CHAPTER
60
CSC SSM での Content Security and
Control アプリケーションの設定
この章では、適応型セキュリティ アプライアンスで CSC SSM にインストールされる Content Security
and Control（CSC）アプリケーションの設定を設定する方法について説明します。
この章は、次の項目を取り上げます。
• 「CSC SSM に関する情報」（P.60-1）
• 「CSC SSM のライセンス要件」（P.60-4）
• 「CSC SSM の前提条件」（P.60-5）
• 「ガイドラインと制限事項」（P.60-5）
• 「デフォルト設定」（P.60-6）
• 「CSC SSM の設定」（P.60-6）
• 「CSC SSM の監視」（P.60-10）
• 「CSC SSM の設定例」（P.60-10）
• 「その他の参考資料」（P.60-11）
• 「CSC SSM の機能履歴」（P.60-12）
CSC SSM に関する情報
ASA 5500 シリーズ適応型セキュリティ アプライアンスは、Content Security and Control ソフトウェ
アを実行する CSC SSM をサポートしています。CSC SSM は、ウイルス、スパイウェア、スパムな
ど、望ましくないトラフィックからの保護を提供します。これは、適応型セキュリティ アプライアン
スが CSC SSM に送信するように設定した FTP、HTTP、POP3、および SMTP パケットをスキャンす
ることによって実現されます。
図 60-1 は、次の条件を満たす適応型セキュリティ アプライアンスを通過するトラフィック フローを示
しています。
• CSC SSM がインストールされ、設定されている。
• CSC SSM に誘導しスキャンするトラフィックを決定するサービス ポリシーがある。
この例では、クライアントは、Web サイトにアクセスするネットワーク ユーザ、FTP サーバからファ
イルをダウンロードするネットワーク ユーザ、または POP3 サーバからメールを取得するネットワー
ク ユーザです。SMTP スキャンは、適応型セキュリティ アプライアンスによって保護されている
SMTP サーバに外部から送信されるトラフィックをスキャンするために、適応型セキュリティ アプラ
イアンスを設定する必要がある点で異なります。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
OL-18970-01-J
60-1
第 60 章
CSC SSM での Content Security and Control アプリケーションの設定
CSC SSM に関する情報
図 60-1
CSC SSM でスキャンされたトラフィックのフロー
ᢘࣖ‫׹‬
ǻǭȥȪȆǣ ǢȗȩǤǢȳǹ
ȡǤȳ ǷǹȆȠ
ࡕࠫࡘ࡜࡯
ࠨ࡯ࡆࠬ
ࡐ࡝ࠪ࡯
ⷐ᳞
ㅍା
ⷐ᳞
ౝㇱ
ォㅍ
ᄖㇱ
ᔕ╵ ォㅍ
ᔕ╵ ㅍା
⺃ዉߐࠇࠆ࠻࡜ࡈࠖ࠶ࠢ
ࠨ࡯ࡃ
ࠦࡦ࠹ࡦ࠷࠮ࠠࡘ࡝࠹ࠖࠬࠠࡖࡦ
CSCSSM
148386
ࠢ࡜ࠗࠕࡦ࠻
CSC SSM のシステム セットアップとモニタリングには、ASDM を使用します。CSC SSM ソフトウェ
アのコンテンツ セキュリティ ポリシーの高度な設定を行うには、ASDM 内のリンクをクリックして、
CSC SSM の Web ベースの GUI にアクセスします。
（注）
ASDM と CSC SSM では、別個のパスワードが保持されます。それぞれのパスワードを同一にするこ
とはできますが、これら 2 つのパスワードの 1 つを変更しても他のパスワードには影響を与えません。
ASDM を実行しているホストと適応型セキュリティ アプライアンスの間の接続は、適応型セキュリ
ティ アプライアンスの管理ポートを通じて確立されます。CSC SSM GUI への接続は、SSM 管理ポー
トを通じて確立されます。これら 2 つの接続は、CSC SSM の管理に必要であるため、ASDM を実行し
ているホストは、適応型セキュリティ アプライアンスの管理ポートと SSM の管理ポートの両方の IP
アドレスにアクセスできる必要があります。
図 60-2 は、専用の管理ネットワークに接続されている CSC SSM がある適応型セキュリティ アプライ
アンスを示しています。専用の管理ネットワークの使用は必須ではありませんが、使用することをお勧
めします。この設定では、次の項目が特に重要です。
• HTTP プロキシ サーバが内部ネットワークと管理ネットワークに接続されている。この HTTP プ
ロキシ サーバにより、CSC SSM から Trend Micro アップデート サーバに接続できます。
• 適応型セキュリティ アプライアンスの管理ポートが、管理ネットワークに接続されている。適応
型セキュリティ アプライアンスと CSC SSM の管理を許可するには、ASDM を実行しているホス
トが管理ネットワークと接続している必要があります。
• 管理ネットワークに、CSC SSM への電子メール通知に使用される SMTP サーバ、および CSC
SSM が syslog メッセージを送信できる syslog サーバが含まれている。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
60-2
OL-18970-01-J
第 60 章
CSC SSM での Content Security and Control アプリケーションの設定
CSC SSM に関する情報
図 60-2
管理ネットワークを備えた CSC SSM 構成
ᢘࣖ‫׹‬ǻǭȥȪȆǣ
ǢȗȩǤǢȳǹ
Trend Micro
ࠕ࠶ࡊ࠺࡯࠻ ࠨ࡯ࡃ
ౝㇱ
192.168.100.1
HTTP
ࡊࡠࠠࠪ
ȡǤȳ ǷǹȆȠ
▤ℂࡐ࡯࠻
192.168.50.1
CSCSSM
ASDM
192.168.50.38 SSM
▤ℂ
ࡐ࡯࠻
148387
Syslog
ᄖㇱ
ࠗࡦ࠲࡯ࡀ࠶࠻
10.6.13.67
ㅢ⍮
SMTPࠨ࡯ࡃ
スキャンするトラフィックの指定
CSC SSM は、接続要求パケットの宛先ポートが指定されたプロトコルの予約済みポートである場合に
のみ、FTP、HTTP、POP3、および SMTP トラフィックをスキャンできます。CSC SSM がスキャン
できる接続は、次の接続に限られます。
• TCP ポート 21 に対して開かれた FTP 接続
• TCP ポート 80 に対して開かれた HTTP 接続
• TCP ポート 110 に対して開かれた POP3 接続
• TCP ポート 25 に対して開かれた SMTP 接続
これらすべてのプロトコルのトラフィックをスキャンすることも、任意のプロトコルの組み合せをス
キャンすることもできます。たとえば、ネットワーク ユーザが POP3 電子メールの受信を許可しない
場合は、POP3 トラフィックを CSC SSM に誘導するように、適応型セキュリティ アプライアンスを設
定しないでください。代わりに、このトラフィックをブロックします。
適応型セキュリティ アプライアンスと CSC SSM のパフォーマンスを最大化するには、CSC SSM でス
キャンするトラフィックだけを CSC SSM に誘導します。信頼できる送信元と宛先間のトラフィックな
ど、スキャンしないトラフィックまで誘導すると、ネットワークのパフォーマンスに悪影響を与える可
能性があります。
図 60-3 で示されている設定を基にして、適応型セキュリティ アプライアンスを、内部ネットワークの
クライアントから外部ネットワークへの HTTP、FTP、および POP3 接続要求、および外部ホストから
DMZ ネットワーク上のメール サーバへの着信 SMTP 接続だけを CSC SSM に誘導するように設定しま
す。内部ネットワークから DMZ ネットワークの Web サーバへの HTTP 要求はスキャンしません。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
OL-18970-01-J
60-3
第 60 章
CSC SSM での Content Security and Control アプリケーションの設定
CSC SSM のライセンス要件
図 60-3
CSC SSM スキャンの一般的なネットワーク コンフィギュレーション
ᢘࣖ‫׹‬ǻǭȥȪȆǣ
ǢȗȩǤǢȳǹ
192.168.10.0
ౝㇱ
ᄖㇱ
192.168.30.0
ࠗࡦ࠲࡯ࡀ࠶࠻
143800
192.168.20.0
㧔dmz㧕
Web ࠨ࡯ࡃ
ࡔ࡯࡞ ࠨ࡯ࡃ
CSC SSM のライセンス要件
次の表に、この機能のライセンス要件を示します。
モデル
ライセンス要件
ASA 5505
サポートしない
ASA 5510
Security Plus ライセンス：2 コンテキスト
オプション ライセンス：5 コンテキスト
ASA 5520
基本ライセンス：2 コンテキスト
オプション ライセンス：5、10、または 20 コンテキスト
ASA 5540
基本ライセンス：2 コンテキスト
オプション ライセンス：5、10、20、または 50 コンテキスト
ASA 5510、5520、および 5540 の場合：
• 基本ライセンスの場合、デフォルトでイネーブルになっている機能は、SMTP ウイルス スキャン、POP3 ウイルス ス
キャン、コンテンツ フィルタリング、Web メール ウイルス スキャン、HTTP ファイル ブロッキング、FTP ウイルス ス
キャンとファイル ブロッキング、ロギング、および自動アップデートです。
• Security Plus ライセンスの場合、デフォルトでイネーブルになっている追加機能は、SMTP アンチスパム、SMTP コン
テンツ フィルタリング、POP3 アンチスパム、URL ブロッキング、および URL フィルタリングです。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
60-4
OL-18970-01-J
第 60 章
CSC SSM での Content Security and Control アプリケーションの設定
CSC SSM の前提条件
CSC SSM の前提条件
CSC SSM には次の前提条件があります。
• CSC SSM カードを適応型セキュリティ アプライアンスに装着する必要があります。
• CSC SSM の登録に使用する Product Authorization Key（PAK）。
• CSC SSM を登録した後に電子メールで受け取るアクティベーション キー。
• CSC SSM の管理ポートをお使いのネットワークに接続して、CSC SSM ソフトウェアの管理と自
動アップデートを可能にする必要があります。
• CSC SSM 管理ポートの IP アドレスには、ASDM の実行に使用するホストからアクセスできる必
要があります。
• CSC SSM の設定で使用する次の情報を入手する必要があります。
– CSC SSM 管理ポートの IP アドレス、ネットマスク、およびゲートウェイ IP アドレス。
– DNS サーバの IP アドレス。
– HTTP プロキシ サーバ IP アドレス（セキュリティ ポリシーで、HTTP を使用したインター
ネット アクセスでプロキシ サーバを使用する必要がある場合にのみ必要）。
– CSC SSM のドメイン名とホスト名。
– 電子メール通知に使用する電子メール アドレス、SMTP サーバの IP アドレス、およびポート
番号。
– CSC SSM の管理を許可されたホストまたはネットワークの IP アドレス。CSC SSM 管理ポー
トと適応型セキュリティ アプライアンス管理インターフェイスの IP アドレスは、異なるサブ
ネットに属していてもかまいません。
– CSC SSM 用のパスワード。
ガイドラインと制限事項
この項では、この機能のガイドラインと制限事項について説明します。
コンテキスト モードのガイドライン
シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。
ファイアウォール モードのガイドライン
ルーテッド ファイアウォール モードと透過ファイアウォール モードでサポートされています。
フェールオーバーのガイドライン
ステートフル フェールオーバーのセッションはサポートされません。CSC SSM は接続情報を保持しな
いため、必要な情報をフェールオーバー装置に提供できないからです。CSC SSM がスキャンしている
接続は、CSC SSM がインストールされている適応型セキュリティ アプライアンスで障害が発生すると
ドロップされます。スタンバイの適応型セキュリティ アプライアンスがアクティブになると、スキャ
ンされるトラフィックは CSC SSM に転送され、接続がリセットされます。
IPv6 のガイドライン
IPv6 はサポートされません。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
OL-18970-01-J
60-5
第 60 章
CSC SSM での Content Security and Control アプリケーションの設定
デフォルト設定
モデルのガイドライン
ASA 5510、ASA 5520 、および ASA 5540 だけでサポートされます。
デフォルト設定
表 60-1 に、CSC SSM のデフォルト設定を示します。
表 60-1
CSC SSM のデフォルト パラメータ
パラメータ
デフォルト
適応型セキュリティ アプライアンスでの FTP 検査 イネーブル
購入したライセンスに含まれるすべての機能
イネーブル
CSC SSM の設定
この項では、CSC SSM を設定する方法について説明します。次の項目を取り上げます。
• 「CSC SSM を設定する前に」（P.60-6）
• 「CSC SSM へのトラフィックの誘導」（P.60-7）
CSC SSM を設定する前に
適応型セキュリティ アプライアンスおよび CSC SSM を設定する前に、次の手順を実行します。
ステップ 1
CSC SSM が Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスに事前インストールされて
いない場合は、インストールして、ネットワーク ケーブルを SSM の管理ポートに接続します。SSM
のインストールおよび接続については、「その他の参考資料」（P.60-11）を参照してください。
CSC SSM の管理ポートは、お使いのネットワークに接続して、CSC SSM ソフトウェアの管理と自動
アップデートを可能にする必要があります。また、CSC SSM は、電子メール通知と syslog メッセージ
に管理ポートを使用します。
ステップ 2
CSC SSM には、Product Authorization Key（PAK）が付属しています。PAK を使用して、次の URL
で CSC SSM を登録します。
http://www.cisco.com/go/license
登録後、電子メールでアクティベーション キーが届きます。ステップ 6 を完了するには、アクティ
ベーション キーが必要です。
ステップ 3
ステップ 6 で必要な次の情報を入手します。
• アクティベーション キー。
• CSC SSM 管理ポートの IP アドレス、ネットマスク、およびゲートウェイ IP アドレス。
• DNS サーバの IP アドレス。
• HTTP プロキシ サーバ IP アドレス（セキュリティ ポリシーで、HTTP を使用したインターネット
アクセスでプロキシ サーバを使用する必要がある場合にのみ必要）。
• CSC SSM のドメイン名とホスト名。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
60-6
OL-18970-01-J
第 60 章
CSC SSM での Content Security and Control アプリケーションの設定
CSC SSM の設定
• 電子メール通知に使用する電子メール アドレス、SMTP サーバの IP アドレス、およびポート番
号。
• CSC SSM の管理を許可されたホストまたはネットワークの IP アドレス。
• CSC SSM 用のパスワード。
ステップ 4
Web ブラウザで、CSC SSM がインストールされている適応型セキュリティ アプライアンスの ASDM
にアクセスします。
（注）
ASDM に初めてアクセスする場合は、「その他の参考資料」（P.60-11）を参照してください。
ASDM アクセスをイネーブルにする方法の詳細については、「ASDM での HTTPS アクセスの許可」
（P.37-4）を参照してください。
ステップ 5
適応型セキュリティ アプライアンスの時刻設定を確認します。時刻設定が正確であることは、セキュ
リティ イベントのロギング、および CSC SSM ソフトウェアの自動アップデートにとって重要です。
次のいずれかを実行します。
• 時刻設定を手動で制御する場合は、時間帯を含む、クロック設定を確認します。[Configuration] >
[Properties] > [Device Administration] > [Clock] を選択します。
• NTP を使用している場合は、NTP コンフィギュレーションを確認します。[Configuration] >
[Properties] > [Device Administration] > [NTP] を選択します。
ステップ 6
サポートされている Web ブラウザで ASDM GUI にアクセスし、[Home] ペインの、[Content Security]
タブをクリックします。
ステップ 7
CSC Setup Wizard を実行します。CSC Setup Wizard にアクセスするには、[Configuration] > [Trend
Micro Content Security] > [CSC Setup] > [Wizard Setup] > [Launch Setup Wizard] を選択します。
CSC Setup Wizard が表示されます。CSC Setup Wizard については、[Help] ボタンをクリックしてくだ
さい。
ステップ 8
ASA 5500 シリーズ適応型セキュリティ アプライアンスでは、CSC SSM に誘導するトラフィックを特
定します。手順については、「CSC SSM へのトラフィックの誘導」（P.60-7）を参照してください。
ステップ 9
（オプション）CSC SSM GUI でデフォルトのコンテンツ セキュリティ ポリシーを確認します。デフォ
ルトのコンテンツ セキュリティ ポリシーは、ほとんどの実装に適しています。コンテンツ セキュリ
ティ ポリシーを確認するには、CSC SSM GUI でイネーブルになっている機能を表示します。機能を
使用できるかどうかについては、「CSC SSM のライセンス要件」（P.60-4）を参照してください。デ
フォルト設定については、「デフォルト設定」（P.60-6）を参照してください。
CSC SSM GUI にアクセスするには、ASDM で、[Configuration] > [Trend Micro Content Security] を
選択し、[Web]、[Mail]、[File Transfer]、または [Updates] のいずれかをクリックします。
CSC SSM へのトラフィックの誘導
適応型セキュリティ アプライアンスがトラフィックを CSC SSM に誘導するように設定するには、モ
ジュラ ポリシー フレームワーク コマンドを使用します。
前提条件
トラフィックを CSC SSM に誘導するように適応型セキュリティ アプライアンスを設定する前に、第 9
章「モジュラ ポリシー フレームワークの使用」を参照してください。モジュラ ポリシー フレームワー
ク の概念と一般的なコマンドについて説明されています。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
OL-18970-01-J
60-7
第 60 章
CSC SSM での Content Security and Control アプリケーションの設定
CSC SSM の設定
詳細な手順
ステップ 1
コマンド
目的
access-list extended
CSC SSM でスキャンするトラフィックと一致する
例：
hostname(config)# access-list extended
ステップ 2 class-map class_map_name
アクセスリストを作成します。すべてのトラフィッ
クと一致させるのに必要な数の Access Control
Entry（ACE; アクセス コントロール エントリ）を
作成します。たとえば、FTP、HTTP、POP3、およ
び SMTP のトラフィックを指定する場合、4 つの
ACE が必要です。スキャンするトラフィックを特定
する方法については、「CSC SSM へのトラフィック
の誘導」（P.60-7）を参照してください。
CSC SSM に誘導する必要があるトラフィックを特
定するためのクラスマップを作成します。
例：
hostname(config)# class-map class_map_name
ステップ 3 match access-list acl-name
class_map_name 引数は、トラフィック クラスの名
前です。class-map コマンドを入力すると、CLI が
クラスマップ コンフィギュレーション モードに移行
します。
ステップ 1 で作成したアクセス リストとともに、ス
キャンするトラフィックを特定します。acl-name 引
数は、アクセス リストの名前です。
例：
hostname(config-cmap)# match access-list acl-name
ステップ 4 policy-map policy_map_name
例：
hostname(config-cmap)# policy-map policy_map_name
ステップ 5 class class_map_name
例：
hostname(config-pmap)# class class_map_name
ステップ 6 set connection per-client-max n
例：
hostname(config-pmap-c)# set connection
per-client-max 5
CSC SSM にトラフィックの送信に使用するポリ
シーマップを作成するか、既存のポリシーマップを
修正します。policy_map_name 引数は、ポリシー
マップの名前です。policy-map コマンドを入力す
ると、CLI がポリシーマップ コンフィギュレーショ
ン モードに移行します。
ステップ 2 で作成した、スキャンするトラフィック
を特定するクラスマップを指定します。
class_map_name 引数は、ステップ 2 で作成したク
ラスマップの名前です。CLI がポリシーマップ クラ
ス コンフィギュレーション モードに移行します。
DoS 攻撃を阻止するための制限を設定できます。
per-client-max パラメータは、個々のクライアント
が開くことができる接続の最大数を制限します。ク
ライアントが必要以上のネットワーク リソースを同
時に使用している場合、適応型セキュリティ アプラ
イアンスが CSC SSM に誘導する同時接続を、クラ
イアントごとに制限できます。引数 n は、適応型セ
キュリティ アプライアンスがクライアントごとに許
可される同時接続の最大数です。このコマンドは、
1 台のクライアントが CSC SSM のサービスや SSM
で保護されたサーバを必要以上に使用しないように
します。また、CSC SSM が保護する HTTP 、FTP、
POP3、または SMTP サーバに対する DoS 攻撃の試
みも阻止します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
60-8
OL-18970-01-J
第 60 章
CSC SSM での Content Security and Control アプリケーションの設定
CSC SSM の設定
コマンド
目的
ステップ 7 csc {fail-close | fail-open}
例：
hostname(config-pmap-c)# csc {fail-close |
fail-open}
CSC SSM でのトラフィック スキャンをイネーブル
にし、クラスマップで特定されたトラフィックを
CSC SSM に送信されるトラフィックとして割り当
てます。サービス ポリシーの一部である必要があ
り、グローバルに適用することも、特定のインター
フェイスに適用することもできます。適応型セキュ
リティ アプライアンスを通過する暗号化されていな
いすべての接続は、CSC SSM によって確実にス
キャンされます。ただし、この設定により、信頼で
きる送信元からのトラフィックが不必要にスキャン
されることになる場合もあります。インターフェイ
ス固有のサービス ポリシーでイネーブルにすると、
このコマンドは双方向性を持つようになります。双
方向性があるということは、適応型セキュリティ ア
プライアンスが新しい接続を開くとき、その接続の
着信インターフェイスまたは発信インターフェイス
のいずれかでこのコマンドがアクティブであり、ポ
リシーのクラスマップでスキャン対象のトラフィッ
クが特定されていれば、適応型セキュリティ アプラ
イアンスはこのトラフィックを CSC SSM に誘導す
ることを意味します。ただし、双方向性があるとい
うことは、特定のインターフェイスを通過するサ
ポート対象のトラフィック タイプのいずれかを
CSC SSM に誘導すると、信頼できる内部ネット
ワークからのトラフィックに対して不必要なスキャ
ンを実行することになる可能性があります。そのた
め、CSC SSM サービス ポリシーのクラスマップで
選択されたトラフィックをさらに制限するため、次
に一致するアクセスリストを使用することをお勧め
します。
• 外部ネットワークへの HTTP 接続
• 適応型セキュリティ アプライアンスの内部のク
ライアントから、適応型セキュリティ アプライ
アンスの外部のサーバへの FTP 接続
• セキュリティ アプライアンスの内部のクライア
ントから適応型セキュリティ アプライアンスの
外部のサーバへの POP3 接続
• 内部メール サーバ宛ての着信 SMTP 接続
fail-close キーワードと fail-open キーワードは、
CSC SSM が使用できない場合に、適応型セキュリ
ティ アプライアンスがトラフィックを処理する方法
を制御します。動作モードと障害時の動作の詳細に
ついては、「ガイドラインと制限事項」（P.60-5）を
参照してください。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
OL-18970-01-J
60-9
第 60 章
CSC SSM での Content Security and Control アプリケーションの設定
CSC SSM の監視
コマンド
目的
ステップ 8 service-policy policy_map_name [global | interface
interface_ID]
例：
hostname(config-pmap-c)# service-policy
policy_map_name [global | interface interface_ID]
ポリシーマップをグローバルに適用するか、特定の
インターフェイスに適用します。policy_map_name
引数は、ステップ 4 で設定したポリシーマップで
す。ポリシーマップをすべてのインターフェイスの
トラフィックに適用するには、global キーワードを
使用します。ポリシーマップを特定のインターフェ
イスのトラフィックに適用するには、interface
interface_ID オプションを使用します。ここで、
interface_ID は、nameif コマンドでインターフェイ
スに割り当てた名前です。グローバル ポリシーは 1
つしか適用できません。インターフェイスのグロー
バル ポリシーは、そのインターフェイスにサービス
ポリシーを適用することで上書きできます。各イン
ターフェイスには、ポリシーマップを 1 つだけ適用
できます。
CSC SSM の監視
CSC SSM を監視する方法の詳細については、「SSM と SSC の監視」（P.58-9）を参照してください。
CSC SSM の設定例
スキャンするトラフィックを特定するように適応型セキュリティ アプライアンスを設定する方法はさ
まざまです。そのうちの 1 つに、内部インターフェイスに 1 つ、外部インターフェイスに 1 つというよ
うに、2 つのサービス ポリシーを定義して、それぞれにスキャンするトラフィックと一致するアクセス
リストを含める方法があります。次の例は図 60-3 に示したネットワークに基づいており、一般的な
CSC SSM スキャン シナリオを使用する 2 つのサービス ポリシーの作成を示しています。
• 最初のポリシーの csc_out_policy は、内部インターフェイスに適用され、csc_out アクセスリスト
を使用して、FTP と POP3 に対するすべての発信要求が確実にスキャンされるようにします。
csc_out アクセスリストにより、内部から外部インターフェイスのネットワークへの HTTP 接続が
スキャンされることにもなりますが、このアクセスリストには、内部から DMZ ネットワーク上の
サーバへの HTTP 接続を除外する deny ACE が含まれています。
• 2 番目のポリシーの csc_in_policy は、外部インターフェイスに適用され、csc_in アクセスリスト
を使用して、外部インターフェイスで発信され、DMZ ネットワークを宛先とする SMTP 要求と
HTTP 要求が CSC SSM で確実にスキャンされるようにします。HTTP 要求をスキャンすること
で、Web サーバは HTTP ファイルのアップロードから保護されます。
hostname(config)# access-list
hostname(config)# access-list
255.255.255.0 eq 80
hostname(config)# access-list
hostname(config)# access-list
csc_out permit tcp 192.168.10.0 255.255.255.0 any eq 21
csc_out deny tcp 192.168.10.0 255.255.255.0 192.168.20.0
csc_out permit tcp 192.168.10.0 255.255.255.0 any eq 80
csc_out permit tcp 192.168.10.0 255.255.255.0 any eq 110
hostname(config)# class-map csc_outbound_class
hostname(config-cmap)# match access-list csc_out
hostname(config-cmap)# policy-map csc_out_policy
hostname(config-pmap)# class csc_outbound_class
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
60-10
OL-18970-01-J
第 60 章
CSC SSM での Content Security and Control アプリケーションの設定
その他の参考資料
hostname(config-pmap-c)# csc fail-close
hostname(config-pmap-c)# service-policy csc_out_policy interface inside
hostname(config)# access-list csc_in permit tcp any 192.168.20.0 255.255.255.0 eq 25
hostname(config)# access-list csc_in permit tcp any 192.168.20.0 255.255.255.0 eq 80
hostname(config)# class-map csc_inbound_class
hostname(config-cmap)# match access-list csc_in
hostname(config-cmap)# policy-map csc_in_policy
hostname(config-pmap)# class csc_inbound_class
hostname(config-pmap-c)# csc fail-close
hostname(config-pmap-c)# service-policy csc_in_policy interface outside
次の例は、アクセスリストを使用してトラフィックをポリシーマップによる照合から免除し、適応型セ
キュリティ アプライアンスがトラフィックを CSC SSM に送信できないようにします。
hostname(config)# access-list
hostname(config)# access-list
255.255.255.0 eq 80
hostname(config)# access-list
hostname(config)# access-list
csc_out permit tcp 192.168.10.0 255.255.255.0 any eq 21
csc_out deny tcp 192.168.10.0 255.255.255.0 192.168.20.0
csc_out permit tcp 192.168.10.0 255.255.255.0 any eq 80
csc_out permit tcp 192.168.10.0 255.255.255.0 any eq 110
次の例は、ACE を csc_out アクセスリストに追加して、信頼できる外部 Web サーバと内部ホスト間の
HTTP 接続を、CSC SSM によるスキャンから除外できます。
hostname(config)# access-list csc_out deny tcp 192.168.10.0 255.255.255.0 209.165.201.7
255.255.255.255 eq 80
次の例は、外部インターフェイスに適用されるサービス ポリシーでアクセスリストを使用します。
hostname(config)# access-list csc_in permit tcp any 192.168.20.0 255.255.255.0 eq 25
次の例は、ACE を csc_in アクセスリストに追加し、CSC SSM を使用して、外部ホストから HTTP 経
由でアップロードされる感染したファイルから DMZ ネットワークの Web サーバを保護できます。
hostname(config)# access-list csc_in permit tcp any 192.168.20.0 255.255.255.0 eq 80
その他の参考資料
CSC SSM の実装に関するその他の情報については、次のマニュアルを参照してください。
関連項目
参照先
『Cisco Content Security and Control (CSC) SSM Administrator Guide』
CSC SSM GUI の使用方法。
CSC SSM GUI で使用できる特定のウィンドウ
の追加ライセンス要件。
修正する前、または高度なコンフィギュレー
ション設定を入力する前の、CSC SSM GUI で
のデフォルトのコンテンツ セキュリティ ポリ
シーの確認。
ASDM への初めてのアクセス、および Startup 『Cisco ASA 5500 Series Adaptive Security Appliance Getting Started
Wizard に関する説明。
Guide』
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
OL-18970-01-J
60-11
第 60 章
CSC SSM での Content Security and Control アプリケーションの設定
CSC SSM の機能履歴
関連項目
参照先
SSM のハードウェアの設置に関する説明、およ 『Cisco ASA 5500 Series Hardware Installation Guide』
び適応型セキュリティ アプライアンスへの接続。
技術マニュアル、マーケティング、およびサ
ポートに関する情報。
http://www.cisco.com/en/US/products/ps6823/index.html を参照してくだ
さい。
CSC SSM の機能履歴
表 60-2 に、この機能のリリース履歴の一覧を示します。
表 60-2
CSC SSM の機能履歴
機能名
リリース
機能情報
CSC SSM
7.0(1)
CSC SSM は Content Security and Control ソフトウェアを実行し、ウイルス、スパイ
ウェア、スパム、など望ましくないトラフィックからの保護を提供します。
次のコマンドが導入されました。
• csc {fail-close | fail-open}
• hw-module module 1 [recover | reload | reset | shutdown]
• session
• show module [all | slot [details | recover]]
パスワードのリ
セット
7.2(2)
CSC SSM
8.1(1), 8.1(2) この機能はサポートされていません。
hw-module module password-reset コマンドが導入されました。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
60-12
OL-18970-01-J