Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
透過ファイアウォールまたはルーテッド ファイアウォール の 設定
透過ファイアウォールまたはルーテッド ファイアウォールの設定
発行日;2012/02/01 | 英語版ドキュメント(2011/07/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

透過ファイアウォールまたはルーテッド ファイアウォールの設定

ファイアウォール モードの設定

ファイアウォール モードに関する情報

ルーテッド ファイアウォール モードに関する情報

透過ファイアウォール モードに関する情報

ファイアウォール モードのライセンス要件

デフォルト設定

ガイドラインと制限事項

ファイアウォール モードの設定

ファイアウォール モードの機能履歴

透過ファイアウォール用の ARP 検査の設定

ARP 検査に関する情報

ARP 検査のライセンス要件

デフォルト設定

ガイドラインと制限事項

ARP 検査の設定

ARP 検査の設定のタスク フロー

スタティック ARP エントリの追加

ARP 検査のイネーブル化

ARP 検査のモニタリング

ARP 検査の機能履歴

透過ファイアウォール用の MAC アドレス テーブルのカスタマイズ

MAC アドレス テーブルに関する情報

MAC アドレス テーブルのライセンス要件

デフォルト設定

ガイドラインと制限事項

MAC アドレス テーブルの設定

スタティック MAC アドレスの追加

MAC アドレス タイムアウトの設定

MAC アドレス ラーニングのディセーブル化

MAC アドレス テーブルのモニタリング

MAC アドレス テーブルの機能履歴

ファイアウォール モードの例

ルーテッド ファイアウォール モードでデータがセキュリティ アプライアンスを通過する方法

内部ユーザが Web サーバにアクセスする

外部ユーザが DMZ 上の Web サーバにアクセスする

内部ユーザが DMZ 上の Web サーバにアクセスする

外部ユーザが内部ホストにアクセスしようとする

DMZ ユーザが内部ホストにアクセスしようとする

透過ファイアウォールを通過するデータの動き

内部ユーザが Web サーバにアクセスする

NAT を使用して内部ユーザが Web サーバにアクセスする

外部ユーザが内部ネットワーク上の Web サーバにアクセスする

外部ユーザが内部ホストにアクセスしようとする

透過ファイアウォールまたはルーテッド ファイアウォール設定

この章では、ファイアウォール モード(透過またはルーテッド)の設定方法および透過ファイアウォール動作のカスタマイズ方法について説明します。


) マルチコンテキスト モードでは、コンテキストごとに個別にファイアウォール モードを設定できません。ファイアウォール モードは適応型セキュリティ アプライアンス全体に対してだけ設定できます。


この章には、次の項があります。

「ファイアウォール モードの設定」

「透過ファイアウォール用の ARP 検査の設定」

「透過ファイアウォール用の MAC アドレス テーブルのカスタマイズ」

「ファイアウォール モードの例」

ファイアウォール モードの設定

この項では、ルーテッド ファイアウォール モードと透過ファイアウォール モードについて、およびモードの設定方法について説明します。この項は、次の内容で構成されています。

「ファイアウォール モードに関する情報」

「ファイアウォール モードのライセンス要件」

「デフォルト設定」

「ガイドラインと制限事項」

「ファイアウォール モードの設定」

「ファイアウォール モードの機能履歴」

ファイアウォール モードに関する情報

この項では、ルーテッド ファイアウォール モードおよび透過ファイアウォール モードについて説明します。次の項目を取り上げます。

「ルーテッド ファイアウォール モードに関する情報」

「透過ファイアウォール モードに関する情報」

ルーテッド ファイアウォール モードに関する情報

ルーテッド モードでは、適応型セキュリティ アプライアンスはネットワーク内のルータ ホップと見なされます。OSPF または RIP を使用できます(シングルコンテキスト モードの場合)。ルーテッド モードは多数のインターフェイスをサポートしています。インターフェイスはそれぞれ異なるサブネット上に置かれます。コンテキスト間でインターフェイスを共有することもできます。

適応型セキュリティ アプライアンスは、接続されたネットワーク間のルータとして機能します。インターフェイスごとに、異なるサブネット上の IP アドレスが必要です。シングルコンテキスト モードでは、ルーテッド ファイアウォールは OSPF および RIP をサポートします。マルチコンテキスト モードでは、スタティック ルートだけがサポートされます。過度なルーティングのニーズを適応型セキュリティ アプライアンスに頼るのではなく、アップストリーム ルータとダウンストリーム ルータの拡張ルーティング機能を使用することをお勧めします。

透過ファイアウォール モードに関する情報

通常、ファイアウォールはルーティングされたホップであり、スクリーニングされたサブネットのいずれかに接続するホストのデフォルト ゲートウェイとして機能します。一方、透過ファイアウォールは、「bump-in-the-wire(BITW)」または「ステルス ファイアウォール」のように動作するレイヤ 2 ファイアウォールであり、接続されたデバイスへのルータ ホップとは見なされません。

この項では、透過ファイアウォール モードについて説明します。次の項目を取り上げます。

「透過ファイアウォール ネットワーク」

「レイヤ 3 トラフィックの許可」

「許可される MAC アドレス」

「ルーテッド モードで許可されないトラフィックの通過」

「BPDU の処理」

「MAC アドレス ルックアップと ルート ルックアップ」

「ネットワークでの透過ファイアウォールの使用」

透過ファイアウォール ネットワーク

適応型セキュリティ アプライアンスでは、内部インターフェイスと外部インターフェイスに同じネットワークが接続されます。透過ファイアウォールはルーティングされたホップではないので、既存のネットワークに簡単に導入できます。

レイヤ 3 トラフィックの許可

IPv4 および IPv6 トラフィックは、セキュリティの高いインターフェイスから低いインターフェイスに移動する場合、アクセスリストなしで自動的に透過ファイアウォールを通過できます。ARP は、アクセスリストなしで両方向に透過ファイアウォールを通過できます。ARP トラフィックは ARP 検査によって制御されます。セキュリティの低いインターフェイスから高いインターフェイスに移動するレイヤ 3 トラフィックの場合、セキュリティの低いインターフェイス上に拡張アクセスリストが必要です。詳細については、「拡張アクセスリストの追加」または 「IPv6 アクセスリストの追加」を参照してください。

許可される MAC アドレス

次の宛先 MAC アドレスは、透過ファイアウォールから許可されます。このリストにない MAC アドレスはすべてドロップされます。

FFFF.FFFF.FFFF の TRUE ブロードキャスト宛先 MAC アドレス

0100.5E00.0000 ~ 0100.5EFE.FFFF までの IPv4 マルチキャスト MAC アドレス

3333.0000.0000 ~ 3333.FFFF.FFFF までの IPv6 マルチキャスト MAC アドレス

0100.0CCC.CCCD の BPDU マルチキャスト アドレス

0900.0700.0000 ~ 0900.07FF.FFFF までの AppleTalk マルチキャスト MAC アドレス

ルーテッド モードで許可されないトラフィックの通過

ルーテッド モードでは、アクセスリストで許可しても、いくつかのタイプのトラフィックは適応型セキュリティ アプライアンスを通過できません。一方、透過ファイアウォールは、拡張アクセスリスト(IP トラフィックの場合)または EtherType アクセスリスト(IP 以外のトラフィックの場合)を使用して、ほとんどすべてのトラフィックを許可できます。


) トランスペアレント モードの適応型セキュリティ アプライアンスは、CDP パケットおよび 0x600 以上の有効な EtherType を持たないパケットの通過を拒否します。たとえば、IS-IS パケットを通過させることはできません。例外として、BPDU はサポートされています。


たとえば、透過ファイアウォールでルーティング プロトコルの隣接関係を確立できます。つまり、拡張アクセスリストに基づいて、OSPF、RIP、EIGRP、または BGP トラフィックを許可できます。同様に、HSRP や VRRP などのプロトコルは適応型セキュリティ アプライアンスを通過できます。

IP 以外のトラフィック(AppleTalk、IPX、BPDU、および MPLS など)は、EtherType アクセスリストを使用して通過するように構成できます。

透過ファイアウォールで直接サポートされていない機能の場合は、アップストリーム ルータとダウンストリーム ルータが機能をサポートできるようにトラフィックの通過を許可することができます。たとえば、拡張アクセスリストを使用して、DHCP トラフィック(サポートされない DHCP リレー機能の代わりに)または IP/TV によって作成されたマルチキャスト トラフィックを許可できます。

BPDU の処理

スパニング ツリー プロトコルを使用してループを防止するため、デフォルトで BPDU が渡されます。BPDU をブロックするには、BPDU を拒否するように EtherType アクセスリストを設定する必要があります。

MAC アドレス ルックアップと ルート ルックアップ

適応型セキュリティ アプライアンスがトランスペアレント モードで動作している場合、パケットの発信インターフェイスは、ルート ルックアップではなく MAC アドレス ルックアップを実行することによって決定されます。

ただし、次のトラフィック タイプにはルート ルックアップが必要です。

適応型セキュリティ アプライアンスで発信されたトラフィック:たとえば、syslog サーバがリモート ネットワークにある場合は、適応型セキュリティ アプライアンスがそのサブネットに到達できるようにスタティック ルートを使用する必要があります。

検査がイネーブルであり、エンドポイントが適応型セキュリティ アプライアンスから少なくとも 1 ホップ離れている Voice over IP(VoIP)トラフィック:たとえば、CCM と H.323 ゲートウェイの間に透過ファイアウォールを使用し、透過ファイアウォールと H.323 ゲートウェイの間にルータがある場合、正常にコールを完了させるには適応型セキュリティ アプライアンスに H.323 ゲートウェイ用のスタティック ルートを追加する必要があります。

NAT および検査がイネーブルである VoIP または DNS トラフィック:VoIP パケットおよび DNS パケット内の IP アドレスを正常に変換するには、適応型セキュリティ アプライアンスでルート ルックアップを実行する必要があります。ホストが直接接続されたネットワーク上にない限り、パケットに埋め込まれている実際のホスト アドレス用のスタティック ルーツを適応型セキュリティ アプライアンスで追加する必要があります。

ネットワークでの透過ファイアウォールの使用

図 4-1 に、外部デバイスが内部デバイスと同じサブネット上にある一般的な透過ファイアウォール ネットワークを示します。内部ルータとホストは、外部ルータに直接接続されているように見えます。

図 4-1 透過ファイアウォール ネットワーク

 

ファイアウォール モードのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

デフォルト設定

デフォルト モードはルーテッド モードです。

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

ファイアウォール モードは、システム全体とすべてのコンテキストに対して設定されます。コンテキストごとに個別にモードを設定できません。

マルチコンテキスト モードでは、システム実行スペースでモードを設定します。

モードを変更すると、適応型セキュリティ アプライアンスは実行コンフィギュレーションをクリアします。これは、多くのコマンドが両方のモードでサポートされていないためです。このアクションにより、実行中のコンテキストが削除されます。その後、別のモード用に作成された既存のコンフィギュレーションがあるコンテキストを再度追加すると、そのコンテキスト コンフィギュレーションは正常に動作しないことがあります。正しいモード用のコンテキスト コンフィギュレーションを再作成してから、それらを再度追加するか、新しいコンフィギュレーション用の新しいパスがある新しいコンテキストを追加してください。

透過ファイアウォール ガイドライン

透過ファイアウォール ネットワークを計画する場合は、次のガイドラインに従ってください。

IPv4 の場合は、管理トラフィックと、適応型セキュリティ アプライアンスを通過するトラフィックの両方に対し、管理 IP アドレスが必要です。マルチコンテキスト モードの場合は、各コンテキストごとに IP アドレスが必要です。

インターフェイスごとに IP アドレスが必要なルーテッド モードと異なり、透過ファイアウォールではデバイス全体に IP アドレスが割り当てられます。適応型セキュリティ アプライアンスは、この IP アドレスを、システム メッセージや AAA 通信など、適応型セキュリティ アプライアンスで発信されるパケットの送信元アドレスとして使用します。

管理 IP アドレスは、接続されているネットワークと同じサブネット内にある必要があります。サブネットにホスト サブネット(255.255.255.255)を設定することはできません。

IPv6 の場合は、少なくとも通過トラフィック用に各インターフェイスにリンクローカル アドレスを設定する必要があります。適応型セキュリティ アプライアンスの管理を含むフル機能のためには、デバイスにグローバル IP アドレスを設定する必要があります。

Management 0/0 または Management 0/1 の管理専用インターフェイスの IP アドレス(IPv4 と IPv6 の両方)を設定できます。この IP アドレスは、メインの管理 IP アドレスとは別々のサブネットに設定できます。

透過適応型セキュリティ アプライアンスは、内部インターフェイスと外部インターフェイスだけを使用します。プラットフォームに専用の管理インターフェイスが含まれている場合は、管理トラフィック専用の管理インターフェイスまたはサブインターフェイスを設定することもできます。

シングルモードでは、セキュリティ アプライアンスに 3 つ以上のインターフェイスが含まれている場合でも、2 つのデータ インターフェイス(および使用可能な場合は専用の管理インターフェイス)だけを使用できます。


) 透過ファイアウォール モードでは、管理インターフェイスによってデータ インターフェイスと同じ方法で MAC アドレス テーブルがアップデートされます。したがって、いずれかのスイッチ ポートをルーテッド ポートとして設定しない限り、管理インターフェイスおよびデータ インターフェイスを同じスイッチに接続しないでください(デフォルトでは、Cisco Catalyst スイッチがすべての VLAN スイッチ ポートの MAC アドレスを共有します)。そうしないと、物理的に接続されたスイッチから管理インターフェイスにトラフィックが到着すると、適応型セキュリティ アプライアンスによって、データ インターフェイスではなく、管理インターフェイスを使用してスイッチにアクセスするように MAC アドレス テーブルがアップデートされます。この処理が原因で、一時的にトラフィックが中断します。セキュリティ上の理由から、少なくとも 30 秒間は、スイッチからデータ インターフェイスへのパケットのために MAC アドレス テーブルが適応型セキュリティ アプライアンスによって再アップデートされることはありません。


直接に接続された各ネットワークは同一のサブネット上にある必要があります。

接続されたデバイス用のデフォルト ゲートウェイとして適応型セキュリティ アプライアンス管理 IP アドレスを指定しないでください。デバイスは適応型セキュリティ アプライアンスの他方の側のルータをデフォルト ゲートウェイとして指定する必要があります。

マルチコンテキスト モードでは、各コンテキストが別個のインターフェイスを使用する必要があります。コンテキスト間でインターフェイスを共有することはできません。

マルチコンテキスト モードでは、通常、各コンテキストが別個のサブネットを使用します。重複するサブネットを使用することもできますが、ルーティング スタンドポイントから可能にするため、ネットワーク トポロジにルータと NAT コンフィギュレーションが必要です。

IPv6 のガイドライン

IPv6 をサポートします。

その他のガイドラインと制限事項

モードを変更すると、適応型セキュリティ アプライアンスは実行コンフィギュレーションをクリアします。これは、多くのコマンドが両方のモードでサポートされていないためです。スタートアップ コンフィギュレーションは変更されません。保存しないでリロードすると、スタートアップ コンフィギュレーションがロードされて、モードは元の設定に戻ります。コンフィギュレーション ファイルのバックアップについては、「ファイアウォール モードの設定」を参照してください。

firewall transparent コマンドでモードを変更する適応型セキュリティ アプライアンスにテキスト コンフィギュレーションをダウンロードする場合は、必ずこのコマンドをコンフィギュレーションの最上部に置いてください。このようにすると、適応型セキュリティ アプライアンスは、このコマンドを読み取り次第すぐにモードを変更し、その後は、ダウンロードしたコンフィギュレーションの読み取りを続けます。このコマンドがコンフィギュレーションの後ろの方にあると、適応型セキュリティ アプライアンスはそれ以前に記述されているコンフィギュレーションの行をすべてクリアします。テキスト ファイルのダウンロードの詳細については、「フラッシュ メモリへのソフトウェアまたはコンフィギュレーション ファイルのダウンロード」を参照してください。

トランスペアレント モードでサポートされていない機能

表 4-1 にトランスペアレント モードでサポートされていない機能を示します。

 

表 4-1 トランスペアレント モードでサポートされていない機能

機能
説明

ダイナミック DNS

--

DHCP リレー

透過ファイアウォールは DHCP サーバとして機能することができますが、DHCP リレー コマンドはサポートしません。2 つの拡張アクセスリストを使用して DHCP トラフィックを通過させることができるので、DHCP リレーは必要ありません。1 つは内部インターフェイスから外部インターフェイスへの DHCP 要求を許可し、もう 1 つはサーバからの応答を逆方向に許可します。

ダイナミック ルーティング プロトコル

ただし、適応型セキュリティ アプライアンスで発信されたトラフィックのスタティック ルートを追加できます。拡張アクセスリストを使用して、ダイナミック ルーティング プロトコルが適応型セキュリティ アプライアンスを通過できるようにすることもできます。

マルチキャスト IP ルーティング

拡張アクセスリストで許可することによって、マルチキャスト トラフィックが適応型セキュリティ アプライアンスを通過できるようにすることができます。

QoS

--

通過トラフィック用の VPN ターミネーション

透過ファイアウォールは、管理接続に対してのみサイトツーサイト VPN トンネルをサポートします。これは、適応型セキュリティ アプライアンスを通過するトラフィックに対して VPN 接続を終端しません。拡張アクセスリストを使用して VPN トラフィックにセキュリティ アプライアンスを通過させることはできますが、非管理接続は終端されません。SSL VPN もサポートされていません。

ファイアウォール モードの設定

この項では、ファイアウォール モードを変更する方法について説明します。


) ファイアウォール モードを変更すると実行コンフィギュレーションがクリアされるので、他のコンフィギュレーションを行う前にファイアウォール モードを設定することをお勧めします。


前提条件

モードを変更すると、適応型セキュリティ アプライアンスは実行コンフィギュレーションをクリアします(詳細については 「ガイドラインと制限事項」を参照してください)。

すでに実装済みのコンフィギュレーションがある場合は、モードを変更する前に必ずコンフィギュレーションのバックアップを作成してください。新しくコンフィギュレーションを作成するときにこのバックアップを参照する場合があります。「コンフィギュレーション ファイルのバックアップ」を参照してください。

モードを変更するには、コンソール ポートで CLI を使用します。ASDM コマンドライン インターフェイス ツールや SSH などの他のタイプのセッションを使用すると、コンフィギュレーションがクリアされるときに切断されるので、いずれにしてもコンソール ポートを使用して適応型セキュリティ アプライアンスに再接続する必要があります。

手順の詳細

 

コマンド
目的

firewall transparent

 

 

hostname(config)# firewall transparent

ファイアウォール モードを透過に設定します。マルチコンテキスト モードでは、システム実行スペースでこのコマンドを入力します。モードをルーテッドに変更するには、 no firewall transparent コマンドを入力します。

このコマンドは、情報提供のためだけに各コンテキスト コンフィギュレーションにも表示されるため、このコマンドをコンテキストに入力することはできません。

(注) ファイアウォール モードの変更では確認は求められず、ただちに変更が行われます。

ファイアウォール モードの機能履歴

表 4-2 に、この機能のリリース履歴の一覧を示します。

 

表 4-2 ファイアウォール モードの機能履歴

機能名
リリース
機能情報

透過ファイアウォール モード

7.0(1)

透過ファイアウォールは、「bump-in-the-wire(BITW)」または「ステルス ファイアウォール」のように動作するレイヤ 2 ファイアウォールであり、接続されたデバイスへのルータ ホップとは見なされません。

firewall transparent コマンドおよび show firewall コマンドが導入されました。

透過ファイアウォール用の ARP 検査の設定

この項では、ARP 検査について説明し、これをイネーブルにする方法について説明します。次の項目を取り上げます。

「ARP 検査に関する情報」

「ARP 検査のライセンス要件」

「デフォルト設定」

「ガイドラインと制限事項」

「ARP 検査の設定」

「ARP 検査のモニタリング」

「ARP 検査の機能履歴」

ARP 検査に関する情報

デフォルトでは、すべての ARP パケットが適応型セキュリティ アプライアンスを通過できます。ARP パケットのフローを制御するには、ARP 検査をイネーブルにします。

ARP 検査をイネーブルにすると、適応型セキュリティ アプライアンスはすべての ARP パケットの MAC アドレス、IP アドレス、および発信元インターフェイスを ARP テーブルのスタティック エントリと比較し、次のアクションを実行します。

IP アドレス、MAC アドレス、および発信元インターフェイスが ARP エントリと一致した場合、パケットは通過します。

MAC アドレス、IP アドレス、またはインターフェイス間でミスマッチがある場合、適応型セキュリティ アプライアンスはパケットをドロップします。

ARP パケットがスタティック ARP テーブルのどのエントリとも一致しない場合は、パケットをすべてのインターフェイスに転送するか(フラッド)、パケットをドロップするように適応型セキュリティ アプライアンスを設定できます。


) 専用の管理インターフェイスがある場合、このインターフェイスは、このパラメータがフラッドに設定されていてもパケットをフラッドしません。


ARP 検査は、悪意のあるユーザが他のホストまたはルータになりすますこと(ARP スプーフィング)を防ぎます。ARP スプーフィングは、「man-in-the-middle」攻撃(中間者攻撃)を可能にすることがあります。たとえば、ホストは ARP 要求をゲートウェイ ルータに送信し、ゲートウェイ ルータはゲートウェイ ルータ MAC アドレスで応答します。ただし、攻撃者は、ルータの MAC アドレスの代わりに攻撃者の MAC アドレスで別の ARP 応答をホストに送信します。これによって、攻撃者は、すべてのホスト トラフィックを傍受してからルータに転送できます。

ARP 検査を行うと、正しい MAC アドレスとそれに関連付けられている IP アドレスがスタティック ARP テーブルにある限り、攻撃者は、攻撃者の MAC アドレスで ARP 応答を送信することができなくなります。

ARP 検査のライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

デフォルト設定

デフォルトでは、すべての ARP パケットが適応型セキュリティ アプライアンスを通過できます。

ARP 検査をイネーブルにした場合、デフォルト設定では、一致しないパケットはフラッドします。

ガイドラインと制限事項

コンテキスト モードのガイドライン

シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。

マルチコンテキスト モードで、各コンテキスト内の ARP 検査を設定します。

ファイアウォール モードのガイドライン

透過ファイアウォール モードでだけサポートされます。ルーテッド モードはサポートされていません。

ARP 検査の設定

この項では、ARP 検査を設定する方法について説明します。次の項目を取り上げます。

「ARP 検査の設定のタスク フロー」

「スタティック ARP エントリの追加」

「ARP 検査のイネーブル化」

ARP 検査の設定のタスク フロー

ARP 検査を設定するには、次の手順を実行します。


ステップ 1 「スタティック ARP エントリの追加」に従って、スタティック ARP エントリを追加します。ARP 検査は ARP パケットを ARP テーブルのスタティック ARP エントリと比較するので、この機能にはスタティック ARP エントリが必要です。

ステップ 2 「ARP 検査のイネーブル化」に従って、ARP 検査をイネーブルにします。


 

スタティック ARP エントリの追加

ARP 検査は、ARP パケットを ARP テーブルのスタティック ARP エントリと比較します。ホストは、パケットの宛先を IP アドレスで識別しますが、実際のイーサネットのパケット配信はイーサネットの MAC アドレスに依存します。ルータまたはホストが直接接続されているネットワークにパケットを配信する場合、IP アドレスに関連付けられている MAC アドレスを求める ARP 要求を送信し、その後、ARP 応答に従って MAC アドレスにパケットを配信します。ホストまたはルータは ARP テーブルを保持するため、配信が必要なすべてのパケットに ARP 要求を送信する必要があるとは限りません。ARP 応答がネットワークに送信されると ARP テーブルがダイナミックにアップデートされ、エントリが一定期間使用されなかった場合は、タイムアウトになります。エントリが正しくない場合(たとえば、所定の IP アドレスの MAC アドレスが変更になった)、そのエントリはアップデートの前にタイムアウトになります。


) 透過ファイアウォールは、適応型セキュリティ アプライアンスとの間のトラフィック(管理トラフィックなど)に、ARP テーブルのダイナミック ARP エントリを使用します。


手順の詳細

 

コマンド
目的

arp interface_name ip_address mac_address

 

 

hostname(config)# arp outside 10.1.1.1 0009.7cbe.2100

スタティック ARP エントリを追加します。

たとえば、外部インターフェイスで、IP アドレスが 10.1.1.1、MAC アドレスが 0009.7cbe.2100 のルータからの ARP 応答を許可するには、次のコマンドを入力します。

hostname(config)# arp outside 10.1.1.1 0009.7cbe.2100
 

次の作業

「ARP 検査のイネーブル化」に従って、ARP 検査をイネーブルにします。

ARP 検査のイネーブル化

この項では、ARP 検査をイネーブルにする方法について説明します。

手順の詳細

 

コマンド
目的

arp-inspection interface_name enable [ flood | no-flood ]

 

 

hostname(config)# arp-inspection outside enable no-flood

ARP 検査をイネーブルにします。

flood キーワードは、一致しない ARP パケットをすべてのインターフェイスに転送し、 no-flood は、一致しないパケットをドロップします。

に設定します。

たとえば、外部インターフェイスで ARP 検査をイネーブルにして、一致しないすべての ARP パケットをドロップするには、次のコマンドを入力します。

hostname(config)# arp-inspection outside enable no-flood
 

ARP 検査のモニタリング

ARP 検査をモニタするには、次のタスクを実行します。

 

コマンド
目的
show arp-inspection

すべてのインターフェイスについて、ARP 検査の現在の設定を表示します。

ARP 検査の機能履歴

表 4-3 に、この機能のリリース履歴の一覧を示します。

 

表 4-3 ARP 検査の機能履歴

機能名
リリース
機能情報

ARP 検査

7.0(1)

ARP 検査は、すべての ARP パケットの MAC アドレス、IP アドレス、および送信元インターフェイスを、ARP テーブルのスタティック エントリと比較します。

arp arp-inspection 、および show arp-inspection コマンドが導入されました。

透過ファイアウォール用の MAC アドレス テーブルのカスタマイズ

この項では、MAC アドレス テーブルについて説明します。次の項目を取り上げます。

「MAC アドレス テーブルに関する情報」

「MAC アドレス テーブルのライセンス要件」

「デフォルト設定」

「ガイドラインと制限事項」

「MAC アドレス テーブルの設定」

「MAC アドレス テーブルのモニタリング」

「MAC アドレス テーブルの機能履歴」

MAC アドレス テーブルに関する情報

適応型セキュリティ アプライアンスは、通常のブリッジやスイッチと同様の方法で、MAC アドレス テーブルをラーニングし、構築します。デバイスが適応型セキュリティ アプライアンス経由でパケットを送信すると、適応型セキュリティ アプライアンスはこの MAC アドレスをテーブルに追加します。テーブルで MAC アドレスと発信元インターフェイスが関連付けられているため、適応型セキュリティ アプライアンスは、パケットが正しいインターフェイスからデバイスにアドレス指定されていることがわかります。

ASA 5505 適応型セキュリティ アプライアンスには、組み込みスイッチがあります。このスイッチの MAC アドレス テーブルは、各 VLAN 内のトラフィックの MAC アドレスとスイッチ ポートのマッピングを維持します。この項では、VLAN 間のトラフィックの MAC アドレスと VLAN インターフェイスのマッピングを維持する、ブリッジの MAC アドレス テーブルについて説明します。

適応型セキュリティ アプライアンスはファイアウォールなので、パケットの宛先 MAC アドレスがテーブルにない場合、適応型セキュリティ アプライアンスは通常のブリッジとは異なり、元のパケットをすべてのインターフェイスにフラッドすることはありません。代わりに、直接接続されたデバイスまたはリモート デバイスに対して次のパケットを生成します。

直接接続されたデバイスへのパケット:適応型セキュリティ アプライアンスは宛先 IP アドレスに対して ARP 要求を生成し、適応型セキュリティ アプライアンスは ARP 応答を受信したインターフェイスをラーニングします。

リモート デバイスへのパケット:適応型セキュリティ アプライアンスは宛先 IP アドレスへの ping を生成し、適応型セキュリティ アプライアンスは ping 応答を受信したインターフェイスをラーニングします。

元のパケットはドロップされます。

MAC アドレス テーブルのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

デフォルト設定

ダイナミック MAC アドレス テーブルのデフォルトのタイムアウト値は 5 分です。

デフォルトでは、オプションの管理インターフェイスを含む各インターフェイスが、入ってきたトラフィックの MAC アドレスを自動的にラーニングし、対応するエントリが適応型セキュリティ アプライアンスによって MAC アドレス テーブルに追加されます。

ガイドラインと制限事項

コンテキスト モードのガイドライン

シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。

マルチコンテキスト モードで、各コンテキスト内の MAC アドレス テーブルを設定します。

ファイアウォール モードのガイドライン

透過ファイアウォール モードでだけサポートされます。ルーテッド モードはサポートされていません。

追加のガイドライン

透過ファイアウォール モードでは、管理インターフェイスによってデータ インターフェイスと同じ方法で MAC アドレス テーブルがアップデートされます。したがって、いずれかのスイッチ ポートをルーテッド ポートとして設定しない限り、管理インターフェイスおよびデータ インターフェイスを同じスイッチに接続しないでください(デフォルトでは、Cisco Catalyst スイッチがすべての VLAN スイッチ ポートの MAC アドレスを共有します)。そうしないと、物理的に接続されたスイッチから管理インターフェイスにトラフィックが到着すると、適応型セキュリティ アプライアンスによって、データ インターフェイスではなく、 管理 インターフェイスを使用してスイッチにアクセスするように MAC アドレス テーブルがアップデートされます。この処理が原因で、一時的にトラフィックが中断します。セキュリティ上の理由から、少なくとも 30 秒間は、スイッチからデータ インターフェイスへのパケットのために MAC アドレス テーブルが適応型セキュリティ アプライアンスによって再アップデートされることはありません。

MAC アドレス テーブルの設定

この項では、MAC アドレス テーブルをカスタマイズする方法について説明します。次の項目を取り上げます。

「スタティック MAC アドレスの追加」

「MAC アドレス タイムアウトの設定」

「MAC アドレス ラーニングのディセーブル化」

スタティック MAC アドレスの追加

通常、MAC アドレスは、特定の MAC アドレスからのトラフィックがインターフェイスに入ったときに、MAC アドレス テーブルに動的に追加されます。必要に応じて、スタティック MAC アドレスを MAC アドレス テーブルに追加できます。スタティック エントリを追加する利点の 1 つとして、MAC スプーフィングの防止があります。スタティック エントリと同じ MAC アドレスを持つクライアントが、スタティック エントリと一致しないインターフェイスにトラフィックを送信しようとした場合、適応型セキュリティ アプライアンスによってトラフィックがドロップされ、システム メッセージが生成されます。スタティック ARP エントリを追加するときに(「スタティック ARP エントリの追加」を参照)、スタティック MAC アドレス エントリは MAC アドレス テーブルに自動的に追加されます。

スタティック MAC アドレスを MAC アドレス テーブルに追加するには、次のコマンドを入力します。

 

コマンド
目的

mac-address-table static interface_name mac_address

 

 

hostname(config)# mac-address-table static inside 0009.7cbe.2100

スタティック MAC アドレス エントリを追加します。

interface_name は、発信元インターフェイスです。

MAC アドレス タイムアウトの設定

ダイナミック MAC アドレス テーブルのデフォルトのタイムアウト値は 5 分ですが、タイムアウトは変更できます。タイムアウトを変更するには、次のコマンドを入力します。

 

コマンド
目的

mac-address-table aging-time timeout_value

 

 

hostname(config)# mac-address-table aging-time 10

MAC アドレス エントリのタイムアウトを設定します。

timeout_value (分)は、5 ~ 720(12 時間)です。5 分がデフォルトです。

MAC アドレス ラーニングのディセーブル化

デフォルトでは、各インターフェイスは入ってきたトラフィックの MAC アドレスを自動的にラーニングして、適応型セキュリティ アプライアンスは対応するエントリを MAC アドレス テーブルに追加します。必要に応じて MAC アドレス ラーニングをディセーブルにできますが、この場合、MAC アドレスをテーブルにスタティックに追加しないと、トラフィックが適応型セキュリティ アプライアンスを通過できなくなります。

MAC アドレス ラーニングをディセーブルにするには、次のコマンドを入力します。

 

コマンド
目的

mac-learn interface_name disable

 

 

hostname(config)# mac-learn inside disable

MAC アドレス ラーニングをディセーブルにします。

このコマンドの no 形式を使用すると、MAC アドレス ラーニングが再度イネーブルになります。 clear configure mac-learn コマンドは、すべてのインターフェイスで MAC アドレス ラーニングを再度イネーブルにします。

MAC アドレス テーブルのモニタリング

すべての MAC アドレス テーブル(両方のインターフェイスのスタティック エントリとダイナミック エントリ)を表示できます。または、あるインターフェイスの MAC アドレス テーブルを表示できます。MAC アドレス テーブルを表示するには、次のコマンドを入力します。

 

コマンド
目的
show mac-address-table [ interface_name ]

MAC アドレス テーブルを表示します。

すべてのテーブルを表示する show mac-address-table コマンドの出力例を示します。

hostname# show mac-address-table
interface mac address type Time Left
-----------------------------------------------------------------------
outside 0009.7cbe.2100 static -
inside 0010.7cbe.6101 static -
inside 0009.7cbe.5101 dynamic 10
 

内部インターフェイスのテーブルを表示する show mac-address-table コマンドの出力例を示します。

hostname# show mac-address-table inside
interface mac address type Time Left
-----------------------------------------------------------------------
inside 0010.7cbe.6101 static -
inside 0009.7cbe.5101 dynamic 10
 

MAC アドレス テーブルの機能履歴

表 4-4 に、この機能のリリース履歴の一覧を示します。

 

表 4-4 MAC アドレス テーブルの機能履歴

機能名
リリース
機能情報

MAC アドレス テーブル

7.0(1)

透過ファイアウォール モードは MAC アドレス テーブルを使用します。

mac-address-table static mac-address-table aging-time mac-learn disable 、および show mac-address-table コマンドが導入されました。

ファイアウォール モードの例

この項では、トラフィックが適応型セキュリティ アプライアンスを通過する例を示します。次の項目を取り上げます。

「ルーテッド ファイアウォール モードでデータがセキュリティ アプライアンスを通過する方法」

「透過ファイアウォールを通過するデータの動き」

ルーテッド ファイアウォール モードでデータがセキュリティ アプライアンスを通過する方法

この項では、ルーテッド ファイアウォール モードでデータが適応型セキュリティ アプライアンスをどのように通過するかを説明します。次の項目を取り上げます。

「内部ユーザが Web サーバにアクセスする」

「外部ユーザが DMZ 上の Web サーバにアクセスする」

「内部ユーザが DMZ 上の Web サーバにアクセスする」

「外部ユーザが内部ホストにアクセスしようとする」

「DMZ ユーザが内部ホストにアクセスしようとする」

内部ユーザが Web サーバにアクセスする

図 4-2 は、内部ユーザが外部 Web サーバにアクセスしていることを示しています。

図 4-2 内部から外部へ

 

次の手順では、データが適応型セキュリティ アプライアンスをどのように通過するかを示します(図 4-2 を参照)。

1. 内部ネットワークのユーザは、www.example.com から Web ページを要求します。

2. 適応型セキュリティ アプライアンスはパケットを受信します。これは新しいセッションであるため、適応型セキュリティ アプライアンスはセキュリティ ポリシー(アクセスリスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチコンテキスト モードの場合、適応型セキュリティ アプライアンスは、コンテキストに関連付けられる固有なインターフェイスまたは固有な宛先アドレスに従ってパケットを分類します。宛先アドレスは、コンテキストでのアドレス変換と照合することによって関連付けられます。この場合、インターフェイスは固有です。www.example.com IP アドレスは、コンテキスト内に最新のアドレス変換を持っていません。

3. 適応型セキュリティ アプライアンスは、ローカル送信元アドレス(10.1.2.27)を、外部インターフェイス サブネット上のグローバル アドレス 209.165.201.10 に変換します。

グローバル アドレスは任意のサブネット上に置くことができますが、外部インターフェイス サブネットに置くとルーティングが簡素化されます。

4. 次に、適応型セキュリティ アプライアンスはセッションが確立されたことを記録し、外部インターフェイスからパケットを転送します。

5. www.example.com が要求に応答すると、パケットは適応型セキュリティ アプライアンスを通過します。これはすでに確立されているセッションであるため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。適応型セキュリティ アプライアンスは、グローバル宛先アドレスをローカル ユーザ アドレス 10.1.2.27 に変換することによって、NAT を実行します。

6. 適応型セキュリティ アプライアンスは、パケットを内部ユーザに転送します。

外部ユーザが DMZ 上の Web サーバにアクセスする

図 4-3 は、外部ユーザが DMZ Web サーバにアクセスしていることを示しています。

図 4-3 外部から DMZ へ

 

次の手順では、データが適応型セキュリティ アプライアンスをどのように通過するかを示します(図 4-3 を参照)。

1. 外部ネットワーク上のユーザは、外部インターフェイス サブネット上にあるグローバル宛先アドレス 209.165.201.3 を使用して DMZ Web サーバから Web ページを要求します。

2. 適応型セキュリティ アプライアンスはパケットを受信します。これは新しいセッションであるため、適応型セキュリティ アプライアンスはセキュリティ ポリシー(アクセスリスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチコンテキスト モードの場合、適応型セキュリティ アプライアンスは、コンテキストに関連付けられる固有なインターフェイスまたは固有な宛先アドレスに従ってパケットを分類します。宛先アドレスは、コンテキストでのアドレス変換と照合することによって関連付けられます。この場合、分類子は DMZ Web サーバ アドレスがサーバ アドレス変換のため特定のコンテキストに属すことを「認識」しています。

3. 適応型セキュリティ アプライアンスは、宛先アドレスをローカル アドレス 10.1.1.3 に変換します。

4. 次に、適応型セキュリティ アプライアンスはセッション エントリを高速パスに追加し、DMZ インターフェイスからパケットを転送します。

5. DMZ Web サーバが要求に応答すると、パケットは適応型セキュリティ アプライアンスを通過します。また、セッションがすでに確立されているため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。適応型セキュリティ アプライアンスは、ローカル送信元アドレスを 209.165.201.3 に変換することによって、NAT を実行します。

6. 適応型セキュリティ アプライアンスは、パケットを外部ユーザに転送します。

内部ユーザが DMZ 上の Web サーバにアクセスする

図 4-4 は、内部ユーザが DMZ Web サーバにアクセスしていることを示しています。

図 4-4 内部から DMZ へ

 

次の手順では、データが適応型セキュリティ アプライアンスをどのように通過するかを示します(図 4-4 を参照)。

1. 内部ネットワーク上のユーザは、宛先アドレス 10.1.1.3 を使用して DMZ Web サーバから Web ページを要求します。

2. 適応型セキュリティ アプライアンスはパケットを受信します。これは新しいセッションであるため、適応型セキュリティ アプライアンスはセキュリティ ポリシー(アクセスリスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチコンテキスト モードの場合、適応型セキュリティ アプライアンスは、コンテキストに関連付けられる固有なインターフェイスまたは固有な宛先アドレスに従ってパケットを分類します。宛先アドレスは、コンテキストでのアドレス変換と照合することによって関連付けられます。この場合、インターフェイスは固有です。Web サーバ IP アドレスは、最新のアドレス変換を持っていません。

3. 次に、適応型セキュリティ アプライアンスはセッションが確立されたことを記録し、DMZ インターフェイスからパケットを転送します。

4. DMZ Web サーバが要求に応答すると、パケットは高速パスを通過します。これのため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。

5. 適応型セキュリティ アプライアンスは、パケットを内部ユーザに転送します。

外部ユーザが内部ホストにアクセスしようとする

図 4-5 は、外部ユーザが内部ネットワークにアクセスしようとしていることを示しています。

図 4-5 外部から内部へ

 

次の手順では、データが適応型セキュリティ アプライアンスをどのように通過するかを示します(図 4-5 を参照)。

1. 外部ネットワーク上のユーザが、内部ホストに到達しようとします(ホストにルーティング可能な IP アドレスがあると想定します)。

内部ネットワークがプライベート アドレスを使用している場合、外部ユーザが NAT なしで内部ネットワークに到達することはできません。外部ユーザは既存の NAT セッションを使用して内部ユーザに到達しようとすることが考えられます。

2. 適応型セキュリティ アプライアンスはパケットを受信します。これは新しいセッションであるため、適応型セキュリティ アプライアンスはセキュリティ ポリシー(アクセスリスト、フィルタ、AAA)に従って、パケットが許可されているかどうかを確認します。

3. パケットが拒否され、適応型セキュリティ アプライアンスはパケットをドロップし、接続試行をログに記録します。

外部ユーザが内部ネットワークを攻撃しようとした場合、適応型セキュリティ アプライアンスは多数のテクノロジーを使用して、すでに確立されたセッションに対してパケットが有効かどうかを判別します。

DMZ ユーザが内部ホストにアクセスしようとする

図 4-6 は、DMZ 内のユーザが内部ネットワークにアクセスしようとしていることを示しています。

図 4-6 DMZ から内部へ

 

次の手順では、データが適応型セキュリティ アプライアンスをどのように通過するかを示します(図 4-6 を参照)。

1. DMZ ネットワーク上のユーザが、内部ホストに到達しようとします。DMZ はインターネット上のトラフィックをルーティングする必要がないので、プライベート アドレッシング方式はルーティングを回避しません。

2. 適応型セキュリティ アプライアンスはパケットを受信します。これは新しいセッションであるため、適応型セキュリティ アプライアンスはセキュリティ ポリシー(アクセスリスト、フィルタ、AAA)に従って、パケットが許可されているかどうかを確認します。

パケットが拒否され、適応型セキュリティ アプライアンスはパケットをドロップし、接続試行をログに記録します。

透過ファイアウォールを通過するデータの動き

図 4-7 に、パブリック Web サーバを含む内部ネットワークを持つ一般的な透過ファイアウォールの実装を示します。内部ユーザがインターネット リソースにアクセスできるよう、適応型セキュリティ アプライアンスにはアクセスリストがあります。別のアクセスリストによって、外部ユーザは内部ネットワーク上の Web サーバだけにアクセスできます。

図 4-7 一般的な透過ファイアウォールのデータ パス

 

この項では、データが適応型セキュリティ アプライアンスをどのように通過するかを説明します。次の項目を取り上げます。

「内部ユーザが Web サーバにアクセスする」

「NAT を使用して内部ユーザが Web サーバにアクセスする」

「外部ユーザが内部ネットワーク上の Web サーバにアクセスする」

「外部ユーザが内部ホストにアクセスしようとする」

内部ユーザが Web サーバにアクセスする

図 4-8 は、内部ユーザが外部 Web サーバにアクセスしていることを示しています。

図 4-8 内部から外部へ

 

次の手順では、データが適応型セキュリティ アプライアンスをどのように通過するかを示します(図 4-8 を参照)。

1. 内部ネットワークのユーザは、www.example.com から Web ページを要求します。

2. 適応型セキュリティ アプライアンスはパケットを受信し、必要な場合、送信元 MAC アドレスを MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ ポリシー(アクセスリスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチコンテキスト モードの場合、適応型セキュリティ アプライアンスは、固有なインターフェイスに従ってパケットを分類します。

3. 適応型セキュリティ アプライアンスは、セッションが確立されたことを記録します。

4. 宛先 MAC アドレスがテーブル内にある場合、適応型セキュリティ アプライアンスは外部インターフェイスからパケットを転送します。宛先 MAC アドレスは、アップストリーム ルータ 209.186.201.2 のアドレスです。

宛先 MAC アドレスが適応型セキュリティ アプライアンスのテーブルにない場合、適応型セキュリティ アプライアンスは、ARP 要求と ping を送信して、MAC アドレスを検出しようとします。最初のパケットはドロップされます。

5. Web サーバが要求に応答します。セッションがすでに確立されているため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。

6. 適応型セキュリティ アプライアンスは、パケットを内部ユーザに転送します。

NAT を使用して内部ユーザが Web サーバにアクセスする

図 4-9 は、内部ユーザが外部 Web サーバにアクセスしていることを示しています。

図 4-9 NAT を使用して内部から外部へ

 

次の手順では、データが適応型セキュリティ アプライアンスをどのように通過するかを示します(図 4-9 を参照)。

1. 内部ネットワークのユーザは、www.example.com から Web ページを要求します。

2. 適応型セキュリティ アプライアンスはパケットを受信し、必要な場合、送信元 MAC アドレスを MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ ポリシー(アクセスリスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチコンテキスト モードの場合、適応型セキュリティ アプライアンスは、固有なインターフェイスに従ってパケットを分類します。

3. 適応型セキュリティ アプライアンスは実際のアドレス(10.1.2.27)をマッピング アドレス 209.165.201.10 に変換します。

マッピング アドレスは外部インターフェイスと同じネットワーク上にないため、アップストリーム ルータに適応型セキュリティ アプライアンスをポイントするマッピング ネットワークへのスタティック ルートがあることを確認します。

4. 次に、適応型セキュリティ アプライアンスはセッションが確立されたことを記録し、外部インターフェイスからパケットを転送します。

5. 宛先 MAC アドレスがテーブル内にある場合、適応型セキュリティ アプライアンスは外部インターフェイスからパケットを転送します。宛先 MAC アドレスは、アップストリーム ルータのアドレス 10.1.2.1 です。

宛先 MAC アドレスが適応型セキュリティ アプライアンスのテーブルにない場合、適応型セキュリティ アプライアンスは、ARP 要求と ping を送信して、MAC アドレスを検出しようとします。最初のパケットはドロップされます。

6. Web サーバが要求に応答します。セッションがすでに確立されているため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。

7. 適応型セキュリティ アプライアンスは、マッピング アドレスを実際のアドレス 10.1.2.27 に変換することによって、NAT を実行します。

外部ユーザが内部ネットワーク上の Web サーバにアクセスする

図 4-10 は、外部ユーザが内部 Web サーバにアクセスしていることを示しています。

図 4-10 外部から内部へ

 

次の手順では、データが適応型セキュリティ アプライアンスをどのように通過するかを示します(図 4-10 を参照)。

1. 外部ネットワーク上のユーザは、内部 Web サーバから Web ページを要求します。

2. 適応型セキュリティ アプライアンスはパケットを受信し、必要な場合、送信元 MAC アドレスを MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ ポリシー(アクセスリスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチコンテキスト モードの場合、適応型セキュリティ アプライアンスは、固有なインターフェイスに従ってパケットを分類します。

3. 適応型セキュリティ アプライアンスは、セッションが確立されたことを記録します。

4. 宛先 MAC アドレスがテーブル内にある場合、適応型セキュリティ アプライアンスは内部インターフェイスからパケットを転送します。宛先 MAC アドレスは、ダウンストリーム ルータ 209.165.201.1 のアドレスです。

宛先 MAC アドレスが適応型セキュリティ アプライアンスのテーブルにない場合、適応型セキュリティ アプライアンスは、ARP 要求と ping を送信して、MAC アドレスを検出しようとします。最初のパケットはドロップされます。

5. Web サーバが要求に応答します。セッションがすでに確立されているため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。

6. 適応型セキュリティ アプライアンスは、パケットを外部ユーザに転送します。

外部ユーザが内部ホストにアクセスしようとする

図 4-11 は、外部ユーザが内部ネットワーク上のホストにアクセスしようとしていることを示しています。

図 4-11 外部から内部へ

 

次の手順では、データが適応型セキュリティ アプライアンスをどのように通過するかを示します(図 4-11 を参照)。

1. 外部ネットワーク上のユーザが、内部ホストに到達しようとします。

2. 適応型セキュリティ アプライアンスはパケットを受信し、必要な場合、送信元 MAC アドレスを MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ ポリシー(アクセスリスト、フィルタ、AAA)の条件に従って、パケットが許可されているかどうかを確認します。

マルチコンテキスト モードの場合、適応型セキュリティ アプライアンスは、固有なインターフェイスに従ってパケットを分類します。

3. 外部ホストを許可するアクセスリストは存在しないため、パケットは拒否され、適応型セキュリティ アプライアンスによってドロップされます。

4. 外部ユーザが内部ネットワークを攻撃しようとした場合、適応型セキュリティ アプライアンスは多数のテクノロジーを使用して、すでに確立されたセッションに対してパケットが有効かどうかを判別します。