ASA CX および Cisco Prime Security Manager 9.3 ユーザ ガイド
ASA CX の使用例
ASA CX の使用例

ASA CX の使用例

ここでは、ASA CX で実行する共通のタスクについていくつか説明します。

ASA CX をトランスペアレント モードで設定する方法

従来、ファイアウォールはルーテッド ホップであり、保護されたサブネットのいずれかに接続するホストのデフォルト ゲートウェイとして機能します。 これに対し、トランスペアレント ファイアウォールは、「Bump In The Wire」または「ステルス ファイアウォール」のように動作するレイヤ 2 ファイアウォールであり、接続されたデバイスへのルータ ホップとしては認識されません。 代わりに ASA はインターフェイス間で同じネットワークを接続します。

次の図に、トランスペアレント ファイアウォールの一般的な例を示します。 ブリッジ グループ インターフェイスを設定して、同じネットワークに接続するインターフェイスをグループ化します。

図 1. トランスペアレント ファイアウォール ネットワーク



トランスペアレント ファイアウォールはルーティングされたホップではないので、既存のネットワークに簡単に導入できます。 トランスペアレント モードで動作するように ASA を設定すると、ASA CX は自動的にトランスペアレント モードで動作します。

次の手順は、ASA をトランスペアレント モードで設定する基本的な例を示しています。 ASA CLI を使用してモードを設定します。 設定のトランスペアレント モードの幅広い情報のために、 ASA コンフィギュレーション ガイドのいずれか(たとえば、 http:/​/​www.cisco.com/​c/​en/​us/​td/​docs/​security/​asa/​asa91/​configuration/​general/​asa_91_general_config/​intro_​fw.html のトランスペアレント モードの章を参照してください。

はじめる前に

この例では、すでに ASA CX ネットワークがASA CX ソフトウェアの設定の説明に従って設定されていることを前提としています。 ただし、この手順を完了した後で、基本的な設定を行うことができます。

手順
    ステップ 1   コンソール ポートを使用して ASA CLI にログインします。

    SSH クライアントを使用しているときにファイアウォール モードを変更すると、コンフィギュレーションがクリアされるときに切断されるので、いずれにしてもコンソール ポートを使用して ASA に再接続する必要があります。

    ステップ 2   コンフィギュレーション モードを開始し、ファイアウォール モードをトランスペアレントに設定します。

    例:
    ciscoasa# conf t 
    ciscoasa(config)# firewall transparent 
    INFO: UC proxy will be limited to maximum of 2 sessions 
    by the UC Proxy license on the device
    
    
    ステップ 3   インターフェイスとブリッジ グループを設定します。

    例:

    次の例で、内部インターフェイスと外部インターフェイスを作成し、これらをブリッジ グループ 1 に追加して、ブリッジ グループに管理 IP アドレスを割り当てる方法を示します。 この例では、以前のインターフェイス設定があることを前提としており、show コマンドを使用して入力を確認します。

    ciscoasa(config)# int g0/0
    ciscoasa(config-if)# no shut
    ciscoasa(config-if)# nameif inside
    INFO: Security level for "inside" set to 100 by default.
    ciscoasa(config-if)# bridge-group 1
    ciscoasa(config-if)# int g0/1
    ciscoasa(config-if)# nameif outside
    INFO: Security level for "outside" set to 0 by default.
    ciscoasa(config-if)# no shut
    ciscoasa(config-if)# bridge-group 1
    ciscoasa(config-if)# int BVI1
    ciscoasa(config-if)# ip address 10.1.1.2 255.255.255.0
    ciscoasa(config-if)# sh run int g0/0
    !
    interface GigabitEthernet0/0
     nameif inside
     bridge-group 1
     security-level 100
    ciscoasa(config-if)# sh run int g0/1
    !
    interface GigabitEthernet0/1
     nameif outside
     bridge-group 1
     security-level 0
    ciscoasa(config-if)# sh run int BVI1
    !
    interface BVI1
     ip address 10.1.1.2 255.255.255.0 
    ciscoasa(config-if)# exit
    ciscoasa(config)#
    
    
    ステップ 4   トラフィック リダイレクション ポリシーを設定します。

    例:

    次の例で、アクティブな認証ポリシーをサポートするように認証プロキシをイネーブルにして、すべてのトラフィックを ASA CX にリダイレクトする例を示します。 何らかの理由で ASA CX が利用できない場合、トラフィックは ASA セキュリティ ポリシー(フェール オープン)に基づいて ASA を通過します。

    asa(config)# policy-map global_policy
    asa(config-pmap)# class class-default
    asa(config-pmap-c)# cxsc fail-open auth-proxy
    asa(config-pmap-c)# exit
    asa(config-pmap)# exit
    asa(config)#
    
    
    ステップ 5   ポリシー マップがまだアクティブ サービス ポリシーでない場合は、service-policy コマンドを使用してイネーブルにする必要があります。

    必要な場合、コマンドの no 形式を使用して、既存のサービス ポリシーを削除します。 たとえば、次のコマンドによって、ユーザ定義のグローバル ポリシーが削除され、デフォルトのグローバル ポリシーに置き換えられます。



    例:
    asa(config)# no service-policy existing_global_policy global 
    asa(config)# service-policy global_policy global 
    asa(config)#
    
    
    ステップ 6   write memory と入力して、変更を実行コンフィギュレーションに保存します。

    次の作業

    これで、ASA CX セキュリティ ポリシーを設定し、ASA CX Web インターフェイスを使用してトラフィックをモニタできるようになります。

    ハイ アベイラビリティの設定方法

    Cisco HA(ハイ アベイラビリティ)により、ネットワークのどの場所でも発生する障害からの高速回復が可能になり、ネットワーク規模での保護が実現されます。 Cisco HA を使用すると、ネットワークのハードウェアおよびソフトウェアが連携し、中断からの高速回復が可能となるため、ユーザおよびネットワーク アプリケーションへの障害の透過性が保証されます。

    ASA デバイスのハイ アベイラビリティの設定には、専用フェールオーバー リンクを介して互いに接続されている 2 台の同じユニットが必要で、一方はトラフィックを渡すアクティブ ユニット、もう一方はスタンバイ状態で待機するユニットにする必要があります。 アクティブ ユニットおよびインターフェイスの状態は、特定のフェールオーバー条件に一致しているかどうかを確認するためにモニタされます。 これらの条件に一致すると、フェールオーバーが発生し、スタンバイ ユニットがトラフィックの処理を開始します。

    2 台のデバイスをハイ アベイラビリティ用に設定するには、次の条件が満たされている必要があります。

    • 両方のユニットが同じモデルで、インターフェイスの数と種類が同じで、搭載されている RAM の容量が同じである必要があります。

    • 両方のユニットが同じモード(ルーテッドまたはトランスペアレント、シングル コンテキストまたはマルチ コンテキスト)で動作している必要があります。 ソフトウェア バージョンは、メジャー(最初の番号)およびマイナー(2 番目の番号)ともに同じである必要があります。

    • それぞれに、適切なライセンスが必要です。

    Cisco Prime Security ManagerPRSM)を使用して、アクティブ/スタンバイ フェールオーバー モードで動作している ASA デバイスのペアを管理およびモニタできます。 これらのデバイスには、オプションで、CX モジュールを含むことができ、それらもフェールオーバーします。 マルチ コンテキスト モードで設定されているなど、サポートされていない ASA にデバイスが存在する場合、CX モジュールを HA ペアとして追加することができます。 各 HA ペアは単位として管理されます。

    次の機能は、PRSM の HA 設定でサポートされます。

    • シングル コンテキスト ルーテッド モードでの Active/Standby フェールオーバー。
    • ステートレス フェールオーバーとステートフル フェールオーバーがサポートされています。
    • インターフェイス フェールオーバーのモニタリング。
    • フェールオーバー モニタリングが必要なすべてのインターフェイスに対するインターフェイスのスタンバイ設定。
    • フェールオーバー LAN の設定。
    • HTTP レプリケーション、キー割り当て、およびフェールオーバー基準の設定。

    フェールオーバーのトリガー

    次のいずれかが発生すると、フェールオーバーがトリガーされます。

    • プライマリ ASA でハードウェア障害または電源断が発生した。

    • プライマリ ASA でソフトウェア障害が発生した。

    • 多くのモニタ対象インターフェイスが故障した。

    • no failover active コマンドがアクティブ装置に入力されたか、failover active コマンドがスタンバイ装置に入力された。

    ASA CX のフェールオーバーの注意事項

    ASA CX のフェールオーバーに関しては、次の点に注意してください。

    シナリオ

    注意点と解決法

    ステートフル フェールオーバー

    トランザクションのステートフル フェールオーバーは、CX-1 を通りません。

    • 進行中のセッションは、ASA-2 によって正常に処理されます(CX-2 に送信されません)。

    • 新しいセッションは CX-2 に送信されます。

    イベント

    イベントは、両方のシステムから表示されますが、集約されません。

    CX ユーザ認証

    進行中のトランザクションの CX ユーザ認証はフェールオーバーしません。

    復号化

    復号化されたトラフィックの場合、ユーザはブラウザのキャッシュをクリアして、ページをリロードする必要があります。

    HA ペアの設定とモニタリング

    次の手順では、デバイスのペアをフェールオーバー用に設定する方法を説明し、PRSM でモニタリングできることを確認します。 (手順については、ハイ アベイラビリティの管理 で詳しく説明されています)。

    手順
      ステップ 1   Adaptive Security Device Manager(ASDM)またはコマンドライン インターフェイス(CLI)を使用して、アクティブ/スタンバイ フェールオーバー用に ASA デバイスのペアを設定します。
      ステップ 2   PRSM インベントリにすべてのデバイスを追加します。
      ステップ 3   フェールオーバー設定を確認するには、ペアになったバイスのアクティブ メンバの [High Availability] ページに移動します。

      [HTTP Replication] がデバイスに対してイネーブルであることを確認します。 これによって、HTTP 接続がデバイス間のステート情報のレプリケーションに含まれ、ユーザはフェールオーバー中に中断することなくファイルの参照、ストリーミング、およびダウンロードができます。


      ネットワーク トラフィックを調べる方法

      ポリシーを ASA CX に実装する前に、ネットワークで実際に発生しているトラフィックを調べると役立ちます。 トラフィックを禁止せずに、すべてのトラフィックを処理するように ASA CX を設定できます。 ASA 上の既存のファイアウォール ルールをそのままにすると、現在のセキュリティ レベルを下げずに、ASA CX のモニタリング機能を使用してネットワーク トラフィックを分析できます。

      ASA CX レポートによって、次のことがわかります。
      • ネットワークの用途

      • 最も多くネットワークを使用しているユーザ

      • ユーザの接続先

      • ユーザが使用しているデバイス

      • 最もヒットしているポリシー

      ASA CX の暗黙のアクセス ポリシーによる動作は、すべてのトラフィックの許可です。 ダッシュボードで「Implicit Allow」という名前の、このポリシーを使用できますが、すべてのトラフィックを許可する明示的なポリシーも作成できます。 このルールは大量のトラフィック分析データが適切であるが、 ID ポリシーがダッシュボード ユーザ ベースの情報を入手する必要があります。

      次の手順で、ASA CX がトラフックをモニタするように設定する方法を説明し、設定ポリシーおよびモニタリング ポリシーのエンドツーエンド プロセスの概要を示します。

      手順
        ステップ 1   ASA からのすべてのトラフィックを ASA CX にリダイレクトします。

        リダイレクション ポリシーを定義するときに、ポリシーを特定のインターフェイスまたはポートに制限しないでください。 代わりに、ダッシュボードがすべてのトラフィックを反映するように、単純にすべてのトラフィックを ASA CX に送信します。 ASA アクセス ルールによって着信インターフェイスでトラフィックがドロップされると、そのトラフィックは ASA CX に送信されません。

        トラフィック リダイレクションの詳細については、ASA CX SSP にトラフィックを送信する ASA の設定を参照してください。

        ステップ 2   (任意)明示的な Allow All Traffic アクセス ポリシーを設定します。
        1. Configurations > Policies/Settings を選択し、[Access Policies][Access Policies]タブを開きます。

          (マルチ デバイス モードのみ)。 デバイス ビューで選択した特定のデバイスのタブを開くか、またはリポジトリ ビューでデバイスとは無関係にポリシーを開くことができます。

          ヒント   

          マルチ デバイス モードモードでは、このタブに CX デバイスおよび親 ASA の両方のアクセス ポリシーが含まれます。 CX アクセス ポリシーのセクションで作業していることを確認します。

        2. ポリシー セットを選択し、[Add policy at the top] ボタンをクリックします。




        3. アクセス ポリシーのプロパティで、ポリシーの名前(「Allow All Traffic」など)を入力し、すべてのトラフィック照合フィールドをデフォルトの [Any] のままにして、[Save Policy] をクリックします。

          ポリシー リストに新しいポリシーが表示されます。 時計アイコンは、変更が保留されていることを示します。ポリシーは、変更が保存されるまで、アクティブになりません。





        ステップ 3   (任意)ユーザの動作を調べるには、トラフィック フローに関連付けられているユーザを識別するアイデンティティ ポリシーを設定する必要があります。
        ユーザ情報を取得する、相互排他ではない 2 つのオプションがあります。
        • アクティブ認証を使用します。この場合、NTLM または Kerberos を使用して透過的に認証するか、ユーザが ASA CX を通じてネットワーク接続を行ったときに、認証プロンプトに応答するように要求します。 アクティブ認証の利点として、ユーザ ID を取得できる点があります。 ただし、ユーザは、ネットワークにログインした後、最初に HTTP 接続試行を行う場合にだけ認証されます。 したがって、ログインからユーザのトラフィックのユーザ ID を取得するまでに遅延が発生し、ID ベースのポリシーの値に影響を与える可能性があります。

        • Context Directory Agent(CDA)または Active Directory(AD)ログインに基づいてパッシブにユーザと IP アドレスのマッピングを取得するように、AD エージェントを設定します。 CDA または AD エージェントを使用する利点として、ユーザのログイン時にユーザ ID が取得されるため、ユーザが HTTP 接続をする前にアイデンティティ ベースのポリシーを適用できる点があります。

        次の手順で、アクティブ認証を使用する方法を説明します。 ディレクトリ レルムを作成し、ディレクトリをレルムに追加して、アイデンティティ ポリシーを設定する必要があります。

        1. [Components] > [Directory Realm] を選択します。
        2. [I Want To] > [Add Realm] を選択します。
        3. [Add Realm] フォームで、レルムの名前を入力し、ディレクトリ タイプを選択します。 Active Directory を選択する場合は、プライマリ ドメイン名と、ドメインに参加できるユーザ名およびパスワードも入力する必要があります。

          詳細については、ディレクトリ レルムの設定を参照してください。 [Test Domain Join] リンクをクリックして、AD ドメインにデバイスが参加できることを確認します。 次の図は、AD レルムの設定例です。





        4. [Save] をクリックしてディレクトリ レルムを作成し、レルムのリストに戻ります。 直接 ASA CX を(シングル デバイス モードで)設定していて、これが最初のレルムである場合、レルムのアイデンティティ ポリシーが自動的に作成されます。
        5. 作成したレルムの上にマウスを置き、[Add New Directory] をクリックします。




        6. [Add Directory] フォームで、ディレクトリの DNS 名または IP アドレスを入力し、ディレクトリからユーザおよびグループの情報を取得するために必要なその他の属性を入力します。

          各フィールドの詳細については、ディレクトリのプロパティを参照してください。 [Test Connection] リンクをクリックして、入力した値を確認します。 次の図は、AD ディレクトリの設定例です。 [Save] ボタンの横のテスト結果メッセージに注意してください。





        7. [Save] をクリックして、ディレクトリをレルムに追加します。

          次の図に、完了したレルムを示します。 変更保留中の時計アイコンに注意してください。これは、アクティブな設定の一部にするには、変更を保存する必要があることを示しています。





        8. Configurations > Policies/Settings を選択し、[Identity Policies][Identity Policies]タブを開きます。

          (マルチ デバイス モードのみ)。 デバイス ビューで選択した特定のデバイスのタブを開くか、またはリポジトリ ビューでデバイスとは無関係にポリシーを開くことができます。

        9. 次のいずれかを実行して、アイデンティティ ポリシーを設定します。
          • レルムを追加したときに、自動的にアイデンティティ ポリシーが作成された場合は、ポリシーを選択し、[Edit Policy] をクリックします。

          • それ以外の場合は、アイデンティティ ポリシーのセットを選択し、[Add policy at the top] ボタンをクリックします。

        10. アクションとして [Get Identity via Active Authentication] を選択し、必要に応じて他のポリシー設定を調整します。

          AD を使用する場合は、実行する認証のタイプを選択できます。 [Advanced] を選択すると、AD ディレクトリ サーバおよびクライアントでサポートされる最も強力な方式でデバイスのネゴシエートができます。 ポリシー名も調整できます。また、ポリシーをすべての送信元および宛先に適用するのではない場合は、送信元と宛先も調整できます。 その他のオプションの詳細については、アイデンティティ ポリシーのプロパティを参照してください。

          次の図に、ネゴシエートされた認証方式でアクティブ認証を設定するときのアクション設定を示します。





        11. [Save Policy] をクリックします。
        ステップ 4   変更を保存します。

        ポリシーの変更は、すぐには適用されません。 明示的に保存する必要があります。 このステップによって、部分的に設定された状態でデバイスを動作させることなしに、密接に関連する複数の変更を行うことができます。

        1. メニュー バーの右側にある [Changes Pending] リンクをクリックします。




        2. [Commit] をクリックして、変更を設定データベースに保存します。




        ステップ 5   ダッシュボードと Event Viewer を使用して、トラフィックを分析します。
        次の内容を表示できます。
        • ネットワーク全体の使用状況。

        • ユーザ、アプリケーション、宛先、ヒットしたポリシーの上位リスト。

        • ローカル ポリシーと リモート(VPN)トラフィックの対比、上位のデバイス タイプ。

        • 脅威に関する情報。

        • デバイスの状態およびパフォーマンス。

        また、詳細情報にドリルダウンしたり、リンクによって Event Viewer でイベントを表示したりできます。 Event Viewer では、発生したイベントをリアルタイムで表示したり、指定した時間に発生したイベントを表示したりできます。


        次の作業

        望ましくないアクティビティが特定された場合、新しいポリシーを作成するか、既存のポリシーを修正して、アクセプタブル ユース ポリシーを実装します。
        • アクセス ポリシーを使用して、アプリケーションおよび Web サイトの使用を制御します。

        • アクセス ポリシーを使用して、レピュテーションが低い Web サイトへのトラフィックを選択的にドロップします。

        • アクセス ポリシーを使用して、ファイルのアップロードまたはダウンロードを選択的に禁止します。

        • 復号化ポリシーを調整して、追加のトラフィック フローを復号化するか、安全で許容される TLS/SSL トラフィックの復号化を明示的にバイパスします。 たとえば、金融 Web カテゴリのサイトへのトラフィックは復号化しないルールを作成できます。 復号化は、アプリケーションの動作や、より正確な分析などの暗号化トラフィックに関する詳細が提供できます。

        • すべてのユーザについてアクティブな認証を必要としないようにする場合は、アイデンティティ ポリシーを調整します。 たとえば、Active Directory を使用する場合は、CDA または AD エージェントを設定してユーザ情報をパッシブに取得できます。

        アプリケーションの使用を制御する方法

        Salesforce.com や Google Apps などのブラウザ ベースのアプリケーション プラットフォームか、または企業ネットワークの内部および外部で広く使用できる転送として Web プロトコルを使用する Cisco WebEx などのリッチ メディア アプリケーションかにかかわらず、Web は企業内でアプリケーションを配信するユビキタス プラットフォームになりました。

        ASA CX には、Application Visibility and Control エンジン(AVC エンジン)が含まれており、特定のアプリケーション タイプをより細かく制御できます。 AVC エンジンは Web トラフィックを検査して、アプリケーションで使用されるトラフィックをより詳しく理解し、制御します。 アプリケーション制御によって、たとえば URL フィルタリングのみを使用した場合と比較して、より細かく Web トラフィックを制御できます。

        AVC エンジンを使用すると、各アプリケーションの基盤技術を完全に理解しなくても、ネットワーク上でのアプリケーション アクティビティを制御するアクセス ポリシーを作成できます。

        アプリケーション制御によって、次のアプリケーション タイプをより細かく制御できます。
        • 回避アプリケーション(アノニマイザや暗号化トンネルなど)。

        • コラボレーション アプリケーション(Cisco WebEx、インスタント メッセージなど)。

        • リソースを大量消費するアプリケーション(ストリーミング メディアなど)。

        AVC エンジンを使用して、アプリケーション タイプごとに、または特定のアプリケーションをブロックまたは許可できます。 また、特定のアプリケーション タイプをより細かく制御できます。 たとえば、メディア トラフィックを許可し、ファイルのアップロードを禁止できます。

        AVC エンジンは新しいアプリケーションのサポート、タイプ、タグを追加する Cisco アップデート サーバから動的に更新を受信できます。


        (注)  


        アプリケーションが暗号化されたトラフィック フロー(TLS/SSL)を使用する場合は、アプリケーションのアクセス ポリシーとトラフィック フローを復号化する復号化ポリシーを組み合わせる必要があります。 ある暗号化されたフロー アプリケーションが割り当てられることがありますが、その他は復号化を必要とします。 さらに、復号化(たとえば、 Facebook、よりも、 Facebook ゲーム)特定のアプリケーションの割り当てがあるかも知れませんし、動作は復号化とのみを識別できます。 ただし、多くのアプリケーションは復号化されると動作しないことに注意してください。一部の TLS/SSL アプリケーションを制御するには、URL フィルタリングを使用しなければならない可能性があります。


        次の例は、YouTube などのメディア アプリケーションを許可するが、ファイルのアップロードをブロックする方法を示しています。

        手順
          ステップ 1   Configurations > Policies/Settings を選択し、[Access Policies][Access Policies]タブを開きます。

          (マルチ デバイス モードのみ)。 デバイス ビューで選択した特定のデバイスのタブを開くか、またはリポジトリ ビューでデバイスとは無関係にポリシーを開くことができます。

          ヒント   

          マルチ デバイス モードモードでは、このタブに CX デバイスおよび親 ASA の両方のアクセス ポリシーが含まれます。 CX アクセス ポリシーのセクションで作業していることを確認します。

          ステップ 2   新しいポリシーを追加するには、[Add Policy] ボタンの 1 つを使用します。

          ポリシー セットを選択した場合、セットの上部または下部にポリシーを追加できます。 ポリシーを選択した場合、その上または下に新しいポリシーを追加できます。

          ステップ 3   特定のネットワークにポリシーを制限する場合は、ポリシーの名前を入力し、送信元および宛先フィールドを変更します。 ネットワーク上のすべてのメディア アプリケーションの使用に関するポリシーを作成する場合は、送信元および宛先を Any のままにします。

          アクションは [Allow] のままにします。

          ステップ 4   [Application/Service] フィールドで、[Media [Application Type]] を選択します。

          アプリケーションまたはアプリケーション タイプを選択したときに、アプリケーションに設定可能な動作が含まれていると、[Application] フィールドの下に動作が表示されます。 たとえば、YouTube には投稿とアップロードの動作があります。 動作はアプリケーションで使用可能なアクティビティを細かく制御できますが、すべてのアプリケーションで明示的に動作が示されるわけではありません。

          この例では、メディア アプリケーションによるファイルのアップロードをブロックするために、リストされているすべてのアプリケーションに対して [Upload] の動作のアクションとして [Deny] を選択しています。 [Set Global Behavior To] チェックボックスを無視します。これらは、便宜のため、すべての切り替えを「許可」または「拒否」にリセットし、設定されたポリシーの一部ではありません。





          ヒント   

          制限する追加のアップロード動作があるかどうかを決定するために、他のアプリケーション タイプを探索します。

          ステップ 5   [Save Policy] をクリックします。




          ステップ 6   必要に応じて、ポリシー リスト内の適切な場所にポリシーを移動します。
          ステップ 7   変更を保存します。

          パッシブ認証の使用方法

          ユーザ ベースの情報をダッシュボードに表示したり、ユーザ ベースのポリシーを実装したりするには、トラフィック フローに関連付けられているユーザの ID が認識される必要があります。 そのため、ユーザはネットワークに接続するときに、ID を入力する必要があります。

          ユーザ ID を取得する 2 つのオプションがあります。 Active Directory(AD)を通じてユーザがネットワーク ドメインにログインしたときに、ユーザの ID をキャプチャするパッシブ認証を使用できます。または、ユーザに対してアクティブに認証を要求するプロンプトを表示できます。 OpenLDAP を使用する場合、使用できる方式はアクティブ認証だけです。 次の表は、これらの方式を比較したものです。

          表 1 パッシブ認証とアクティブ認証の比較

          パッシブ認証

          アクティブ認証

          ドメインにログインするときに、ユーザ名とユーザのワークステーションの IP アドレスとのマッピングが取得されます。 マッピングは Cisco Context Directory Agent(CDA)または Cisco AD エージェントで収集され、ASA CX に送信されます。 サポートされるのは AD だけです。

          LDAP および AD の基本認証がサポートされます。AD 対応の NTLM および Kerberos もサポートされます。

          ユーザが HTTP 接続を試行したときにだけ、認証が発生します。

          ベストエフォートでのユーザ ID であって、実際の認証ではありません。

          実際の認証です。

          アクティブ認証をサポートしないアプリケーションおよびクライアントに有用です。

          ネットワークへのアクセスに使用するクライアントは、アクティブ認証をサポートする必要があります。つまり、認証情報を提供できるか、ユーザに提供を要求できます。

          ユーザに対して完全に透過的です

          NTLM および Kerberos は、通常、透過的ですが、基本認証ではユーザ名とパスワードを取得するためにポップアップが表示されます。

          CDA または AD エージェントが必要です。 エージェントは独立したソフトウェアで、ネットワークにあるサーバ上にインストールして設定する必要があります。 AD サーバおよび ASA CX と通信します。

          エージェントは必要ありません。

          ASA CX は、Cisco CDA または AD エージェント ソフトウェアを使用して、ネットワークでユーザのパッシブ認証情報を取得します。 ユーザが Active Directory にログインすると、ユーザの IP アドレス マッピングがエージェントに送信されてから、そのマッピングが ASA CX に伝達されます。

          ユーザ グループのメンバーシップは、AD または LDAP サーバから直接取得されます。ASA CX は、この情報については AD エージェントを使用しません。

          次の手順で、AD エージェントを設定して ASA CX で使用できるように設定する方法を説明します。

          はじめる前に
          • CDA または AD エージェントの設定はオプションです。 パッシブ マッピングをサポートする場合にのみ設定します。 パッシブ マッピングをサポートしない場合は、認証ルールでアクティブ認証を強制する必要があります。そうしない場合、アクセス コントロールにユーザ名を使用できず、イベントおよびダッシュボードにユーザ情報が含まれません。

          • ネットワーク アクセスに、認証の成功は必要ありません。 ユーザがパッシブまたはアクティブな認証に失敗した場合、これは、単純にユーザのトラフィック フローでユーザ ID を使用できないという意味になります。

          手順
            ステップ 1   AD エージェントをインストールおよび設定します。

            製品マニュアルの手順に従ってください。

            ステップ 2   エージェントのマニュアルの手順に従って、ASA CX デバイスを認識するように CDA または AD エージェントを設定します。

            CDA の場合、ASA CX はコンシューマ デバイスと見なされます。 AD エージェントの場合は、それはクライアントと見なされます。

            両方のエージェントに対して、デバイスの IP アドレスを使用するか、またはデバイスが存在するサブネットを追加することができます。

            また RADIUS 共有シークレットを定義する必要があります。 ASA CX 設定と同じ文字列を定義する必要があります。 これによって、ASA CX とエージェントの通信が暗号化され、保護されます。

            ステップ 3   PRSMシングル デバイス モードまたはマルチ デバイス モード)では、CDA または AD エージェントを識別します(Web インターフェイスはそれを AD エージェントと呼んでいますが、新しい CDA もサポートされていることに注意してください)。
            1. Configurations > Policies/Settings を選択し、[AD Agent] タブを開きます。

              (マルチ デバイス モードのみ)。 デバイス ビューで選択した特定のデバイスのタブを開くか、またはリポジトリ ビューでデバイスとは無関係にポリシーを開くことができます。

            2. CDA または AD エージェントの DNS ホスト名または IP アドレスを入力します。
            3. [Password] に、RADIUS 共有秘密を入力します。
            4. デバイスに設定されたセカンダリ CAD または AD エージェントがある場合は、セカンダリ CAD エージェントの追加]をクリックして、設定を入力します。
            5. [Save] をクリックします。
            ステップ 4   AD レルムを作成していない場合は、CDA または AD エージェントがログイン情報を収集する対象の AD サーバを識別するディレクトリ レルムを作成します。
            1. [Components] > [Directory Realm] を選択します。
            2. [I Want To] > [Add Realm] を選択します。
            3. [Add Realm] フォームで、レルムの名前を入力し、ディレクトリ タイプとして [Active Directory] を選択し、プライマリ ドメイン名と、ドメインに参加できるユーザ名およびパスワードを入力します。

              [Test Domain Join] リンクをクリックして、AD ドメインにデバイスが参加できることを確認します。 詳細については、ディレクトリ レルムの設定 を参照してください

            4. [Save] をクリックしてディレクトリ レルムを作成し、レルムのリストに戻ります。 直接 ASA CX を(シングル デバイス モードで)設定していて、これが最初のレルムである場合、レルムのアイデンティティ ポリシーが自動的に作成されます。
            5. ディレクトリ レルムの上にマウスを置き、[Add New Directory] をクリックします。 プライマリ AD サーバの情報を入力し、[Save] をクリックします。

              プロセスを繰り返して、ドメインのすべての AD サーバを追加します。 必要な場合、プライオリティ順に並べ替えます。 ディレクトリ プロパティの詳細については、ディレクトリのプロパティを参照してください。

            ステップ 5   Configurations > Policies/Settings を選択して、[Identity Policies][Identity Policies]タブを開き、目的のサービスを提供するように、レルムのアイデンティティ ポリシーを作成または編集します。

            (マルチ デバイス モードのみ)。 デバイス ビューで選択した特定のデバイスのタブを開くか、またはリポジトリ ビューでデバイスとは無関係にポリシーを開くことができます。

            CDA または AD エージェントから取得したパッシブ マッピングを使用するには、AD レルムのアイデンティティ ポリシーで [Get Identity Using AD Agent] アクションを使用する必要があります。

            オプションで、アクティブ認証の質問で [Yes] を選択すると、ユーザの IP アドレスのパッシブ マッピングがない場合にアクティブ認証をイネーブルにできます。 目的の認証タイプも選択します。 詳細については、アイデンティティ ポリシーのプロパティを参照してください。





            ステップ 6   [Save Policy] をクリックします。

            アイデンティティ ポリシーは、最初に一致したものが適用されることに注意してください。ルールに source = any と destination = any が含まれていると、それ以降のすべてのルールが照合されません。 必要な場合、ポリシー セットの適切な場所にポリシーを移動します。

            ステップ 7   メニュー バーの [Changes Pending] リンクをクリックして、[Uncommitted Changes] ページを開きます。
            ステップ 8   [Commit] をクリックして、変更を設定データベースに保存します。

            AD/LDAP ユーザ グループに提供されるアクセス ポリシーの作成方法

            ユーザごとに異なるアクセス レベルを付与するポリシーを作成することがあります。 たとえば、特定の従業員だけがパートナー サイトにアクセスできる契約をパートナーと結ぶことがあります。 パートナーが、許可されるユーザのアカウントを作成してサーバでアクセスを制御することができない、またはこのような制御を望まない場合、ディレクトリ サーバ(Active Directory など)で定義されたグループ名を指定するユーザ ベースのアカウント ポリシーを使用して、ファイアウォールでアクセスをブロックできます。

            次の手順で、宛先へのアクセスを制御するアクセス ポリシーのペアを作成し、特定のユーザ グループのメンバだけを許可する方法を示します。 この手順では、次のことが前提になります。
            • ContractTeam というユーザ グループが、すでに Active Directory で作成されている。

            • Active Directory のディレクトリ レルムが PRSM で定義されている。

            • アクティブ認証を要求または許可するアイデンティティ ポリシーが設定されている。 オプションで、CDA または AD エージェントを使用してユーザ ID を取得できます。

            • パートナー サイトは Web サイトである。 パートナー サイトが Web サイトでない場合は、この例で示す URL オブジェクトの代わりに、ネットワーク グループ オブジェクトを使用して IP アドレスを指定します。

            手順
              ステップ 1   Configurations > Policies/Settings を選択し、[Access Policies][Access Policies]タブを開きます。

              (マルチ デバイス モードのみ)。 デバイス ビューで選択した特定のデバイスのタブを開くか、またはリポジトリ ビューでデバイスとは無関係にポリシーを開くことができます。

              ヒント   

              マルチ デバイス モードモードでは、このタブに CX デバイスおよび親 ASA の両方のアクセス ポリシーが含まれます。 CX アクセス ポリシーのセクションで作業していることを確認します。

              ステップ 2   パートナー サイトへのすべてのアクセスをブロックするポリシーを作成します。
              1. 新しいポリシーを追加するには、[Add Policy] ボタンの 1 つを使用します。

                ポリシー セットを選択した場合、セットの上部または下部にポリシーを追加できます。 ポリシーを選択した場合、その上または下に新しいポリシーを追加できます。

              2. ポリシーの名前を入力します。
              3. [Policy Action: Deny] を選択します。
              4. トラフィックの送信元は [Any] のままにします。
              5. [Destination] フィールドをクリックし、ドロップダウン リストの下部にある [Create New Object] を選択して、パートナー サイトを識別する URL オブジェクトを作成します。
              6. オブジェクトの名前を入力します(Partner A Site など)。
              7. [Object Type] で [URL Object] を選択します。
              8. [Include] リストの [URL] フィールドで、パートナー サイトの DNS 名(contractAserver.example.com など)を [URL] フィールドに入力します。




              9. [Save Object] をクリックしてオブジェクトを保存し、[Destination] フィールドに追加します。




              10. [Save Policy] をクリックします。

                ポリシーがポリシー セットに追加されます。 ポリシーが正しく並んでいない場合は、目的の位置に移動します。

              ステップ 3   特定のユーザ グループのメンバーであるユーザに対して、パートナー サイトへのアクセスを許可するポリシーを作成します。
              1. 作成したポリシーを選択し、[Add Above Policy] ボタンをクリックします。
              2. ポリシーの名前を入力します。
              3. [Policy Action: Allow] は、そのままにします。
              4. [Source] フィールドをクリックし、ドロップダウン リストの下部にある [Create New Object] を選択して、ユーザ グループを識別するアイデンティティ オブジェクトを作成します。
              5. オブジェクトの名前を入力します(Partner A Contract Team など)。
              6. [Object Type] で [CX Identity Object] を選択します。
              7. [Include] リストの [Groups] フィールドに、Realm_Name\group_name 形式(たとえば、Our AD Realm\ContractTeam)でユーザ グループ名を入力します。 入力に応じて、ディレクトリで定義されている一致する名前がドロップダウン リストに表示されます。利用可能になったら、リストからグループを選択します。




              8. [Save Object] をクリックしてオブジェクトを保存し、[source] フィールドに追加します。
              9. [Destination] フィールドで、上で作成した URL オブジェクトを選択します。




              10. [Save Policy] をクリックします。

                ポリシーが、ポリシー セットで拒否ポリシーの上に追加されます。





              ステップ 4   変更を保存します。

              これで、グループのメンバになっているユーザだけが、パートナー サイトに接続できます。 グループ メンバだけがパートナー サイトにアクセスできるため、ユーザはネットワークで特定される必要があります。特定されない場合、拒否エントリになります。 したがって、グループのメンバーがネットワークに接続しても、アイデンティティ ポリシーで ID を要求されないユーザは、このポリシーに一致せず、パートナー サイトにアクセスできません。


              アクセプタブル ユース ポリシー(URL フィルタリング)の実装方法

              ネットワークのアクセプタブル ユース ポリシーを設定できます。 アクセプタブル ユース ポリシーは、組織で適切とされるネットワーク アクティビティと、不適切とされるアクティビティを区別します。 通常、これらのポリシーはインターネットの使用に注目し、生産性の維持、法的責任の回避(敵対的でない作業場所の維持など)、Web トラフィックの制御を目的としています。

              URL フィルタリングを使用して、アクセス ポリシーと共にアクセプタブル ユース ポリシーを定義できます。 広範なカテゴリ(ギャンブルなど)でフィルタリングできるため、ブロックする Web サイトを個別に識別する必要はありません。 Cisco の URL データベースでは、世界中にある 60 を超える言語の 2000 万を超える Web サイトが分類されており、5 分ごとに自動的に更新されます。

              次の手順で、URL フィルタリングを使用してアクセプタブル ユース ポリシーを実装する方法について説明します。 この例の目的として、ギャンブル、ゲーム、ポルノのカテゴリと、未分類サイトの badsite.example.com をブロックします。

              カテゴリ ベースの URL フィルタリングを使用するには、Web Security Essentials ライセンスが必要です。

              手順
                ステップ 1   Configurations > Policies/Settings を選択し、[Access Policies][Access Policies]タブを開きます。

                (マルチ デバイス モードのみ)。 デバイス ビューで選択した特定のデバイスのタブを開くか、またはリポジトリ ビューでデバイスとは無関係にポリシーを開くことができます。

                ヒント   

                マルチ デバイス モードモードでは、このタブに CX デバイスおよび親 ASA の両方のアクセス ポリシーが含まれます。 CX アクセス ポリシーのセクションで作業していることを確認します。

                ステップ 2   新しいポリシーを追加するには、[Add Policy] ボタンの 1 つを使用します。

                ポリシー セットを選択した場合、セットの上部または下部にポリシーを追加できます。 ポリシーを選択した場合、その上または下に新しいポリシーを追加できます。

                ステップ 3   ポリシーの名前を入力します(たとえば、Block Bad Sites)。
                ステップ 4   [Policy Action: Deny] を選択します。
                ステップ 5   トラフィックの送信元は [Any] のままにします。
                ステップ 6   ユーザのアクセスが許可されない宛先を定義する URL オブジェクトを作成します。
                1. [Destination] フィールドをクリックし、ドロップダウン リストの下部にある [Create New Object] を選択して、好ましくないカテゴリとサイトを識別する URL オブジェクトを作成します。
                2. オブジェクトの名前(Bad Sites など)を入力します。
                3. [Object Type] で [URL Object] を選択します。
                4. [Include: URL] フィールドに、望ましくないサイトの DNS 名を入力します。この例では badsite.example.com です。
                5. [Include: Web Category] フィールドで [Gambling] を選択します。
                6. [Include: Web Category] フィールドで [Games] を選択します。
                7. [Include: Web Category] フィールドで [Pornography] を選択します。




                8. [Save Object] をクリックしてオブジェクトを保存し、[Destination] フィールドに追加します。




                ステップ 7   [Save Policy] をクリックします。

                ポリシーがポリシー セットに追加されます。 ポリシーが正しく並んでいない場合は、目的の位置に移動します。





                ステップ 8   変更を保存します。

                以後、他のサイトを Bad Sites リストに追加する場合は、サイトまたはカテゴリを URL オブジェクトに追加するだけです。新しいポリシーを作成する必要はありません。


                学校向け YouTube へのアクセスを有効にする方法

                YouTube は YouTube EDU (http://www.youtube.com/education) から無料インストラクション ビデオへのアクセスを提供します。 ただし、学校は、受講者の気を減らすために、 YouTube の非インストラクション ビデオへのアクセスの邪魔をしたいと考えています。 学校向け YouTube がインストラクション ビデオへのアクセス制限、スクールに YouTube のすべての内容を中断しなくても、方法を提供します。

                学校向け YouTube は学校で使用するビデオだけ摘み取る機能を、すべてのコメントのスクラビング行われ、他の関連のインストラクション ビデオにのみリンクを紹介します。

                これを行うには、学校または学区が YouTube に登録しなければなりません YouTube は学校または学区に一意の ID を提供します。 この一意の ID が youtube.com または ytimg.com にすべての出力 HTTP 要求メッセージの HTTP ヘッダー「X」YouTube Edu フィルタに渡す必要があります。 次に例を示します。

                X-YouTube-Edu-Filter:0LmSsk7HVX5iodWe_RoTY
                
                

                このヘッダーを挿入するためにアクセス ポリシーを使用して、学校の制限の YouTube を実行します。 また YouTube への HTTPS 要求にヘッダーを注入する YouTube トラフィックを復号化する必要があります。

                手順
                  ステップ 1   Configurations > Policies/Settings を選択し、[Access Policies][Access Policies]タブを開きます。

                  (マルチ デバイス モードのみ)。 デバイス ビューで選択した特定のデバイスのタブを開くか、またはリポジトリ ビューでデバイスとは無関係にポリシーを開くことができます。

                  ヒント   

                  マルチ デバイス モードモードでは、このタブに CX デバイスおよび親 ASA の両方のアクセス ポリシーが含まれます。 CX アクセス ポリシーのセクションで作業していることを確認します。

                  ステップ 2   新しいポリシーを追加するには、[Add Policy] ボタンの 1 つを使用します。

                  ポリシー セットを選択した場合、セットの上部または下部にポリシーを追加できます。 ポリシーを選択した場合、その上または下に新しいポリシーを追加できます。

                  ステップ 3   ポリシー名、学校向けなど、 YouTube を入力します。
                  ステップ 4   処理を[Policy]を選択: 割り当て
                  ステップ 5   トラフィックの送信元は [Any] のままにします。 学生や構成を定義する特定のオブジェクトがある場合、教師、その他のスタッフがまだ YouTube すべてにアクセスできるようにそのオブジェクトを選択できます。
                  ステップ 6   宛先の URL、学校のオブジェクトに YouTube を選択します。
                  ステップ 7   学校 ID の YouTube のヘッダ インジェクション プロファイル オブジェクトを作成します。
                  1. [Profile]セクションを開いて、ヘッダー インジェクションのフィールドをクリックして、オブジェクトを[Create New]を選択します。
                  2. オブジェクトの名前、学校 ID の例、 YouTube を入力します。
                  3. [Header Value]フィールドに ID を入力します。 ドメインのマッチングのデフォルトは少なくとも同じコンテンツを含むオブジェクトがあれば、学校 URL が変更できるオブジェクトの YouTube です。




                  4. オブジェクトを保存/ヘッダー インジェクション フィールドに追加するには、[Save]をクリックします。
                  ステップ 8   [Save Policy] をクリックします。

                  ポリシーがポリシー セットに追加されます。 ポリシーが正しく並んでいない場合は、目的の位置に移動します。





                  ステップ 9   一致復号ポリシーを作成:
                  1. [Decryption Policies] タブを開きます。

                    まだ復号化を有効にしていない場合は、まず復号化の[設定]タブに移動し、詳細情報のヘルプへのリンクをクリックします。

                  2. 新しいポリシーを追加するには、[Add Policy] ボタンの 1 つを使用します。
                  3. ポリシー、学校向け復号化 YouTube などの名前を入力します。
                  4. ソースにアクセス ポリシーで使用する、この例では、同じ送信元および宛先を宛先 URL の学校のオブジェクトの YouTube 入力します。
                  5. 管理では、復号化をすべて選択します。
                  6. [Save Policy] をクリックします。

                    ポリシーがポリシー セットに追加されます。 ポリシーが正しく並んでいない場合は、目的の位置に移動します。





                  ステップ 10   変更を保存します。

                  Web レピュテーションを使用してマルウェアをブロックする方法

                  ユーザは常に、インターネット サイトからマルウェアを取得するリスクにさらされています。 信頼されるサイトでも、ハイジャックされて、無警戒なユーザにマルウェアを配布することがあります。 下に示すように、Web ページには、別の送信元からのオブジェクトを含めることができます。 このオブジェクトには、イメージ、実行可能ファイル、Javascript、広告などがあります。 改ざんされた Web サイトには、しばしば、外部の送信元でホストされているオブジェクトが組み込まれます。 真のセキュリティとは、最初の要求だけではなく、各オブジェクトを個別に調べることです。





                  Cisco Threat Operations Center は、動的な更新と、ASA、IPS、電子メール セキュリティ アプライアンス、Web セキュリティ アプライアンス、およびシステム管理者から取得したアクション可能な知識を使用して、Web サイトの Web レピュテーション スコアを計算します。 Web レピュテーションは、コンテキストおよび過去の動作に基づいた統計的な評価で、重要度が異なる多くの要素を組み合わせて 1 つの関連付けられたメトリックにするものです。 個人の信用スコアと同様に、Web レピュテーションは、-10 ~ 10 の段階的なスケールに沿った連続値です。 低レピュテーション ゾーンを定義することで、ユーザにマルウェアを提供する可能性が高い、低レピュテーション サイトに対して予防的なゼロデイ保護を実装できます。

                  以下は、Web レピュテーション スコアの一般的なガイドラインです。

                  -10 ~ -6

                  レピュテーションが最も低いゾーンのサイトは、継続的にキー ロガー、ルートキット、およびその他のマルウェアを配布する専用サイト、またはハイジャックされたサイトです。 フィッシング サイト、ボット、ドライブバイ インストーラも含まれます。 このレピュテーション範囲のサイトは、ほぼ確実に悪意のあるサイトです。

                  事前定義されているデフォルトの Web レピュテーション プロファイルで、このゾーンは低レピュテーション ゾーンとして定義されています。

                  -6 ~ -3

                  このゾーンのサイトは、攻撃的な広告シンジケートおよびユーザ トラッキング ネットワークの可能性があります。 これらのサイトは、悪意がある疑いがありますが、確実ではありません。

                  -3 ~ 3

                  このゾーンのサイトは、管理された信頼できるコンテンツ シンジケート ネットワークおよびユーザが生成したコンテンツ サイトの可能性があります。

                  0 ~ 5

                  このゾーンのサイトは、信頼できる動作の歴史がある、または第三者の検証を受けたサイトです。

                  5 ~ 10

                  このゾーンのサイトは、信頼できる動作の長い歴史があり、トラフィック量が多く、広くアクセスされているサイトです。


                  ヒント


                  [ コンポーネント > 網フィルタリング カテゴリサイトの評判を調べると、ネットワークのレピュテーション スコアを確認し > たい[i]を選択します。


                  レピュテーション ベースの処理を実装するには、次のタイプのポリシーに Web レピュテーション プロファイルを適用します。
                  • トラフィックを許可するアクセス ポリシー。 Web レピュテーション プロファイルを追加することで、一致するトラフィックは全般的に許可され、低レピュテーション サイトからのトラフィックはすべてドロップされます。 [Allow] アクションがあるアクセス ポリシーの一部またはすべてにプロファイルを適用できます。

                  • アクションが [Decrypt Potentially Malicious Traffic] の復号化ポリシー。 Web レピュテーション プロファイルを追加することで、ポリシーと一致する低レピュテーション サイトが復号化され、アクセス ポリシーによってトラフィックの内容が認識されます。 その後、設定に従って、アクセス ポリシーでトラフィックをドロップできます。 トラフィックをドロップする、一致するアクセス ポリシーがなくても、低レピュテーション トラフィックを復号化することで、暗号化された TLS/SSL トラフィック フローでは利用できなかったデータがレポートに提供されます。

                  アクセス ポリシーに対して、デバイス レベルのプロファイルを設定し、ポリシーにそのプロファイルを使用させることができます。 次に、[Malware Protection][Malware Protection]設定を編集して、デフォルトのフィルタリング ポリシーを簡単に変更できます。

                  次の手順では、-10 ~ -6 ゾーンのサイトのトラフィック フローをドロップまたは復号化するレピュテーション ベースの処理を実装する方法を示します。 この例では、アクセス ポリシーが定義されていて、復号化がイネーブルとなり、[Do Not Decrypt] アクションを使用する復号化ポリシーがいくつかある(または、復号化するトラフィックの量を減らしたいと考えている)ことを前提とします。

                  手順
                    ステップ 1   デバイスレベルの Web レピュテーション プロファイルを設定します。

                    これはオプションですが、Web レピュテーション フィルタリングを実装する最も簡単な方法は、レピュテーション プロファイルを定義してポリシー全体に適用することです。 ここで定義したプロファイルを使用するようにアクセス ポリシーを設定できます。 次に、レピュテーション設定の変更は、デバイス レベルで選択されたオブジェクトの変更と同じくらい簡単です。 オブジェクトも簡単に編集できます。

                    1. Configurations > Policies/Settings を選択し、[Malware Protection][Malware Protection]タブを開きます。

                      (マルチ デバイス モードのみ)。 デバイス ビューで選択した特定のデバイスのタブを開くか、またはリポジトリ ビューでデバイスとは無関係にポリシーを開くことができます。

                    2. デバイスレベルの Web レピュテーション プロファイルとして [Default web reputation profile] を選択します。




                    3. [Save] をクリックします。
                    ステップ 2   Configurations > Policies/Settings を選択し、[Access Policies][Access Policies]タブを開きます。

                    (マルチ デバイス モードのみ)。 デバイス ビューで選択した特定のデバイスのタブを開くか、またはリポジトリ ビューでデバイスとは無関係にポリシーを開くことができます。

                    ヒント   

                    マルチ デバイス モードモードでは、このタブに CX デバイスおよび親 ASA の両方のアクセス ポリシーが含まれます。 CX アクセス ポリシーのセクションで作業していることを確認します。

                    ステップ 3   目的のアクセス ポリシーに、Web レピュテーション プロファイルを追加します。
                    1. 修正する「Allow」アクセス ポリシーを選択して、[Edit Policy] ボタンをクリックします。
                    2. [Profile] セクションの [Web Reputation] フィールドで、[Device Level Profile (Default web reputation profile)] を選択します。




                      別のレピュテーションが低い範囲を定義する場合は、既存のプロファイルを選択するか、またはドロップダウン リストの下部にある [Create New Profile] を選択し、独自のプロファイルを作成します。 オブジェクトに名前を付け、レピュテーションが低い範囲の上にあるスライダを移動させて、[Save Object] をクリックします。

                    3. [Save Policy] をクリックします。

                      修正するすべてのアクセス ポリシーに対して、この処理を繰り返します。

                      ヒント   

                      ポリシーのアクション列をクリックし、目的のプロファイルを選択することによって、レピュテーション プロファイルをポリシーにすばやく追加できます。 各ポリシーの Edit フォームを開く必要はありません。

                    ステップ 4   目的の復号化ポリシーに、Web レピュテーション プロファイルを追加します。

                    プロファイルの指定が必要な、[Decrypt Potentially Malicious Traffic] アクションを使用している場合にだけ、Web レピュテーション プロファイルを設定できます。 そのため、プロファイルを追加するにはアクションも変更する必要があり、新しいポリシーを作成する必要があります。 [Do Not Decrypt] アクションを使用するポリシーにプロファイルを追加するか、すべてを復号化する必要をなくすために [Decrypt Everything] ポリシーに追加するかを検討してください。

                    1. Configurations > Policies/Settings を選択し、[Decryption Policies][Decryption Policies]タブを開きます。

                      (マルチ デバイス モードのみ)。 デバイス ビューで選択した特定のデバイスのタブを開くか、またはリポジトリ ビューでデバイスとは無関係にポリシーを開くことができます。

                    2. 修正する復号化ポリシーを選択して、[Edit Policy] ボタンをクリックします。
                    3. [Action] セクションで、アクションを [Decrypt Potentially Malicious Traffic] に変更します。
                    4. [Web Reputation] フィールドで、[Default web reputation profile] または他のプロファイルを選択します。




                    5. [Save Policy] をクリックします。




                      修正するすべての復号化ポリシーに対して、この処理を繰り返します。 必要に応じて、新しいポリシーを追加します。

                    ステップ 5   変更を保存します。

                    脅威をスキャンする方法(IPS フィルタリング)

                    Next Generation IPS(侵入防御システム)フィルタリングは、トラフィックの内容を既知の脅威に対して比較して、リアル タイムでネットワーク トラフィックを分析します。 接続が脅威に一致した場合は、脅威をブロックする接続をドロップできます。 問題のないと決定した脅威を、モニタするが許可すること、または完全に無視することを選択することもできます。

                    Cisco Security Intelligence Operations(SIO)は、脅威を識別するシグニチャを開発します。 複数のシグニチャを 1 つの脅威にマッピングできます。 更新をディセーブルにしない限り、新しいシグニチャ セットが定期的にダウンロードされます。 また、常に危険と見なされるサイトである、ブラック リストに登録されているサイトの自動ブロッキングを実装できます。

                    次の手順では、デフォルト プロファイルを使用して脅威のスキャンを実装する方法を示します。 この例は、アクセス ポリシーを定義済みであることを前提としています。 サービスをイネーブルにするには、Next Generation IPS ライセンスが必要です。

                    手順
                      ステップ 1   Next Generation IPS フィルタリングをイネーブルにし、デバイスレベルの NG IPS プロファイルを選択します。

                      Next Generation IPS サービス をイネーブルにする必要があります。これは、デフォルトでディセーブルです。 デバイス レベルのプロファイルの選択はオプションですが、Next Generation IPS フィルタリングを実装する最も簡単な方法は、NG IPS プロファイルを定義してポリシー全体に適用することです。 ここで定義したプロファイルを使用するようにアクセス ポリシーを設定できます。 したがって、Next Generation IPS 設定の変更は、デバイス レベルで選択されたオブジェクトの変更と同じくらい簡単です。 オブジェクトも簡単に編集できます。

                      1. Configurations > Policies/Settings を選択し、[Instrusion Protection][Intrusion Prevention]タブを開きます。

                        (マルチ デバイス モードのみ)。 デバイス ビューで選択した特定のデバイスのタブを開くか、またはリポジトリ ビューでデバイスとは無関係にポリシーを開くことができます。

                      2. [Intrusion Prevention: On] を選択して Next Generation IPS フィルタリングをイネーブルにします。
                      3. デバイスレベルのプロファイルとして[Default NG IPS profile] を選択します。




                      4. [Save] をクリックします。
                      ステップ 2   Configurations > Policies/Settings を選択し、[Access Policies][Access Policies]タブを開きます。

                      (マルチ デバイス モードのみ)。 デバイス ビューで選択した特定のデバイスのタブを開くか、またはリポジトリ ビューでデバイスとは無関係にポリシーを開くことができます。

                      ヒント   

                      マルチ デバイス モードモードでは、このタブに CX デバイスおよび親 ASA の両方のアクセス ポリシーが含まれます。 CX アクセス ポリシーのセクションで作業していることを確認します。

                      ステップ 3   目的のアクセス ポリシーに、NG IPS プロファイルを追加します。
                      1. 修正する「Allow」アクセス ポリシーを選択して、[Edit Policy] ボタンをクリックします。
                      2. [Profile] セクションの [NG IPS Profile] フィールドで、[Device Level Profile (Default NG IPS profile)] を選択します。




                        別の NG IPS プロファイルを定義する場合は、既存のプロファイルを選択するか、またはドロップダウン リストの下部にある [Create New Profile] を選択し、独自のプロファイルを作成します。 オブジェクトに名前を付け、ブロックする(拒否する)ゾーン、許可およびモニタする(アラートする、つまり、イベントを生成する)ゾーン、および許可するがモニタしない(無視する、つまり、イベントを生成しない)ゾーンを決定するためにスライダを調整します。 ゾーンに分類されますが、別の方法で処理したい特定の脅威がある場合は、これらのゾーンに例外を設定することもできます。 設定が終了したら、[Save Object] をクリックします。

                        脅威のスコアは時間の経過とともに変化することがあるので、相対的な危険アセスメントが変化するにつれて、脅威がゾーン間を移動することがあることに注意してください。

                        [Components] > [Threats] を選択すると、さまざまな脅威の説明を表示できます。

                      3. [Save Policy] をクリックします。

                        修正するすべてのアクセス ポリシーに対して、この処理を繰り返します。

                        ヒント   

                        ポリシーのアクション列をクリックし、目的のプロファイルを選択することによって、NG IPS プロファイルをポリシーにすばやく追加できます。 各ポリシーの Edit フォームを開く必要はありません。

                      ステップ 4   変更を保存します。

                      AnyConnect Secure Mobility デバイスをモニタおよび制御する方法

                      親 ASA でリモート アクセス VPN を設定する場合は、ASA CX で、AnyConnect Secure Mobility クライアントと接続するリモート VPN ユーザに関する情報を使用できます。 クライアントに関する情報はさまざまなダッシュボードで使用でき、ロケーションおよびクライアント タイプに基づいたアクセス ポリシーおよび復号化ポリシーを設定できます。 ユーザ ID 情報を収集するようにアイデンティティ ポリシーを設定すれば、ユーザ情報もダッシュボードやアクセス制御および復号化制御に使用できます。

                      次のタイプのリモート アクセス VPN クライアントの制御を実装できます。
                      • Cisco IPsec VPN Client:IKEv1/IPSec 接続。

                      • Cisco AnyConnect Secure Mobility Client バージョン 2.5+:SSL VPN および IKEv2/IPsec 接続。


                      (注)  


                      クライアントレス(ブラウザベース)SSL VPN はサポートされていません。 これらの接続タイプには、Secure Mobility ポリシーを適用できません。 ただし、他のアクセス ポリシーおよび復号化ポリシーを適用されます。 サイト間 VPN のトラフィックも、一致する Secure Mobility オブジェクトとは見なされません。


                      次の手順で、ASA CX の AnyConnect Secure Mobility 機能を使用するために必要な作業を示します。

                      手順
                        ステップ 1   クライアント デバイスに、AnyConnect Secure Mobility クライアントをインストールします。
                        さまざまなデバイス用の AnyConnect クライアントがあります。 特定の手順については、次の情報を確認してください。
                        ステップ 2   リモート アクセス VPN をサポートするように、クライアントと ASA を設定します。

                        詳細については、『Cisco AnyConnect Secure Mobility Client Administrator Guide』を参照してください。 次の場所で、AnyConnect の各バージョンのマニュアルを入手できます。

                        http:/​/​www.cisco.com/​c/​en/​us/​support/​security/​anyconnect-secure-mobility-client/​products-installation-and-configuration-guides-list.html

                        ステップ 3   Secure Mobility クライアントの情報を表示するには、[Dashboard] > [User Devices] を選択します。

                        また、ネットワーク概要の [Top Sources] ダッシュボードでも、Secure Mobility クライアントの情報を表示できます。[Dashboard] > [Network Overview]

                        ステップ 4   (任意)アクセス ポリシーまたは復号化ポリシーを作成すると、選択的に Secure Mobility トラフィックが制御されます。

                        たとえば、帯域幅を消費するアプリケーションへのアクセスを拒否することで、Secure Mobility クライアントが使用する帯域幅を制限できます。 次の手順では、すべてのリモート ユーザに対して、広帯域幅アプリケーションを拒否する例を示します。

                        1. Configurations > Policies/Settings を選択し、[Access Policies][Access Policies]タブを開きます。

                          (マルチ デバイス モードのみ)。 デバイス ビューで選択した特定のデバイスのタブを開くか、またはリポジトリ ビューでデバイスとは無関係にポリシーを開くことができます。

                          ヒント   

                          マルチ デバイス モードモードでは、このタブに CX デバイスおよび親 ASA の両方のアクセス ポリシーが含まれます。 CX アクセス ポリシーのセクションで作業していることを確認します。

                        2. 新しいポリシーを追加するには、[Add Policy] ボタンの 1 つを使用します。

                          ポリシー セットを選択した場合、セットの上部または下部にポリシーを追加できます。 ポリシーを選択した場合、その上または下に新しいポリシーを追加できます。

                        3. [Create Policy] フォームで、次の手順を実行します。
                          • ポリシーの名前(Control Secure Mobility Bandwidth など)を入力します。

                          • [Policy Action: Deny] を選択します。

                          • [Source] フィールドで、[All Remote Devices] Secure Mobility オブジェクトを選択します。

                          • [Destination] フィールドは、デフォルトの [Any] のままにします。

                          • [Application/Service] フィールドで、拒否するサービスを示すアプリケーション、アプリケーション タイプ、またはオブジェクトを選択します。 たとえば、YouTube、Facebook Photos、iTunes iPad、またはファイル共有アプリケーション タイプを選択すると、1 回の選択でさまざまなアプリケーションがカバーされます。

                            (注)     

                            意図しない結果に注意してください。 たとえば、YouTube には幅広いビデオがあり、教育目的で使用されるものもあります。 アプリケーションの一部の使用がネットワークにとって適切でない場合でも、そのアプリケーション全体を除外すると、リモート アクセス ユーザのために組織が必要とするネットワーク使用が妨げられることがあります。

                        4. [Save Policy] をクリックします。

                          目的の場所にポリシーを挿入していない場合は、それを移動します。

                        5. 変更を保存し、展開します。