セキュリティ : Cisco クラウド Web セキュリティ

次世代タワーのための Cloud Web セキュリティ 移行ステップおよび FAQ

2016 年 1 月 16 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2016 年 1 月 5 日) | フィードバック

目次

関連するシスコ サポート コミュニティ ディスカッション

概要

この資料はサービス発表の終わりが含まれ、Cisco クラウド Web セキュリティ(CWS)用のコンフィギュレーション変更を説明します。 Cisco CWS は顧客必要を満たすために現在のクラウド アーキテクチャのアップグレードの過程においてあります。 これはどうしても機能道路地図をサポートすること、また全面的なソリューションのスケールおよびハイ アベイラビリティを改善するでなく。

絶えずセキュリティようにサービス オファリングの品質を改善する Cisco の提供の一部として Cisco は置換 プロキシに移動する従って現在のプラットフォームが終了させますことができることを尋ねます。 これは Cisco CWS を十分に顧客を保守できる確認する必須プロセスです。 現在のプロキシはやがて終了させまされます(日付については「サービス発表の CWS レガシー タワー終わり」セクションの表を参照して下さい)。 次世代タワー(NGT)にアクセスを設定するためにこの資料内の手順に従うようにして下さい。 この日付がによって抜けていたらサービスにアクセスの損失を危険にさらすことに注意して下さい。 Cisco はこれが一部の時間および努力を必要とする認め、サービスにこの機能強化を実現するために支援をことを評価します。

Ciscoエンジニアによって貢献される。

サービス発表の CWS レガシー タワー終わり

Cisco はこの表にリストされているレガシー タワーのそれぞれのサービス日付終りのアナウンスします。 各レガシー タワーのために移行する最後の日はリストされています。 この日付以降に CWS サービスはもはやそのタワーから利用できません。 影響を受けた顧客がサービス中断を避けるために Cisco クラウド Web セキュリティ NGT に移行することは必須です。

影響を受けたタワー詳細サービスの最も新しい日付置換タワー詳細
シドニー(SYD2)

Cisco CWS 中間タワー プロキシ

Format:
(= 数)

第 15 2015 年 5 月シドニー(SYD3)Cisco CWS NGT (次世代タワー)プロキシ。
Format: access7XX.cws.sco.cisco.com
(XX = 数)
ダラス(DAL1)

Cisco CWS 中間タワー プロキシ

Format:
(= 数)

第 15 2015 年 5 月ダラス(DAL1)Cisco CWS NGT (次世代タワー)プロキシ。
Format: access3XX.cws.sco.cisco.com
(XX = 数)
ブランクフルト(FRA1 及び FRA2)

Cisco CWS 中間タワー プロキシ

Format:
(= 数)

第 30 6月 2015 年ブランクフルト(FRA2)Cisco CWS NGT (次世代タワー)プロキシ。
Format: access5XX.cws.sco.cisco.com
(XX = 数)
シカゴ(CHI1)

Cisco CWS 中間タワー プロキシ

Format:
(= 数)

第 31 August 2015シカゴ(CHI2)Cisco CWS NGT (次世代タワー)プロキシ。
Format: access4XX.cws.sco.cisco.com
(XX = 数)
Secaucus (SCS1 及び SCS2)

Cisco CWS 中間タワー プロキシ

Format:
(= 数)

第 31 August 2015Secaucus (SCS2)Cisco CWS NGT (次世代タワー)プロキシ。
Format: access2XX.cws.sco.cisco.com
(XX = 数)
ロンドン(LON4)

Cisco CWS 中間タワー プロキシ

Format:
(= 数)

第 31 August 2015ロンドン(LON5)Cisco CWS NGT (次世代タワー)プロキシ。
Format: access0XX.cws.sco.cisco.com
(XX = 数)
サンノゼ(SJL1)

Cisco CWS 中間タワー プロキシ

Format:
(= 数)

第 31 August 2015サンノゼ(SJL1)Cisco CWS NGT (次世代タワー)プロキシ。
Format: access8XX.cws.sco.cisco.com
(XX = 数)
サンパウロ(SAO1)

Cisco CWS 中間タワー プロキシ

Format:
(= 数)

第 13 行進 2016サンパウロ(SAO2)Cisco CWS NGT (次世代タワー)プロキシ。
Format: access12XX.cws.sco.cisco.com
(XX = 数)

CWS コンフィギュレーション変更

CWS サービスのために、設定使用する NGT への適切な接続を確認するために接続の方式が変わる必要がある依存。 このガイドはこれらのコネクタのそれぞれのために作るために適切な変更の輪郭を描きます。

CWS へのコネクタとして ASA

ASA コネクタに関しては、設定の ScanSafe オプションを変更する必要があります。 設定は新しい NGT と現在のプライマリ タワーを取り替えます。 これは CLI または適応性がある Security Device Manager (ASDM)インターフェイスからすることができます。 ステップはこのセクションで提供されます。

CLI

前に設定
scansafe general-options
server primary {ip | fqdn} [PRIMARY TOWER] port 8080
server backup {ip | fqdn } [SECONDARY TOWER] port 8080
retry-count 5
license [AUTH KEY HERE]

後設定
scansafe general-options
server primary {ip | fqdn} [NGT TOWER] port 8080
server backup {ip | fqdn} SECONDARY TOWER] port 8080
retry-count 5
license [AUTH KEY HERE]

: ライセンスキーを変更しないで下さい。 新しい設定をアップロードしたい場合オリジナル キーを再入力して下さい。 キーはより多くのシステムの ASA から取出すことができます: running-config | license コマンドを含んで下さい

CLI によるコンフィギュレーション変更ステップ

ASA の CLI から、IP アドレスを使用する場合これらのコマンドを入力して下さい:

CCWS_ASA# configure terminal
CCWS_ASA(config)# scansafe general-options
CCWS_ASA(config)# no server primary ip [EXISTING PRIMARY PROXY IP HERE] port 8080
CCWS_ASA(config)# server primary ip [NEW PRIMARY NGT PROXY IP HERE] port 8080
CCWS_ASA(config)# exit
CCWS_ASA(config)# write memory

ASA の CLI から、完全修飾ドメイン名 (FQDN)を使用する場合これらのコマンドを入力して下さい:

CCWS_ASA# configure terminal
CCWS_ASA(config)# scansafe general-options
CCWS_ASA(config)# no server primary fqdn [EXISTING PRIMARY PROXY FQDN HERE] port 8080
CCWS_ASA(config)# server primary fqdn [NEW PRIMARY NGT PROXY FQDN HERE] port 8080
CCWS_ASA(config)# exit
CCWS_ASA(config)# write memory

ASDM

  1. ASDM によるデバイスから、> デバイス管理 『Configuration』 を選択 して下さい。
    • 単一 コンテキストに関しては、左パネルから Cloud Web セキュリティを選択して下さい。
    • 複数のコンテキストに関しては、システム コンテキストを入力し、次に左パネルから Cloud Web セキュリティを選択して下さい。
  2. プライマリ サーバおよびバックアップサーバ IP アドレス/ドメイン名フィールドでは、NGT IP アドレスか FQDN を入力し、『Apply』 をクリック して下さい。

  3. File メニューから、点滅するために実行コンフィギュレーションを『SAVE』 を選択 して下さい。

関連問題

Cisco バグ ID CSCuj86222 - ASA は OoO TCP セグメントを時 ScanSafe リダイレクションのための Proxying Conns 廃棄します

: 既知該当するリリースを実行する場合、Cisco は修正されるこの問題とのリリースにアップグレードすることを推奨します。

NGT に移行するとき変更を将来防ぐために、FQDN を使用することを推奨します。 DNS lookup を設定するためにステップのためのこのセクションを読んで下さい。

DNS lookup を設定して下さい

FQDN を使用する ASA の CWS 設定はドメイン名を使用して CWS プロキシにアクセスするために DNS サーバの使用が要求します。 ドメイン・ネーム ルックアップおよび DNS サーバが設定されれば、ASA はプロキシ FQDN を解決できます。 DNS ドメイン ルックアップを有効に する従って DNSサーバに達することができるあらゆるインターフェイスのための適切なルーティングを設定することを確かめて下さい。

CLI
hostname(config)# dns domain-lookup interface_name
hostname(config)# dns server-group DefaultDNS
hostname(config-dns-server-group)# name-server ip_address [ip_address2]..[ip_address6]

ASDM

CWS へのコネクタとして ISR G2

Cisco ISR G2 に関しては、「コンテンツ スキャン」パラメータ マップを変更する必要があります。 設定は新しい NGT と ScanSafe 現在のプライマリ サーバを取り替えます。 ステップはこのセクションで説明されます。

CLI - 先のリリース リリース 15.4(2)T より

前に設定
parameter-map type content-scan global
server scansafe primary {ipv4 | name} [PRIMARY TOWER] port http 8080 https 8080
server scansafe secondary {ipv4 | name} [SECONDAY TOWER] port http 8080 https 8080
license 0 [AUTH KEY HERE]
source interface [INTERFACE]
timeout server 30
user-group [GROUP] username [NAME]
server scansafe on-failure allow-all

後設定
parameter-map type content-scan global
server scansafe primary {ipv4 | name} [NGT TOWER] port http 8080 https 8080
server scansafe secondary {ipv4 | name} [SECONDARY TOWER] port http 8080 https 8080
license 0 [AUTH KEY HERE]
source interface [INTERFACE]
timeout server 30
user-group [GROUP] username [NAME]
server scansafe on-failure allow-all

CLI によるコンフィギュレーション変更ステップ

ISR の CLI から、IP アドレスを使用する場合これらのコマンドを入力して下さい:

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type content-scan global
CCWS_ISRg2(config)# no server scansafe primary ipv4 [EXISTING PRIMARY PROXY IP HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# server scansafe primary ipv4 [NEW PRIMARY NGT PROXY IP HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

ISR の CLI から、FQDN を使用する場合これらのコマンドを入力して下さい:

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type content-scan global
CCWS_ISRg2(config)# no server scansafe primary name [EXISTING PRIMARY PROXY FQDN HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# server scansafe primary name [NEW PRIMARY NGT PROXY FQDN HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

: ライセンスキーを変更しないで下さい。 新しい設定をアップロードしにたい場合オリジナル キーを再入力して下さい。

CLI - リリース 15.4(2)T よりリリース 以降

前に設定
parameter-map type cws global
server cws primary {ipv4 | name} [PRIMARY TOWER] port http 8080 https 8080
server cws secondary {ipv4 | name} [SECONDARY TOWER] port http 8080 https 8080
license 0 [AUTH KEY HERE]
source interface [INTERFACE]
timeout server 30
user-group [GROUP] username [NAME]
server scansafe on-failure allow-all

後設定
parameter-map type cws global
server cws primary {ipv4 | name} [NGT TOWER] port http 8080 https 8080
server cws secondary {ipv4 | name} [SECONDARY TOWER] port http 8080 https 8080
license 0 [AUTH KEY HERE]
source interface [INTERFACE]
timeout server 30
user-group [GROUP] username [NAME]
server scansafe on-failure allow-all

CLI によるコンフィギュレーション変更ステップ

ISR の CLI から、IP アドレスを使用する場合これらのコマンドを入力して下さい:

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type cws global
CCWS_ISRg2(config)# no server cws primary ipv4 [EXISTING PRIMARY PROXY IP HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# server cws primary ipv4 [NEW PRIMARY NGT PROXY IP HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

ISR の CLI から、FQDN を使用する場合これらのコマンドを入力して下さい:

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type cws global
CCWS_ISRg2(config)# no server cws primary name [EXISTING PRIMARY PROXY FQDN HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# server cws primary name [NEW PRIMARY NGT PROXY FQDN HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

: ライセンスキーを変更しないで下さい。 新しい設定をアップロードしにたい場合オリジナル キーを再入力して下さい。

NGT に移行するとき変更を将来防ぐために、FQDN を使用することを推奨します。 DNS lookup を設定するためにステップのための次の セクションを読んで下さい。

DNS lookup を設定して下さい

FQDN を使用する ISR の CWS 設定はドメイン名を使用して CWS プロキシにアクセスするために DNS サーバの使用が要求します。 ドメイン・ネーム ルックアップおよび DNS サーバが設定されれば、ISR はプロキシ FQDN を解決できます。

hostname(config)#ip domain lookup
hostname(config)#ip name-server [ vrf vrf-name ] server-address1
server-address2...server-address6]

CWS へのコネクタとして WSA

Cisco WSA に関しては、CWS プロキシサーバを変更する必要があります。 この設定は新しい NGT とプライマリ サーバを取り替えます。 これは WSA 設定ポータル内から完了します。 ステップはこのセクションで説明されます。

  1. WSA ウェブ ポータルへのログイン。 ネットワーク メニューから、Cloud コネクタを選択して下さい。

  2. Edit Settings をクリックします。

  3. 新しいタワーを反映するためにサーバアドレスを変更して下さい。 [Submit] をクリックします。

  4. 保存します変更をクリックして下さい。

  5. コメント(オプションの)を入力し、WSA への変更を保存して下さい。

CWS へのコネクタとしてネイティブ コネクタ

ネイティブ コネクタに関しては、新しいプライマリ NGT の「agent.properties」ファイルを修正する必要があります。 これを完了するために、直接「プライマリ プロキシ」を NGT でもらうようにファイルを編集して下さい。 それから、コネクタ サービスを再開して下さい。

  1. 「agent.properties」ファイルを編集して下さい。
    • Windows に関しては、agent.properties ファイルは「\プログラム ファイル(x86)\Connector" ディレクトリにあります。
    • Linux に関しては、agent.properties ファイルは「/opt/connector/」ディレクトリにあります。

    前に設定
    # #############################################################
    # Configure upstream service
    defaultUpstreamPort=8080

    # Primary upstream server
    primaryProxy=[PRIMARY TOWER]
    primaryProxyPort=8080
    primaryProxyType=plain

    secondaryProxy=[SECONDARY TOWER]
    secondaryProxyPort=8080
    secondaryProxyType=plain

    tertiaryProxy=
    tertiaryProxyPort=
    tertiaryProxyType=plain

    # #############################################################

    後設定
    # #############################################################
    # Configure upstream service
    defaultUpstreamPort=8080

    # Primary upstream server
    primaryProxy=[NGT TOWER]
    primaryProxyPort=8080
    primaryProxyType=plain

    secondaryProxy=[SECONDARY TOWER]
    secondaryProxyPort=8080
    secondaryProxyType=plain

    tertiaryProxy=
    tertiaryProxyPort=
    tertiaryProxyType=plain

    # #############################################################
  2. サービスを再起動する。
    • Windows に関しては、Services.msc を開いて下さい。 右クリック Connectorand は『Restart』 をクリック します

    • Linux に関しては、/etc/init.d/connector 再始動 コマンドを入力して下さい。

ASA は CWS にリダイレクトするために送信先 NAT を使用します

これは HTTPトラフィックのためだけです。 リリース 8.3 およびそれ以降サポート送信元および宛先 NAT を実行する ASA。

送信先 NAT を使用するコネクタとして ASA に関しては、ASA リリース 8.3 またはそれ以降で利用可能 な手動/二度ネットワークアドレス交換 機能を使用して下さい。 CWS タワーにトラフィックを送信 するために送信先 NAT を使用する場合 NAT 文のタワー IP アドレスを変更する必要があります。

設定 例では、ASA に 2 つのインターフェイスがあります。 即ち「内部」(セキュリティレベル 100)および「外部」(0) セキュリティレベル。

CLI

前に設定
! Internal Network
object network cws-protected-network
 subnet 192.168.2.0 255.255.255.0
 
! CWS existing primary tower
object network cws-primary-tower
 host [Primary Tower]
 
! Subnet to define internet
object network Internet
 subnet 0.0.0.0 0.0.0.0
 
! Destination port tcp /8080 
object service proxy-8080
 service tcp destination eq 8080
 
! Destination port tcp /80
object service original-http
 service tcp destination eq www 
 
! Nat statement to send HTTPS traffic to internet and HTTP traffic to
Cloud Web Security tower nat (inside,outside) source dynamic
cws-protected-network interface destination static Internet
cws-primary-tower service original-http proxy-8080

後設定
 ! CWS Next Generation Tower
object network cws-ngt-tower
 host [NGT TOWER]

! Subnet to define internet
object network Internet
 subnet 0.0.0.0 0.0.0.0
 
! Destination port tcp /8080 
object service proxy-8080
 service tcp destination eq 8080
 
! Destination port tcp /80
object service original-http
 service tcp destination eq www 
 

! Nat statement to send HTTPS traffic to internet and HTTP traffic to
Cloud Web Security NGT tower nat (inside,outside) source dynamic
cws-protected-network interface destination static Internet
cws-ngt-tower service original-http proxy-8080

CLI によるコンフィギュレーション変更ステップ

ASA の CLI から、IP アドレスを使用する場合これらのコマンドを入力して下さい:

CCWS_ASA# configure terminal
CCWS_ASA(conf)#object network cws-ngt-tower
CCWS_ASA(config-network-object)#host [NEW PRIMARY NGT PROXY IP ADDRESS HERE]
CCWS_ASA(config-network-object)#exit

CCWS_ASA(conf)#no nat (inside,outside) source dynamic cws-protected-network interface
destination static Internet cws-primary-tower service original-http proxy-8080


CCWS_ASA(conf)#nat (inside,outside) source dynamic cws-protected-network interface
destination static Internet cws-ngt-tower service original-http proxy-8080

ASA の CLI から、FQDN を使用する場合これらのコマンドを入力して下さい:

CCWS_ASA# configure terminal
CCWS_ASA(conf)#object network cws-ngt-tower
CCWS_ASA(config-network-object)#fqdn [NEW PRIMARY NGT PROXY FQDN HERE]
CCWS_ASA(conf)#no nat (inside,outside) source dynamic cws-protected-network interface
destination static Internet cws-primary-tower service original-http proxy-8080

CCWS_ASA(conf)#nat (inside,outside) source dynamic cws-protected-network interface
destination static Internet cws-ngt-tower service original-http proxy-8080

ASDM

  1. ASDM を入力し、> ファイアウォール > ネットワーク オブジェクト/グループ『Configuration』 を選択 して下さい。
  2. > ネットワーク オブジェクト 『Add』 を選択 して下さい。

     

  3. NGT タワーのためのこの情報を入力して下さい:
    • [Name]: cws ngt タワー
    • Type: ホスト/FQDN (環境の依存)
    • IPバージョン: IPv4
    • IP アドレス /FQDN: NGT FQDN か IP アドレス
    • [Description]: (オプション)

  4. [OK] をクリックします。
  5. > ファイアウォール > NAT ルール『Configuration』 を選択 して下さい。

  6. 電流 NAT ルールを選択し、『Edit』 をクリック して下さい。

  7. 宛先 アドレス フィールドを編集して下さい。

  8. 新しく作成された cws ngt タワー オブジェクトを選択し、『OK』 をクリック して下さい。

  9. ASA に設定を適用して下さい。

CWS の受動アイデンティティ管理 ソリューション

受動アイデンティティ管理(PIM)の使用方法に関しては CWS 製品へのアクティブディレクトリ統合と、行ないますログイン スクリプトへのこれらの変更をスクリプトを書きます。 (下記の例はバッチ名前として「PIM 開いた」使用します。)

「PIMopen.batch」を開き、バッチファイルを編集して下さい。 バッチファイルを「<Drive> \ <Install Directory> \ PIM」にいて見つけることができます。 たとえば、「C:\PIM\pim - open.batch」。

前に設定
C:\PIM\PIM_1.2.3.6.exe /Verbose=Y /IP /Proxy=[PRIMARY TOWER]:8080

後設定
C:\PIM\PIM_1.2.3.6.exe /Verbose=Y /IP /Proxy=[NGT TOWER]:8080

/明示的 な プロキシ/ホストされた設定 CWS へリダイレクションの方式としてそびえるために指示して下さい

ブラウザ プロキシ 設定からのサービスへのダイレクト接続に関しては、変更をプロキシサーバに行う必要があります。 プロキシ 設定は直接またはプロキシ 自動設定(PAC)ファイルと加えることができます。 両方のメソッドのための変更はこのセクションで説明されています。

ブラウザ内の直接プロキシコンフィギュレーション

  1. エンドポイントの「LAN設定」をプロキシサーバを使用するために有効に されます確認して下さい。
  2. 「プロキシサーバ」設定では、NGT IP/FQDN にプライマリ タワー IP/FQDN を変更して下さい。

PAC ファイル

これは例だけです。

前に PAC ファイル
function FindProxyForURL(url, host) {
// If URL has no dots in domain name, send direct.
if (isPlainHostName(host))
return "DIRECT";
// If URL matches, send direct.
if (shExpMatch(url,"*domain123.com/folder/*"))
return "DIRECT";
// If hostname matches, send direct.
if (dnsDomainIs(host, "vpn.domain.com"))
return "DIRECT";
// If hostname resolves to internal IP, send direct.
var resolved_ip = dnsResolve(host);
if (isInNet(resolved_ip, "10.0.0.0", "255.0.0.0"))
return "DIRECT";
// DEFAULT RULE: All other traffic, use below proxies, in fail-over order.
return "PROXY [PRIMARY TOWER]:8080; PROXY [SECONDARY TOWER]:8080; DIRECT";
}

後 PAC ファイル
function FindProxyForURL(url, host) {
// If URL has no dots in domain name, send direct.
if (isPlainHostName(host))
return "DIRECT";
// If URL matches, send direct.
if (shExpMatch(url,"*domain123.com/folder/*"))
return "DIRECT";
// If hostname matches, send direct.
if (dnsDomainIs(host, "vpn.domain.com"))
return "DIRECT";
// If hostname resolves to internal IP, send direct.
var resolved_ip = dnsResolve(host);
if (isInNet(resolved_ip, "10.0.0.0", "255.0.0.0"))
return "DIRECT";
// DEFAULT RULE: All other traffic, use below proxies, in fail-over order.
return "PROXY [NGT TOWER]:8080; PROXY [SECONDARY TOWER]:8080; DIRECT";
}

EasyID の使用と必要なファイアウォール変更

EasyID のための推奨されるネットワークコンフィギュレーションは LDAP サーバにアクセスするためにポータルにリストされている特定の CWS データセンタ IP アドレスからのファイアウォールの開港だけに顧客のためです。 プライマリおよび/またはバックアップ/セカンダリのための NGTs への移行前に、新しい NGT IP アドレスを含むファイアウォール ルールをアップデートして下さい。

新しい大使館タワーは NGT アロケーションと共に提供されます。 受信 Access Control List (ACL)ルールに NGT 大使館タワーを含む必要があります。 NGT 大使館 IP アドレスは ScanCenter ポータル(容易な ID 管理 レルム)で見つけることができます。

前にアクセス制御リスト
Allow inbound traffic from EXISTING EMBASSY TOWERS to LDAP SERVERS on ports tcp/389
or tcp/636 (if secured LDAP)

後アクセス制御リスト
Allow inbound traffic from NEW NGT EMBASSY TOWERS to LDAP SERVERS on ports tcp/389
or tcp/636 (if secured LDAP)

更新済リストに関しては、Scancenter > Admin > 認証 > 管理を選択して下さい。

このセクションで、アクティブな「認証レルムで」『Edit』 をクリック して下さい。 次の セクションでは、IP アドレスの更新済リストはこのディスプレイで表示されます。

 

許可されるサーバの更新済リストがあれば使用「チェック接続」はすべてのタワーからの接続を確認するために正常であり、ステータスはグリーンです。

「チェック接続」はすべてのタワーからの接続をテストするために数分かかるかもしれません。

ファイアウォール構成は変更されます(必要であれば)

現在のファイアウォール環境割り当てがタワーに受信および/または送信にアクセスする場合、これらの変更を NGTs のために行う必要があります。

電流 CWS タワーにアウトバウンドアクセスを許可するどの ACL でも新しい次世代 CWS タワーにアウトバウンドアクセスを許可するために変える必要があります。

前にアクセス リスト

access-list [NAME] extended permit tcp any [TOWER-IP] eq 8080

後アクセス リスト

access-list [NAME] extended permit tcp any [NGT-TOWER-IP] eq 8080

電流 CWS タワーにインバウンドアクセスを許可するどの ACL でも新しい次世代 CWS タワーからインバウンドアクセスを許可するために変える必要があります。

前にアクセス リスト

access-list [NAME] extended permit tcp [TOWER-IP] eq 8080 any

後アクセス リスト

access-list [NAME] extended permit tcp [NGT-TOWER-IP] eq 8080 any

次世代タワー出力 IP アドレス範囲

トラフィックをからのどこで期待するかこの表に従って調節する ACL を確認する必要があるので及べば出力 IP アドレスを共同経営者/外部ベンダーに与える必要があれば。

次世代タワー

出力 IP アドレス範囲

ロンドン

108.171.128.160 - 108.171.128.223

Secaucus

108.171.130.160 - 108.171.130.223

ダラス

108.171.132.160 - 108.171.132.223

シドニー

108.171.134.160 - 108.171.134.223

シカゴ

108.171.131.160 - 108.171.131.223

ブランクフルト

108.171.129.160 - 108.171.129.223

Washington D.C.

108.171.133.160 - 108.171.133.223

San Jose

108.171.135.160 - 108.171.135.223

サンパウロ

108.171.138.160 - 108.171.138.223

FAQ

1. 内部 Change 要求に何が必要となりますか。

リダイレクション 方式/配備に基づいて、コンフィギュレーション変更がサイトに割り当てられた NGT プロキシにトラフィックを可能にするために必要となります。 コネクタ device/PAC/PIM スクリプトで、プライマリ プロキシの IP アドレスか FQDN を変更する必要があります。 Cisco はダウンタイム 要件を予知しません。 プライマリ プロキシを変更する間、サービスはセカンダリ プロキシにフォール バック(もし設定するなら)。

2. NGT の技術的な問題に直面する場合、現在のプロキシに戻りますか。

Cisco Technical Assistance Center (TAC)によってサービス リクエストを開いて下さい。 会社名を、現在のプライマリ プロキシアドレス、新しい NGT プロキシアドレス、サブジェクト含んで下さい: 「NGT 移行」および問題の簡潔な説明。

3. 顧客は Cisco から NGT プロキシに移行の通知電子メールを受け取りますか。

Cisco によって知らせられる顧客だけ移行を続行する必要があります。 NGT 移行はフェーズ以内に行なわれ、そのうちに知らせられます。 電子メール通知を受信しないし、同じ国/領域で利用可能 な NGT がある現在 プライマリ プロキシを使用することを信じたら確認のための cws-migrations@cisco.com に手を差し伸べて下さい。

4. NGT プロキシに移行するために必要な追加認可がありますか。

顧客は追加ライセンス必要条件がサービスを NGT プロキシに移行するためにないことを安心できます。

5. ライセンスキーを変更することをおよび/または移行の前か後にセンター ポリシーをスキャンする必要がありますか。

すべてのライセンスキーおよびポリシーはスキャン センター ポータルで変更されません。

6. IP アドレスの代りにタワー名前のために FQDN を使用します。  トラフィックは NGT プロキシに自動的に DNS の A レコードを変更すればまたは手動で NGT プロキシを指す必要があります転送されますか。

移行が段階的に行なわれた方法で計画されるので、Cisco に現在のプライマリが両方あり、割り当てられる NGT プロキシおよびそれらは 2 異なる IP アドレスに解決します。 NGT プロキシはユニークなIPアドレスを所有します; それ故に顧客が NGT に属する FQDN IP アドレスに手動 変更を行なうことは必須です。

7. アップストリーム ファイアウォールか ISP 端でどんな変更が必要とされますか。

送信 トラフィックのための ACL がある場合、TCP/8080 の NGTs の宛先への割り当てトラフィック(AnyConnect のために(これがまた TCP/443 を必要とする)スタンドアロン)コネクタを保護すれば。 移行 E メールであなたに割り当てられる FQDN IP アドレスを参照して下さい。

8. 組織では、設定される異なるタワーと CWS を使用する複数 の サイトがあります。 どのサイトが移行される必要があるかどのように確認しますか。

チームがあなたに割り当てられた新しい NGT プロキシを提供する CWS 弊社販売代理店は宛先住所のそれぞれに基づいていました。 すべての場所が現在 利用可能 な NGT プロキシがありません。

9. 組織で移行されるために知らせられた複数 の サイトがあります。 フェーズに移行することは可能性のあるですか。

すべてのサイトをすぐに移行する必要がありません。 ただし、要求された移行 ウィンドウの間にすべてのサイトを移行することを推奨します。

10. CWS 配備および設定についてよくわかりません。 Cisco 自動構成がか変更と助けるべき移行 ツールありますか。

いいえ、Cisco 自動構成/移行と助けるべきツールがありません。 助けるのに使用される展開方法に基づく詳しい移行ガイドがあります。 問題に直面したら、支援のための cws-migration@cisco.com に手を差し伸べて下さい。

11. IP アドレスに基づいてトラフィックを制限する共同経営者/外部ベンダーがあれば新しい NGT 出力 IP アドレス範囲は何ですか。

次世代タワー

出力 IP アドレス範囲

ロンドン

108.171.128.160 - 108.171.128.223

Secaucus

108.171.130.160 - 108.171.130.223

ダラス

108.171.132.160 - 108.171.132.223

シドニー

108.171.134.160 - 108.171.134.223

シカゴ

108.171.131.160 - 108.171.131.223

ブランクフルト

108.171.129.160 - 108.171.129.223

Washington D.C.

108.171.133.160 - 108.171.133.223

San Jose

108.171.135.160 - 108.171.135.223

サンパウロ

108.171.138.160 - 108.171.138.223

12. EasyID かセキュリティ アサーション マークアップ言語 認証がどのようににはたらくか変更がありますか。

はい、EasyID IP アドレスへの変更がありますエッジ/ファイアウォール デバイスの受信を与えられる必要がある。 ScanCenter ポータルの EasyID セクションの IP アドレスのリストを表示できます。 許可しましたファイアウォール ポリシーのポート TCP 389/3268 か TCP 636/3269 (LDAP)の EasyID 新しい IP アドレスからの Lightweight Directory Access Protocol (LDAP) サーバにインバウンドアクセスを確認して下さい。

13. どの位ダウンタイムをスイッチオーバのためにスケジュールする必要がありますか。

理想的にはバックアップ タワーをコネクタ(ASA/ISR/WSA/Native コネクタ)で設定してもらうので、ダウンタイムを期待しないで下さい。 推奨される最良 の 方法は非ピーク時でまたは時間後に移行を行うことです。

14. どんな変更を CWS 設定以外ネットワークで行なう必要がありますか。

エッジ/ファイアウォール デバイスやポリシーによって基づくルーティングで設定される発信 ACL がある場合会社に割り当てられる NGT プロキシ FQDN IP アドレスとそれをアップデートして下さい。

15. レポートは NGT に移行する場合壊れますか。

ScanCenter ポータルのスケジュールされ、保存されたレポートに変更がありません。

16. NGT プロキシを確認するためにどんな接続テストを行うです到達可能ことができますか。

TCP PING を行うか、またはポート TCP/8080 の割り当てられた NGT プロキシに Telnet で接続することができます。

17. NGT プロキシに正常に移行したようにするために何をチェックする必要がありますか。

「whoami.scansafe.net に」参照し、「logicalTowerNumber」を確認して下さい。 「logicalTowerNumber」はアクセス ポイント数と 10000 であるはずです。 たとえば、"access66.cws.sco.cisco.com" 割り当てられれば、logicalTowerNumber は 10066 です。

18. NGT プロキシ FQDN か IP アドレスを使用しますか。

NGT に移行するとき変更を将来防ぐために、FQDN を使用することを推奨します。

19. どのような変更を AnyConnect Web セキュリティ モジュールを使用するモバイルユーザは作らなければなりませんか。

AnyConnect クライアントのユーザ向けに、変更を NGT 移行のために行う必要がありません。

20. NGT に移動するときセカンダリ CWS タワー、またプライマリ タワーを変更する必要がありますか。

はい、プライマリおよびセカンダリ タワーは与えられる割り当てに従って変更する必要があります。

マイグレーション問題

あらゆる NGT マイグレーション問題に関しては、これらのメソッドの何れかによってサービス リクエストを記録 して下さい:

  • 電話:
    • US: 1(877) 472-2680
    • EMEA: 44(0) 207-034-9400
    • APAC:  (64) 800513572

 

Notifica か。か。o Pr か。- Migra か。か。o: Melhoramentos na Infraestrutura da Cisco クラウド Web セキュリティ データセンタ無し de S か。o パウロ

コモ parte は compromisso da Cisco パラグラフ continuamente melhorar qualidade das nossas ofertas de Seguran をしますか。コモ umservi か。o は、encontramo NOS atualmente implementar melhoramentos 考慮しますか。veis na infraestrutura que providencia o seu servi か。o Cisco クラウド Web セキュリティ(anteriormente Scansafe) em S か。o パウロ、ブラジル。

De forma aceder esta aperfei か。oada infraestrutura、か。 qual NOS referimos como 「次のジェネレーション タワー」(torre de nova ゲーラか。か。o) ou 「NGT」、ter か。o de proceder か。 migra か。か。o dos プロキシは整えますか。secund リオ e か。リオ que atualmente utilizam パラグラフ aceder ao servi か。o Cloud Web セキュリティ パラグラフ um novo プロキシ NGT。 データ prevista パラグラフ iniciar este processo de migra か。か。o 米国東部標準時刻か。 atualmente marcada パラグラフ o か。cio de Fevereiro de 2016 e mesma 開発者 ser completada のか。 13 de 3 月か。o de 2016。 O envio desta pr か。- notifica か。か。o tem como objetivo facultar aos nossos clientes テンポ suficiente パラグラフ planear e agendar quaisquer janelas de は manuten か。か。o necess か。rias quer パラグラフひれ internos (endere か。os de proxy) quer パラグラフ neg か。cio externo/parceiros de neg か。cios (intervalo 出力)。

Por 優先 tenha em は aten か。か。o que n か。o ser か。 facultada qualquer extens か。o de prazo パラグラフ migra か。か。o ap か。s 13 de Ma か。o de 2016。 medidas necess として Pelo que agradecemos que 巻 todas か。rias パラグラフ preparar esta migra か。か。o obrigat か。ria。 n か。o migra か。か。o のか。 13 de 3 月か。resultar o か。 na perda de servi か。o.

Receber か。 um novo E メールいいえか。cio de 2016 com informa か。か。o necess か。ria パラグラフ esta migra か。か。o、incluindo os detalhes dos プロキシ NGT atribu か。dos especificamente cada cliente。 Entretanto、por 優先 tenha em considera か。か。o desde j か。 os novos intervalos 出力パラグラフ o DC de S か。o パウロ: 108.171.138.160 - 108.171.138.223 Aconselhamos os nossos clientes informarem desde j か。 os seus parceiros de neg か。cio destes novos intervalos 出力。

Caso pretenda obter mais informa か。か。ES por 優先 visite nossa p か。ジナ Web パラグラフ perguntas frequentes e Instru か。か。ES パラグラフ Migra か。か。encontrar o onde か。 instru か。か。completar ES パラグラフ migra か。か。o、suas configura として modificar incluindo か。か。ES NOS equipamentos Cisco (ASA、ISR、WSA、等)パラグラフ enviar o tr か。fico da rede パラグラフ esta infraestrutura aperfei か。oada。

Tamb か。encontrar m か。 informa か。か。o que poder か。 necessitar de partilhar com o seu departamento de は知らせますか。tica ou com o departamento de は知らせますか。tica de um parceiro tal como o novo intervalo de egress IP パラグラフ NGT。

Por 優先 aceda este リンク パラグラフ Perguntas Frequentes e Instru か。か。ES de Migra か。か。o

equipas de Opera としてか。か。ES e Presta か。か。o de Servi か。os da Cisco encontram se dispon か。veis パラグラフ assegurar ユマ transi か。か。o simples e eficiente パラグラフ新星 infraestrutura。 Caso existam 探求か。ES relativamente か。 migra か。か。o das suas atuais conex か。ES que n か。o se encontrem na nossa p か。ジナ Web パラグラフ Perguntas Frequentes e Instru か。か。ES パラグラフ Migra か。か。o、E メール atrav による por 優先 contacte NOS か。s は endere か。o cws-migrations@cisco.com

IMPORTANTE - POR 優先 LEIA: Se n か。o か。 pessoa que devia receber estas notifica か。か。ES em nome da sua empresa、por 優先 ajude NOS assegurar que pessoa correta か。 alertada パラグラフ esta importante informa か。か。o o mais ブレーヴェ poss か。vel。 Tamb か。atualizar m pode lista de endere か。os de e-mail パラグラフ notifica か。か。ES da sua empresa atrav か。s は seu ScanCenter 門脈 efetuando o ログオン パラグラフ p か。ジナ「Inicio」e selecionando o separador 「Admin」。 Em seguida は、古い o ponteiro rato sobre o separador 「Sua Conta」e selecione 「Notifica をしますか。か。ES」。 Em seguida 派閥 bots 無しか。o 「Gerenciar configura か。か。es de atualiza か。か。o は servi か。o」e assegure se de que caixa de verifica か。か。o 「de atualiza Enviar e-mails か。か。o は servi か。o」米国東部標準時刻か。 selecionada。 Por fim adicione o endere か。de atualiza o de e-mail da pessoa correta na caixa de texto ao lado de 「Enviar e-mails か。か。o は servi か。passar o」e esta か。 receber notifica か。か。es de incidentes e trabalhos de は manuten か。か。o.

Com os melhores cumprimentos、

equipa Cisco de Opera か。か。ES e Presta か。か。o de Servi か。os

 

Notificaci か。前migraci n か。n: Mejoras EN la infraestructura de Cisco クラウド Web セキュリティ(CWS) EN サンパウロ DC

コモ parte del compromiso de Cisco de mejorar continuamente la calidad de nuestras ofertas de セキュリティようにサーヒス、estamos realizando mejoras significativas EN la infraestructura que ofrece el servicio de Cisco クラウド Web セキュリティ(anteriormente ScanSafe) EN サンパウロ、ブラジル。

パラグラフ acceder esta infraestructura mejorada、la que NOS referimos como 「次のジェネレーション タワー」(Torre de nueva generaci か。n) o 「NGT」、SU actuales proxys primario y バックアップ asignados Al servicio de Cisco クラウド Web セキュリティ tendr か。n que ser migrados una nueva asignaci か。n de proxys de NGT。 La fecha de inicio de esta migraci か。n NGT 米国東部標準時刻か。 actualmente planeada パラグラフ principios de febrero de 2016 y la migraci か。n debe ser completada は del 13 de marzo de 2016 に賭け金を置きます。 Estamos enviando 詐欺 antelaci か。n esta notificaci か。n パラグラフ proporcionar nuestros clientes el tiempo suficiente パラグラフ planificar y programar las ventanas de cambio necesarias、ya 海詐欺支柱か。sitos internos (cambio de direcciones de proxys) o 詐欺師 sus socios de negocios/comerciales externos (rangos de IP p か。blica)。

Por 優先 tenga EN cuenta que proporcionar se 無しか。 ninguna extensi か。n de migraci か。n m か。s すべてか。 del 13 de marzo de 2016。 Por lo tanto、por 優先、巻 las medidas necesarias パラグラフ prepararse パラグラフ este pr か。ximo cambio obligatorio。 Si pudiera migrar パラグラフ el 13 de marzo se traducir 無しか。EN una p か。rdida del servicio。

Usted recibir か。 電気 otro correo か。ニコ principios de 2016 詐欺 la informaci か。n necesaria パラグラフ esta migraci か。n incluyendo SU asignaciones espec か。ficas de proxys NGT。 Mientras tanto、por 優先、tenga EN cuenta que el nuevo rango de IP de salida de サンパウロ DC ES: 108.171.138.160 - 108.171.138.223。 Animamos nuestros clientes notificar SU socios externos、詐欺 antelaci か。n la migraci か。n、posible de este rango de salida adicional 詐欺 la 市長 brevedad。

Si desea obtener m か。s informaci か。n、visite nuestra p か。ジナ de preguntas frecuentes e instrucciones パラグラフ las migraciones、encontrar donde か。 las instrucciones パラグラフ la migraci か。n、incluyendo la modificaci か。n de las configuraciones en dispositivos Cisco (ASA、ISR、WSA、等)パラグラフ enviar el tr か。fico de レッド estas nuevas infraestructuras mejoradas (NGT)。 Usted tambi か。encontrar n か。 informaci か。n que puede que tenga que compartir 詐欺 SU departamento de IT o 詐欺 SU socios como el nuevo rango de direcciones IP de salida パラグラフ NGT。

Haga clic aqu か。 パラグラフ Preguntas Frecuentes e Instrucciones de Migraci か。n

LOS equipos de Cisco de Operaciones y Despliegue del Servicio 米国東部標準時刻か。n disponibles パラグラフ asegurar una transici か。n sencilla y eficaz hacia las nuevas infraestructuras mejoradas。 Si usted tiene alguna pregunta acerca de la migraci か。n de sus conexiones actuales que se respondi 無しか。 EN las preguntas frecuentes、por 優先 p か。電気 ngase EN contacto 詐欺 nosotros usando el correo か。ニコ cws-migrations@cisco.com

IMPORTANTE - POR 優先草原: Si は ES la ペルソナ que debe recibir estas notificaciones en nombre de su empresa を、ay por 優先 not usted か。denos asegurar que la ペルソナ責任がある obtenga esta importante informaci か。posible n EN la 市長 brevedad。 Tambi か。n puede actualizar la configuraci か。n de suscripci か。n de notificaci か。n de su empresa desde SU 門脈 ScanCenter ingresando EN la p か。ジナ de 「ホーム」y seleccionando la pesta か。「Admin」。 continuaci か。n、coloque el puntero del rat か。n sobre la pesta か。「アカウント」y seleccione 「Notificacions」。 continuaci か。n、haga clic EN el bots か。n 「サービス アップデート設定」y aseg 管理して下さいか。de rese que la casilla de verificaci か。n は「サービス アップデート電子メール」米国東部標準時刻を送信 しますか。 marcada。 Por か。ltimo、agregar la direcci か。電気 n de correo か。ニコ de la persona 責任がある EN el cuadro de texto 徒党は「送信サービス アップデート」y を E-メールを送りますか。sta recibir か。 notificaciones de cara Al futuro de incidentes y trabajos de mantenimiento。

国連誠心誠意 saludo、

LOS equipos de Operaciones y Despliegue del Servicio de Cisco クラウド Web セキュリティ

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118478