Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用)
TCP ステート バイパス の設定
TCP ステート バイパスの設定
発行日;2012/02/01 | 英語版ドキュメント(2011/09/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

TCP ステート バイパスの設定

TCP ステート バイパスに関する情報

TCP ステート バイパスのライセンス要件

ガイドラインと制限事項

デフォルト設定

TCP ステート バイパスの設定

TCP ステート バイパスの監視

TCP ステート バイパスの設定例

TCP ステート バイパスの機能履歴

TCP ステート バイパスの設定

この章では、TCP ステート バイパスについて説明します。この機能を使用すると、アウトバウンド フローとインバウンド フローが異なる適応型セキュリティ アプライアンスを通過できます。この章には、次の項があります。

「TCP ステート バイパスに関する情報」

「TCP ステート バイパスのライセンス要件」

「ガイドラインと制限事項」

「デフォルト設定」

「TCP ステート バイパスの設定」

「TCP ステート バイパスの監視」

「TCP ステート バイパスの設定例」

「TCP ステート バイパスの機能履歴」

TCP ステート バイパスに関する情報

デフォルトでは、適応型セキュリティ アプライアンスを通過するトラフィックはすべて、アダプティブ セキュリティ アルゴリズムを使用して検査され、セキュリティ ポリシーに基づいて、通過を許可されるか、またはドロップされます。適応型セキュリティ アプライアンスは、各パケットのステートをチェックして(新規の接続か、確立済みの接続か)、セッション管理パス(新規接続の SYN パケット)、ファースト パス(確立済み接続)、またはコントロール プレーン パス(高度な検査)を割り当てることで、ファイアウォールのパフォーマンスを最大化します。ステートフル ファイアウォールの詳細については、「ステートフル インスペクションの概要」を参照してください。

ファースト パスの既存の接続に一致する TCP パケットは、セキュリティ ポリシーのあらゆる面の再検査を受けることなく適応型セキュリティ アプライアンスを通過できます。この機能によってパフォーマンスは最大になります。ただし、SYN パケットを使用してファースト パスのセッションを確立する方法、およびファースト パスで実施される検査(TCP シーケンス番号など)は、非対称ルーティング ソリューションを妨げる場合があります。つまり、接続のアウトバウンド フローとインバウンド フローがどちらも同じ適応型セキュリティ アプライアンスを通過する必要があります。

たとえば、新しい接続が適応型セキュリティ アプライアンス 1.に到着します。SYN パケットはセッション管理パスを通過し、接続のエントリがファースト パス テーブルに追加されます。この接続の後続のパケットが適応型セキュリティ アプライアンス 1 を通過する場合、パケットはファースト パスのエントリと一致して、通過します。しかし、後続のパケットが適応型セキュリティ アプライアンス 2 に到着すると、SYN パケットがセッション管理パスを通過していないために、ファースト パスにはその接続のエントリがなく、パケットはドロップされます。図 51-1 は非対称ルーティングの例を示したもので、アウトバウンド トラフィックはインバウンド トラフィックとは異なる適応型セキュリティ アプライアンスを通過しています。

図 51-1 非対称ルーティング

 

アップストリーム ルータに設定された非対称ルーティングがあり、トラフィックが 2 つの適応型セキュリティ アプライアンスの間で切り替わる場合は、特定のトラフィックに対して TCP ステート バイパスを設定できます。TCP ステート バイパスは、ファースト パスでのセッションの確立方法を変更し、ファースト パスの検査をディセーブルにします。この機能は、TCP トラフィックを UDP 接続と同じように処理します。指定されているネットワークに一致する非 SYN パケットが適応型セキュリティ アプライアンスに到着し、ファースト パスのエントリがない場合は、パケットはセッション管理パスを通過して、ファースト パスの接続を確立します。いったんファースト パスに入ると、トラフィックはファースト パスの検査をバイパスします。

TCP ステート バイパスのライセンス要件

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド モードとトランスペアレント モードでサポートされます。

フェールオーバーのガイドライン

フェールオーバーはサポートされます。

サポートされていない機能

TCP ステート バイパスを使用するときは、次の機能はサポートされません。

アプリケーション検査:アプリケーション検査ではインバウンド トラフィックとアウトバウンド トラフィックの両方が同じ適応型セキュリティ アプライアンスを通過する必要があるので、アプリケーション検査は TCP ステート バイパスではサポートされません。

AAA 認証済みセッション:ユーザが 1 つの適応型セキュリティ アプライアンスで認証するとき、他の適応型セキュリティ アプライアンスを介して返されるトラフィックは、ユーザがその適応型セキュリティ アプライアンスで認証を受けていないので拒否されます。

TCP 代行受信、最大初期接続制限、TCP シーケンス番号のランダム化:適応型セキュリティ アプライアンスは接続のステートを追跡しないので、これらの機能は適用されません。

TCP 正規化:TCP ノーマライザはディセーブルになります。

SSM および SSC 機能:TCP ステート バイパスおよび IPS や CSC などの SSM または SSC 上で実行するアプリケーションは使用できません。

NAT のガイドライン

変換セッションは適応型セキュリティ アプライアンスごとに個別に確立されるので、TCP ステート バイパス トラフィック用に両方の適応型セキュリティ アプライアンスでスタティック NATを設定してください。ダイナミック NAT を使用すると、適応型セキュリティ アプライアンス 1 でのセッションに選択されるアドレスが、適応型セキュリティ アプライアンス 2 でのセッションに選択されるアドレスと異なります。

デフォルト設定

TCP ステート バイパスは、デフォルトでディセーブルになっています。

TCP ステート バイパスの設定

この項では、TCP ステート バイパスの設定方法について説明します。

 

コマンド
目的

ステップ 1

class-map name
 
例:
hostname(config)# class-map bypass_traffic

ステートフル ファイアウォール検査をディセーブルにするトラフィックを識別するためのクラスマップを作成します。

ステップ 2

match parameter
 
例:
hostname(config-cmap)# match access-list bypass

クラスマップのトラフィックを指定します。詳細については、「トラフィックの特定(レイヤ 3/4 クラスマップ)」を参照してください。

ステップ 3

policy-map name
 
例:
hostname(config)# policy-map tcp_bypass_policy

クラスマップ トラフィックで実行するアクションを設定するポリシーマップを追加または編集します。

ステップ 4

class name
 
例:
hostname(config-pmap)# class bypass_traffic

ステップ 1 で作成したクラスマップを指定します。

ステップ 5

set connection advanced-options tcp-state-bypass
 
例:
hostname(config-pmap-c)# set connection advanced-options tcp-state-bypass

TCP ステート バイパスをイネーブルにします。

ステップ 6

service-policy policymap_name {global | interface interface_name }
 
例:
hostname(config)# service-policy tcp_bypass_policy outside

1 つまたは複数のインターフェイスでポリシーマップをアクティブにします。 global はポリシーマップをすべてのインターフェイスに適用し、 interface は 1 つのインターフェイスに適用します。グローバル ポリシーは 1 つしか適用できません。インターフェイスのグローバル ポリシーは、そのインターフェイスにサービス ポリシーを適用することで上書きできます。各インターフェイスには、ポリシーマップを 1 つだけ適用できます。

TCP ステート バイパスの監視

TCP ステート バイパスを監視するには、次のいずれかのタスクを実行します。

 

コマンド
目的
show conn

show conn コマンドを使用した場合、TCP ステート バイパスを使用する接続にはフラグ「b」が表示されます。

TCP ステート バイパスの設定例

TCP ステート バイパスの設定例を次に示します。

hostname(config)# access-list tcp_bypass extended permit tcp 10.1.1.0 255.255.255.224 any
 
hostname(config)# class-map tcp_bypass
hostname(config-cmap)# description "TCP traffic that bypasses stateful firewall"
hostname(config-cmap)# match access-list tcp_bypass
 
hostname(config-cmap)# policy-map tcp_bypass_policy
hostname(config-pmap)# class tcp_bypass
hostname(config-pmap-c)# set connection advanced-options tcp-state-bypass
 
hostname(config-pmap-c)# service-policy tcp_bypass_policy outside
 
hostname(config-pmap-c)# static (inside,outside) 209.165.200.224 10.1.1.0 netmask 255.255.255.224

TCP ステート バイパスの機能履歴

表 51-1 に、この機能のリリース履歴の一覧を示します。

 

表 51-1 TCP ステート バイパスの機能履歴

機能名
リリース
機能情報

TCP ステート バイパス

8.2(1)

この機能が導入されました。 set connection advanced-options tcp-state-bypass コマンドが導入されました。