...

認証されたユーザ名を Websense サーバに送信するための PIX

by user

on
Category: Documents
3

views

Report

Comments

Transcript

認証されたユーザ名を Websense サーバに送信するための PIX
認証されたユーザ名を Websense サーバに送信するための PIX
ファイアウォールの設定
目次
概要
前提条件
要件
使用するコンポーネント
表記法
Websense セットアップ
Cisco Secure ACS セットアップ
PIXファイアウォール セットアップ
ユーザに対する表示
関連情報
概要
PIX Firewall は、Websense サーバと通信して、発信 HTTP トラフィック(FTP および HTTP 6.3)を制限するように設定できま
す。 Websense サーバの本質的な役割は、特定の URL へのアクセスを許可または拒否するように、ポリシーのセットを作成し、
適用することです。 Websense ポリシーは、ユーザ レベルで割り当てることができます。 これによって、Websense の管理者が
個々のユーザに特定のアクセス権を割り当てることができます。 PIX Firewall は、認証されたユーザ名を Websense サーバに送
信できます。 これが特定のユーザのポリシーを評価するために使用されます。 PIX Firewall が認証されたユーザ名を
Websense に送信する仕組みは、カットスルー プロキシ機能によって PIX がユーザを認証済みであることに依存しています。 認
証されたユーザ名を Websense に渡す PIX の機能は、Websense に対して TCP バージョン 4 プロトコルを使用するように PIX
が設定されている場合にだけ使用できます。
前提条件
要件
このドキュメントに関する固有の要件はありません。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
Cisco Secure PIX Firewall ソフトウェア バージョン 6.2.2
Websense マネージャ、バージョン 4.4.0
Cisco Secure ACS for Windows バージョン 3.0
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべ
てのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜
在的な影響を十分に理解しておく必要があります。
表記法
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
Websense セットアップ
この資料は Websense 管理者が既に Websenseサーバを正しく設定したと仮定します。 認証する PIX が行っている各ユーザが
Websense マネージャのディレクトリ オブジェクトとして追加されることが、そしてこのユーザはディレクトリ 認証のためにプ
ロンプト表示されるために設定されることまたここに仮定されます。 Websense ドキュメントかアクセスを Websenseサーバを設
定する方法
の詳細については Websense サイト参照して下さい。
Cisco Secure ACS セットアップ
この資料は Websense が使用する同じアクティブ Directory/NT データベースを問い合わせるために Cisco Secure ACS 管理者が
ACS サーバを設定したと仮定します。 Cisco Secure ACS for Windows のためのこのタスクを完了する方法の情報に関してはユー
ザデータベースを使用を参照して下さい。
この資料はまた Cisco Secure ACS サーバがクライアントとして既に PIX を追加してしまったと仮定します。 このタスクを完了
する方法の詳細については設定およびネットワークコンフィギュレーションを管理することの AAA Client Configuration セクシ
ョンを参照して下さい。
PIXファイアウォール セットアップ
これらのコマンドは既にインターネット接続があっている PIX で入力されます
!--- Specify AAA server protocols.
aaa-server TACACS protocol tacacs+
!--- This specifies that the authentication server
!--- with the IP address 192.168.253.111 resides on the inside
!--- interface. It is in the default TACACS+ server group.
aaa-server TACACS (inside) host 192.168.253.111 letmein timeout 10
!--- Enable TACACS+ user authentication to the above AAA server.
!--- Users are prompted for authentication credentials.
aaa authentication include http inside 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 TACACS
!--- Designates server 192.168.253.111 that runs Websense. It is used
!--- in tandem with the filter url command.
url-server (inside) vendor websense host 192.168.253.111 protocol tcp version 4
!--- Enable URL filtering on port 80 (the port that receives Internet traffic).
filter url 80 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 allow
これらのコマンドの付加はこの設定を生成 します:
PIX Version 6.2(2)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
nameif ethernet3 intf3 security15
nameif ethernet4 intf4 security20
nameif ethernet5 intf5 security25
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname TestPIX
domain-name ciscopix.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
pager lines 24
logging on
interface ethernet0 100full
interface ethernet1 100full
interface ethernet2 auto shutdown
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 10.0.0.1 255.255.255.0
ip address inside 192.168.253.1 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.255
ip address intf3 127.0.0.1 255.255.255.255
ip address intf4 127.0.0.1 255.255.255.255
ip address intf5 127.0.0.1 255.255.255.255
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address intf2 0.0.0.0
failover ip address intf3 0.0.0.0
failover ip address intf4 0.0.0.0
failover ip address intf5 0.0.0.0
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.253.0 255.255.255.0 0 0
route outside 0.0.0.0 0.0.0.0 10.0.0.254 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323
0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
aaa-server TACACS protocol tacacs+
aaa-server TACACS (inside) host 192.168.253.111 letmein timeout 10
url-server (inside) vendor websense host 192.168.253.111 timeout 5 protocol
TCP version 4
aaa authentication telnet console TACACS
aaa authentication include http inside 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
TACACS
filter url http 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 allow
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
no sysopt route dnat
ssh timeout 5
terminal width 80
Cryptochecksum:d18e45ed25d122af34a5e4f3a183cdff
: end
ユーザに対する表示
内部ネットワークのクライアントから、ブラウザは開きます。 ブラウザが PIX によってインターネットサイトにアクセスするこ
とを試みればユーザはユーザ名 および パスワードを入力するためにプロンプト表示されます。 PIX は Cisco Secure ACS for
Windows にそれから送信 HTTPセッションを認証するためにユーザ名 および パスワードを送信 します。 アクセスが Cisco
Secure ACS サーバによって認められれば、PIX は Websenseサーバに認証済みユーザ名を送信 します。 Websenseサーバはそれか
らユーザと関連付けられるポリシーを調べます。 それは PIX への応答の送信によってアクセス許可か拒否アクセスします。 ユ
ーザアクセスを認めるようにこの応答が設計されている場合クライアント および サーバ間の HTTP tranaction は完了します。
応答がユーザアクセスを拒否することである場合 PIX は Webサーバから HTTP応答を廃棄します。 ブラウザは" access
restriction " メッセージを表示する。
関連情報
Requests for Comments(RFC)
トラブルシューティング テクニカルノーツ
1992 - 2016 Cisco Systems, Inc. All rights reserved.
Updated: 2016 年 10 月 28 日
http://www.cisco.com/cisco/web/support/JP/100/1003/1003818_pix-config-websence.html
Document ID: 41060
Fly UP