Cisco ASA 5580 適応型セキュリティ アプライアン ス コマンド ライン コンフィギュレーション ガイド
ファイアウォール モードの 概要
ファイアウォール モードの概要
発行日;2012/01/12 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

ファイアウォール モードの概要

ルーテッド モードの概要

IP ルーティングのサポート

ルーテッド ファイアウォール モードでデータがセキュリティ アプライアンスを通過する方法

内部ユーザが Web サーバにアクセスする

外部ユーザが DMZ 上の Web サーバにアクセスする

内部ユーザが DMZ 上の Web サーバにアクセスする

外部ユーザが内部ホストにアクセスしようとする

DMZ ユーザが内部ホストにアクセスしようとする

透過モードの概要

透過ファイアウォール ネットワーク

レイヤ 3 トラフィックの許可

許可される MAC アドレス

ルーテッド モードで許可されないトラフィックの通過

MAC アドレスと ルート ルックアップ

ネットワークでの透過ファイアウォールの使用

透過ファイアウォール ガイドライン

透過モードでサポートされない機能

透過ファイアウォールを通過するデータの動き

内部ユーザが Web サーバにアクセスする

内部ユーザが NAT を使用して Web サーバにアクセスする

外部ユーザが内部ネットワーク上の Web サーバにアクセスする

外部ユーザが内部ホストにアクセスしようとする

ファイアウォール モードの概要

この章では、各ファイアウォール モードでファイアウォールがどのように機能するかを説明します。ファイアウォール モードを設定するには、「透過ファイアウォール モードまたはルーテッド ファイアウォール モードの設定」を参照してください。


) マルチコンテキスト モードでは、コンテキストごとに個別のファイアウォール モードを設定できません。ファイアウォール モードは、adaptive security appliance全体に対してだけ設定できます。


この章は、次の項で構成されています。

「ルーテッド モードの概要」

「透過モードの概要」

ルーテッド モードの概要

ルーテッド モードでは、adaptive security applianceはネットワーク内のルータ ホップと見なされます。(シングルコンテキスト モードで)OSPF または RIP を使用できます。ルーテッド モードは多数のインターフェイスをサポートしています。インターフェイスはそれぞれ異なるサブネット上に置かれます。コンテキスト間でインターフェイスを共有することもできます。

この項は、次の内容で構成されています。

「IP ルーティングのサポート」

「ルーテッド ファイアウォール モードでデータがセキュリティ アプライアンスを通過する方法」

IP ルーティングのサポート

adaptive security applianceは、接続されたネットワーク間のルータとして機能します。インターフェイスごとに、異なるサブネット上の IP アドレスが必要です。シングルコンテキスト モードでは、ルーテッド ファイアウォールは OSPF および RIP をサポートします。マルチコンテキスト モードでは、スタティック ルートだけがサポートされます。過度なルーティングのニーズをadaptive security applianceに頼るのではなく、アップストリーム ルータとダウンストリーム ルータの拡張ルーティング機能を使用することをお勧めします。

ルーテッド ファイアウォール モードでデータがセキュリティ アプライアンスを通過する方法

この項では、ルーテッド ファイアウォール モードでデータがadaptive security applianceをどのように通過するかを説明します。次の項目について説明します。

「内部ユーザが Web サーバにアクセスする」

「外部ユーザが DMZ 上の Web サーバにアクセスする」

「内部ユーザが DMZ 上の Web サーバにアクセスする」

「外部ユーザが内部ホストにアクセスしようとする」

「DMZ ユーザが内部ホストにアクセスしようとする」

内部ユーザが Web サーバにアクセスする

図 16-1 は、内部ユーザが外部 Web サーバにアクセスしていることを示しています。

図 16-1 内部から外部へ

 

次の手順では、データがadaptive security applianceをどのように通過するかを示します(図 16-1 を参照)。

1. 内部ネットワークのユーザは、www.example.com から Web ページを要求します。

2. adaptive security applianceはパケットを受信します。これは新しいセッションであるため、adaptive security applianceはセキュリティ ポリシー(アクセスリスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチコンテキスト モードの場合、adaptive security applianceは、コンテキストに関連付けられる一意なインターフェイスまたは一意な宛先アドレスに従ってパケットを分類します。宛先アドレスは、コンテキストでのアドレス変換と照合することによって関連付けられます。この場合、インターフェイスは固有です。www.example.com の IP アドレスは、コンテキスト内に最新のアドレス変換を持っていません。

3. adaptive security applianceは、ローカル送信元アドレス(10.1.2.27)を、外部インターフェイス サブネット上のグローバル アドレス 209.165.201.10 に変換します。

グローバル アドレスは任意のサブネット上に置くことができますが、外部インターフェイス サブネットに置くとルーティングが簡素化されます。

4. 次に、adaptive security applianceはセッションが確立されたことを記録し、外部インターフェイスからパケットを転送します。

5. www.example.com が要求に応答すると、パケットはadaptive security applianceを通過します。これはすでに確立されているセッションであるため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。adaptive security applianceは、グローバル宛先アドレスをローカル ユーザ アドレス 10.1.2.27 に変換することによって、NAT を実行します。

6. adaptive security applianceは、パケットを内部ユーザに転送します。

外部ユーザが DMZ 上の Web サーバにアクセスする

図 16-2 は、外部ユーザが DMZ Web サーバにアクセスしていることを示しています。

図 16-2 外部から DMZ へ

 

次の手順では、データがadaptive security applianceをどのように通過するかを示します(図 16-2 を参照)。

1. 外部ネットワーク上のユーザは、外部インターフェイス サブネット上にあるグローバル宛先アドレス 209.165.201.3 を使用して DMZ Web サーバから Web ページを要求します。

2. adaptive security applianceはパケットを受信します。これは新しいセッションであるため、adaptive security applianceはセキュリティ ポリシー(アクセスリスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチコンテキスト モードの場合、adaptive security applianceは、コンテキストに関連付けられる一意なインターフェイスまたは一意な宛先アドレスに従ってパケットを分類します。宛先アドレスは、コンテキストでのアドレス変換と照合することによって関連付けられます。この場合、分類子は DMZ Web サーバ アドレスがサーバ アドレス変換のため特定のコンテキストに属すことを「認識」しています。

3. adaptive security applianceは、宛先アドレスをローカル アドレス 10.1.1.3 に変換します。

4. 次に、adaptive security applianceはセッション エントリを高速パスに追加し、DMZ インターフェイスからパケットを転送します。

5. DMZ Web サーバが要求に応答すると、パケットはadaptive security applianceを通過します。また、セッションがすでに確立されているため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。adaptive security applianceは、ローカル送信元アドレスを 209.165.201.3 に変換することによって、NAT を実行します。

6. adaptive security applianceは、パケットを外部ユーザに転送します。

内部ユーザが DMZ 上の Web サーバにアクセスする

図 16-3 は、内部ユーザが DMZ Web サーバにアクセスしていることを示しています。

図 16-3 内部から DMZ へ

 

次の手順では、データがadaptive security applianceをどのように通過するかを示します(図 16-3 を参照)。

1. 内部ネットワーク上のユーザは、宛先アドレス 10.1.1.3 を使用して DMZ Web サーバから Web ページを要求します。

2. adaptive security applianceはパケットを受信します。これは新しいセッションであるため、adaptive security applianceはセキュリティ ポリシー(アクセスリスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチコンテキスト モードの場合、adaptive security applianceは、コンテキストに関連付けられる一意なインターフェイスまたは一意な宛先アドレスに従ってパケットを分類します。宛先アドレスは、コンテキストでのアドレス変換と照合することによって関連付けられます。この場合、インターフェイスは固有です。Web サーバ IP アドレスは、最新のアドレス変換を持っていません。

3. 次に、adaptive security applianceはセッションが確立されたことを記録し、DMZ インターフェイスからパケットを転送します。

4. DMZ Web サーバが要求に応答すると、パケットは高速パスを通過します。これのため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。

5. adaptive security applianceは、パケットを内部ユーザに転送します。

外部ユーザが内部ホストにアクセスしようとする

図 16-4 は、外部ユーザが内部ネットワークにアクセスしようとしていることを示しています。

図 16-4 外部から内部へ

 

次の手順では、データがadaptive security applianceをどのように通過するかを示します(図 16-4 を参照)。

1. 外部ネットワーク上のユーザが、内部ホストに到達しようとします(ホストにルーティング可能な IP アドレスがあると想定します)。

内部ネットワークがプライベート アドレスを使用している場合、外部ユーザが NAT なしで内部ネットワークに到達できません。外部ユーザは既存の NAT セッションを使用して内部ユーザに到達しようとすることが考えられます。

2. adaptive security applianceはパケットを受信します。これは新しいセッションであるため、adaptive security applianceはセキュリティ ポリシー(アクセスリスト、フィルタ、AAA)に従って、パケットが許可されているかどうかを確認します。

3. パケットが拒否され、adaptive security applianceはパケットをドロップし、接続試行をログに記録します。

外部ユーザが内部ネットワークを攻撃しようとした場合、adaptive security applianceは多数のテクノロジーを使用して、すでに確立されたセッションに対してパケットが有効かどうかを判別します。

DMZ ユーザが内部ホストにアクセスしようとする

図 16-5 は、DMZ 内のユーザが内部ネットワークにアクセスしようとしていることを示しています。

図 16-5 DMZ から内部へ

 

次の手順では、データがadaptive security applianceをどのように通過するかを示します(図 16-5 を参照)。

1. DMZ ネットワーク上のユーザが、内部ホストに到達しようとします。DMZ はインターネット上のトラフィックをルーティングする必要がないので、プライベート アドレッシング方式はルーティングを回避しません。

2. adaptive security applianceはパケットを受信します。これは新しいセッションであるため、adaptive security applianceはセキュリティ ポリシー(アクセスリスト、フィルタ、AAA)に従って、パケットが許可されているかどうかを確認します。

3. パケットが拒否され、adaptive security applianceはパケットをドロップし、接続試行をログに記録します。

透過モードの概要

通常、ファイアウォールはルーティングされたホップであり、スクリーニングされたサブネットのいずれかに接続するホストのデフォルト ゲートウェイとして機能します。一方、透過ファイアウォールは、「bump-in-the-wire(BITW)」または「ステルス ファイアウォール」のように動作するレイヤ 2 ファイアウォールであり、接続されたデバイスへのルータ ホップとは見なされません。

ここでは、透過ファイアウォール モードについて次の項目で説明します。

「透過ファイアウォール ネットワーク」

「レイヤ 3 トラフィックの許可」

「許可される MAC アドレス」

「ルーテッド モードで許可されないトラフィックの通過」

「MAC アドレスと ルート ルックアップ」

「ネットワークでの透過ファイアウォールの使用」

「透過ファイアウォール ガイドライン」

「透過モードでサポートされない機能」

「透過ファイアウォールを通過するデータの動き」

透過ファイアウォール ネットワーク

adaptive security applianceでは、内部インターフェイスと外部インターフェイスに同じネットワークが接続されます。透過ファイアウォールはルーティングされたホップではないので、既存のネットワークに簡単に導入できます。

レイヤ 3 トラフィックの許可

IPv4 トラフィックは、自動的に高位のセキュリティ インターフェイスから低位のセキュリティ インターフェイスにアクセスリストなしで透過ファイアウォールを通過できます。ARP は、アクセスリストなしで両方向に透過ファイアウォールを通過できます。ARP トラフィックは ARP 検査によって制御されます。低位から高位のセキュリティ インターフェイスに移動するレイヤ 3 トラフィックの場合、低セキュリティ インターフェイスで拡張アクセスリストが必要です。詳細については、「拡張アクセスリストの追加」を参照してください。

許可される MAC アドレス

次の宛先 MAC アドレスは、透過ファイアウォールから許可されます。このリストにない MAC アドレスはすべてドロップされます。

FFFF.FFFF.FFFF の TRUE ブロードキャスト宛先 MAC アドレス

0100.5E00.0000 ~ 0100.5EFE.FFFF までの IPv4 マルチキャスト MAC アドレス

3333.0000.0000 ~ 3333.FFFF.FFFF までの IPv6 マルチキャスト MAC アドレス

0100.0CCC.CCCD の BPDU マルチキャストアドレス

0900.0700.0000 ~ 0900.07FF.FFFF までのAppletalk マルチキャストアドレス

ルーテッド モードで許可されないトラフィックの通過

ルーテッド モードでは、アクセスリストで許可しても、いくつかのタイプのトラフィックはadaptive security applianceを通過できません。一方、透過ファイアウォールは、拡張アクセスリスト(IP トラフィックの場合)または EtherType アクセスリスト(IP 以外のトラフィックの場合)を使用して、ほとんどのトラフィックを許可できます。


) 透過モードのadaptive security applianceは CDP パケットの通過も IPv6 パケットの通過も拒否し、0x600 以上の有効な EtherType を持たないパケットの通過も拒否します。たとえば、IS-IS パケットを通過させることはできません。例外は BPDU で、これはサポートされます。


たとえば、透過ファイアウォールでルーティング プロトコルの隣接関係を確立できます。つまり、拡張アクセスリストに基づいて、OSPF、RIP、EIGRP、または BGP トラフィックを許可できます。同様に、HSRP や VRRP などのプロトコルはadaptive security applianceを通過できます。

IP 以外のトラフィック(AppleTalk、IPX、BPDU、および MPLS など)は、EtherType アクセスリストを使用して通過するように構成できます。

透過ファイアウォールで直接サポートされていない機能の場合は、アップストリーム ルータとダウンストリーム ルータが機能をサポートできるようにトラフィックの通過を許可できます。たとえば、拡張アクセスリストを使用して、DHCP トラフィック(サポートされない DHCP リレー機能の代わりに)または IP/TV によって作成されたトラフィックなどのマルチキャスト トラフィックを許可できます。

MAC アドレスと ルート ルックアップ

adaptive security applianceが NAT なしで透過モードで動作している場合、パケットの発信インターフェイスは、ルート ルックアップではなく MAC アドレス ルックアップを実行することによって決定されます。この場合もルート文を設定することはできますが、adaptive security applianceから発信されたトラフィックだけに適用されます。たとえば、syslog サーバがリモート ネットワークにある場合は、adaptive security applianceがそのサブネットに到達できるようにスタティック ルートを使用する必要があります。

音声検査を使用し、さらにエンドポイントがadaptive security applianceから少なくとも 1 ホップ先にある場合は、この規則は適用されません。たとえば、CCM と H.323 ゲートウェイの間に透過ファイアウォールを使用し、透過ファイアウォールと H.323 ゲートウェイの間にルータがある場合、正常にコールを完了させるには、adaptive security applianceに H.323 ゲートウェイ用のスタティックルートを追加する必要があります。

NAT を使用する場合、adaptive security applianceは、MAC アドレスルックアップではなくルートルックアップを使用します。場合によっては、スタティックルートが必要になります。たとえば、実際の宛先アドレスがadaptive security applianceに直接接続されていない場合、実際の宛先アドレス用に、ダウンストリームルータをポイントするスタティックルートをadaptive security applianceに追加する必要があります。

ネットワークでの透過ファイアウォールの使用

図 16-6 に、外部デバイスが内部デバイスと同じサブネット上にある一般的な透過ファイアウォール ネットワークを示します。内部ルータとホストは、外部ルータに直接接続されているように見えます。

図 16-6 透過ファイアウォール ネットワーク

 

透過ファイアウォール ガイドライン

透過ファイアウォール ネットワークを計画する場合は、次のガイドラインに従ってください。

管理 IP アドレスが必要です。マルチコンテキスト モードの場合は、各コンテキストごとに IP アドレスが必要です。

インターフェイスごとに IP アドレスが必要なルーテッド モードと異なり、透過ファイアウォールではデバイス全体に IP アドレスが割り当てられます。adaptive security applianceは、この IP アドレスを、システム メッセージや AAA 通信など、adaptive security applianceで発信されるパケットの送信元アドレスとして使用します。

管理 IP アドレスは、接続されているネットワークと同じサブネット内にある必要があります。サブネットにホスト サブネット(255.255.255.255)は設定できません。

管理専用インターフェイス(Management 0/0)の IP アドレスを設定できます。この IP アドレスは、メインの管理 IP アドレスとは別々のサブネットに設定できます。


) 管理 IP アドレスが設定されていない場合、一時トラフィックは透過ファイアウォールを通過しません。マルチ コンテキスト モードの場合、一時トラフィックは仮想コンテキストを通過しません。


透過adaptive security applianceは、内部インターフェイスと外部インターフェイスだけを使用します。プラットフォームに専用の管理インターフェイスが含まれている場合は、管理トラフィック専用の管理インターフェイスまたはサブインターフェイスを設定することもできます。

シングルモードでは、セキュリティ アプライアンスに 3 つ以上のインターフェイスが含まれている場合でも、2 つのデータ インターフェイス(および使用可能な場合は専用の管理インターフェイス)だけを使用できます。

直接に接続された各ネットワークは同一のサブネット上にある必要があります。

接続されたデバイス用のデフォルト ゲートウェイとしてadaptive security appliance管理 IP アドレスを指定しないでください。デバイスはadaptive security applianceの他方の側のルータをデフォルト ゲートウェイとして指定する必要があります。

マルチコンテキスト モードでは、各コンテキストが別個のインターフェイスを使用する必要があります。コンテキスト間でインターフェイスを共有できません。

マルチコンテキスト モードでは、通常、各コンテキストが別個のサブネットを使用します。重複するサブネットを使用することもできますが、ルーティング スタンドポイントから可能にするため、ネットワーク トポロジにルータと NAT コンフィギュレーションが必要です。

透過モードでサポートされない機能

表 16-1 に透過モードでサポートされていない機能を示します。

 

表 16-1 透過モードでサポートされていない機能

機能
説明

ダイナミック DNS

--

DHCP リレー

透過ファイアウォールは DHCP サーバとして機能できますが、DHCP リレー コマンドはサポートしません。2 つの拡張アクセスリストを使用して DHCP トラフィックを通過させることができるので、DHCP リレーは必要ありません。1 つは内部インターフェイスから外部インターフェイスへの DCHP 要求を許可し、もう 1 つはサーバからの応答を逆方向に許可します。

ダイナミック ルーティング プロトコル

ただし、adaptive security applianceで発信されたトラフィックのスタティック ルートを追加できます。拡張アクセスリストを使用して、ダイナミック ルーティング プロトコルがadaptive security applianceを通過できるようにすることもできます。

IPv6

EtherType アクセスリストを使用した IPv6 は許可できません。

マルチキャスト

拡張アクセスリストで許可することによって、マルチキャスト トラフィックがadaptive security applianceを通過できるようにすることができます。

QoS

--

通過トラフィック用の VPN ターミネーション

透過ファイアウォールは、管理接続に対してだけサイトツーサイト VPN トンネルをサポートします。これは、adaptive security applianceを通過するトラフィックに対して VPN 接続を終端しません。拡張アクセスリストを使用して VPN トラフィックにセキュリティ アプライアンスを通過させることはできますが、非管理接続は終端されません。WebVPN もサポートされていません。

透過ファイアウォールを通過するデータの動き

図 16-7 に、パブリック Web サーバを含む内部ネットワークを持つ一般的な透過ファイアウォールの実装を示します。内部ユーザがインターネット リソースにアクセスできるよう、adaptive security applianceにはアクセスリストがあります。別のアクセスリストによって、外部ユーザは内部ネットワーク上の Web サーバだけにアクセスできます。

図 16-7 一般的な透過ファイアウォールのデータ パス

 

この項では、データがadaptive security applianceをどのように通過するかを説明します。次の項目について説明します。

「内部ユーザが Web サーバにアクセスする」

「内部ユーザが NAT を使用して Web サーバにアクセスする」

「外部ユーザが内部ネットワーク上の Web サーバにアクセスする」

「外部ユーザが内部ホストにアクセスしようとする」

内部ユーザが Web サーバにアクセスする

図 16-8 は、内部ユーザが外部 Web サーバにアクセスしていることを示しています。

図 16-8 内部から外部へ

 

次の手順では、データがadaptive security applianceをどのように通過するかを示します(図 16-8 を参照)。

1. 内部ネットワークのユーザは、www.example.com から Web ページを要求します。

2. adaptive security applianceはパケットを受信し、必要な場合、送信元 MAC アドレスを MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ ポリシー(アクセスリスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチコンテキスト モードの場合、adaptive security applianceは、一意なインターフェイスに従ってパケットを分類します。

3. adaptive security applianceは、セッションが確立されたことを記録します。

4. 宛先 MAC アドレスがテーブル内にある場合、adaptive security applianceは外部インターフェイスからパケットを転送します。宛先 MAC アドレスは、アップストリーム ルータ 209.186.201.2 のアドレスです。

宛先 MAC アドレスがadaptive security applianceのテーブルにない場合、adaptive security applianceは、ARP 要求と ping を送信して、MAC アドレスを検出しようとします。最初のパケットはドロップされます。

5. Web サーバが要求に応答します。セッションがすでに確立されているため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。

6. adaptive security applianceは、パケットを内部ユーザに転送します。

内部ユーザが NAT を使用して Web サーバにアクセスする

図 16-9 は、内部ユーザが外部 Web サーバにアクセスしていることを示しています。

図 16-9 NAT を使用して内部から外部へ

 

次の手順では、データがadaptive security applianceをどのように通過するかを示します(図 16-9 を参照)。

1. 内部ネットワークのユーザは、www.example.com から Web ページを要求します。

2. adaptive security applianceはパケットを受信し、必要な場合、送信元 MAC アドレスを MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ ポリシー(アクセスリスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチコンテキスト モードの場合、adaptive security applianceは、一意なインターフェイスに従ってパケットを分類します。

3. adaptive security applianceは実際のアドレス(10.1.2.27)をマッピング アドレス 209.165.201.10 に変換します。

マッピング アドレスは外部インターフェイスと同じネットワーク上にないため、アップストリーム ルータにadaptive security applianceをポイントするマッピング ネットワークへのスタティック ルートがあることを確認します。

4. 次に、adaptive security applianceはセッションが確立されたことを記録し、外部インターフェイスからパケットを転送します。

5. 宛先 MAC アドレスがテーブル内にある場合、adaptive security applianceは外部インターフェイスからパケットを転送します。宛先 MAC アドレスは、アップストリーム ルータ 209.165.201.2 のアドレスです。

宛先 MAC アドレスがadaptive security applianceのテーブルにない場合、adaptive security applianceは、ARP 要求と ping を送信して、MAC アドレスを検出しようとします。最初のパケットはドロップされます。

6. Web サーバが要求に応答します。セッションがすでに確立されているため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。

7. adaptive security applianceは、マッピング アドレスを実際のアドレス 10.1.2.27 に変換することによって、NAT を実行します。

外部ユーザが内部ネットワーク上の Web サーバにアクセスする

図 16-10 は、外部ユーザが内部 Web サーバにアクセスしていることを示しています。

図 16-10 外部から内部へ

 

次の手順では、データがadaptive security applianceをどのように通過するかを示します(図 16-10 を参照)。

1. 外部ネットワーク上のユーザは、内部 Web サーバから Web ページを要求します。

2. adaptive security applianceはパケットを受信し、必要な場合、送信元 MAC アドレスを MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ ポリシー(アクセスリスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチコンテキスト モードの場合、adaptive security applianceは、一意なインターフェイスに従ってパケットを分類します。

3. adaptive security applianceは、セッションが確立されたことを記録します。

4. 宛先 MAC アドレスがテーブル内にある場合、adaptive security applianceは内部インターフェイスからパケットを転送します。宛先 MAC アドレスは、ダウンストリーム ルータ 209.186.201.1 のアドレスです。

宛先 MAC アドレスがadaptive security applianceのテーブルにない場合、adaptive security applianceは、ARP 要求と ping を送信して、MAC アドレスを検出しようとします。最初のパケットはドロップされます。

5. Web サーバが要求に応答します。セッションがすでに確立されているため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。

6. adaptive security applianceは、パケットを外部ユーザに転送します。

外部ユーザが内部ホストにアクセスしようとする

図 16-11 は、外部ユーザが内部ネットワーク上のホストにアクセスしようとしていることを示しています。

図 16-11 外部から内部へ

 

次の手順では、データがadaptive security applianceをどのように通過するかを示します(図 16-11 を参照)。

1. 外部ネットワーク上のユーザが、内部ホストに到達しようとします。

2. adaptive security applianceはパケットを受信し、必要な場合、送信元 MAC アドレスを MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ ポリシー(アクセスリスト、フィルタ、AAA)の条件に従って、パケットが許可されているかどうかを確認します。

マルチコンテキスト モードの場合、adaptive security applianceは、一意なインターフェイスに従ってパケットを分類します。

3. パケットが拒否され、adaptive security applianceはパケットをドロップします。

4. 外部ユーザが内部ネットワークを攻撃しようとした場合、adaptive security applianceは多数のテクノロジーを使用して、すでに確立されたセッションに対してパケットが有効かどうかを判別します。