Cisco ASA CX モジュール クイック スタート ガイド

Similar documents
適応型セキュリティ アプライ アンスの設定

適応型セキュリティ アプライ アンスの設定

ログインおよび設定

How to Install and Configure Panorama Panorama のインストールと設定 Panorama は Palo Alto Networks のサポートサイトからダウンロード可能な VMware イメージです 本書は Panorama のインストールと Panora

Symantec AntiVirus の設定

付録

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

シナリオ:DMZ の設定

VPN 接続の設定

ハンドシェイク障害または証明書検証エラーによる NGFW サービス モジュール TLS の中断

GenieATM 6300-T / 6200-T シリーズ 1. 基本的な機器オペレーションのために 1-1. 機器への接続 機器への接続方法は 以下の 2 通りがあります シリアルポートを使用してログインする LAN 経由で Telnet または SSH を使用して仮想 Interface からロ

Linux のインストール

R80.10_Distributed_Config_Guide_Rev1

R76/Gaia ブリッジ構成設定ガイド

Cisco ViewMail for Microsoft Outlook クイックスタートガイド (リリース 8.5 以降)

Microsoft PowerPoint - RM-PDU_IP設定方法.ppt

シナリオ:サイトツーサイト VPN の設定

FQDN を使用した ACL の設定

ドライバインストールガイド

2. Save をクリックします 3. System Options - Network - TCP/IP - Advanced を開き Primary DNS server と Secondary DNS Server に AXIS ネットワークカメラ / ビデオエンコーダが参照できる DNS サ

Microsoft Word - Win-Outlook.docx

インストールのチェックリストと前提条件

VPN ユーザを管理し、RV016、RV042、RV042G および RV082 VPN ルータの速い VPN を設定して下さい

任意の間隔での FTP 画像送信イベントの設定方法 はじめに 本ドキュメントでは AXIS ネットワークカメラ / ビデオエンコーダにおいて任意の間隔で画像を FTP サー バーへ送信するイベントの設定手順を説明します 設定手順手順 1:AXIS ネットワークカメラ / ビデオエンコーダの設定ページ

ISE 2.0: ASA CLI TACACS+ 認証およびコマンド認可の設定例

Windows Phone 用 Cisco AnyConnect セキュアモビリティクライ アントユーザガイド(リリース 4.1.x)

ServerView with Data ONTAP-v™ PowerChute® Network Shutdown 設定について

Mobile Access簡易設定ガイド

NAC(CCA): ACS 5.x 以降を使用した Clean Access Manager での認証の設定

コンフィギュレーション ファイルのバックアップと復元

R80.10_FireWall_Config_Guide_Rev1

Windows Server 2012 および Windows Server 2008 のインストール

Cisco Start Firewall Cisco ASA 5506-X AnyConnect ライセンスアクティベーション 2016 年 1 月 29 日 第 1.0 版 株式会社ネットワールド

2. インストールの方法 インストールの手順は まずインストーラーをサイトからダウンロードし イールドブック カリキュレーターと Java Web Start をインストールします 次にイールドブック カリキュレーターを起動してサーバー接続し Java のファイルをダウンロードします 以下の手順に従

基本設定

Juniper Networks Corporate PowerPoint Template

SonicDICOM Cloud Connector インストール手順書 SonicDICOM Cloud Connector とは 検査装置が撮影した画像を自動的にクラウドへアップロー ドするためのソフトウェアです 1 前準備 クラウド上に PACS を作成する SonicDICOM Cloud

WeChat 認証ベースのインターネット アクセス

破損した CIMC ファームウェアの復旧

Cisco ASA Firepower ASA Firepower

Cisco Start Firewall Cisco ASA 5506-X PAT(Port Address Translation) の設定 2016 年 3 月 23 日 第 1.1 版 株式会社ネットワールド

Upload path ファイル送信先ディレクトリのパスを指定します ホームディレクトリに画像を送信する場合は空白のまま サブディレクトリに画像を送信する場合はディレクトリ名を指定します さらに下位のディレクトリを指定する場合は \ マークを利用します 例 ) ホームディレクトリ以下の camera

サードパーティ コール制御のセットアップ

AMT機能セットアップガイド

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 USG 回線終端装置

アラートの使用

サードパーティ コール制御のセットアップ

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 iphone を利用した L2TP over IPSec VPN 接続 について 構成例 iphone を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 USG 回線

音声認識サーバのインストールと設定

株式会社スタッフ アンド ブレーン Rev 1.0 ZyWALL USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 回線終端装置 (ONU) WA

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 16 日ネットワールド 新規 I

Web ブラウザ インターフェイスの使用方法

LEAP を使用して Cisco ワイヤレス クライアントを認証するための Funk RADIUS の設定

Cisco Unity と Unity Connection Server の設定

Microsoft PowerPoint - APM-VE(install).pptx

Hyper-V 仮想マシンの設定

IBM Proventia Management/ISS SiteProtector 2.0

CUCM と VCS 間のセキュア SIP トランクの設定例

Cisco® ASA シリーズルーター向けDigiCert® 統合ガイド

管理者のユーザ名とパスワードの設定

ServerView ESXi CIM Provider / ServerView RAID Core Provider VMware vSphere ESXi 6.5 / 6.7 インストールガイド

Hik-Connect アカウントにデバイスを追加する方法ユーザーは Hik-Connect APP ウェブポータル ivms4500 アプリまたは ivms クライアント経由で Hik-Connect 機能を有効にすることができます 注 : iv

Windows Server 2003 のインストール

Microsoft Word JA_revH.doc

Cisco Unified Communications Manager サーバ アドレスとユーザ名の自動的な入力

8021.X 認証を使用した Web リダイレクトの設定

Linux のインストール(Red Hat および SUSE)

WatchGuard XTMv スタートアップガイド

Microsoft Word - SSI_Smart-Trading_QA_ja_ doc

PowerPoint Presentation


ServerView ESXi CIM Provider VMware vSphere ESXi 6.5 インストールガイド

独立型 Content Engine のソフトウェ ア アップグレード

VPN の IP アドレス

サードパーティ コール制御のセットアップ

VMware vSphere ESXi のインストール

Transcription:

クイックスタートガイド Cisco ASA CX モジュール 注意 シスコ製品をご使用になる前に 安全上の注意 (www.cisco.com/jp/go/safety_warning/) をご確認ください 本書は 米国シスコ発行ドキュメントの参考和訳です リンク情報につきましては 日本語版掲載時点で 英語版にアップデートがあり リンク先のページが移動 / 変更されている場合がありますことをご了承ください あくまでも参考和訳となりますので 正式な内容については米国サイトのドキュメントを参照ください また 契約等の記述については 弊社販売パートナー または 弊社担当者にご確認ください

1 ASA CX モジュールに関する情報 2 ASA CX 管理インターフェイスの接続 3 ASA での Adaptive Security Device Manager(ASDM) の起動 5 (ASA 5512-X ~ ASA 5555-X で必要な場合あり ) ソフトウェアモジュールのインストール 4 (ASA 5585-X)ASA CX 管理 IP アドレスの変更 6 ASA CX CLI での基本的な ASA CX の設定 7 ASA CX モジュールへのトラフィックのリダイレクト 8 PRSM を使用した ASA CX モジュールでのセキュリティポリシーの設定 9 次の作業 改訂日 :2012 年 12 月 3 日 2

1 ASA CX モジュールに関する情報 ASA CX モジュールは ご使用の ASA モデルに応じて ハードウェアモジュールである場合とソフトウェアモジュールである場合があります ASA モデルのソフトウェアおよびハードウェアと ASA CX モジュールとの互換性については http://www.cisco.com/en/us/docs/security/asa/compatibility/asamatrx.html の Cisco ASA Compatibility を参照してください ASA CX モジュールを使用すると ある状況の完全なコンテキストに基づいてセキュリティを実施できます このコンテキストには ユーザのアイデンティティ ( 誰が ) ユーザがアクセスを試みているアプリケーションまたは Web サイト ( 何を ) アクセス試行の発生元 ( どこで ) アクセス試行の時間 ( いつ ) およびアクセスに使用されているデバイスのプロパティ ( どのように ) が含まれます ASA CX モジュールでは フローの完全なコンテキストを抽出してきめ細かいポリシーを実施できます たとえば Facebook へのアクセスは許可するが Facebook のゲームへのアクセスは拒否する あるいは財務担当者による企業の機密データベースへのアクセスは許可するが他の社員によるアクセスは拒否する といったポリシーです ASA CX モジュールは ASA とは別のアプリケーションを実行します ASA CX モジュールを設定するには Cisco Prime Security Manager(PRSM) を使用した ASA CX ポリシー設定 および ASAASDM を使用した ASA CX モジュールへのトラフィックのリダイレクトポリシーの 2 つの部分が必要です ASA CX モジュールには 外部管理インターフェイス ( およびコンソールポート ) が含まれる場合があるため ASA CX モジュールに直接接続できます 管理インターフェイスがない場合は ASA インターフェイスを使用して ASA CX モジュールに接続できます お使いのモデルで ASA CX モジュールのその他のインターフェイスを利用できる場合 それらのインターフェイスは ASA トラフィックのみに使用されます トラフィックが ASA CX モジュールに転送される前に ASA ファイアウォールのチェックが行われます ASA で ASA CX インスペクション対象のトラフィックを識別する場合 次の手順で説明するように トラフィックは ASA および ASA CX モジュールを通過します 1. トラフィックは ASA に入ります 2. 着信 VPN トラフィックが復号化されます 3. ファイアウォールポリシーが適用されます 4. トラフィックが ASA CX モジュールに送信されます 5. ASA CX モジュールはセキュリティポリシーをトラフィックに適用し 適切なアクションを実行します 6. 有効なトラフィックが ASA に返送されます ASA CX モジュールは セキュリティポリシーに従ってトラフィックをブロックすることがあり ブロックされたトラフィックは渡されません 7. 発信 VPN トラフィックが暗号化されます 3

8. トラフィックが ASA から出ます 次の図は ASA CX モジュールを使用する場合のトラフィックフローを示します この例では ASA CX モジュールは 特定のアプリケーションでは許可されていないトラフィックを自動的にブロックします それ以外のトラフィックは ASA を通って転送されます ASA VPN ASA CX ASA CX 333470 2 ASA CX 管理インターフェイスの接続 ASA CX モジュールへの管理アクセスを提供する以外に ASA CX 管理インターフェイスは シグニチャアップデートなどのために HTTP プロキシサーバまたは DNS サーバおよびインターネットへのアクセスが必要です この項では 推奨されるネットワーク設定について説明します ご使用のネットワークによって異なる場合があります ASA 5585-X( ハードウェアモジュール ) ASA CX モジュールには ASA とは個別の管理インターフェイスが含まれています 4

ASA 5585-X ASA CX SSP ASA CX Management 1/0 IP 192.168.8.8 0 SFP1 SFP0 7 6 5 4 3 2 1 0 1 MGMT 0 USB 1 PWR BOOT ALARM ACT VPN PS1 PS0 HDD1 HDD0 AUX CONSOLE RESET 0 SFP1 SFP0 7 6 5 4 3 2 1 0 1 MGMT 0 USB 1 PWR BOOT ALARM ACT VPN PS1 PS0 HDD1 HDD0 AUX CONSOLE RESET SSP ASA Management 0/0 IP 192.168.1.1 334655 内部ルータがある場合 内部ルータがある場合 管理ネットワーク間でルーティングできます これには ASA Management 0/0 および ASA CX Management 1/0 の両方のインターフェイス およびインターネットアクセスのための ASA 内部ネットワークが含まれることがあります 内部ルータを介して管理ネットワークにアクセスするには ASA で忘れずにルートも追加してください DNS ASA ASA CX ASA CX ASA Management 0/0 ASA CX Management 1/0 PC 334657 内部ルータがない場合内部ネットワークが 1 つのみある場合 別個の管理ネットワークも使用することはできず 内部ルータをネットワーク間でルーティングする必要があります この場合 Management 0/0 インターフェイスの代わりに内部インターフェイスから ASA を管理できます ASA CX モジュールは ASA とは別のデバイスであるため 内部インターフェイスと同じネットワーク上にあるように ASA CX Management 1/0 アドレスを設定できます 5

PC DNS ASA CX 2 ASA CX ASA CX Management 1/0 ASA Management 0/0 334659 ASA 5512-X ~ ASA 5555-X( ソフトウェアモジュール ) これらのモデルは ASA CX モジュールをソフトウェアモジュールとして実行し ASA CX 管理インターフェイスは Management 0/0 インターフェイスを ASA と共有します ASA 5545-X ASA CX Management 0/0 IP 192.168.1.2 ASA Management 0/0 IP 192.168.1.1 334664 6

内部ルータがある場合 内部ルータがある場合 Management 0/0 ネットワーク間でルーティングできます これには ASA および ASA CX の両方の管理 IP アドレス およびインターネットアクセス用の内部ネットワークが含まれます 内部ルータを介して管理ネットワークにアクセスするには ASA で忘れずにルートも追加してください DNS ASA ASA CX ASA CX Management 0/0 PC 334666 内部ルータがない場合内部ネットワークが 1 つのみある場合 別の管理ネットワークも使用することはできません この場合 Management 0/0 インターフェイスの代わりに内部インターフェイスから ASA を管理できます ASA 設定の名前を Management 0/0 インターフェイスから削除する場合 そのインターフェイスの ASA CX IP アドレスを引き続き設定できます ASA CX モジュールは基本的には ASA とは別のデバイスであるため 内部インターフェイスと同じネットワーク上にあるように ASA CX 管理アドレスを設定できます ASA CX PC 2 ASA CX DNS Management 0/0 ASA CX 334668 7

( 注 ) Management 0/0 に対して ASA が設定した名前を削除する必要があります これが ASA で設定されている場合 ASA CX アドレスは ASA と同じネットワーク上に存在する必要があり これによって その他の ASA インターフェイス上ですでに設定されたネットワークはすべて除外されます 名前が設定されていない場合 ASA CX は 任意のネットワーク上 ( たとえば ASA 内部ネットワーク ) に存在することができます 8

3 ASA での Adaptive Security Device Manager(ASDM) の起動 デフォルトの ASA 設定を使用すると デフォルトの管理 IP アドレス (192.168.1.1) に接続できます ネットワークによっては ASA 管理 IP アドレスを変更しなければならないか 場合によっては ASDM アクセスのために追加の ASA インターフェイスを設定しなければならないことがあります ( ASA CX 管理インターフェイスの接続 (P.4) を参照 ) ASA 5512-X ~ ASA 5555-X では 別個の管理ネットワーク ( 内部ルータがない場合 (P.7) を参照 ) がない場合 管理用の内部インターフェイスを設定し さらに Management 0/0 インターフェイスから名前を削除する必要があります インターフェイスおよび管理設定を変更するには ASA Configuration Guide を参照してください ステップ 1 ステップ 2 ステップ 3 ステップ 4 ステップ 5 管理 PC で Web ブラウザを起動します [Address] フィールドに URL https://asa_ip_address/admin を入力します デフォルトの ASA 管理 IP アドレスは 192.168.1.1 です [Run ASDM] をクリックして Java Web Start アプリケーションを実行します あるいは ASDM-IDM Launcher をダウンロードすることもできます 詳細については ASA Configuration Guide を参照してください 表示されたダイアログボックスに従って 任意の証明書を受け入れます [Cisco ASDM-IDM Launcher] ダイアログボックスが表示されます ユーザ名とパスワードのフィールドを空のまま残し [OK] をクリックします メイン ASDM ウィンドウが表示されます 4 (ASA 5585-X)ASA CX 管理 IP アドレスの変更 デフォルトの管理 IP アドレスを使用できない場合 ASA から管理 IP アドレスを設定できます 管理 IP アドレスを設定した後 SSH を使用して ASA CX モジュールにアクセスして 初期設定を実行できます 9

( 注 ) ソフトウェアモジュールの場合 ASA CX CLI にアクセスして ASA CLI からのセッション接続によって設定を実行できます その後 設定の一部として ASA CX 管理 IP アドレスを設定できます ASA CX CLI での基本的な ASA CX の設定 (P.13) を参照してください ステップ 1 ステップ 2 ASDM で [Wizards] > [Startup Wizard] を選択します ASA CX の [Basic Configuration] 画面が表示されるまで [Next] をクリックして 初期画面を進みます ステップ 3 ステップ 4 新しい管理 IP アドレス サブネットマスク およびデフォルトゲートウェイを入力します ネットワークの要件については ASA CX 管理インターフェイスの接続 (P.4) を参照してください ( 任意 ) 認証プロキシポートを変更します 10

ステップ 5 [Finish] をクリックして残りの画面をスキップするか [Next] をクリックして残りの画面を進み ウィザードを完了します 5 (ASA 5512-X ~ ASA 5555-X で必要な場合あり ) ソフトウェアモジュールのインストール ASA CX モジュールとともに ASA を購入した場合 モジュールソフトウェアおよびソリッドステートドライブ (SSD) は事前にインストールされており すぐに使用できます 既存の ASA に ASA CX を追加する場合 または SSD を交換する必要がある場合は この手順に従って ASA CX ブートソフトウェアをインストールし SSD を分割する必要があります 物理的に SSD を取り付けるには ASA Hardware Guide を参照してください ステップ 1 Cisco.com からコンピュータに ASA CX ブートソフトウェアをダウンロードします Cisco.com のログインをお持ちの場合は 次の Web サイトからブートソフトウェアを入手できます http://www.cisco.com/cisco/software/release.html?mdfid=284325223&softwareid=2843 99946 ブートソフトウェアを使用すると 基本的な ASA CX ネットワーク設定を行い SSD を分割し より大きいシステムソフトウェアを任意のサーバから SSD にダウンロードできます ステップ 2 ASA CX 管理インターフェイスからアクセス可能な HTTP HTTPS または FTP サーバに Cisco.com から ASA CX システムソフトウェアをダウンロードします Cisco.com のログインをお持ちの場合は 次の Web サイトからシステムソフトウェアを入手できます http://www.cisco.com/cisco/software/release.html?mdfid=284325223&softwareid=2843 99944 ステップ 3 ステップ 4 ASDM で [Tools] > [File Management] を選択し 次に [File Transfer] > [Between Local PC and Flash] を選択します ブートソフトウェアを ASA 上の disk0 に転送します システムソフトウェアは転送しないでください これは後で SSD にダウンロードされます ASA CLI に接続し 特権 EXEC モードを開始します ASA CLI にアクセスするには ASA Configuration Guide ガイドの章 Getting Started を参照してください 11

ステップ 5 ステップ 6 IPS モジュールを ASA CX モジュールと交換する場合は IPS モジュールをシャットダウンしてアンインストールし 次に ASA をリロードします hostname# sw-module module ips shutdown hostname# sw-module module ips uninstall hostname# reload ASA のリロード後に ASA CLI に再接続します 次のコマンドを入力して ASA disk0 で ASA CX モジュールブートイメージの場所を設定します hostname# sw-module module cxsc recover configure image disk0:file_path 例 : hostname# sw-module module cxsc recover configure image disk0:asacx-boot-9.1.1.img ステップ 7 ステップ 8 ステップ 9 次のコマンドを入力して ASA CX ブートイメージをロードします hostname# sw-module module cxsc recover boot ASA CX モジュールが起動するまで約 5 分待ってから 現在実行中の ASA CX ブートイメージへのコンソールセッションを開きます デフォルトのユーザ名は admin で デフォルトのパスワードは Admin123 です hostname# session cxsc console Establishing console session with slot 1 Opening console session with module cxsc. Connected to module cxsc. Escape character sequence is 'CTRL-SHIFT-6 then x'. cxsc login: admin Password: Admin123 SSD を分割します asacx-boot> partition... Partition Successfully Completed ステップ 10 ASA CX CLI での基本的な ASA CX の設定 (P.13) に従って setup コマンドを使用して基本的なネットワーク設定を実行し (ASA CX CLI を終了しないでください ) この手順に戻ってソフトウェアイメージをインストールします ステップ 11 サーバからシステムソフトウェアをインストールします asacx-boot> system install url 例 : 次のコマンドは asacx sys9.1.1.pkg システムソフトウェアをインストールします 12

asacx-boot> system install https://upgrades.example.com/packages/asacx-sys-9.1.1.pkg Username: buffy Password: angelforever Verifying Downloading Extracting Package Detail Description: Requires reboot: Cisco ASA CX System Upgrade Yes Do you want to continue with upgrade? [n]: Y Warning: Please do not interrupt the process or turn off the system. Doing so might leave system in unusable state. Upgrading Stopping all the services... Starting upgrade process... Reboot is required to complete the upgrade. Press Enter to reboot the system. ステップ 12 ASA CX モジュールをリブートするには Enter キーを押します モジュールをリブートすると コンソールセッションが閉じます アプリケーションコンポーネントのインストールと ASA CX サービスの起動には 10 分以上かかります 6 ASA CX CLI での基本的な ASA CX の設定 セキュリティポリシーを設定する前に ASA CX モジュールで基本的なネットワーク設定およびその他のパラメータを設定する必要があります ステップ 1 ステップ 2 次のいずれかを実行します ( すべてのモデル )SSH を使用して ASA CX 管理 IP アドレスに接続します (ASA 5512-X ~ ASA 5555-X)ASA CLI からモジュールへのコンソールセッションを開きます (ASA CLI にアクセスするには ASA Configuration Guide の章 Getting Started を参照してください ) hostname# session cxsc console ユーザ名 admin およびパスワード Admin123 を使用してログインします この手順の一環としてパスワードを変更します 13

ステップ 3 次のコマンドを入力します asacx> setup 例 : asacx> setup Welcome to Cisco Prime Security Manager Setup [hit Ctrl-C to abort] Default values are inside [ ] 次に ウィザードを使用して 通常のパスを表示する例を示します 注 : スタティック IPv6 アドレスを設定するときのプロンプトで N と応答することで IPv6 ステートレス自動設定にすることができます Enter a hostname [asacx]: asa-cx-host Do you want to configure IPv4 address on management interface?(y/n) [Y]: Y Do you want to enable DHCP for IPv4 address assignment on management interface?(y/n)[n]: N Enter an IPv4 address [192.168.8.8]: 10.89.31.65 Enter the netmask [255.255.255.0]: 255.255.255.0 Enter the gateway [192.168.8.1]: 10.89.31.1 Do you want to configure static IPv6 address on management interface?(y/n) [N]: Y Enter an IPv6 address: 2001:DB8:0:CD30::1234/64 Enter the gateway: 2001:DB8:0:CD30::1 Enter the primary DNS server IP address [ ]: 10.89.47.11 Do you want to configure Secondary DNS Server? (y/n) [N]: N Do you want to configure Local Domain Name? (y/n) [N] Y Enter the local domain name: example.com Do you want to configure Search domains? (y/n) [N] Y Enter the comma separated list for search domains: example.com Do you want to enable the NTP service?(y/n) [N]: Y Enter the NTP servers separated by commas: 1.ntp.example.com, 2.ntp.example.com ステップ 4 最後のプロンプトが完了すると 設定のサマリーが示されます サマリーに目を通して値が正しいことを確認し 変更した設定を適用するには Y を入力します 変更をキャンセルするには N を入力します 例 : Apply the changes?(y,n) [Y]: Y Configuration saved successfully! Applying... Done. Generating self-signed certificate, the web server will be restarted after that... Done. 14

Press ENTER to continue... asacx> ステップ 5 ステップ 6 NTP を使用しない場合は 時刻を設定します デフォルトの時間帯は UTC 時間帯です 時間設定を変更するには 次のコマンドを使用できます asacx> config timezone asacx> config time 次のコマンドを入力して admin パスワードを変更します asacx> config passwd 例 : asacx> config passwd The password must be at least 8 characters long and must contain at least one uppercase letter (A-Z), at least one lowercase letter (a-z) and at least one digit (0-9). Enter password: Farscape1 Confirm password: Farscape1 SUCCESS: Password changed for user admin ステップ 7 exit コマンドを入力してログアウトします 15

7 ASA CX モジュールへのトラフィックのリダイレクト この項では ASA から ASA CX モジュールにリダイレクトするトラフィックを識別します ASA でこのポリシーを設定します ( 注 ) PRSM をマルチデバイスモードで使用する場合 ASDM を使用する代わりに PRSM 内の ASA CX モジュールにトラフィックを送信するための ASA ポリシーを設定できます ただし ASA サービスポリシーを設定する場合 PRSM にはいくつかの制限があります 詳細については ASA CX User Guide を参照してください この手順を使用して ASA で認証プロキシをイネーブルにする場合は ASA CX モジュールで認証用のディレクトリレルムも設定してください 詳細については ASA CX User Guide を参照してください (ASA CX と交換した )IPS モジュールにトラフィックをリダイレクトするアクティブサービスポリシーがある場合は ASA CX サービスポリシーを設定する前にそのポリシーを削除する必要があります ステップ 1 ASDM で [Configuration] > [Firewall] > [Service Policy Rules] を選択します 16

ステップ 2 [Add] > [Add Service Policy Rule] を選択します [Add Service Policy Rule Wizard - Service Policy] ダイアログボックスが表示されます ステップ 3 ステップ 4 ステップ 5 ステップ 6 必要に応じて [Service Policy] ダイアログボックスに入力します これらの画面の詳細については ASDM オンラインヘルプを参照してください [Next] をクリックします [Add Service Policy Rule Wizard - Traffic Classification Criteria] ダイアログボックスが表示されます 必要に応じて [Traffic Classification Criteria] ダイアログボックスに入力します これらの画面の詳細については ASDM オンラインヘルプを参照してください [Next] をクリックして [Add Service Policy Rule Wizard - Rule Actions] ダイアログボックスを表示します 17

ステップ 7 [ASA CX Inspection] タブをクリックします ステップ 8 ステップ 9 ステップ 10 ステップ 11 ステップ 12 [Enable ASA CX for this traffic flow] チェックボックスをオンにします [If ASA CX Card Fails] 領域で [Permit traffic] または [Close traffic] をクリックします [Close traffic] オプションを選択すると ASA は ASA CX モジュールが使用不可の場合にすべてのトラフィックをブロックします [Permit traffic] オプションを選択すると ASA は ASA CX モジュールが使用不可の場合に すべてのトラフィックの通過を検査なしで許可します アクティブ認証に必要な認証プロキシをイネーブルにするには [Enable Auth Proxy] チェックボックスをオンにします [OK] をクリックしてから [Apply] をクリックします この手順を繰り返して 追加のトラフィックフローを必要に応じて設定します 18

8 PRSM を使用した ASA CX モジュールでのセキュリティポリシーの設定 この項では ASA CX モジュールアプリケーションを設定するために PRSM を起動する方法について説明します PRSM を使用した ASA CX セキュリティポリシーの設定に関する詳細については http://www.cisco.com/en/us/docs/security/asacx/roadmap/asacxprsmroadmap.html で ASA CX ドキュメントロードマップを参照してください ( 注 ) ASA CX でポリシーを設定しない場合 ASA CX にリダイレクトされるすべてのトラフィックがデフォルトで許可され トラフィックを分析するために ASA CX Web インターフェイスでさまざまなレポートを確認できます PRSM は Web ブラウザから起動するか ASDM から起動することができます 次の URL を入力して Web ブラウザから PRSM を起動します https://asa_cx_management_ip この場合 ASA CX 管理 IP アドレスは ASA CX CLI での基本的な ASA CX の設定 (P.13) で設定したアドレスです [Home] > [ASA CX Status] を選択し [Connect to the ASA CX application] リンクをクリックして ASDM から PRSM を起動します 9 次の作業 ASA CX モジュールの詳細については 次のドキュメントロードマップを参照してください http://www.cisco.com/en/us/docs/security/asacx/roadmap/asacxprsmroadmap.html 次の ASA CX ホームページも参照してください http://www.cisco.com/go/asacx 19

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック