セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

Cisco ASA ファイアウォールを介するパケット フロー

2015 年 3 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2013 年 4 月 19 日) | 英語版 (2014 年 9 月 22 日) | フィードバック


目次


概要

このドキュメントでは、Cisco ASA ファイアウォールを介したパケット フローについて説明します。 また、Cisco ASA の内部パケット処理手順がどのように機能するかを示します。 さらに、パケットがドロップされるさまざまな可能性やパケットが転送されるさまざまな状況について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ソフトウェア バージョン 8.0 以降を実行する Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

パケットを受信するインターフェイスは入力インターフェイスと呼ばれ、送信パケットが通過するインターフェイスは出力インターフェイスと呼ばれます。 任意のデバイスを介するパケット フローの確認は、これらの 2 つのインターフェイスのタスクを参照することで、簡単に行うことができます。

次に例を示します。

/image/gif/paws/113396/asa-packet-flow-01.gif

内部ユーザ(192.168.10.5)が DMZ ネットワーク(172.16.10.5)の Web サーバにアクセスする場合、パケット フローは次のようになります。

  • 送信元アドレス:192.168.10.5

  • 送信元ポート:22966

  • 宛先アドレス:172.16.10.5

  • 宛先ポート:8080

  • 入力インターフェイス:内部

  • 出力インターフェイス:DMZ

  • 使用されるプロトコル:TCP

ここで説明するパケット フローの詳細を判別することで、問題を特定の接続エントリに簡単に切り分けることができます。

Cisco ASA パケット処理アルゴリズム

次の図に、Cisco ASA が受信パケットをどのように処理するかを示します。

/image/gif/paws/113396/asa-packet-flow-02.gif

次に、個々の手順の詳細を示します。

  1. パケットが、入力インターフェイスに到達します。

  2. パケットがインターフェイスの内部バッファに到達すると、インターフェイスの入力カウンタが 1 増加します。

  3. Cisco ASA は最初に内部接続テーブル詳細を参照して、これが既存の接続がどうかを確認します。 パケット フローが既存の接続に一致した場合、アクセス コントロール リスト(ACL)チェックがバイパスされ、パケットが転送されます。

    パケット フローが既存の接続に一致しない場合、TCP 状態が検証されます。 SYN パケットまたは UDP パケットである場合、接続カウンタが 1 増加し、パケットが送信され ACL チェックが行われます。 SYN パケットでない場合、パケットはドロップされ、イベントが記録されます。

  4. パケットは、インターフェイス ACL に基づいて処理されます。 検証は、ACL エントリの順に行われ、ACL エントリのいずれかに一致する場合、転送されます。 それ以外の場合、パケットはドロップされて情報がログに記録されます。 ACL ヒット カウントは、パケットが ACL エントリに一致する場合 1 増加します。

  5. パケットは、トランスレーション ルールで検証されます。 パケットがこのチェックに合格すると、このフローの接続エントリが作成され、パケットが転送されます。 それ以外の場合、パケットはドロップされて情報がログに記録されます。

  6. パケットのインスペクション チェックが行われます。 このインスペクション チェックでは、特定のパケット フローがプロトコルに準拠しているかどうかが検証されます。 Cisco ASA には、アプリケーションレベル機能の事前定義セットにより各接続を検査するインスペクション エンジンが組み込まれています。 パケットは、このインスペクション チェックに合格すると、転送されます。 それ以外の場合、パケットはドロップされて情報がログに記録されます。

    CSC モジュールが関連する場合、追加のセキュリティ チェックが実行されます。

  7. IP ヘッダー情報は、NAT/PAT ルールにより変換され、これに従いチェックサムが更新されます。 AIP モジュールが関連する場合、パケットが AIP-SSM に転送され、IPS 関連セキュリティ チェックが行われます。

  8. パケットは、トランスレーション ルールに基づいて出力インターフェイスに転送されます。 出力インターフェイスがトランスレーション ルールに指定されていない場合、グローバル ルート ルックアップに基づいて宛先インターフェイスが決定されます。

  9. 出力インターフェイスで、インターフェイス ルート ルックアップが実行されます。 出力インターフェイスは、優先されるトランスレーション ルールにより決定されるので注意してください。

  10. レイヤ 3 ルートが見つかり、ネクスト ホップが識別されると、レイヤ 2 解決が実行されます。 この段階で、MAC ヘッダーのレイヤ 2 リライトが発生します。

  11. パケットは有線に転送され、出力インターフェイスのインターフェイス カウンタが増加します。

NAT に関する説明

NAT 操作の順序の詳細については、次のドキュメントを参照してください。

show コマンド

次に、各処理段階におけるパケット フロー詳細のトラッキングに役に立つコマンドを示します。

syslog メッセージ

syslog メッセージは、パケット処理に役に立つ情報を提供します。 次に、参照用の syslog メッセージの例を示します。

  • 接続エントリがない場合の syslog メッセージ:

    %ASA-6-106015: Deny TCP (no connection) from
    IP_address/port to IP_address/port flags tcp_flags on interface
    interface_name
  • パケットがアクセスリストにより拒否された場合の syslog メッセージ:

    %ASA-4-106023: Deny protocol src
    [interface_name:source_address/source_port] dst
    interface_name:dest_address/dest_port by access_group
    acl_ID
  • トランスレーション ルールがない場合の syslog メッセージ:

    %ASA-3-305005: No translation group found for protocol
    src interface_name: source_address/source_port dst interface_name:
    dest_address/dest_port
  • パケットがセキュリティ インスペクションにより拒否された場合の syslog メッセージ:

    %ASA-4-405104: H225 message received from
    outside_address/outside_port to inside_address/inside_port before
    SETUP
  • ルート情報がない場合の syslog メッセージ:

    %ASA-6-110003: Routing failed to locate next-hop for
    protocol from src interface:src IP/src port to dest interface:dest IP/dest
    port

Cisco ASA により生成されるすべての syslog メッセージおよび簡単な説明のリストについては、『Cisco ASA ログ メッセージ ガイド』を参照してください。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 113396