ASA FirePowerのライセンスについて

Minoru Ohkubo · ‎2016-04-25

ASA FirePowerのライセンスついて質問です。

ASA5506W-X及びL-ASA5506W-TAMC-5Yを購入し、ライセンスサイトで入手出来たライセンスが

URL FilteringとMalwareでした。

質問①

「Cisco ASA5506W FirePOWER IPS、アプリケーション、AMP、および URL の有効期間 5 年のサブスクリプション」

に該当するものと思っておりますが、「L-ASA5506W-TAMC-5Y」にて上記の全て有効になる認識でよろしいでしょうか？

質問②

・Protection…IPS

・Control…アプリケーションコントロール

かと思いますが、これらはL-ASA5506W-TAMC-5Yを購入し、取得したライセンスで有効になるのでしょうか？

以下のページで見る限りでは少なくとも「Control」についてはデフォルトでモジュールに付属といった表現ですが、

IPSを含めて有効化する方法はどのような手法で実施すればよろしいでしょうか？

Akira Muranaka · ‎2016-04-25

オオクボさん、こんばんわ。

以下URLで ASDMでOn-box-management時のライセンス情報を確認できますが・・

以下表は抜粋ですが、AMP機能(Malware制御)やURLフィルタリングの利用には、Protectionライセンスが必要です。

License	Granted Capabilities	Requires
Protection	intrusion detection and prevention file control Security Intelligence filtering	none
Control	user and application control	Protection
Malware	advanced malware protection (network-based malware detection and blocking)	Protection
URL Filtering	category and reputation-based URL filtering	Protection

　　　
同じライセンスを持ってないので私では発行確認が難しいのですが、PAK発行手順の問題か、もしくは CiscoサイトのPAK管理で問題が発生しているかもです。

ライセンス発行でトラブル時は、Cisco TACにケースオープンもできるので、利用PAKの状況確認と、Ctrl+Protectionライセンスの発行依頼を、直接Cisco社、もしくは購入代理店経由でされてみては如何でしょうか。

ちなみに、以下は私の試験環境の出力ですが、Ctrl+Protectionライセンスと URLフィルタリングライセンスを適用すると以下感じの表示となります。

もしライセンス問題が解決できましたら、フィードバックも頂けると大変助かります。

Minoru Ohkubo · ‎2016-04-26

ムラナカさん、こんにちは。

ご返答ありがとうございます。

なるほど、それでProtectionとControlはデフォルトでURLフィルタリングやAMPとともに

有効になるような表現なのですね。

ライセンスはCiscoより送付されたライセンス証書のPAKとSFRのMACアドレスで

ライセンスサイトにて申請して受領しました。

実際にURLフィルタリングを検証していたところ、個別URLベースでのフィルタリングは

できるのですが、カテゴリベースでのフィルタリングは「access_control_policy1.png」のように

期限切れのようなエラーで有効になりませんでした。

また、ルールアップデートについてもOUTSIDEインターフェースにPPPoEアカウント設定を施し、

インターネットが閲覧できる状態にもかかわらず、接続エラーにてアップデートが「ruie_update_failed.png」のようにできていない状況です。

ここまでの状況を考慮するとProtection及びControlが有効になっていないことで

URLフィルタリングが正しく動作していない状況に見受けられます。

アドバイスの通り、Cisco TACへのサービスリクエストを検討したいと思います。