ASA を介した AnyConnect Web セキュリティの導入

概要

このドキュメントでは、Cisco 適応型セキュリティ アプライアンス（ASA）で終端するクライアント ベースの VPN への AnyConnect Web セキュリティ モジュールの導入について説明します。

前提条件

要件

このドキュメントに関しては個別の要件はありません。

使用されているコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。

背景説明

• ASA で AnyConnect（v4.1+ を推奨）イメージをアップロードします

• 図に示すように、ASA で VPN プロファイルを有効にします

設定

ASA を通じた AnyConnect Web セキュリティの導入

設定に含まれる手順は次のとおりです。

• Anyconnect Web セキュリティ クライアント プロファイルを設定する
• Anyconnect VPN グループ ポリシーを編集する
• Web セキュリティのスプリット除外を設定し、Web セキュリティ クライアント モジュールのダウンロードを選択する  
• Anyconnect VPN グループ ポリシーを編集し、Web セキュリティ クライアント プロファイルを選択する

手順 1：Anyconnect Web セキュリティ クライアント プロファイルを設定する

[Configuration] > [Remove Access VPN] > [Network (Client) Access] > [Anyconnect Client Profile] を選択します。

[Add] をクリックし、[AnyConnect Web Security Client Profile] を選択します。

注: クライアント側の Profile Name はハードコードされているため、設定した名前に関係なく、ASA は常に Websecurity_serviceprofile.wso をクライアントにプッシュします。

注: これは、認証ライセンス キーのないデフォルト プロファイルです。

手順 2：新しく作成したプロファイルを編集し、認証ライセンス キーを追加し、設定をカスタマイズする。

手順 3：Web セキュリティのスプリット除外を設定し、Web セキュリティ クライアント モジュールのダウンロードを選択する

図に示すように、Anyconnect VPN グループ ポリシーを編集します。 

図に示すように、Web セキュリティのスプリット除外を設定します。

  図に示すように、Web セキュリティ クライアント モジュールのダウンロードを選択します。

手順 4：Web セキュリティ クライアント プロファイルをダウンロードする

[Anyconnect VPN group policy] > [Client Profiles to Download] > [Add] を編集し、（手順 1 で）作成したプロファイルを選択します

[OK] をクリックし、変更を適用します。

確認

Anyconnect VPN に接続すると、図に示すように、ASA は VPN 経由で、Anyconnect Web セキュリティ モジュールをプッシュします。

すでにログインしている場合、この機能が有効になるよう、ログオフして、ログインすることを推奨します。

Anyconnect バージョンのアップグレード/ダウングレード

バージョンがアップグレードされた場合、導入機能は変更ありません。 ただしダウングレードすることはできません。 したがって、4.1.x の現在の例では、バージョン 4.2 にアップグレードできます

含まれる手順は次のとおりです。

手順 1：最新の Anyconnect パッケージ 4.2 をフラッシュにアップロードし、4.1 を最新のファイルで置き換える。

[Anyconnect Client Software] > [Replace] で最新のイメージ ファイルを選択します。

ステップ 2： Anyconnect VPN に再接続した際、Web セキュリティ プロファイルは変更されず、ASA が VPN 経由で最新の Anyconnect モジュールをプッシュする。

注: ダウングレードはサポートされません。

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を提供します。

DART を使用したトラブルシューティング情報の収集：

DART は AnyConnect Diagnostics and Reporting Tool の略で、AnyConnect のインストールと接続に関する問題のトラブルシューティングに役立つデータの収集に使用できます。 DART は、Windows 7、Windows Vista、Windows XP、Mac バージョン 10.5 と 10.6、および Linux Redhat をサポートします。 DART ウィザードは、AnyConnect を実行するコンピュータ上で実行されます。 これによってログ、ステータス、および診断情報が収集され、それを Cisco Technical Assistance Center（TAC）での分析に使用でき、管理者権限は不要です。

DART は、AnyConnect ソフトウェアのコンポーネントに依存せずに機能しますが、AnyConnect から起動可能で、AnyConnect ログ ファイル（存在する場合）の収集を行います。 現在のところ、DART はスタンドアロン インストールを実行できます。または、管理者は AnyConnect ダイナミック ダウンロード インフラストラクチャの一部として、このアプリケーションをクライアント PC にプッシュできます。 インストールしたら、[Start] ボタンを通して、Cisco フォルダからウィザードを起動できます。