Cisco ASA 5580 適応型セキュリティ アプライアン ス コマンド ライン コンフィギュレーション ガイド
セキュリティ アプライアンスの概要
セキュリティ アプライアンスの概要
発行日;2012/01/16 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

セキュリティ アプライアンスの概要

新機能

バージョン 8.1(2) での新機能

バージョン 8.1(1) での新機能

ファイアウォール機能の概要

セキュリティ ポリシーの概要

アクセス リストによるトラフィックの許可または拒否

NAT の適用

IP フラグメントの保護

スルー トラフィックに対する AAA の使用

HTTP、HTTPS、または FTP フィルタリングの適用

アプリケーション検査の適用

QoS ポリシーの適用

接続の制限と TCP 正規化の適用

脅威の検知のイネーブル化

ファイアウォール モードの概要

ステートフル インスペクションの概要

VPN 機能の概要

セキュリティ コンテキストの概要

セキュリティ アプライアンスの概要

adaptive security applianceは、高度なステートフル ファイアウォールと VPN コンセントレータの機能を 1 つの装置に組み合せたものです。adaptive security applianceの多数の高度な機能には、マルチセキュリティ コンテキスト(仮想ファイアウォールに類似)、透過(レイヤ 2)ファイアウォール動作またはルーテッド(レイヤ 3)ファイアウォール動作、高度な検査エンジン、IPSec およびクライアントレス SSL VPN のサポート、その他の機能があります。

この章は、次の項で構成されています。

「新機能」

「ファイアウォール機能の概要」

「VPN 機能の概要」

「セキュリティ コンテキストの概要」

新機能

この項では、各メンテナンス リリースで追加された機能について説明します。次の項目を取り上げます。

「バージョン 8.1(2) での新機能」

「バージョン 8.1(1) での新機能」

バージョン 8.1(2) での新機能

表 1-1 で、バージョン 8.1(2) での新機能について説明します。


) バージョン 8.1(x) は、Cisco ASA 5580 適応型セキュリティ アプライアンスのみでサポートされています。


 

表 1-1 ASA バージョン 8.1(2) での新機能

機能
説明
リモート アクセス機能

IE 用スマート トンネルを使用した自動サインオン

この機能を使用すると、WININET 接続のログオン クレデンシャルを置き換えることができます。ほとんどの Microsoft アプリケーションでは、WININET を使用します(Internet Explorer を含む)。Mozilla Firefox は、WININET を使用しないため、この機能でサポートされていません。また、HTTP ベースの認証もサポートします。そのため、この機能を使用するとフォーム ベースの認証は動作しません。

クレデンシャルは、サービスではなく宛先ホストに対して静的に関連付けられています。そのため、初期クレデンシャルに問題があると、実行時に動的に修正することができません。また、宛先ホストと関連付けられているため、自動サインオン対応のホスト上のサービスに対するアクセスを拒否したい場合には、そのホストに対してサポートを提供することが望ましくない場合があります。

スマート トンネルのグループ自動サインオンを設定するには、自動サインオン サイトのグローバル リストを作成し、そのリストをグループ ポリシーまたはユーザ名に割り当てます。Dynamic Access Policy ではこの機能がサポートされません。

ASDM では、[Configuration] > [Firewall] > [Advanced] > [ACL Manager] を参照してください。

Entrust 証明書のプロビジョニング

ASDM 6.1.3(バージョン 8.0x と 8.1x を実行するセキュリティ アプライアンスを管理できるバージョン)には、Entrust Web サイトへのリンクが含まれていて、お使いの ASA 用の一時(テスト用)または割引が適用された永続 SSL ID 証明書を申請できます。

ASDM では、[Configuration] > [Remote Access VPN] > [Certificate Management] > [Identity Certificates] > [Enroll ASA SSL VPN head-end with Entrust] を参照してください。

IKE キーの再生成におけるユーザ再認証の時間延長

リモート ユーザがフェーズ 1 SA キーの再生成でクレデンシャルを入力できる時間を増やすことができるようにセキュリティ アプライアンスを設定できます。これまでは、IKE トンネルで reauthenticate-on-rekey が設定されていて、フェーズ 1 キーの再生成が発生した場合、セキュリティ アプライアンスではユーザに認証を要求していましたが、クレデンシャルを入力できるのは約 2 分間だけでした。ユーザがその 2 分間にクレデンシャルを入力しなかった場合、トンネルは終了していました。この新機能をイネーブルにすると、トンネルがドロップする前にユーザが入力できる時間が増えます。総時間は、確立される新しいフェーズ 1 SA(キーの再生成が実際に行われるとき)と期限が切れる古いフェーズ 1 SA との差になります。デフォルトのフェーズ 1 キーの再生成時間が設定された状態で、差はおよそ 3 時間(つまりキーの再生成間隔の約 15% です)。

ASDM では、[Configuration] > [Device Management] > [Certificate Management] > [Identity Certificates] を参照してください。

永続的な IPsec トンネル フロー

永続的な IPsec トンネル フロー機能がイネーブルの場合、セキュリティ アプライアンスは、トンネルのドロップ後もステートフル(TCP)トンネル フローを維持および再開し、その後回復します。その他のすべてのフローは、トンネルがドロップするとドロップされます。新しいトンネルが有効になったら、それらのフローを再確立する必要があります。TCP フローを維持することで、存続期間が短いトンネルがドロップしても一部の古いアプリケーションや機密アプリケーションが動作し続けることができます。この機能では、IPsec LAN-to-LAN トンネル、およびハードウェア クライアントからのネットワーク拡張モード トンネルをサポートします。IPsec または AnyConnect/SSL VPN リモート アクセス トンネルはサポートしません。 sysopt connection preserve-vpn-flows コマンドを参照してください。このオプションは、デフォルトでディセーブルになっています。

ASDM では、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [IPsec] > [System Options] を参照してください。永続的な IPsec トンネル フローをイネーブルにするには、[Preserve stateful VPN flows when the tunnel drops for Network Extension Mode (NEM)] チェックボックスをオンにします。

Active Directory グループの表示

Active Directory グループを表示する CLI コマンド show ad-groups が追加されました。ASDM Dynamic Access Policy ではこのコマンドを使用して、VPN ポリシーの定義に使用できる MS AD グループのリストを表示します。

ASDM では、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] > [Add/Edit DAP] > [Add/Edit AAA Attribute] を参照してください。

Mac OS 上でのスマート トンネル

スマート トンネルで Mac OS がサポートされました。

ASDM では、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Smart Tunnels] を参照してください。

ファイアウォールの機能

NetFlow フィルタリング

トラフィックと event-type に基づいて、NetFlow イベントをフィルタリングして、別のコレクタへレコードを送信できます。たとえば、すべての flow-create イベントをあるコレクタに記録し、flow-denied イベントを別のコレクタに記録できます。 flow-export event-type コマンドを参照してください。

ASDM では、[Configuration] > [Firewall] > [Security Policy] > [Service Policy Rules] > [Add/Edit Service Policy Rule] > [Rule Actions] > [NetFlow] を参照してください。

NetFlow の遅延フロー作成イベント

存続期間が短いフローでは、NetFlow 収集装置はフロー作成とティアダウンという 2 つのイベントを認識する場合とは異なり、単一イベントを処理することによるメリットがあります。フロー作成イベントを送信するまでの遅延を設定できるようになりました。タイマーが期限切れになる前にフローが切断された場合は、フロー ティアダウン イベントのみが送信されます。 flow-export delay flow-create コマンドを参照してください。

(注) ティアダウン イベントには、フローに関するあらゆる情報が含まれます。情報の紛失はありません。

ASDM では、[Configuration] > [Device Management] > [Logging] > [NetFlow] を参照してください。

QoS トラフィック シェーピング

ファスト イーサネットを備えた adaptive security appliance のように高速でパケットを伝送する装置があり、その装置がケーブル モデムのように低速の装置に接続されている場合は、ケーブル モデムがボトルネックとなり、頻繁にパケットがドロップされます。さまざまな回線速度のネットワークを管理する場合は、パケットを固定の低速で伝送するようにセキュリティ アプライアンスを設定できます。shape コマンドを参照してください。

crypto ipsec security-association replay コマンドも参照してください。このコマンドを使用すると、IPSec リプレイ攻撃防止ウィンドウのサイズを設定できます。プライオリティ キューイングには、パケットが再度順序付けされるという副作用があります。IPSec パケットの場合、リプレイ攻撃防止ウィンドウ内にない、順序が乱れたパケットがあると、警告 syslog メッセージが生成されます。プライオリティ キューイングでは、これらの警告は偽アラームになります。この新しいコマンドでは、偽アラームが発生しないようにします。

ASDM では、[Configuration] > [Firewall] > [Security Policy] > [Service Policy Rules] > [Add/Edit Service Policy Rule] > [Rule Actions] > [QoS] を参照してください。トラフィック シェーピングでサポートされるトラフィック クラスのみが class-default であり、これはすべてのトラフィックに一致します。

TCP の正規化の拡張

特定のパケット タイプに対する TCP 正規化処理を設定できるようになりました。これまで、それらのパケットに対するデフォルトの処理は、パケットをドロップすることでした。今後は、パケットを許可するように TCP ノーマライザを設定できます。

TCP の無効な ACK のチェック(invalid-ack コマンド)

TCP パケットのシーケンスがウィンドウを超過したことのチェック(seq-past-window コマンド)

TCP SYN-ACK にデータがあることのチェック(synack-data コマンド)

また、TCP 異常なパケットのバッファ タイムアウトを設定できます(queue コマンドの timeout キーワード)。これまでタイムアウトは 4 秒でした。今後は、タイムアウトを別の値に設定できます。

MSS を超過したパケットのデフォルトの処理は、ドロップから許可に変更されました(exceed-mss コマンド)。

これらのパケット タイプに対する構成可能でない次の処理は、ドロップからクリアに変更されました。

TCP 内のオプション長が不正

TCP ウィンドウ スケールが非 SYN 上にある

TCP ウィンドウ スケール値が不正

TCP SACK ALLOW オプションが不正

ASDM では、[Configuration] > [Firewall] > [Objects] > [TCP Maps] を参照してください。

TCP 代行受信の統計情報

threat-detection statistics tcp-intercept コマンドを使用して TCP 代行受信の統計情報を収集したり、 show threat-detection statistics コマンドを使用してその統計情報を表示したりすることができます。

ASDM では、[Configuration] > [Firewall] > [Threat Detection] を参照してください。

脅威を検知したときの排除タイムアウト

threat-detection scanning-threat shun duration コマンドを使用して、脅威を検知したときの排除タイムアウトを設定できるようになりました。

ASDM では、[Configuration] > [Firewall] > [Threat Detection] を参照してください。

脅威を検知したときのホスト統計情報の微調整

threat-detection statistics host number-of-rate コマンドを使用して、ホスト統計情報の収集量を減らすことができるようになりました。これにより、この機能によるシステムへの影響を軽減します。

ASDM では、[Configuration] > [Firewall] > [Threat Detection] を参照してください。

プラットフォームの機能

VLAN 数の増加

ASA 5580 でサポートされる VLAN 数が 100 から 250 に増えました。

バージョン 8.1(1) での新機能

表 1-2 で、バージョン 8.1(1) での新機能について説明します。


) バージョン 8.1(x) は、Cisco ASA 5580 適応型セキュリティ アプライアンスのみでサポートされています。


 

表 1-2 ASA バージョン 8.1(1) での新機能

機能
説明

Cisco ASA 5580 の導入

2 つのモデルで Cisco ASA 5580 が導入されました。

ASA 5580-20 では、5 ギガビット/秒の TCP トラフィックを提供し、UDP のパフォーマンスはさらに向上しています。システムの多くの機能がマルチコア対応になったことで、このような高スループットが実現しました。さらに、1 秒あたり 60,000 を超える TCP 接続が可能であり、最大で 100 万接続をサポートします。

ASA 5580-40 では、10 ギガビット/秒の TCP トラフィックを提供し、ASA 5580-20 と同様に UDP のパフォーマンスはさらに向上しています。ASA 5580-40 では 1 秒あたり 120,000 を超える TCP 接続が可能であり、最大で 200 万接続をサポートします。

ASDM では、[Home] > [System Resource Status]、および [Home] > [Device Information] > [Environment Status] を参照してください。

NetFlow

新しい NetFlow 機能では ASA のロギング機能を拡張し、NetFlow プロトコルを介したフローベースのイベントをロギングします。この機能と新しい CLI コマンドの詳細については、『 Cisco ASA 5580 Adaptive Security Appliance Command Line Configuration Guide 』を参照してください。

ASDM では、[Configuration] > [Device Management] > [Logging] > [Netflow] を参照してください。

SIP プロビジョナル メディアのタイムアウト

timeout sip-provisional-media コマンドを使用することで、SIP プロビジョナル メディアのタイムアウトを設定できるようになりました。

ASDM では、[Configuration] > [Firewall] > [Advanced] > [Global Timeouts] を参照してください。

アクティベーション キーの詳細

show activation key detail コマンドを使用することで、永続的および一時的なアクティベーション キーとそれらで有効な機能を確認できます(事前にインストールされているすべての一時キーとそれらの有効期限日を含む)。

ASDM のシングル コンテキスト モードでは、[Configuration] > [Device Management] > [System Image/Configuration] > [Activation Key] を参照してください。ASDM のマルチ コンテキスト モードでは、[System] > [Configuration] > [Device Management] > [Activation Key] を参照してください。

ファイアウォール機能の概要

ファイアウォールは、外部ネットワーク上のユーザによる不正アクセスから内部ネットワークを保護します。また、ファイアウォールは、人事部門ネットワークをユーザ ネットワークから分離するなど、内部ネットワーク同士の保護も行います。Web サーバまたは FTP サーバなど、外部のユーザが使用できるようにする必要のあるネットワーク リソースがあれば、ファイアウォールで保護された別のネットワーク( Demiliterized Zone (DMZ; 非武装地帯)と呼ばれる)上に配置します。ファイアウォールによって DMZ に許可されるアクセスは限定されますが、DMZ にあるのは公開サーバだけのため、この地帯が攻撃されても影響を受けるのは公開サーバに限定され、他の内部ネットワークに影響が及ぶことはありません。また、特定アドレスだけに許可する、認証または認可を義務づける、または外部の URL フィルタリング サーバと協調するといった手段によって、内部ユーザが外部ネットワーク(インターネットなど)にアクセスする機会を制御することもできます。

ファイアウォールに接続されているネットワークに言及する場合、 外部 ネットワークはファイアウォールの手前にあるネットワーク、 内部 ネットワークはファイアウォールの背後にある保護されているネットワーク、および DMZ はファイアウォールの背後にあるが、外部ユーザに制限付のアクセスが許されているネットワークです。adaptive security applianceを使用すると、数多くのインターフェイスに対してさまざまなセキュリティ ポリシーが設定できます。このインターフェイスには、多数の内部インターフェイス、多数の DMZ、および必要に応じて多数の外部インターフェイスが含まれるため、ここでは、このインターフェイスの区分は一般的な意味で使用するだけです。

この項は、次の内容で構成されています。

「セキュリティ ポリシーの概要」

「ファイアウォール モードの概要」

「ステートフル インスペクションの概要」

セキュリティ ポリシーの概要

他のネットワークにアクセスするために、ファイアウォールを通過することが許可されるトラフィックがセキュリティ ポリシーによって決められます。デフォルトでは、内部ネットワーク(高セキュリティ レベル)から外部ネットワーク(低セキュリティ レベル)へのトラフィックは、自由に流れることがadaptive security applianceによって許可されます。トラフィックにアクションを適用してセキュリティ ポリシーをカスタマイズできます。この項は、次の内容で構成されています。

「アクセス リストによるトラフィックの許可または拒否」

「NAT の適用」

「IP フラグメントの保護」

「スルー トラフィックに対する AAA の使用」

「HTTP、HTTPS、または FTP フィルタリングの適用」

「アプリケーション検査の適用」

「QoS ポリシーの適用」

「接続の制限と TCP 正規化の適用」

アクセス リストによるトラフィックの許可または拒否

アクセス リストは、内部から外部へのトラフィックを制限するため、および外部から内部へのトラフィックを許可するために使用できます。透過ファイアウォール モードでは、非 IP トラフィックを許可するための EtherType アクセス リストも適用できます。

NAT の適用

NAT の利点のいくつかを次に示します。

内部ネットワークでプライベート アドレスを使用できます。プライベート アドレスは、インターネットにルーティングできません。

NAT はローカル アドレスを他のネットワークから隠蔽するため、攻撃者はホストの実際のアドレスを取得できません。

NAT は、重複 IP アドレスをサポートすることで、IP ルーティングの問題を解決できます。

IP フラグメントの保護

adaptive security applianceは、IP フラグメント保護を備えています。この機能では、すべての ICMP エラー メッセージの完全リアセンブリ、およびadaptive security applianceを介してルーティングされる残りの IP フラグメントの仮想リアセンブリを実行します。セキュリティ チェックが失敗したフラグメントはドロップされ、ログに記録されます。仮想リアセンブリは無効にできません。

スルー トラフィックに対する AAA の使用

HTTP など特定のタイプのトラフィックに対して、認証と認可のいずれかまたは両方を要求できます。adaptive security applianceは、RADIUS サーバまたは TACACS+ サーバにアカウンティング情報を送信することもあります。

HTTP、HTTPS、または FTP フィルタリングの適用

アクセス リストを使用して、特定の Web サイトまたは FTP サーバへの発信アクセスを禁止できますが、このような方法で Web サイトの使用方法を設定し管理することは、インターネットの規模とダイナミックな特性から、実用的とはいえません。adaptive security applianceを、次のインターネット フィルタリング製品のいずれかを実行している別のサーバと連携させて使用することを推奨します。

Websense Enterprise

Secure Computing SmartFilter

アプリケーション検査の適用

検査エンジンは、ユーザのデータ パケット内に IP アドレッシング情報を埋め込むサービスや、ダイナミックに割り当てられるポート上でセカンダリ チャネルを開くサービスに必要です。これらのプロトコルは、adaptive security applianceが詳細なパケット検査を行うことを要求します。

QoS ポリシーの適用

音声やストリーミング ビデオなどのネットワーク トラフィックでは、長時間の遅延は許容されません。QoS は、この種のトラフィックに優先順位を設定するネットワーク機能です。QoS は、特定のネットワーク トラフィックによりよいサービスを提供するネットワークの機能を指します。

接続の制限と TCP 正規化の適用

TCP 接続、UDP 接続、および初期接続を制限できます。接続と初期接続の数を制限することで、DoS 攻撃(サービス拒絶攻撃)から保護されます。adaptive security applianceでは、初期接続の制限を利用して TCP 代行受信を発生させます。代行受信によって、TCP SYN パケットを使用してインターフェイスをフラッディングする DoS 攻撃から内部システムを保護します。初期接続とは、送信元と宛先の間で必要になるハンドシェイクを完了していない接続要求のことです。

TCP 正規化は、正常に見えないパケットをドロップするように設計された高度な TCP 接続設定で構成される機能です。

脅威の検知のイネーブル化

スキャン脅威の検知と基本の脅威の検知を設定したり、統計情報を使用して脅威を分析する方法を設定したりすることができます。

基本の脅威の検知では、攻撃(DoS 攻撃など)に関係する可能性のあるアクティビティを検知し、システム ログ メッセージへ自動的に送信します。

典型的なスキャン攻撃では、あるホストがサブネット内の IP アドレスにアクセスできるかどうかを 1 つずつ試します(サブネット内の多数のホストを順にスキャンするか、1 つのホストまたはサブネット内の多数のポートを順にスイープします)。スキャン脅威検出機能は、ホストがいつスキャンを実行しているかを判別します。トラフィックのシグニチャに基づく IPS スキャン検出とは異なり、adaptive security applianceのスキャン脅威検出機能では大規模なデータベースが保持され、そこに格納されているホスト統計情報を分析してスキャン アクティビティの有無を判別します。

このホスト データベースは、リターン アクティビティのない接続、閉じられたサービス ポートへのアクセス、非ランダム IPID などの脆弱な TCP 動作といった疑わしいアクティビティを追跡します。

adaptive security applianceを設定し、攻撃者に関するシステム ログ メッセージを送信したり、自動的にホストを遮断したりできます。

ファイアウォール モードの概要

adaptive security applianceは、次の 2 つのファイアウォール モードで動作します。

ルーテッド

透過

ルーテッド モードでは、adaptive security applianceは、ネットワークのルータ ホップと見なされます。

透過モードでは、adaptive security applianceは「bump-in-the-wire(BITW)」または「ステルス ファイアウォール」のように動作し、ルータ ホップとは見なされません。adaptive security applianceでは、内部インターフェイスと外部インターフェイスに同じネットワークが接続されます。

透過ファイアウォールは、ネットワーク コンフィギュレーションを簡単にするために使用できます。透過モードは、攻撃者からファイアウォールが見えないようにする場合にも有効です。透過ファイアウォールは、他の場合にはルーテッド モードでブロックされるトラフィックにも使用できます。たとえば、透過ファイアウォールでは、EtherType アクセス リストを使用するマルチキャスト ストリームが許可されます。

ステートフル インスペクションの概要

adaptive security applianceを通過するトラフィックはすべて、アダプティブ セキュリティ アルゴリズムを使用して検査され、通過が許可されるか、またはドロップされます。単純なパケット フィルタは、送信元アドレス、宛先アドレス、およびポートが正しいかどうかはチェックできますが、パケット シーケンスまたはフラグが正しいかどうかはチェックしません。また、フィルタはすべてのパケットをフィルタと照合してチェックするため、処理が低速になる場合があります。

しかし、adaptive security applianceのようなステートフル ファイアウォールは、パケットの次のようなステートについて検討します。

新規の接続かどうか。

新規の接続の場合、adaptive security applianceは、パケットをアクセス リストと照合してチェックする必要があり、これ以外の各種のタスクを実行してパケットの許可または拒否を決定する必要があります。このチェックを行うために、セッションの最初のパケットは「セッション管理パス」を通過しますが、トラフィックのタイプに応じて、「コントロール プレーン パス」も通過する場合があります。

セッション管理パスで行われるタスクは次のとおりです。

アクセス リストとの照合チェック

ルート ルックアップの実行

NAT 変換(xlates)の割り当て

「ファースト パス」でのセッション確立


) セッション管理パスおよびファースト パスが「アクセラレーション セキュリティ パス」を構成します。


レイヤ 7 検査が必要なパケット(パケットのペイロードの検査または変更が必要)は、コントロール プレーン パスに渡されます。レイヤ 7 検査エンジンは、2 つ以上のチャネルを持つプロトコルで必要です。1 つは周知のポート番号を使用するデータ チャネルで、もう 1 つはセッションごとに異なるポート番号を使用するコントロール チャネルです。このようなプロトコルには、FTP、H.323、および SNMP があります。

確立済みの接続かどうか。

接続がすでに確立されている場合は、adaptive security applianceでパケットの再チェックを行う必要はありません。一致するパケットの大部分は、両方向でファースト パスを通過できます。ファースト パスで行われるタスクは次のとおりです。

IP チェックサム検証

セッション ルックアップ

TCP シーケンス番号のチェック

既存セッションに基づく NAT 変換

レイヤ 3 ヘッダー調整およびレイヤ 4 ヘッダー調整

UDP プロトコルまたは他のコネクションレス型プロトコルに対して、adaptive security applianceはコネクション ステート情報を作成して、ファースト パスも使用できるようにします。

レイヤ 7 検査を必要とするプロトコルに合致するデータ パケットもファースト パスを通過できます。

確立済みセッション パケットの中には、セッション管理パスまたはコントロール プレーン パスを引き続き通過しなければならないものがあります。セッション管理パスを通過するパケットには、検査またはコンテンツ フィルタリングを必要とする HTTP パケットが含まれます。コントロール プレーン パスを通過するパケットには、レイヤ 7 検査を必要とするプロトコルのコントロール パケットが含まれます。

VPN 機能の概要

VPN は、TCP/IP ネットワーク(インターネットなど)上のセキュアな接続で、プライベートな接続として表示されます。このセキュアな接続はトンネルと呼ばれます。adaptive security applianceは、トンネリング プロトコルを使用して、セキュリティ パラメータのネゴシエート、トンネルの作成および管理、パケットのカプセル化、トンネルを通したパケットの送信または受信、パケットのカプセル化の解除を行います。adaptive security applianceは、双方向のトンネル エンドポイントとして機能します。たとえば、プレーン パケットを受信してカプセル化し、それをトンネルのもう一方の側に送信できます。そのエンドポイントで、パケットはカプセル化が解除され、最終的な宛先に送信されます。また、セキュリティ アプライアンスは、カプセル化されたパケットを受信してカプセル化を解除し、それを最終的な宛先に送信することもできます。adaptive security applianceは、これらの機能を実行するためにさまざまな標準プロトコルを起動します。

adaptive security applianceが実行する機能は次のとおりです。

トンネルの確立

トンネル パラメータのネゴシエーション

ユーザの認証

ユーザ アドレスの割り当て

データの暗号化と復号化

セキュリティ キーの管理

トンネルを通したデータ転送の管理

トンネル エンドポイントまたはルータとしての着信データと発信データの転送の管理

adaptive security applianceは、これらの機能を実行するためにさまざまな標準プロトコルを起動します。

セキュリティ コンテキストの概要

1 台のadaptive security applianceを、セキュリティ コンテキストと呼ばれる複数の仮想装置に分割できます。各コンテキストは、独自のセキュリティ ポリシー、インターフェイス、および管理者を持つ独立した装置です。マルチ コンテキストは、複数のスタンドアロン装置を使用することに似ています。マルチ コンテキスト モードでは、ルーティング テーブル、ファイアウォール機能、IPS、管理など、多くの機能がサポートされます。VPN、ダイナミック ルーティング プロトコルなど、いくつかの機能はサポートされません。

マルチ コンテキスト モードの場合、adaptive security applianceには、セキュリティ ポリシー、インターフェイス、およびスタンドアロン装置で設定できるほとんどのオプションを識別するコンテキストごとのコンフィギュレーションが含まれます。システム管理者は、システム コンフィギュレーションに設定することでコンテキストを追加および管理します。このコンフィギュレーションは、シングル モードのコンフィギュレーション同様、スタートアップ コンフィギュレーションです。システム コンフィギュレーションは、adaptive security applianceの基本設定を識別します。システム コンフィギュレーションには、自分自身のネットワーク インターフェイスまたはネットワーク設定は含まれません。システムがネットワーク リソースにアクセスする必要が生じたとき(サーバからコンテキストをダウンロードするときなど)は、管理コンテキストとして指定されたコンテキストのいずれかを使用します。

管理コンテキストは、他のコンテキストとまったく同じです。ただ、ユーザが管理コンテキストにログインすると、システム管理者権限を持つので、システム コンテキストおよび他のすべてのコンテキストにアクセス可能になる点が異なります。


) 管理者は、自分のコンテキストすべてをルーテッド モードまたは透過モードで実行できますが、一部のコンテキストを一方のモードで実行し、他のコンテキストをもう一方のモードで実行することはできません。

マルチ コンテキスト モードでは、スタティック ルーティングのみサポートします。