれの手法の長所と短所をまとめています。

    スパイウェアおよび Grayware のスキャン

    Grayware はソフトウェアのカテゴリであり、正規のもの、不要なもの、あるいは悪意のあるものである可能性があります。ウイルス、ワーム、トロイの木馬のような脅威とは異なり、データに感染せず、データを複製または破壊しません。しかし、プライバシーを侵害することがあります。Grayware の例には、スパイウェア、アドウェア、およびリモート アクセス ツールがあります。

    スパイウェアや Grayware の検出は、デフォルトではイネーブルではありません。スパイウェアおよび他の形式のスパイウェアとその他の Grayware を、Web およびファイル転送トラフィックで検出するには、次のウィンドウでこの機能を設定する必要があります。

    [Save] をクリックして、設定をアップデートします。

  3. Yahoo、AOL、MSN、および Google の Webmail サイトをスキャンするには、[Webmail Scanning] タブに切り替えます。

    注:Webmail のみのスキャンを選択した場合、HTTP スキャニングは、[Web (HTTP)] > [Scanning] > [HTTP Scanning] ウィンドウの [Webmail Scanning] タブで指定されたサイトに制限されます。その他の HTTP トラフィックはスキャンされません。設定されたサイトは、[Trashcan] アイコンをクリックした場合に設定されたサイトを削除するまでスキャンされます。

    Webmail サイトを定義するには、[Name] フィールドに、正確な Web サイト名、URL キーワード、および文字列を入力します。

    注:Webmail で管理されるメッセージへの添付はスキャンされます。

    [Save] をクリックして、設定をアップデートします。

  4. ウイルス/マルウェア検出、およびスパイウェア/Grayware 検出を設定するには、[Action] タブに切り替えます。

    • ウイルス/マルウェアが検出されたファイルの Web(HTTP)ダウンロード:ダウンロードされたファイルまたはマルウェアが検出されたファイルをクリアします。クリアできない場合は、ファイルを削除します。

    • スパイウェア/Grayware が検出されたファイルの Web(HTTP)ダウンロード:ファイルが削除されます。

    asa-traffic-csc-ssm-config-26.gif

  5. マルウェアが検出された場合の Web(HTTP)ダウンロード:転送しようとしたファイルを Trend Micro InterScan for CSC-SSM がスキャンしてセキュリティ リスクが検出されたことを示すインライン通知がブラウザに挿入されます。

    asa-traffic-csc-ssm-config-27.gif



ファイル ブロック

左のドロップダウン メニューで、[File Blocking] をクリックします。

この機能はデフォルトでイネーブルになっています。しかし、ブロックするファイルの種類を指定する必要があります。ファイル ブロックは、業務時間中のインターネットおよびその他のコンピューティング リソース使用に関する組織のポリシーの施行に役立ちます。たとえば、法律の問題と従業員の生産性の問題の両方の理由から会社が音楽のダウンロードを許可しないなどがあります。

asa-traffic-csc-ssm-config-28.gif

  • .exe をブロックするには、[File Blocking] ウィンドウの [Target] タブで、[Executable] チェックボックスをオンにします。

  • その他のファイルの種類をファイル名拡張子で指定します。この機能をイネーブルにするには、[Block specified file extensions] チェックボックスをオンにします。

  • 次に、追加するファイルの種類を [File extensions to block] フィールドに入力し、[Add] をクリックします。例では、.mpg ファイルがブロックされます。

    設定を更新するには、終了後に [Save] をクリックします。

テキスト ボックスのデフォルト メッセージを送信するには、[Administrator Notification] ボックスをオンにします。

警告メッセージを設定するには、[Notification] タブをクリックします。

asa-traffic-csc-ssm-config-29.gif



URL ブロック

このセクションでは、URL ブロック機能を説明します。次のトピックが含まれます。

注:この機能には、Plus License が必要です。

URL ブロック機能は、禁止 Web サイトへの従業員のアクセスを防止するのに役に立ちます。たとえば、組織のポリシーがデート サービス、オンライン ショッピング サービス、または攻撃サイトへのアクセスを禁止している場合に、一部のサイトをブロックすることができます。

フィッシングなどの詐欺を犯すことがわかっているサイトをブロックすることもできます。フィッシングは犯罪者が使用する技術の 1 つで、正規の組織からであるように見える電子メール メッセージを送信し、銀行の口座番号などの個人情報を明かすように要求します。次のイメージは、フィッシングに使用される電子メール メッセージの例を示します。

asa-traffic-csc-ssm-config-30.gif

デフォルトで、URL ブロックはイネーブルになっています。しかし、ブロックする追加のサイトを指定しない限り、TrendMicro PhishTrap パターン ファイルにあるサイトだけがブロックされています。

[Via Local List] タブからのブロック

[Via Local List] タブから URL ブロックを設定するには次の手順を実行します。

  1. [URL Blocking] ウィンドウを表示するには、ASDM で [Configuration] > [Trend Micro Content Security] > [Web] を順に選択し、[Configure URL Blocking] をクリックします。

  2. [URL Blocking] ウィンドウの [Via Local List] タブで、ブロックする URL を [Match] フィールドに入力します。正確な Web サイト名、URL キーワード、および文字列を指定できます。

  3. URL をブロック リストに移動するには、エントリごとに [Block] をクリックします。エントリを例外として指定するには、[Do Not Block] をクリックして、エントリを [Block List Exceptions] に追加します。削除しない限り、エントリはブロックされる、または例外のままです。

    注:ブロック リストまたは例外リストをインポートすることもできます。インポートされるファイルは、指定の形式でなければなりません。手順については、オンライン ヘルプを参照してください。

    asa-traffic-csc-ssm-config-31.gif

[Via Pattern File (PhishTrap)] タブからのブロック

[Via Pattern File (PhishTrap)] タブから URL ファイル ブロックを設定するには次の手順を実行します。

  1. [URL Blocking] ウィンドウを表示するには、ASDM で [Configuration] > [Trend Micro Content Security] > [Web] を順に選択し、[Configure URL Blocking] リンクをクリックします。

  2. 次に、[Via Pattern File (PhishTrap)] タブをクリックします。

  3. デフォルトで、Trend Micro PhishTrap パターン ファイルは、既知のフィッシング サイト、スパイウェア サイト、既知のエクスプロイトに関係があるウイルス共犯サイト、および、悪意ある目的のためだけに存在するサイトである不正サイトを検出し、ブロックします。PhishTrap パターン ファイルに追加すべきと考えるサイトを送信するには、[Submit the Potential Phishing URL to TrendLabs] フィールドを使用します。TrendLabs は、そのサイトを評価し、対処が認可された場合はそのサイトをこのファイルに追加します。

  4. ブロックされたサイトにアクセスしようとしたときにブラウザに表示されるデフォルト メッセージのテキストを表示するには、[Notification] タブをクリックします。オンライン ヘルプに例があります。デフォルト メッセージをカスタマイズするには、ハイライト表示し、再定義します。

  5. 設定を更新するには、終了後に [Save] をクリックします。



URL フィルタリング

ここでの説明には、次の 2 つの重要なセクションがあります。

  • フィルタリングの設定

  • フィルタリングのルール

    前に説明した [URL Blocking] ウィンドウで定義された URL は、常に許可されているか、または常に許可されていないかのいずれかです。しかし、URL フィルタリング機能を使用すると、カテゴリに分けた URL のフィルタをスケジュールして、特定の時間帯を自由時間として定義してアクセスを許可し、業務時間帯はアクセスを許可しないようにできます。

    注:この機能には、Plus License が必要です。

    URL フィルタリングのカテゴリには次の 6 個があります。

    • Company-prohibited

    • Not work related

    • Research topics

    • Business function

    • Customer defined

    • Others

デフォルトで、Company-prohibited サイトは、業務時間と自由時間の両方でブロックされます。

フィルタリングの設定

URL フィルタリング機能を設定するには、次の手順を実行します。

  1. [URL Filtering Settings] ウィンドウを表示するには、ASDM で [Configuration] > [Trend Micro Content Security] > [Web] を順に選択し、[Configure URL Filtering Settings] をクリックします。

  2. [URL Categories] タブで、一覧表示されたサブカテゴリと各カテゴリに割り当てられたデフォルトの分類を参照し、お客様の組織に割り当てが適切かどうか検討します。たとえば、Illegal Drugs は、Company-prohibited カテゴリのサブカテゴリです。お客様の組織が金融サービス会社であれば、Illegal Drugs を Company-prohibited に分類したままにしておくことができます。違法なドラッグに関連するサイトのフィルタリングをイネーブルにするには、[Illegal Drugs] チェックボックスをオンにします。しかし、お客様の組織が法執行機関であれば、Illegal Drugs サブカテゴリは、Business function カテゴリに分類を変更する必要があります。再分類の詳細については、オンライン ヘルプを参照してください。

  3. サブカテゴリの分類を検討し、調整した後、フィルタリングを実行するすべてのサブカテゴリをイネーブルにするため、関連するサブカテゴリのチェックボックスをオンにします。

  4. フィルタを必要としないサイトが、イネーブルであるサブカテゴリに含まれる場合、[URL Filtering Exceptions] タブをクリックします。

  5. [Match] フィールドに、フィルタリングの例外とする URL を入力します。正確な Web サイト名、URL キーワード、および文字列を指定できます。

  6. URL を [Do Not Filter the Following Sites] リストに移動するには、エントリごとに [Add] をクリックします。削除しない限り、エントリは例外のままです。

    注:例外リストをインポートすることもできます。インポートされるファイルは、指定の形式でなければなりません。手順については、オンライン ヘルプを参照してください。

  7. 業務時間と見なされる曜日および時間帯を定義するには、[Schedule] タブをクリックします。業務時間と指定されない時間は、自動的に自由時間として指定されます。

  8. URL フィルタリング設定をアップデートするには、[Save] をクリックします。

  9. 疑わしい URL を評価のために TrendLabs に送信するには、[Reclassify URL] タブをクリックします。

フィルタリングのルール

URL サブカテゴリをお客様の組織に適切なカテゴリに割り当て、例外があれば例外を定義し、業務時間と自由時間のスケジュールを作成した後、カテゴリがフィルタされる時間を定義するフィルタリングのルールを割り当てます。

URL フィルタリング ルールを割り当てるには、次の手順を実行します。

  1. [URL Filtering Rules] ウィンドウを表示するには、ASDM で [Configuration] > [Trend Micro Content Security] > [Web] を順に選択し、[Configure URL Filtering Rules] リンクをクリックします。

  2. 6 個の主要カテゴリそれぞれに、カテゴリ内の URL がブロックされるかどうか、およびブロックされる場合は業務時間か自由時間かまたはその両方かを指定します。詳細についてはオンライン ヘルプを参照してください。

    asa-traffic-csc-ssm-config-32.gif
  3. 設定を更新するには、[Save] をクリックします。

    注:URL フィルタリングが正常に機能するために、CSC-SSM モジュールが HTTP 要求を Trend Micro サービスに送信できる必要があります。HTTP プロキシが必要な場合は、プロキシ設定を設定するために、[Update] > [Proxy Settings] を順に選択します。URL フィルタリング コンポーネントは、SOCKS4 プロキシをサポートしません。



FTP の設定

Trend Micro FTP の設定

インストール後は、デフォルトで FTP トラフィックがウイルス、ワーム、およびトロイの木馬に関してスキャンされます。スパイウェアやその他の Grayware などのマルウェアに対しては、検出される前に設定の変更が必要です。

ファイル転送の [File Transfer (FTP)] の [Scanning]:スキャンの方式として [All Scannable Files] を使用することが設定されています。

asa-traffic-csc-ssm-config-33.gif

HTTP トラフィックの [File Blocking] ページと同じ手順を実行します。

asa-traffic-csc-ssm-config-34.gif

HTTP トラフィックの [File Blocking] ページと同じ手順を実行します。

asa-traffic-csc-ssm-config-35.gif



確認

このセクションでは、設定が正常に動作していることを確認します。

特定の show コマンドが、Output Interpreter Tool登録ユーザ専用)(OIT; アウトプット インタープリタ ツール)でサポートされています。OIT は一部の show コマンド出力の分析の表示に使用できますが、次の show コマンドは現時点でこのツールと互換性がありません。

  • show module:SSM のステータスの確認に使用します。次に例を示します。

    ciscoasa#show module
    Mod Card Type                                    Model              Serial No. 
    --- -------------------------------------------- ------------------ -----------
      0 ASA 5520 Adaptive Security Appliance         ASA5520            JMX090000B7
      1 ASA 5500 Series Security Services Module-20  ASA-SSM-20         JAF10333331
    
    Mod MAC Address Range                 Hw Version   Fw Version   Sw Version     
    --- --------------------------------- ------------ ------------ ---------------
      0 0014.c482.5151 to 0014.c482.5155  1.1          1.0(10)0     8.0(2)
      1 000b.fcf8.012c to 000b.fcf8.012c  1.0          1.0(10)0     Trend Micro InterScan Security Module Version 6.0
    
    Mod SSM Application Name           Status           SSM Application Version
    --- ------------------------------ ---------------- --------------------------
      1 Trend Micro InterScan Security Up               Version 6.0
    
    Mod Status             Data Plane Status     Compatibility
    --- ------------------ --------------------- -------------
      0 Up Sys             Not Applicable         
      1 Up                 Up
  • show module 1 details:SSM の追加情報の表示に、details キーワードを使用します。次に例を示します。

    ciscoasa#show module 1 details
    Getting details from the Service Module, please wait...
    ASA 5500 Series Security Services Module-20
    Model:              ASA-SSM-20
    Hardware version:   1.0
    Serial Number:      JAF10333331
    Firmware version:   1.0(10)0
    Software version:   Trend Micro InterScan Security Module Version 6.0
    App. name:          Trend Micro InterScan Security Module
    App. version:       Version 6.0
    Data plane Status:  Up
    Status:             Up
    HTTP Service:       Up
    Mail Service:       Up
    FTP Service:        Up
    Activated:          Yes
    Mgmt IP addr:       172.30.21.235
    Mgmt web port:      8443
  • show module slot_num recover:SSM の回復設定があるかどうかを定義します。SSM の回復設定がある場合、ASA はそれを表示します。次に例を示します。

    ciscoasa#show module 1 recover
    Module 1 recover parameters. . .
    Boot Recovery Image: Yes
    Image URL:           tftp://10.21.18.1/ids-oldimg
    Port IP Address:     172.30.21.10
    Port Mask:          255.255.255.0
    Gateway IP Address:  172.30.21.254

Trend Micro InterScan for Cisco CSC-SSM の動作が正常であることを確認する方法については、「初期設定の確認」を参照してください。



トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を紹介します。CSC-SSM のトラブルシューティングの詳細については、「Cisco CSC SSM の Trend Micro InterScan のトラブルシューティング 」を参照してください。



インターネット アクセス

問題

CSC は、ASA 管理インターフェイスを経由してインターネットにアクセスできません。または CSC は、インターネットを経由して Trend サーバからアップデートを取得できません。 .

解決策

その管理インターフェイスは management-only コマンドに設定されており、ASA からのトラフィックと ASA へのトラフィックだけを許可し、通過するトラフィックを許可しません。したがって、management-only コマンドおよび管理から外部へのトラフィックの NAT 設定を削除し、CSC のインターネットのアップデートを許可します。



スパムが検出されない

問題

CSC が SPAM を検出できません。

解決策

アンチスパム オプションをイネーブルにする必要があります。アンチスパム オプションはデフォルトでイネーブルではありません。Plus License をインストールし、ネットワーク ベースのアンチスパム Email Reputation が適切に機能するように DNS 設定が正しく設定されている必要があります。詳細については、「SMTP および POP3 スパム フィルタリングをイネーブルにする」を参照してください。



ライセンス違反エラー

問題

CSC モジュールは、ライセンス違反エラーを表示し、ネットワークのホストよりも多いホストをレポートします。License violation has been detected on the InterScan for CSC SSM エラーが CSC モジュールに表示されます。このエラーはどうすれば解決しますか。

解決策

Outside-WAN(セキュリティ レベル 0)を除いて、すべてのインターフェイスをより高いセキュリティ レベルに移動します。



パフォーマンスの問題

問題

着信 SMTP トラフィックが非常に遅くなっています。内部メール サーバが、その受信に数分または 2 分かかる応答をたびたび受け取ります。

解決策

おそらく、不正なパケットによるトラフィック速度の低下が発生していると思われます。この問題を解決する、次の例を試してください。


!--- 新しい tcp マップを作成し、100 個の
不正パケットを見込みます。

tcp-map localmap       
 queue-limit 100    

!--- これは、CSC モジュールに送信するトラフィックを定義する 
クラスです。使用する名前は、違ってもかまいません。
ローカルマップ パラメータを、一致するクラス マップが流れるように設定します。

policy-map global_policy
 class csc-class            
  set connection advanced-options localmap


電子メールの問題

問題

電子メールの免責事項の削除が必要な場合に削除できません。また、電子メールの免責事項のフォントが変更できません。原因は何ですか。

解決策

CSC-SSM で、発信電子メールの一部から免責事項を削除することはできません。また、CSC-SSM ではサポートされないため、免責事項のフォントを変更できません。



トラフィックの問題

問題

ASA から CSC-SSM に送信されるトラフィックを停止できません。どうすればこれを解決できますか。

解決策

CSC-SSM から ASA に送信されるトラフィックを停止するには、Administrator が no service-policy コマンドを使用してインターフェイスからサービス ポリシーを削除する必要があります。

hostname(config-pmap-c)#no service-policy policy_map_name [global | interface interface_ID]


Grayware パターン アップデートの問題

問題

CSC モジュールで次のエラー メッセージがログされます。

GraywarePattern : Pattern Update: Unable to get the pattern information.Pattern Update: The download file was unsuccessful for ActiveUpdate was unable to unzip the downloaded patch packages.The zip file may be corrupted.This can happen due to an unstable network connection.Please try downloading the file again..The error code is 24.

AntiVirusPattern :Pattern Update: The download file was unsuccessful for ActiveUpdate was unable to unzip the downloaded patch packages.The zip file may be corrupted.This can happen due to an unstable network connection.Please try downloading the file again..The error code is 24.

このエラー メッセージはどうすれば解決しますか。

解決策

この問題は、Cisco Bug ID CSCtc37947登録ユーザ専用)および Cisco Bug ID CSCsk10777登録ユーザ専用)に関連しています。この問題を解決するには、CSC-SSM を取り付け直すか、または、コードを 6.2.x にアップグレードします。また、CSC の root アカウントで自動アップデート用に作成された一時ファイルを削除すると解決することがあります。CSC-SSM を取り付け直すか、またはコードをアップグレードした後、サービスを再起動します。



HTTPS トラフィックの問題

問題

CSC-SSM を使用して、HTTPS トラフィックをブロックできません。どうすれば、HTTPS トラフィックをブロックできますか。

解決策

CSC-SSM は、SSL 暗号化のせいでパケットを詳細に検査できないため、HTTPS トラフィックをブロックできません。



CSC 検査からのトラフィックをバイパスできない

モジュールを通過するトラフィックの適合に使用する ACL に、問題のネットワークの範囲の deny 文が追加されている場合、トラフィックをバイパスできません。



CSC-SSM を通過する HTTP トラフィックのすべてをログできない

CSC はすべてのトラフィックをログできませんが、ブロック/フィルタ試行の情報は表示できます。



CSC アップグレード中のエラー

[ERR-PAT-0002] The update system cannot decompress the update file, and cannot continue.This message is for diagnostic purposes only.Customers - please contact Technical Support」エラー メッセージが、CSC のアップグレード時に表示されます。このエラー メッセージは、.pkg ファイルではなく .bin ファイルが使用される場合に表示されます。.pkg ファイルが使用される場合は、この問題は発生しません。



CSC でのシグニチャ自動アップデート中のエラー

問題

CSC の自動アップデート時に、次のメッセージを取得しました。

Anti-spam pattern 17462 was successfully downloaded and installed.Unable to copy file.You must manually copy file /opt/trend/isvw/temp/AU/piranhacache/* to path /opt/trend/isvw/lib/mail/cache.

解決策

これは、CSC Trendmicro コードの既知の不具合問題です。この問題および詳細は不具合に記載されています。Cisco Bug ID CSCtc37947登録ユーザ専用)を参照してください。問題を解決するには、CSC を 6.3.1172(2) 以降にアップグレードします。



トラブルシューティングのためのコマンド

特定の show コマンドが、Output Interpreter Tool登録ユーザ専用)(OIT; アウトプット インタープリタ ツール)でサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。

CSC-SSM のさまざまな問題のトラブルシューティングの詳細については、「Cisco CSC SSM の Trend Micro InterScan のトラブルシューティング」を参照してください。

注:debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug module-boot:SSM ブート プロセスに関するデバッグメッセージが表示されます。

  • hw-module module 1 shutdown:SSM をシャットダウンします。

  • hw-module module 1 reset:SSM をリセットします。

注:%ASA-3-421001:TCP flow from inside:172.22.50.112/1718 to outside:XX.XX.XX.XX/80 is skipped because Content Security and Control card has failed」メッセージは、CSC モジュールが完全に応答しない状態になったときのログ メッセージです。

注:モジュールをリセットするには次のコマンドを使用します。

ASA#hw-module module 1 reset

The module in slot 1 should be shut down before 
resetting it or loss of configuration may occur.
Reset module in slot 1? [confirm]

(Confirm it at this point by 'return'.)

command reference guide コマンドについての詳細は、コマンド リファレンスを参照してください。




関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 99141