ASA FirePOWER モジュールの設定

次の表は、ASA FirePOWER モジュール のローカル設定をまとめたものです。

 

表 41-1 ローカル設定のオプション

オプション
説明
詳細

情報

アプライアンスに関する現在の情報が表示されます。アプライアンスの名前を変更することもできます。

アプライアンス情報の表示と変更

HTTPS 証明書(HTTPS Certificate)

信頼できる機関の HTTPS サーバ証明書を要求し(必要な場合)、証明書をアプライアンスにアップロードできます。

 

クラウド サービス(Cloud Services)

Collective Security Intelligence クラウド から URL フィルタリング データをダウンロードしたり、未分類の URL を検索したり、検出されたファイルの診断情報を シスコ に送信したりできます。

クラウド通信の有効化

アプライアンス情報の表示と変更

ライセンス: 任意

[情報(Information)] ページには、ASA FirePOWER モジュール に関する情報が表示されます。これには、製品名とモデル番号、オペレーティング システムとバージョン、現在のシステム ポリシーなどの読み取り専用情報が含まれます。このページには、アプライアンスの名前を変更するオプションも用意されています。

次の表で、各フィールドについて説明します。

 

表 41-2 アプライアンス情報

フィールド
説明

[名前(Name)]

アプライアンスに割り当てられた名前。この名前は ASA FirePOWER モジュール のコンテキスト内でのみ使用されることに注意してください。ホスト名をアプライアンスの名前として使用できますが、このフィールドに別の名前を入力しても、ホスト名は変更されません。

製品モデル(Product Model)

アプライアンスのモデル名。

シリアル番号(Serial Number)

アプライアンスのシャーシのシリアル番号。

ソフトウェア バージョン(Software Version)

現在インストールされているソフトウェアのバージョン。

オペレーティング システム(Operating System)

アプライアンス上で現在実行されているオペレーティング システム。

オペレーティング システム バージョン(Operating System Version)

アプライアンス上で現在実行されているオペレーティング システムのバージョン。

IPv4 アドレス(IPv4 Address)

アプライアンスのデフォルトの管理インターフェイス( eth0 )の IPv4 アドレス。アプライアンスで IPv4 の管理が無効になっている場合は、このフィールドにそのことが示されます。

IPv6 アドレス(IPv6 Address)

アプライアンスのデフォルトの管理インターフェイス( eth0 )の IPv6 アドレス。アプライアンスで IPv6 の管理が無効になっている場合は、このフィールドにそのことが示されます。

現在のポリシー(Current Policies)

現在適用されているアプライアンスレベルのポリシー。ポリシーが最後に適用された後で更新されていると、ポリシーの名前がイタリック体で表示されます。

モデル番号(Model Number)

アプライアンスのモデル番号。この番号は、トラブルシューティングで重要になる場合があります。

アプライアンスの情報を変更するには、次の手順を実行します。

ステップ 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ローカル(Local)] > [設定(Configuration)] の順に選択します。

[情報(Information)] ページが表示されます。

ステップ 2 アプライアンス名を変更するには、[名前(Name)] フィールドに新しい名前を入力します。

名前は、英数字である 必要があり 、数字だけで構成することはできません。

ステップ 3 変更を保存するには、[保存(Save)] をクリックします。

ページが更新され、変更が保存されます。

 

クラウド通信の有効化

ライセンス: URL フィルタリング(URL Filtering)またはマルウェア

ASA FirePOWER モジュール は、シスコ の Collective Security Intelligence クラウド に接続してさまざまなタイプの情報を取得します。

  • アクセス コントロール ルールに関連付けられているファイル ポリシーにより、デバイスはネットワーク トラフィックで送信されるファイルを検出できます。ASA FirePOWER モジュール は、シスコ クラウドからのデータを使用して、ファイルがマルウェアに相当するかどうかを判定します。ファイル ポリシーの概要と作成を参照してください。
  • URL フィルタリングを有効にすると、ASA FirePOWER モジュール は、一般的にアクセスされる多数の URL のカテゴリとレピュテーション データを取得し、さらに未分類 URL の検索も実行します。その後、アクセス コントロール ルールの URL 条件をすばやく作成できます。レピュテーション ベースの URL ブロッキングの実行を参照してください。

ASA FirePOWER モジュール のローカル構成を使用して、次のオプションを指定します。

URL フィルタリングを有効にする(Enable URL Filtering)

カテゴリおよびレピュテーションベースの URL フィルタリングを実行するには、このオプションを有効にする必要があります。

不明 URL のクエリ クラウド(Query Cloud for Unknown URL)

監視対象ネットワーク上で誰かがローカル データ セットに存在しない URL を参照しようとしたときに、システムがクラウドを照会できるようにします。

クラウドが URL のカテゴリまたはレピュテーションを識別できない場合や、ASA FirePOWER モジュール がクラウドに接続できない場合、その URL は、カテゴリまたはレピュテーション ベースの URL 条件を含むアクセス コントロール ルールと一致 しません 。URL に手動でカテゴリやレピュテーションを割り当てることはできません。

プライバシー上の理由などで、未分類の URL を シスコ クラウドでカタログ化したくない場合は、このオプションを無効にします。

自動アップデートを有効にする(Enable Automatic Updates)

システムが定期的にクラウドに接続して、アプライアンスのローカル データ セットに含まれる URL データの更新を取得できるようにします。通常、クラウドはそのデータを 1 日に 1 回更新しますが、自動更新を有効にすると、ASA FirePOWER モジュール によるチェックが 30 分ごとに強制的に行われ、常に最新の情報が保持されるようになります。

通常、毎日の更新は小規模ですが、最終更新日から 5 日を超えると、帯域幅によっては新しい URL フィルタリング データのダウンロードに最長 20 分かかる場合があります。その後、更新自体を実行するのに最長で 30 分かかることがあります。

システムがクラウドに接続するタイミングを厳密に制御する必要がある場合は、URL フィルタリング更新の自動化で説明しているように、自動更新を無効にして、代わりにスケジューラを使用できます。

) シスコ では、自動更新を有効にするか、またはスケジューラを使用して更新をスケジュールすることを推奨しています。手動でオンデマンド更新を実行することもできますが、定期的にクラウドに接続するようにシステムを自動化することで、最も関連性の高い最新の URL データを取得できます。

ライセンス

カテゴリおよびレピュテーションベースの URL フィルタリングとデバイスベースのマルウェア検出を実行するには、ASA FirePOWER モジュール で適切なライセンスを有効にする必要があります(ASA FirePOWER モジュールのライセンスを参照)。

ASA FirePOWER モジュールに URL フィルタリング(URL Filtering) のライセンスがない場合は、クラウド接続オプションを設定 できません 。[クラウド サービス(Cloud Services)] ローカル設定ページには、ライセンスが付与されているオプションのみが表示されます。ライセンスが期限切れになっている ASA FirePOWER モジュール では、クラウドに接続できません。

ASA FirePOWER モジュールに URL フィルタリング(URL Filtering) ライセンスを追加すると、URL フィルタリングの設定オプションが表示されることに加えて、[URL フィルタリングを有効にする(Enable URL Filtering)] と [自動アップデートを有効にする(Enable Automatic Updates)] が自動的に有効になります。必要な場合は、手動でこれらのオプションを無効にすることができます。

インターネット アクセス

システムは、シスコ クラウドへの接続にポート 80/HTTP および 443/HTTPS を使用します。

次の手順は、シスコ クラウドとの通信を有効にする方法、および URL データのオンデマンド更新を実行する方法を示しています。更新がすでに進行中である場合は、オンデマンド更新を開始できません。

クラウドとの通信を有効にするには、次の手順を実行します。

ステップ 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ローカル(Local)] > [設定(Configuration)] の順に選択します。

[情報(Information)] ページが表示されます。

ステップ 2 [クラウド サービス(Cloud Services)] をクリックします。

[クラウド サービス(Cloud Services)] ページが表示されます。URL フィルタリング(URL Filtering) ライセンスがある場合は、このページに URL データの最終更新時間が表示されます。

ステップ 3 上記の説明に従って、クラウド接続のオプションを構成します。

[自動アップデートを有効にする(Enable Automatic Updates)] または [不明 URL のクエリ クラウド(Query Cloud for Unknown URL)] を有効にするには、あらかじめ [URL フィルタリングを有効にする(Enable URL Filtering)] を有効にする必要があります。

ステップ 4 [保存(Save)] をクリックします。

設定が保存されます。URL フィルタリングを有効化すると、URL フィルタリングが最後に有効化されてから経過した時間、または URL フィルタリングが今回初めて有効化されたかどうかに応じて、ASA FirePOWER モジュールがクラウドから URL フィルタリング データを取得します。

 

システムの URL データのオンデマンド更新を実行するには、次の手順を実行します。

ステップ 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [統合(Integration)] > [Cisco CSI] の順に選択します。

[情報(Information)] ページが表示されます。

ステップ 2 [URL フィルタリング(URL Filtering)] をクリックします。

[URL フィルタリング(URL Filtering)] ページが表示されます。

ステップ 3 [今すぐ更新(Update Now)] をクリックします。

ASA FirePOWER モジュール がクラウドに接続し、更新が使用可能な場合はその URL フィルタリング データを更新します。

 

時刻(Time)

[時刻(Time)] ページを使用して、現在の時刻と時刻源をASA FirePOWER モジュールに表示できます。