ポリシーの概要:代行受信されたインターネット要求の制御
ユーザが Web 要求を作成すると、設定されている Web セキュリティ アプライアンスが要求を代行受信し、最終結果を得るために要求が移動していくプロセスを管理します。最終結果は特定の Web サイトや電子メールにアクセスすることであったり、さらにはオンライン アプリケーションにアクセスすることであったりもします。Web セキュリティ アプライアンスを設定する際に、ユーザからの要求の基準とアクションを定義するためにポリシーが作成されます。
ポリシーは、Web セキュリティ アプライアンスが Web 要求を識別および制御する手段です。クライアントが Web 要求をサーバに送信すると、Web プロキシはその要求を受信して評価し、要求が属しているポリシー グループを判定します。その後に、ポリシーで定義されているアクションが要求に適用されます。
Web セキュリティ アプライアンスは複数のポリシー タイプを使用して、Web 要求のさまざまな側面を管理します。ポリシー タイプは独自にトランザクションを全面管理するか、追加の処理のために他のポリシー タイプにトランザクションを渡します。ポリシー タイプは、実行する機能(アクセス、ルーティング、セキュリティなど)によってグループ化できます。
AsyncOS は、アプライアンスからの不要な外部通信を避けるために、外部の依存関係を評価する前にポリシーに基づいてトランザクションを評価します。たとえば、未分類の URL をブロックするポリシーによってトランザクションがブロックされた場合、そのトランザクションが DNS エラーによって失敗することはありません。
代行受信された HTTP/HTTPS 要求の処理
次の図に、代行受信された Web 要求がアプライアンスによって処理される場合のフローを示します。
図 10-1 HTTP/HTTPS トランザクション フロー
さまざまなトランザクション処理フローを示した次の図も参照してください。
ポリシー
ポリシー タイプ
|
|
|
|
アクセス(Access) |
|
HTTP、FTP、復号化 HTTPS の着信トラフィックをブロック、許可、またはリダイレクトします。 HTTPS プロキシがディセーブルの場合、アクセス ポリシーは暗号化された着信 HTTPSトラフィックも管理します。 |
ポリシーの作成 |
SOCKS |
|
Socks 通信要求を許可またはブロックします。 |
ポリシーの作成 |
アプリケーション認証(Application Authentication) |
|
Software as a Service(SaaS)アプリケーションへのアクセスを許可または拒否します。 シングル サイン オンを使用してユーザを認証し、アプリケーションへのアクセスをただちにディセーブルにすることによってセキュリティを向上させます。 ポリシーのシングル サインオン機能を使用するには、Web セキュリティ アプライアンスを ID プロバイダーとして設定し、SaaS の証明書とキーをアップロードまたは作成する必要があります。 |
SaaS アプリケーション認証ポリシーの作成 |
暗号化 HTTPS 管理(Encrypted HTTPS Management) |
|
HTTPS 接続を復号化、パススルー、またはドロップします。 AsyncOS は、その後の処理のために、復号化したトラフィックをアクセス ポリシーに渡します。 |
ポリシーの作成 |
データ セキュリティ(Data Security) |
|
Web へのデータのアップロードを管理します。データ セキュリティ ポリシーは発信トラフィックをスキャンし、宛先とコンテンツに基づいて、トラフィックがデータ アップロードの社内規則に準じていることを確認します。スキャンのために外部サーバに発信トラフィックをリダイレクトする外部 DLP ポリシーとは異なり、データ セキュリティ ポリシーは、Web セキュリティ アプライアンスを使用してトラフィックをスキャンし、評価します。 |
ポリシーの作成 |
外部 DLP(データ漏洩防止)(External DLP (Data Loss Prevention)) |
|
サードパーティ DLP システムを実行しているサーバに発信トラフィックを送信します。この DLP システムによってトラフィックをスキャンし、データ アップロードの社内規則に準拠していることを確認します。データのアップロードも管理するデータ セキュリティ ポリシーとは異なり、外部 DLP ポリシーは Web セキュリティ アプライアンスをスキャン作業から解放します。これによって、アプライアンスのリソースが解放され、サードパーティ製ソフトウェアによって提供されるその他の機能を活用できるようになります。 |
ポリシーの作成 |
発信マルウェア スキャン(Outbound Malware Scanning) |
|
悪意のあるデータを含んでいる可能性があるデータのアップロード要求をブロック、モニタ、または許可します。 ネットワークにすでに存在しているマルウェアが外部ネットワークに送信されるのを防止します。 |
ポリシーの作成 |
ルーティング |
|
Web トラフィックをアップストリーム プロキシを介して送信したり、宛先サーバに送信します。既存のネットワーク設計を保護したり、Web セキュリティ アプライアンスからの処理をオフロードしたり、サードパーティのプロキシ システムによって提供される追加機能を活用するために、アップストリーム プロキシを介してトラフィックをリダイレクトできます。 複数のアップストリーム プロキシが使用可能な場合、Web セキュリティ アプライアンスはロード バランシング技術を使用して、それらのプロキシにデータを分散できます。 |
ポリシーの作成 |
各ポリシー タイプはポリシー テーブルを使用して、ポリシーを保存および管理します。各ポリシー テーブルには、ポリシー タイプのデフォルト アクションを保守管理する、定義済みのグローバル ポリシーが用意されています。必要に応じて、追加のユーザ定義ポリシーが作成され、ポリシー テーブルに追加されます。ポリシーは、ポリシー テーブルのリストに記載されている順序で処理されます。
個々のポリシーには、ポリシーが管理するユーザ要求のタイプと要求に対して実行するアクションが定義されています。各ポリシー定義には 2 つのメイン セクションがあります。
- [識別プロファイルとユーザ(Identification Profiles and Users)] :識別プロファイルは、ポリシーのメンバーシップ基準で使用されます。Web トランザクションを識別するためのさまざまなオプションが含まれているので特に重要です。また、ポリシーと多くのプロパティを共有します。
- [詳細設定(Advanced)]:ポリシーの適用対象となるユーザの識別に使用される基準。1 つ以上の基準をポリシーで指定でき、基準を満たすにはすべてが一致する必要があります。
– [プロトコル(Protocols)]:さまざまなネットワーク デバイス間でデータを転送できるようにします(http、https、ftp など)。
– [プロキシ ポート(Proxy Ports)]:要求が Web プロキシにアクセスする番号付きのポート。
– [サブネット(Subnets)]:要求が発信された、接続しているネットワーク デバイスの論理グループ(地理的な場所、ローカル エリア ネットワーク(LAN)など)。
– [時間範囲(Time Range)]:時間範囲を作成すると、ポリシーでそれを使用して、要求が行われた時間帯に基づいて Web 要求を識別したり、Web 要求にアクションを適用できます。時間範囲は、個々のユニットとして作成されます。
– [URL カテゴリ(URL Categories)]:URL カテゴリは Web サイトの定義済みまたはカスタム カテゴリです(ニュース、ビジネス、ソーシャル メディアなど)。これらを使用して、Web 要求を識別したり、Web 要求にアクションを適用できます。
– [ユーザ エージェント(User Agents)]:要求の作成に使用されるクライアント アプリケーション(アップデータや Web ブラウザなど)があります。ユーザ エージェントに基づいてポリシーの基準を定義したり、制御設定を指定できます。認証からユーザ エージェントを除外することもできます。これは、クレデンシャルの入力を求めることができないアプリケーションで役立ちます。カスタム ユーザ エージェントを定義できますが、これらの定義を他のポリシーで再利用することはできません。
(注) 複数のメンバーシップ基準を定義した場合、クライアント要求は、ポリシーに一致するために、すべての基準を満たす必要があります。
ポリシーの順序
ポリシー テーブルにポリシーを記載する順序によって、Web 要求に適用されるポリシーの優先順位が決まります。Web 要求はテーブルの最上位のポリシーから順に照合され、要求がポリシーに一致した時点で照合は終了します。テーブルのそれ以降のポリシーは処理されません。
ユーザ定義のポリシーが Web 要求と一致しない場合、そのポリシー タイプのグローバル ポリシーが適用されます。グローバル ポリシーは常にポリシー テーブルの最後に配置され、順序変更できません。
次の図に、アクセス ポリシー テーブルを介したクライアント要求のフローを示します。
図 10-2 アクセス ポリシーのポリシー グループ トランザクション フロー
ポリシーの作成
はじめる前に
– Web プロキシ(HTTP、復号化された HTTPS、および FTP 用)
– HTTPS プロキシ
– SOCKS プロキシ(SOCKS Proxy)
- 関連する識別プロファイルを作成します。
- ポリシーの順序について理解しておきます。
- (暗号化された HTTPS のみ)証明書とキーをアップロードまたは作成します。
- (データ セキュリティのみ)Cisco データ セキュリティ フィルタの設定をイネーブルにします。
- (外部 DLP のみ)外部 DLP サーバを定義します。
- (ルーティングのみ)Web セキュリティ アプライアンスに対して関連するアップストリーム プロキシを定義します。
- (任意)関連クライアント アプリケーションを作成します。
- (任意)関連する時間範囲を作成します。時間範囲およびクォータを参照してください。
- (任意)関連する URL カテゴリを作成します。カスタムおよび外部 URL カテゴリの作成と編集を参照してください。
手順 1 [ポリシー設定(Policy Settings)] セクションで、[アイデンティティを有効化(Enable Identity)] チェックボックスを使用して、このポリシーをイネーブルにするか、ポリシーを削除せずにただちにディセーブルにします。
手順 2 [名前(Name)] に一意のポリシー名を割り当てます。
手順 3 [説明(Description)] は任意です。
手順 4 [上に挿入(Insert Above)] ドロップダウン リストで、このポリシーを表示するテーブル内の位置を選択します。
(注) ポリシーを配置します。最上位のものが最も制限が厳しく、最下位のものが最も緩くなります。詳細については、ポリシーの順序を参照してください。
手順 5 [ポリシーメンバの定義(Policy Member Definition)] セクションで、ユーザおよびグループのメンバーシップの定義方法を選択します。[識別プロファイルとユーザ(Identification Profiles and Users)] リストから、以下のいずれかを選択します。
- [すべての識別プロファイル(All Identification Profiles)] :このポリシーを既存のすべてのプロファイルに適用します。少なくとも 1 つの [詳細設定(Advanced)] オプションを定義する必要があります。
- [1 つ以上の識別プロファイルを選択(Select One or More Identification Profiles)]:個々の識別プロファイルを指定するためのテーブルが表示されます。1 行ごとに 1 つのプロファイル メンバーシップ定義が含まれています。
手順 6 [すべての識別プロファイル(All Identification Profiles)] を選択した場合:
a. 以下のいずれか 1 つのオプションを選択して、このポリシーを適用する承認済みユーザとグループを指定します。
- [すべての承認済みユーザ(All Authenticated Users)]:認証または透過的 ID によって識別されたすべてのユーザ。
- [選択されたグループとユーザ(Selected Groups and Users)]:指定したユーザとグループが使用されます。
指定した ISE セキュリティ グループ タグ(SGT)や指定したユーザを追加または編集するには、適切なラベルのリンクをクリックします。たとえば、現在指定しているユーザのリストを編集するには、そのリストをクリックします。詳細については、ポリシーのセキュリティ グループ タグの追加と編集を参照してください。
- [ゲスト(Guests)]:ゲストとして接続されているユーザと認証に失敗したユーザ。
- [すべてのユーザ(All Users)]:すべてのクライアント。承認済みかどうかは問いません。このオプションを選択する場合は、少なくとも 1 つの [詳細設定(Advanced)] オプションを設定する必要があります。
手順 7 [1 つ以上の識別プロファイルを選択(Select One or More Identification Profiles)] を選択すると、プロファイル選択テーブルが表示されます。
a. [識別プロファイル(Identity Profiles)] 列の [識別プロファイルの選択(Select Identification Profile)] ドロップダウン リストから、識別プロファイルを選択します。
b. このポリシーを適用する承認済みユーザとグループを指定します。
- [すべての承認済みユーザ(All Authenticated Users)]:認証または透過的 ID によって識別されたすべてのユーザ。
- [選択されたグループとユーザ(Selected Groups and Users)]:指定したユーザとグループが使用されます。
指定した ISE セキュリティ グループ タグ(SGT)や指定したユーザを追加または編集するには、適切なラベルのリンクをクリックします。たとえば、現在指定しているユーザのリストを編集するには、そのリストをクリックします。詳細については、ポリシーのセキュリティ グループ タグの追加と編集を参照してください。
- [ゲスト(Guests)]:ゲストとして接続されているユーザと認証に失敗したユーザ。
c. プロファイル選択テーブルに行を追加するには、[識別プロファイルの追加(Add Identification Profile)] をクリックします。行を削除するには、その行のゴミ箱アイコンをクリックします。
必要に応じて、ステップ (a) から (c) を繰り返して必要な識別プロファイルを追加します。
手順 8 [詳細設定(Advanced)] セクションを展開し、追加のグループ メンバーシップ基準を定義します([ポリシーメンバの定義(Policy Member Definition)] セクションで選択したオプションによっては、このステップは任意になります。また、設定するポリシーのタイプによっては、以下のオプションの一部を使用できません)。
|
|
プロトコル(Protocols) |
このポリシーを適用するプロトコルを選択します。[その他のすべて(All others)] は、選択されていないすべてのプロトコルを意味します。関連付けられている識別プロファイルを特定のプロトコルに適用すると、このポリシーもそれらのプロトコルに適用されます |
プロキシ ポート(Proxy Ports) |
特定のポートを使用して Web プロキシにアクセスするトラフィックにのみ、このポリシーが適用されます。1 つ以上のポート番号を入力します。複数のポートはカンマで区切ります。 明示的な転送接続のために、ブラウザに設定されたポートです。 透過接続の場合は、宛先ポートと同じです。 (注) 関連付けられている識別プロファイルを特定のプロキシ ポートにのみ適用している場合は、ここにプロキシ ポートを入力することができません。 |
サブネット(Subnets) |
特定のサブネットのトラフィックにのみこのポリシーが適用されます。[サブネット指定(Specify subnets)] を選択し、サブネットをカンマで区切って入力します。 サブネットによってさらにフィルタリングしない場合は、[選択したアイデンティティからのサブネットを使用(Use subnets from selected Identities)] はオンのままにしておきます。 (注) 関連付けられている ID を特定のサブネットに適用すると、このポリシーの適用を ID が適用されるアドレスのサブセットに限定できます。 |
時間範囲(Time Range) |
ポリシー メンバーシップに時間範囲を適用できます。
- [時間範囲(Time Range)]:前に定義した時間範囲を選択します(時間範囲およびクォータ)。
- [時間範囲の一致(Match Time Range)]:このオプションを使用して、この時間範囲を含めるか除外するかを指定します。つまり、指定した範囲内のみを照合するか、指定した範囲を除くすべての時間について照合するかを指定します。
|
URL カテゴリ(URL Categories) |
特定の宛先(URL)と URL カテゴリによってポリシー メンバーシップを制限できます。すべての必要なカスタム カテゴリと定義済みカテゴリを選択します。カスタム カテゴリの詳細については、カスタムおよび外部 URL カテゴリの作成と編集を参照してください。 |
ユーザ エージェント(User Agents) |
特定のユーザ エージェントを選択し、このポリシーのユーザ定義の一部として、正規表現を使用してカスタム エージェントを定義できます。
- [共通ユーザ エージェント(Common User Agents)]
– [ブラウザ(Browsers)]:このセクションを展開して、さまざまな Web ブラウザを選択します。 – [その他(Others)]:このセクションを展開して、アプリケーション アップデータなどの特定の非ブラウザ エージェントを選択します。
- [カスタム ユーザ エージェント(Custom User Agents)]:1 つ以上の正規表現を(1 行に 1 つずつ)入力して、カスタム ユーザ エージェントを定義できます。
- [ユーザ エージェントの一致(Match User Agents)]:このオプションを使用して、これらのユーザ エージェントの指定を含めるか除外するかを指定します。つまり、メンバーシップの定義に選択したユーザ エージェントのみを含めるか、選択したユーザ エージェントを明確に除外するかどうかを指定します。
|
ポリシーのセキュリティ グループ タグの追加と編集
ポリシーの特定の識別プロファイルに割り当てられているセキュリティ グループ タグ(SGT)のリストを変更するには、[ポリシーの追加または編集(Add/Edit Policy)] ページの [選択されたグループとユーザ(Selected Groups and Users)] リストで、[ISE セキュリティ グループ タグ(ISE Secure Group Tags)] ラベルの後ろのリンクをクリックします。(ポリシーの作成を参照)。このリンクは、[タグが未入力(No tags entered)] または現在割り当てられているタグのリストです。リンクをクリックすると [セキュア グループ タグの追加または編集(Add/Edit Group)] ページが開きます。
現在このポリシーに割り当てられている SGT が [承認済みセキュア グループ タグ(Authorized Secure Group Tags)] セクションに表示されます。接続されている ISE サーバから使用可能なすべての SGT が、[セキュリティ グループ タグの検索(Secure Group Tag Search)] セクションに表示されます。
手順 1 [承認済みセキュア グループ タグ(Authorized Secure Group Tags)] リストに 1 つ以上の SGT を追加するには、[セキュリティ グループ タグの検索(Secure Group Tag Search)] セクションに必要事項を入力し、[追加(Add)] をクリックします。
すでに追加されている SGT が緑色で強調表示されます。この利用可能な SGT のリストから特定の SGT を検索するには、[検索(Search)] フィールドにテキスト文字列を入力します。
手順 2 [承認済みセキュア グループ タグ(Authorized Secure Group Tags)] リストから 1 つ以上の SGT を削除するには、削除するエントリを選択し、[削除(Delete)] をクリックします。
手順 3 [完了(Done)] をクリックして、[グループの追加または編集(Add/Edit Group)] ページに戻ります。
関連項目
ポリシーの設定
ポリシー テーブルの各行はポリシー定義を表し、各列にはそのポリシー要素の設定ページへのリンクが含まれています。
(注) 以下のポリシー設定コンポーネントについて、URL フィルタリングのみを使用して「警告」オプションを指定できます。
|
|
プロトコルとユーザエージェント(Protocols and User Agents) |
プロトコルへのポリシー アクセスの制御、および特定のクライアント アプリケーション(インスタント メッセージ クライアント、Web ブラウザ、インターネット電話サービスなど)のブロック設定に使用されます。また、特定のポートの HTTP CONNECT 要求をトンネルするようにアプライアンスを設定することもできます。トンネリングがイネーブルの場合、アプライアンスは HTTP トラフィックを、評価せずに、指定されたポート経由で渡します。 |
URL フィルタリング(URL Filtering) |
AsyncOS for Web では、アプライアンスが、特定の HTTP 要求または HTTPS 要求の URL カテゴリに基づいてトランザクションを処理する方法を設定できます。定義済みのカテゴリ リストを使用して、クォータ ベースまたは時間ベースのフィルタをモニタ、ブロック、警告または設定するかを選択できます。 また、カスタム URL カテゴリを作成して、カスタム カテゴリ内の Web サイト用のクォータ ベースまたは時間ベースのフィルタをブロック、リダイレクト、許可、モニタ、警告、または適用するかを選択することもできます。カスタム URL カテゴリの作成については、カスタムおよび外部 URL カテゴリの作成と編集を参照してください。 また、組み込みまたは参照コンテンツのブロックの例外を追加することもできます。 |
アプリケーション |
Application Visibility and Control エンジン(AVC)エンジンは、アクセプタブル ユース ポリシーのコンポーネントであり、Web トラフィックを検査して、アプリケーションで使用されるトラフィックをより詳しく把握し、制御します。アプライアンスでは、アプリケーション タイプごとまたは個々のアプリケーションごとにアプリケーションをブロックまたは許可するように、Web プロキシを設定できます。また、特定のアプリケーション内の特定のアプリケーション動作(ファイル転送など)に制御を適用できます。設定の詳細については、Web アプリケーションへのアクセスの管理を参照してください。 |
オブジェクト |
(注) これらのオプションを使用して、Web プロキシがファイルの特性(ファイルのサイズ、ファイルのタイプ、MIME タイプなど)に基づいてファイルのダウンロードをブロックできるように設定します。オブジェクトとは一般的に、個々に選択、アップロード、ダウンロード、および処理できる項目を指します。ブロックされたオブジェクトの指定については、アクセス ポリシー:オブジェクトのブロッキングを参照してください。 |
マルウェア対策とレピュテーション(Anti-Malware and Reputation) |
Web レピュテーション フィルタを使用すると、Web ベースのレピュテーション スコアを URL に割り当て、URL ベースのマルウェアが含まれている可能性を判定できます。マルウェア対策スキャンにより、Web ベースのマルウェアの脅威を識別して阻止します。高度なマルウェア防御機能は、ダウンロードしたファイル内のマルウェアを識別します。 マルウェア対策とレピュテーション ポリシーは、各コンポーネントごとにグローバル設定から継承されます。[セキュリティ サービス(Security Services)] > [マルウェア対策とレピュテーション(Anti-Malware and Reputation)] では、マルウェア スキャンの判定に基づいてモニタまたはブロックするようにマルウェア カテゴリをカスタマイズしたり、Web レピュテーション スコアのしきい値をカスタマイズすることができます。マルウェア カテゴリはポリシー内でさらにカスタマイズできます。また、ファイル レピュテーション サービスと分析サービス用のグローバル設定項目もあります。 詳細については、アクセス ポリシーにおけるマルウェア対策およびレピュテーションの設定およびファイル レピュテーション機能と分析機能の設定を参照してください。 |
アクセス ポリシー:オブジェクトのブロッキング
[アクセス ポリシー:オブジェクト(Access Policies: Objects)] ページのオプションを使用して、ファイル サイズ、ファイル タイプ、MIME タイプなどのファイル特性に基づきファイルのダウンロードをブロックできます。オブジェクトとは一般的に、個々に選択、アップロード、ダウンロード、および処理できる項目を指します。
個々のアクセス ポリシー、およびグローバル ポリシーによって、さまざまなオブジェクト タイプをブロック対象に指定できます。これらのオブジェクト タイプには、アーカイブ、ドキュメント タイプ、実行可能コード、Web ページ コンテンツなどが含まれます。
手順 1 [アクセス ポリシー(Access Policies)] ページ([Web セキュリティ マネージャ(Web Security Manager)] > [アクセス ポリシー(Access Policies)])で、編集対象のポリシーを表す行の [オブジェクト(Objects)] 列にあるリンクをクリックします。
手順 2 このアクセス ポリシーでブロックするオブジェクトのタイプを選択します。
- [グローバル ポリシー オブジェクト ブロック設定を使用(Use Global Policy Objects Blocking Settings)]:このポリシーでは、グローバル ポリシーに対して定義されているオブジェクト ブロック設定を使用します。これらの設定は、読み取り専用モードで表示されます。設定を変更するには、グローバル ポリシーの設定を編集します。
- [カスタム オブジェクト ブロック設定の定義(Define Custom Objects Blocking Settings)]:このポリシーのすべてのオブジェクト ブロック設定を編集できます。
- [このポリシーのオブジェクト ブロックを無効にする(Disable Object Blocking for this Policy)]:このポリシーのオブジェクト ブロックを無効にします。オブジェクト ブロックのオプションは表示されません。
手順 3 前のステップで [カスタム オブジェクト ブロック設定の定義(Define Custom Objects Blocking Settings)] を選択した場合、[アクセス ポリシー:オブジェクト(Access Policies: Objects)] ページで、必要に応じてオブジェクト ブロックのオプションをオフにします。
|
|
ダウンロード サイズに基づいて、オブジェクトをブロックできます。
- [HTTP/HTTPS 最大ダウンロード サイズ(HTTP/HTTPS Max Download Size)]:HTTP/HTTPS ダウンロードの最大オブジェクト サイズを指定するか(指定したサイズより大きいオブジェクトはブロックされます)、HTTP/HTTPS でダウンロードするオブジェクトに最大サイズの制限を設けないことを指定します。
- [FTP 最大ダウンロード サイズ(FTP Max Download Size)]:FTP ダウンロードの最大オブジェクト サイズを指定するか(指定したサイズより大きいオブジェクトはブロックされます)、FTP でダウンロードするオブジェクトに最大サイズの制限を設けないことを指定します。
|
|
アーカイブ(Archives) |
このセクションを展開して、ブロックするアーカイブ ファイイルのタイプを選択します。このリストには、ARC、BinHex、StuffIt などのアーカイブ タイプが含まれます。 |
検査可能なアーカイブ(Inspectable Archives) |
このセクションを展開し、検査可能なアーカイブ ファイルの特定のタイプについて、[許可(Allow)] するか、[ブロック(Block)] するか、[検査(Inspect)] するかを選択します。検査可能なアーカイブとは、WSA が展開して、そこに含まれる各ファイルを検査してファイル タイプ ブロック ポリシーを適用できるアーカイブ ファイルまたは圧縮ファイルのことです。検査可能なアーカイブのリストには、7zip、Microsoft CAB、RAR、TAR などのアーカイブ タイプが含まれます。 アーカイブの検査には、以下のことが適用されます。
- [検査(Inspect)] とマークされたアーカイブ タイプだけが展開されて検査されます。
- 一度に検査できるアーカイブは 1 つだけです。同時に検査可能なアーカイブが他にある場合でも、それらのアーカイブは検査されません。
- 検査されるアーカイブに、現在のポリシーで [ブロック(Block)] アクションが割り当てられているファイル タイプが含まれる場合、許可されるファイル タイプが含まれているとしても、アーカイブ全体がブロックされます。
- サポートされないアーカイブ タイプを含んでいる検査対象アーカイブは、[スキャン不可(unscannable)] とマークされます。ブロック対象のアーカイブ タイプが含まれている場合、アーカイブはブロックされます。
- パスワード保護された暗号化アーカイブはサポートされないため、「スキャン不可(unscannable)」としてマークされます。
- 検査可能なアーカイブが不完全であるか破損している場合、「スキャン不可(unscannable)」としてマークされます。
- [マルウェア対策とレピュテーション(Anti-Malware and Reputation)] グローバル設定に指定された [DVS エンジン オブジェクト スキャンの制限(DVS Engine Object Scanning Limits)] の値は、検査可能なアーカイブのサイズにも適用されます。指定されたサイズを超えているオブジェクトは、「スキャン不可(unscannable)」としてマークされます。このオブジェクト サイズ制限については、マルウェア対策およびレピュテーション フィルタのイネーブル化を参照してください。
- 「スキャン不可(unscannable)」としてマークされた検査可能なアーカイブは、アーカイブ全体がブロックされるか、許可されるかのいずれかです。
アーカイブ検査の設定について詳しくは、アーカイブ検査の設定を参照してください。 |
ドキュメント タイプ(Document Types) |
このセクションを展開して、ブロックするテキスト ドキュメントのタイプを選択します。このリストには、FrameMaker、Microsoft Office、PDF などのドキュメント タイプが含まれます。 |
実行可能コード(Executable Code) |
このセクションを展開して、ブロックする実行可能コードのタイプを選択します。このリストには、Java アプレット、UNIX 実行可能ファイル、Windows 実行可能ファイルが含まれます。 |
インストーラ(Installers) |
ブロックするインストーラのタイプを選択します。このリストには、UNIX/LINUX パッケージが含まれます。 |
メディア |
ブロックするメディア ファイルのタイプを選択します。このリストには、音声、ビデオ、および写真画像処理フォーマット(TIFF/PSD)が含まれます。 |
P2P メタファイル(P2P Metafiles) |
このリストには BitTorrent リンク(.torrent)が含まれます。 |
Web ページ コンテンツ(Web Page Content) |
このリストには、フラッシュおよびイメージが含まれます。 |
その他(Miscellaneous) |
このリストには、カレンダー データが含まれます。 |
|
|
MIME タイプに基づいてブロックする追加のオブジェクト/ファイルを定義できます。 [ブロックする MIME タイプ(Block Custom MIME Types)] フィールドに、1 つ以上の MIME タイプを入力します。 |
手順 4 [送信(Submit)] をクリックします。
アーカイブ検査の設定
個々のアクセス ポリシーに対して、特定タイプの検査可能なアーカイブを許可、ブロック、または検査することができます。検査可能なアーカイブとは、WSA が展開して、そこに含まれる各ファイルを検査してファイル タイプ ブロック ポリシーを適用できるアーカイブ ファイルまたは圧縮ファイルのことです。個々のアクセス ポリシーでアーカイブ検査を設定する方法について詳しくは、アクセス ポリシー:オブジェクトのブロッキングを参照してください。
(注) アーカイブ検査では、ネストされたオブジェクトがディスクに書き込まれて検査されます。ファイルの検査で使用可能なディスク容量は、随時 1 GB です。このディスク使用量の最大サイズを超えるアーカイブ ファイルは、「スキャン不可(unscannable)」としてマークされます。
WSA の [使用許可コントロール(Acceptable Use Controls)] ページには、システム全体の検査可能なアーカイブ設定が表示されます。これらの設定は、アクセス ポリシーでアーカイブの抽出と検査が有効にされている場合は常にアーカイブに適用されます。
手順 1 [セキュリティ サービス(Security Services)] > [使用許可コントロール(Acceptable Use Controls)] を選択します。
手順 2 [アーカイブ設定の編集(Edit Archives Settings)] ボタンをクリックします。
手順 3 必要に応じて、検査可能なアーカイブ設定を編集します。
- [カプセル化されたアーカイブの最大抽出数(Maximum Encapsulated Archive Extractions)]:抽出して検査する「カプセル化」されたアーカイブの最大数。つまり、他の検査可能なアーカイブが含まれるアーカイブを検査する最大深さです。カプセル化されたアーカイブとは別のアーカイブ ファイルに含まれるアーカイブのことです。有効な値は 0 ~ 5 です。深さは、最初にネストされているファイルを 1 としてカウントされます。
外部アーカイブ ファイルは値ゼロのファイルと見なされます。このネストの最大値を超えるファイルがアーカイブに含まれている場合、アーカイブは「スキャン不可(unscannable)」としてマークされます。この設定はパフォーマンスに影響を与えることに注意してください。
- [検査できないアーカイブをブロック(Block Uninspectable Archives)]:このオプションをオンにすると、WSA は展開して検査できなかったアーカイブをブロックします。
手順 4 変更を送信して確定します([送信(Submit)] と [変更を確定(Commit Changes)])。
トランザクション要求のブロック、許可、リダイレクト
Web プロキシは、トランザクション要求のグループ用に作成されたポリシーに基づいて、Web トラフィックを制御します。
- [許可(Allow)]。 Web プロキシは、中断のない接続を許可します。許可された接続は、DVS エンジンによってスキャンされていない可能性があります。
- [ブロック(Block)]。 Web プロキシは、接続を許可せず、ブロックの理由を説明するエンド ユーザ通知ページを表示します。
- [リダイレクト(Redirect)]。 Web プロキシは、最初に要求された宛先サーバへの接続を許可せず、指定された別の URL に接続します(アクセス ポリシーでのトラフィックのリダイレクトを参照)。
(注) 上記のアクションは、Web プロキシがクライアント要求に対して実行する最終アクションです。アクセス ポリシーに対して設定できるモニタ アクションは最終アクションではありません。
通常、トラフィックは、トランスポート プロトコルに基づいて、さまざまなタイプのポリシーによって制御されます。
|
|
|
|
|
|
|
|
|
|
|
|
アクセス(Access) |
x |
x |
x |
|
x |
x |
x |
x |
SOCKS |
|
|
|
x |
x |
x |
|
|
SAAS |
x |
x |
|
|
|
|
|
|
復号化(Decryption) |
x |
x |
|
|
|
|
|
x |
データ セキュリティ(Data Security) |
x |
x |
x |
|
x |
|
|
x |
外部 DLP(External DLP) |
x |
x |
x |
|
|
|
x |
|
発信マルウェア スキャン(Outbound Malware Scanning) |
x |
x |
x |
|
x |
|
|
x |
ルーティング |
x |
x |
x |
|
|
|
x |
|
(注) 復号化ポリシーはアクセス ポリシーに優先します。
次の図に、Web プロキシが特定のアクセス ポリシーを要求に割り当てた後に、その要求で実行するアクションを決定する方法を示します。宛先サーバの Web レピュテーション スコアが評価されるのは 1 回だけですが、その結果は、決定フローの 2 つのポイントで適用されます。
図 10-3 アクセス ポリシーのアクションの適用
クライアント アプリケーション
クライアント アプリケーションについて
クライアント アプリケーション(Web ブラウザなど)は要求を行うために使用されます。クライアント アプリケーションに基づいてポリシー メンバーシップを定義できます。また、制御設定を指定したり、クライアント アプリケーションを認証から除外できます。これは、アプリケーションがクレデンシャルの入力を要求できない場合に役立ちます。
クライアント アプリケーションによるポリシー メンバーシップの定義
手順 1 [Web セキュリティ マネージャ(Web Security Manager)] メニューからポリシー タイプを選択します。
手順 2 ポリシー テーブル内のポリシー名をクリックします。
手順 3 [詳細設定(Advanced)] セクションを展開して、[クライアント アプリケーション(Client Applications)] フィールド内のリンクをクリックします。
手順 4 クライアント アプリケーションを 1 つ以上定義します。
表 10-1
|
|
定義済みクライアント アプリケーションを選択する |
[ブラウザ(Browser)] と [その他(Other)] セクションを展開して、必要なクライアント アプリケーションのチェックボックスをオンにします。
ヒント 可能な場合は [すべてのバージョン(Any Version)] オプションだけを選択します。これによって、複数のオプションを選択するよりもパフォーマンスが向上します。
|
カスタム クライアント アプリケーションを定義する |
[カスタム クライアント アプリケーション(Custom Client Applications)] フィールドに適切な正規表現を入力します。必要に応じて、新規行に追加の正規表現を入力します。
ヒント 正規表現の例を参照するには、[クライアント アプリケーションのパターン例(Example Client Applications Patterns)]
をクリックします。
|
手順 5 (任意)定義したクライアント アプリケーション 以外 のすべてのクライアント アプリケーションにポリシー メンバーシップを基づかせるには、[選択したクライアント アプリケーション以外のすべてに一致(Match All Except The Selected Client Applications Definitions)] オプション ボタンをクリックします。
手順 6 [完了(Done)] をクリックします。
クライアント アプリケーションによるポリシー制御設定の定義
手順 1 [Web セキュリティ マネージャ(Web Security Manager)] メニューからポリシー タイプを選択します。
手順 2 ポリシー テーブルで必要なポリシー名を検索します。
手順 3 同じ行の [プロトコルとクライアント アプリケーション(Protocols and Client Applications)] 列のセル リンクをクリックします。
手順 4 [プロトコルおよびクライアント アプリケーション設定の編集(Edit Protocols and Client Applications Settings)] ペインのドロップダウン リストから、[カスタム設定を定義(Define Custom Settings)] を選択します(まだ設定していない場合)。
手順 5 定義するクライアント アプリケーションに対応する [カスタム クライアント アプリケーション(Custom Client Applications)] フィールドに正規表現を入力します。必要に応じて、新規行に追加の正規表現を入力します。
ヒント 正規表現の例を参照するには、[クライアント アプリケーションのパターン例(Example Client Application Patterns)] をクリックします。
手順 6 変更を送信し、保存します。
時間範囲およびクォータ
ユーザがアクセスできる時間、ユーザの最大接続時間またはデータ量(「帯域幅クォータ」)を制限するために、アクセス ポリシーおよび復号化ポリシーに時間範囲、時間クォータ、ボリューム クォータを適用できます。
ポリシーおよび使用許可コントロールの時間範囲
時間範囲によって、ポリシーおよび使用許可コントロールを適用する期間を定義します。
(注) 時間範囲を使用して、ユーザ認証が必要な時間帯を定義することはできません。認証要件は識別プロファイルで定義されますが、時間範囲はサポートされません。
時間範囲の作成
手順 1 [Web セキュリティマネージャ(Web Security Manager)] > [時間範囲およびクォータの定義(Define Time Ranges and Quotas)] を選択します。
手順 2 [時間範囲の追加(Add Time Range)] をクリックします。
手順 3 時間範囲の名前を入力します。
手順 4 [タイム ゾーン(Time Zone)] のオプションを選択します。
- [アプライアンスのタイムゾーン設定を使用(Use Time Zone Setting from Appliance)] - Web セキュリティ アプライアンスと同じタイムゾーンを使用します。
- [この時間範囲のタイムゾーンを指定(Specify Time Zone for this Time Range)] - [GMTオフセット(GMT Offset)] として、またはその国の地域、国、および特定のタイムゾーンとして、異なるタイム ゾーンを定義します。
手順 5 1 つ以上の [曜日(Day of Week)] チェックボックスをオンにします。
手順 6 [時刻(Time of Day)] のオプションを選択します。
- [終日(All Day)] - 24 時間中使用できます。
- [開始(From)] と [終了(To)] - 特定の時間範囲を定義します。HH:MM (24 時間形式)で開始時刻と終了時刻を入力します。
ヒント 各時間範囲は、開始時刻と終了時刻の境界を定義します。たとえば、8:00 ~ 17:00 を入力する場合、8:00:00 ~ 16:59:59 に一致しますが 17:00:00 には一致しません。深夜は、開始時刻が 00:00、終了時刻が 24:00 として指定する必要があります。
手順 7 変更を送信し、保存します。
時間およびボリューム クォータ
クォータを使用すると、与えられたデータ量と時間を使い切るまで、個々のユーザはインターネット リソース(またはインターネット リソース クラス)にアクセスできます。AsyncOS は、HTTP、HTTPS、FTP トラフィックに定義されたクォータを適用します。
ユーザが時間またはボリューム クォータに達すると、AsyncOS は最初に警告を表示し、次にブロック ページを表示します。
時間およびボリューム クォータの使用について、以下の点に注意してください。
- AsyncOS が透過モードで展開され、HTTPS プロキシがディセーブルの場合、ポート 443 ではリッスンされず、要求はドロップされます。これは標準の動作です。AsyncOS が明示モードで展開されている場合は、アクセス ポリシーにクォータを設定できます。
HTTPS プロキシがイネーブルの場合、要求に対して実行可能なアクションは、パススルー、復号化、ドロップ、またはモニタとなります。全般的に、復号化ポリシーのクォータはパススルー カテゴリにのみ適用されます。
パススルーの場合は、トンネル トラフィックのクォータを設定するオプションもあります。アクセス ポリシーで設定したクォータは復号化トラフィックに適用されるため、復号化ではこのオプションは使用できません。
- URL フィルタリングがディセーブルの場合やキーが使用できない場合、AsyncOS は URL のカテゴリを識別できず、[アクセス ポリシー(Access Policy)] -> [URL フィルタリング(URL Filtering)] ページはディセーブルになります。したがって、クォータを設定するには、機能キーが存在し、アクセプタブル ユース ポリシーがイネーブルになっている必要があります。
- Facebook や Gmail など、多くの Web サイトでは自動アップデートが頻繁に起こります。使用していないブラウザ ウィンドウやタブでこのような Web サイトを開いたままにしておくと、ユーザの時間およびボリューム クォータが消費され続けます。
- プロキシの再起動によってクォータがリセットされ、予定よりも多くのアクセスが許可される可能性があります。プロキシの再起動は、設定変更、クラッシュ、マシンのリブートなどによって発生することがあります。管理者はプロキシの再起動について明示的に通知されないため、多少の混乱が生じる可能性があります。
- decrypt-for-EUN オプションがイネーブルの場合でも、HTTPS に対して EUN ページ(警告とブロックの両方)を表示できません。
(注) 複数のクォータを特定のユーザに適用した場合は、常に最も制限が厳しいクォータが適用されます。
ボリューム クォータの計算
ボリューム クォータの計算方法は以下のとおりです。
- HTTP および復号化された HTTPS トラフィック:HTTP 要求と応答の本文がクォータの上限に対してカウントされます。要求ヘッダーと応答ヘッダーは上限に対してカウントされません。
- トンネル トラフィック(トンネル化 HTTPS を含む):AsyncOS は、トンネル化トラフィックをクライアントからサーバに(およびその逆に)移動するだけです。トンネル化トラフィックのデータ量全体が、クォータの上限に対してカウントされます。
- FTP:制御接続トラフィックはカウントされません。アップロードおよびダウンロードされたファイルのサイズは、クォータの上限に対してカウントされます。
(注) クライアント側のトラフィックのみがクォータの上限に対してカウントされます。応答がキャッシュから送信された場合でもクライアント側のトラフィックが生成されるため、キャッシュされたコンテンツも上限に対してカウントされます。
時間クォータの計算
時間クォータの計算方法は以下のとおりです。
- HTTP および復号化された HTTPS トラフィック:同じ URL カテゴリへの各接続時間(確立から切断まで)に 1 分を加えた時間が、時間クォータの上限に対してカウントされます。1 分以内に同じ URL カテゴリに対して複数の要求が行われた場合、それらは 1 つの連続セッションとしてカウントされ、セッションの最後(つまり、少なくとも 1 分の「沈黙」の後)にのみ 1 分が追加されます。
- トンネル トラフィック(トンネル化 HTTPS を含む):トンネルの実際の期間(確立から切断まで)が、クォータの上限に対してカウントされます。複数の要求に対する上記の計算は、トンネル化トラフィックにも適用されます。
- FTP:FTP 制御セッションの実際の期間(確立から切断まで)が、クォータの上限に対してカウントされます。複数の要求に対する上記の計算は、FTP トラフィックにも適用されます。
時間およびボリューム クォータの定義
はじめる前に
- [セキュリティ サービス(Security Services)] > [使用許可コントロール(Acceptable Use Controls)] に移動し、使用許可コントロールをイネーブルにします。
- 毎日の制限としてクォータを適用しない場合は、時間範囲を定義します。時間およびボリューム クォータの定義を参照してください。
手順 1 [Web セキュリティマネージャ(Web Security Manager)] > [時間範囲およびクォータの定義(Define Time Ranges and Quotas)] に移動します。
手順 2 [クォータの追加(Add Quota)] をクリックします。
手順 3 [クォータ名(Quota Name)] に一意のクォータ名を入力します。
手順 4 クォータを毎日リセットするには、[毎日このクォータをリセットする時刻(Reset this quota daily at)] を選択し、フィールドに 12 時間形式で時刻を入力し、メニューから [AM] または [PM] を選択します。または、[事前定義された時間範囲プロファイルを選択します(Select a predefined time range profile)] を選択します。
手順 5 時間クォータを設定するには、[時間クォータTime Quota] チェックボックスをオンにして、[時間(hrs)] メニューから時間数を、[分(mins)] メニューから分数を選択し、ゼロ分(常にブロック)から 23 時間 59 分までの時間数を設定します。
手順 6 ボリューム クォータを設定するには、フィールドに数字を入力し、メニューから [KB](キロバイト)、[MB](メガバイト)、または [GB](ギガバイト)を選択します。
手順 7 [送信(Submit)] をクリックし、次に [変更を確定(Commit Changes)] をクリックして変更を適用します。または、[キャンセル(Cancel)] をクリックして変更を破棄します。
次の作業
- (任意)[セキュリティ サービス(Security Services)] > [エンドユーザ通知(End-User Notification)] に移動し、クォータ用のエンドユーザ通知を設定します。
URL カテゴリによるアクセス制御
対応する Web サイトのカテゴリに基づいて、Web 要求を識別してアクションを実行できます。Web セキュリティ アプライアンスには、多数の定義済み URL カテゴリ(Web ベースの電子メールなど)が用意されています。
定義済みのカテゴリおよびそれらに関連付けられている Web サイトは、Web セキュリティ アプライアンスに搭載されているフィルタリング データベースで定義されます。これらのデータベースは、Cisco によって自動的に最新の状態に維持されます。指定したホスト名と IP アドレスに対してカスタム URL カテゴリを作成することもできます。
URL カテゴリは、要求を識別するポリシーを除くすべてのポリシーで使用できます。また、要求にアクションを適用するポリシー(アクセス、暗号化 HTTPS 管理、データ セキュリティ)でも使用できます。
カスタム URL カテゴリの作成については、カスタムおよび外部 URL カテゴリの作成と編集を参照してください。
URL カテゴリによる Web 要求の識別
はじめる前に
手順 1 [Web セキュリティ マネージャ(Web Security Manager)] メニューからポリシー タイプ(SaaS 以外)を選択します。
手順 2 ポリシー テーブル内のポリシー名をクリックします(または新しいポリシーを追加します)。
手順 3 [詳細設定(Advanced)] セクションを展開して、[URL カテゴリ(URL Categories)] フィールド内のリンクをクリックします。
手順 4 Web 要求の識別に使用する URL カテゴリに対応する [追加(Add)] 列のセルをクリックします。この操作を、カスタム URL カテゴリと定義済み URL カテゴリのリストに対して実行します。
手順 5 [完了(Done)] をクリックします。
手順 6 変更を送信し、保存します。
URL カテゴリによる Web 要求へのアクション
はじめる前に
(注) ポリシー内で基準として URL カテゴリを使用している場合は、同じポリシー内に対してアクションを指定するときにそれらのカテゴリだけを使用できます。そのため、下記のオプションの一部が異なっていたり、使用できないことがあります。
手順 1 [Web セキュリティ マネージャ(Web Security Manager)] メニューから [アクセス ポリシー(Access Policies)]、[Cisco データ セキュリティ ポリシー(Cisco Data Security Policies)]、または[暗号化 HTTPS 管理(Encrypted HTTPS Management)] のいずれかを選択します。
手順 2 ポリシー テーブルで必要なポリシー名を検索します。
手順 3 同じ行の [URL フィルタリング(URL Filtering)] 列のセル リンクをクリックします。
手順 4 (任意)カスタム URL カテゴリを追加します。
a. [カスタム カテゴリの選択(Select Custom Categories)] をクリックします。
b. このポリシーに含めるカスタム URL カテゴリを選択して、[適用(Apply)] をクリックします。
URL フィルタリング エンジンでクライアント要求と照合するカスタム URL カテゴリを選択します。URL フィルタリング エンジンは、クライアント要求と含まれているカスタム URL カテゴリを比較します。除外されたカスタム URL カテゴリは無視されます。URL フィルタリング エンジンは、定義済みの URL カテゴリよりも前に、含まれているカスタム URL カテゴリとクライアント要求の URL を比較します。
ポリシーに含まれているカスタム URL カテゴリは、[カスタム URL カテゴリのフィルタリング(Custom URL Category Filtering)] セクションに表示されます。
手順 5 カスタムおよび定義済みの各 URL カテゴリのアクションを選択します。
(注) 使用可能なアクションは、カスタム カテゴリと定義済みカテゴリとで異なり、ポリシー タイプによっても異なります。
手順 6 [分類されてない URL(Uncategorized URLs)] セクションで、定義済みまたはカスタムの URL カテゴリに分類されない Web サイトへのクライアント要求に対して実行するアクションを選択します。
手順 7 変更を送信し、保存します。
リモート ユーザ
リモート ユーザについて
Cisco AnyConnect Secure Mobility はネットワーク境界をリモート エンドポイントまで拡張し、Web セキュリティ アプライアンスによる Web フィルタリング サービスのシームレスな統合を実現します。
リモート ユーザおよびモバイル ユーザは Cisco AnyConnect Secure VPN(仮想プライベート ネットワーク)クライアントを使用して、適応型セキュリティ アプライアンス(ASA)との VPN セッションを確立します。ASA は、IP アドレスとユーザ名によるユーザ識別情報とともに、Web トラフィックを Web セキュリティ アプライアンスに送信します。Web セキュリティ アプライアンスは、トラフィックをスキャンしてアクセプタブル ユース ポリシーを適用し、セキュリティ上の脅威からユーザを保護します。セキュリティ アプライアンスは、安全と判断された、ユーザが受け入れ可能なすべてのトラフィックを返します。
Secure Mobility がイネーブルの場合は、ID とポリシーを設定し、ユーザの場所に応じてユーザに適用できます。
- リモート ユーザ。 これらのユーザは、VPN を使用してリモートの場所からネットワークに接続されます。Cisco ASA と Cisco AnyConnect クライアントの両方が VPN アクセスに使用される場合、Web セキュリティ アプライアンスはリモート ユーザを自動的に識別します。それ以外の場合、Web セキュリティ アプライアンス管理者は IP アドレスの範囲を設定して、リモート ユーザを指定する必要があります。
- ローカル ユーザ。 これらのユーザは、有線またはワイヤレスでネットワークに接続されます。
Web セキュリティ アプライアンスを Cisco ASA と統合すると、認証されたユーザ名によりユーザを透過的に識別するように設定して、リモート ユーザのシングル サインオンを実現できます。
リモート ユーザの ID を設定する方法
|
|
1. リモート ユーザの ID を設定する。 |
リモート ユーザの ID の設定 |
2. リモート ユーザの ID を作成する。 |
ユーザおよびクライアント ソフトウェアの分類 a. [ユーザの場所別メンバーの定義(Define Members by User Location)] セクションで、[ローカル ユーザのみ(Local Users Only)] を選択します。 b. [認証ごとにメンバを定義(Define Members by Authentication)] セクションで、[Cisco ASA 統合を通じてユーザを透過的に識別する(Identify Users Transparently through Cisco ASA Integration)] を選択します。 |
3. リモート ユーザのポリシーを作成する。 |
ポリシーの作成 |
リモート ユーザの ID の設定
手順 1 [セキュリティ サービス(Security Services)] > [AnyConnect セキュア モビリティ(AnyConnect Secure Mobility)] で、[有効(Enable)] をクリックします。
手順 2 AnyConnect セキュア モビリティのライセンス契約書の条項を読み、[同意する(Accept)] をクリックします。
手順 3 リモート ユーザの識別方法を設定します。
|
|
|
[IP アドレス(IP Address)] |
アプライアンスがリモート デバイスに割り当てられていると見なす IP アドレスの範囲を指定します。 |
1. [IP 範囲(IP Range)] フィールドに IP アドレスの範囲を入力します。 2. ステップ 4 に進みます。 |
Cisco ASA 統合(Cisco ASA Integration) |
Web セキュリティ アプライアンスが通信する 1 つ以上の Cisco ASA を指定します。Cisco ASAは IP アドレスとユーザのマッピングを保持し、その情報を Web セキュリティ アプライアンスに伝達します。Web プロキシはトランザクションを受信すると、IP アドレスを取得し、IP アドレスとユーザのマッピングをチェックしてユーザを特定します。Cisco ASA と統合してユーザを特定する場合は、リモート ユーザのシングル サイン オンをイネーブルにできます。 |
1. Cisco ASA のホスト名または IP アドレスを入力します。 2. ASA へのアクセスに使用するポート番号を入力します。Cisco ASA のデフォルト ポート番号は 11999 です。 3. クラスタ内に複数の Cisco ASA が設定されている場合は、[行の追加(Add Row)] をクリックし、クラスタ内の各 ASA を設定します。 (注) 2 つの Cisco ASA が高可用性に設定されている場合は、アクティブな Cisco ASA の 1 つのホスト名または IP アドレスのみを入力します。 4. Cisco ASA のアクセス パスフレーズを入力します。 (注) ここで入力するパスフレーズは、指定した Cisco ASA 用に設定されているアクセス パスフレーズと一致する必要があります。 5. (任意)[テスト開始(Start Test)] をクリックして、Web セキュリティ アプライアンスが設定されている Cisco ASAに接続できることを確認します。 |
手順 4 変更を送信して確定します([送信(Submit)] と [変更を確定(Commit Changes)])。
ASA のリモート ユーザ ステータスと統計情報の表示
Web セキュリティ アプライアンスが ASA と統合されている場合は、以下のコマンドを使用して Secure Mobility に関連する情報を表示します。
|
|
musstatus |
このコマンドにより、以下の情報が表示されます。
- Web セキュリティ アプライアンスと各 ASA との接続ステータス。
- Web セキュリティ アプライアンスと各 ASA との接続時間(分単位)。
- 各 ASA からのリモート クライアントの数。
- サービス対象のリモート クライアントの数。これは、Web セキュリティ アプライアンスを介してトラフィックの受け渡しを行ったリモート クライアントの数です。
- リモート クライアントの合計数。
|