Cisco Security Manager 4.1 ユーザ ガイド
Security Manager の概要
Security Manager の概要
発行日;2012/05/10 | 英語版ドキュメント(2011/03/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

Security Manager の概要

製品概要

Cisco Security Manager の主な利点

Security Manager のポリシー フィーチャ セット

Security Manager アプリケーションの概要

デバイス モニタリングの概要

Security Manager での IPv6 サポート

Security Manager へのログインおよび終了

ユーザ権限について

Cisco Security Management Suite サーバへのログイン

Security Manager クライアントへのログインおよび終了

Configuration Manager の使用方法 - 概要

Configuration Manager の概要

デバイス ビューの概要

ポリシー ビューの概要

マップ ビューの概要

セキュリティ ポリシー設定のタスク フロー

ポリシーおよびポリシー オブジェクトの概要

ワークフローおよびアクティビティの概要

Workflow モードの作業

Workflow 以外のモードの作業

2 つのワークフロー モードの比較

JumpStart を使用した Security Manager の理解

Security Manager の初期設定の実行

電子メール通知用の SMTP サーバおよびデフォルト アドレスの設定

ワークフロー モードの変更

Security Manager インターフェイスの基本機能について

Configuration Manager のメニュー バー リファレンス

[File] メニュー(Configuration Manager)

[Edit] メニュー(Configuration Manager)

[View] メニュー(Configuration Manager)

[Policy] メニュー(Configuration Manager)

[Map] メニュー(Configuration Manager)

[Manage] メニュー(Configuration Manager)

[Tools] メニュー(Configuration Manager)

[Activities] メニュー(Configuration Manager)

[Launch] メニュー(Configuration Manager)

[Help] メニュー(Configuration Manager)

ツールバー リファレンス(Configuration Manager)

セレクタの使用

セレクタ内の項目のフィルタリング

[Create Filter] ダイアログボックス

ウィザードの使用

テーブルの使用

テーブルのフィルタリング

テーブル カラムおよびカラム見出しの機能

テキスト フィールドの使用方法

テキストの ASCII 制限について

テキスト ボックス内のテキストの検索

テキスト ボックス内のナビゲート

サーバ ファイル システムでのファイルまたはディレクトリの選択または指定

ユーザ インターフェイスに問題がある場合のトラブルシューティング

オンライン ヘルプへのアクセス

製品概要

Cisco Security Manager(Security Manager)を使用すると、シスコ セキュリティ デバイスのセキュリティ ポリシーを管理できます。Security Manager では、次のデバイス全体で、ファイアウォール、IPS、および VPN(サイト間、リモート アクセス、および SSL)サービスの統合プロビジョニングをサポートします。

ASA および PIX セキュリティ アプライアンス

ルータおよび ASA デバイス用の IPS アプライアンスとさまざまなサービス モジュール

IOS ルータ

Catalyst スイッチ

ファイアウォール、VPN、および IPS 関連の Catalyst サービス モジュール


) Security Manager でサポートされるデバイスおよび OS バージョンの一覧については、Cisco.com で『Supported Devices and Software Versions for Cisco Security Manager』を参照してください。


Security Manager では、インターフェイス、ルーティング、ID、QoS、ロギングなど、さまざまなプラットフォーム固有の設定のプロビジョニングもサポートしています。

Security Manager は、数台のデバイスで構成される小規模ネットワークから、数千台のデバイスで構成される大規模ネットワークまで、広範囲のネットワークを効率的に管理します。共有可能なオブジェクトおよびポリシーの持つ豊富なフィーチャ セットと、デバイスのグループ化機能により、スケーラビリティが実現されます。

Security Manager では、さまざまなタスク フローと使用例に基づいて最適化された、複数の設定ビューをサポートしています。

ここでは、Security Manager の概要について説明します。

「Cisco Security Manager の主な利点」

「Security Manager のポリシー フィーチャ セット」

「Security Manager アプリケーションの概要」

「デバイス モニタリングの概要」

「Security Manager での IPv6 サポート」

Cisco Security Manager の主な利点

Security Manager を使用する主な利点は、次のとおりです。

スケーラブルなネットワーク管理 :小規模ネットワーク、または数千台のデバイスで構成される大規模ネットワークのセキュリティ ポリシーとデバイス設定を集中管理します。ポリシーおよび設定は、定義したあとに、必要に応じて個別のデバイス、デバイスのグループ、または企業内のすべてのデバイスに割り当てます。

異なるプラットフォームにまたがる複数のセキュリティ テクノロジーのプロビジョニング :ルータ、セキュリティ アプライアンス、Catalyst デバイスとサービス モジュール、および IPS デバイス上の VPN、ファイアウォール、および IPS テクノロジーを管理します。

プラットフォーム固有の設定およびポリシーのプロビジョニング :特定のデバイス タイプでのプラットフォーム固有の設定を管理します。たとえば、ルータでのルーティング、802.1x、EzSDD、ネットワーク アドミッション コントロールや、ファイアウォール デバイスでのデバイス アクセス セキュリティ、DHCP、AAA、マルチキャストなどがあります。

VPN ウィザード :異なる VPN デバイス タイプにわたってポイントツーポイント VPN、ハブアンドスポーク VPN、完全メッシュ、およびエクストラネット サイト間 VPN をすばやく簡単に設定します。ASA、IOS、および PIX デバイスでリモート アクセス IPsec および SSL VPN をすばやく簡単に設定します。

複数の管理ビュー :デバイス ビュー、ポリシー ビュー、およびマップ ビューを使用することにより、ニーズに最も適した環境でセキュリティを管理できます。

再利用可能なポリシー オブジェクト :ネットワーク アドレス、デバイス設定、VPN パラメータなどを表す、再利用可能なオブジェクトを作成します。作成後は、手動で値を入力する代わりに、このオブジェクトを使用します。

デバイスのグループ化機能 :組織構造を表すデバイス グループを作成します。グループ内のすべてのデバイスを同時に管理します。

ポリシー継承 :必須ポリシーおよび組織の下層に適用するポリシーを一元的に指定します。

ロールベースの管理 :複数のオペレータに対する適切なアクセス コントロールが可能です。

ワークフロー :(任意)ネットワーク オペレータとセキュリティ オペレータの間で責務分担と作業負荷分散が可能となり、変更管理の承認とトラッキング メカニズムを実現します。

単一で一貫性のあるユーザ インターフェイスによる共通ファイアウォール機能の管理 :すべてのプラットフォーム(ルータ、PIX、ASA、および FWSM)に対応した単一の規則テーブル。

ファイアウォール ポリシーのインテリジェントな分析 :競合検出機能を使用して、他の規則と重複または競合する規則を分析およびレポートします。ACL ヒット カウント機能により、パケットが特定の規則に一致したか、または特定の規則がトリガーされたかどうかがリアルタイムでチェックされます。

規則テーブルの高度な編集 :インライン編集、規則のカット、コピー、およびペースト機能と規則テーブル内での規則の順序変更。

デバイスからのファイアウォール ポリシー検出 :デバイス上に存在するポリシーを Security Manager にインポートし、あとで管理することができます。

柔軟性のある展開オプション :デバイスに設定を直接展開する方法と設定ファイルに展開する方法をサポートします。Auto-Update Server(AUS)、Configuration Engine、または Token Management Server(TMS)を使用して、展開することもできます。

ロールバック :必要に応じて以前の設定にロールバックすることができます。

FlexConfig(テンプレート マネージャ) :デバイスで使用可能な機能を管理するためのインテリジェントな CLI configlet エディタ。ただし、Security Manager では、ネイティブにはサポートしていません。

統合されたデバイス モニタリングとレポート :IPS、ASA、および FWSM デバイスでイベントをモニタし、関連する設定ポリシーにこれらのイベントを関連付けて、セキュリティ レポートと使用状況レポートを作成するための機能。追加機能を使用すると、Security Manager から、Cisco Security Monitoring, Analysis and Response System(CS-MARS)、Cisco Performance Monitor、および ASDM(Security Manager に同梱される読み取り専用バージョン)などのデバイス マネージャを含め、関連の深い他のアプリケーションを使用してデバイスをモニタできます。

Security Manager のポリシー フィーチャ セット

Security Manager には、主に次のような設定ポリシーのフィーチャ セットが用意されています。

ファイアウォール サービス

IOS ルータ、ASA/PIX デバイス、Catalyst Firewall Service Module(FWSM; ファイアウォール サービス モジュール)など、複数のプラットフォームにまたがるファイアウォール ポリシーの設定および管理です。次の機能が含まれています。

アクセス コントロール規則:IPv4 と IPv6 の両方のトラフィックに関するアクセス コントロール リストを使用して、インターフェイス上のトラフィックを許可または拒否する。

インスペクション規則:アプリケーション レイヤ プロトコルのセッション情報に基づいて、TCP パケットおよび UDP パケットをフィルタリングする。

AAA/認証プロキシ規則:HTTP、HTTPS、FTP、または Telnet のセッションを経由してネットワークにログインする、またはインターネットにアクセスするユーザの認証と認可に基づいて、トラフィックをフィルタリングする。

Web フィルタリング規則:Websense などの URL フィルタリング ソフトウェアを使用して、特定の Web サイトへのアクセスを拒否する。

トランスペアレント ファイアウォール規則:トランスペアレントなインターフェイスまたはブリッジングされたインターフェイス上で、レイヤ 2 トラフィックをフィルタリングする。

ゾーンベースのファイアウォール規則:個々のインターフェイスではなく、ゾーンに基づいて、アクセス規則、インスペクション規則、および Web フィルタリング規則を設定する。

詳細については、「ファイアウォール サービスの概要」を参照してください。

サイト間 VPN

IPsec サイト間 VPN のセットアップと設定です。IOS ルータ、PIX/ASA デバイス、Catalyst VPN サービス モジュールなど、複数のデバイス タイプが単一の VPN に参加できます。サポートされる VPN トポロジは、次のとおりです。

ポイントツーポイント

ハブアンドスポーク

完全メッシュ

エクストラネット(管理対象外デバイスへのポイントツーポイント接続)

サポートされる IPsec テクノロジーは、次のとおりです。

通常の IPsec

GRE

GRE ダイナミック IP

DMVPN

Easy VPN

GET VPN

詳細については、「サイト間 VPN の管理:基本」を参照してください。

リモート アクセス VPN

サーバと、Cisco VPN クライアントまたは AnyConnect クライアント ソフトウェアが稼動しているモバイル リモート ワークステーション間の IPsec および SSL VPN のセットアップと設定です。詳細については、「リモート アクセス VPN の管理の基礎」を参照してください。

侵入防御システム(IPS)管理

Cisco IPS センサー(アプライアンスとサービス モジュール)および IOS IPS デバイス(IPS 対応イメージ搭載の Cisco IOS ルータと Cisco サービス統合型ルータ)の管理および設定です。

詳細については、「IPS 設定の概要」および「Cisco IOS IPS 設定の概要」を参照してください。

ファイアウォール デバイス(PIX/ASA/FWSM)固有の機能

プラットフォーム固有の高度な機能の設定、および PIX/ASA デバイスと Catalyst ファイアウォール サービス モジュールの設定です。これらの機能は、セキュリティ プロファイルを管理するときに付加価値を提供し、次のものを含みます。

デバイス管理設定

セキュリティ

ルーティング

マルチキャスト

ロギング

NAT

ブリッジング

フェールオーバー

セキュリティ コンテキスト

詳細については、「ファイアウォール デバイスの管理」を参照してください。

IOS ルータ固有の機能

プラットフォーム固有の高度な機能の設定、および IOS ルータの設定です。これらの機能は、セキュリティ プロファイルを管理するときに付加価値を提供し、次のものを含みます。

ルーティング

NAT

802.1x

NAC

QoS

ダイヤラ インターフェイス

セキュア デバイス プロビジョニング

詳細については、「ルータの管理」を参照してください。

Catalyst 6500/7600 デバイスおよび Catalyst スイッチ固有の機能

VLAN、ネットワーク接続、およびサービス モジュールの機能の設定と、Catalyst 6500/7600 デバイスおよびその他の Catalyst スイッチの設定です。

詳細については、「Cisco Catalyst スイッチおよび Cisco 7600 シリーズ ルータの管理」を参照してください。

FlexConfig

FlexConfig ポリシーおよびポリシー オブジェクトを使用すると、デバイスでは使用できるが、Security Manager でネイティブにサポートされていない機能をプロビジョニングできます。このポリシーやオブジェクトによって、一連の CLI コマンドを手動で指定し、Security Manager のプロビジョニング メカニズムを使用して、デバイスにコマンドを展開できます。Security Manager で生成されたコマンドの前後にこれらのコマンドを追加すると、セキュリティ ポリシーをプロビジョニングできます。

詳細については、「FlexConfig の管理」を参照してください。

Security Manager アプリケーションの概要

Security Manager クライアントには、次の 3 つの主要アプリケーションが組み込まれています。

Configuration Manager :これがプライマリ アプリケーションです。Configuration Manager を使用して、デバイス インベントリの管理、ローカル ポリシーと共有ポリシーの作成と編集、VPN 設定の管理、およびデバイスへのポリシーの展開を行います。Configuration Manager は最大のアプリケーションであり、ほとんどのマニュアルでこのアプリケーションが扱われています。手順でアプリケーションが明確に言及されていない場合は、手順では Configuration Manager を使用しています。Configuration Manager の概要については、「Configuration Manager の使用方法 - 概要」を参照してください。

Event Viewer :これはイベント モニタリング アプリケーションで、Security Manager にイベントを送信するよう設定した IPS、ASA、および FWSM デバイスから生成されたイベントを表示および分析できます。Event Viewer の使用については、「イベントの表示」を参照してください。

Report Manager :これはレポート アプリケーションで、デバイスに関する集約された情報および VPN 統計情報のレポートを表示および作成できます。多くの情報は、Event Viewer で使用可能なイベントから取得されますが、一部の VPN 統計情報は、デバイスと直接通信することで取得されます。Report Manager の使用については、「レポートの管理」を参照してください。

これらのアプリケーションはすべて、Windows の [Start] メニューまたはデスクトップ アイコンから直接開くことができます。または、これらのアプリケーション内の [Launch] メニューから開くこともできます。アプリケーションを開く方法については、「Security Manager クライアントへのログインおよび終了」を参照してください。

デバイス モニタリングの概要

Security Manager には、デバイスをモニタするための機能がいくつか備わっています。

Event Viewer :この統合型ツールを使用すると、ASA、FWSM、および IPS デバイスでイベントを表示し、関連する設定ポリシーにそのイベントを関連付けることができます。これは、問題の特定、設定のトラブルシューティング、および設定の修正と再展開を行う場合に役立ちます。詳細については、「イベントの表示」を参照してください。

Report Manager :これはレポート アプリケーションで、デバイスに関する集約された情報および VPN 統計情報のレポートを表示および作成できます。多くの情報は、Event Viewer で使用可能なイベントから取得されますが、一部の VPN 統計情報は、デバイスと直接通信することで取得されます。Report Manager の使用については、「レポートの管理」を参照してください。

Security Manager で使用可能なレポートのすべてのタイプについては、「Security Manager で使用可能なレポートのタイプについて」を参照してください。

Packet Tracer :このツールを使用すると、特定のタイプのパケットが ASA デバイスを通過するのを許可されているかどうかをテストできます。詳細については、「Packet Tracer を使用した ASA または PIX の設定の分析」を参照してください。

ping、トレース ルート、および NS ルックアップ :管理対象デバイスで ping と TraceRoute を使用して、デバイスと特定の宛先の間にルートが存在するかどうかを確認できます。NS ルックアップを使用すると、アドレスを DNS 名に解決できます。詳細については、「ping、トレース ルート、または NS ルックアップ ツールを使用した接続問題の分析」を参照してください。

Cisco Security Monitoring, Analysis and Response System(CS-MARS)の統合 :CS-MARS アプリケーションを使用する場合は、Security Manager と統合して、CS-MARS のイベントを Security Manager で表示したり、逆にイベントに関連する Security Manager ポリシーを CS-MARS で表示できます。詳細については、「CS-MARS と Security Manager の統合」を参照してください。

Performance Monitor の統合 :Security Manager と同時に使用可能な Performance Monitor を使用する場合は、Security Manager に統合して [Inventory Status] ページでデバイス ステータスを表示できます(「インベントリ ステータスの表示」を参照)。

デバイス マネージャの統合 :Security Manager には、Adaptive Security Device Manager(ASDM)など、さまざまなデバイス マネージャの読み取り専用コピーが含まれています。これらのツールを使用すると、デバイス ステータスの表示はできますが、デバイス設定の変更はできません。詳細については、「デバイス マネージャの起動」を参照してください。

Security Manager での IPv6 サポート

Security Manager では、IPv6 設定、モニタリング、およびレポートのサポートは制限されています。


ヒント IPv6 アドレスを持つデバイスを Security Manager で使用するには、デバイスの管理アドレスを IPv4 アドレスとして設定する必要があります。ポリシー検出と展開など、デバイスと Security Manager 間のすべての通信で IPv4 トランスポートが使用されます。また、サポートされるデバイスで IPv6 ポリシーが表示されない場合は、デバイス ポリシーを再検出します。必要に応じて、インベントリからそのデバイスを削除して、再度追加します。

通常、次のタイプのデバイスで IPv6 ポリシーを設定できます。さらに、IPS、ASA、および FWSM デバイスによって生成された IPv6 アラートをモニタできます。その他のタイプのデバイスでは、FlexConfig ポリシーを使用して IPv6 設定を行います。IPv6 デバイス サポートに関する特定の情報については、Cisco.com でマニュアル『 Supported Devices and Software Versions for Cisco Security Manager 』を参照してください。

ASA :ルータ モードで実行されている場合はリリース 7.0+ で、トランスペアレント モードで実行されている場合はリリース 8.2+。1 つのセキュリティ コンテキスト デバイスと複数のセキュリティ コンテキスト デバイスの両方がサポートされます。

FWSM :ルータ モードで実行されている場合はリリース 3.1+。トランスペアレント モードではサポートされません。1 つのセキュリティ コンテキスト デバイスと複数のセキュリティ コンテキスト デバイスの両方がサポートされます。

次に、IPv6 アドレッシングをサポートする Security Manager 機能の要約を示します。

ポリシー オブジェクト :次のポリシー オブジェクトで IPv6 アドレスがサポートされます。

[Network/host-IPv6]。「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」を参照してください。

[Service]。このオブジェクトには、IPv6 ポリシーだけと一緒に使用できる、ICMP6 および DHCPv6 用の定義済みサービスが組み込まれるようになりました。他のサービスは、IPv4 と IPv6 の両方に適用されます。サービス オブジェクトの詳細については、「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」を参照してください。

ファイアウォール サービス ポリシー :次のファイアウォール サービス ポリシーとツールでは IPv6 設定がサポートされます。

[IPv6 Access Rules]。「アクセス規則の設定(IPv4 または IPv6)」を参照してください。

[Settings] > [IPv6 Access Control]。「アクセス コントロールの設定(IPv4 または IPv6)」を参照してください。

[Tools:]

[Hit Count]。「ヒット カウント レポートの生成」を参照してください。

[Find and Replace]。「規則テーブルの項目の検索と置換」を参照してください。

ASA および FWSM ポリシー :次の ASA および FWSM ポリシーでは IPv6 設定がサポートされます。

(ASA 7.0+ ルーテッド モード、ASA 8.2+ トランスペアレント モード、FWSM 3.1+ ルーテッド モード)[Interfaces]:[Add Interface] ダイアログボックスと [Edit Interface] ダイアログボックスの [IPv6] タブ。「IPv6 インターフェイスの設定(ASA/FWSM)」を参照してください。

(ASA だけ)[Platform] > [Bridging] > [IPv6 Neighbor Cache]。「IPv6 ネイバー キャッシュの管理」を参照してください。

(ASA 8.3+ だけ)[Platform] > [Bridging] > [Management IPv6]。「[Management IPv6] ページ(ASA 5505)」を参照してください。

FlexConfig ポリシー :デバイスで IPv6 ACL を識別するために使用できる 2 つのファイアウォール システム変数があります。詳細については、「FlexConfig システム変数」を参照してください。

これらの変数を使用する定義済みの FlexConfig ポリシー オブジェクト(ASA_add_IPv6_ACE)もあります。

Event Viewer :IPv6 アドレスが含まれているイベントがサポートされ、アドレスは、IPv4 アドレスと同じ列([Source]、[Destination]、および [IPLog Address](IPS アラートの場合))に表示されます。ただし、Security Manager サーバへのイベントの送信に IPv4 を使用するようデバイスを設定する必要があります。すべてのイベント通信で IPv4 トランスポートが使用されます。Event Viewer の詳細については、「イベントの表示」を参照してください。

Report Manager :レポートには、イベント管理によって収集された IPv6 イベントの統計情報が含まれています。Report Manager の詳細については、「レポートの管理」を参照してください。

Security Manager へのログインおよび終了

Security Manager には、次の 2 つの主要インターフェイスがあります。

Cisco Security Management Suite ホームページ:このインターフェイスは、Security Manager クライアントをインストールする場合およびサーバを管理する場合に使用します。Resource Manager Essentials(RME)など、インストール済みの他の CiscoWorks アプリケーションにアクセスすることもできます。

Security Manager クライアント:これらのインターフェイスは、ほとんどの Security Manager タスクを実行する場合に使用します。3 つすべてのクライアント アプリケーション(Configuration Manager、Event Viewer、または Report Manager)に直接ログインできます。

ここでは、これらのインターフェイスにログインする方法およびインターフェイスを終了する方法について説明します。

「ユーザ権限について」

「Cisco Security Management Suite サーバへのログイン」

「Security Manager クライアントへのログインおよび終了」

ユーザ権限について

Cisco Security Manager では、ユーザがログインする前にユーザ名およびパスワードを認証します。認証が済むと、Security Manager によってアプリケーション内にロールが設定されます。ユーザの権限(特権と呼ぶ場合もあります)は、このロールによって定義されます。権限とは、ユーザが実行を許可された一連のタスクまたは操作のことです。特定のタスクまたはデバイスを許可されていない場合は、関連するメニュー項目、コンテンツ テーブル内の項目、およびボタンが非表示またはディセーブルになります。また、選択した情報を参照したり、選択した操作を実行したりする権限がないことを通知するメッセージが表示されます。

Security Manager の認証および認可は、CiscoWorks サーバまたは Cisco Secure Access Control Server(ACS)のいずれかで管理されます。デフォルトでは CiscoWorks で認証および認可を管理しますが、Security Manager を設定すれば Cisco Secure ACS セットアップを使用できます。

ACS を使用する場合は、すべての ACS サーバが利用不能な状態になると Security Manager でタスクを実行できません。ログイン済みの場合は、ACS による認可が必要なタスクを実行しようとすると、(変更を保存する間もなく)システムから突然ログアウトされることがあります。この場合、認可を実行できないためにログオフされたことを示すメッセージが表示されます。

ユーザ権限および AAA 設定の詳細については、『 Installation Guide for Cisco Security Manager 』を参照してください。

Event Viewer および Report Manager アプリケーションでの認可制御の詳細については、次の項を参照してください。

「Event Viewer のアクセス コントロールについて」

「Report Manager のアクセス制御について」

Cisco Security Management Suite サーバへのログイン

Security Manager クライアントをインストールしてサーバを管理するには、Cisco Security Management Suite ホームページおよび CiscoWorks Common Services を使用します。RME など、インストール済みの他の CiscoWorks アプリケーションにアクセスすることもできます。


ステップ 1 Web ブラウザで、次の URL のいずれかを開きます。ここで、 SecManServer は、Security Manager がインストールされているコンピュータの名前です。[Security Alert] ウィンドウでは [Yes] をクリックします。

SSL を使用しない場合は http:// SecManServer :1741 を開きます。

SSL を使用する場合は https:// SecManServer :443 を開きます。

Cisco Security Management Suite のログイン画面が表示されます。このページで、JavaScript とクッキーがイネーブルであること、およびサポートされているバージョンの Web ブラウザが実行されていることを確認してください。ブラウザを設定して Security Manager を実行する方法の詳細については、『 Installation Guide for Cisco Security Manager 』を参照してください。

ステップ 2 ユーザ名およびパスワードを指定して、Cisco Security Management Suite サーバにログインします。サーバをインストールしたばかりの場合は、ユーザ名 admin および製品インストール時に定義したパスワードを使用してログインできます。

ステップ 3 Cisco Security Management Suite ホームページで、少なくとも次の機能にアクセスします。その他の機能は、製品をインストールした方法に応じて使用できる場合があります。

[Cisco Security Manager Client Installer]:この項目をクリックして、Security Manager クライアントをインストールします。このクライアントが、製品を使用する際の主要なインターフェイスとなります。

[Server Administration]:この項目をクリックして、[CiscoWorks Common Services Server] ページを開きます。CiscoWorks Common Services はサーバ管理の基盤となるソフトウェアです。このソフトウェアを使用して、サーバ メンテナンス、トラブルシューティング、ローカル ユーザ定義などのバックエンド サーバ機能を設定および管理します。

[CiscoWorks] リンク(ページ右上):このリンクをクリックして、CiscoWorks Common Services ホームページを開きます。

ステップ 4 アプリケーションを終了するには、画面の右上隅にある [Logout] をクリックします。ホームページと Security Manager クライアントが両方同時に開いている場合にブラウザ接続を終了しても、Security Manager クライアントは終了しません。


 

Security Manager クライアントへのログインおよび終了

ほとんどの Security Manager タスクは、Security Manager クライアントを使用して実行します。


ヒント Security Manager クライアント アプリケーションを十分に活用できる管理者特権が付与された Windows ユーザ アカウントを使用してワークステーションにログインする必要があります。より低い特権を使用してアプリケーションを操作しようとすると、一部の機能が正しく機能しない場合があります。

はじめる前に

コンピュータにクライアントをインストールします。クライアントをインストールするには、Security Manager サーバにログインし(「Cisco Security Management Suite サーバへのログイン」を参照)、[Cisco Security Manager Client Installer] をクリックしてインストレーション ウィザードの指示に従ってください。


ステップ 1 [Start] > [All Programs] > [Cisco Security Manager Client] メニューから次のいずれかのアプリケーションを選択します。

Configuration Manager

Event Viewer

Report Manager


ヒント クライアントがワークステーションにインストールされているのに [Start] メニューに表示されない場合は、別のユーザがクライアントをインストールした可能性があります。クライアント ステーションのすべてのユーザに対して、Security Manager クライアントが [Start] メニューに表示されるようにするには、Cisco Security Manager クライアント フォルダを Documents and Settings¥<user>¥Start Menu¥Programs¥Cisco Security Manager から Documents and Settings¥All Users¥Start Menu¥Programs¥Cisco Security Manager にコピーします。


ステップ 2 アプリケーションのログイン ウィンドウでログインするサーバを選択して、Security Manager のユーザ名およびパスワードを入力します。[Login] をクリックします。

クライアントがサーバにログインし、次の条件に基づいて選択したアプリケーションが開きます。これらの条件はアプリケーション単位であることに注意してください。たとえば、あるワークステーションで Configuration Manager を開いている場合に、別のワークステーションから Event Viewer を開いても、Event Viewer から Configuration Manager を開始しないかぎり、Configuration Manager セッションは影響を受けません。

Workflow モードと Workflow 以外のモードの両方で、単一のワークステーションからは同じサーバにログインできず、同じユーザ アカウントを使用して複数のアクティブ セッションを使用することはできません。すでにログインしていることが通知され、既存の開いているアプリケーションを再使用するよう求められます。

両方の Workflow モードで、同じ(または別の)ユーザ名を使用して同じワークステーションから異なるサーバにログインできます。

Workflow 以外のモードでは、特定のサーバでユーザ名が別のワークステーションにログインしている場合は、他のワークステーションのクライアントは自動的にログアウトされ、保存されていない変更はすべて失われます。そのため、ユーザ アカウントを共有しないでください。別のワークステーションから同じサーバにログインする必要がある場合は、アクティブ クライアントを終了する前に忘れずに変更を保存してください。

Workflow モードでは、異なるワークステーションだけから、同じユーザ アカウントを使用して複数回ログインできます。ただし、複数のクライアントで同時に Configuration Manager で同じアクティビティを開くことはできません。別のアクティビティを開く必要があります。アクティビティは、Event Viewer または Report Manager の使用時には適用されません。


ヒント クライアントは、アイドル状態が 120 分間続くと自動的に閉じます。アイドル タイムアウトを変更するには、Configuration Manager で [Tools] > [Security Manager Administration] の順に選択し、コンテンツ テーブルから [Customize Desktop] を選択して必要なタイムアウト期間を入力します。この機能をディセーブルにして、クライアントが自動的に閉じないようにすることもできます。すべてのアプリケーションが同じタイムアウト設定を使用し、あるアプリケーションでの作業によって、その他すべてのアプリケーションのタイマーがリセットされます。


ステップ 3 アプリケーションを終了するには、[File] > [Exit] の順に選択します。


 

Configuration Manager の使用方法 - 概要

ここでは、Configuration Manager で使用できるさまざまなビューの概要、ポリシーを定義してデバイスに展開するための基本タスク フロー、およびいくつかの基本概念について説明します。

「Configuration Manager の概要」

「セキュリティ ポリシー設定のタスク フロー」

「ポリシーおよびポリシー オブジェクトの概要」

「ワークフローおよびアクティビティの概要」

Configuration Manager の概要

Configuration Manager アプリケーションには、デバイス ビュー、ポリシー ビュー、およびマップ ビューという 3 つのビューがあり、これらのビューによってデバイスおよびポリシーを管理できます。ツールバーのボタンまたは [View] メニューを使用すると、必要に応じてこれらのビュー間を切り替えることができます。

デバイス ビュー:デバイス中心のビューを表示します。このビューでは、個々のデバイスのポリシーを設定します。詳細については、「デバイス ビューの概要」を参照してください。

ポリシー ビュー:ポリシー中心のビューを表示します。このビューでは、デバイスに依存しない共有ポリシーを作成し、1 つ以上のデバイスに割り当てることができます。詳細については、「ポリシー ビューの概要」を参照してください。

マップ ビュー:ネットワークを視覚的に表示します。これは、主にサイト間 VPN を視覚的に表示して設定する場合に役立ちます。詳細については、「マップ ビューの概要」を参照してください。

各ビューを使用すると、Configuration Manager の機能に異なる方法でアクセスできます。操作できる内容と操作方法は、選択したビューによって決まります。デバイス ビューおよびポリシー ビューでは、左側に 2 つのセレクタ、右側に作業領域が表示されます。それぞれのビューで上部のセレクタから項目を選択すると、下部のセレクタで選択できる項目が決まります。下部のセレクタから項目を選択すると、作業領域に表示される内容が決まります。この設計により、目的のネットワークの詳細まですばやく簡単にドリルダウンして表示または編集できます。

メインのビュー以外にも、サイト間 VPN やポリシー オブジェクトなどの他の項目を設定するとき、またはデバイスをモニタするときに使用するツールがいくつかあります。通常、これらのツールは [Manage] メニューから使用できますが、一部は [Policy]、[Activities]、[Tools]、または [Launch] メニューから使用できます。関連するボタンがツールバーに用意されているツールもあります。これらのツールは別のウィンドウで開くため、現在使用しているメイン ビューの位置を見失うことはありません。

ユーザ インターフェイスの基本機能に関する参照情報については、次の項を参照してください。

「Configuration Manager のメニュー バー リファレンス」

「ツールバー リファレンス(Configuration Manager)」

「セレクタの使用」

「ウィザードの使用」

「規則テーブルの使用」

「テキスト フィールドの使用方法」

「オンライン ヘルプへのアクセス」

デバイス ビューの概要

Configuration Manager のデバイス ビューを使用すると、Security Manager インベントリにデバイスを追加して、デバイス ポリシー、プロパティ、インターフェイスなどを集中管理できます。次の図に、デバイス ビューの機能領域を示します。

これはデバイス中心のビューであり、すべての管理対象デバイスを表示したり、特定のデバイスを選択してそのプロパティの表示や設定とポリシーの定義を行うことができます。

デバイス ビューでは、個々のデバイスのローカルにセキュリティ ポリシーを定義できます。続けて、グローバルに使用できるようにポリシーを共有すれば、他のデバイスに割り当てることができます。

詳細については、「デバイス ビューについて」を参照してください。

図 1-1 デバイス ビューの概要

 

1

タイトル バー

2

メニュー バー(「Configuration Manager のメニュー バー リファレンス」を参照)

3

ツールバー(「ツールバー リファレンス(Configuration Manager)」を参照)

4

作業領域

5

ポリシー セレクタ

6

デバイス セレクタ(「セレクタの使用」を参照)

タイトル バーには Security Manager の次の情報が表示されます。

ログイン名

接続先の Security Manager サーバの名前

開いているアクティビティの名前(Workflow モードがイネーブルの場合)

ポリシー ビューの概要

Configuration Manager のポリシー ビューを使用すると、複数のデバイス間で共有できる、再利用可能なポリシーを作成および管理できます。次の図に、ポリシー ビューの機能領域を示します。

これはポリシー中心のビューです。このビューには、Security Manager でサポートされている、共有可能なポリシー タイプがすべて表示されます。特定のポリシー タイプを選択して、そのタイプの共有ポリシーを作成、表示、または変更できます。各共有ポリシーが割り当てられているデバイスを確認し、必要に応じて割り当てを変更することもできます。

詳細については、「ポリシー ビューにおける共有ポリシーの管理」を参照してください。

図 1-2 ポリシー ビューの概要

 

1

タイトル バー

2

メニュー バー(「Configuration Manager のメニュー バー リファレンス」を参照)

3

ツールバー(「ツールバー リファレンス(Configuration Manager)」を参照)

4

ポリシー タイプ セレクタ(「セレクタの使用」を参照)

5

作業領域

6

共有ポリシー セレクタ

7

ポリシー フィルタ

 

 

マップ ビューの概要

Configuration Manager のマップ ビューを使用すると、ネットワークのカスタマイズされた視覚的なトポロジ マップを作成できます。このトポロジ マップ内で、デバイス間の接続を表示したり、VPN およびアクセス コントロール設定を簡単に行ったりできます。次の図は、マップ ビューの機能領域を示しています。

詳細については、「マップ ビューの使用」を参照してください。

図 1-3 マップ ビューの概要

 

1

メニュー バー(「[Map] メニュー(Configuration Manager)」を参照)

2

ナビゲーション ウィンドウ

3

マップ ツールバー(「マップ ツールバー」を参照)

4

マップ

セキュリティ ポリシー設定のタスク フロー

デバイスのセキュリティ ポリシーを設定する場合、基本となるユーザ タスク フローは、Security Manager インベントリへのデバイスの追加、ポリシーの定義、およびデバイスへのポリシーの展開です。これらのタスクは Configuration Manager で実行します。次に、一般的なユーザ タスク フローの手順を簡単に説明します。


ステップ 1 管理するデバイスを準備します。

Security Manager デバイス インベントリにデバイスを追加して管理する前に、デバイスで最小限の設定を行い、Security Manager がデバイスに接続できるようにする必要があります。詳細については、「デバイスを管理するための準備」を参照してください。

ステップ 2 Security Manager デバイス インベントリにデバイスを追加します。

Security Manager でデバイスを管理するには、まず Security Manager インベントリにそのデバイスを追加する必要があります。Security Manager にはデバイスを追加するいくつかの方式が用意されています。方式には、ネットワーク経由(ライブ デバイス)、別の Security Manager サーバまたは CiscoWorks Common Services Device Credential Repository(DCR)からエクスポートされたインベントリ ファイル経由、Cisco Security Monitoring, Analysis and Response System(CS-MARS)形式のインベントリ ファイル経由、またはデバイス設定ファイル経由があります。Security Manager でデバイスを作成すると、ネットワークにはまだ存在しないが、配置する予定のあるデバイスを追加することもできます。

デバイスを追加した場合は、そのデバイスのインターフェイスと、すでに設定されている特定のポリシーも検出できます。検出された情報は Security Manager データベースに登録され、それ以降も Security Manager によって継続的に管理できます。

詳細については、「デバイス インベントリの管理」を参照してください。

ステップ 3 セキュリティ ポリシーを定義します。

デバイスの追加が完了すると、必要なセキュリティ ポリシーを定義できます。個々のデバイスのポリシーの定義には、デバイス ビューを使用できます。任意の数のデバイスで共有できる、再利用可能なポリシーの作成および管理には、ポリシー ビューを使用できます。共有ポリシーに変更を加えると、そのポリシーが割り当てられているすべてのデバイスに変更が適用されます。

ポリシー定義を簡素化して時間を短縮するために、ポリシー オブジェクトを使用できます。これは、特定の値に名前を付けて再利用可能としたオブジェクトです。オブジェクトを定義すると、複数のポリシーからそのオブジェクトを参照できるため、ポリシーごとに値を個別に定義する必要がなくなります。


) Workflow モードを使用している場合は、アクティビティを作成してからポリシーを定義する必要があります。詳細については、「ワークフローおよびアクティビティの概要」を参照してください。


詳細については、次の項を参照してください。

「ポリシーの管理」

「ポリシー オブジェクトの管理」

ステップ 4 ポリシー定義を送信して展開します。

ポリシー定義はユーザの専用ビュー内で行われます。ユーザが定義を送信するまで、定義はデータベースに登録されず、他の Security Manager ユーザがその定義を確認することもできません。ポリシー定義を送信する場合は、その整合性が検証されます。エラーまたは警告があればそれらが表示され、ポリシーをデバイスに展開する前に対処しておく必要のある問題が通知されます。

Security Manager ではポリシー定義に従って CLI コマンドが生成され、すばやく簡単に定義をデバイスに展開できます。セキュアな接続を経由してネットワーク内のライブ デバイス(動的にアドレス指定されたデバイスを含む)に直接展開するか、またはファイルに展開していつでもデバイスに転送できます。

Workflow 以外のモードでは、1 回のアクションで変更の送信と展開を実行できます。Workflow モードでは、最初にアクティビティを送信してから、変更を展開する展開ジョブを作成します。

詳細については、「展開の管理」を参照してください。


 

ポリシーおよびポリシー オブジェクトの概要

ポリシー とは、ネットワークの特定の設定項目を定義した一連の規則またはパラメータのことです。Configuration Manager では、デバイスに必要なセキュリティ機能を指定するポリシーを定義します。定義されたポリシーは、関連デバイスに展開可能な CLI コマンドに変換されます。

Security Manager を使用すると、ローカル ポリシーおよび共有ポリシーを設定できます。

ローカル ポリシー は、設定したデバイス限定のポリシーです。このポリシーを設定すると、デバイスに自動的に割り当てられます(適用されます)。未設定ポリシー(デフォルト設定を変更していないポリシー)は、割り当て済みまたは設定済みとは見なされません。ポリシーを削除するには、その割り当てを解除します。

共有ポリシー は、名前が付けられた再利用可能なポリシーであり、一度に複数のデバイスに割り当てることができます。共有ポリシーを変更すると、変更したポリシーが割り当てられているすべてのデバイスに変更が反映されます。このため、デバイスごとに変更を行う必要がありません。

インベントリにデバイスを追加すると、そのデバイスに設定されている既存のポリシーを検出できるようになります。Security Manager はデバイス設定を Security Manager ポリシーに変換し、関連するローカル ポリシーに値を読み込んでデバイスにポリシーを割り当てます。 ポリシー検出 を使用することにより、Security Manager の観点で既存の設定を作成し直す必要がなくなります。CLI を使用して設定を変更した場合は、インベントリにポリシーを追加したあとに再検出することもできます。

多くの場合、ポリシーを作成するときには ポリシー オブジェクト を使用できます。ポリシー オブジェクトとは、関連する値のセットを再利用可能な形で定義したものです(ポリシー オブジェクトの使用が必須の場合もあります)。たとえば、ネットワークの一連の IP アドレスが含まれる、MyNetwork というネットワーク オブジェクトを定義できます。これらのアドレスを必要とするポリシーを設定するときは、常に MyNetwork ネットワーク オブジェクトを参照するだけで済み、毎回手動でアドレスを入力する必要がありません。さらに、集中管理する場所でポリシー オブジェクトを変更でき、この変更は、オブジェクトを参照しているすべてのポリシーに反映されます。

詳細については、「ポリシーについて」および「ポリシー オブジェクトの管理」を参照してください。

ワークフローおよびアクティビティの概要

柔軟性のあるセキュアなポリシー管理を提供する一方、組織が変更制御プロセスを実行できるようにするために、Security Manager には、Configuration Manager に密接に関連する 2 つの機能が用意されています。

Workflow モード/Workflow 以外のモード :Configuration Manager には、Workflow モードおよび Workflow 以外のモード(デフォルト)の 2 つの動作モードがあり、さまざまな組織の作業環境に対応できます。

Workflow モード :Workflow モードは、セキュリティ ポリシーを定義するユーザと管理するユーザで、責務を分担している組織のためのモードです。明示的にアクティビティを作成し、そのコンテキスト内ですべてのポリシー設定を行うことにより、正式な変更追跡と管理のシステムが導入されます。単一のアクティビティには論理的に関連するポリシー変更だけを追加するために、ユーザは複数のアクティビティを作成できます。チェックなしで設定変更が行われないように、個別のアプルーバを必要とするように Workflow モードを設定できます。承認後、ユーザは別の展開ジョブを定義して、ポリシー変更をデバイスにプッシュします。詳細については、「Workflow モードの作業」を参照してください。

Workflow 以外のモード :デフォルトの動作モードです。明示的にアクティビティを作成する必要はありません。ログインすると、Configuration Manager はアクティビティを作成するか、または以前に使用したアクティビティが送信されていない場合はそのアクティビティを開きます。ポリシーを定義して保存すれば、1 回の手順でポリシーを送信して展開できます。詳細については、「Workflow 以外のモードの作業」を参照してください。

これらの動作モードの比較については、「2 つのワークフロー モードの比較」を参照してください。

モードの選択の詳細については、「ワークフロー モードの変更」を参照してください。

アクティビティまたは設定セッション :基本的に、アクティビティ(Workflow 以外のモードでは設定セッション)は Security Manager データベースの専用ビューです。Configuration Manager では、アクティビティを使用して、ポリシーおよびポリシー割り当てに対して行われる変更を制御します。インベントリにデバイスを追加しても、アクティビティは含まれません。ただし、(マルチ コンテキストのファイアウォール デバイスの)セキュリティ コンテキストまたは(IPS デバイスの)仮想センサーを定義するポリシーを検出する場合は除きます。アクティビティからポリシー変更を分離すると、「処理中の作業」を誤ってアクティブ デバイスの設定に送信することを防ぐのに役立ちます。アクティビティおよび設定セッションの詳細については、「アクティビティについて」および「アクティビティの使用」を参照してください。

Workflow モードの作業

Workflow モードは、正式な変更追跡と管理のシステムを導入する高度な動作モードです。このモードは、ポリシーを定義する責務とデバイスにポリシーを展開する責務を、セキュリティ オペレータとネットワーク オペレータの間で分担している組織に適しています。たとえば、あるセキュリティ オペレータはデバイスでセキュリティ ポリシーの定義を担当し、別のセキュリティ オペレータはポリシー定義の承認を担当、およびネットワーク オペレータは承認された設定をデバイスに展開することを担当する場合があります。このように責務を分離すると、展開したデバイス設定の整合性を維持できます。

Workflow モードはアプルーバの有無に関係なく使用できます。アプルーバを設定して Workflow モードを使用する場合、ユーザが実行したデバイス管理およびポリシー設定の変更は、別のユーザによる確認および承認を経て関連デバイスに展開されます。アプルーバを設定しないで Workflow モードを使用する場合は、1 人のユーザがデバイスおよびポリシー設定の変更を作成して承認できるため、変更プロセスが簡素化されます。

Workflow モードで、次の手順を実行します。

ユーザは、Configuration Manager でポリシー設定を定義または変更する前にアクティビティを作成する必要があります。アクティビティは、基本的には設定変更を行うためのプロポーザルです。アクティビティ内で行われた変更は、適切な権限を持つユーザがアクティビティを承認したあとにだけ適用されます。アクティビティは、別のユーザに送信して確認および承認することも(アクティビティ アプルーバのいる Workflow モード)、現在のユーザが承認することもできます(アクティビティ アプルーバのいない Workflow モード)。アクティビティを作成、送信、および承認するプロセスの詳細については、「アクティビティの管理」を参照してください。

アクティビティを承認したあとは、設定変更を関連デバイスに展開する必要があります。このとき、ユーザは 展開ジョブ を作成します。展開ジョブには、設定の展開先デバイスおよび使用する展開方法を定義します。展開ジョブは、別のユーザに送信して確認および承認することも(展開ジョブ アプルーバのいる Workflow モード)、現在のユーザが承認することもできます(ジョブ アプルーバのいない Workflow モード)。展開プリファレンスは、ジョブ承認の有無に関係なく設定できます。詳細については、「展開の管理」を参照してください。

Workflow 以外のモードの作業

組織によっては、VPN ポリシーとファイアウォール ポリシーを定義および管理する場合に、ユーザ間で責務を分担しない場合があります。このような組織では、デフォルトの動作モードである Workflow 以外のモードを使用できます。Workflow 以外のモードを使用する場合は、アクティビティを明示的には作成しません。ログインしたときに、Configuration Manager によってアクティビティ(別名を設定セッションと呼びます)が作成されるか、または以前のログイン時に使用していたアクティビティが開きます(Security Manager をログアウトすると、設定セッションは自動的に閉じます)。このアクティビティはユーザに対して透過的であり、特に管理する必要はありません。設定変更をデータベースに送信した場合、これは Workflow モードにおけるアクティビティの送信および承認に相当します。また、設定変更を送信して展開すると、展開ジョブも作成されます。アクティビティと同様、展開ジョブも透過的であり、管理の必要はありません。

Workflow 以外のモードを使用している場合、同じユーザ名とパスワードを持つ複数のユーザが、同時に Security Manager にログインすることはできません。作業中に、同じユーザ名とパスワードを持つ別のユーザがログインすると、セッションが終了するため再度ログインする必要があります。

2 つのワークフロー モードの比較

次の表に、2 つのワークフロー モードの違いを示します。

 

表 1-1 Configuration Manager での Workflow モードと Workflow 以外のモードの比較

質問
Workflow 以外のモード
Workflow モード

Security Manager のデフォルト モードはどれですか。

デフォルト。

非デフォルト。

現在選択されているモードを確認するにはどうすればよいですか。

[Tools] > [Security Manager Administration] > [Workflow] の順に選択します。[Enable Workflow] チェックボックスがオンであれば、Workflow モードです。

設定を変更するためにアクティビティを明示的に作成する必要がありますか。

いいえ。ログインしたときに Configuration Manager によってアクティビティが自動的に作成されるか、またはログアウトする前に以前のセッションを送信しなかった場合はそのセッションが開きます。

はい。

デバイスに設定を展開するために展開ジョブを明示的に作成する必要がありますか。

いいえ。設定変更を展開すると、Configuration Manager によって展開ジョブが作成されます。

はい。

設定変更をデバイスに展開するにはどうすればよいですか。

次のいずれかを実行します。

[Main] ツールバーで [Submit and Deploy Changes] ボタンをクリックします。

[File] > [Submit and Deploy] の順に選択します。

[Manage] > [Deployments] の順に選択して、[Deployment Jobs] タブで [Deploy] をクリックします。

[Manage] > [Deployments] を選択して、展開ジョブを作成します。

設定変更用の CLI コマンドはどの段階で生成されますか。

展開の開始時。

展開ジョブの作成時。

現在の変更を削除するにはどうすればよいですか。

[File] > [Discard] の順に選択します。

デバイスの展開を開始済みの場合は、Deployment Manager でジョブを選択して [Abort] をクリックし、展開を中断します。

[Activities] > [Discard Activity] の順に選択して現在開いているアクティビティを廃棄するか、または Activity Manager でアクティビティを選択して [Discard] をクリックします。

展開ジョブを作成済みの場合は、Deployment Manager でジョブを選択して [Discard] をクリックします。ジョブを展開済みの場合は、[Abort] を選択するとジョブを中断できます。

複数のユーザが同時に Security Manager にログインできますか。

はい。ただし、各ユーザのユーザ名が異なる場合だけです。同じユーザ名のユーザが Security Manager にログインすると、最初のユーザは自動的にログアウトされます。

はい。各ユーザは異なるアクティビティを開き、設定変更を行うことができます。単一のユーザが複数回ログインできますが、ユーザは別個のアクティビティを開く必要があります。

別のユーザが設定しているデバイスを設定するとどうなりますか。

デバイスがロックされていることを示すメッセージが表示されます。「アクティビティとロッキング」を参照してください。

JumpStart を使用した Security Manager の理解

JumpStart は Security Manager を紹介する手引きです。製品の使用にかかわる主な概念の説明が記載されています。Security Manager の機能を試しに使用する場合は、JumpStart を使用してください。

JumpStart は、Security Manager を初めて起動したときに自動的に開きます。Security Manager の使用中に JumpStart を起動するには、Configuration Manager のメイン メニューから [Help] > [JumpStart] の順に選択します。

JumpStart には、次のナビゲーション機能があります。

コンテンツ テーブル。常に右上隅に表示されます。ページを開くにはエントリをクリックします。

ページ内のリンク。JumpStart 内の詳細情報およびオンライン ヘルプ内の関連情報にドリルダウンできます。

Security Manager の初期設定の実行

Security Manager をインストールしたら、いくつかの設定手順を実行してインストールを完了します。初期設定するほとんどの機能にはデフォルト設定がありますが、機能をよく理解して、デフォルト設定が組織に最適な設定かどうかを判断する必要があります。

次に、初期設定が必要な機能のリストを示します。示されている詳細情報の参照先も参照してください。これらの機能は任意の順序で設定できます。また、まだ使用する必要のない機能の設定は、後回しにすることもできます。

SMTP サーバおよびデフォルト電子メール アドレスを設定します。Security Manager では、システム内で行われたさまざまなアクションに対して、電子メール通知を送信できます。たとえば、展開ジョブによるネットワーク デバイスの再設定が完了すると、電子メールを受信します。電子メール通知が動作するためには、SMTP サーバを設定する必要があります。

SMTP サーバおよびデフォルト電子メール アドレスの設定の詳細については、「電子メール通知用の SMTP サーバおよびデフォルト アドレスの設定」を参照してください。

ユーザ アカウントを作成します。ユーザが製品を使用する場合は、Security Manager にログインする必要があります。ただし、別のユーザがすでに使用しているアカウントを使用してログインすると、最初のユーザは自動的に切断されます。したがって、ユーザごとに一意のアカウントを設定する必要があります。Security Manager サーバにローカルなアカウントを作成することも、ACS システムを使用してユーザ認証を管理することもできます。詳細については、『 Installation Guide for Cisco Security Manager 』を参照してください。

デフォルトの展開を設定します。ユーザは、デバイスに設定を展開するときに、設定の展開方法および Security Manager で異常を処理する方法を選択できます。ただし、システム デフォルト設定を選択する方が、組織の推奨事項への準拠は容易になります。展開のデフォルト値を設定するには、Configuration Manager で [Tools] > [Security Manager Administration] の順に選択し、コンテンツ テーブルから [Deployment] を選択して [Deployment] 設定ページを開きます(「[Deployment] ページ」を参照)。

特に重要なのは、次の展開設定です。

デフォルトの展開方式:デバイスまたは転送サーバに設定の展開を直接書き込むか、または Security Manager サーバの指定したディレクトリに設定ファイルを書き込むかどうか。デフォルトでは、デバイスの設定が行われると、その設定はデバイスまたは転送サーバに直接展開されます。ただし、設定ファイルを展開する独自の方法があるときは、デフォルトの展開方式として [File] を選択する必要がある場合があります。展開方式の詳細については、「展開方法について」を参照してください。

アウトオブバンド変更の検出時:Security Manager ではなく CLI を使用してデバイスの設定変更が行われたとき、そのことを Security Manager で検出した場合の対処方法。デフォルトでは、警告が発行されて展開が続行し、CLI を介して行われた変更が上書きされます。ただし、この動作は、単に変更チェックをスキップする(つまり、Security Manager は変更を上書きするが警告は行わない)か、または展開をキャンセルしてデバイスを現在の状態にしておくように変更できます。アウトオブバンド変更を処理する方法の詳細については、「アウトオブバンド変更の処理方法について」を参照してください。

エラー時のダウンロード許可:軽微な設定エラーが検出された場合に、展開の継続を許可するかどうか。デフォルトでは、軽微なエラーが検出された場合は展開を許可しません。

ワークフロー モードを選択します。デフォルトのモードは Workflow 以外のモードです。Workflow 以外のモードでは、設定を作成および展開するときのユーザの自由度が高くなります。ただし、ネットワーク管理に対してトランザクション指向の強い方法を必要とする組織で、別々のユーザがポリシーの作成、承認、および展開を実行する場合は、Workflow モードをイネーブルにすると独自の手順を実行できます。Workflow モードを使用する場合は、必要な作業を分担するためのユーザ アカウントを定義するとき、ユーザ権限を正しく設定します。使用できるワークフロー タイプの詳細については、「ワークフローおよびアクティビティの概要」を参照してください。ワークフロー モードを変更する方法の詳細については、「ワークフロー モードの変更」を参照してください。

デフォルトのデバイス通信を設定します。デバイスのタイプに基づいてデバイスにアクセスする場合、Security Manager は最も一般的に利用される方式を使用します。たとえば、Security Manager が Catalyst スイッチに接続する場合、デフォルトでは SSH を使用します。デフォルトのプロトコルが大部分のデバイスで動作する場合は、プロトコルを変更する必要はありません。デフォルト以外のプロトコルを使用するデバイスの場合は、個々のデバイスのデバイス プロパティでプロトコルを変更できます。ただし、Security Manager のデフォルトではないプロトコルを常に使用する場合(たとえば、ルータに Token Management Server(TMS)を使用する場合など)、デフォルト設定を変更する必要があります。デフォルトの通信設定を変更するには、Configuration Manager で [Tools] > [Security Manager Administration] の順に選択し、コンテンツ テーブルから [Device Communication] を選択します。[Device Connection Settings] グループで、デバイスのタイプごとに最適なプロトコルを選択します。デフォルトの接続タイムアウトおよび再試行の設定を変更することもできます。デバイスの通信設定の詳細については、「[Device Communication] ページ」を参照してください。

Security Manager で管理するルータ ポリシーおよびファイアウォール ポリシーのタイプを選択します。Security Manager で IPS デバイスを管理すると、必然的に設定全体を管理することになります。ただし、ルータおよびファイアウォール デバイス(ASA、PIX、および FWSM)の場合は、Security Manager で管理するポリシーのタイプを選択できます。その他の部分のデバイス設定は、他のツール(デバイスの CLI を含む)を使用して管理できます。デフォルトでは、すべてのセキュリティ関連のポリシーが管理対象です。管理するポリシーを変更するには、Configuration Manager で [Tools] > [Security Manager Administration] > [Policy Management] の順に選択します。これらの設定を変更する方法および変更の前後に実行する作業の詳細については、「ルータおよびファイアウォール デバイスのポリシー管理のカスタマイズ」を参照してください。

ファイアウォール イベントおよび IPS イベントの管理に Event Viewer を使用するかどうかを決定します。デバイスから Syslog イベントを収集するためのディスクと場所、および Syslog 通信に使用するポート番号を設定できます。イベント管理に Security Manager を使用しない場合は、この機能をオフにできます(デフォルトではイネーブル)。設定オプションの詳細については、「[Event Management] ページ」を参照してください。

Resource Management Essentials(RME)サーバを設定します。Security Manager には RME が同梱されており、デバイスのオペレーティング システムを管理するために使用できます。[Tools] > [Device OS Management] メニューには、RME に対する数多くのショートカット コマンドがあります。これらのショートカットをイネーブルにするには、Security Manager に RME サーバの場所を設定する必要があります。Configuration Manager で [Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Device OS Management] を選択します。RME サーバの IP アドレスまたは DNS 名を入力します。SSL 接続を必要とする RME をインストールした場合は、[Connect Using HTTPS] を選択します。

Cisco Performance Monitor サーバを設定します。Performance Monitor を使用してデバイスをモニタする場合に、サーバを識別して Security Manager に登録できます。Configuration Manager で [Tools] > [Inventory Status] の順に選択してインベントリ ステータスを表示すると、モニタリング メッセージが表示されます。Performance Monitor サーバを Security Manager に登録する方法の詳細については、「ステータス プロバイダーの設定」を参照してください。

Cisco Security Monitoring, Analysis and Response System(CS-MARS)と通信するために Security Manager を設定します。CS-MARS を使用してネットワークをモニタする場合は、サーバを識別して Security Manager に登録すると、Security Manager から CS-MARS イベント情報にアクセスできます。この相互通信を設定する方法の詳細については、「CS-MARS と Security Manager を統合するためのチェックリスト」を参照してください。

電子メール通知用の SMTP サーバおよびデフォルト アドレスの設定

Security Manager では、展開ジョブの完了、アクティビティの承認、または ACL 規則の期限切れなど、さまざまなタイプのイベントの発生時に電子メール通知を送信できます。電子メール通知をイネーブルにするには、Security Manager で電子メールの送信に使用できる SMTP サーバを設定する必要があります。その後、次の設定ページで電子メール アドレスおよび通知の設定を行うことができます(Configuration Manager で [Tools] > [Security Manager Administration] の順に選択し、コンテンツ テーブルからページを選択します)。

[Workflow] ページ:展開ジョブとアクティビティ用のデフォルト電子メール アドレスおよび通知設定の場合。展開ジョブおよびアクティビティを管理する場合にデフォルト値を上書きできます。

[Rules Expiration] ページ:ACL 規則の期限切れに対するデフォルト電子メール アドレスおよび通知設定の場合。規則が期限切れになるのは、有効期限を設定した場合だけです。

[IPS Updates] ページ:IPS Update のアベイラビリティを通知する電子メール アドレスの場合。

[Server Security] ページ:ローカル ユーザ アカウントを設定するときに([Local User Setup] をクリック)、ユーザの電子メール アドレスを指定する場合。このアドレスは、展開ジョブの完了などを通知する場合のデフォルト ターゲットとして使用されます。

[Event Management] ページ:拡張データ ストレージの場所を設定する場合は、少なくとも 1 つの電子メール アドレスを指定する必要があります。電子メール アドレスは、拡張保管場所の使用で問題が発生した場合に通知を受信します。


ヒント ACS を使用してユーザを認可している場合は、ACS を統合する手順で、SMTP サーバおよびシステム管理者の電子メール アドレスを設定済みである可能性があります(『Installation Guide for Cisco Security Manager』を参照)。すべての ACS サーバが利用不能な状態になると、Security Manager はこのアドレスに通知を送信します。


ステップ 1 Security Manager サーバで CiscoWorks Common Services にアクセスします。

Security Manager クライアントを使用中の場合、最も簡単にアクセスするには、[Tools] > [Security Manager Administration] の順に選択し、コンテンツ テーブルから [Server Security] を選択して、そのページのいずれかのボタンをクリックします([Local User Setup] など)。

Web ブラウザを使用して Security Manager サーバのホームページ(https:// servername /CSCOnm/servlet/login/login.jsp)にログインし、[Server Administration] をクリックします。

ステップ 2 [Server] > [Admin] の順にクリックして、コンテンツ テーブルから [System Preferences] を選択します。

ステップ 3 [System Preferences] ページで、Security Manager が使用できる SMTP サーバのホスト名または IP アドレスを入力します。SMTP サーバが電子メール メッセージを送信する場合に、ユーザ認証は必要ありません。

また、CiscoWorks が電子メールの送信に使用できる電子メール アドレスを入力します。このアドレスは、Security Manager から送信される通知用に設定した電子メール アドレスと同じである必要はありません。ACS を使用して認可を行っている場合は、すべての ACS サーバが利用不能な状態になると、Security Manager はこのアドレスに電子メール メッセージを送信します。このメッセージにより、早急な対応を必要とする問題に対して警告を出すことができます。管理者は、ACS に関連しないイベントについて、Common Services から電子メール メッセージを受け取る場合もあります。

ステップ 4 [Apply] をクリックして変更を保存します。


 

ワークフロー モードの変更

適切な管理者権限がある場合は、Security Manager で実行されるワークフロー モードを変更できます。ワークフロー モードを変更すると、ユーザには大きな影響があります。変更を行う場合は、次の点を考慮してください。

ワークフロー モードを変更すると、同じサーバを使用しているすべての Security Manager ユーザに対して、変更が有効となります。

Workflow モードから Workflow 以外のモードに変更する場合は、編集可能状態(Edit、Edit Open、Submit、または Submit Open)にあるアクティビティをすべて承認または廃棄し、生成済みのジョブをすべて展開、拒否、廃棄、または中断して、デバイスのロックを解放する必要があります。エラー状態にあるジョブに対しては、何も行う必要はありません。

Workflow モードから Workflow 以外のモードに変更したあとに、以前のバージョンのデータベースを復元した場合は、復元されたデータベースに編集可能状態(Edit、Edit Open、Submit、または Submit Open)のアクティビティが存在すると、Security Manager は自動的に Workflow モードに切り替わります。編集可能なアクティビティを承認または削除してから、Workflow モードを再度オフにします。

Workflow 以外のモードから Workflow モードに変更した場合、現在の設定セッションは Edit_Open 状態のアクティビティとして一覧に表示されます。これ以降は、これらのアクティビティを明示的に管理する必要があります。

ワークフロー モードの説明については、「ワークフローおよびアクティビティの概要」を参照してください。


ステップ 1 Configuration Manager で [Tools] > [Security Manager Administration] の順に選択し、コンテンツ テーブルから [Workflow] を選択して [Workflow] ページを開きます(「[Workflow] ページ」を参照)。

ステップ 2 [Workflow Control] グループでワークフロー モード設定を行います。[Enable Workflow] をオンにして Workflow モードを使用する場合は、次のオプションを選択することもできます。

[Require Activity Approval]:ポリシー変更をデータベースにコミットする前に、アクティビティの明示的な承認を実行します。

[Require Deployment Approval]:展開ジョブを実行する前に、ジョブの明示的な承認を実行します。

ステップ 3 電子メール通知設定を行います。ここで設定するのは、電子メール送信者(つまり Security Manager)、アプルーバ、および展開ジョブの完了時に通知が必要な別のユーザまたは電子メール エイリアスのデフォルト電子メール アドレスです。

ジョブ ステータスの通知を送信するときにジョブ展開者を含めたり、展開ジョブのステータスが変更された場合に電子メール通知を送信するように設定することもできます。

ステップ 4 [Save] をクリックし、変更を保存して適用します。


 

Security Manager インターフェイスの基本機能について

ここでは、メニュー コマンドの説明、ツールバーのボタン、およびユーザ インターフェイスの共通要素の使用方法など、基本的なインターフェイス機能について説明します。説明されている機能の多くは、Configuration Manager だけで使用されます。

「Configuration Manager のメニュー バー リファレンス」

「ツールバー リファレンス(Configuration Manager)」

「セレクタの使用」

「ウィザードの使用」

「テーブルの使用」

「テキスト フィールドの使用方法」

「サーバ ファイル システムでのファイルまたはディレクトリの選択または指定」

「ユーザ インターフェイスに問題がある場合のトラブルシューティング」

Configuration Manager のメニュー バー リファレンス

Configuration Manager のメニュー バーには、Security Manager を使用するためのコマンドを含むメニューがあります。コマンドは、実行中のタスクに応じて利用不能な状態になる場合があります。

ここでは、メニュー バーに含まれるメニュー項目について説明します。

「[File] メニュー(Configuration Manager)」

「[Edit] メニュー(Configuration Manager)」

「[View] メニュー(Configuration Manager)」

「[Policy] メニュー(Configuration Manager)」

「[Map] メニュー(Configuration Manager)」

「[Manage] メニュー(Configuration Manager)」

「[Tools] メニュー(Configuration Manager)」

「[Launch] メニュー(Configuration Manager)」

「[Activities] メニュー(Configuration Manager)」

「[Help] メニュー(Configuration Manager)」

[File] メニュー(Configuration Manager)

次の表に、Configuration Manager の [File] メニューのコマンドを示します。メニュー項目は、ワークフロー モードによって異なります。

 

表 1-2 [File] メニュー(Configuration Manager)

コマンド
説明

[New Device]

新しいデバイスを追加するウィザードを開始します。「デバイス インベントリへのデバイスの追加」を参照してください。

[Clone Device]

既存のデバイスを複製してデバイスを作成します。「デバイスの複製」を参照してください。

[Delete Device]

デバイスを削除します。「Security Manager インベントリからのデバイスの削除」を参照してください。

[Save]

アクティブなページで行われた変更を保存します。ただし、Security Manager データベースには変更を送信しません。

[Import]

別の Security Manager サーバからエクスポートされたポリシーとデバイスをインポートします。「ポリシーまたはデバイスのインポート」を参照してください。

[Export]

ポリシーまたはデバイスをエクスポートして、別の Security Manager サーバにインポートできるようにします。デバイスのエクスポートはポリシー情報を含んでいるか、CiscoWorks Common Services Device Credential Repository(DCR)または Cisco Security Monitoring, Analysis and Response System(CS-MARS)にインポートできる単純な CSV ファイルです。「Security Manager クライアントからのデバイス インベントリのエクスポート」および「共有ポリシーのエクスポート」を参照してください。

[View Changes]

(Workflow 以外のモードのみ)

現在の設定セッションのアクティビティ変更レポート(PDF 形式)を開きます。

Workflow モードで現在のアクティビティの変更を確認するには、[Activities] > [View Changes] の順に選択します。

[Validate]

(Workflow 以外のモードのみ)

保存済みの変更を検証します。「アクティビティの検証(すべてのモード)」を参照してください。

Workflow モードで現在のアクティビティを検証するには、[Activities] > [Validate Activity] の順に選択します。

[Submit]

(Workflow 以外のモードのみ)

Security Manager データベースに最後に送信したあとに行われた変更をすべて送信します。

Workflow モードで現在のアクティビティを検証するには、[Activities] > [Submit Activity] の順に選択します。

[Submit and Deploy]

(Workflow 以外のモードのみ)

Security Manager データベースに最後に送信したあとに行われた変更をすべて送信し、最後に展開したあとに行われた変更をすべて展開します。「展開について」を参照してください。

Workflow モードでは、アクティビティが承認され、デバイスへの変更を展開する展開ジョブを作成する必要があります。

[Deploy]

(Workflow 以外のモードのみ)

最後の展開よりあとに行われた変更をすべて展開します。「展開について」を参照してください。

Workflow モードでは、アクティビティが承認され、デバイスへの変更を展開する展開ジョブを作成する必要があります。

[Discard]

(Workflow 以外のモードのみ)

最後の送信よりあとの設定変更をすべて廃棄します。

Workflow モードで現在のアクティビティを検証するには、[Activities] > [Discard Activity] の順に選択します。

[Edit Device Groups]

デバイス グループを編集します。「デバイス グループの使用」を参照してください。

[New Device Group]

デバイス グループを追加します。「デバイス グループの作成」を参照してください。

[Add Devices to Group]

グループにデバイスを追加します。「デバイス グループに対するデバイスの追加と削除」を参照してください。

[Print]

アクティブなページを印刷します。

印刷できるのは一部のページだけです。[Print] コマンドが使用不能になっている場合は、アクティブなページを印刷できません。

[Exit]

Security Manager を終了します。

[Edit] メニュー(Configuration Manager)

次の表に、Configuration Manager の [Edit] メニューのコマンドを示します。通常、これらのコマンドを使用できるのは、ポリシー内のテーブルを操作している場合、および規則テーブルに関する作業を行っている場合だけです(「規則テーブルの使用」を参照)。

 

表 1-3 [Edit] メニュー(Configuration Manager)

コマンド
説明

[Cut]

規則テーブルで選択した行をカットして、クリップボードに保存します。

[Copy]

規則テーブルで選択した行をコピーして、クリップボードに保存します。

[Paste]

規則テーブルで選択した行のあとに、クリップボードから規則テーブルの行をペーストします。

[Add Row]

アクティブなテーブルに行を追加します。

[Edit Row]

選択したテーブル行を編集します。

[Delete Row]

選択したテーブル行を削除します。

[Move Row Up]

[Move Row Down]

選択した行を規則テーブル内で上下に移動します。詳細については、「規則の移動と規則順序の重要性」を参照してください。

[View] メニュー(Configuration Manager)

Configuration Manager の [View] メニューには、ユーザ インターフェイス内をナビゲートするか、ツールバーを変更するためのコマンドがあります。

 

表 1-4 [View] メニュー

メニュー コマンド
説明

[Device View]

デバイス ビューを開きます。「デバイス ビューの概要」を参照してください。

[Map View]

マップ ビューを開きます。「マップ ビューの概要」を参照してください。

[Policy View]

ポリシー ビューを開きます。「ポリシー ビューの概要」を参照してください。

[Customized Toolbar]

ツールバーで一部のオプションのボタンを追加または削除できます。ツールバーに表示できるすべてのボタンについては、「ツールバー リファレンス(Configuration Manager)」を参照してください。

[Policy] メニュー(Configuration Manager)

Configuration Manager の [Policy] メニューには、ポリシーを管理するためのコマンドがあります。

 

表 1-5 [Policy] メニュー(Configuration Manager)

メニュー コマンド
説明

[Share Policy]

アクティブなローカル ポリシーを共有ポリシーとして保存します。「ローカル ポリシーの共有」を参照してください。

[Unshare Policy]

アクティブな共有ポリシーをローカル ポリシーとして保存します。「ポリシーの共有解除」を参照してください。

[Assign Shared Policy]

デバイスに共有ポリシーを割り当てます。「デバイスまたは VPN トポロジへの共有ポリシーの割り当て」を参照してください。

[Unassign Policy]

選択したデバイスから現在のポリシーの割り当てを解除します。「ポリシーの割り当て解除」を参照してください。

[Copy Policies Between Devices]

デバイス間でポリシーをコピーします。「デバイス間でのポリシーのコピー」を参照してください。

[Share Device Polices]

ローカル デバイス ポリシーを共有できるようにします。「ローカル ポリシーの共有」を参照してください。

[Edit Policy Assignments]

デバイスに対する共有ポリシーの割り当てを編集します。「ポリシー ビューにおけるポリシー割り当ての変更」を参照してください。

[Clone Policy]

新しい名前でポリシーのコピーを作成します。「共有ポリシーのクローニング(コピー)」を参照してください。

[Rename Policy]

ポリシーの名前を変更します。「共有ポリシー名の変更」を参照してください。

[Add Local Rules]

デバイスの共有ポリシーにローカル規則を追加します。このコマンドを使用するには、規則ベースの共有ポリシーを選択する必要があります。

[Inherit Rules]

ポリシーの継承を編集します。「規則の継承または継承の解除」を参照してください。

[Discover Policies on Device]

デバイス上のポリシーを検出します。「ポリシーの検出」を参照してください。

[Discover VPN Policies]

Discover VPN Policies ウィザードを開きます。「サイト間 VPN ディスカバリ」を参照してください。

[Map] メニュー(Configuration Manager)

Configuration Manager の [Map] メニューには、マップ ビューを使用するためのコマンドがあります。このメニューのコマンドを使用できるのは、マップ ビューが開いている場合だけです。詳細については、「マップ ビューの使用」を参照してください。

 

表 1-6 [Map] メニュー(Configuration Manager)

メニュー コマンド
説明

[New Map]

マップを作成します。「新しいマップまたはデフォルト マップの作成」を参照してください。

[Open Map]

保存済みのマップまたはデフォルト マップを開きます。「マップを開く」を参照してください。

[Show Devices On Map]

アクティブなマップ上に表示する管理対象デバイスを選択します。「マップでの管理対象デバイスの表示」を参照してください。

[Show VPNs On Map]

アクティブなマップ上に表示する VPN を選択します。「マップにおける既存 VPN の表示」を参照してください。

[Add Map Object]

開いたマップ上にマップ オブジェクトを作成します。「ネットワーク トポロジを表すマップ オブジェクトの使用方法」を参照してください。

[Add Link]

開いたマップ上にレイヤ 3 リンクを作成します。「マップにおけるレイヤ 3 リンクの追加と管理」を参照してください。

[Find Map Node]

開いたマップ上のノードを検索します。「マップ ノードの検索」を参照してください。

[Save Map]

開いたマップを保存します。「マップの保存」を参照してください。

[Save Map As]

開いたマップに新しい名前を付けて保存します。「マップの保存」を参照してください。

[Zoom In]

マップをズームインします。「マップのパン、中央への配置、およびズーム」を参照してください。

[Zoom Out]

マップをズームアウトします。「マップのパン、中央への配置、およびズーム」を参照してください。

[Fit to Window]

開いたマップをズームしてマップ全体を表示します。「マップのパン、中央への配置、およびズーム」を参照してください。

[Display Actual Size]

開いたマップをズームして実際のサイズを表示します。「マップのパン、中央への配置、およびズーム」を参照してください。

[Refresh Map]

更新されたネットワーク データを使用して、開いたマップをリフレッシュします。「新しいマップまたはデフォルト マップの作成」を参照してください。

[Export Map]

開いたマップをファイルにエクスポートします。「マップのエクスポート」を参照してください。

[Delete Map]

選択したマップをリストから削除します。「マップの削除」を参照してください。

[Map Properties]

開いたマップのプロパティを表示または編集します。「マップの背景プロパティの設定」を参照してください。

[Show/Hide Navigation Window]

開いたマップのナビゲーション ウィンドウの表示/非表示を切り替えます。「ナビゲーション ウィンドウの使用方法」を参照してください。

[Undock/Dock Map View]

マップのウィンドウを切り離して、マップを開いたままで他の機能を使用できるようにします。すでにウィンドウが切り離されている場合は、[Dock Map View] コマンドを選択すると、Security Manager のメイン ウィンドウに再度固定されます。「マップ ビューのメイン ページについて」を参照してください。

[Manage] メニュー(Configuration Manager)

Configuration Manager の [Manage] メニューには、Security Manager のメイン インターフェイスとは独立したウィンドウで実行されるツールを起動するコマンドがあります。このメニューを使用すると、現在使用中のページを閉じることなく、さまざまな機能にアクセスできます。

 

表 1-7 [Manage] メニュー(Configuration Manager)

メニュー コマンド
説明

[Policy Objects]

Policy Object Manager を開きます。このツールでは、使用可能なすべてのオブジェクトを、オブジェクト タイプに従ってグループ化して表示できます。また、オブジェクトを作成、コピー、編集、および削除できるほか、使用状況レポートを生成できます。使用状況レポートには、選択したオブジェクトが、他の Security Manager オブジェクトおよびポリシーからどのように使用されているかが記述されます。詳細については、「[Policy Object Manager] ウィンドウ」を参照してください。

[Site-to-Site VPNs]

Site-to-Site VPN Manager を開きます。このツールでは、サイト間 VPN を設定できます。「サイト間 VPN の管理:基本」を参照してください。

[Deployments]

Deployment Manager を開きます。このツールでは、設定の展開および展開ジョブの管理を実行できます。「展開の管理」を参照してください。

[Activities]

(Workflow モード限定)

Activity Manager を開きます。このツールでは、アクティビティを作成および管理できます。「[Activity Manager] ウィンドウ」を参照してください。

[Configuration Archive]

デバイス設定のアーカイブされたバージョンを格納し、設定の表示と比較、およびある設定から別の設定へのロールバックを実行できます。「[Configuration Archive] ウィンドウ」を参照してください。

[Policy Discovery Status]

[Policy Discovery Status] ウィンドウを開きます。このウィンドウでは、ポリシー検出およびデバイス インポートのステータスを確認できます。「ポリシー検出タスクのステータスの表示」を参照してください。

[IPS]

デバイスの通信に必要な IPS デバイス証明書を管理します。

[Audit Report]

監査レポートページに設定されたパラメータに従って、監査レポートを生成します。「[Audit Report] ウィンドウの使用」を参照してください。

[Change Reports]

(Workflow 以外のモードのみ)

デバイスに対する変更、共有ポリシー、および以前の設定セッションのポリシー オブジェクトに関するレポートを生成できます。「変更レポートの表示(すべてのモード)」を参照してください。

現在の設定セッションの変更を表示するには、[File] > [View Changes] の順に選択します。

[Tools] メニュー(Configuration Manager)

Configuration Manager の [Tools] メニューには、Security Manager のメイン インターフェイスとは独立したウィンドウで実行されるツールを起動するコマンドがあります。このメニューを使用すると、現在使用中のページを閉じることなく、さまざまな機能にアクセスできます。

 

表 1-8 [Tools] メニュー(Configuration Manager)

メニュー コマンド
説明

[Device Properties]

[Device Properties] ウィンドウを開きます。このウィンドウには、デバイス、クレデンシャル、デバイスの割り当て先グループ、およびポリシー オブジェクトの上書きに関する一般情報が表示されます。詳細については、「デバイス プロパティについて」を参照してください。

[Detect Out of Band Changes]

デバイスを分析して、最後に Security Manager が設定を展開してから設定が変更されたかどうかを判別します。この情報を使用して、重要な設定変更が失われないようにできます。「アウトオブバンド変更の検出および分析」を参照してください。

[Packet Capture Wizard]

ASA デバイスでパケットの取り込みを設定できる Packet Capture Wizard を開きます。

ping、TraceRoute、および NSLookup

これらのトラブルシューティング コマンドを使用できる ping、TraceRoute、および NSLookup ツールを開きます。ping と TraceRoute は管理対象デバイスで稼動しますが、NSLookup はクライアント ワークステーションで稼動します。「ping、トレース ルート、または NS ルックアップ ツールを使用した接続問題の分析」を参照してください。

[Show Containment]

デバイスのセキュリティ コンテキストまたはサービス モジュールを表示します。「デバイスに含まれている要素の表示」を参照してください。

[Inventory Status]

すべてのデバイスのデバイス概要情報を表示します。「インベントリ ステータスの表示」を参照してください。

[Catalyst Summary Info]

選択した Catalyst スイッチ上で Security Manager が検出したすべてのサービス モジュール、ポート、および VLAN を含む、システム情報の概要を表示します。「Catalyst 概要情報の表示」を参照してください。

[Apply IPS Update]

IPS イメージおよびシグニチャの更新を手動で適用します。「IPS 更新の手動適用」を参照してください。

[Preview Configuration]

特定のデバイスの提示された変更、最後に展開された設定、または現在実行中の設定を表示します。「設定のプレビュー」を参照してください。

[Device OS Management]

Security Manager 管理ページのアクセス設定に従って、Resource Manager Essentials(RME)Software Image Manager(SWIM)およびインベントリ レポートにアクセスできます。「デバイス オペレーティング システムの管理」を参照してください。

[Backup]

CiscoWorks Common Services を使用して、Security Manager データベースをバックアップします。「Security Manager データベースのバックアップおよび復元」を参照してください。

[Security Manager Diagnostics]

Technical Assistance Center(TAC)からの要求に応じて送信するトラブルシューティング情報を収集します。「Cisco Technical Assistance Center の診断ファイルの作成」を参照してください。

[Security Manager Administration]

Security Manager の機能を制御する、システム全体の設定を行います。詳細については、 「Security Manager の管理設定値の設定」 を参照してください。

[Activities] メニュー(Configuration Manager)

Configuration Manager の [Activities] メニューには、アクティビティを管理するためのコマンドがあります。このメニューは、Workflow モードがイネーブルの場合だけ表示されます。これらのコマンドの詳細については、「Workflow モードでのアクティビティ機能へのアクセス」を参照してください。

 

表 1-9 [Activities] メニュー(Configuration Manager)

メニュー コマンド
説明

[New Activity]

新しいアクティビティを作成します。「アクティビティの作成(Workflow モード)」を参照してください。

[Open Activity]

アクティビティを開きます。「アクティビティを開く(Workflow モード)」を参照してください。

[Close Activity]

開いているアクティビティを閉じます。「アクティビティを閉じる(Workflow モード)」を参照してください。

[View Changes]

アクティビティ変更レポート(PDF 形式)を開きます。「変更レポートの表示(すべてのモード)」を参照してください。

[Validate Activity]

開いているアクティビティを検証します。「アクティビティの検証(すべてのモード)」を参照してください。

[Submit Activity]

開いているアクティビティを送信します。「承認のためのアクティビティの送信(アクティビティ アプルーバを使用する Workflow モード)」を参照してください。

[Approve Activity]

開いているアクティビティを承認します。「アクティビティの承認または拒否(Workflow モード)」を参照してください。

[Reject Activity]

開いているアクティビティを拒否します。「アクティビティの承認または拒否(Workflow モード)」を参照してください。

[Discard Activity]

開いているアクティビティを廃棄します。「アクティビティの廃棄(すべてのモード)」を参照してください。

[Launch] メニュー(Configuration Manager)

[Launch] メニューには、他のアプリケーションを起動するコマンドがあります。

 

表 1-10 [Launch] メニュー(Configuration Manager)

メニュー コマンド
説明

[Device Manager]

PIX セキュリティ アプライアンス、Firewall Services Module(FWSM; ファイアウォール サービス モジュール)、IPS センサー、IOS ルータ、および Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)デバイスなど、サポート対象のすべてのデバイスに関するデバイス マネージャを起動します。デバイス マネージャには、いくつかのモニタリング機能および診断機能があります。この機能を使用すると、デバイスで実行されているサービスに関する情報、およびシステム全体のヘルスのスナップショットを取得できます。「デバイス マネージャの起動」を参照してください。

[Event Viewer]

Event Viewer を開きます。このツールでは、デバイス イベントを表示および分析できます。Event Viewer は、同じユーザ アカウントを使用して開きます。ログインするよう求められません。別のユーザ アカウントを使用して Event Viewer を開くには、Windows の [Start] メニューまたはデスクトップ アイコンからアプリケーションを開きます。「イベントの表示」を参照してください。

Report Manager

セキュリティ レポートと使用状況レポートを生成して分析できる Report Manager を開きます。Report Manager は、同じユーザ アカウントを使用して開きます。ログインするよう求められません。別のユーザ アカウントを使用して Report Manager を開くには、Windows の [Start] メニューまたはデスクトップ アイコンからアプリケーションを開きます。「レポートの管理」を参照してください。

[Help] メニュー(Configuration Manager)

Configuration Manager の [Help] メニューには、製品マニュアルおよびトレーニングにアクセスするためのコマンドがあります。詳細については、「オンライン ヘルプへのアクセス」を参照してください。

 

表 1-11 [Help] メニュー(Configuration Manager)

メニュー コマンド
説明

[Help Topics]

オンライン ヘルプ システムを開きます。

[Help About This Page]

アクティブなページのオンライン ヘルプを開きます。

[JumpStart]

JumpStart を開きます。

[Security Manager Online]

Cisco.com の Security Manager Web ページを開きます。

[About Configuration Manager]

Configuration Manager に関する情報を表示します。

ツールバー リファレンス(Configuration Manager)

メイン ツールバー(図 1-1の説明を参照)には、Configuration Manager のアクションを実行するボタンがあります。

メイン ツールバーに表示されるボタンは、Workflow モードがイネーブルかどうか、およびツールバーをカスタマイズした方法によって変化します。[View] > [Customized Toolbar] を選択すると、ツールバーに含まれているいくつかのボタンを選択できます。多数のボタンは永続的にツールバーに存在し、削除できません。

次の表に、すべてのボタンを示します。

 

ボタン
説明

 

デバイス ビューを開きます。

詳細については、「デバイス ビューについて」を参照してください。

 

マップ ビューを開きます。

詳細については、「マップ ビューの使用」を参照してください。

 

ポリシー ビューを開きます。

詳細については、「ポリシー ビューにおける共有ポリシーの管理」を参照してください。

 

Policy Object Manager を開きます。

詳細については、「ポリシー オブジェクトの管理」を参照してください。

 

Site-to-Site VPN Manager を開きます。

詳細については、「サイト間 VPN の管理:基本」を参照してください。

 

Deployment Manager を開きます。

詳細については、「展開の管理」を参照してください。

 

Audit Report を開きます。

詳細については、「監査レポートについて」を参照してください。

 

(Workflow 以外のモードだけ)変更を送信して展開します。

詳細については、「展開の管理」を参照してください。

 

現在選択されているデバイスの設定をプレビューします。

詳細については、「設定のプレビュー」を参照してください。

 

現在選択されているデバイスのアウトオブバンド変更(Security Manager の外部のデバイスに対して行った変更)を検出します。

詳細については、「アウトオブバンド変更の検出および分析」を参照してください。

 

現在選択されているデバイスで定義されている設定ポリシーを検出します。

詳細については、「ポリシーの検出」を参照してください。

 

現在選択されているデバイスのデバイス マネージャを開きます。

詳細については、「デバイス マネージャの起動」を参照してください。

 

Event Viewer アプリケーションを開きます。

詳細については、「イベントの表示」を参照してください。

 

Report Manager アプリケーションを開きます。

詳細については、「レポートの管理」を参照してください。

 

現在のページのオンライン ヘルプを開きます。

詳細については、「オンライン ヘルプへのアクセス」を参照してください。

 

[Activity Manager] ウィンドウを開きます。このツールでは、アクティビティを作成および管理できます。次のアクティビティ ボタン、およびこれらのボタンがイネーブルになる条件の詳細については、「Workflow モードでのアクティビティ機能へのアクセス」を参照してください。

 

(Workflow モード限定)新しいアクティビティを追加します。

 

(Workflow モード限定)アクティビティを開きます。

 

(Workflow モード限定)アクティビティが開いている間に行われた変更をすべて保存し、アクティビティを閉じます。

 

(Workflow モード限定)アクティビティで行われたすべての変更を評価し、PDF 形式のアクティビティ変更レポートを別のウィンドウ内に生成します。詳細については、「変更レポートの表示(すべてのモード)」を参照してください。

 

(Workflow モード限定)現在のアクティビティ内にある変更済みポリシーの整合性を検証します。

 

(アプルーバが割り当てられた Workflow モード限定)アクティビティ アプルーバが割り当てられた Workflow モードを使用している場合に、承認のためにアクティビティを送信します。

 

(Workflow モード限定)アクティビティで提示された変更を承認します。

 

(Workflow モード限定)アクティビティで提示された変更を拒否します。

 

(Workflow モード限定)選択されたアクティビティを廃棄します。

セレクタの使用

セレクタは、ユーザ インターフェイスのさまざまな場所に表示されます。たとえば、デバイス ビューのデバイス セレクタなどがあります(図 1-1を参照)。これらのツリー構造を使用すると、アクションを実行する(デバイスなどの)項目を選択できます。セレクタには、実行しているタスクに応じていくつかのタイプの項目が表示されます。

セレクタの項目は、フォルダの階層に表示されます。セレクタ内の項目を参照するには、フォルダを展開および縮小します。フォルダには、他のフォルダ、項目、またはフォルダと項目の組み合わせを格納できます。フォルダを展開および縮小するには、フォルダの横にある [+] または [-] をクリックします。

項目を選択するには、その項目をクリックします。(デバイス セレクタなどで)複数の項目に対してアクションを実行できる場合は、Ctrl を押しながら項目をクリックして 1 つ 1 つ項目を選択するか、または Shift を押しながら項目範囲の最初と最後の項目をクリックして、範囲内の項目をすべて選択できます。多くのセレクタでは自動選択をサポートしています。つまり、文字を 1 文字入力すると、その文字で始まる次のフォルダまたは項目がセレクタ内で選択されます。

項目を右クリックすると、その項目で使用できるコマンドが表示されます。右クリック メニューのコマンドには固有のコマンドもあり、その場合は通常のメニューに表示されません。

多くの場合、ダイアログボックスに表示されるデバイス セレクタは、[Available Devices] および [Selected Devices] の 2 つのペインに分割されています。これらのダイアログボックスでは、使用可能デバイスのリストでデバイスを選択し、[>>] をクリックして選択済みリストにデバイスを移動して、デバイスを実際に選択する必要があります。デバイスの選択を解除するには、選択済みデバイス リストでデバイスを選択し、[<<] をクリックします。

セレクタに多数の項目が含まれている場合は、項目をフィルタリングして一部の項目を表示できます。詳細については、「セレクタ内の項目のフィルタリング」を参照してください。

セレクタ内の項目のフィルタリング

セレクタに含まれる項目の一部を表示するには、指定した基準に一致する項目だけを表示するフィルタを作成します。セレクタごとに、ユーザ 1 人につき最大 10 個のフィルタを作成できます。そのあとにフィルタをもう 1 個作成すると、最も古いフィルタが新しいフィルタで置き換えられます。作成したフィルタの重複チェックは行われません。フィルタは手動では削除できません。

フィルタ リストは、フィルタリング可能なすべてのセレクタの上部に表示されます。このリストから、次の作業を実行できます。

以前作成したフィルタを選択する。

[None] を選択してフィルタを適用せずにツリーを表示する。

[Create Filter] を選択してフィルタを作成する。

各フィルタには、複数のフィルタ規則を含めることができます。各フィルタ規則には、規則タイプ、基準、および値を指定します。セレクタに表示されるときに、項目が一部または全部のフィルタ規則に一致する必要があるかどうかを選択します。

フィルタを作成してフィルタリングできるフィールドは、フィルタに表示される項目のタイプによって異なります。ただし、一般的な手順は、どのセレクタの場合でも同じです。

テーブルのフィルタリングの詳細については、「テーブルのフィルタリング」を参照してください。


ヒント セレクタをフィルタリングすると、そのセレクタが含まれる別のウィンドウを開いたとき、セレクタにフィルタが適用されている場合があります。たとえば、デバイス ビューでデバイス セレクタにフィルタを適用すると、New Device ウィザードを開いた場合に、セレクタにフィルタが適用されています。セレクタで項目が見つからない場合は、[Filter] フィールドをオンにして、フィルタが適用されているかどうかを確認してください。


ステップ 1 セレクタのフィルタ フィールドから [Create Filter] を選択して、[Create Filter] ダイアログボックスを開きます。

ステップ 2 次のオプション ボタンのいずれかを選択して、一致基準を決定します。選択できる基準は、次のとおりです。

[Match Any of the Following]:フィルタ基準の間に OR 関係を作成します。基準のいずれかに一致するポリシーがフィルタに追加されます。

[Match All of the Following]:フィルタ基準の間に AND 関係を作成します。すべての基準に一致するポリシーだけがフィルタに追加されます。

ステップ 3 次のように、3 つの基準を入力してフィルタ規則を設定します。

最初のリストから、フィルタリングするタイプを選択します( Name など)。

次のリストから、フィルタの動作基準を選択します( contains など)。

最後のフィールドで、フィルタリングする値を入力または選択します(「 Cisco 」など)。

ステップ 4 [Add] をクリックします。


ヒント フィルタ規則を作成するときに誤りがあった場合は、規則を選択して [Remove] をクリックし、規則を削除してください。


ステップ 5 必要なフィルタ規則をさらに追加します。作業が完了したら [OK] をクリックします。

新しいフィルタ基準に従ってセレクタがフィルタリングされ、新しいフィルタがフィルタ リストに追加されます。


 

[Create Filter] ダイアログボックス

セレクタまたはテーブル内のサブセット項目をフィルタリングおよび表示するには、[Create Filter] ダイアログボックスを使用します。フィルタを作成すると、大きなリストを表示する場合に項目の検索が容易になります。

フィルタリングの詳細については、次の項を参照してください。

「セレクタ内の項目のフィルタリング」

「テーブルのフィルタリング」

ナビゲーション パス

次のいずれかを実行します。

セレクタ ツリーの [Filter] フィールドから [Create Filter] を選択します。

テーブルの上にある [Filter] フィールドから [Advanced Filter] を選択します。

フィールド リファレンス

 

表 1-12 [Create Filter] ダイアログボックス

要素
説明

[Match All of the Following]

このオプションを選択すると、定義したフィルタリング基準間に AND 関係が作成されます。項目がリストに表示されるには、その項目がフィルタのすべての規則に一致する必要があります。

たとえば、次の基準を定義する場合があります。

名前に OSPF が含まれる

名前に West が含まれる

[OK] をクリックすると、フィルタが Name contains OSPF および Name contains West と定義されます。

[Match Any of the Following]

このオプションを選択すると、定義したフィルタリング基準間に OR 関係が作成されます。項目がリストに表示されるには、その項目がフィルタの規則のいずれか 1 つに一致する必要があります。

たとえば、次の基準を定義する場合があります。

名前に OSPF が含まれる

名前に RIP が含まれる

[OK] をクリックすると、フィルタが Name contains OSPF または Name contains RIP と定義されます。

[Filter Type]

(最初のフィールド)

フィルタリングするプロパティのタイプ。テーブルのカラム見出しに相当します。特定のリストでは、フィルタリングするオプションが 1 つだけの場合もあります(たとえば、フィルタリングできるのが項目の名前だけの場合など)。

[Filter Operator]

(2 番めのフィールド)

フィルタ タイプとフィルタ値の関係。使用できるオプションは選択したタイプによって異なります。

[Filter Value]

(3 番めのフィールド)

フィルタリングする値。選択したタイプに応じて、このフィールドにはテキスト文字列を入力するか、またはリストから値を選択します。

[Filter Content Area]

[Add] ボタン

[Remove] ボタン

各基準に対して選択したフィルタ タイプ、演算子、および値。

基準を追加するには、この領域の上にあるフィールドで基準を作成し、[Add] をクリックします。

基準を削除するには、基準を選択し、[Remove] をクリックします。

ウィザードの使用

Security Manager を使用して実行できるタスクには、ウィザード形式のタスクもあります。ウィザードは、タスクを実行できる一連のダイアログボックス(または手順)のことです。ウィザードのタイトル バーには、現在の手順の番号およびそのウィザードに含まれる手順の合計数が表示されます。

次のボタンは、各ウィザードに共通です。

[Back]:前のダイアログボックスに戻ります。ウィザードの前の手順で定義した設定を確認および変更できます。

[Next]:次のダイアログボックスに進みます。このボタンを使用できない場合は、現在のダイアログボックスで、次に進むための必須の設定を定義する必要があります。必須の設定には、アスタリスク(*)のマークが付いています。

[Finish]:ウィザードを終了して、定義した設定を保存します。このボタンが使用可能な場合は、いつでもウィザードを終了できます。このボタンを使用できない場合は、定義する設定が残っています。

[Cancel]:設定を保存しないでウィザードを閉じます。

[Help]:ウィザードのオンライン ヘルプを開きます。

テーブルの使用

Security Manager の多くのポリシーでは、テーブルを使用します。少数ですが、規則テーブルと呼ばれる特別なタイプのテーブルを使用するポリシーもあります。標準テーブルと比較すると、規則テーブルには追加機能が用意されています。詳細については、「規則テーブルの使用」を参照してください。

標準テーブルの基本機能は、次のとおりです。

テーブル フィルタ:行をフィルタリングして表示し、大きいテーブルで項目を検索しやすくします。詳細については、「テーブルのフィルタリング」を参照してください。

テーブルのカラム見出し:カラムによるソート、カラムの移動、カラムの表示/非表示の切り替えを実行できます。詳細については、「テーブル カラムおよびカラム見出しの機能」を参照してください。

テーブルのボタン:テーブルの下にあるボタンは、次の手順を実行する場合に使用します。

[Add Row] ボタン([+] アイコン):テーブルに項目を追加するには、このボタンをクリックします。

[Edit Row] ボタン(鉛筆アイコン):プロパティを編集するには、行を選択してこのボタンをクリックします。

[Delete Row] ボタン(ゴミ箱アイコン):テーブルから行を削除するには、行を選択してこのボタンをクリックします。

テーブルのフィルタリング

テーブル内の項目をフィルタリングすると、特定の基準を満たすサブセットを表示できます。テーブルをフィルタリングしてもテーブルの内容は変更されず、現在関心のあるエントリだけに注目できます。この機能は、テーブルに数百ものエントリがある場合に有効です。

テーブルをフィルタリングするには、テーブルの上にある [Filter] フィールドを使用します。これらのコントロールを使用すると、次の作業を実行できます。

簡単なフィルタリングを実行するには、フィルタリングするカラムの名前を選択し、検索する関係(「begins with」など)を選択して、目的のテキスト文字列を入力(場合によっては事前定義されたオプションのいずれかを選択)してから [Apply] をクリックします。

もう 1 回基準を選択して [Apply] をクリックすると、結果をフィルタリングできます。フィルタがまとめられ、すべての基準を満たす結果が表示されます。たとえば、最初に「Service begins with IP」と入力して [Apply] をクリックしたあと、「Source contains 10.100.10.10」を入力して [Apply] をクリックしたとします。結果のテーブルには、サービスが IP かつ送信元に 10.100.10.10 が含まれるすべての行が表示されます(他の IP アドレスが含まれる場合もあります)。

高度なフィルタリングを実行するには、左端のメニュー(カラム見出しを含むメニュー)から [Advanced Filter] を選択します。この操作によって [Create Filter] ダイアログボックスが開きます。このダイアログボックスを使用すると、通常のフィルタ コントロールを使用する場合と同様に、複数のフィルタ基準を作成できます。ただし、[Match Any of the Following] を選択し、分割して論理和を取った基準のリストを作成することもできます。つまり、「サービスが IP または送信元アドレスが 10.100.10.10 であるすべての行を表示する」ことを指定できます。

基準を追加するには、基準を入力して [Add] をクリックします。

基準を削除するには、不要な基準を選択して [Remove] をクリックします。

簡単な方式を使用してテーブルをフィルタリングする場合も、[Advanced Filter] を選択すると、必要に応じて既存のフィルタを変更したり、基準を追加または削除できます。ダイアログボックスには、現在テーブルに適用されているフィルタ基準がすべて表示されます。

現在のフィルタは、フィルタ制御領域の [Filter] ラベルの横に表示されます。フィルタを削除してすべての行を表示するには、[Clear] をクリックします。

適用するすべてのフィルタは、[Advanced Filter] エントリの下の左端のメニューに保持されます。フィルタを適用するには、リストからフィルタを選択します。ただし、このリストに登録できるエントリは最大 10 エントリです。11 番めのフィルタを作成すると、最も古いフィルタがリストから削除されます。フィルタを選択して基準を追加する場合は、新しいフィルタの作成ではなくフィルタの変更になります。リストに表示されているフィルタは削除できません。


ヒント 別のデバイスを選択した場合、またはログアウトしてから再度ログインした場合でも、指定したタイプのテーブルのフィルタが保持されます。たとえば、あるデバイスのアクセス規則テーブルをフィルタリングした場合、他のデバイスのテーブルも同じようにフィルタリングされます。フィルタをクリアすると、すべてのデバイスの同じタイプのテーブルのフィルタもクリアされます。フィルタは他のユーザの表示内容には影響しません。

テーブル カラムおよびカラム見出しの機能

テーブルにはカラムがあり、それぞれのカラムの見出し行にはカラム見出しがあります。これらのカラムおよびその見出しには、次のような機能があります。

カラムの表示/非表示:テーブルの見出し行を右クリックしてコンテキスト メニューを開き、[Show Columns] を選択します。このメニューを使用すると、表示されるカラムを選択できます。カラムの表示または非表示は、テーブルに定義された項目の内容には影響せず、表示だけに影響します。

デフォルトでは、一部のポリシーのテーブルには、使用可能な一部のカラムだけが表示されます。

[Show Details]/[Show Summary]:テーブルの見出し行を右クリックしてコンテキスト メニューを開き、[Show Details] または [Show Summary] のいずれかを選択します。この切り替えメニューを使用すると、テーブルに詳細情報を表示するか概要情報を表示するかを選択できます。

カラムの移動:カラム見出しをクリックしてドラッグし、新しい位置にカラムを移動します。

カラムのサイズ変更:カラム見出しディバイダをクリックして(カーソルが矢印に変化したら)、ディバイダをドラッグしてカラムのサイズを変更します。

カラム見出しによるソート:カラム見出しをクリックして、そのカラムの内容でテーブルをソートします。同じカラム見出しを再度クリックすると、ソート順序が逆になります。ソートされたカラムには、見出しの横に矢印が表示されます。

テキスト フィールドの使用方法

テキスト フィールドには、そのフィールドの目的に応じて、1 行を入力する場合または複数行を入力する場合があります。複数のテキスト行を入力できるテキスト フィールドには、フィールドの使い勝手を向上させる機能がいくつか備わっています。ここでは、テキスト フィールドの制限および機能に付いて説明します。

「テキストの ASCII 制限について」

「テキスト ボックス内のテキストの検索」

「テキスト ボックス内のナビゲート」

テキストの ASCII 制限について

通常、デバイスではテキストが ASCII 文字に制限されています。デバイス設定ファイルで、コマンドの生成に使用される Security Manager のテキスト フィールドに ASCII 文字以外の文字を入力すると、その文字が原因で設定ファイルがデバイスにロードされなくなる可能性があります。たとえば、FWSM のインターフェイスの説明に ASCII 文字以外の文字があると、デバイスを再起動したときに、そのデバイスのスタートアップ コンフィギュレーションがロードされないことがあります。

デバイス設定に ASCII 文字以外、英語以外の言語を入力できるのは、SSL VPN ブックマークおよび SSL VPN カスタマイゼーションのポリシー オブジェクトだけです。これらのポリシー オブジェクトは、ASA デバイスでブラウザベースのクライアントレス SSL VPN の設定に使用されます。これらのオブジェクトのローカル言語をサポートする方法の詳細については、「ASA デバイスの SSL VPN Web ページのローカライズ」を参照してください。

テキスト ボックス内のテキストの検索

複数行テキスト フィールド内のテキストを検索するには、[Find] ダイアログボックスを使用します。


ステップ 1 複数行テキスト フィールドをクリックします。

ステップ 2 Ctrl+F を押します。[Find] ダイアログボックスが開きます。

ステップ 3 検索するテキストを [Find what] フィールドに入力します。

ステップ 4 検索の方向を指定するには、[Direction] フィールドで [Up] または [Down] のいずれかを選択します。

ステップ 5 入力したテキストの大文字小文字を考慮するには、[Match Case] チェックボックスをオンにします。

ステップ 6 [Find] をクリックします。次に出現する検索テキストが、テキスト フィールド内で強調表示されます。


 

テキスト ボックス内のナビゲート

複数行テキスト フィールドで特定の行にナビゲートするには、[Goto line] ダイアログボックスを使用します。


ステップ 1 複数行テキスト フィールドをクリックします。

ステップ 2 Ctrl+G を押します。[Goto line] ダイアログボックスが開きます。

ステップ 3 [Line number] フィールドに行番号を入力します。

ステップ 4 [OK] をクリックします。入力した行番号までテキスト フィールドがスクロールします。


 

サーバ ファイル システムでのファイルまたはディレクトリの選択または指定

Cisco Security Manager は標準的なファイル システム ブラウザを使用しており、ディレクトリまたはファイルを選択したり、ファイルを指定できます。Security Manager サーバ上にあるファイルだけを作成または選択できます。サーバにマウントされたドライブは使用できません。また、クライアント システムは使用できません。

通常、ファイルを作成または選択するには、[Browse] ボタンをクリックして、実行するアクションに関連するタイトルのダイアログボックスを開きます(たとえば、設定ファイルの選択時は [Choose Files])。[Browse] ボタンは、製品全体でさまざまなダイアログボックスに表示されます。

目的のフォルダにナビゲートするには、このダイアログボックスの左側にあるフォルダ ツリーを使用します。

ファイルを選択する場合は、フォルダ ツリーでファイルを検索し、右側のペインで選択します。複数のファイルを選択できるアクションを実行している場合は、Ctrl を押しながらクリックしてファイルを個別に選択するか、または Shift を押しながらクリックしてファイルの範囲を選択します。ファイル タイプを選択して、アクションに適用されるファイルだけを表示することが必要な場合もあります。

ファイルを指定(作成)する場合は、ファイルを作成するフォルダにナビゲートし、ファイル名を入力して、適切なファイル タイプを選択します。


) パスとファイル名は、英語のアルファベット文字に制限されます。日本語文字はサポートされません。Windows 日本語 OS システムでファイルを選択する場合は、通常のファイル区切り文字 ¥ がサポートされますが、これは円記号(U+00A5)として表示されることがあることに注意する必要があります。


ユーザ インターフェイスに問題がある場合のトラブルシューティング

次のヒントを参照すると、ユーザ インターフェイスに関する一般的な問題が発生した場合に、その問題の解決に役立つ場合があります。

インターフェイスがフリーズしたように見える :Security Manager のダイアログボックスから他のアプリケーション(電子メールのチェックなど)に移動して Security Manager に戻ったときに、クリックしてもまったく応答がない場合があります。インターフェイスがフリーズしているように見えます。

これは、開いたダイアログボックスの上に別の Security Manager ウィンドウが重なっていることが原因の場合があります。このダイアログボックスを閉じるまで、アプリケーションの他のウィンドウは使用できません。隠れているダイアログボックスを見つけるには、Alt を押しながら Tab を押します。この操作によって、現在開いているすべてのウィンドウのアイコンが表示された Windows のパネルが開きます。Alt を押したまま Tab を何回か押し、適切なアイコンが見つかるまでアイコンを順に選択します(アイコンは Security Manager のアイコンではなく、一般的な Java のアイコンになっている場合があります)。Tab キーを使用してアイコンを順に選択するのではなく、マウスを使用して目的のアイコンをクリックすることもできます。

ボタンをクリックすると、テキストおよびリストの要素が見つからないという Java のエラーが発生する :Security Manager クライアントの実行中に Windows のカラー スキームを変更した場合は、クライアントを閉じて再起動する必要があります。再起動しないと、クライアントの動作を予測できなくなります。

カラー スキームを変更していないのに、これらの問題が発生する場合も、アプリケーションを閉じて再起動する操作を試してください。

画面に対してダイアログボックスが大きすぎる :実際には、多くのラップトップで対応している最適な画面解像度より、Security Manager クライアントの最小画面解像度の方が大きくなります(画面解像度の要件については、『 Installation Guide for Cisco Security Manager 』でクライアントのシステム要件を参照してください)。非常に大きなダイアログボックスもあるため、クライアントをラップトップで実行している場合は、ダイアログボックスが大きすぎて画面に収まりきらないことがあります。

通常は、ダイアログボックスの位置を変更すれば、[OK]、[Cancel]、および [Help] の各ボタンにアクセスできます。ただし、これらのボタンも画面に表示されない場合は、次の方法で同じアクションを実行できます。

[OK]:フィールド内のカーソルをダイアログボックスの下部付近に置き、Tab を押してフィールド間を移動します。通常は、画面外の最初のフィールドが [OK] ボタンです。カーソルの強調表示が画面外に移動したら、Enter を押します。

復帰を使用できないフィールド(一般的には [Name] フィールドなど)にカーソルを置き、Enter を押すこともできます。多くの場合、これは [OK] のクリックに相当します。

[Cancel]:ウィンドウのタイトル バーの右側にある [X] をクリックします。

[Help]:F1 を押します。

オンライン ヘルプへのアクセス

Security Manager のオンライン ヘルプにアクセスするには、次のいずれかを実行します。

Security Manager オンライン ヘルプのメイン ページを開くには、[Help] > [Help Topics] の順に選択します。

アクティブなページの状況依存オンライン ヘルプを開くには、[Help] > [Help About This Page] の順に選択するか、またはツールバーで [?] をクリックします。

ダイアログボックスの状況依存オンライン ヘルプを開くには、ダイアログボックスの [Help] をクリックします。


ヒント オンライン ヘルプがブロックされずに開くようにするには、コンピュータでアクティブ コンテンツの実行を許可するように Internet Explorer を設定する必要があります。Internet Explorer で、[Tools] > [Internet Options] の順に選択し、[Advanced] タブをクリックします。[Security] セクションまでスクロールして、[Allow active content to run in files on My Computer] を選択します。[OK] をクリックして変更を保存します。Internet Explorer および Firefox の各ブラウザでの設定要件の一覧については、『Installation Guide for Cisco Security Manager』を参照してください。