Cisco IronPort AsyncOS 7.7 for Security Management ユーザ ガイド
セットアップおよび設置
セットアップおよび設置
発行日;2012/06/21 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

セットアップおよび設置

設置計画

Security Management アプライアンスを外部スパム検疫として使用する場合のメール フロー

中央集中型管理と Security Management アプライアンス

物理寸法

セットアップの準備

システム セットアップ手順について

ネットワーク アドレスと IP アドレスの割り当ての決定

セットアップ情報の収集

グラフィカル ユーザ インターフェイスへのアクセス

Security Management アプライアンスの Web インターフェイスへのアクセス

Security Management アプライアンスのコマンド ライン インターフェイスへのアクセス

システム セットアップ ウィザードについて

ブラウザ要件

サポート言語

システム セットアップ ウィザードの実行

ステップ 1:エンド ユーザ ライセンス契約書の確認

ステップ 2:システム設定の実行

ステップ 3:ネットワーク設定の実行

ステップ 4:設定の確認

次の手順

Security Management アプライアンスのユーザ インターフェイス

[System Status] ページのタブ

[Commit Changes] ボタン

Security Management アプライアンスからのカスタマー サポートへのアクセス

テクニカル サポート

サポート要求

リモート アクセス

パケット キャプチャ

パケット キャプチャの開始

パケット キャプチャ設定の編集

機能キーでの作業

[Feature Keys] ページ

[Feature Key Settings] ページ

期限切れ機能キー

SMA 互換性マトリクス

セットアップおよび設置

この章では、システム セットアップ ウィザードを使用して、Security Management アプライアンスを設定するプロセスについて説明します。この章の手順に従う前に、アプライアンスに付属の『 Cisco IronPort M-Series Quickstart Guide 』で説明されている手順を実行してください。


) システム セットアップ ウィザードを実行した後、中央集中型トラッキングや Cisco IronPort 中央集中型コンフィギュレーション マネージャなどの管理機能を使用する前に、Security Management アプライアンス、Email Security アプライアンス、および Web セキュリティ アプライアンスを設定する必要があります。Cisco IronPort アプライアンスの設定の詳細については、「アプライアンスの設定」を参照してください。


この章は、次の項で構成されています。

「設置計画」

「セットアップの準備」

「グラフィカル ユーザ インターフェイスへのアクセス」

「システム セットアップ ウィザードについて」

「システム セットアップ ウィザードの実行」

「Security Management アプライアンスのユーザ インターフェイス」

「Security Management アプライアンスからのカスタマー サポートへのアクセス」

「SMA 互換性マトリクス」

設置計画

Security Management アプライアンスを使用すると、非武装地帯(DMZ)内に存在するセキュリティの高いゲートウェイ システムから、エンド ユーザ アプリケーションを切り離すことができます。2 層ファイアウォールの使用によって、ネットワーク プランニングの柔軟性が高まり、エンド ユーザが外部 DMZ に直接接続することを防止できます(図 2-1 を参照)。

図 2-1 Security Management アプライアンスを含む一般的なネットワーク設定

 

図 2-1 は、Security Management アプライアンスおよび複数の DMZ を含む、一般的なネットワーク構成を示しています。内部ネットワークで、DMZ の外側に Security Management アプライアンスを導入します。管理対象 Email Security アプライアンス(Cisco IronPort C-Series)および管理対象 Web セキュリティ アプライアンス(Cisco IronPort S-Series)へのすべての接続は、Security Management アプライアンス(Cisco IronPort M-Series)によって開始されます。

企業データセンターは Security Management アプライアンスを共有し、複数の Web セキュリティ アプライアンスおよび Email Security アプライアンスの中央集中型レポーティングおよびメッセージ トラッキング、および複数の Web セキュリティ アプライアンスの中央集中型ポリシー設定を実行できます。また、Security Management アプライアンスは、外部 Cisco IronPort スパム検疫としても使用できます。

Email Security アプライアンスおよび Web セキュリティ アプライアンスを Security Management アプライアンスに接続してすべてのアプライアンスを適切に設定した後、AsyncOS は管理対象アプライアンスからデータを収集して集約します。集約されたデータからレポートを作成できます。また、電子メールの全体像と Web の使用状況を判断できます。

Security Management アプライアンスを外部スパム検疫として使用する場合のメール フロー

メールは、Email Security アプライアンスから Security Management アプライアンスに送信されます。Security Management アプライアンスにメールを送信する Email Security アプライアンスが Security Management アプライアンスからメッセージの返信を受けた場合、メッセージの再処理を行いません。メッセージは HAT およびその他のポリシーやスキャン設定をバイパスします。この処理が機能するためには、Security Management アプライアンスの IP アドレスが、受信メッセージと送信メッセージの両方で同じになっている必要があります。IP アドレスが異なる場合、Email Security アプライアンスが Security Management アプライアンスからメッセージを受信すると、そのメッセージを別の着信メッセージであるかのように再び処理します。


) Security Management アプライアンス上での受信および送信では、必ず同じ IP アドレスを使用してください。


Security Management アプライアンスは、Cisco IronPort スパム検疫設定で指定されている IP アドレスから検疫対象のメールを受け入れます。Security Management アプライアンスでローカル検疫を設定するには、「IronPort スパム検疫の設定」を参照してください。


) Security Management アプライアンスでのローカル検疫は、メールを送信するその他の Cisco IronPort アプライアンスで、外部検疫と呼ばれます。


Security Management アプライアンスによってリリースされたメールは、スパム検疫設定の定義に従い、プライマリ ホストおよびセカンダリ ホスト(Cisco IronPort アプライアンスまたはその他のグループウェア ホスト)に配信されます(「IronPort スパム検疫の設定」を参照)。Security Management アプライアンスにメールを配信する Cisco IronPort アプライアンスの数にかかわらず、リリースされたすべてのメール、通知、およびアラートは、単一のホスト(グループウェアまたは Cisco IronPort アプライアンス)に送信されます。Security Management アプライアンスからの配信によって、プライマリ ホストが過負荷にならないように注意してください。

中央集中型管理と Security Management アプライアンス

Security Management アプライアンスをクラスタに配置することはできません。ただし、クラスタ化された Cisco IronPort アプライアンスは、中央集中型レポーティングとトラッキングのために Security Management アプライアンスにメッセージを配信し、外部スパム検疫にメッセージを保存できます。

物理寸法

Cisco IronPort M1000/1050 および M600/650 Security Management アプライアンスには、次の物理寸法が適用されます。

高さ:8.656 cm(3.40 インチ)

幅:レールを取り付けて 48.26 cm(19.0 インチ)(レールを取り付けない場合は 17.5 インチ)

奥行:75.68 cm(29.79 インチ)

重量:最大 26.76 kg(59 ポンド)

Cisco IronPort M1070 および 670 Security Management アプライアンスには、次の物理寸法が適用されます。

高さ:8.64 cm(3.40 インチ)

幅:レールの取り付け有無によらず 48.24 cm(18.99 インチ)

奥行:72.06 cm(28.40 インチ)

重量:最大 26.76 kg(59 ポンド)

Cisco IronPort M160 Security Management アプライアンスには、次の物理寸法が適用されます。

高さ:4.20 cm(1.68 インチ)

幅:レールを取り付けて 48.26 cm(19.00 インチ)(レールを取り付けない場合は 17.5 インチ)

奥行:57.60 cm(22.70 インチ)

重量:最大 7.80 kg(21.6 ポンド)

セットアップの準備

Security Management アプライアンスを設定するには、グラフィカル ユーザ インターフェイス(GUI)のシステム セットアップ ウィザードを使用する必要があります。Security Management アプライアンスは、コマンド ライン インターフェイス(CLI)によるシステム設定をサポートしません。このウィザードの実行方法の詳細については、「システム セットアップ ウィザードについて」を参照してください。

GUI にログインするには、PC と Security Management アプライアンスの間にプライベート接続を設定する必要があります。たとえば、付属するクロス ケーブルを使用して、アプライアンスの管理ポートからラップトップに直接接続できます。オプションで、PC とネットワーク間(たとえば、イーサネット ハブ)およびネットワークと Security Management アプライアンスの管理ポート間を、イーサネット接続を介して接続できます。出荷時に割り当てられた管理ポートの IP アドレスは、192.168.42.42 です。設定後に、メイン Security Management アプライアンスの [Management Appliance] > [Network] > [IP Interfaces] ページに移動し、Security Management アプライアンスが使用するインターフェイスを変更します。

システム セットアップ手順について

Security Management アプライアンスを設定するには、次の手順を実行します。


ステップ 1 ネットワーク アドレスと IP アドレスの割り当てを決定します。

ステップ 2 システム セットアップに関する情報を収集します。

ステップ 3 Web ブラウザを起動し、アプライアンスの IP アドレスを入力します

ステップ 4 システム セットアップ ウィザードを実行してシステムを設定します。


 

ネットワーク アドレスと IP アドレスの割り当ての決定

使用することを選択した各イーサネット ポートに関する次のネットワーク情報が必要になります。

IP アドレス

ネットマスク

さらに、ネットワーク全体に関する次の情報も必要になります。

ネットワークのデフォルト ルータ(ゲートウェイ)の IP アドレス

DNS サーバの IP アドレスおよびホスト名(インターネット ルート サーバを使用する場合は不要)

NTP サーバのホスト名または IP アドレス(システム時刻を手動で設定する場合は不要)

詳細については、 付録 B「ネットワークと IP アドレスの割り当て」 を参照してください。


) インターネットと Cisco IronPort アプライアンスの間でファイアウォールを稼動しているネットワークの場合は、Cisco IronPort アプライアンスを正常に機能させるために、特定のポートを開ける必要がある場合があります。ファイアウォールの詳細については、付録 C「ファイアウォール情報」を参照してください。


セットアップ情報の収集

次の表を使用して、システム セットアップに関する情報を収集します。収集した情報は、システム セットアップ ウィザードの実行中に必要となります。


) ネットワークおよび IP アドレスの詳細については、付録 B「ネットワークと IP アドレスの割り当て」を参照してください。


表 2-1 システム セットアップ ワークシート

1

通知

システム アラートが送信される電子メール アドレス:

2

システム時刻

NTP サーバ(IP アドレスまたはホスト名):

3

admin パスワード

「admin」アカウントの新しいパスワードを選択:

4

AutoSupport

Cisco IronPort AutoSupport をイネーブルにするかどうか。 ___ はい ___ いい

5

ホスト名

Security Management アプライアンスの完全修飾ホスト名:

6

インターフェイス/IP アドレス

IP アドレス:

ネットマスク:

7

ネットワーク

ゲートウェイ

デフォルト ゲートウェイ(ルータ)の IP アドレス:

DNS

___ インターネットのルート DNS サーバを使用

___ これらの DNS サーバを使用

グラフィカル ユーザ インターフェイスへのアクセス


ステップ 1 Security Management アプライアンス上のグラフィカル ユーザ インターフェイスにアクセスするには、Web ブラウザを開き、IP アドレス テキスト フィールドに 192.168.42.42 と入力します。

ログイン画面が表示されます。

ステップ 2 出荷時に割り当てられた次のユーザ名とパスワードを、対応するテキスト フィールドに入力し、Security Management アプライアンスにログインします。

ユーザ名: admin

パスワード: ironport


 


) セッションが 30 分以上アイドル状態になっている場合、またはログアウトせずにブラウザを閉じた場合は、セッションがタイムアウトします。この場合、ユーザ名とパスワードを再入力する必要があります。システム セットアップ ウィザードを実行中にセッションがタイムアウトした場合は、最初からやり直す必要があります。


Security Management アプライアンスの Web インターフェイスへのアクセス

Security Management アプライアンスには、デフォルトではポート 80 で使用可能な標準管理者インターフェイスと、デフォルトではポート 82 で使用可能な Cisco IronPort スパム検疫エンド ユーザ インターフェイスの、2 つの Web インターフェイスがあります。イネーブルにすると、Cisco IronPort スパム検疫 HTTPS インターフェイスは、デフォルトでポート 83 に設定されます。

各 Web インターフェイスを設定する際に HTTP または HTTPS を指定できるため(Security Management アプライアンス上で [Management Appliance] > [Network] > [IP Interfaces] に移動)、セッション中にそれらを切り替える場合は、再認証を要求される場合があります。たとえば、ポート 80 で HTTP によって admin Web インターフェイスにアクセスしている場合、同じブラウザでポート 83 から HTTPS で Cisco IronPort スパム検疫のエンド ユーザ Web インターフェイスにアクセスすると、admin Web インターフェイスに戻る際に再認証を要求されます。

Security Management アプライアンスのコマンド ライン インターフェイスへのアクセス

Security Management アプライアンス上のコマンド ライン インターフェイス(CLI)には、すべての Cisco IronPort アプライアンス上での CLI アクセスと同じ方法でアクセスします。ただし、次のような違いがあります。

システム セットアップは、GUI を使用して実行する 必要があります

Security Management アプライアンスでは、一部の CLI コマンドを使用できません。サポートされていないコマンドの一覧については、 Cisco IronPort AsyncOS CLI Reference Guide を参照してください。

システム セットアップ ウィザードについて


警告 システム セットアップ ウィザードを使用すると、アプライアンスが完全に再設定されます。アプライアンスを最初にインストールする場合、または既存の設定を完全に上書きする場合にのみ、このウィザードを使用してください。


AsyncOS には、システム設定を実行するための、ブラウザベースのシステム セットアップ ウィザードが用意されています。後で、ウィザードでは使用できないカスタム設定オプションを利用する場合があります。ただし、初期セットアップではウィザードを使用して、設定に漏れがないようにする 必要があります 。システム セットアップ ウィザードを実行する前に、 表 2-1 に示す必要な情報を収集しておくと、セットアップを短時間で簡単に完了することができます。

Security Management アプライアンスが、管理ポートからネットワークに接続されていることを確認します。


警告 Security Management アプライアンスは、管理ポートにデフォルトの IP アドレス 192.168.42.42 が設定された状態で出荷されます。Security Management アプライアンスをネットワークに接続する前に、他の装置の IP アドレスが、この工場出荷時のデフォルト設定と競合していないことを確認してください。


ブラウザ要件

GUI にアクセスするには、ブラウザが JavaScript および Cookie をサポートし、受け入れるよう設定されている必要があり、さらに、Cascading Style Sheet(CSS)を含む HTML ページを描画できる必要があります。具体的には次のとおりです。

Firefox 1.0 以上

Windows XP:IE 6.02 以上

Windows Vista:Internet Explorer 7.0 以上

Mozilla 1.76 以上

Netscape 7.1 以降

Mac OS X:Safari 2.0.4 以降

Opera 10.0.x

GUI には、1024x768 ピクセル以上のブラウザ サイズが必要です。


) Windows XP オペレーティング システム上の Internet Explorer 6.0 と Opera 10.0.x、および Mac OS X 上の Safari 3.1 には、条件付きでサポートされています。条件付きサポートでは、重大な機能バグには対処されますが、軽微な問題または表示上の問題は修正されません。


セッションは、非アクティブな状態が 30 分続くと自動的にタイムアウトします。


GUI へのアクセス時には、複数のブラウザ ウィンドウまたはタブを同時に使用して、Security Management アプライアンスに変更を行わないように注意してください。GUI セッションと CLI セッションを同時に使用しないてください。同時に使用すると、予期しない動作が発生し、サポート対象外になります。


インターフェイスの一部のボタンまたはリンクからは追加のウィンドウがオープンされるため、GUI を使用するには、ブラウザのポップアップ ブロックの設定が必要な場合があります。

サポート言語

該当するライセンス キーを使用すると、AsyncOS では、次の言語で GUI および CLI を表示できます。

英語

フランス語

スペイン語

ドイツ語

イタリア語

韓国語

日本語

ポルトガル語(ブラジル)

中国語(簡体字と繁体字)

ロシア語

システム セットアップ ウィザードの実行

ウィザードを起動するには、「ブラウザ要件」の説明に従って GUI にログインします。GUI に初めてログインすると、デフォルトでは、システム セットアップ ウィザードの最初のページが表示されます。また、[System Administration] メニューからシステム セットアップ ウィザードにアクセスすることもできます。

システム セットアップ ウィザードでは、次の設定作業が順に示されます。


ステップ 1 エンド ユーザ ライセンス契約書の確認

ステップ 2 次に示すシステム設定の実行:

通知設定と AutoSupport

システム時刻設定

管理パスワード

ステップ 3 次に示すネットワーク設定の実行:

アプライアンスのホスト名

アプライアンスの IP アドレス、ネットワーク マスク、およびゲートウェイ

デフォルト ルータと DNS 設定

ステップ 4 設定の確認

ウィザードの各ページを実行し、ステップ 4 で設定を慎重に確認します。[Previous] をクリックすると、前の手順に戻ることができます。プロセスの最後に、変更を確定するようウィザードのプロンプトが表示されます。確定するまで、大部分の変更は有効になりません。


 

ステップ 1:エンド ユーザ ライセンス契約書の確認

ライセンス契約書の参照から開始します。ライセンス契約書を参照し、同意する場合は、同意することを示すチェックボックスをオンにし、[Begin Setup] をクリックして続行します。

図 2-2 ライセンス契約書の確認

 

ステップ 2:システム設定の実行

システム セットアップ ウィザードの設定を開始すると、[System Configuration] ページが表示されます。このページでは、システム設定を実行できます。

図 2-3 [System Configuration] ページでのシステム設定の実行

 

電子メール システム アラートの設定

ユーザの介入を必要とするシステム エラーが発生した場合、AsyncOS では、電子メールでアラート メッセージが送信されます。アラートの送信先となる電子メール アドレス(複数可)を入力します。

システム アラート用の電子メール アドレスを 1 つ以上追加する必要があります。複数のアドレスを指定する場合は、カンマで区切ります。入力した電子メール アドレスでは、当初、すべてのレベルのすべてのタイプのアラートが受信されます。アラート設定は、後からカスタマイズできます。詳細については、「アラートの管理」を参照してください。

時間の設定

Security Management アプライアンス上の時間帯を設定して、メッセージ ヘッダーおよびログ ファイルのタイムスタンプが正確になるようにします。ドロップダウン メニューを使用して時間帯を見つけるか、GMT オフセットによって時間帯を定義します。

システム クロック時刻は、手動で設定するか、ネットワーク タイム プロトコル(NTP)を使用してネットワーク上またはインターネット上の他のサーバと時刻を同期することもできます。デフォルトでは、Cisco IronPort Systems のタイム サーバ(time.IronPort.com)が、Security Management アプライアンス上で時刻を同期するエントリとして追加されます。NTP サーバのホスト名を入力し、[Add Entry] をクリックして追加の NTP サーバを設定します。詳細については、「システム時刻の設定」を参照してください。


) レポートのデータを収集すると、Security Management アプライアンスによってデータにタイム スタンプが適用されます。タイム スタンプは、「システム時刻の設定」の手順で実装された設定を使用して適用されます。
Security Management アプライアンスがデータを収集する方法の詳細については、「セキュリティ アプライアンスによるレポート用データの収集方法」を参照してください。


パスワードの設定

AsyncOS の admin アカウントのパスワードを変更する必要があります。新しいパスワードは 6 文字以上の長さである必要があります。パスワードは安全な場所に保管してください。パスワードの変更はすぐに有効になります。


) パスワードの再設定後にシステム設定を取り消しても、パスワードの変更は元に戻りません。


AutoSupport のイネーブル化

Cisco IronPort AutoSupport 機能(デフォルトでイネーブル)で、Security Management アプライアンスに関する問題を Cisco IronPort カスタマー サポートに通知することにより、最適なサポートを提供できます。詳細については、「Cisco IronPort AutoSupport」を参照してください。

ステップ 3:ネットワーク設定の実行

マシンのホスト名を定義し、ゲートウェイと DNS 設定値を設定します。

図 2-4 ネットワーク設定の実行

 


) Security Management アプライアンスが、管理ポートを通してネットワークに接続されていることを確認します。


ネットワーク設定

Security Management アプライアンスの完全修飾ホスト名を入力します。この名前は、ネットワーク管理者が割り当てる必要があります。

Security Management アプライアンスの IP アドレスを入力します。

ネットワーク上のデフォルト ルータ(ゲートウェイ)のネットワーク マスクと IP アドレスを入力します。

次に、Domain Name Service(DNS)設定値を設定します。AsyncOS には、インターネットのルート サーバに直接問い合わせできる、高性能な内部 DNS リゾルバ/キャッシュが組み込まれていますが、指定した DNS サーバを使用することもできます。独自のサーバを使用する場合は、各 DNS サーバの IP アドレスを指定する必要があります。システム セットアップ ウィザードを使用して入力できる DNS サーバは、4 台までです。


) 指定した DNS サーバの初期プライオリティは 0 です。詳細については、「ドメイン ネーム システム設定値の設定」を参照してください。



) アプライアンスでは、着信接続にのための DNS ルックアップを実行するために、稼動中の DNS サーバへのアクセスが必要です。アプライアンスをセットアップするときに、アプライアンスからアクセス可能な稼動中の DNS サーバを指定できない場合は、[Use Internet Root DNS Servers] を選択するか、管理インターフェイスの IP アドレスを一時的に指定することによってシステム セットアップ ウィザードを完了できます。


ステップ 4:設定の確認

これで、入力した設定情報の要約がシステム セットアップ ウィザードに表示されます。変更する必要がある場合は、ページの下部にある [Previous] をクリックし、情報を編集します。

図 2-5 設定の確認

 

情報を確認した後、[Install This Configuration] をクリックします。次に、表示される確認ダイアログ ボックスで [Install] をクリックします。

次の手順

システム セットアップ ウィザードによって Security Management アプライアンスに設定が正しくインストールされると、[System Setup Next Steps] ページが表示されます。

図 2-6 システム セットアップ:次の手順

 

[System Setup Next Steps] ページのいずれかのリンクをクリックして、Cisco IronPort アプライアンスの設定を続行します。アプライアンス設定の詳細については、「アプライアンスの設定」を参照してください。

Security Management アプライアンスをインストールし、システム セットアップ ウィザードを実行した後、アプライアンス上の他の設定を修正して、モニタリング サービスを設定できます。

モニタリング サービスの設定の詳細については、「システム ステータスのモニタリング」を参照してください。

Security Management アプライアンスのユーザ インターフェイス

初めて Security Management アプライアンスにログインすると、最初のページとして [System Status] ページ が表示されます。

図 2-7 Security Management アプライアンスのグラフィカル ユーザ インターフェイス

 

[System Status] ページには、次のような Security Management アプライアンスの詳細なステータス情報が表示されます。

システム ステータス: サービスの概要(Cisco IronPort スパム検疫、中央集中型レポーティング、中央集中型トラッキング、および中央集中型コンフィギュレーション マネージャ)

システム稼動時間: アプライアンスが動作している時間の長さ

CPU 使用率: 各モニタリング サービスによって使用されている CPU 容量

システム バージョン情報: モデル番号、AsyncOS バージョン、インストール日、およびシリアル番号

[System Status] ページの詳細については、「システム ステータスのモニタリング」を参照してください。

[System Status] ページのタブ

[System Status] ページでは、管理者ユーザとオペレータ ユーザが、以下のタブを使用できます。

[Management Appliance] タブ:[Centralized Services]([System Status]、[Security Appliances]。[Email]:[Spam Quarantine]、[Centralized Reporting]、[Centralized Message Tracking]。[Web]:[Centralized Web Reporting]、[Centralized Configuration Manager])、[Network]([IP Interfaces]、[SMTP Routes]、[DNS]、[Routing])、[System Administration]([Users]、[User Roles]、[Alerts]、[Log Subscriptions]、[Return Addresses]、[LDAP]、[Disk Management]、[Shutdown/Reboot]、[Configuration File]、[System Upgrade]。[System Time]:[Time Zone]、[Time Settings]。[Feature Keys]:[Feature Key Settings]、[Feature Keys]、[Update Settings]。[System Setup]:[System Setup Wizard]、[Next Steps])

[Email] タブ:[Reporting]([Overview]、[Incoming Mail]、[Outgoing Destinations]、[Outgoing Senders]、[Internal Users]、[DLP Incidents]、[Content Filters]、[Virus Types]、[TLS Connections]、[Virus Outbreaks]、[System Capacity]、[Reporting Data Availability]、[Scheduled Reports]、[Archived Reports])、[Message Tracking]([Message Tracking]、[Message Tracking Data Availability])、[Message Quarantine](Spam Quarantine)

[Web] タブ:[Reporting]([Overview]:[Users]、[Web Sites]、[URL Categories]、[Application Visibility]。[Security]:[Anti-Malware]、[Client Malware Risk]、[Web Reputation Filters]、[L4 Traffic Monitor]、[Reporting by User Location]。[Reporting Services]:[Web Tracking]、[System Capacity]、[Data Availability]、[Scheduled Reports]、[Archived Reports])、[Utilities]([Web Appliance Status]、[Security Services Display]、[Configuration Masters]。[Publish]:[Publish to Web Appliances]、[Publish History])、[Configuration Master 5.7]([Web Security Manager]:[Identities, Decryption Policies]、[Routing Policies]、[Access Policies]、[Proxy Bypass]、[Custom URL Categories]、[Time Ranges])、[Configuration Master 6.3]([Web Security Manager]:[Identities]、[Decryption Policies]、[Routing Policies]、[Access Policies]。[Data Loss Prevention]:[Cisco IronPort Data Security Policies]、[External DLP Policies]、[Proxy Bypass]。[Custom Policy Elements]:[Custom URL Categories]、[Time Ranges])、[Configuration Master 7.1]([Authentication]:[Identities]、[SaaS Policy]。[Web Policies]:[Decryption Policies]、[Routing Policies]、[Access Policies]、[Overall Bandwidth Limits]。[Data Loss Prevention]:[Cisco IronPort Data Security Policies]、[External DLP Policies]、[Outbound Malware Scanning]。[Custom Policy Elements]:[Custom URL Categories]、[Time Ranges]。[Global Settings]:[Bypass Settings])。

他のユーザに管理責任を分散する場合、それらのユーザはアクセスを許可された情報のみを表示できます。詳細については、「ユーザ ロール」「Custom Email User ロールの使用」「Custom Email User ロールについて」、および「Custom Web User ロールについて」を参照してください。

[Commit Changes] ボタン

Security Management アプライアンス GUI で設定を変更する場合、[Commit Changes] ボタンをクリックして、その変更を明示的に確定する必要があります。変更を行わなかった場合、[Commit Changes] の代わりに [No Changes] が表示されます。

図 2-8 [Commit Changes] ボタン

 

[Commit Changes] をクリックすると、コメントの追加と変更の確定、最新の確定以降に行ったすべての変更の破棄、またはキャンセルを行うことができるページが表示されます。変更が送信されると、[Commit Changes] の色がオレンジに変化します。

Security Management アプライアンスからのカスタマー サポートへのアクセス

カスタマー サポートに連絡する必要がある場合、または Security Management アプライアンスの機能をアクティブにする必要がある場合には、次のコマンドと機能が役立ちます。

「テクニカル サポート」

「機能キーでの作業」

テクニカル サポート

GUI の右上にある [Help and Support] メニューを使用して、Cisco IronPort カスタマー サポートに関連する機能にアクセスします。

テクニカル サポート機能には、[Open a Support Case] ページと [Remote Access] ページの 2 つのページが含まれます。

サポート 要求

[Help and Support] > [Open a Support Case] ページ、または supportrequest コマンドを使用すると、アプライアンスの設定をカスタマー サポートまたは他のユーザに送信したり、サポートを必要とする問題を説明するコメントを入力することができます。 supportrequest コマンドの詳細については、 Cisco IronPort AsyncOS CLI Reference Guide 』を参照してください。このコマンドを使用するには、アプライアンスがインターネットにメールを送信できる必要があります。

図 2-9 [Support Request] ページ

 

Cisco IronPort カスタマー サポート要求を作成するには、次の手順を実行します。


ステップ 1 [Help and Support] > [Open a Support Case] ページで、連絡先情報(名前、電子メール アドレス、および電話番号)を入力します。

ステップ 2 問題の内容を入力します。

ステップ 3 オプションで、[Other recipients] フィールドに、追加受信者の電子メール アドレスを入力します。

デフォルトでは、フォームの上部にあるチェックボックスを選択した場合、サポート要求(コンフィギュレーション ファイルを含む)は、Cisco IronPort カスタマー サポートに送信されます。また、コンフィギュレーション ファイルを他の電子メール アドレスに送信することもできます。複数のアドレスを指定する場合は、カンマで区切ります。

ステップ 4 この問題に関してすでにカスタマー サポート チケットをお持ちの場合は、ページの下部にチケット番号を入力してください。

ステップ 5 [Send] をクリックします。

トラブル チケットが自動的に作成されます。詳細については、「Cisco IronPort カスタマー サポート」を参照してください。


 

リモート アクセス

アプライアンスへの Cisco IronPort カスタマー サポート リモート アクセスを許可するには、[Remote Access] ページを使用します。

リモート アクセスをイネーブルにするには、次の手順を実行します。


ステップ 1 Security Management アプライアンス GUI の右側で、[Help and Support] > [Remote Access] を選択します。

[Customer Support Remote Access] ウィンドウが表示されます。

ステップ 2 [Edit Remote Access Settings] を選択します。

[Edit Customer Support Remote Access] ページが表示されます。

図 2-10 [Edit Customer Support Remote Access] ページ

 

ステップ 3 [Allow remote access to this appliance] チェックボックスをオンにします。

ステップ 4 カスタマー サポート パスワードを入力します。

ステップ 5 カスタマー サポート エンジニアからオプションを変更するよう指示された場合を除いて、[Secure Tunnel] を選択したままにし、ポート番号は 25 のままにします。

ステップ 6 [Submit] をクリックし、[Commit] をクリックして変更を確定します。

リモート アクセスをイネーブルにすると、デバッグとシステムへの一般的なアクセスのために、カスタマー サポートが使用する特別なアカウントが有効になります。これは、ユーザが自分のシステムを設定し、設定を理解し、また問題レポートを調査するのを支援するためなどの作業で、Cisco IronPort カスタマー サポートが使用します。また、CLI で techsupport コマンドを使用することもできます。

セキュアなトンネルの使用をイネーブルにすると、アプライアンスが、指定されたポートを介してサーバ upgrades.cisco.com への SSH トンネルを作成します。デフォルトでは、この接続はポート 25 で行われます。システムは、電子メール メッセージを送信するために、このポートを介して一般的なアクセスを行う必要があるため、このポートは大部分の環境で機能します。 upgrades.cisco.com への接続が確立されたら、カスタマー サポートは SSH トンネルを使用してアプライアンスへのアクセスを取得できます。ポート 25 を介した接続が許可されている限り、これにより、大部分のファイアウォールの制限がバイパスされます。また、CLI で techsupport tunnel コマンドを使用することもできます。

リモート アクセス モードとトンネル モードの両方で、パスワードが必要です。これは、システムへのアクセスに使用されるパスワードでは ない ことを理解しておくことが重要です。そのパスワードとシステムのシリアル番号がカスタマー サポート担当者に提供された後で、アプライアンスへのアクセスに使用されるパスワードが生成されます。

テクニカル サポート トンネルがイネーブルになると、 upgrades.cisco.com に 7 日間接続されたままになります。7 日の経過後も確立された接続は切断されませんが、いったん切断されるとトンネルに再接続できません。SSH トンネル接続に設定されたタイムアウトはリモート アクセス アカウントに適用されません。リモート アクセス アカウントは、特に非アクティブ化するまでアクティブのままになります。

パケット キャプチャ

場合によっては、Security Management アプライアンスの問題発生時に Cisco IronPort カスタマー サポートに問い合わせたときに、Security Management アプライアンスとのネットワーク状況について尋ねられることがあります。Security Management アプライアンスでは、アプライアンスが接続されたネットワークで送受信されている TCP/IP と他のパケットを傍受および表示できます。

パケット キャプチャを実行してネットワーク設定をデバッグしたり、どのようなネットワーク トラフィックがアプライアンスに到達または送出されているかを検出する場合があります。

アプライアンスは、取り込んだパケット アクティビティをファイルに保存し、そのファイルをローカルに格納します。パケット キャプチャ ファイルの最大サイズ、パケット キャプチャの実行時間、およびキャプチャを実行するネットワーク インターフェイスを設定できます。また、フィルタを使用して、特定のポートからのトラフィックや特定のクライアントまたはサーバの IP アドレスからのトラフィックにパケット キャプチャを制限することもできます。

Security Management アプライアンスの [Help and Support] > [Packet Capture] ページに、ハード ドライブ上に格納された完全なパケット キャプチャ ファイルの一覧が表示されます。パケット キャプチャの実行中は、[Packet Capture] ページに、ファイル サイズや経過時間などの現在の統計情報を示すことにより、進行中のキャプチャのステータスが表示されます。

[Download File] ボタンを使用してパケット キャプチャ ファイルをダウンロードし、デバッグやトラブルシューティングのために電子メールで Cisco IronPort カスタマー サポートに転送できます。また、1 つまたは複数のファイルを選択して、[Delete Selected Files] をクリックすることにより、パケット キャプチャ ファイルを削除することもできます。


) CLI で、packetcapture コマンドを使用します。このコマンドは、UNIX の tcpdump コマンドと類似しています。


パケット キャプチャの開始

パケット キャプチャを開始するには、次の 2 つの方法があります。

「コマンド ライン プロンプトからのパケット キャプチャの開始」

「GUI からのパケット キャプチャの開始」

コマンド ライン プロンプトからのパケット キャプチャの開始

パケット キャプチャを開始するには、コマンド ライン プロンプトから packetcapture > start コマンドを入力します。実行されているパケット キャプチャを停止する必要がある場合は、 packetcapture > stop コマンドを実行します。アプライアンスは、セッションが終了するとパケット キャプチャを停止します。

GUI からのパケット キャプチャの開始

Security Management アプライアンス上でパケット キャプチャを開始するには、次の手順を実行します。


ステップ 1 Security Management アプライアンス上で、[Help and Support] > [Packet Capture] を選択します。

ステップ 2 [Packet Capture] ページが表示されます。

 

ステップ 3 [Start Capture] を選択します。

ステップ 4 次の図に、実行中のパケット キャプチャ プロセスを示します。

実行されているキャプチャを停止するには、[Stop Capture] をクリックします。以前に開始されたキャプチャは、セッション間で維持されます。


 


) GUI では、GUI で開始されたパケット キャプチャだけが表示されます。packetcapture > start コマンドを使用してコマンド ライン プロンプトから開始されたパケット キャプチャは表示されません。同様に、コマンド ラインでは、packetcapture > start コマンドを使用してコマンド ライン プロンプトから開始された現在のパケット キャプチャの実行ステータスだけが表示されます。キャプチャは一度に 1 つだけ実行できます。


パケット キャプチャ設定の編集

パケット キャプチャの編集には、次の 2 つの方法があります。

「コマンド ライン プロンプトからのパケット キャプチャ設定の編集」

「GUI からのパケット キャプチャ設定の編集」

コマンド ライン プロンプトからのパケット キャプチャ設定の編集

CLI でパケット キャプチャ設定を編集するには、コマンド ライン プロンプトから packetcapture > setup コマンドを実行します。

GUI からのパケット キャプチャ設定の編集

GUI からパケット キャプチャ設定を編集するには、次の手順を実行します。


ステップ 1 Security Management アプライアンス上で、[Help and Support] > [Packet Capture] を選択します。

パケット キャプチャ

ステップ 2 [Edit Settings] を選択します。

ステップ 3 [Edit Packet Capture Settings] ページが表示されます。

ステップ 4 表 2-2 に、設定可能なパケット キャプチャの項目を示します。

表 2-2 パケット キャプチャ設定オプション

オプション
説明

Capture file size limit

すべてのパケット キャプチャ ファイルの最大ファイル サイズ(メガバイト単位)。

Capture Duration

パケット キャプチャの実行時間を選択します。

[Run Capture Until File Size Limit Reached] パケット キャプチャは、ファイル サイズ制限に到達するまで実行されます。

[Run Capture Until Time Elapsed Reaches] パケット キャプチャは、設定された時間が経過するまで実行されます。時間は秒単位( s )、分単位( m )、または時間単位( h )で入力できます。単位を指定せずに時間の長さを入力すると、AsyncOS は、デフォルトで秒を使用します。このオプションは GUI でのみ使用できます。

(注) パケット キャプチャ ファイルは 10 個の部分に分割されます。全体の時間が経過する前にパケット キャプチャ ファイルが最大サイズ制限に到達した場合は、そのファイルの最も古い部分が削除され(データが破棄されます)、現在のパケット キャプチャ データで新しい部分が開始されます。パケット キャプチャ ファイルは一度に 1/10 だけ破棄されます。

[Run Capture Indefinitely] パケット キャプチャは、手動で停止するまで実行されます。

(注) 手動でパケット キャプチャを停止する前にパケット キャプチャ ファイルが最大サイズ制限に到達した場合は、そのファイルの最も古い部分が削除され(データが破棄されます)、現在のパケット キャプチャ データで新しい部分が開始されます。

パケット キャプチャはいつでも手動で停止できます。

Interface

パケット キャプチャを実行するネットワーク インターフェイスを選択します。

Filters

パケット キャプチャで保存されるデータの量を削減するために、パケット キャプチャにフィルタを適用するかどうかを選択します。

事前定義されたフィルタを使用して、ポート、クライアント IP、またはサーバ IP(GUI のみ)でフィルタリングすることか、または host 10.10.10.10 && port 80 など、UNIX の tcpdump コマンドでサポートされる任意の構文を使用してカスタム フィルタを作成することができます。

ステップ 5 [Submit] をクリックして、ページ上の変更を送信します。


 


) AsyncOS は新しいパケット キャプチャ設定を使用します(これらを送信後)。この場合、変更を確定する必要はありません。


機能キーでの 作業

Cisco IronPort カスタマー サポートは、システム上で特定の機能をイネーブルにするキーを提供する場合があります。

メイン Security Management アプライアンスで、GUI を使用して [Management Appliance] > [System Administration] > [Feature Keys] を選択して(またはコマンド ライン プロンプトから featurekey コマンドで)キーを入力し、関連する機能をイネーブルにします。

キーは、アプライアンスのシリアル番号に固有のものであり、またイネーブルする機能にも固有です。1 つのシステムのキーを、別のシステムで再利用することはできません。キーを間違って入力した場合は、エラー メッセージが生成されます。

[Feature Keys] ページと [Feature Key Settings] ページの 2 つのページで、機能キーの機能が提供されます。

[Feature Keys] ページ

Security Management アプライアンスにログインし、[Management Appliance] > [System Administration] > [Feature Keys] を選択します。[Feature Keys] ページでは、次の作業を実行します。

アプライアンスのアクティブな機能キーをすべて表示する。

アクティベーションを保留中のすべての機能キーを表示する。

発行された新しいキーを検索する。

機能キーをインストールする。

[Feature Keys for Serial Number: <Serial Number> ] セクションには、アプライアンスに対してイネーブルとなっている機能の一覧が表示されます。[Pending Activation] セクションには、アプライアンスに対して発行され、まだアクティベートされていない機能キーの一覧が表示されます。デフォルトでは、アプライアンスは、新しいキーを定期的に確認します。アプライアンス設定を変更すると、この動作を変更できます。さらに、[Check for New Keys] ボタンをクリックして、保留中のキーの一覧をリフレッシュできます。

図 2-11 [Feature Keys] ページ

 

新しい機能キーを手動で追加するには、[Feature Key] フィールドにキーを貼り付けるか、または入力し、[Submit Key] をクリックします。機能が追加されない場合は、エラー メッセージが表示されます(たとえば、キーが正しくない場合など)。それ以外の場合は、機能キーがリストに追加されます。

[Pending Activation] リストの新しい機能キーをアクティベートするには、そのキーを選択し([Select] チェックボックスを選択)、[Activate Selected Keys] をクリックします。

新しいキーが発行されたときに、キーを自動的にダウンロードおよびインストールするように、アプライアンスを設定できます。この場合、[Pending Activation] リストは常に空白になります。

[Fe ature Key Settings] ページ

[Management Appliance] > [System Administration] > [Feature Key Settings] ページを使用して、アプライアンスが新しい機能キーがあるか確認し、ダウンロードするかどうか、またキーが自動的にアクティベートされるかどうかを制御します。

図 2-12 [Feature Key Settings] ページ

 

期限 切れ機能キー

アクセスしようとしている機能の機能キーの有効期限が切れている場合は、シスコ担当者または他のカスタマー サポート組織までご連絡ください。

SMA 互換性マトリクス

このセクションでは、Security Management アプライアンスの AsyncOS 7.7 と、Email Security アプライアンスと Web セキュリティ アプライアンスのさまざまな AsyncOS リリースとの間の互換性について説明します。さらに、サポートされるコンフィギュレーション ファイルの表も示してあります。


) (Web セキュリティ アプライアンスのある導入環境の場合)Web セキュリティ アプライアンスは、前の 2 つのメジャー バージョンまで、そのコンフィギュレーション データの後方互換性を維持します。ソースおよびターゲット アプライアンスでのソフトウェアのバージョンによっては、アップグレードが Security Management アプライアンスの機能に影響を与える可能性があることに注意してください。


表 2-3 Security Management アプライアンスと Email Security アプライアンスの互換性

バージョン

レポーティング

トラッキング

セーフリスト/ブロックリスト

ISQ

ESA 6.3

サポートなし

サポートなし

サポートなし

サポートあり

ESA 6.4

サポートあり

サポートあり

サポートあり

サポートあり

ESA 6.5

サポートあり

サポートあり

サポートあり

サポートあり

ESA 7.0

サポートあり

サポートあり

サポートあり

サポートあり

ESA 7.1

サポートあり

サポートあり

サポートあり

サポートあり

ESA 7.5

サポートあり

サポートあり

サポートあり

サポートあり

表 2-4 Security Management アプライアンスと Web セキュリティ アプライアンスの互換性

バージョン

中央集中レポーティングおよびトラッキング

ICCM 公開1

Web セキュリティ アプライアンスへの拡張ファイル公開(バージョン 5.7、6.3、および 7.1)

WSA 5.6

機能は使用不可

サポートしない

サポートしない

WSA 5.7

機能は使用不可

5.7 の Configuration Master でサポート

コンフィギュレーション ファイルのバージョンは、ターゲットの WSA バージョンと一致している必要があります。

WSA 6.0

機能は使用不可

サポートしない

サポートしない

WSA 6.3

機能は使用不可

5.7 と 6.3 の Configuration Master でサポート

コンフィギュレーション ファイルのバージョンは、ターゲットの WSA バージョンと一致している必要があります。

WSA 7.0

機能は使用不可

6.3 の Configuration Master でサポート

コンフィギュレーション ファイルのバージョンは、ターゲットの WSA バージョンと一致している必要があります。

WSA 7.1

サポートあり

6.3 と 7.1 の Configuration Master でサポート

コンフィギュレーション ファイルのバージョンは、ターゲットの WSA バージョンと正確に一致している必要があります。

1.表中の ICCM 公開行と拡張ファイル公開行は、公開先が Web セキュリティ アプライアンスです。

表 2-5 (WSA のある導入環境のみ)Configuration Master の互換性

ターゲット Configuration Master のバージョン:

ソース Configuration Master のバージョン:

Web セキュリティ アプライアンス バージョンからのソース コンフィギュレーション ファイル:

5.7

N/A

Web セキュリティ アプライアンス 5.7

6.3

Configuration Master 5.7

Web セキュリティ アプライアンス 6.3

7.1

Configuration Master 6.3

Web セキュリティ アプライアンス 7.1