Secure Web Appliance へようこそ
Secure Web Appliance について
Cisco Secure Web Appliance はインターネットトラフィックを代行受信してモニターし、ポリシーを適用することによって、マルウェア、機密データの漏洩、生産性の低下などのインターネットベースの脅威から内部ネットワークを保護します。
最新情報
AsyncOS 14.5.2-011 MD(メンテナンス導入)の新機能
このリリースには複数のバグ修正が含まれています。詳細については、「リリース 14.5.2-011 の既知および修正済みの問題」を参照してください。
AsyncOS 14.5.1-016 MD(メンテナンス導入) の新機能:更新
このリリースには複数のバグ修正が含まれています。詳細については、「リリース 14.5.1-016 の既知および修正済みの問題」を参照してください。
AsyncOS 14.5.1-008 MD(メンテナンス導入)の新機能
このリリースには複数のバグ修正が含まれています。詳細については、「リリース 14.5.1-008 の既知および修正済みの問題」を参照してください。
AsyncOS 14.5.0-537 GD(一般導入)の新機能
このリリースには複数のバグ修正が含まれています。詳細については、「リリース 14.5.0-537 の既知および修正済みの問題」を参照してください。
AsyncOS 14.5.0-498 LD(限定導入)の新機能
このリリースでは次の機能が導入されました。
機能 |
説明 |
|||
---|---|---|---|---|
セキュア DNS |
Secure Web Appliance で、暗号化署名を使用して DNS サーバーから受信した DNS 応答を検証できるようになりました。 ユーザーガイドの「Editing DNS Settings」のセクションを参照してください。 |
|||
クライアントあたりの最大接続数 |
Secure Web Appliance で、クライアントによって開始される同時接続の数を設定した値に制限します。 ユーザーガイドの「Configuring Web Proxy Settings」のセクションを参照してください。 |
|||
Cisco Web セキュリティアプライアンスから Cisco Secure Web Appliance へのブランド変更 |
AsyncOS リリース 14.5 以降、Cisco Web セキュリティアプライアンスは、Web インターフェイスとすべてのユーザーマニュアルで Cisco Secure Web Appliance にブランド変更されました。 |
|||
旧用語 | ブランド変更後の用語 | |||
Web セキュリティ アプライアンス |
Cisco Secure Web Appliance |
|||
製品のブランド変更 |
旧用語 | ブランド変更後の用語 | ||
AMP for Endpoints |
Secure Endpoint |
|||
Advanced Malware Protection |
Secure Endpoint |
|||
AMP |
Secure Endpoint |
|||
Thread Grid |
Malware Analytics |
|||
|
||||
誤分類要求 |
誤分類要求は HTTPS 経由で送信されるため、セキュリティアラート通知を受信しません。 ユーザーガイドの「Configuring On-Box End-User Notification Pages」セクションを参照してください。 |
|||
新しいアクセスログ決定タグ |
EUN(エンドユーザー通知)ページがクライアントの Web ブラウザに表示されると、復号化ポリシーグループのアクセスログ決定タグに EUN が付加されます。 ユーザーガイドの「ACL Decision Tags」セクションを参照してください。 |
|||
ポリシーの複製 |
ポリシーの複製機能を使用すると、ポリシーの既存の構成をコピーまたは複製して、新しいポリシーを作成できます。 ユーザーガイドの「Policy Configuration」セクションを参照してください。 |
|||
詳細な帯域幅制御 |
クォータプロファイルで帯域幅の値を設定し、アクセスポリシー URL カテゴリまたは全体的な Web アクティビティクォータでクォータプロファイルをマッピングすることにより、トラフィックの帯域幅を管理できます。 ユーザーガイドの「Defining Time, Volume, and Bandwidth Quotas」セクションを参照してください。 |
|||
管理ポリシー、復号化ポリシー、ルーティングポリシー、IP スプーフィングポリシー、マルウェア対策とレピュテーション、認証レルム、Cisco スマート ソフトウェア ライセンス、Cisco Umbrella シームレス ID、ID サービス、およびシステムセットアップを設定するための REST API |
設定情報を取得し、変更(既存の情報の変更、新しい情報の追加、エントリの削除など)を、REST API を使用してアプライアンスの設定データで実行できるようになりました。 『AsyncOS API 14.5 for Cisco Secure Web Appliance - Getting Started Guide』を参照してください。 |
|||
ISE-SXP 統合 |
ISE-SXP 展開を Cisco Secure Web Appliance と統合して、パッシブ認証に使用できます。これによって、SXP を通じて公開された SGT から IP アドレスへのマッピングを含む、定義済みのすべてのマッピングを取得できます。 ユーザーガイドの「Configure ISE-SXP Integration」セクションを参照してください。 |
|||
Cisco Umbrella シームレス ID |
Cisco Umbrella シームレス ID 機能を使用すると、正常に認証された後に、アプライアンスからユーザ識別情報を Cisco Umbrella セキュア Web ゲートウェイ(SWG)にパスすることができます。Cisco Umbrella SWG は、Secure Web Appliance から受信した認証済み識別情報に基づいて、Active Directory のユーザー情報をチェックします。Cisco Umbrella SWG は、ユーザーを認証済みと見なし、定義されたセキュリティポリシーに基づいてユーザにアクセスを提供します。 Secure Web Appliance は、X-USWG-PKH、X-USWG-SK、および X-USWG-Data を含む HTTP ヘッダーを使用して Cisco Umbrella SWG にユーザー識別情報をパスします。
ユーザーガイドの「Cisco Umbrella Seamless ID」セクションを参照してください。 |
|||
拡張機能 |
||||
Samba のアップグレード | Samba のバージョンは、バージョン 4.11.15 にアップグレードされています。
smbprotoconfig コマンドを使用して、Samba バージョン 4.11.15 の SMB1 プロトコルサポートを有効または無効にすることができます。デフォルトでは、このサポートは無効になっており、認証レルム構成に基づいて有効にすることができます。 ユーザーガイドの「Secure Web Appliance CLI Commands」セクションを参照してください。 |
(注) |
(TAC のみ) CLI の復帰が小さいため、HTTPS プロキシポートは仮想 Secure Web Appliance では無効になっています。interfaceconfig コマンドを使用して、インターフェイスで HTTPS を有効にします。 |
動作における変更
AsyncOS 14.5.0-537 GD(一般導入)の動作の変更
ポリシーの複製 |
Cisco Secure Web Appliance のクローンオプションを含む次のポリシーは、Cisco Secure Email and Web Manager(SMA)でも管理できます。
|
AsyncOS 14.5.0-498 LD(限定導入)の動作の変更
SSL の設定 |
TLSv1.2 は、Chrome ブラウザのバージョン 98.0.4758.80 以降をサポートするために、[システム管理者(Test Interface)] > [SSL設定(SSL Configuration)] の下のアプライアンス管理 Web ユーザーインターフェイスに対してデフォルトで有効になっています。 |
||
セッション再開 |
アップグレード後、セッションの再開はデフォルトで無効になります。 |
||
Context Directory Agent(CDA) |
Context Directory Agent(CDA)はサポートされなくなりました。同じ機能を実現するために、透過的なユーザー識別のために ISE/ISE-PIC を設定することをお勧めします。 将来のリリースでは CDA を設定するオプションは使用できなくなります。 詳細については、「End-of-Sale and End-of-Life Announcement for the Cisco Context Directory Agent (CDA)」を参照してください。 |
||
スマートライセンス登録のインターフェイス選択 |
[テストインターフェイス(Test Interface)] ドロップダウンリストから、データインターフェイスまたは管理インターフェイスのいずれかを選択できるようになりました。
アップグレード後、分割ルーティングが有効になっている場合、Web インターフェイスのスマートライセンスの [テストインターフェイス(Test Interface)] は [データインターフェイス(Data Interface)] として表示されます。分割ルーティングが無効になっている場合は、[管理インターフェイス(Management Interface)] が表示されます。 |
||
HTTPS プロキシ – 無効な証明書の処理 |
AsyncOS 14.5 の新規インストールでは、HTTPS プロキシページの [期限切れ(Expired)] および [一致しないホスト名(Mismatched Hostname)] 証明書設定値は、デフォルトで [モニター(Monitor)] ではなく [ドロップ(Drop)] として選択されます。
|
||
networktuning |
Cisco AsyncOS 14.5 へのアップグレード後、初めて networktuning コマンドを実行すると、プロキシプロセスを再起動するように求めるプロンプトが表示されます。
|
新しい Web インターフェイスへのアクセス
新しい Web インターフェイスは、モニタリング レポートとトラッキング Web サービスの新しい外観を提供します。新しい Web インターフェイスには次の方法でアクセスできます。
-
レガシー Web インターフェイスにログインし、[Secure Web Appliance をクリックして新しい外観を試してみてください(Secure Web Appliance is getting a new look. Try it!!)] のリンクをクリックします。このリンクをクリックすると、Web ブラウザの新しいタブが開き、
https://wsa01-enterprise.com:<trailblazer-https-port>/ng-login
に移動します。ここでは、wsa01-enterprise.com
はアプライアンスのホスト名で、<trailblazer-https-port>
は、新しい Web インターフェイスにアクセスするためにアプライアンスに設定されている TRAILBLAZER HTTPS ポートです。
重要
-
アプライアンスのレガシー Web インターフェイスにログインする必要があります。
-
指定したアプライアンスのホスト名を DNS サーバが解決できることを確認します。
-
デフォルトでは、新しい Web インターフェイスでは、TCP ポート 6080、6443、および 4431 が動作可能である必要があります。これらのポートがエンタープライズ ファイアウォールでブロックされていないことを確認します。
-
新しい Web インターフェイスにアクセスするためのデフォルト ポートは 4431 です。これは、trailblazerconfig CLI コマンドを使用してカスタマイズできます。trailblazerconfig CLI コマンドの詳細については、ユーザガイドの「コマンドライン インターフェイス」の章を参照してください。
-
新しい Web インターフェイスでは、HTTP および HTTPS の AsyncOS API(モニタリング)ポートも必要です。デフォルトでは、これらのポートは 6080 および 6443 です。AsyncOS API(モニタリング)ポートは、interfaceconfig CLI コマンドを使用してカスタマイズすることもできます。Interfaceconfig CLI コマンドの詳細については、ユーザ ガイドの「コマンドライン インターフェイス」の章を参照してください。
これらのデフォルトポートを変更した場合は、新しい Web インターフェイスのカスタマイズされたポートがエンタープライズ ファイアウォールでブロックされていないことを確認します。
新しい Web インターフェイスは新しいブラウザウィンドウで開きます。それにアクセスするには、再度ログインする必要があります。アプライアンスから完全にログアウトする場合は、アプライアンスの新しい Web インターフェイスとレガシー Web インターフェイスの両方からログアウトする必要があります。
HTML ページのシームレスなナビゲーションとレンダリングのために、次のブラウザを使用してアプライアンスの新しい Web インターフェイス(AsyncOS 11.8 以降)にアクセスすることをお勧めします。
-
Google Chrome
-
Mozilla Firefox
サポートされているブラウザのいずれかで、アプライアンスのレガシー Web インターフェイスにアクセスできます。
アプライアンスの新しい Web インターフェイス(AsyncOS 11.8 以降)でサポートされている解像度は、1280x800 ~ 1680x1050 です。すべてのブラウザに対して最適に表示される解像度は 1440 x 900 です。
(注) |
シスコでは、より高い解像度でアプライアンスの新しい Web インターフェイスを表示することは推奨していません。 |
リリースの分類
各リリースは、リリースのタイプ(ED:初期導入、GD:全面導入など)によって識別されています。これらの用語の説明については、http://www.cisco.com/c/dam/en/us/products/collateral/security/web-security-appliance/content-security-release-terminology.pdfを参照してください。
このリリースでサポートされているハードウェア
このビルドは、サポートされている既存のすべてのプラットフォーム上でのアップグレードに使用できますが、拡張パフォーマンスのサポートは次のハードウェアモデルでのみ使用できます。
-
Sx90/F
-
Sx95/F
(注) |
AsyncOS バージョン 14.5 は、Sx90/F モデルでサポートされる最後のリリースになります。 |
仮想モデル:
-
S100v
-
S300v
システムの CPU およびメモリ要件は、12.5 リリース以降で変更されています。詳細については、『Cisco Content Security Virtual Appliance Installation Guide』 を参照してください。
-
S600v
-
S1000v
(注) |
アプライアンスに付属の Cisco SFP を使用します。 |
アップグレードパス
AsyncOS 14.5.2-011 へのアップグレード
(注) |
このリリースにアップグレードする前に、アプライアンスの設定ファイルのコピーをアプライアンス以外の場所に保存してください。 |
次のバージョンから AsyncOS for Cisco Secure Web Appliance リリース 14.5.2-011 にアップグレードできます。
|
|
|
AsyncOS 14.5.1-016 へのアップグレード
(注) |
アップグレード中は、デバイス(キーボード、マウス、管理デバイス(Raritan) など)をアプライアンスの USB ポートに接続しないでください。 |
次のバージョンから AsyncOS for Cisco Secure Web Appliance リリース 14.5.1-016 にアップグレードできます。
11.8.0-453 |
12.0.1-334 |
14.0.0-467 |
11.8.1-023 |
12.0.2-004 |
14-0-1-014 |
11.8.1-028 |
12.0.2-012 |
14.0.1-040 |
11.8.1-511 |
12.0.3-005 |
14.0.1-053 |
11.8.1-604 |
12.0.3-007 |
14.0.2-012 |
11.8.1-702 |
12.0.4-002 |
14.0.3-007 |
11.8.2-702 |
12.0.5-011 |
14.0.3-014 |
11.8.3-021 |
12.5.1-011 |
14.0.4-005 |
11.8.3-501 |
12.5.1-035 |
14.1.0-032 |
11.8.4-004 |
12.5.1-043 |
14.1.0-041 |
12.5.2-011 |
14.1.0-047 |
|
12.5.3-002 |
14.5.0-388 |
|
12.5.3-006 |
14.5.0-455 |
|
12.5.4-005 |
14.5.0-498 |
|
12.5.4-011 |
14.5.0-537 |
|
12.5.5-004 |
14.5.0-673 |
|
12.5.5-005 |
14.5.1-008 |
|
12.5.5-008 |
||
12.7.0-033 |
||
AsyncOS 14.5.1-008 へのアップグレード
(注) |
アップグレード中は、デバイス(キーボード、マウス、管理デバイス(Raritan) など)をアプライアンスの USB ポートに接続しないでください。 |
次のバージョンから AsyncOS for Cisco Secure Web Appliance リリース 14.5.1-008 にアップグレードできます。
11.8.0-453 |
12.0.1-334 |
14.0.0-467 |
11.8.1-023 |
12.0.2-004 |
14-0-1-014 |
11.8.1-028 |
12.0.2-012 |
14.0.1-040 |
11.8.1-511 |
12.0.3-005 |
14.0.1-053 |
11.8.1-604 |
12.0.3-007 |
14.0.2-012 |
11.8.1-702 |
12.0.4-002 |
14.0.3-007 |
11.8.2-702 |
12.0.5-011 |
14.0.3-014 |
11.8.3-021 |
12.5.1-011 |
14.1.0-032 |
11.8.3-501 |
12.5.1-035 |
14.1.0-041 |
11.8.4-004 |
12.5.1-043 |
14.1.0-047 |
12.5.2-011 |
14.5.0-388 |
|
12.5.3-002 |
14.5.0-455 |
|
12.5.3-006 |
14.5.0-498 |
|
12.5.4-005 |
14.5.0-537 |
|
12.5.4-011 |
14.5.0-673 |
|
12.5.5-004 |
||
12.5.5-005 |
||
12.5.5-008 |
||
12.7.0-033 |
AsyncOS 14.5.0-537 へのアップグレード
(注) |
アップグレード中は、デバイス(キーボード、マウス、管理デバイス(Raritan) など)をアプライアンスの USB ポートに接続しないでください。 |
次のバージョンから AsyncOS for Cisco Secure Web Appliance リリース 14.5.0-537 にアップグレードできます。
11.8.0-453 |
12.0.1-268 |
14.0.0-467 |
11.8.1-023 |
12.0.1-334 |
14-0-1-014 |
11.8.1-028 |
12.0.2-004 |
14.0.1-040 |
11.8.1-511 |
12.0.2-012 |
14.0.1-053 |
11.8.1-604 |
12.0.3-005 |
14.0.1-503 |
11.8.1-702 |
12.0.3-007 |
14.0.2-012 |
11.8.2-009 |
12.0.4-002 |
14.1.0-032 |
11.8.2-702 |
12.5.1-011 |
14.1.0-041 |
11.8.3-021 |
12.5.1-035 |
14.1.0-047 |
11.8.3-501 |
12.5.1-043 |
14.5.0-388 |
11.8.4-004 |
12.5.2-007 |
14.5.0-455 |
12.5.2-011 |
14.5.0-498 |
|
12.5.3-002 |
||
12.5.4-005 |
||
12.5.4-011 |
||
12.7.0-033 |
AsyncOS 14.5.0-498 へのアップグレード
(注) |
アップグレード中は、デバイス(キーボード、マウス、管理デバイス(Raritan) など)をアプライアンスの USB ポートに接続しないでください。 |
次のバージョンから AsyncOS for Cisco Secure Web Appliance リリース 14.5.0-498 にアップグレードできます。
11.8.0-453 |
12.0.1-268 |
14.0.0-467 |
11.8.1-023 |
12.0.1-334 |
14-0-1-014 |
11.8.1-028 |
12.0.2-004 |
14.0.1-040 |
11.8.1-511 |
12.0.2-012 |
14.0.1-053 |
11.8.1-604 |
12.0.3-005 |
14.0.2-012 |
11.8.1-702 |
12.0.3-007 |
14.1.0-032 |
11.8.2-009 |
12.0.4-002 |
14.1.0-041 |
11.8.2-702 |
12.5.1-011 |
14.1.0-047 |
11.8.3-021 |
12.5.1-035 |
14.5.0-388 |
11.8.3-501 |
12.5.1-043 |
14.5.0-455 |
11.8.4-004 |
12.5.2-007 |
|
12.5.2-011 |
||
12.5.3-002 |
||
12.7.0-033 |
アップグレード後の要件
アプライアンスを Cisco Threat Response に登録していない場合は、14.5.1-016 にアップグレードした後で次の手順を実行する必要があります。
手順
ステップ 1 |
管理者アクセス権を使用して、Cisco Threat Response ポータルでユーザアカウントを作成します。 新しいアカウントを作成するには、URL:https://visibility.amp.cisco.com を使用して Cisco Threat Response ポータルにログインし、[Cisco セキュリティアカウントの作成(Create a Cisco Security Account)] をクリックします。新しいユーザ アカウントを作成できない場合は、Cisco TAC に連絡してサポートを受けてください。 |
ステップ 2 |
アプライアンスを Security Services Exchange(SSE)クラウドポータルに登録するには、自身の地域に対応する SSE ポータルからトークンを生成します。 SSE クラウドポータルへの登録時に、アプライアンスの Web ユーザインターフェイスから、地域に基づいて次の FQDN を選択します。
|
ステップ 3 |
Security Services Exchange ポータルのクラウドサービスにある Cisco Threat Response が有効になっていることを確認します。アプライアンスを Security Services Exchange ポータルに登録するには、FQDN api-sse.cisco.com(米国)のファイアウォールの HTTPS(インとアウト)443 ポートが開いていることを確認します。 仮想アプライアンスの展開については、『Cisco Content Security Virtual Appliance Installation Guide』を参照してください。このドキュメントは、http://www.cisco.com/c/en/us/support/security/web-security-appliance/products-installation-guides-list.html から入手できます。 |
互換性の詳細
セキュリティ管理のための Cisco AsyncOS との互換性
このリリースと Cisco Content Security Management 用の AsyncOS のリリースの互換性については、https://www.cisco.com/c/dam/en/us/td/docs/security/security_management/sma/sma_all/web-compatibility/index.htmlで互換性マトリックスを参照してください。
クラウド コネクタ モードでの IPv6 と Kerberos は使用不可
アプライアンスがクラウド コネクタ モードで設定されている場合、Web インターフェイスのページに「IPv6 アドレスと Kerberos 認証用のオプションは使用できません(unavailable options for IPv6 addresses and Kerberos authentication)」と表示されます。使用できるように見えても、それらのオプションはクラウド コネクタ モードではサポートされていません。クラウド コネクタ モードでは、IPv6 アドレスまたは Kerberos 認証を使用するようにアプライアンスを設定しようとしないでください。
IPv6 アドレスの機能サポート
IPv6 アドレスをサポートする特性と機能は次のとおりです。
-
コマンド ラインと Web インターフェイス。アプライアンスにアクセスするには、http://[2001:2:2::8]:8080 または https://[2001:2:2::8]:8443 を使用します。
-
IPv6 データ トラフィックでのプロキシ アクションの実行(HTTP/HTTPS/SOCKS/FTP)
-
IPv6 DNS サーバ
-
WCCP 2.01(Cat6K スイッチ)とレイヤ 4 透過リダイレクション
-
アップストリーム プロキシ
-
認証サービス
-
Active Directory(NTLMSSP、Basic、および Kerberos)
-
LDAP
-
SaaS SSO
-
CDA による透過的ユーザ識別(CDA との通信は IPv4 のみ)
-
クレデンシャルの暗号化
-
-
Web レポートと Web トラッキング
-
外部 DLP サーバ(アプライアンスと DLP サーバ間の通信は IPv4 のみ)
-
PAC ファイル ホスティング
-
プロトコル:管理サーバを介した NTP、RADIUS、SNMP、および syslog
IPv4 アドレスを必要とする特性と機能は次のとおりです。
-
内部 SMTP リレー
-
外部認証
-
ログ サブスクリプションのプッシュ方式:FTP、SCP、および syslog
-
NTP サーバ
-
ローカル アップデート サーバ(アップデート用のプロキシ サーバを含む)
-
認証サービス
-
AnyConnect セキュア モビリティ
-
Novell eDirectory 認証サーバ
-
エンドユーザ 通知のカスタム ロゴのページ
-
Secure Web Appliance とセキュリティ管理アプライアンス間の通信
-
2.01 より前の WCCP バージョン
-
SNMP
オペレーティング システムとブラウザの Kerberos 認証の可用性
Kerberos 認証は、次のオペレーティング システムとブラウザで使用できます。
-
Windows サーバ 2003、2008、2008R2、および 2012
-
Mac での Safari および Firefox ブラウザの最新リリース (OSX バージョン10.5 以降)
-
IE(バージョン 7 以降)と Windows 7 以降の Firefox および Chrome ブラウザの最新リリース
Kerberos 認証は、次のオペレーティング システムとブラウザでは使用できません。
-
上記に記載されていない Windows オペレーティング システム
-
上記で説明していないブラウザ
-
iOS と Android
仮想アプライアンスの展開
仮想アプライアンスの展開については、『Cisco Content Security Virtual Appliance Installation Guide』を参照してください。このドキュメントは、http://www.cisco.com/c/en/us/support/security/web-security-appliance/products-installation-guides-list.html から入手できます。
ハードウェア アプライアンスから仮想アプライアンスへの移行
手順
ステップ 1 |
アップグレード後の要件で説明されているマニュアルを使用して、この AsyncOS リリースで仮想アプライアンスをセットアップします。
|
||
ステップ 2 |
ハードウェアアプライアンスをこの AsyncOS リリースにアップグレードします。 |
||
ステップ 3 |
アップグレードされたハードウェア アプライアンスから設定ファイルを保存します。 |
||
ステップ 4 |
ハードウェアアプライアンスから仮想アプライアンスに設定ファイルをロードします。 ハードウェアと仮想アプライアンスの IP アドレスが異なる場合は、設定ファイルをロードする前に、[ネットワーク設定のロード(Load Network Settings)] を選択解除します。 |
||
ステップ 5 |
変更を保存します。 |
||
ステップ 6 |
に移動し、ドメインに再度参加します。そうしないと、アイデンティティは機能しません。 |
AsyncOS for Web のアップグレード
始める前に
-
RAID コントローラ ファームウェアの更新を含むアップグレード前の要件を実行します。
-
管理者としてログインします。
手順
ステップ 1 |
ページで、Secure Web Appliance から XML 構成ファイルを保存します。 |
||
ステップ 2 |
ページで、[アップグレードオプション(Upgrade Options)] をクリックします。 |
||
ステップ 3 |
[ダウンロードとインストール(Download and install)] または [ダウンロードのみ(Download only)] のいずれかを選択できます。 使用可能なアップグレードのリストから選択します。 |
||
ステップ 4 |
[続行(Proceed)] をクリックします。 [ダウンロードのみ(Download only)] を選択した場合は、アップグレードがアプライアンスにダウンロードされます。 |
||
ステップ 5 |
[ダウンロードとインストール(Download and install)] を選択した場合は、アップグレードが完了したら、[今すぐリブート(Reboot Now)] をクリックして、Cisco Secure Web Appliance をリブートします。
|
重要:アップグレード後に必要なアクション
アップグレード後にアプライアンスが正常に機能し続けるようにするには、次の事項に対処する必要があります。
シスコが推奨する暗号スイートへのデフォルト プロキシ サービス暗号スイートの変更
AsyncOS 9.1.1 以降では、プロキシ サービスに使用可能なデフォルトの暗号スイートは、セキュアな暗号スイートのみを含むように変更されます。
ただし、AsyncOS 9.x.x 以降のリリースからアップグレードする場合、デフォルトのプロキシ サービスの暗号スイートは変更されません。セキュリティを強化するために、アップグレード後に、デフォルトのプロキシ サービス暗号スイートをシスコが推奨する暗号スイートに変更することをお勧めします。次の手順を実行します。
手順
ステップ 1 |
Web インターフェイスを使用してアプライアンスにログインします。 |
||
ステップ 2 |
をクリックします。 |
||
ステップ 3 |
[設定の編集(Edit Settings)] をクリックします。 |
||
ステップ 4 |
[プロキシサービス(Proxy Services)] で、[使用する暗号(CIPHER(s) to Use)] フィールドを次のフィールドに設定します。
|
||
ステップ 5 |
変更を送信し、保存します。 |
CLI で sslconfig コマンドを使用して、上記の手順を実行することもできます。
仮想アプライアンス:SSH セキュリティ脆弱性の修正に必要な変更
このセクションの要件は AsyncOS 8.8 で導入されました。
次のセキュリティ脆弱性は、アプライアンスに存在する場合、アップグレード中に修正されます。
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150625-ironport
(注) |
このパッチは、2015 年 6 月 25 日より前にダウンロードまたはアップグレードされた仮想アプライアンス リリースにのみ必要です。 |
アップグレード前にこの問題を修正しなかった場合は、修正されたことを示すメッセージがアップグレード中に表示されます。このメッセージが表示された場合、アップグレード後にアプライアンスを完全な動作順序に戻すには次のアクションを実行する必要があります。
-
SSH ユーティリティの既知のホスト リストから、アプライアンスの既存のエントリを削除します。新しいキーが作成されたら、ssh 経由でアプライアンスに接続し、接続を承認します。
-
SCP プッシュを使用して、リモートサーバ(Splunk を含む)にログを転送する場合は、リモートサーバからアプライアンスの古い SSH ホストキーをクリアします。
-
展開に Cisco コンテンツ セキュリティ管理アプライアンスが含まれている場合は、そのアプライアンスのリリース ノートに記載されている重要な手順を参照してください。
ファイル分析:クラウドで分析結果の詳細を表示するために必要な変更
複数のコンテンツ セキュリティ アプライアンス(Web、電子メール、または管理)を展開しており、組織内の任意のアプライアンスからアップロードされたすべてのファイルについてクラウド内の詳細なファイル分析結果を表示する場合は、アップグレード後に各アプライアンスでアプライアンス グループを設定する必要があります。アプライアンスグループを設定するには、「File Reputation Filtering and File Analysis」を参照してください。
ファイル分析:分析対象のファイル タイプの確認
AsyncOS 8.8 でファイル分析クラウドサ ーバの URL が変更されました。その結果、分析可能なファイルタイプがアップグレード後に変更された可能性があります。変更がある場合は、アラートが表示されます。分析用に選択したファイルタイプを確認するには、
を選択し、Advanced Malware Protection の設定を確認します。正規表現のエスケープされていないドット
正規表現のパターンマッチング エンジンにアップグレードすると、システムの更新後に既存のパターン定義でエスケープされていないドットに関するアラートが表示されることがあります。ドットの後に 64 文字以上を返すパターン内のエスケープされていないドットは、Velocity パターンマッチングエンジンによって無効化され、その影響についてのアラートがユーザーに送信されます。パターンを修正または置換するまで、更新のたびにアラートは送信され続けます。一般に、長い正規表現内のエスケープされていないドットは問題を引き起こす可能性があるため、避ける必要があります。
マニュアルの更新
Web サイト(www.cisco.com)にあるユーザ ガイドは、オンライン ヘルプよりも最新である場合があります。この製品のユーザ ガイドとその他のドキュメントを入手するには、オンライン ヘルプの [PDFの表示(View PDF)] ボタンをクリックするか、「関連資料」に示す URL にアクセスしてください。
既知および修正済みの問題
バグ検索ツールの要件
シスコ アカウントを持っていない場合は、登録します。https://identity.cisco.com/ui/tenants/global/v1.0/enrollment-ui に移動します。
既知および修正済みの問題のリスト
リリース 14.5.2-011 の既知および修正済みの問題
リリース 14.5.1-016 の既知および修正済みの問題
リリース 14.5.1-008 の既知および修正済みの問題
リリース 14.5.0-537 の既知および修正済みの問題
リリース 14.5.0-498 の既知および修正済みの問題
既知および解決済みの問題に関する情報の検索
Cisco Bug Search Tool を使用して、既知および解決済みの不具合に関する現在の情報を検索します。
始める前に
シスコ アカウントを持っていない場合は、登録します。https://identity.cisco.com/ui/tenants/global/v1.0/enrollment-ui に移動します。
手順
ステップ 1 |
|
ステップ 2 |
シスコ アカウントのクレデンシャルでログインします。 |
ステップ 3 |
をクリックし、[OK] をクリックします。 |
ステップ 4 |
[リリース(Releases)] フィールドに、リリースのバージョン(x.x.x など)を入力します。 |
ステップ 5 |
要件に応じて、次のいずれかを実行します。
|
(注) |
ご不明な点がある場合は、ツールの右上にある [ヘルプ(Help)] または [フィードバック(Feedback)] リンクをクリックしてください。また、インタラクティブなツアーもあります。これを表示するには、[検索(search)] フィールドの上のオレンジ色のバーにあるリンクをクリックします。 |
関連資料
資料 |
参照先 |
---|---|
Cisco Secure Web Appliance ユーザーガイド |
|
シスコのコンテンツセキュリティ管理アプライアンスユーザーガイド |
https://www.cisco.com/c/en/us/support/security/content-security-management-appliance/series.html |
仮想アプライアンス インストールガイド |
サポート
シスコサポートコミュニティ
シスコサポートコミュニティは、シスコのお客様、パートナー、および従業員向けのオンラインフォーラムです。Web セキュリティに関する一般的な問題や、特定のシスコ製品に関する技術情報について話し合う場を提供します。このフォーラムにトピックを投稿して質問したり、他のシスコユーザーと情報を共有したりできます。
Web セキュリティと関連管理については、シスコサポートコミュニティにアクセスしてください。
カスタマー サポート
(注) |
仮想アプライアンスのサポートを受けるには、Cisco TAC にお問い合わせください。TAC に連絡する前に、仮想ライセンス番号(VLN)番号を準備してください。 |
Cisco TAC:
http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html。
従来の IronPort のサポート サイト:
http://www.cisco.com/web/services/acquisitions/ironport.html。
重大ではない問題の場合は、アプライアンスからカスタマー サポートにアクセスすることもできます。手順については、『Cisco Secure Web Appliance User Guide』の「Troubleshooting」セクションを参照してください。