セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

内部サーバへの ASA トラフィックに対する CWS がブロックされる

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

このドキュメントでは、Cisco Adaptive Security Appliances(ASA)バージョン 9.0 以降で Cisco Cloud Web Security(CWS、旧名称 ScanSafe)を設定する場合の一般的な問題について説明します。

CWS では、ASA は選択された HTTP および HTTPS を CWS プロキシ サーバに透過的にリダイレクトします。 管理者は、エンドユーザをマルウェアから保護するために CWS ポータルでセキュリティ ポリシーを適切に設定し、エンドユーザに対して許可、ブロック、または警告することができます。 

Prapanch Ramamoorthy(Cisco TAC エンジニア)著。

前提条件

要件

次の設定に関する知識があることが推奨されます。

  • CLI と Adaptive Security Device Manager(ASDM)の両方、またはいずれかを利用した Cisco ASA
  • Cisco ASA での Cisco Cloud Web Security

使用するコンポーネント

このドキュメントの情報は、Cisco ASA に基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

ネットワーク図

 

問題

ASA 上で Cisco CWS を設定する場合に一般的に発生する問題は、内部 Web サーバに ASA を介してアクセスできないときに発生します。 たとえば、先のセクションで示したトポロジに対するサンプル設定は次のとおりです。

hostname ASA1
!
<snip>
interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 10.1.1.1 255.255.255.0
!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0
!
<snip>
object network inside-network
 subnet 192.168.1.0 255.255.255.0
object network web-server
 host 192.168.1.10
!
<snip>
access-list outside_access_in permit tcp any host 192.168.1.10 eq www
access-list outside_access_in permit tcp any host 192.168.1.10 eq https
access-list http-traffic extended permit tcp any any eq www
access-list https-traffic extended permit tcp any any eq https
!
<snip>
scansafe general-options
 server primary fqdn proxy193.scansafe.net port 8080
 server backup fqdn proxy1363.scansafe.net port 8080
 retry-count 5
 license <license key>
!
<snip>
object network inside-network
 nat (inside,outside) dynamic interface
object network web-server
 nat (inside,outside) static 10.1.1.10
!
access-group outside_access_in in interface outside
!
<snip>
class-map http-class
 match access-list http_traffic
class-map https-class
 match access-list https_traffic
!
policy-map type inspect scansafe http-pmap
 parameters
 http
policy-map type inspect scansafe https-pmap
 parameters
 https
!
policy-map outside-policy
class http-class
 inspect scansafe http-pmap fail-close
class https-class
 inspect scansafe https-pmap fail-close
!
service-policy outside-policy interface inside

この設定では、外部の IP アドレス 10.1.1.10 から内部 Web サーバにアクセスできなくなる可能性があります。 この問題には、次のようないくつかの原因があります。

  • Web サーバでホストされるコンテンツのタイプ。
  • Web サーバの Secure Socket Layer(SSL)証明書が CWS プロキシ サーバで信頼されていない。

解決策

内部サーバでホストされるコンテンツは一般に信頼できると見なされます。 したがって、CWS でこれらのサーバに対するトラフィックをスキャンする必要はありません。 この設定では、このような内部サーバへのトラフィックをホワイトリストに設定できます。

ASA1(config)# object-group network ScanSafe-bypass
ASA1(config-network-object-group)# network-object host 192.168.1.10
ASA1(config-network-object-group)# exit
ASA1(config)# access-list http_traffic line 1 deny tcp
  any object-group ScanSafe-bypass eq www

ASA1(config)# access-list https_traffic line 1 deny tcp
  any object-group ScanSafe-bypass eq https

この設定では、TCP ポート 80 および 443 上の 192.168.1.10 の内部 Web サーバへのトラフィックは、CWS プロキシ サーバにリダイレクトされなくなります。 ネットワーク内にこのタイプのサーバが複数ある場合、ScanSafe-bypass という名前のオブジェクト グループに追加できます。

Final Configuration

次に、最終的な設定の例を示します。

hostname ASA1
!
interface GigabitEthernet0/0
  nameif outside
  security-level 0
  ip address 10.1.1.1 255.255.255.0
!
interface GigabitEthernet0/1
  nameif inside
  security-level 100
  ip address 192.168.1.1 255.255.255.0
!
interface GigabitEthernet0/2
  no nameif
  no security-level
  no ip address
!
interface GigabitEthernet0/3
  no nameif
  no security-level
  no ip address
!
interface Management0/0
  management-only
  no nameif
  no security-level
  no ip address
!
object network inside-network
  subnet 192.168.1.0 255.255.255.0
object network web-server
  host 192.168.1.10
object-group network ScanSafe-bypass
  network-object host 192.168.1.10

!
access-list outside_access_in permit tcp any host 192.168.1.10 eq www
access-list outside_access_in permit tcp any host 192.168.1.10 eq https
access-list http_traffic deny tcp any object-group ScanSafe-bypass eq www
access-list http-traffic extended permit tcp any any eq www
access-list https_traffic deny tcp any object-group ScanSafe-bypass eq https
access-list https-traffic extended permit tcp any any eq https

!
scansafe general-options
  server primary fqdn proxy193.scansafe.net port 8080
  server backup fqdn proxy1363.scansafe.net port 8080
  retry-count 5
  license <license key>

!
pager lines 24mtu outside 1500
mtu inside 1500
no asdm history enable
arp timeout 14400
!
object network inside-network
  nat (inside,outside) dynamic interface
object network web-server
  nat (inside,outside) static 10.1.1.10

!
access-group outside_access_in in interface outside
!
route outside 0.0.0.0 0.0.0.0 10.1.1.254 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
!
class-map http-class
  match access-list http_traffic
class-map https-class
  match access-list https_traffic

!
policy-map type inspect scansafe
  http-pmap
  parameters
    http
policy-map type inspect scansafe https-pmap
  parameters
    https

!
policy-map inside-policy
class http-class
  inspect scansafe http-pmap fail-close
class https-class
  inspect scansafe https-pmap fail-close

!
service-policy inside-policy interface inside

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116469