Cisco Security Manager 4.2 ユーザ ガイド
ScanSafe Web Security の使用
ScanSafe Web Security の使用
発行日;2012/05/08 | 英語版ドキュメント(2011/09/08 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

ScanSafe Web Security の使用

ScanSafe Web Security の設定

ScanSafe Web Security ページ

[Add Default User Group]/[Edit Default User Group] ダイアログボックス

[ScanSafe Web Security Settings] ページ

ScanSafe Web Security の使用

Security Manager により、ScanSafe Web Security との統合が可能になります。ScanSafe Web Security は、クラウド ベースの SaaS(Security as a Service)機能であり、Web セキュリティ データセンターを世界中のさまざまな場所で利用できるようになります。ScanSafe Web Security とルータを統合すると、他の方法によるコンテンツ スキャンおよびマルウェアの検出のために、選択した HTTP トラフィックと HTTPS トラフィックが ScanSafe Cloud にリダイレクトされます。また、ScanSafe Web Security を使用して特定のユーザ、ユーザ グループ、および IP にディファレンシエーテッド サービスも提供できます。

Security Manager から ScanSafe Web Security を起動すると、次の領域のポリシーおよび設定を定義できます。

コンテンツ スキャン設定

コンテンツ スキャン ポリシー

AAA サーバ設定

AAA ポリシー

Security Manager で ScanSafe Web Security を統合することにより、ほぼすべてのポリシーおよびフレームワーク ベースのポリシー機能をコピーおよび共有できます。次の表で、スキャンおよび AAA ポリシー タイプのサポート範囲について詳しく説明します。

サポートされるタイプ

コンテンツ スキャン設定

プライマリ サーバ IP、セカンダリ サーバ IP、サーバ タイムアウト

コンテンツ スキャン ポリシー

グローバル ホワイトリスト ポリシー

ユーザ グループの追加または除外、デフォルト ユーザ設定、デフォルト ユーザ グループの設定

コンテンツ スキャンをイネーブルする必要があるインターフェイス

AAA サーバ設定

HTTP Basic および NTLM ポリシーで使用されるアイデンティティ ポリシー オブジェクト

HTTP Basic および NTLM に関連するタイムアウト

プロキシ、HTTP Basic、および NTLM の発生順序

IOS の LDAP サーバおよび LDAP 属性マップ設定

(注) また、RADIUS サーバおよび TACAS サーバもサポートされています。

インターフェイスごとの AAA リスト

AAA ポリシー

HTTP Basic および NTLM アドミッション ルール サポート(認証方式)が、以前から使用可能な AuthProxy 方式に加入します。

Security Manager は、次の機能をサポート しません

http/https の検査ルールまたは ZBF ルールが存在しない場合の PAM 設定

古い IOS バージョンで LDAP を使用する AuthProxy。(ScanSafe Web Security をサポートする IOS バージョンでのみ可能)

AAA 方式としての AuthProxy によるアイデンティティ ポリシー。(NTLM および HTTP Basic 用にのみサポート。)

アイデンティティ ポリシーを作成するための Virtual Template 番号の検証

LDAP サーバ用の Secure Trust Point の検証

コンテンツ スキャン ルールの継承

ユーザ グループおよびユーザの AD ブラウズ

新しいポリシー(ポリシー クエリーなど)に対するツール サポート

コントロール タグ ポリシー

ScanSafe Web Security 製品の詳細については、 http://www.cisco.com/en/US/partner/products/ps11720/index.html を参照してください。

関連項目

「ScanSafe Web Security ページ」

「[ScanSafe Web Security Settings] ページ」

「ScanSafe Web Security の設定」

「[Add Default User Group]/[Edit Default User Group] ダイアログボックス」

この章の構成は、次のとおりです。

「ScanSafe Web Security の設定」

「ScanSafe Web Security ページ」

「[ScanSafe Web Security Settings] ページ」

ScanSafe Web Security の設定

デフォルト ユーザ グループの設定を定義するには、[ScanSafe Web Security Settings] ページを使用します。他の設定ポリシーと同様に、デフォルトのユーザ グループ ポリシー設定を共有できます。

関連項目

「ScanSafe Web Security ページ」

「[ScanSafe Web Security Settings] ページ」

「ScanSafe Web Security の使用」

「[Add Default User Group]/[Edit Default User Group] ダイアログボックス」

「[AAA Rules] ページ」


) ポリシー ビューから実行されたすべての手順が表示されます。


ScanSafe Web Security を設定するには、次の手順に従います。


ステップ 1 ポリシー タイプ セレクタから、[Firewall] > [ScanSafe Web Security] を選択します。

[ScanSafe Web Security] ページが表示され、[Interfaces] タブが選択されています。

ステップ 2 [Available Interfaces] カラムのリストからこれらのインターフェイスを選択し、[Selected Interfaces] カラムに移動することにより、Web 要求を ScanSafe Web Security サーバに転送するインターフェイスをイネーブルにします。

ステップ 3 [WhiteListing Regular Expressions] タブを選択します。

ステップ 4 [Notify Tower] チェックボックスをオンにし、通知をホワイトリストに関する ScanSafe Web Security サーバに送信します。これは、IP ベース以外のすべてホワイトリストに適用可能です。

(ホワイトリストに正規表現が指定されていない場合、ScanSafe Web Security に警告が送られます。)

ステップ 5 HTTP Host 領域で、[Available Regular Expressions] カラムのリストから正規表現を選択し、[Selected Regular Expressions] カラムに移動することにより、(正規表現による照合を使用して)ホワイトリストされる正規表現を指定します。

ステップ 6 HTTP User Agent 領域で、[Available Regular Expressions] カラムのリストから正規表現を選択し、[Selected Regular Expressions] カラムに移動することにより、ホワイトリストされる正規表現を指定します。

ステップ 7 [WhiteListing ACLs] タブを選択します。

ステップ 8 [Type] リストから [Extended] または [Standard] のいずれかを選択することにより、操作する ACL のタイプを指定します。

ステップ 9 左側のカラムから ACL を選択して [Selected items] カラムに移動することにより、ホワイトリストする ACL を指定します。

ステップ 10 [User Groups] タブを選択します。


ヒント [User Groups] ページを使用すると、ユーザ グループの定義、デフォルト ユーザとデフォルト ユーザ グループの両方の指定、およびユーザ グループの追加または除外を行うことができます。また、これら 3 つのリストのすべてのエントリを編集または削除できます。


ステップ 11 [Default User] フィールドにユーザ名を入力して、デフォルト ユーザを指定します(任意)。

ステップ 12 [Default User Group] フィールドにユーザ グループ名を入力して、デフォルト ユーザ グループを指定します。

ステップ 13 ユーザ グループを追加するには、インターフェイスを選択し、ユーザ グループを [Include] リストに追加します。

ステップ 14 ユーザ グループを除外するには、インターフェイスを選択し、ユーザ グループを [Exclude] リストに追加します。

ステップ 15 ポリシー セレクタから [Policy] > [Firewall] > [Settings] > [ScanSafe Web Security] を選択します。

ステップ 16 [Details] タブを選択し、次の値を入力して Primary ScanSafe Server を指定します。

IP アドレス/名前

HTTP ポート(デフォルトは 8080)

HTTPS ポート(デフォルトは 8080)

ステップ 17 [Details] タブを選択し、次の値を入力して Secondary ScanSafe Server を指定します。

IP アドレス/名前(有効な IP アドレスまたは FQDN のみ)。

HTTP ポート(デフォルトは 8080)

HTTPS ポート(デフォルトは 8080)

ステップ 18 [Server Timeout] 期間を秒単位で指定します(デフォルトは 300)。

ステップ 19 [Session Idle Timeout] 期間を秒単位で指定します(デフォルトは 300)。

ステップ 20 次の いずれか を実行して、送信元アドレスを指定します。

[IP Address] ボタンをクリックし、IP アドレスを入力します。

[Interface] ボタンをクリックしてから [Select] ボタンをクリックし、[Interface Selector] を参照してインターフェイスを選択します。


) 有効な送信元 IP またはインターフェイスは、[Firewall] > [ScanSafe Web Security] ページ > [Interface] タブで ScanSafe Web Security がイネーブルになっているいずれかのインターフェイスである必要があります。


ステップ 21 [License] を入力し、暗号化されている場合はチェックボックスをオンにします。


ヒント [Encrypted] が選択されていない場合、入力する値は 32 桁の 16 進数文字にする必要があります。


ステップ 22 必要に応じて、[Enable Logging] チェックボックスをオンにします。


 

ScanSafe Web Security ページ

Security Manager により、ScanSafe Web Security との統合が可能になります。ScanSafe Web Security は、クラウド ベースの SaaS(Security as a Service)機能であり、Web セキュリティ データセンターを世界中のさまざまな場所で利用できるようになります。ScanSafe Web Security とルータを統合すると、他の方法によるコンテンツ スキャンおよびマルウェアの検出のために、選択した HTTP トラフィックと HTTPS トラフィックが ScanSafe Cloud にリダイレクトされます。また、ScanSafe Web Security を使用して特定のユーザ、ユーザ グループ、および IP にディファレンシエーテッド サービスも提供できます。

Security Manager で ScanSafe Web Security を使用すると、次の領域の設定およびポリシーを定義できます。

コンテンツ スキャン設定

コンテンツ スキャン ポリシー

AAA サーバ設定

AAA ポリシー

Security Manager で ScanSafe Web Security を統合することにより、ほぼすべてのポリシーおよびフレームワーク ベースのポリシー機能をコピーおよび共有できます。

特定の目的に合わせてページを最適に設定する方法の詳細については、「 ScanSafe Web Security の使用 」を参照してください。

ナビゲーション パス

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] を選択し、[Settings] を開きます。次に [ScanSafe Web Security] をクリックし、[ScanSafe Web Security Settings] ページを開きます。


) また、ScanSafe Web Security ポリシーおよび設定は、マップ ビューを使用して変更することもできます。


関連項目

「ScanSafe Web Security の使用」

「ScanSafe Web Security の設定」

「[ScanSafe Web Security Settings] ページ」

「[Add Default User Group]/[Edit Default User Group] ダイアログボックス」

「[AAA Rules] ページ」

フィールド リファレンス

要素
説明
[Interfaces] タブ

--Filter

Security Manager でのフィルタの使用の詳細については、「テーブルのフィルタリング」を参照してください。

Interfaces

このタブを使用すると、コンテンツ スキャンのために ScanSafe Web Security サーバに転送される Web 要求のインターフェイスおよび Security Manager 定義のインターフェイス ロールを選択できます。

--Available Interfaces

ScanSafe Web Security 用に選択可能なインターフェイス。

--Selected Interfaces

選択したインターフェイスは、Web サービスに対するホストの要求が ScanSafe Web Security サーバに転送される WAN に面している必要があります。

-

-

[Whitelisting Regular Expressions] タブ

--Notify Tower

このチェックボックスをオンにすると、ホワイトリストに関して ScanSafe Web Security タワーに通知する必要があることを指定します。これは、IP ベースのホワイトリスト以外のすべての ACL ベースのホワイトリスト バリアントに適用可能です。デフォルトの動作では、通知は送信されません。

--Available Regular Expressions (HTTP Host)

ScanSafe Web Security サーバへの配信で使用可能であり、検討対象となる正規表現をリストします。

----Filter (HTTP Host)

管理者は、追加または除外するユーザ グループ リストを指定することにより、ScanSafe Web Security サーバに送信するホワイトリストされた正規表現をフィルタできます。このフィルタは、[Match All] または [Match Any] のいずれかで操作します。

--Selected Regular Expressions (HTTP Host)

選択された正規表現に一致するホストがホワイトリストに掲載され、ScanSafe Web Security サーバにリダイレクトされません。

--Available Regular Expressions (HTTP User Agent)

使用可能な正規表現と一致するエージェントがホワイトリストに掲載され、ScanSafe Web Security サーバにリダイレクトされません。

--Selected Regular Expressions (HTTP User Agent)

設定すると、[Selected Regular Expressions] リストにある正規表現のみ ScanSafe Cloud に送信されます。

[Whitelisting ACLs] タブ

--ACL Type

ACL ホワイトリストのタイプを標準または拡張のいずれかで指定します。

(注) ホワイトリストに使用する標準 ACL は、拡張 ACL として検出されます。「CSM_EXT_」というプレフィクスが ACL 名に追加されます。拡張 ACL は完全版であり、推奨されているため、標準 ACL を拡張 ACL に変換します。

--Selected ACLS

設定すると、[Selected Regular Expressions] リストにある正規表現のみ ScanSafe Cloud に送信されます。

[User Groups] タブ

--Default User

コンテンツ スキャン セッションに固有のユーザ名がない場合、ScanSafe Web Security サーバに送信されるグローバル名。たとえば、支社内のすべてのユーザに対して、同じコンテンツ スキャン ポリシーを適用する場合に使用します。

--Default User Group

コンテンツ スキャン セッションに固有のユーザ名がない場合、ScanSafe Web Security サーバに送信されるグローバル名。たとえば、支社内のすべてのユーザ グループに対して、同じコンテンツ スキャン ポリシーを適用する場合に使用します。

--Interface Specific Default User Groups

各インターフェイスのデフォルトのユーザ グループをリストします。

--Include/Exclude

[Include] リストと [Exclude] リストを使用して、追加または除外される特定のユーザ グループを指定します。

[Add Default User Group]/[Edit Default User Group] ダイアログボックス

特定のインターフェイスのデフォルト ユーザ グループを指定するには、[Default User Groups] ダイアログボックスを使用します。

このダイアログボックスは、ISR がユーザ クレデンシャルを特定できない場合で、ユーザ(つまり、IP アドレス)をユーザ グループに割り当てて、ISR 内のその他のグループ ベースのポリシーを適用する場合にのみ有用です。インターフェイス上では、1 つのグループのみ設定できます。

これらの ScanSafe Web Security サーバ構成の設定の詳細については、「 ScanSafe Web Security Settings ページ 」を参照してください。

関連項目

「ScanSafe Web Security ページ」

「[ScanSafe Web Security Settings] ページ」

「ScanSafe Web Security の使用」

「ScanSafe Web Security の設定」

「[AAA Rules] ページ」

ナビゲーション パス

(ポリシー ビュー)[Firewall] を選択し、[ScanSafe Web Security] ページを開きます。次に [User Groups] タブをクリックします。

[ScanSafe Web Security Settings] ページ

関連項目

「ScanSafe Web Security ページ」

「ScanSafe Web Security の使用」

「ScanSafe Web Security の設定」

「[Add Default User Group]/[Edit Default User Group] ダイアログボックス」

「[AAA Rules] ページ」

ナビゲーション パス

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] を選択し、[Settings] を開きます。次に [ScanSafe Web Security] をクリックし、[ScanSafe Web Security Settings] ページを開きます。

(デバイス ビュー)ポリシー タイプ セレクタから [Firewall] を選択し、[Settings] を開きます。次に [ScanSafe Web Security] をクリックし、[ScanSafe Web Security Settings] ページを開きます。

フィールド リファレンス

 

表 19-1 ScanSafe Web Security Settings

要素
説明

IP Address|Name (Primary ScanSafe Server)

ScanSafe Web Security を操作するために設定されたサーバのプライマリ FQDN または IP アドレス。

HTTP Port (Primary ScanSafe Server)

プロキシ HTTP トラフィック用のデフォルト プライマリ ポート(デフォルトは 8080)。

HTTPS Port (Primary ScanSafe Server)

プロキシ HTTPS トラフィック用のデフォルト プライマリ ポート(デフォルトは 8080)。

IP Address/Name (Secondary ScanSafe Server)

ScanSafe Web Security を操作するために設定されたサーバのセカンダリ FQDN または IP アドレス。

HTTP Port (Secondary ScanSafe Server)

プロキシ HTTP トラフィック用のデフォルト セカンダリ ポート(デフォルトは 8080)。

HTTPS Port (Secondary ScanSafe Server)

プロキシ HTTPS トラフィック用のデフォルト セカンダリ ポート(デフォルトは 8080)。

Server Timeout

ScanSafe Web Security サーバの可用性を検査する際のポーリング タイムアウト。

Session Idle Timeout

ScanSafe Web Security サーバのアクティビティがない場合のタイムアウト(デフォルトは 300)。非アクティブなセッションを検出した際に、削除するために使用されます。

On Failure

プライマリとセカンダリの両方の ScanSafe Web Security サーバが非アクティブであることを検出した場合に、実行する処置(すべてのトラフィックをドロップする、またはすべてのトラフィックを通過させる)を決定します。

IP Address (Source Address)

ScanSafe Web Security サーバへのパケットがルータから送信される際の、送信元の IP アドレス。

Interface (Source Address)

ScanSafe Web Security サーバへのパケットがルータから送信される際の、送信元のインターフェイス アドレス。

License

ScanSafe Web Security サーバに送信されたライセンス(32 文字の 16 進数)

Encrypted

選択すると、暗号化がイネーブルになります。

Enable Logging Checkbox

IOS syslogs をイネーブルにします(デフォルトでは、イネーブルされません)。