セキュリティ : Cisco クラウド Web セキュリティ

次世代タワーのための Cloud Web セキュリティ 移行ステップおよび FAQ

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2016 年 4 月 21 日) | フィードバック

目次

関連するシスコ サポート コミュニティ ディスカッション

概要

このドキュメントは、サービス終了についてお知らせするとともに、Cisco Cloud Web Security(CWS)の設定の変更について説明するものです。 Cisco CWS は、お客様のニーズに合わせて現在のクラウド アーキテクチャをアップグレードしています。 これは単に機能のロードマップをサポートするだけでなく、ソリューション全体のスケールと高可用性を向上させるためのものです。

シスコは、Security as-a-Service(サービスとしてのセキュリティ)サービスの継続的な品質改善に対する取り組みの中で新しいプロキシへの移行を進めているため、現在のプラットフォームが使えなくなる場合があります。 これは、Cisco CWS でお客様に適切なサービスを提供するための必須プロセスです。 現在のプロキシは間もなく使用できなくなります(日程については、「CWS レガシー タワーのサービスの終了に関するお知らせ」の表を参照)。 次世代タワー(NGT)へのアクセスを設定するには、このドキュメントに記載されている手順に従ってください。 この期間に移行しないと、サービスにアクセスできなくなる場合があるので注意してください。 シスコは、このサービス改善を実現するためには皆様の時間と労力が不可欠であることを理解しており、皆様のご協力に感謝しています。

著者:Cisco エンジニア

CWS レガシー タワーのサービスの終了に関するお知らせ

ここでは、この表に記載されている各レガシー タワーのサービスの終了についてお知らせします。 各レガシー タワーについての最終移行日が記載されています。 この日付を過ぎると、そのタワーから CWS サービスを利用できなくなります。 またサービスの中断を避けるため、該当するお客様を必ず Cisco Cloud Web Security NGT に移行させる必要があります。

該当タワー詳細サービスの最終日新しいタワー詳細
シドニー(SYD2)

Cisco CWS ミッド タワー プロキシ

形式: proxyXXXX.scansafe.net
(XXXX = 番号)

2015 年 5 月 15 日シドニー(SYD3)Cisco CWS NGT(次世代タワー)プロキシ
形式: access7XX.cws.sco.cisco.com
(XX = 番号)
ダラス(DAL1)

Cisco CWS ミッド タワー プロキシ

形式: proxyXXXX.scansafe.net
(XXXX = 番号)

2015 年 5 月 15 日ダラス(DAL1)Cisco CWS NGT(次世代タワー)プロキシ
形式: access3XX.cws.sco.cisco.com
(XX = 番号)
フランクフルト(FRA1 & FRA2)

Cisco CWS ミッド タワー プロキシ

形式: proxyXXXX.scansafe.net
(XXXX = 番号)

2015 年 6 月 30日フランクフルト(FRA2)Cisco CWS NGT(次世代タワー)プロキシ
形式: access5XX.cws.sco.cisco.com
(XX = 番号)
シカゴ(CHI1)

Cisco CWS ミッド タワー プロキシ

形式: proxyXXXX.scansafe.net
(XXXX = 番号)

2015 年 8 月 31 日シカゴ(CHI2)Cisco CWS NGT(次世代タワー)プロキシ
形式: access4XX.cws.sco.cisco.com
(XX = 番号)
セコーカス(SCS1 & SCS2)

Cisco CWS ミッド タワー プロキシ

形式: proxyXXXX.scansafe.net
(XXXX = 番号)

2015 年 8 月 31 日セコーカス(SCS2)Cisco CWS NGT(次世代タワー)プロキシ
形式: access2XX.cws.sco.cisco.com
(XX = 番号)
ロンドン(LON4)

Cisco CWS ミッド タワー プロキシ

形式: proxyXXXX.scansafe.net
(XXXX = 番号)

2015 年 8 月 31 日ロンドン(LON5)Cisco CWS NGT(次世代タワー)プロキシ
形式: access0XX.cws.sco.cisco.com
(XX = 番号)
サンノゼ(SJL1)

Cisco CWS ミッド タワー プロキシ

形式: proxyXXXX.scansafe.net
(XXXX = 番号)

2015 年 8 月 31 日サンノゼ(SJL1)Cisco CWS NGT(次世代タワー)プロキシ
形式: access8XX.cws.sco.cisco.com
(XX = 番号)
サンパウロ(SAO1)

Cisco CWS ミッド タワー プロキシ

形式: proxyXXXX.scansafe.net
(XXXX = 番号)

第 13 行進 2016サンパウロ(SAO2)Cisco CWS NGT(次世代タワー)プロキシ
形式: access12XX.cws.sco.cisco.com
(XX = 番号)

CWS 設定の変更

CWS サービスへの接続方法によっては、NGT に正しく接続するために設定を変更する必要があります。 このガイドでは、各コネクタの正しい変更について概要を説明します。

CWS へのコネクタとして ASA を使用する場合

ASA コネクタの場合は、設定の ScanSafe オプションを変更する必要があります。 この設定によって、現在のプライマリ タワーが新しい NGT に置き換わります。 これは、CLI または Adaptive Security Device Manager(ASDM)のインターフェイスから実行できます。 ここでは、手順を説明します。

CLI

変更前の設定
scansafe general-options
server primary {ip | fqdn} [PRIMARY TOWER] port 8080
server backup {ip | fqdn } [SECONDARY TOWER] port 8080
retry-count 5
license [AUTH KEY HERE]

変更後の設定
scansafe general-options
server primary {ip | fqdn} [NGT TOWER] port 8080
server backup {ip | fqdn} SECONDARY TOWER] port 8080
retry-count 5
license [AUTH KEY HERE]

: ライセンス キーは変更しないでください。 新しい設定をアップロードする場合は、元のキーを再入力します。 キーは ASA から more system: running-config | include license コマンドを使用して取得できます。

CLI を使用した設定の変更手順

IP アドレスを使用する場合は、ASA の CLI で次のコマンドを入力します。

CCWS_ASA# configure terminal
CCWS_ASA(config)# scansafe general-options
CCWS_ASA(config)# no server primary ip [EXISTING PRIMARY PROXY IP HERE] port 8080
CCWS_ASA(config)# server primary ip [NEW PRIMARY NGT PROXY IP HERE] port 8080
CCWS_ASA(config)# exit
CCWS_ASA(config)# write memory

完全修飾ドメイン名(FQDN)を使用する場合は、ASA の CLI で次のコマンドを入力します。

CCWS_ASA# configure terminal
CCWS_ASA(config)# scansafe general-options
CCWS_ASA(config)# no server primary fqdn [EXISTING PRIMARY PROXY FQDN HERE] port 8080
CCWS_ASA(config)# server primary fqdn [NEW PRIMARY NGT PROXY FQDN HERE] port 8080
CCWS_ASA(config)# exit
CCWS_ASA(config)# write memory

ASDM

  1. デバイスの ASDMで、[Configuration] > [Device Management] を選択します。
    • 単一のコンテキストの場合は、左のパネルで [Cloud Web Security] を選択します。
    • マルチコンテキストの場合は、[System Context] を入力してから、左のパネルで [Cloud Web Security] を選択します。
  2. プライマリ サーバおよびバックアップ サーバの [IP Address/Domain Name] フィールドに、NGT の IP アドレスまたは FQDN を入力し、[Apply] をクリックします。。

  3. [File] メニューから [Save Running Configuration to Flash] を選択します。

関連の欠陥

Cisco Bug ID CSCuj86222 :ScanSafe リダクレションの接続をプロキシするときに ASA が OoO TCP セグメントをドロップする

: 既知の該当リリースを実行している場合は、この欠陥が修正されているリリースにアップグレードすることを推奨します。

今後の変更を避けるために、NGT に移行する場合は FQDN を使用することを推奨します。 この項の DNS ルックアップの設定手順を参照してください。

DNS ルックアップの設定

FQDN を使用する ASA の CWS 設定では、ドメイン名で CWS プロキシにアクセスするために DNS サーバを使用する必要があります。 ドメイン名のルックアップと DNS サーバを設定すると、ASA はプロキシ FQDN を解決できます。 DNS ドメイン ルックアップをイネーブルにするすべてのインターフェイスに対して適切なルーティングを設定し、DNS サーバに到達できるようにしてください。

CLI
hostname(config)# dns domain-lookup interface_name
hostname(config)# dns server-group DefaultDNS
hostname(config-dns-server-group)# name-server ip_address [ip_address2]..[ip_address6]

ASDM

CWS へのコネクタとして ISR G2 を使用する場合

Cisco ISR G2 の場合は、「content-scan」パラメータ マップを変更する必要があります。 この設定によって、現在のプライマリ ScanSafe サーバが新しい NGT に置き換わります。 ここでは、手順を説明します。

CLI - リリース 15.4(2)T よりも前のリリース

変更前の設定
parameter-map type content-scan global
server scansafe primary {ipv4 | name} [PRIMARY TOWER] port http 8080 https 8080
server scansafe secondary {ipv4 | name} [SECONDAY TOWER] port http 8080 https 8080
license 0 [AUTH KEY HERE]
source interface [INTERFACE]
timeout server 30
user-group [GROUP] username [NAME]
server scansafe on-failure allow-all

変更後の設定
parameter-map type content-scan global
server scansafe primary {ipv4 | name} [NGT TOWER] port http 8080 https 8080
server scansafe secondary {ipv4 | name} [SECONDARY TOWER] port http 8080 https 8080
license 0 [AUTH KEY HERE]
source interface [INTERFACE]
timeout server 30
user-group [GROUP] username [NAME]
server scansafe on-failure allow-all

CLI を使用した設定の変更手順

IP アドレスを使用する場合は、ISR の CLI で次のコマンドを入力します。

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type content-scan global
CCWS_ISRg2(config)# no server scansafe primary ipv4 [EXISTING PRIMARY PROXY IP HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# server scansafe primary ipv4 [NEW PRIMARY NGT PROXY IP HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

FQDN を使用する場合は、ISR の CLI で次のコマンドを入力します。

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type content-scan global
CCWS_ISRg2(config)# no server scansafe primary name [EXISTING PRIMARY PROXY FQDN HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# server scansafe primary name [NEW PRIMARY NGT PROXY FQDN HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

: ライセンス キーは変更しないでください。 新しい設定をアップロードする場合は、元のキーを再入力します。

CLI - リリース 15.4(2)T よりも後のリリース

変更前の設定
parameter-map type cws global
server cws primary {ipv4 | name} [PRIMARY TOWER] port http 8080 https 8080
server cws secondary {ipv4 | name} [SECONDARY TOWER] port http 8080 https 8080
license 0 [AUTH KEY HERE]
source interface [INTERFACE]
timeout server 30
user-group [GROUP] username [NAME]
server scansafe on-failure allow-all

変更後の設定
parameter-map type cws global
server cws primary {ipv4 | name} [NGT TOWER] port http 8080 https 8080
server cws secondary {ipv4 | name} [SECONDARY TOWER] port http 8080 https 8080
license 0 [AUTH KEY HERE]
source interface [INTERFACE]
timeout server 30
user-group [GROUP] username [NAME]
server scansafe on-failure allow-all

CLI を使用した設定の変更手順

IP アドレスを使用する場合は、ISR の CLI で次のコマンドを入力します。

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type cws global
CCWS_ISRg2(config)# no server cws primary ipv4 [EXISTING PRIMARY PROXY IP HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# server cws primary ipv4 [NEW PRIMARY NGT PROXY IP HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

FQDN を使用する場合は、ISR の CLI で次のコマンドを入力します。

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type cws global
CCWS_ISRg2(config)# no server cws primary name [EXISTING PRIMARY PROXY FQDN HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# server cws primary name [NEW PRIMARY NGT PROXY FQDN HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

: ライセンス キーは変更しないでください。 新しい設定をアップロードする場合は、元のキーを再入力します。

今後の変更を避けるために、NGT に移行する場合は FQDN を使用することを推奨します。 DNS ルックアップの設定手順については、次の項を参照してください。

DNS ルックアップの設定

FQDN を使用する ISR の CWS 設定では、ドメイン名で CWS プロキシにアクセスするために DNS サーバを使用する必要があります。 ドメイン名のルックアップと DNS サーバを設定すると、ISR はプロキシ FQDN を解決できます。

hostname(config)#ip domain lookup
hostname(config)#ip name-server [ vrf vrf-name ] server-address1
server-address2...server-address6]

CWS へのコネクタとして WSA を使用する場合

Cisco WSA の場合、CWS プロキシ サーバを変更する必要があります。 この設定によって、現在のプライマリ サーバが新しい NGT に置き換わります。 これは、WSA 設定ポータルで実行します。 ここでは、手順を説明します。

  1. WSA Web ポータルにログインします。 [Network] メニューから、[Cloud Connector] を選択します。

  2. Edit Settings をクリックします。

  3. 新しいタワーに合わせてサーバ アドレスを変更します。 [Submit] をクリックします。

  4. [Commit Changes] をクリックします。

  5. コメント(任意)を入力し、WSA の変更を確定します。

CWS へのコネクタとしてネイティブ コネクタを使用している場合

ネイティブ コネクタの場合は、「agent.properties」ファイルを新しいプライマリ NGT で変更する必要があります。 これを実行するには、「プライマリ プロキシ」が NGT になるようにファイルを編集します。 次に、コネクタ サービスを再起動します。

  1. 「agent.properties」ファイルを編集します。
    • Windows の場合、agent.properties ファイルは「\Program Files (x86)\Connector」ディレクトリにあります。
    • Linux の場合、agent.propertiesファイルは「/opt/connector/」ディレクトリにあります。

    変更前の設定
    # #############################################################
    # Configure upstream service
    defaultUpstreamPort=8080

    # Primary upstream server
    primaryProxy=[PRIMARY TOWER]
    primaryProxyPort=8080
    primaryProxyType=plain

    secondaryProxy=[SECONDARY TOWER]
    secondaryProxyPort=8080
    secondaryProxyType=plain

    tertiaryProxy=
    tertiaryProxyPort=
    tertiaryProxyType=plain

    # #############################################################

    変更後の設定
    # #############################################################
    # Configure upstream service
    defaultUpstreamPort=8080

    # Primary upstream server
    primaryProxy=[NGT TOWER]
    primaryProxyPort=8080
    primaryProxyType=plain

    secondaryProxy=[SECONDARY TOWER]
    secondaryProxyPort=8080
    secondaryProxyType=plain

    tertiaryProxy=
    tertiaryProxyPort=
    tertiaryProxyType=plain

    # #############################################################
  2. サービスを再起動する。
    • Windows の場合は、Services.msc を開きます。 [Connectorand] を右クリックし、[Restart] をクリックします。

    • Linux の場合は、/etc/init.d/connector restart コマンドを入力します。

宛先 NAT を使用して CWS にリダイレクトする ASA

これは HTTP トラフィック専用です。 リリース 8.3 以降を実行する ASA は、送信元と宛先の NAT をサポートします。

宛先 NAT を使用するコネクタとして ASA を使用している場合は、ASA リリース 8.3 以降で使用可能な Manual/Twice NAT 機能を使用します。 CWS タワーにトラフィックを送信するために宛先 NAT を使用する場合は、NAT ステートメントでタワーの IP アドレスを変更する必要があります。

設定例では、ASA に 2 つのインターフェイスがあります。 「inside」(セキュリティ レベル 100)および「outside」(セキュリティ レベル 0)という名前です。

CLI

変更前の設定
! Internal Network
object network cws-protected-network
 subnet 192.168.2.0 255.255.255.0
 
! CWS existing primary tower
object network cws-primary-tower
 host [Primary Tower]
 
! Subnet to define internet
object network Internet
 subnet 0.0.0.0 0.0.0.0
 
! Destination port tcp /8080 
object service proxy-8080
 service tcp destination eq 8080
 
! Destination port tcp /80
object service original-http
 service tcp destination eq www 
 
! Nat statement to send HTTPS traffic to internet and HTTP traffic to
Cloud Web Security tower nat (inside,outside) source dynamic
cws-protected-network interface destination static Internet
cws-primary-tower service original-http proxy-8080

変更後の設定
 ! CWS Next Generation Tower
object network cws-ngt-tower
 host [NGT TOWER]

! Subnet to define internet
object network Internet
 subnet 0.0.0.0 0.0.0.0
 
! Destination port tcp /8080 
object service proxy-8080
 service tcp destination eq 8080
 
! Destination port tcp /80
object service original-http
 service tcp destination eq www 
 

! Nat statement to send HTTPS traffic to internet and HTTP traffic to
Cloud Web Security NGT tower nat (inside,outside) source dynamic
cws-protected-network interface destination static Internet
cws-ngt-tower service original-http proxy-8080

CLI を使用した設定の変更手順

IP アドレスを使用する場合は、ASA の CLI で次のコマンドを入力します。

CCWS_ASA# configure terminal
CCWS_ASA(conf)#object network cws-ngt-tower
CCWS_ASA(config-network-object)#host [NEW PRIMARY NGT PROXY IP ADDRESS HERE]
CCWS_ASA(config-network-object)#exit

CCWS_ASA(conf)#no nat (inside,outside) source dynamic cws-protected-network interface
destination static Internet cws-primary-tower service original-http proxy-8080


CCWS_ASA(conf)#nat (inside,outside) source dynamic cws-protected-network interface
destination static Internet cws-ngt-tower service original-http proxy-8080

FQDN を使用する場合は、ASA の CLI で次のコマンドを入力します。

CCWS_ASA# configure terminal
CCWS_ASA(conf)#object network cws-ngt-tower
CCWS_ASA(config-network-object)#fqdn [NEW PRIMARY NGT PROXY FQDN HERE]
CCWS_ASA(conf)#no nat (inside,outside) source dynamic cws-protected-network interface
destination static Internet cws-primary-tower service original-http proxy-8080

CCWS_ASA(conf)#nat (inside,outside) source dynamic cws-protected-network interface
destination static Internet cws-ngt-tower service original-http proxy-8080

ASDM

  1. ASDM を入力し、[Configuration] > [Firewall] > [Network Objects/Groups] を選択します。
  2. [Add] > [Network Object] を選択します。

     

  3. NGT タワーの次の情報を入力します。
    • [Name]: cws-ngt-tower
    • Type: ホスト/FQDN(環境に応じて異なる)
    • [IP Version]: IPv4
    • [IP Address/FQDN]: NGT FQDN または IP アドレス
    • 説明 (オプション)

  4. [OK] をクリックします。
  5. [Configuration] > [Firewall]> [NAT Rules] を選択します。

  6. 現在の NAT ルールを選択し、[Edit] をクリックします。

  7. [Destination Address] フィールドを編集します。 field

  8. 新しく作成された cws-ngt-tower オブジェクトを選択し、[OK] をクリックします。

  9. この設定を ASA に適用します。

CWS によるパッシブ アイデンティティ管理ソリューション

CWS 製品への Active Directory 統合でパッシブ アイデンティティ管理(PIM)を使用する場合は、ログオン スクリプトに以下の変更を行います (次の例では、バッチ名として「pim-open」を使用します)。

「pim-open.batch」を開き、バッチ ファイルを編集します。 バッチ ファイルは「<Drive>\<Install Directory> \PIM」にあります。 たとえば、「C:\PIM\pim-open.batch」にあります。

変更前の設定
C:\PIM\PIM_1.2.3.6.exe /Verbose=Y /IP /Proxy=[PRIMARY TOWER]:8080

変更後の設定
C:\PIM\PIM_1.2.3.6.exe /Verbose=Y /IP /Proxy=[NGT TOWER]:8080

CWS へのリダイレクションの方法としてタワー/明示的なプロキシ/ホスト設定に直接接続する場合

ブラウザ プロキシ設定からサービスへの直接接続の場合は、プロキシ サーバを変更する必要があります。 プロキシ設定は直接、またはプロキシ自動設定(PAC)ファイルで適用できます。 この項では、両方の方法の変更について概要を説明します。

ブラウザ内でプロキシ設定を直接変更

  1. エンドポイントの「LAN 設定」でプロキシ サーバの使用が有効になっているか確認します。
  2. 「プロキシ サーバ」設定で、プライマリ タワーの IP/FQDN を NGT IP/FQDN に変更します。

PAC ファイル

次に例を示します。

変更前の PAC ファイル
function FindProxyForURL(url, host) {
// If URL has no dots in domain name, send direct.
if (isPlainHostName(host))
return "DIRECT";
// If URL matches, send direct.
if (shExpMatch(url,"*domain123.com/folder/*"))
return "DIRECT";
// If hostname matches, send direct.
if (dnsDomainIs(host, "vpn.domain.com"))
return "DIRECT";
// If hostname resolves to internal IP, send direct.
var resolved_ip = dnsResolve(host);
if (isInNet(resolved_ip, "10.0.0.0", "255.0.0.0"))
return "DIRECT";
// DEFAULT RULE: All other traffic, use below proxies, in fail-over order.
return "PROXY [PRIMARY TOWER]:8080; PROXY [SECONDARY TOWER]:8080; DIRECT";
}

変更後の PAC ファイル
function FindProxyForURL(url, host) {
// If URL has no dots in domain name, send direct.
if (isPlainHostName(host))
return "DIRECT";
// If URL matches, send direct.
if (shExpMatch(url,"*domain123.com/folder/*"))
return "DIRECT";
// If hostname matches, send direct.
if (dnsDomainIs(host, "vpn.domain.com"))
return "DIRECT";
// If hostname resolves to internal IP, send direct.
var resolved_ip = dnsResolve(host);
if (isInNet(resolved_ip, "10.0.0.0", "255.0.0.0"))
return "DIRECT";
// DEFAULT RULE: All other traffic, use below proxies, in fail-over order.
return "PROXY [NGT TOWER]:8080; PROXY [SECONDARY TOWER]:8080; DIRECT";
}

EasyID を使用する場合に必要なファイアウォールの変更

EasyID の推奨ネットワーク設定は、お客様がポータルにリストされている特定の CWS データセンターの IP アドレスからそれぞれのファイアウォールのポートのみを開いて LDAP サーバにアクセスできるようにすることです。 プライマリまたはバックアップ/セカンダリの NGT に移行する前に、ファイアウォール ルールを更新して新しい NGT IP アドレスを含めます。

新しい Embassy タワーが NGT の割り当てとともに提供されます。 インバウンド アクセス コントロール リスト(ACL)ルールに NGT Embassy タワーを含める必要があります。 NGT Embassy の IP アドレスは、ScanCenter ポータル(EasyID 管理レルム)で確認できます。

変更前のアクセス コントロール リスト
Allow inbound traffic from EXISTING EMBASSY TOWERS to LDAP SERVERS on ports tcp/389
or tcp/636 (if secured LDAP)

変更後のアクセス コントロール リスト
Allow inbound traffic from NEW NGT EMBASSY TOWERS to LDAP SERVERS on ports tcp/389
or tcp/636 (if secured LDAP)

更新されたリストについては、[Scancenter] > [Admin] > [Authentication] > [Managementchoose] を選択します。

この項では、アクティブな [Authentication Realms] で [Edit] をクリックします。 次のセクションでは、更新された IP アドレスのリストがこの画面に示されます。

 

許可されるサーバのリスト更新ができたら、[Check Connection] を使用して、すべてのタワーからの接続が正常で、ステータスが緑になっていることを確認します。

[Check Connection] では、すべてのタワーの接続をテストするのに数分かかる場合があります。

ファイアウォール設定の変更(必要な場合)

現在のファイアウォール環境でタワーへのインバウンドまたはアウトバウンド(あるいはその両方)のアクセスが可能な場合は、これらの変更を NGT について行う必要があります。

現在の CWS タワーへのアウトバウンド アクセスを許可している ACL はすべて、新しい次世代 CWS タワーへのアウトバウンド アクセスを許可するよう変更する必要があります。

変更前のアクセス リスト

access-list [NAME] extended permit tcp any [TOWER-IP] eq 8080

変更後のアクセス リスト

access-list [NAME] extended permit tcp any [NGT-TOWER-IP] eq 8080

現在の CWS タワーへのインバウンド アクセスを許可している ACL はすべて、新しい次世代 CWS タワーへのインバウンド アクセスを許可するよう変更する必要があります。

変更前のアクセス リスト

access-list [NAME] extended permit tcp [TOWER-IP] eq 8080 any

変更後のアクセス リスト

access-list [NAME] extended permit tcp [NGT-TOWER-IP] eq 8080 any

次世代タワーの出力 IP アドレス範囲

ビジネス パートナー/外部ベンダーにトラフィックの発信元を知らせるために出力 IP アドレス範囲を提供する必要がある場合は、この表に従って ACL を調整します。

次世代タワー

出力 IP アドレス範囲

ロンドン

108.171.128.160 ~ 108.171.128.223

セコーカス

108.171.130.160 ~ 108.171.130.223

ダラス

108.171.132.160 ~ 108.171.132.223

シドニー

108.171.134.160 ~ 108.171.134.223

シカゴ

108.171.131.160 ~ 108.171.131.223

フランクフルト

108.171.129.160 ~ 108.171.129.223

ワシントン D.C.

108.171.133.160 ~ 108.171.133.223

San Jose

108.171.135.160 ~ 108.171.135.223

サンパウロ

108.171.138.160 - 108.171.138.223

FAQ

1. 内部の変更要求で必要なものは何ですか。

リダイレクション方式/導入に応じて、NGT プロキシへのトラフィックを許可するするために設定の変更が必要になります。 コネクタ デバイス/PAC/PIM スクリプトで、プライマリ プロキシの IP アドレスまたは FQDN を変更する必要があります。 シスコは、ダウンタイム要件はないものと予測しています。 プライマリ プロキシを変更すると、サービスはセカンダリ プロキシ(設定されている場合)にフォールバックします。

2. NGT について技術的な問題がある場合、現在のプロキシに戻るのですか。

Cisco Technical Assistance Center(TAC)でサービス要求を開きます。 会社名、現在のプライマリ プロキシ アドレス、新しい NGT プロキシ アドレス、件名 「NGT への移行」および問題の簡単な説明を含めます。

3. お客様はシスコから NGT プロキシへの移行に関する通知を電子メールで受け取りますか。

シスコから通知を受けるお客様だけが移行を行う必要があります。 NGT への移行は段階的に行われ、そのつど通知されます。 電子メール通知を受信せず、同じ国/地域で使用可能な NGT を含むプライマリ プロキシを現在使用していると思われる場合は、cws-migrations@cisco.com に問い合わせて確認してください。

4. NGT プロキシに移行するために追加のライセンスは必要ですか。

サービスを NGT プロキシに移行するために追加のライセンス要件は必要ありませんん。ご安心ください。

5. 移行前または後に、ライセンス キーや Scan Center ポリシーを変更する必要はありますか。

すべてのライセンス キーとポリシーは Scan Center ポータルでは変更されません。

6. タワー名に IP アドレスではなく FQDN を使用しています。  DNS の A レコードを変更する場合、トラフィックは NGT プロキシに自動的に転送されるのですか。それとも、NGP プロキシを手動でポイントする必要がありますか。

移行は段階的に計画されているため、シスコは現在のプライマリ プロキシと NGT プロキシの両方を割り当て、それらが 2 つの異なる IPアドレスに解決されます。 NGT プロキシは一意の IP アドレスを所有します。 したがって、お客様は NGT に属する FQDN/IP アドレスを手動で変更する必要があります。

7. アップストリーム ファイアウォールまたは ISP の側にはどのような変更が必要ですか。

アウトバウンド トラフィックの ACL がある場合は、TCP/8080(AnyConnect およびセキュア(スタンドアロン)コネクタの場合は、TCP/443 も必要)で NGT の宛先へのトラフィックを許可します 移行の電子メールで割り当てられる FQDN/IP アドレスを参照してください。

8. 組織内には、さまざまなタワーが設定された CWS を使用する複数のサイトがあります。 移行が必要なサイトはどのようにして確認しますか。

CWS カスタマー サービス チームは、各場所に応じて新しい NGT プロキシを割り当てます。 現在のすべての場所で NGT プロキシが使用可能になるとは限りません。

9. 組織内には、移行の通知を受けたサイトが複数あります。 段階的に移行することは可能ですか。

一度にすべてのサイトを移行する必要はありません。 ただし、要求された移行期間中にすべてのサイトを移行することを推奨します。

10. CWS の導入と設定に精通していません。 変更に役立つシスコの自動設定または移行ツールはありますか。

いいえ、シスコでは、自動設定/移行を支援するツールは用意していません。 導入方法に基づく詳細な移行ガイドをご利用いただけます。 問題が発生した場合は、cws-migration@cisco.com までお問い合わせください。

11. IP アドレスに基づくトラフィックが制限されているビジネス パートナー/外部ベンダーがいる場合、新しい NGT の出力 IP アドレス範囲はどうなりますか。

次世代タワー

出力 IP アドレス範囲

ロンドン

108.171.128.160 ~ 108.171.128.223

セコーカス

108.171.130.160 ~ 108.171.130.223

ダラス

108.171.132.160 ~ 108.171.132.223

シドニー

108.171.134.160 ~ 108.171.134.223

シカゴ

108.171.131.160 ~ 108.171.131.223

フランクフルト

108.171.129.160 ~ 108.171.129.223

ワシントン D.C.

108.171.133.160 ~ 108.171.133.223

San Jose

108.171.135.160 ~ 108.171.135.223

サンパウロ

108.171.138.160 - 108.171.138.223

12. EasyID またはセキュリティ アサーション マークアップ言語認証の仕組みに変更はありますか。

はい、エッジ/ファイアウォール デバイスでの受信を許可するには、EasyID の IP アドレスを変更する必要があります。 ScanCenter ポータルの EasyID セクションで IP アドレスのリストを表示できます。 ファイアウォール ポリシーで、ポート TCP 389/3268 または TCP 636/3269(LDAP)の新しい EasyID IP アドレスから Lightweight Directory Access Protocol(LDAP)へのインバウンド アクセスが許可されているか確認します。

13. スイッチオーバーのためにスケジュールする必要があるダウンタイムはどのくらいですか。

コネクタ(ASA/ISR/WSA/ネイティブ コネクタ)に設定されているバックアップ タワーがあるので、理想的にはダウンタイムはありません。 推奨されるベスト プラクティスは、ピーク外の時間または営業時間後に移行を実行することです。

14. CWS 設定以外にネットワークで行う必要があるのはどのような変更ですか。

エッジ/ファイアウォール デバイスおよびポリシー ベース ルーティングにアウトバウンド ACL が設定されている場合は、貴社に割り当てられた NGT プロキシの FQDN/IP アドレスで更新します。

15. NGT に移行する場合、レポートは中断されますか。

ScanCenter ポータルでスケジュールされ、保存されたレポートに変更はありません。

16. NGT プロキシに到達するために実行できる接続テストはどれですか。

ポート TCP/8080 で割り当てられた NGT プロキシに対する TCP PING または Telnet を実行できます。

17. NGT プロキシへの移行が成功したことを確認するには何をチェックしますか。

「whoami.scansafe.net」を参照し、「logicalTowerNumber」を検証します。 「logicalTowerNumber」は、10000 にアクセス ポイント番号を加算した数値です。 たとえば、「access66.cws.sco.cisco.com」が割り当てられている場合、logicalTowerNumber は 10066 になります。

18. NGT プロキシの FQDN と IP アドレスのどちらを使用すべきですか。

今後の変更を避けるために、NGT に移行する場合は FQDN を使用することを推奨します。

19. AnyConnect Web セキュリティ モジュールを使用するモバイル ユーザが実行する必要があるのはどのような変更ですか。

AnyConnect クライアントのユーザの場合、NGT 移行について変更の必要はありません

20. NGT に移行するときにプライマリ タワーに加え、セカンダリCWS タワーを変更する必要がありますか。

はい、プライマリ タワーとセカンダリ タワーの両方を、割り当てに従って変更する必要があります。

移行の問題点

すべての NGT への移行の問題については、以下の方法でサービス要求をログに記録します。

  • 電話:
    • US: 1(877) 472-2680
    • EMEA: 44(0) 207-034-9400
    • APAC:  (64) 800513572

 

Notifica か。か。o Pr か。- Migra か。か。o: Melhoramentos na Infraestrutura da Cisco クラウド Web セキュリティ データセンタ無し de S か。o パウロ

コモ parte は compromisso da Cisco パラグラフ continuamente melhorar qualidade das nossas ofertas de Seguran をしますか。コモ umservi か。o は、encontramo NOS atualmente implementar melhoramentos 考慮しますか。veis na infraestrutura que providencia o seu servi か。o Cisco クラウド Web セキュリティ(anteriormente Scansafe) em S か。o パウロ、ブラジル。

De forma aceder esta aperfei か。oada infraestrutura、か。 qual NOS referimos como 「次のジェネレーション タワー」(torre de nova ゲーラか。か。o) ou 「NGT」、ter か。o de proceder か。 migra か。か。o dos プロキシは整えますか。secund リオ e か。リオ que atualmente utilizam パラグラフ aceder ao servi か。o Cloud Web セキュリティ パラグラフ um novo プロキシ NGT。 データ prevista パラグラフ iniciar este processo de migra か。か。o 米国東部標準時刻か。 atualmente marcada パラグラフ o か。cio de Fevereiro de 2016 e mesma 開発者 ser completada のか。 13 de 3 月か。o de 2016。 O envio desta pr か。- notifica か。か。o tem como objetivo facultar aos nossos clientes テンポ suficiente パラグラフ planear e agendar quaisquer janelas de は manuten か。か。o necess か。rias quer パラグラフひれ internos (endere か。os de proxy) quer パラグラフ neg か。cio externo/parceiros de neg か。cios (intervalo 出力)。

Por 優先 tenha em は aten か。か。o que n か。o ser か。 facultada qualquer extens か。o de prazo パラグラフ migra か。か。o ap か。s 13 de Ma か。o de 2016。 medidas necess として Pelo que agradecemos que 巻 todas か。rias パラグラフ preparar esta migra か。か。o obrigat か。ria。 n か。o migra か。か。o のか。 13 de 3 月か。resultar o か。 na perda de servi か。o.

Receber か。 um novo E メールいいえか。cio de 2016 com informa か。か。o necess か。ria パラグラフ esta migra か。か。o、incluindo os detalhes dos プロキシ NGT atribu か。dos especificamente cada cliente。 Entretanto、por 優先 tenha em considera か。か。o desde j か。 os novos intervalos 出力パラグラフ o DC de S か。o パウロ: 108.171.138.160 - 108.171.138.223 Aconselhamos os nossos clientes informarem desde j か。 os seus parceiros de neg か。cio destes novos intervalos 出力。

Caso pretenda obter mais informa か。か。ES por 優先 visite nossa p か。ジナ Web パラグラフ perguntas frequentes e Instru か。か。ES パラグラフ Migra か。か。encontrar o onde か。 instru か。か。completar ES パラグラフ migra か。か。o、suas configura として modificar incluindo か。か。ES NOS equipamentos Cisco (ASA、ISR、WSA、等)パラグラフ enviar o tr か。fico da rede パラグラフ esta infraestrutura aperfei か。oada。

Tamb か。encontrar m か。 informa か。か。o que poder か。 necessitar de partilhar com o seu departamento de は知らせますか。tica ou com o departamento de は知らせますか。tica de um parceiro tal como o novo intervalo de egress IP パラグラフ NGT。

Por 優先 aceda este リンク パラグラフ Perguntas Frequentes e Instru か。か。ES de Migra か。か。o

equipas de Opera としてか。か。ES e Presta か。か。o de Servi か。os da Cisco encontram se dispon か。veis パラグラフ assegurar ユマ transi か。か。o simples e eficiente パラグラフ新星 infraestrutura。 Caso existam 探求か。ES relativamente か。 migra か。か。o das suas atuais conex か。ES que n か。o se encontrem na nossa p か。ジナ Web パラグラフ Perguntas Frequentes e Instru か。か。ES パラグラフ Migra か。か。o、E メール atrav による por 優先 contacte NOS か。s は endere か。o cws-migrations@cisco.com

IMPORTANTE - POR 優先 LEIA: Se n か。o か。 pessoa que devia receber estas notifica か。か。ES em nome da sua empresa、por 優先 ajude NOS assegurar que pessoa correta か。 alertada パラグラフ esta importante informa か。か。o o mais ブレーヴェ poss か。vel。 Tamb か。atualizar m pode lista de endere か。os de e-mail パラグラフ notifica か。か。ES da sua empresa atrav か。s は seu ScanCenter 門脈 efetuando o ログオン パラグラフ p か。ジナ「Inicio」e selecionando o separador 「Admin」。 Em seguida は、古い o ponteiro rato sobre o separador 「Sua Conta」e selecione 「Notifica をしますか。か。ES」。 Em seguida 派閥 bots 無しか。o 「Gerenciar configura か。か。es de atualiza か。か。o は servi か。o」e assegure se de que caixa de verifica か。か。o 「de atualiza Enviar e-mails か。か。o は servi か。o」米国東部標準時刻か。 selecionada。 Por fim adicione o endere か。de atualiza o de e-mail da pessoa correta na caixa de texto ao lado de 「Enviar e-mails か。か。o は servi か。passar o」e esta か。 receber notifica か。か。es de incidentes e trabalhos de は manuten か。か。o.

Com os melhores cumprimentos、

equipa Cisco de Opera か。か。ES e Presta か。か。o de Servi か。os

 

Notificaci か。前migraci n か。n: Mejoras EN la infraestructura de Cisco クラウド Web セキュリティ(CWS) EN サンパウロ DC

コモ parte del compromiso de Cisco de mejorar continuamente la calidad de nuestras ofertas de セキュリティようにサーヒス、estamos realizando mejoras significativas EN la infraestructura que ofrece el servicio de Cisco クラウド Web セキュリティ(anteriormente ScanSafe) EN サンパウロ、ブラジル。

パラグラフ acceder esta infraestructura mejorada、la que NOS referimos como 「次のジェネレーション タワー」(Torre de nueva generaci か。n) o 「NGT」、SU actuales proxys primario y バックアップ asignados Al servicio de Cisco クラウド Web セキュリティ tendr か。n que ser migrados una nueva asignaci か。n de proxys de NGT。 La fecha de inicio de esta migraci か。n NGT 米国東部標準時刻か。 actualmente planeada パラグラフ principios de febrero de 2016 y la migraci か。n debe ser completada は del 13 de marzo de 2016 に賭け金を置きます。 Estamos enviando 詐欺 antelaci か。n esta notificaci か。n パラグラフ proporcionar nuestros clientes el tiempo suficiente パラグラフ planificar y programar las ventanas de cambio necesarias、ya 海詐欺支柱か。sitos internos (cambio de direcciones de proxys) o 詐欺師 sus socios de negocios/comerciales externos (rangos de IP p か。blica)。

Por 優先 tenga EN cuenta que proporcionar se 無しか。 ninguna extensi か。n de migraci か。n m か。s すべてか。 del 13 de marzo de 2016。 Por lo tanto、por 優先、巻 las medidas necesarias パラグラフ prepararse パラグラフ este pr か。ximo cambio obligatorio。 Si pudiera migrar パラグラフ el 13 de marzo se traducir 無しか。EN una p か。rdida del servicio。

Usted recibir か。 電気 otro correo か。ニコ principios de 2016 詐欺 la informaci か。n necesaria パラグラフ esta migraci か。n incluyendo SU asignaciones espec か。ficas de proxys NGT。 Mientras tanto、por 優先、tenga EN cuenta que el nuevo rango de IP de salida de サンパウロ DC ES: 108.171.138.160 - 108.171.138.223。 Animamos nuestros clientes notificar SU socios externos、詐欺 antelaci か。n la migraci か。n、posible de este rango de salida adicional 詐欺 la 市長 brevedad。

Si desea obtener m か。s informaci か。n、visite nuestra p か。ジナ de preguntas frecuentes e instrucciones パラグラフ las migraciones、encontrar donde か。 las instrucciones パラグラフ la migraci か。n、incluyendo la modificaci か。n de las configuraciones en dispositivos Cisco (ASA、ISR、WSA、等)パラグラフ enviar el tr か。fico de レッド estas nuevas infraestructuras mejoradas (NGT)。 Usted tambi か。encontrar n か。 informaci か。n que puede que tenga que compartir 詐欺 SU departamento de IT o 詐欺 SU socios como el nuevo rango de direcciones IP de salida パラグラフ NGT。

Haga clic aqu か。 パラグラフ Preguntas Frecuentes e Instrucciones de Migraci か。n

LOS equipos de Cisco de Operaciones y Despliegue del Servicio 米国東部標準時刻か。n disponibles パラグラフ asegurar una transici か。n sencilla y eficaz hacia las nuevas infraestructuras mejoradas。 Si usted tiene alguna pregunta acerca de la migraci か。n de sus conexiones actuales que se respondi 無しか。 EN las preguntas frecuentes、por 優先 p か。電気 ngase EN contacto 詐欺 nosotros usando el correo か。ニコ cws-migrations@cisco.com

IMPORTANTE - POR 優先草原: Si は ES la ペルソナ que debe recibir estas notificaciones en nombre de su empresa を、ay por 優先 not usted か。denos asegurar que la ペルソナ責任がある obtenga esta importante informaci か。posible n EN la 市長 brevedad。 Tambi か。n puede actualizar la configuraci か。n de suscripci か。n de notificaci か。n de su empresa desde SU 門脈 ScanCenter ingresando EN la p か。ジナ de 「ホーム」y seleccionando la pesta か。「Admin」。 continuaci か。n、coloque el puntero del rat か。n sobre la pesta か。「アカウント」y seleccione 「Notificacions」。 continuaci か。n、haga clic EN el bots か。n 「サービス アップデート設定」y aseg 管理して下さいか。de rese que la casilla de verificaci か。n は「サービス アップデート電子メール」米国東部標準時刻を送信 しますか。 marcada。 Por か。ltimo、agregar la direcci か。電気 n de correo か。ニコ de la persona 責任がある EN el cuadro de texto 徒党は「送信サービス アップデート」y を E-メールを送りますか。sta recibir か。 notificaciones de cara Al futuro de incidentes y trabajos de mantenimiento。

国連誠心誠意 saludo、

LOS equipos de Operaciones y Despliegue del Servicio de Cisco クラウド Web セキュリティ

関連情報



Document ID: 118478