Cisco ASA サービス モジュール CLI コンフィギュレーション ガイド ソフトウェア バージョン 8.5
Cisco ASA サービス モジュールの概要
Cisco ASA サービス モジュールの概要
発行日;2012/09/24 | 英語版ドキュメント(2012/05/21 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

Cisco ASA サービス モジュールの概要

ハードウェアとソフトウェアの互換性

新機能

バージョン 8.5(1.7) の新機能

バージョン 8.5(1.6) の新機能

バージョン 8.5(1) の新機能

スイッチにおける の動作

ファイアウォール機能の概要

セキュリティ ポリシーの概要

アクセス リストによるトラフィックの許可または拒否

NAT の適用

IP フラグメントからの保護

通過トラフィックに対する AAA の使用

HTTP、HTTPS、または FTP フィルタリングの適用

アプリケーション インスペクションの適用

QoS ポリシーの適用

接続の制限と TCP 正規化の適用

脅威検出のイネーブル化

ボットネット トラフィック フィルタのイネーブル化

ファイアウォール モードの概要

ステートフル インスペクションの概要

セキュリティ コンテキストの概要

Cisco ASA サービス モジュールの概要

ASASM は、高度でステートフルなファイアウォール機能を提供します。ASASM にはマルチセキュリティ コンテキスト(仮想ファイアウォールに類似)、トランスペアレント(レイヤ 2)ファイアウォールまたはルーテッド(レイヤ 3)ファイアウォール動作、高度なインスペクション エンジン、およびその他の最先端の機能が多数組み込まれています。

この章は、次の項で構成されています。

「ハードウェアとソフトウェアの互換性」

「新機能」

「スイッチにおける ASA サービス モジュール の動作」

「ファイアウォール機能の概要」

「セキュリティ コンテキストの概要」

ハードウェアとソフトウェアの互換性

サポートされているハードウェアおよびソフトウェアの完全なリストについては、『 Cisco ASA Compatibility 』を参照してください。

http://www.cisco.com/en/US/docs/security/asa/compatibility/asamatrx.html

新機能

この項は、次の内容で構成されています。

「バージョン 8.5(1.7) の新機能」

「バージョン 8.5(1.6) の新機能」

「バージョン 8.5(1) の新機能」


) syslog メッセージ ガイド に、追加、変更、および非推奨化された syslog メッセージを示します。


バージョン 8.5(1.7) の新機能

リリース:2012 年 3 月 5 日

表 1-2 に ASA 暫定バージョン 8.5(1.7) の新機能を示します。


) 解決される特定の問題がある場合にだけ、Cisco.com にポストされた ASA 暫定リリースにアップグレードすることを推奨します。実稼働環境で暫定リリースを実行する場合は、暫定リリースでは対象のテストだけが実行されることに注意してください。暫定リリースは、TAC Web サイトによって十分にサポートされ、通常、次のメンテナンス リリースが使用可能になるまでの期間だけダウンロード サイトに残されます。暫定リリースを実行することを選択した場合、使用可能になったときに、完全にテストされたメンテナンス リリース、または機能リリースにアップグレードすることを強く推奨します。

次のメンテナンスまたは機能リリースの時点で暫定リリース機能についてマニュアルを作成します。各 ASA 暫定リリースの解決済みの警告のリストについては、Cisco.com のソフトウェア ダウンロード サイトから入手可能な暫定リリース ノートを参照してください。


 

表 1-1 ASA 暫定バージョン 8.5(1.7) の新機能

機能
説明
ハードウェア機能

Catalyst 6500 スーパーバイザ 2T のサポート

ASASM は、現在、Catalyst 6500 スーパーバイザ 2T と相互運用できます。ハードウェアとソフトウェアの互換性については、次の URL を参照してください。 http://www.cisco.com/en/US/docs/security/asa/compatibility/asamatrx.html

(注) ASASM の FPD イメージのアップグレードが必要なことがあります。リリース ノートのアップグレードの手順を参照してください。

フェール オーバー機能

バルク同期中に接続の複製レートを設定します。

これでステートフル フェールオーバーを使用するときに、ASASM がスタンバイ装置への接続を複製するレートを設定できます。デフォルトでは、スタンバイ装置への接続は、15 秒内で複製されます。ただし、バルク同期が発生したとき(たとえば、最初にフェールオーバーをイネーブルにするとき)、1 秒あたりの最大接続数制限のために、大量の接続を同期するには 15 秒では十分でないことがあります。たとえば、ASASM の最大接続数は 8,000,000 です。8,000,000 の接続を 15 秒で複製することは、1 秒あたり 533 K の接続を作成することを意味します。一方、1 秒あたりに許可される最大接続数は 300K です。複製のレートが、1 秒あたりの最大接続数以下となるように指定できます。これによって、すべての接続が同期されるまで同期期間が調整されます。

failover replication rate rate コマンドが導入されました。

バージョン 8.5(1.6) の新機能

表 1-2 に ASA 暫定バージョン 8.5(1.6) の新機能を示します。


) 解決される特定の問題がある場合にだけ、Cisco.com にポストされた ASA 暫定リリースにアップグレードすることを推奨します。実稼働環境で暫定リリースを実行する場合は、暫定リリースでは対象のテストだけが実行されることに注意してください。暫定リリースは、TAC Web サイトによって十分にサポートされ、通常、次のメンテナンス リリースが使用可能になるまでの期間だけダウンロード サイトに残されます。暫定リリースを実行することを選択した場合、使用可能になったときに、完全にテストされたメンテナンス リリース、または機能リリースにアップグレードすることを強く推奨します。

次のメンテナンスまたは機能リリースの時点で暫定リリース機能についてマニュアルを作成します。各 ASA 暫定リリースの解決済みの警告のリストについては、Cisco.com のソフトウェア ダウンロード サイトから入手可能な暫定リリース ノートを参照してください。


 

表 1-2 ASA 暫定バージョン 8.5(1.6) の新機能

機能
説明
マルチ コンテキスト機能

MAC アドレス プレフィックスの自動生成

マルチ コンテキスト モードでは、現在、ASASM は、MAC アドレスの自動生成設定をデフォルトのプレフィックスを使用するように変換します。ASASM は、バックプレーンの MAC アドレスの最後の 2 バイトに基づいてプレフィックスを自動生成します。この変換は、リロード時または MAC アドレス生成を再度イネーブルにすると、自動的に行われます。生成のプレフィックス方式は、セグメント上で一意の MAC アドレスがより適切に保証されるなど、多くの利点をもたらします。 show running-config mac-address コマンドを入力して、自動生成されたプレフィックスを表示できます。プレフィックスを変更する場合、カスタム プレフィックスによって機能を再設定できます。MAC アドレス生成の従来の方法は使用できなくなります。

。ただし、フェールオーバーを使用している場合、生成のプレフィックス方式に手動で変更することを強く推奨します。プレフィックス方式を使用しない場合、異なるスロット番号にインストールされた ASASM では、フェールオーバーが発生した場合に MAC アドレスの変更が行われ、トラフィックの中断が発生することがあります。アップグレード後に、MAC アドレス生成のプレフィックス方式を使用するには、デフォルトのプレフィックスを使用する MAC アドレス生成を再びイネーブルにします。

mac-address auto コマンドが変更されました。

バージョン 8.5(1) の新機能

表 1-3 に ASA バージョン 8.5(1) の新機能を示します。この ASA ソフトウェア バージョンは、ASASM 上でのみサポートされます。


) バージョン 8.5(1) は、この表に記載されている機能と 8.4(1) のすべての機能が含まれています。ただし、次の機能はペイロード暗号化なしのソフトウェアではサポートされず、このリリースは、ペイロード暗号化機能なしのリリースとしてだけ使用できます。

VPN

ユニファイド コミュニケーション

8.4(2) で追加された機能は、このテーブルに明示的に示されていない限り、8.5(1) には含まれません。


 

 

表 1-3 ASA Version 8.5(1) の新機能

機能
説明
ハードウェア機能

ASA サービス モジュール のサポート

Cisco Catalyst 6500 E スイッチに ASASM のサポートが導入されました。

ファイアウォール機能

マルチ コンテキスト モードのファイアウォール モードの混合がサポートされます。

セキュリティ コンテキスごとに個別のファイアウォール モードを設定できます。したがってその一部をトランスペアレント モードで実行し、その他をルーテッド モードで実行することができます。

firewall transparent コマンドが変更されました。

インターフェイス機能

MAC アドレスの自動生成がマルチ コンテキスト モードで、デフォルトでイネーブルになる

MAC アドレスの自動生成は、マルチ コンテキスト モードで、デフォルトでイネーブルになりました。

mac address auto コマンドが変更されました。

NAT の機能

アイデンティティ NAT の設定が可能なプロキシ ARP およびルート ルックアップ

アイデンティティ NAT の以前のリリースでは、プロキシ ARP はディセーブルにされ、出力インターフェイスの決定には常にルート ルックアップが使用されていました。これらを設定することはできませんでした。8.4(2) 以降、アイデンティティ NAT のデフォルト動作は他のスタティック NAT コンフィギュレーションの動作に一致するように変更されました。これにより、デフォルトでプロキシ ARP はイネーブルにされ、NAT コンフィギュレーションにより出力インターフェイスが決定されるようになりました(指定されている場合)。これらの設定をそのまま残すこともできますし、個別にイネーブルまたはディセーブルにすることもできます。通常のスタティック NAT のプロキシ ARP をディセーブルにすることもできるようになっています。

8.3 よりも前の設定では、8.4(2) 以降への NAT 免除ルール( nat 0 access-list コマンド)の移行には、プロキシ ARP をディセーブルにし、ルート ルックアップを使用するために、 no-proxy-arp キーワードと route-lookup キーワードが含まれるようになりました。8.3(2) および 8.4(1) に移行するために使用した unidirectional キーワードは、それ以降の移行に使用されません。8.3(1)、8.3(2)、8.4(1) から 8.4(2) にアップグレードすると、既存機能を保持するため、すべてのアイデンティティ NAT コンフィギュレーションに no-proxy-arp キーワードと route-lookup キーワードが含まれるようになっています。 unidirectional キーワードは削除されました。

nat static [ no-proxy-arp ] [ route-lookup ](オブジェクト ネットワーク)、および nat source static [ no-proxy-arp ] [ route-lookup ](グローバル)コマンドが変更されました。

バージョン 8.4(2) でも使用可能です。

PAT プールおよびラウンド ロビン アドレス割り当て

1 つのアドレスの代わりに、PAT アドレスのプールを指定できるようになりました。プールの次のアドレスを使用する前に、最初に PAT アドレスのすべてのポートを使用するのではなく、PAT アドレスのラウンド ロビン割り当てを必要に応じてイネーブルにすることもできます。これらの機能は、1 つの PAT アドレスで多数の接続を行っている場合にそれが DoS 攻撃の対象となることを防止するのに役立ちます。またこの機能により、多数の PAT アドレスを簡単に設定できます。

(注) 現在の 8.5(1) では、PAT プール機能をダイナミック NAT または PAT のフォールバック方式として使用することはできません。PAT プールは、ダイナミック PAT のプライマリ方式(CSCtq20634)としてのみ設定できます。

nat dynamic [ pat-pool mapped_object [ round-robin ]](オブジェクト ネットワーク)、および nat source dynamic [ pat-pool mapped_object [ round-robin ]](グローバル)コマンドが変更されました。

バージョン 8.4(2) でも使用可能です。

スイッチ統合機能

自動ステート

スイッチのスーパーバイザ エンジンは、ASASM VLAN に関連付けられている物理インターフェイスのステータスに関して、自動ステート メッセージを ASASM に送信できます。たとえば、VLAN に関連付けられたすべての物理インターフェイスが停止すると、VLAN が停止したことを示す自動ステート メッセージが ASASM に届きます。この情報に基づいて ASASM は VLAN が停止していると判断できます。この場合は、いずれの側でリンク障害が発生したかを判別するのに必要となるインターフェイス モニタリング テストが回避されます。自動ステート メッセージングにより、ASASM がリンク障害を検出するのに要する時間が大幅に短縮されます(自動ステートがサポートされていない場合の最長 45 秒に対し、数ミリ秒に短縮されます)。

(注) スイッチで自動ステート メッセージングがサポートされるのは、シャーシに 1 つの ASASM を搭載した場合だけです。

次の Cisco IOS コマンドを参照してください。 firewall autostate

仮想スイッチング システム

ASASM は、スイッチに設定された場合に VSS をサポートします。ASASM 設定は必要ありません。

 

 

 

 

 

 

スイッチにおける ASA サービス モジュール の動作

Cisco IOS ソフトウェアを搭載した Catalyst 6500 シリーズ スイッチで、スイッチのスーパーバイザおよび統合型 MSFC の両方に ASASM をインストールできます。


) Catalyst オペレーティング システム(OS)はサポートされていません。


ASASM は独自のオペレーティング システムで動作します。

スイッチにはスイッチング プロセッサ(Applythe スーパーバイザ)とルータ(MSFC)が組み込まれています。MSFC はシステムの一部として必要ですが、使用しなくてもかまいません。使用することを選択する場合、MSFC に 1 つまたは複数の VLAN インターフェイスを割り当てることができます。MSFC の代わりに外部ルータを使用できます。

シングル コンテキスト モードでは、ファイアウォールの向こう側にルータを配置することも、ファイアウォールより手前に配置することもできます(図 1 を参照)。

ルータの位置は、割り当てる VLAN によって決まります。たとえば、図 1 の左側の例では、ASASM の内部インターフェイスに VLAN 201 を割り当てているので、ルータはファイアウォールより手前になります。図 1 の右側の例では、ASASM の外部インターフェイスに VLAN 200 を割り当てているので、ルータはファイアウォールの向こう側になります。

左側の例では、MSFC またはルータは VLAN 201、301、302、および 303 の間をルーティングします。宛先がインターネットの場合以外、内部トラフィックは ASASM を通過しません。右側の例では、ASASM は内部 VLAN 201、202、および 203 間のすべてのトラフィックを処理して保護します。

図 1 MSFC/Router の配置

 

マルチコンテキスト モードでは、ASASM より手前にルータを配置した場合、1 つのコンテキストに限定して接続する必要があります。ルータを複数のコンテキストに接続すると、ルータはコンテキスト間をルーティングすることになり、意図に反する可能性があります。複数のコンテキストの一般的なシナリオでは、インターネットとスイッチド ネットワーク間でルーティングするためにすべてのコンテキストの前にルータを使用します(図 2を参照)。

図 2 マルチコンテキストの場合の MSFC/Router の配置

 

ファイアウォール機能の概要

ファイアウォールは、外部ネットワーク上のユーザによる不正アクセスから内部ネットワークを保護します。また、ファイアウォールは、人事部門ネットワークをユーザ ネットワークから分離するなど、内部ネットワーク同士の保護も行います。Web サーバまたは FTP サーバなど、外部のユーザが使用できるようにする必要のあるネットワーク リソースがあれば、ファイアウォールで保護された別のネットワーク( Demiliterized Zone (DMZ; 非武装地帯)と呼ばれる)上に配置します。ファイアウォールによって DMZ へのアクセスを制限できますが、DMZ には公開サーバしかないため、この地帯が攻撃されても影響を受けるのは公開サーバに限定され、他の内部ネットワークに影響が及ぶことはありません。また、特定アドレスだけに許可する、認証または認可を義務づける、または外部の URL フィルタリング サーバと協調するといった手段によって、内部ユーザが外部ネットワーク(インターネットなど)にアクセスする機会を制御することもできます。

ファイアウォールに接続されているネットワークに言及する場合、 外部 ネットワークはファイアウォールの手前にあるネットワーク、 内部 ネットワークはファイアウォールの背後にある保護されているネットワーク、そして DMZ はファイアウォールの背後にあるが、外部ユーザに制限付きのアクセスが許されているネットワークです。ASASMを使用すると、数多くのインターフェイスに対してさまざまなセキュリティ ポリシーが設定できます。このインターフェイスには、多数の内部インターフェイス、多数の DMZ、および必要に応じて多数の外部インターフェイスが含まれるため、ここでは、このインターフェイスの区分は一般的な意味で使用するだけです。

この項は、次の内容で構成されています。

「セキュリティ ポリシーの概要」

「ファイアウォール モードの概要」

「ステートフル インスペクションの概要」

セキュリティ ポリシーの概要

他のネットワークにアクセスするために、ファイアウォールを通過することが許可されるトラフィックがセキュリティ ポリシーによって決められます。デフォルトでは、内部ネットワーク(高セキュリティ レベル)から外部ネットワーク(低セキュリティ レベル)へのトラフィックは、自由に流れることがASASMによって許可されます。トラフィックにアクションを適用してセキュリティ ポリシーをカスタマイズすることができます。この項は、次の内容で構成されています。

「アクセス リストによるトラフィックの許可または拒否」

「NAT の適用」

「IP フラグメントからの保護」

「通過トラフィックに対する AAA の使用」

「HTTP、HTTPS、または FTP フィルタリングの適用」

「アプリケーション インスペクションの適用」

「QoS ポリシーの適用」

「接続の制限と TCP 正規化の適用」

「脅威検出のイネーブル化」

「ボットネット トラフィック フィルタのイネーブル化」

アクセス リストによるトラフィックの許可または拒否

アクセスリストは、内部から外部へのトラフィックを制限するため、または外部から内部へのトラフィックを許可するために使用できます。トランスペアレント ファイアウォール モードでは、非 IP トラフィックを許可するための EtherType アクセス リストも適用できます。

NAT の適用

NAT の利点のいくつかを次に示します。

内部ネットワークでプライベート アドレスを使用できます。プライベート アドレスは、インターネットにルーティングできません。

NAT はローカル アドレスを他のネットワークから隠蔽するため、攻撃者はホストの実際のアドレスを取得できません。

NAT は、重複 IP アドレスをサポートすることで、IP ルーティングの問題を解決できます。

IP フラグメントからの保護

ASASMは IP フラグメント保護を提供します。この機能は、すべての ICMP エラー メッセージの完全リアセンブリ、およびASASMを介してルーティングされる残りの IP フラグメントの仮想リアセンブリを実行します。セキュリティ チェックに失敗したフラグメントは、ドロップされログに記録されます。仮想リアセンブリはディセーブルにできません。

通過トラフィックに対する AAA の使用

HTTP など特定のタイプのトラフィックに対して、認証と認可のいずれかまたは両方を要求することができます。ASASMは、RADIUS サーバまたは TACACS+ サーバにアカウンティング情報を送信することもあります。

HTTP、HTTPS、または FTP フィルタリングの適用

アクセス リストを使用して、特定の Web サイトまたは FTP サーバへの発信アクセスを禁止できますが、このような方法で Web サイトの使用方法を設定し管理することは、インターネットの規模とダイナミックな特性から、実用的とはいえません。ASASMを、次のインターネット フィルタリング製品のいずれかを実行している別のサーバと連携させて使用することをお勧めします。

Websense Enterprise

Secure Computing SmartFilter

アプリケーション インスペクションの適用

インスペクション エンジンは、ユーザのデータ パケット内に IP アドレッシング情報を埋め込むサービスや、ダイナミックに割り当てられるポート上でセカンダリ チャネルを開くサービスに必要です。これらのプロトコルでは、ASASM でディープ パケット インスペクションを実行する必要があります。

QoS ポリシーの適用

音声やストリーミング ビデオなどのネットワーク トラフィックでは、長時間の遅延は許容されません。QoS は、この種のトラフィックにプライオリティを設定するネットワーク機能です。QoS とは、選択したネットワーク トラフィックによりよいサービスを提供するネットワークの機能です。

接続の制限と TCP 正規化の適用

TCP 接続、UDP 接続、および初期接続を制限することができます。接続と初期接続の数を制限することで、DoS 攻撃(サービス拒絶攻撃)から保護されます。ASASMでは、初期接続の制限を利用して TCP 代行受信を発生させます。代行受信によって、TCP SYN パケットを使用してインターフェイスをフラッディングする DoS 攻撃から内部システムを保護します。初期接続とは、送信元と宛先の間で必要になるハンドシェイクを完了していない接続要求のことです。

TCP 正規化は、正常に見えないパケットをドロップするように設計された高度な TCP 接続設定で構成される機能です。

脅威検出のイネーブル化

スキャン脅威検出と基本脅威検出、さらに統計情報を使用して脅威を分析する方法を設定できます。

基本脅威検出は、DoS 攻撃などの攻撃に関係している可能性のあるアクティビティを検出し、自動的にシステム ログ メッセージを送信します。

典型的なスキャン攻撃では、あるホストがサブネット内の IP アドレスにアクセスできるかどうかを 1 つずつ試します(サブネット内の複数のホストすべてを順にスキャンするか、1 つのホストまたはサブネットの複数のポートすべてを順にスイープする)。スキャン脅威検出機能は、いつホストがスキャンを実行するかを判別します。トラフィック署名に基づく IPS スキャン検出とは異なり、ASASM のスキャンによる脅威の検出機能では、広範なデータベースが保持され、これに含まれるホスト統計情報をスキャン アクティビティに関する分析に使用できます。

ホスト データベースは、不審なアクティビティを追跡します。このようなアクティビティには、戻りアクティビティのない接続、閉じているサービス ポートへのアクセス、脆弱な TCP 動作(非ランダム IPID など)、およびその他の多くの動作が含まれます。

攻撃者に関するシステム ログ メッセージを送信するように ASASM を設定したり、自動的にホストを回避したりできます。

ボットネット トラフィック フィルタのイネーブル化

マルウェアとは、知らないうちにホストにインストールされている悪意のあるソフトウェアです。個人情報(パスワード、クレジット カード番号、キー ストローク、または独自データ)の送信などのネットワーク アクティビティを試みるマルウェアは、マルウェアが既知の不正な IP アドレスへの接続を開始したときにボットネット トラフィック フィルタによって検出できます。ボットネット トラフィック フィルタは、着信と発信の接続を既知の不正なドメイン名と IP アドレス(ブラックリスト)のダイナミック データベースと照合して確認し、不審なアクティビティのログを記録します。マルウェア アクティビティに関する syslog メッセージを確認すると、ホストを切り離して感染を解決するための手順を実行できます。

ファイアウォール モードの概要

ASASMは、次の 2 つのファイアウォール モードで動作します。

ルーテッド

透過

ルーテッド モードでは、ASASM は、ネットワークのルータ ホップと見なされます。

トランスペアレント モードでは、ASASM は「Bump In The Wire」または「ステルス ファイアウォール」のように動作し、ルータ ホップとは見なされません。ASASMでは、内部インターフェイスと外部インターフェイスに同じネットワークが接続されます。

トランスペアレント ファイアウォールは、ネットワーク コンフィギュレーションを簡単にするために使用できます。トランスペアレント モードは、攻撃者からファイアウォールが見えないようにする場合にも有効です。トランスペアレント ファイアウォールは、他の場合にはルーテッド モードでブロックされるトラフィックにも使用できます。たとえば、トランスペアレント ファイアウォールでは、EtherType アクセス リストを使用するマルチキャスト ストリームが許可されます。

ステートフル インスペクションの概要

ASASMを通過するトラフィックはすべて、アダプティブ セキュリティ アルゴリズムを使用して検査され、通過が許可されるか、またはドロップされます。単純なパケット フィルタは、送信元アドレス、宛先アドレス、およびポートが正しいかどうかはチェックできますが、パケット シーケンスまたはフラグが正しいかどうかはチェックしません。また、フィルタはすべてのパケットをフィルタと照合してチェックするため、処理が低速になる場合があります。


) TCP ステート バイパス機能を使用すると、パケット フローをカスタマイズできます。「TCP ステート バイパス」を参照してください。


ただし、ASASMのようなステートフル ファイアウォールは、パケットの次のようなステートについて検討します。

新規の接続かどうか。

新規の接続の場合、ASASMは、パケットをアクセス リストと照合してチェックする必要があり、これ以外の各種のタスクを実行してパケットの許可または拒否を決定する必要があります。このチェックを行うために、セッションの最初のパケットは「セッション管理パス」を通過しますが、トラフィックのタイプに応じて、「コントロール プレーン パス」も通過する場合があります。

セッション管理パスで行われるタスクは次のとおりです。

アクセス リストとの照合チェック

ルート ルックアップ

NAT 変換(xlates)の割り当て

「ファスト パス」でのセッション確立

レイヤ 7 インスペクションが必要なパケット(パケットのペイロードの検査または変更が必要)は、コントロール プレーン パスに渡されます。レイヤ 7 インスペクション エンジンは、2 つ以上のチャネルを持つプロトコルで必要です。2 つ以上のチャネルの 1 つは周知のポート番号を使用するデータ チャネルで、その他はセッションごとに異なるポート番号を使用するコントロール チャネルです。このようなプロトコルには、FTP、H.323、および SNMP があります。

確立済みの接続かどうか。

接続がすでに確立されている場合は、ASASM でパケットの再チェックを行う必要はありません。一致するパケットの大部分は、両方向で「高速」パスを通過できます。高速パスで行われるタスクは次のとおりです。

IP チェックサム検証

セッション ルックアップ

TCP シーケンス番号のチェック

既存セッションに基づく NAT 変換

レイヤ 3 ヘッダー調整およびレイヤ 4 ヘッダー調整

UDP プロトコルまたは他のコネクションレス型プロトコルに対して、ASASMはコネクション ステート情報を作成して、高速パスも使用できるようにします。

レイヤ 7 インスペクションを必要とするプロトコルに合致するデータ パケットも高速パスを通過できます。

確立済みセッション パケットの中には、セッション管理パスまたはコントロール プレーン パスを引き続き通過しなければならないものがあります。セッション管理パスを通過するパケットには、インスペクションまたはコンテンツ フィルタリングを必要とする HTTP パケットが含まれます。コントロール プレーン パスを通過するパケットには、レイヤ 7 インスペクションを必要とするプロトコルのコントロール パケットが含まれます。

セキュリティ コンテキストの概要

1 台のASASMを、セキュリティ コンテキストと呼ばれる複数の仮想デバイスに分割することができます。各コンテキストは、独自のセキュリティ ポリシー、インターフェイス、および管理者を持つ独立したデバイスです。マルチ コンテキストは、複数のスタンドアロン デバイスを使用することに似ています。マルチ コンテキスト モードでは、ルーティング テーブル、ファイアウォール機能、IPS、管理など、多くの機能がサポートされます。VPN、ダイナミック ルーティング プロトコルなど、いくつかの機能はサポートされません。

マルチ コンテキスト モードの場合、ASASM には、セキュリティ ポリシー、インターフェイス、およびスタンドアロン デバイスで設定できるほとんどのオプションを識別するコンテキストごとのコンフィギュレーションが含まれます。システム管理者がコンテキストを追加および管理するには、コンテキストをシステム コンフィギュレーションに設定します。これが、シングル モード設定と同じく、スタートアップ コンフィギュレーションとなります。システム コンフィギュレーションは、ASASM の基本設定を識別します。システム コンフィギュレーションには、ネットワーク インターフェイスやネットワーク設定は含まれません。その代わりに、ネットワーク リソースにアクセスする必要が生じたときに(サーバからコンテキストをダウンロードするなど)、システムは管理コンテキストとして指定されているコンテキストのいずれかを使用します。

管理コンテキストは、他のコンテキストとまったく同じです。ただし、ユーザが管理コンテキストにログインすると、システム管理者権限を持つので、システム コンテキストおよび他のすべてのコンテキストにアクセス可能になる点が異なります。