セキュリティ : Cisco Web セキュリティ アプライアンス

Cisco IronPort S170 Web セキュリティ アプライアンス

ようこそ
発行日;2012/05/21 | 英語版ドキュメント(2012/02/01 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

このマニュアルの構成

配置に関するヒント

Web ベースのインターフェイス

コマンドライン インターフェイス

管理

データ

トラフィック モニタ

コンピュータ アドレス

ユーザ ポリシー

レポーティング

追加情報

シスコのテクニカル サポート

ようこそ

Cisco IronPort S シリーズ Web セキュリティ アプライアンス(WSA)をお選びいただき、ありがとうございます。Web セキュリティ アプライアンスは、Web トラフィックの保護と制御を行う組織を支援します。

このマニュアルでは、S170 アプライアンスを物理的に設置し、システム セットアップ ウィザードを使用して S170 の基本設定を行う方法を説明します。アプライアンスの設定方法については、『Web Security Appliance User Guide』の「Deployment」の章も参考になります。

このマニュアルの構成

このマニュアルの基本項目は次のとおりです。

設置前のワークシート/設置準備

設置手順

システム セットアップ ウィザードの実行

設置後の手順

補足情報を記した付録

はじめに

設置を開始する前に、必要な品目が揃っていることを確認してください。

S170 Web セキュリティ アプライアンスには、次の品目が含まれています。

クイック スタート ガイド(本書)

レールおよびアダプタ キット

電源ケーブル

アプライアンスをネットワークに接続するためのイーサネット ケーブル

コンピュータをコンソール ポートに接続するための RJ45 - DB9 ケーブル

安全規制および規制への準拠に関する情報

製品ドキュメンテーション CD

次の品目は各自で用意する必要があります。

ラック キャビネット棚

レールを固定するためのプラス ドライバ

10/100/ギガビット BaseT TCP/IP ローカル エリア ネットワーク(LAN)

デスクトップまたはラップトップ コンピュータ

Web ブラウザ(または、SSH およびターミナル ソフトウェア)

ネットワーキング ワークシートのネットワークおよび管理者の設定(ステップ 2

ネットワーキング ワークシート

作業に取り掛かる前に、ネットワークおよび管理者の設定について次の情報を書き出してください。システム セットアップ ウィザードの実行時に、この情報の入力が必要になります。

展開オプション

Web プロキシ

L4 スイッチを使用したトランスペアレント

WCCP ルータを使用したトランスペアレント

明示的な転送プロキシ

L4 トラフィック モニタ

シンプレックス タップ/スパン ポート

デュプレックス タップ/スパン ポート

ネットワーク コンテキスト

ネットワーク上の別のプロキシの有無:

Yes

他のプロキシ IP アドレス:

他のプロキシ ポート:

ネットワーク設定

デフォルト システムのホスト名:


 

DNS サーバ:

インターネット ルート DNS サーバを使用

次の DNS サーバを使用(最大 3 台):

1.

2.

3.

ネットワーク タイム プロトコル(NTP)サーバ:

タイム ゾーンの領域:

タイム ゾーンの国:

タイム ゾーンの GMT オフセット:

インターフェイス設定
管理ポート

IP アドレス:

ネットワーク マスク:

ホスト名:

データ ポート(任意、「注」を参照)

IP アドレス:

ネットワーク マスク:

ホスト名:

(注) Web プロキシは、管理インターフェイスを共有できます。データ インターフェイスの IP アドレスと管理インターフェイスの IP アドレスを別々に設定した場合は、同じサブネットを共有できません。

ルート
管理用の内部ルート

デフォルト ゲートウェイ:

静的ルート名:

静的ルートの宛先ネットワーク:

静的ルートのゲートウェイ:

データ用の内部ルート

デフォルト ゲートウェイ:

静的ルート名:

静的ルートの宛先ネットワーク:

静的ルートのゲートウェイ:

トランスペアレント ルーティング デバイス

デバイス タイプ

レイヤ 4 スイッチまたはデバイスなし

WCCP ルータ

標準のサービス ID をイネーブルにする。(web-cache)

ルータ アドレス:

________________________

ルータ セキュリティをイネーブルにする。

パスワード:________________

(注) アプライアンスを WCCP ルータに接続する際は、システム セットアップ ウィザードの実行後に WCCP サービスが作成されるように、Web セキュリティ アプライアンスを設定することが必要になる場合があります。

管理設定

管理者パスワード:

電子メール システム アラートの送信先:

SMTP リレー ホスト:

(オプション)

AutoSupport:

イネーブル

SenderBase ネットワークへの参加:

イネーブル

制限付き

標準

セキュリティ サービス

L4 トラフィック モニタ:

モニタのみ

ブロック

許容できる使用の制御:

イネーブル

IronPort URL フィルタ

Cisco IronPort Web 使用率制御

Web レピュテーション フィルタ:

イネーブル

マルウェアおよびスパイウェアのスキャン:

Webroot をイネーブルにする

McAfee をイネーブルにする

Sophos をイネーブルにする

検出されたマルウェアに対する措置:

モニタのみ

ブロック

IronPort データ セキュリティ フィルタリング:

イネーブル

設置の計画

ネットワーク内にどのようにアプライアンスを設定するかを決めます。

S シリーズ アプライアンスは、クライアントとインターネット間のネットワークに追加のレイヤとして設置するのが通常です。クライアント トラフィックをアプライアンスに送信するためのレイヤ 4(L4)スイッチまたは WCCP ルータが必要かどうかは、アプライアンスをどのように展開するかによります。次の展開オプションがあります。

トランスペアレント プロキシ:L4 スイッチを使用する Web プロキシ

トランスペアレント プロキシ:WCCP ルータを使用する Web プロキシ

明示的な転送プロキシ:ネットワーク スイッチに接続

L4 トラフィック モニタ:イーサネット タップ(シンプレックスまたはデュプレックス)

シンプレックス モード:ポート T1 はすべての発信トラフィックを受信し、ポート T2 はすべての着信トラフィックを受信します。

デュプレックス モード:ポート T1 は、すべての着信および発信トラフィックを受信します。

 

(注) 真のクライアント IP アドレスをモニタするため、L4 トラフィック モニタは必ず、ファイアウォールの内側で、NAT(ネットワーク アドレス変換)の前に設定します。

ラックへの設置

S170 アプライアンスをラック キャビネットに設置します。システムの周囲温度が指定限度内であることを確認します。装置周辺のエアーフローが十分であることを確認します。

配置に関するヒント

周囲温度: S170 アプライアンスの過熱を防止するため、周囲温度が 104 °F(40 °C)を超える場所では操作しないでください。

エアーフロー: S170 アプライアンス周辺のエアー フローが十分であることを確認してください。

機械的加重: 危険な状況を避けるため、S170 アプライアンスが水平で安定していることを確認してください。

 

プラグ イン

アプライアンスの背面パネルにある電源に、電源ケーブルのメス端子を差し込みます。オス端子を電気コンセントに差し込みます。

 

IP アドレスの変更

S170 アプライアンスに接続するには、コンピュータの IP アドレスを一時的に変更する必要があります。設定が完了したら元に戻す必要があるため、まずは現在の IP 設定を書き留めておきます。

S シリーズ アプライアンスと同じサブネットの IP アドレス(192.168.42.xx)を使用するように、ラップトップのネットワーク接続を設定します。

システム ボックスに同梱されているイーサネット ケーブルを使用して、ラップトップを M1 管理ポートに接続します。S シリーズ アプライアンスでは、M1 管理ポートのみを使用します。

 

その後、IP アドレスを次のように変更します。

IP アドレス:192.168.42.43

サブネット マスク:255.255.255.0

ゲートウェイ:192.168.42.1

アプライアンスの接続

アプライアンスの背面パネルにある適切なポートに、イーサネット ケーブルを差し込みます。

プロキシ ポートには、P1 と P2 というラベルが付いています。

P1 のみがイネーブル: P1 のみがイネーブルの場合、着信トラフィックと発信トラフィックの両方に対応するネットワークに P1 を接続します。

P1 および P2 がイネーブル: P1 と P2 の両方がイネーブルである場合、P1 を内部ネットワーク、P2 をインターネットにそれぞれ接続してください。

トラフィック モニタ ポートには、T1 と T2 というラベルが付いています。

シンプレックス タップ: ポート T1 および T2。1 本のケーブルでインターネットに宛てたすべてのパケットに対応し(T1)、もう 1 本のケーブルでインターネットから入ってくるすべてのパケットに対応(T2)。

デュプレックス タップ: ポート T1。1 本のケーブルですべての着信およぶ発信トラフィックに対応。

 

電源投入

アプライアンスの前面パネルにあるオン/オフ スイッチを押して、電源を投入します。システムの電源を投入するたびに、システムが初期化するまで 5 分待機する必要があります。

マシンの電源が投入されると、グリーンのライトが点灯して、マシンが動作可能であることを示します。

 

アプライアンスへのログイン

Web ベース インターフェイスおよびコマンドライン インターフェイスのいずれかを使用して、S170 アプライアンスにログインできます。

Web ベースのインターフェイス

管理インターフェイスに移動するには、Web ブラウザに URL として http://192.168.42.42:8080 を入力します。

Web セキュリティ アプライアンスのログイン ページが開きます。

 

次のログイン情報を入力します。

ユーザ名: admin

パスワード: ironport

(注) システムのセットアップ時に、ホスト名パラメータが割り当てられます。ホスト名(http://hostname:8080)を使用して管理インターフェイスに接続するには、まず、アプライアンス ホスト名と IP アドレスを DNS サーバ データベースに追加する必要があります。

コマンドライン インターフェイス

シリアル ポートを介してコマンドライン インターフェイスにアクセスする場合(ステップ 7 を参照)、9600 ビット、8 ビット、パリティなし、1 ストップ ビット( 9600 8 N 1 )、ハードウェア フロー制御を使用し、SSH またはターミナル エミュレータを介してコマンドライン インターフェイスにアクセスします。

IP アドレス 192.168.42.42 へのセッションを開始します。パスワード ironport を使用して admin としてログインします。プロンプトで、 systemsetup コマンドを実行します。

システム セットアップ ウィザードの実行

システム セットアップ ウィザードを実行して、基本的な設定を行い、システム デフォルトをイネーブルにします。システム セットアップ ウィザードには、エンド ユーザ ライセンス契約書が表示されます。先に進むには、ライセンス契約書を読み、同意してください。必ず新しい管理者パスワードを書き留め、安全な場所に保管してください。

にあるネットワーキング ワークシートは、システム セットアップ ウィザードの実行に役立つ前提条件です。IronPort では、ネットワーキング ワークシートを使用して展開を計画し、初期設定に必要な情報を記録することを推奨しています。


ステップ 1 システム セットアップ ウィザードを実行します。

ステップ 2 ライセンスに同意します。

ステップ 3 システム設定情報を入力します。

ステップ 4 「ネットワーキング ワークシート」からの情報を入力します。

ステップ 5 Web セキュリティの設定を行います。

ステップ 6 設定サマリー ページを確認します。

ステップ 7 ユーザ名 admin と、システム セットアップ ウィザードで新たに設定したパスワードを使用して、アプライアンスにログインしなおします。

S170 アプライアンスでは自己署名証明書が使用されるため、Web ブラウザから警告が表示される場合があります。証明書を受け入れるだけで、これらの警告は無視して構いません。

新しい管理者パスワードを書き留め、安全な場所に保管することを忘れないでください。

ネットワークの設定

ネットワークの設定によっては、次のポートを使用したアクセスを許可するように、ファイアウォールを設定することが必要になる場合があります。SMTP および DNS サービスは、インターネットにアクセスできる必要があります。他のシステム機能では、次のサービスが必要とされる場合があります。

Web セキュリティ アプライアンスは、次のポートをリッスンできる必要があります。

HTTP:ポート 80

HTTPS:ポート 443

SSH:ポート 22

管理アクセス:ポート 8443(HTTPS)および 8080(HTTP)

FTP:ポート 21、データ ポート TCP 1024 以上

Web セキュリティ アプライアンスは、次のポートで発信接続できることが必要です。

HTTP:ポート 80

HTTPS:ポート 443

SMTP:ポート 25

DNS:ポート 53

NTP:ポート 123

LDAP:ポート 389 または 3268

LDAP over SSL:ポート 636

グローバル カタログ クエリー用の SSL を使用した LDAP:ポート 3269

FTP:ポート 21、データ ポート TCP 1024 以上

重要:ポート 443 を開かないと、機能キーをダウンロードできません。

設定の概要

次に示す設定の詳細を確認してください。

管理

http://192.168.42.42:8080 と入力するか、システム セットアップ ウィザードを実行した後で管理インターフェイスに割り当てられる IP アドレスを介して、管理ポート(MGMT ポート)から Web セキュリティ アプライアンスを管理できます。工場出荷時設定にリセットした場合は(システム セットアップ ウィザードの再実行などにより)、MGMT ポートからのみ管理インターフェイスにアクセスできるので
(http://192.168.42.42:8080)、MGMT ポートに接続できることを確認してください。

また、管理インターフェイスでファイアウォール ポート 80 および 443 を開いていることも確認してください。

データ

システム セットアップ ウィザードを実行した後は、ネットワーク上のクライアントから Web トラフィックを受信するように、アプライアンス上の少なくとも 1 つのポート、つまり M1 のみ、M1 と P1、M1 と P1 と P2、P1 のみ、または P1 と P2 が設定されます。

(注) Web プロキシを明示的な転送モードに設定した場合は、Web セキュリティ アプライアンスの Web プロキシである M1 または P1 に、データ用に設定された IP アドレスを使用して明示的に Web トラフィックを転送するよう、クライアント マシンのアプリケーションを設定する必要があります。

トラフィック モニタ

システム セットアップ ウィザードを実行した後は、1 つまたは両方の L4 トラフィック モニタ ポート(T1 のみ、または T1 および T2)が、すべての TCP ポートのトラフィックをリッスンするように設定されます。L4 トラフィック モニタのデフォルト設定は、モニタのみです。セットアップ時、またはセットアップ後に、疑わしいトラフィックのモニタおよびブロックの両方を行うよう、L4 トラフィック モニタを設定できます。

コンピュータ アドレス

コンピュータの IP アドレスを、ステップ 6 で書き留めた元の設定に戻すことを忘れないでください。

(注) [System Administration] > [Configuration Summary] ページから、システム設定のサマリーを確認できます。

これで終了です。

おめでとうございます。いつでも Web セキュリティ アプライアンスの使用を開始できます。Web セキュリティ アプライアンスをさらに活用するために、次の手順のいくつかを実行することも検討してください。

ユーザ ポリシー

Web インターフェイスを使用し、必要に応じて、どのユーザがどの Web リソースにアクセスできるかを定義するポリシーを作成します。

ユーザの識別: [Web Security Manager] > [Identities] ページを使用して、インターネットにアクセスできるユーザのグループを定義します。

アクセス ポリシーの定義: [Web Security Manager] > [Access Policies] ページを使用して、許可またはブロックするオブジェクトとアプリケーションの設定、モニタまたはブロックする URL カテゴリの設定、および Web 評価とアンチマルウェアの設定を行うことにより、インターネットへのユーザ アクセスを制御します。

また、その他いくつかのポリシー タイプを定義して、インターネットへのアクセスを制御することにより、組織の許容可能な使用ポリシーを実施できます。たとえば、HTTPS トランザクションを復号化するためのポリシーや、アップロード要求を制御するその他のポリシーを定義できます。

IronPort S シリーズ アプライアンスでのポリシーの設定については、『 IronPort AsyncOS for Web User Guide 』の「Working with Policies」の章を参照してください。

レポーティング

Web インターフェイスで使用できるレポートを表示することにより、ネットワーク上でブロックおよびモニタされる Web トラフィックの統計情報を表示できます。ブロックされた上位の URL カテゴリ、クライアント アクティビティ、システム ステータス、等々に関するレポートを表示できます。

追加情報

その他にも、Web セキュリティ アプライアンスに設定できる機能があります。機能キー、エンド ユーザ通知およびロギングの設定や、使用可能なその他の Web セキュリティ アプライアンス機能の詳細については、Web セキュリティ アプライアンスのドキュメンテーション(アプライアンスに付属のドキュメンテーション CD に収録)を参照してください。

関連資料

 

サポート

Cisco IronPort サポート コミュニティ

supportforums.cisco.com/community/netpro/security/ironport

製品マニュアル

Cisco IronPort Web セキュリティ アプライアンス

http://www.cisco.com/en/US/customer/products/ps10164/tsd_products_support_series_home.html

Cisco IronPort AsyncOS for Web User Guide

『Cisco IronPort S170 クイック スタート ガイド』

シスコのテクニカル サポート

次の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。

http://www.cisco.com/en/US/support/index.html

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。

Japan テクニカル サポート Web サイトには、次のURLからアクセスしてください。

http://www.cisco.com/jp/go/tac