Cisco Cloud Web Security プロキシへのアプライアンスの接続
クラウド コネクタ モードでの展開
アプライアンスの初期設定時に、クラウド コネクタ モードと標準モードのどちらで展開するかを選択します。必要なライセンスを所有している場合は、現在展開されているアプライアンスでシステム セットアップ ウィザードを標準モードで実行し、これをクラウド コネクタ モードで再展開することもできます。システム セットアップ ウィザードを実行すると、既存の設定は上書きされ、既存のすべてのデータが削除されます。
アプライアンスの展開は標準モードとクラウド セキュリティ モードのどちらにおいても同様ですが、オンサイト Web プロキシ サービスおよびレイヤ 4 トラフィック モニタ サービスは、クラウド Web セキュリティ コネクタ モードでは使用できません。
クラウド Web セキュリティ コネクタは、明示的な転送モードまたは透過モードで展開できます。
初期設定後にクラウド コネクタの設定を変更するには、[ネットワーク(Network)] > [クラウド コネクタ(Cloud Connector)] を選択します。
関連項目
クラウド コネクタの設定
はじめる前に
仮想アプライアンスでの Web インターフェイスへのアクセスのイネーブル化を参照してください。
手順 1 以下の手順で、Web セキュリティ アプライアンスの Web インターフェイスにアクセスします。
インターネット ブラウザに Web セキュリティ アプライアンスの IPv4 アドレスを入力します。
初めてシステム セットアップ ウィザードを実行するときは、以下のデフォルトの IPv4 アドレスを使用します。
https://192.168.42.42:8443
または
http://192.168.42.42:8080
ここで、 192.168.42.42
はデフォルトの IPv4 アドレス、 8080
は、HTTP のデフォルトの管理ポート設定、 8443
は HTTPS のデフォルトの管理ポートです。
手順 2 [システム管理(System Administration)] > [システム セットアップ ウィザード(System Setup Wizard)] を選択します。
手順 3 ライセンス契約の条項に同意します。
手順 4 [セットアップの開始(Begin Setup)] をクリックします。
手順 5 システム設定項目を設定します。
|
|
デフォルト システム ホスト名(Default System Hostname) |
Web セキュリティ アプライアンスの完全修飾ホスト名。 |
DNS サーバ(DNS Server(s)) |
ドメイン名サービス ルックアップ用のインターネット ルート DNS サーバ。 DNS の設定 も参照してください。 |
NTP サーバ(NTP Server) |
システム クロックを同期させるサーバ。デフォルトは time.ironport.com です。 |
タイム ゾーン |
アプライアンス上にタイム ゾーンを設定して、メッセージ ヘッダーおよびログ ファイルのタイムスタンプが正確に表示されるようにします。 |
手順 6 アプライアンス モードの [クラウド Web セキュリティ コネクタ(Cloud Web Security Connector)] を選択します。
手順 7 クラウド コネクタの設定項目を設定します。
|
|
クラウド Web セキュリティ プロキシ サーバ(Cloud Web Security Proxy Servers) |
クラウド プロキシ サーバ(CPS)のアドレス(例:proxy1743.scansafe.net)。 |
失敗のハンドリング(Failure Handling) |
AsyncOS がクラウド Web セキュリティ プロキシへの接続に失敗した場合、インターネットに [直接接続(Connect directly)] するか、[要求をドロップ(Drop requests)] します。 |
Cloud Web Security 認証スキーム(Cloud Web Security Authorization Scheme) |
トランザクションを認証する方式:
- Web セキュリティ アプライアンスの公開されている IPv4 アドレス
- 各トランザクションに含まれている認証キー。Cisco Cloud Web Security Portal 内で認証キーを生成できます。
|
手順 8 ネットワーク インターフェイスおよび配線を設定します。
|
|
イーサネット ポート(Ethernet Port) |
M1 インターフェイスを管理トラフィック専用として設定する場合は、データ トラフィック用の P1 インターフェイスを設定する必要があります。ただし、管理トラフィックとデータ トラフィックの両方を M1 インターフェイスとして使用する場合でも、P1 インターフェイスを設定できます。 |
[IP アドレス(IP Address)] |
Web セキュリティ アプライアンスの管理に使用する IPv4 アドレス。 |
ネットワーク マスク(Network Mask) |
このネットワーク インターフェイス上の Web セキュリティ アプライアンスを管理する際に使用するネットワーク マスク。 |
ホストネーム |
このネットワーク インターフェイス上の Web セキュリティ アプライアンスを管理する際に使用するホスト名。 |
手順 9 管理およびデータ トラフィックのルートを設定します。
|
|
デフォルト ゲートウェイ(Default Gateway) |
管理インターフェイスやデータ インターフェイスを通過するトラフィックに使用するデフォルト ゲートウェイの IPv4 アドレス。 |
[名前(Name)] |
スタティック ルートの識別に使用する名前。 |
内部ネットワーク(Internal Network) |
このルートのネットワーク上の宛先の IPv4 アドレス。 |
内部ゲートウェイ(Internal Gateway) |
このルートのゲートウェイの IPv4 アドレス。ルート ゲートウェイは、それが設定されている管理インターフェイスまたはデータ インターフェイスと同じサブネット上に存在する必要があります。 |
手順 10 透過的接続の設定項目を設定します。
(注
) デフォルトでは、クラウド コネクタは透過モードで展開され、レイヤ 4 スイッチまたは WCCP バージョン 2 ルータと接続する必要があります。
|
|
レイヤ 4 スイッチ(Layer-4 Switch) または デバイスなし(No Device) |
- Web セキュリティ アプライアンスはレイヤ 4 スイッチに接続されます。
または
- 明示的な転送モードでクラウド コネクタを展開します。
|
WCCP v2 ルータ(WCCP v2 Router) |
Web セキュリティ アプライアンスは WCCP バージョン 2 対応ルータに接続されます。 注:パスフレーズは任意であり、7 文字以内の文字を含めることができます。 |
手順 11 管理設定項目を設定します。
|
|
管理者パスフレーズ(Administrator Passphrase) |
Web セキュリティ アプライアンスにアクセスするためのパスフレーズ。パスフレーズは 6 文字以上にする必要があります。 |
システム アラート メールの送信先(Email system alerts to) |
アプライアンスによって送信されるアラートの宛先メール アドレス。 |
SMTP リレー ホスト経由で電子メールを送信(Send Email via SMTP Relay Host) |
(任意)AsyncOS がシステムによって生成された電子メール メッセージの送信に使用する SMTP リレー ホストのホスト名またはアドレス。 デフォルトの SMTP リレー ホストは、MX レコードにリストされているメール サーバです。 デフォルトのポート番号は 25 です。 |
オートサポート(AutoSupport) |
アプライアンスは、シスコ カスタマー サポートにシステム アラートと毎週のステータス レポートを送信できます。 |
手順 12 レビューしてインストールします。
a.
インストールを確認します。
b.
前に戻って変更する場合は、[前へ(Previous)] をクリックします。
c.
入力した情報を使って続行する場合は、[この設定をインストール(Install This Configuration)] をクリックします。
関連項目
クラウドのディレクトリ グループの使用による Web アクセスの制御
Cisco Cloud Web Security を使用し、ディレクトリ グループに基づいてアクセスを制御できます。Cisco Cloud Web Security へのトラフィックがクラウド コネクタ モードの Web セキュリティ アプライアンスを介してルーティングされている場合、Cisco Cloud Web Security は、グループ ベースのクラウド ポリシーを適用できるように、クラウド コネクタからトランザクションと共にディレクトリ グループ情報を受け取る必要があります。
はじめる前に
- Web セキュリティ アプライアンスの設定に認証レルムを追加します。
手順 1 [ネットワーク(Network)] > [クラウド コネクタ(Cloud Connector)] に移動します。
手順 2 [クラウド ポリシー ディレクトリ グループ(Cloud Policy Directory Groups)] 領域で、[グループの編集(Edit Groups)] をクリックします。
手順 3 Cisco Cloud Web Security 内で作成したクラウド ポリシーの対象となる [ユーザ グループ(User Groups)] と [マシン グループ(Machine Groups)] を選択します。
手順 4 [追加(Add)] をクリックします。
手順 5 [完了(Done)] をクリックして、変更を確定します。
関連情報
クラウド プロキシ サーバのバイパス
クラウド ルーティング ポリシーを使用すると、以下の特性に基づいて、Web トラフィックを Cisco Cloud Web Security プロキシにルーティングしたり、インターネットに直接ルーティングできます。
- 識別プロファイル
- プロキシ ポート(Proxy Port)
- Subnet
- URL カテゴリ
- ユーザ エージェント
Cloud Connector モードでクラウド ルーティング ポリシーを作成するプロセスは、標準モードを使用してルーティング ポリシーを作成するプロセスと同じです。
関連項目
クラウド コネクタ モードでの FTP および HTTPS の部分的サポート
Cloud Connector モードの Web セキュリティ アプライアンスは、FTP や HTTPS を完全にはサポートしません。
FTP
FTP はクラウド コネクタでサポートされません。アプライアンスがクラウド コネクタ用に設定されている場合、AsyncOS はネイティブ FTP トラフィックをドロップします。
FTP over HTTP はクラウド コネクタ モードでサポートされます。
HTTPS
クラウド コネクタは復号化をサポートしていません。復号化せずに HTTPS トラフィックを渡します。
クラウド コネクタは復号化をサポートしていないため、AsyncOS は HTTPS トラフィックのクライアント ヘッダー情報に通常はアクセスできません。したがって、AsyncOS は、暗号化されたヘッダー情報に依存するルーティング ポリシーを通常は適用できません。これは、透過 HTTPS トランザクションでよくあることです。たとえば、透過 HTTPS トランザクションの場合、AsyncOS は HTTPS クライアント ヘッダー内のポート番号にアクセスできないため、ポート番号に基づいてルーティング ポリシーを照合できません。この場合、AsyncOS はデフォルトのルーティング ポリシーを使用します。
明示的な HTTPS トランザクションの場合は 2 つの例外があります。AsyncOS は、明示的 HTTPS トランザクションの以下の情報にアクセスできます。
明示的 HTTPS トランザクションの場合は、URL またはポート番号に基づいてルーティング ポリシーを照合できます。
セキュア データの漏洩防止
[ネットワーク(Network)] > [外部 DLP サーバ(External DLP Servers)] で、クラウド コネクタを外部のデータ漏洩防止サーバと統合できます。
関連項目
グループ名、ユーザ名、IP アドレスの表示
設定したグループ名、ユーザ名、IP アドレスを表示するには、whoami.scansafe.net にアクセスします。
クラウド コネクタ ログへの登録
クラウド コネクタ ログには、認証されたユーザやグループ、クラウド ヘッダー、認証キーなど、クラウド コネクタの問題のトラブルシューティングに役立つ情報が含まれています。
手順 1 [システム管理(System Administration)] > [ログ サブスクリプション(Log Subsctiptions)] に移動します。
手順 2 [ログ タイプ(Log Type)] メニューから [クラウド コネクタ ログ(Cloud Connector Logs)] を選択します
手順 3 [ログ名(Log Name)] フィールドに名前を入力します。
手順 4 ログ レベルを設定します。
手順 5 変更を [実行(Submit)] して [確定する(Commit)] します。
関連項目
クラウド Web セキュリティ コネクタの使用による識別プロファイルと認証
クラウド Web セキュリティ コネクタサポートは、基本的な認証と NTLM をサポートしています。特定の宛先に対して認証をバイパスできます。このモードで Active Directory レルムを使用すると、特定のマシンから発信されたトランザクション要求を識別できます。マシン ID サービスは標準モードでは使用できません。認証は、標準構成でもクラウド コネクタ構成でも同様に機能します。
次に例外を示します。
- マシン ID サービスは標準モードでは使用できません。
- アプライアンスがクラウド コネクタ モードに設定されている場合、AsyncOS は Kerberos をサポートしません。
(注
) ユーザ エージェントまたは宛先 URL に基づく識別プロファイルは、HTTPS トラフィックに対応していません。
関連項目
ポリシーの適用に対するマシンの識別
マシン ID サービスを有効にすると、アプライアンスは、認証済みユーザや IP アドレスなどの識別子ではなく、トランザクション要求を実行したマシンに基づいてポリシーを適用できるようになります。AsyncOS は NetBIOS を使用してマシン ID を取得します。
はじめる前に
- マシン ID サービスは Active Directory レルムを介してのみ使用できることに注意してください。Active Directory レルムが設定されていない場合、このサービスはディセーブルになります。
手順 1 [ネットワーク(Network)] > [マシン ID サービス(Machine ID Service)] を選択します。
手順 2 [設定の有効化と編集(Enable and Edit Settings)] をクリックします。
手順 3 マシン ID の設定項目を設定します。
|
|
マシン ID の NetBIOS の有効化(Enable NetBIOS for Machine Identification) |
マシン ID サービスをイネーブルにする場合に選択します。 |
レルム |
トランザクション要求を開始しているマシンの識別に使用する Active Directory レルム。 |
失敗のハンドリング(Failure Handling) |
AsyncOS がマシンを識別できない場合に、トランザクションをドロップするか、ポリシーの照合を続行するかを指定します。 |
手順 4 変更を [実行(Submit)] して [確定する(Commit)] します。
未認証ユーザのゲスト アクセス
Cloud Connector モードで、未認証ユーザにゲスト アクセスを提供するように Web セキュリティ アプライアンスが設定されている場合、AsyncOS は __GUEST_GROUP__ グループにゲスト ユーザを割り当て、その情報を Cisco Cloud Web Security に送信します。未認証ユーザにゲスト アクセスを提供するには、ID を使用します。これらのゲスト ユーザを管理するには、Cisco Cloud Web Security ポリシーを使用します。
関連項目