セキュリティ : Cisco Web セキュリティ アプライアンス

Cisco S170 Web セキュリティ アプライアンス クイック スタート ガイド

クイック スタート ガイド
発行日;2013/06/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

Cisco S170 Web セキュリティ アプライアンス

ようこそ

はじめる前に

ネットワーク設定の記録

設置の計画

ラックへのアプライアンスの取り付け

ラックへのアプライアンスの配置

アプライアンスへの電源接続

IP アドレスの一時的な変更

Windows の場合

Mac の場合

アプライアンスへの接続

アプライアンスの電源投入

アプライアンスへのログイン

Web ベースのインターフェイス

コマンドライン インターフェイス

システム セットアップ ウィザードの実行

ネットワークの設定

設定の概要

これで終了です

ユーザ ポリシー

レポート

追加情報

関連資料

シスコのテクニカル サポート

マニュアルの入手方法およびテクニカル サポート

クイック スタート ガイド

Cisco S170 Web セキュリティ アプライアンス

 

 

改訂日:2013 年 3 月 13 日

Part Number:78-19643-04-J

ようこそ

Cisco S170 Web セキュリティ アプライアンス(Cisco S170)をお選びいただき、ありがとうございます。Cisco S170 は、企業の Web トラフィックの保護および管理を支援します。

このマニュアルでは、Cisco S170 アプライアンスの物理的な設置、およびシステム セットアップ ウィザードを使用した基本設定の方法について説明します。また、アプライアンスの設定方法については、『 Cisco IronPort AsyncOS for Web User Guide 』の章「Deployment」を参照してください。

はじめる前に

設置を開始する前に、必要な品目が揃っていることを確認してください。Cisco S170 Web セキュリティ アプライアンスには、次の品目が含まれています。

クイック スタート ガイド(本書)

レールおよびアダプタ キット

電源ケーブル

アプライアンスをネットワークに接続するためのイーサネット ケーブル

安全規制および規制への準拠に関する情報

次の品目は各自で用意する必要があります。

ラック キャビネット棚(アプライアンスをラックマウントする場合)

レールを組み立てるためのプラス ドライバ

10/100 ギガビット Base-T TCP/IP LAN

デスクトップまたはラップトップ コンピュータ

Web ブラウザ(または、SSH およびターミナル ソフトウェア)

「ネットワーク設定の記録」に関するネットワークおよび管理者情報、ならびに稼働時の設定

ネットワーク設定の記録

作業に取り掛かる前に、ネットワークおよび管理者の設定について次の情報を書き出してください。

 

展開オプション

Web プロキシ

L4 と透過

WCCP ルータと透過のスイッチ

明示的な転送プロキシ

L4 トラフィック モニタ

シンプレックス タップ/スパン ポート

デュプレックス タップ/スパン ポート

ネットワーク コンテキスト

ネットワーク上の別のプロキシの有無:

はい

他のプロキシ IP アドレス:

他のプロキシ ポート:

ネットワーク設定

デフォルト システム ホスト名:

DNS サーバ:

インターネット ルート DNS サーバを使用する。

次の DNS サーバ(最大 3 つ)を使用する。

1.

2.

3.

ネットワーク タイム プロトコル(NTP)サーバ:

タイム ゾーンの領域:

タイム ゾーンの国:

タイム ゾーンの GMT オフセット:

インターフェイスの設定

管理ポート

IP アドレス:

ネットワーク マスク:

ホスト名:

データ ポート(任意、「注」を参照)

IP アドレス:

ネットワーク マスク:

ホスト名:


) Web プロキシは、管理インターフェイスを共有できます。データ インターフェイスの IP アドレスと管理インターフェイスの IP アドレスを別々に設定した場合は、同じサブネットを共有できません。


ルート

管理用の内部ルート

デフォルト ゲートウェイ:

静的ルート名:

静的ルートの宛先ネットワーク:

静的ルートのゲートウェイ:

データ用の内部ルート

デフォルト ゲートウェイ:

静的ルート名:

静的ルートの宛先ネットワーク:

静的ルートのゲートウェイ:

トランスペアレント ルーティング デバイス

デバイス タイプ

レイヤ 4 スイッチまたはデバイスなし

WCCP ルータ

標準のサービス ID を有効にする。
(web-cache)。

ルータ アドレス:
_______________

ルータ セキュリティを有効にする。
パスワード:
_______________


) アプライアンスを WCCP ルータに接続する際は、システム セットアップ ウィザードの実行後に WCCP サービスが作成されるように、Web セキュリティ アプライアンスを設定することが必要になる場合があります。


管理設定

管理者(Administrator)のパスワード:

システム アラートのメール通知先:

SMTP リレー ホスト:

(任意)

AutoSupport:

有効

SenderBase ネットワークに参加:

有効

制限

標準

セキュリティ サービス

L4 トラフィック モニタ:

モニタのみ

ブロック

使用許可コントロール:

有効

IronPort URL フィルタ

Cisco IronPort Web 使用コントロール

Web レピュテーション フィルタ:

有効

マルウェア スキャンおよびスパイウェア スキャン:

Webroot を有効にする

McAfee を有効にする

Sophos を有効にする

検出されたマルウェアに対するアクション:

モニタのみ

ブロック

IronPort データ セキュリティ フィルタ:

有効

設置の計画

ネットワーク内にどのように Cisco S170 Web セキュリティ アプライアンスを設定するかを決めます。

Cisco S170 アプライアンスは、クライアントとインターネットの間のネットワークに追加のレイヤとして設置するのが通常です。クライアント トラフィックをアプライアンスに送信するためのレイヤ 4(L4)スイッチまたは WCCP ルータが必要かどうかは、アプライアンスをどのように展開するかによります。

次の展開オプションがあります。

トランスペアレント プロキシ:L4 スイッチを使用した Web プロキシ

トランスペアレント プロキシ:WCCP ルータを使用した Web プロキシ

明示的な転送プロキシ:ネットワーク スイッチへの接続

L4 トラフィック モニタ:イーサネット タップ(シンプレックスまたはデュプレックス)

シンプレックス モード:ポート T1 はすべての発信トラフィックを受信し、ポート T2 はすべての着信トラフィックを受信します。

デュプレックス モード:ポート T1 は、すべての着信および発信トラフィックを受信します。

 


) 真のクライアント IP アドレスをモニタするため、L4 トラフィック モニタは必ず、ファイアウォールの内側で、NAT(ネットワーク アドレス変換)の前に設定します。


ラックへのアプライアンスの取り付け

スライド レールまたは固定ラック マウント ブラケットを使用して Cisco S170 Web セキュリティ アプライアンスを取り付けます。これらの設置オプションの詳細については、『 Cisco 170 Series Hardware Installation Guide 』を参照してください。

ラックへのアプライアンスの配置

周囲温度:アプライアンスの過熱を防止するため、周囲温度が 104 °F(40 °C)を超える場所では操作しないでください。

エアーフロー:アプライアンス周辺のエアー フローが十分であることを確認してください。

機械的加重:危険な状況を避けるため、アプライアンスが水平で安定していることを確認してください。

 

アプライアンスへの電源接続

アプライアンスの背面パネルにある電源に、電源ケーブルのメス端子を差し込みます。オス端子を電気コンセントに差し込みます。

 

IP アドレスの一時的な変更

Cisco S170 アプライアンスに接続するには、一時的にコンピュータの IP アドレスを変更する必要があります。


) 設定が完了したら元に戻す必要があるため、現在の IP 設定を書き留めておきます。


Windows の場合


ステップ 1 システム ボックスに同梱されているイーサネット ケーブルを使用して、ラップトップを MGMT 管理ポートに接続します。Cisco S170 アプライアンスは、MGMT 管理ポートだけを使用します。

 

ステップ 2 [Start] メニューに移動し、[Control Panel] を選択します。

ステップ 3 [Network and Sharing Center] をダブルクリックします。

ステップ 4 [Local Area Connection] をクリックし、次に [Properties] をクリックします。

ステップ 5 [Internet Protocol (TCP/IP)] を選択して、[Properties] をクリックします。

ステップ 6 [Use the Following IP Address] を選択します。

ステップ 7 次の変更を入力します。

IP アドレス: 192.168.42.43

サブネット マスク: 255.255.255.0

デフォルト ゲートウェイ: 192.168.42.1

ステップ 8 [OK] と [Close] をクリックして、ダイアログ ボックスを閉じます。


 

Mac の場合


ステップ 1 Apple メニューを起動し、[System Preferences] を選択します。

ステップ 2 [Network] をクリックします。

ステップ 3 緑色のアイコンがあるネットワーク設定を選択します。これが、アクティブな接続です。次に、[Advanced] をクリックします。

ステップ 4 [TCP/IP] タブをクリックし、イーサネット設定でドロップダウン リストから [Manually] を選択します。

ステップ 5 次の変更を入力します。

IP アドレス: 192.168.42.43

サブネット マスク: 255.255.255.0

ルータ: 192.168.42.1

ステップ 6 [OK] をクリックします。


 

アプライアンスへの接続

Cisco S170 アプライアンスの背面パネルにある適切なポートに、イーサネット ケーブルを差し込みます。

プロキシ ポートには、P1 と P2 というラベルが付いています。

P1 のみが有効:P1 のみが有効の場合、着信トラフィックと発信トラフィックの両方に対応するネットワークに P1 を接続します。

P1 および P2 が有効:P1 と P2 の両方が有効である場合、P1 を内部ネットワーク、P2 をインターネットにそれぞれ接続してください。

トラフィック モニタ ポートには、T1 と T2 というラベルが付いています。

シンプレックス タップ:ポート T1 および T2。1 本のケーブルでインターネットに宛てたすべてのパケットに対応し(T1)、もう 1 本のケーブルでインターネットから入ってくるすべてのパケットに対応(T2)。

デュプレックス タップ:ポート T1。1 本のケーブルですべての着信およぶ発信トラフィックに対応。

 

アプライアンスの電源投入

Cisco S170 の前面パネルの電源スイッチを押して、アプライアンスの電源を投入します。アプライアンスの電源が投入されると、グリーンのライトが点灯して、アプライアンスが作動していることを示します。

 

アプライアンスへのログイン

Web ベース インターフェイスまたはコマンドライン インターフェイスのいずれかを使用して、Cisco S170 アプライアンスにログインできます。

Web ベースのインターフェイス


ステップ 1 イーサネット ポートを介して Web ブラウザにアクセスする(「アプライアンスへの接続」を参照)には、Web ブラウザに次の URL を入力して、Cisco S170 アプライアンスの管理インターフェイスにアクセスします。

http://192.168.42.42

 

ステップ 2 次のログイン情報を入力します。

[Username]: admin

[Password]: ironport


) システムのセットアップ時に、ホスト名パラメータが割り当てられます。ホスト名(http://hostname:8080)を使用して管理インターフェイスに接続するには、まず、アプライアンスのホスト名と IP アドレスを DNS サーバ データベースに追加する必要があります。


ステップ 3 [Login] をクリックします。


 

コマンドライン インターフェイス


ステップ 1 コマンドラインでシリアル ポートを介してアクセスする(「アプライアンスへの接続」を参照)には、SSH または端末エミュレータ(9600 ビット、8 ビット、パリティなし、1 ストップ ビット( 9600、8、N、1 )、およびフロー制御をハードウェアに設定)を使用してコマンドラインにアクセスします。

ステップ 2 IP アドレス 192.168.42.42 へのセッションを開始します。

ステップ 3 パスワード ironport を使用して admin としてログインします。

ステップ 4 プロンプトで、 systemsetup コマンドを実行します。


 

システム セットアップ ウィザードの実行

Web ベース インターフェイスを介してアプライアンスにアクセスすると(または、コマンドライン インターフェイスで systemsetup コマンドを実行すると)、システム セットアップ ウィザードが自動的に開始され、エンド ユーザ ライセンス契約書(EULA とも呼ばれる)が表示されます。


ステップ 1 システム セットアップ ウィザードを起動します。

ステップ 2 エンド ユーザ ライセンス契約書に同意します。

ステップ 3 登録情報を入力します。

ステップ 4 「ネットワーク設定の記録」からの情報を入力します。

ステップ 5 Web セキュリティの設定を行います。

ステップ 6 設定サマリー ページを確認します。

ステップ 7 ユーザ名 admin と、システム セットアップ ウィザードで新たに設定したパスワードを使用して、アプライアンスにログインしなおします。

Cisco S170 Web セキュリティ アプライアンスでは自己署名証明書が使用されるため、Web ブラウザから警告が出る可能性があります。証明書を受け入れるだけで、この警告は無視できます。

ステップ 8 新しい管理者パスワードを書き留め、安全な場所に保管します。


 

ネットワークの設定

ネットワークの設定によっては、次のポートを使用したアクセスを許可するように、ファイアウォールを設定することが必要になる場合があります。SMTP サービスおよび DNS サービスでは、インターネットにアクセスできる必要があります。

Web セキュリティ アプライアンスは、次のポートをリッスンできる必要があります。

FTP:ポート 21、データ ポート TCP 1024 以上

HTTP:ポート 80

HTTPS:ポート 443

管理アクセス:ポート 8443(HTTPS)および 8080(HTTP)

SSH:ポート 22

Web セキュリティ アプライアンスは、次のポートで発信接続できる必要があります。

DNS:ポート 53

FTP:ポート 21、データ ポート TCP 1024 以上

HTTP:ポート 80

HTTPS:ポート 443

LDAP:ポート 389 または 3268

LDAP over SSL:ポート 636

グローバル カタログ クエリー用の SSL を使用した LDAP:ポート 3269

NTP:ポート 123

SMTP:ポート 25


) ポート 80 および 443 を開いておかないと、機能キーをダウンロードできません。


設定の概要

項目
説明
Management

http://192.168.42.42:8080 と入力して、管理ポート(MGMT ポート)から Web セキュリティ アプライアンスを管理することができます
また、システム セットアップ ウィザードを完了した後に、管理インターフェイスに割り当てられた IP アドレスを使用して管理することもできます。

(システム セットアップ ウィザードの再実行などにより)工場出荷時のデフォルト設定にリセットした場合は、MGMT ポート(http://192.168.42.42:8080)からしか管理インターフェイスにアクセスできなくなるため、必ず、MGMT ポートに接続できるようにしてください。

また、管理インターフェイスでファイアウォール ポート 80 および 443 を開いていることを確認します。

Data

システム セットアップ ウィザードを実行した後、アプライアンスの少なくとも 1 つのポートを、ネットワーク上のクライアントから Web トラフィックを受信するように設定します:M1 のみ。M1 および P1。
M1、P1 および P2。P1 だけ。または P1 および P2。


) Web プロキシを明示的な転送モードに設定した場合は、Web セキュリティ アプライアンスの Web プロキシに、データ用に設定された IP アドレスおよび M1 または P1 のいずれかを使用して明示的に Web トラフィックを転送するよう、クライアント マシンのアプリケーションを設定する必要があります。


Traffic Monitor

システム セットアップ ウィザードを実行すると、1 つまたは両方の L4 トラフィック モニタ ポート(T1 のみ、または T1 と T2 の両方)が、すべての TCP ポートのトラフィックをリッスンするように設定されます。L4 トラフィック モニタのデフォルト設定は、モニタのみです。セットアップ時、またはセットアップ後に、疑わしいトラフィックに対するモニタおよびブロックの両方を行うよう、L4 トラフィック モニタを設定できます。

Computer Address

コンピュータの IP アドレスを、「IP アドレスの一時的な変更」で書き留めた元の設定に戻すことを忘れないでください。

これで終了です

これですべての作業は完了しました。Cisco S170 Web セキュリティ アプライアンスを使用を開始する準備が整いました。アプライアンスをさらに活用するために、次の手順のいくつかを実行することも検討してください。

ユーザ ポリシー

Web インターフェイスを使用し、必要に応じて、どのユーザがどの Web リソースにアクセスできるかを定義するポリシーを作成します。

ユーザの識別:インターネットにアクセスできるユーザ グループを定義するには、[Web Security Manager] > [Identities] を選択します。

アクセス ポリシーの定義:許可または拒否するオブジェクトおよびアプリケーション、モニタまたは拒否する URL カテゴリ、Web レピュテーションおよびマルウェア対策を設定してユーザのアクセスを制御するには、[Web Security Manager] > [Access Policies] を選択します。

また、その他いくつかのポリシー タイプを定義して、インターネットへのアクセスを制御することにより、組織の許容可能な使用ポリシーを実施できます。たとえば、HTTPS トランザクションを復号化するためのポリシーや、アップロード要求を制御するその他のポリシーを定義できます。

Cisco S170 アプライアンスでのポリシーの設定については、『 Cisco IronPort AsyncOS for Web User Guide 』の「Working with Policies」の章を参照してください。

レポート

Web インターフェイスで使用できるレポートを表示することにより、ネットワーク上でブロックおよびモニタされる Web トラフィックの統計情報を表示できます。ブロックされた上位の URL カテゴリ、クライアント アクティビティ、システム ステータス、等々に関するレポートを表示できます。

追加情報

その他にも、Cisco S170 アプライアンスに設定できる機能があります。機能キーの設定、エンド ユーザの通知、ロギングに関する詳細と、その他の使用可能な Web セキュリティ アプライアンス機能の詳細については、マニュアル『Cisco S170 Web セキュリティ アプライアンス』を参照してください。

関連資料

サポート

Cisco Web Security Appliance Support Community

https://supportforums.cisco.com/community/netpro/security/web

製品に関する資料

『Cisco S170 Web Security Appliance Quick Start Guide』
(このマニュアル)

http://www.cisco.com/en/US/docs/
security/wsa/hw/S170_QSG.pdf

『Cisco 170 Series Hardware Installation Guide』

LED、技術仕様、およびラックマウント オプションに関する情報が含まれています。

http://www.cisco.com/en/US/docs/
security/esa/hw/170Series_HW_Install.pdf

Cisco Web セキュリティ アプライアンスのマニュアル

アプライアンスの機能の設定、CLI コマンド、およびリリース ノートに関するドキュメントが含まれています。

http://www.cisco.com/en/US/products/ps10164/tsd_products_support_series_home.html

安全性および適合規格に関するガイド

http://www.cisco.com/en/US/docs/security/esa/hw/SafetyAndCompliance
Guide.pdf

MIB

AsyncOS MIBs for Cisco Web Security Appliance
(「Related Tools」の項)

http://www.cisco.com/en/US/products/ps10164/tsd_products_support_series_home.html

シスコのテクニカル サポート

次の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。

http://www.cisco.com/en/US/support/index.html

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/cisco/web/support/index.html)の、利用頻度の高いドキュメントを日本語で提供しています。

Japan テクニカル サポート Web サイトには、次のURLからアクセスしてください。

http://www.cisco.com/cisco/web/JP/support/index.html

マニュアルの入手方法およびテクニカル サポート

マニュアルの入手方法、テクニカル サポート、その他の有用な情報について、次の URL で、毎月更新される『 What's New in Cisco Product Documentation 』を参照してください。 http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html

What's New in Cisco Product Documentation 』には、シスコの新規および改訂版の技術マニュアルの一覧が示されており、RSS フィードとして購読できます。また、リーダー アプリケーションを使用してコンテンツがデスクトップに直接配信されるように設定することもできます。RSS フィードは無料のサービスです。