ASA を介した AnyConnect Web セキュリティの導入

ダウンロード オプション

  • PDF     (1.2 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (1.1 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (2.2 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2016 年 3 月 18 日
Document ID:200387

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

概要

このドキュメントでは、Cisco 適応型セキュリティ アプライアンス(ASA)で終端するクライアント ベースの VPN への AnyConnect Web セキュリティ モジュールの導入について説明します。

前提条件

要件

このドキュメントに特有の要件はありません。

使用するコンポーネント

このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

背景説明

  • ASA で AnyConnect(v4.1+ を推奨)イメージをアップロードします

  • 図に示すように、ASA で VPN プロファイルを有効にします

設定

ASA を通じた AnyConnect Web セキュリティの導入

設定に含まれる手順は次のとおりです。

  • Anyconnect Web セキュリティ クライアント プロファイルを設定する
  • Anyconnect VPN グループ ポリシーを編集する
  • Web セキュリティのスプリット除外を設定し、Web セキュリティ クライアント モジュールのダウンロードを選択する  
  • Anyconnect VPN グループ ポリシーを編集し、Web セキュリティ クライアント プロファイルを選択する

手順 1:Anyconnect Web セキュリティ クライアント プロファイルを設定する

[Configuration] > [Remove Access VPN] > [Network (Client) Access] > [Anyconnect Client Profile] を選択します。

[Add] をクリックし、[AnyConnect Web Security Client Profile] を選択します。

注:クライアント側の Profile Name はハードコードされているため、設定した名前に関係なく、ASA は常に Websecurity_serviceprofile.wso をクライアントにプッシュします。

注:これは、認証ライセンス キーのないデフォルト プロファイルです。

手順 2:新しく作成したプロファイルを編集し、認証ライセンス キーを追加し、設定をカスタマイズする。

手順 3:Web セキュリティのスプリット除外を設定し、Web セキュリティ クライアント モジュールのダウンロードを選択する

図に示すように、Anyconnect VPN グループ ポリシーを編集します。 

図に示すように、Web セキュリティのスプリット除外を設定します。

  図に示すように、Web セキュリティ クライアント モジュールのダウンロードを選択します。

image 9.png

手順 4:Web セキュリティ クライアント プロファイルをダウンロードする

[Anyconnect VPN group policy] > [Client Profiles to Download] > [Add] を編集し、(手順 1 で)作成したプロファイルを選択します

[OK] をクリックし、変更を適用します。

確認

Anyconnect VPN に接続すると、図に示すように、ASA は VPN 経由で、Anyconnect Web セキュリティ モジュールをプッシュします。

すでにログインしている場合、この機能が有効になるよう、ログオフして、ログインすることを推奨します。

Anyconnect バージョンのアップグレード/ダウングレード

バージョンがアップグレードされた場合、導入機能は変更ありません。ただしダウングレードすることはできません。したがって、4.1.x の現在の例では、バージョン 4.2 にアップグレードできます

含まれる手順は次のとおりです。

手順 1:最新の Anyconnect パッケージ 4.2 をフラッシュにアップロードし、4.1 を最新のファイルで置き換える。

[Anyconnect Client Software] > [Replace] で最新のイメージ ファイルを選択します。

ステップ 2: Anyconnect VPN に再接続した際、Web セキュリティ プロファイルは変更されず、ASA が VPN 経由で最新の Anyconnect モジュールをプッシュする。

注:ダウングレードはサポートされません。

トラブルシュート

ここでは、設定のトラブルシューティングに使用できる情報を示します。

DART を使用したトラブルシューティング情報の収集:

DART は AnyConnect Diagnostics and Reporting Tool の略で、AnyConnect のインストールと接続に関する問題のトラブルシューティングに役立つデータの収集に使用できます。DART は、Windows 7、Windows Vista、Windows XP、Mac バージョン 10.5 と 10.6、および Linux Redhat をサポートします。DART ウィザードは、AnyConnect を実行するコンピュータ上で実行されます。これによってログ、ステータス、および診断情報が収集され、それを Cisco Technical Assistance Center(TAC)での分析に使用でき、管理者権限は不要です。

DART は、AnyConnect ソフトウェアのコンポーネントに依存せずに機能しますが、AnyConnect から起動可能で、AnyConnect ログ ファイル(存在する場合)の収集を行います。現在のところ、DART はスタンドアロン インストールを実行できます。または、管理者は AnyConnect ダイナミック ダウンロード インフラストラクチャの一部として、このアプリケーションをクライアント PC にプッシュできます。インストールしたら、[Start] ボタンを通して、Cisco フォルダからウィザードを起動できます。

更新履歴

改定 発行日 コメント
1.0
18-Mar-2016
初版
TAC Authored

シスコ エンジニア提供

  • Ashok Sakthivel
    Cisco TACエンジニア

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています