最近、Watchguard X5500e Peak ファイアウォール アプライアンスから CSC モジュールを搭載した Cisco 5500 ASA にアップグレードしました。ASA は 8.2 ソフトウェアを実行しており、CSC は 6.3.1172 ソフトウェアを実行しています。数週間の苦労の末、ようやくすべてが安定し、現在は優先順位が低かったいくつかの項目の設定に取り組んでいます。
ウォッチガードを使用すると、ブラウザで内部 Web ページにアクセスし、ファイアウォールに対して認証して、フィルターをバイパスできるようになりました。ここの教室でストリーミング メディアにアクセスする必要がある場合や、役員がビデオをダウンロードする必要がある場合に便利です。私は同様のものを設定しようとしていますが、この ASA のような Cisco デバイスについてはあまり経験がないため、VPN 接続として扱われるのか、それとも何らかの ACL として扱われるのかわかりません。理想的には、使用時に完全にオープンになるのではなく、露出を制限するために複数の設定をしたいです。
検索してみましたが、ここで尋ねられた他の質問に関連するものは何も見つかりませんでした。また、グーグルで検索しても見つかりませんでした。
答え1
あなたが探しているのは、シスコ サポート サイトからの AAA (認証、承認、アカウンティング) です。
AAA を使用すると、セキュリティ アプライアンスは、ユーザーが誰であるか (認証)、ユーザーが何ができるか (許可)、ユーザーが何をしたか (アカウンティング) を判別できます。AAA は、ACL だけを使用する場合よりも、ユーザー アクセスに対する保護と制御のレベルをさらに高めます。たとえば、すべての外部ユーザーが DMZ ネットワーク上のサーバー上の Telnet にアクセスできるようにする ACL を作成できます。一部のユーザーのみがサーバーにアクセスできるようにしたいが、これらのユーザーの IP アドレスが常にわかっているとは限らない場合、AAA を有効にして、認証済みまたは許可済みのユーザーのみがセキュリティ アプライアンスを通過できるようにすることができます (Telnet サーバーも認証を強制します。セキュリティ アプライアンスは、許可されていないユーザーがサーバーにアクセスしようとするのを防ぎます)。認証は単独で使用することも、許可およびアカウンティングと組み合わせて使用することもできます。許可では、常にユーザーが最初に認証される必要があります。アカウンティングは単独で使用することも、認証および許可と組み合わせて使用することもできます。このセクションには、次のトピックが含まれます。
•認証について
•許可について
•アカウンティングについて
http://www.cisco.com/en/US/docs/security/asa/asa70/configuration/guide/aaa.html
しかし、私の知る限りでは、「Cisco Secure Access Control Server」を設定する必要があります。Web フィルタリング ソリューション (Websense など) を使用する方がよいと思います。また、LDAP と統合され、認証されたユーザーに基づいて ACL を設定する Squid サーバーを設定することもできます。