Cisco ASDM ユーザ ガイド Version 6.0(3)
機能の ライセンスと仕様
機能のライセンスと仕様
発行日;2012/01/10 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 11MB) | フィードバック

目次

機能のライセンスと仕様

セキュリティ アプライアンスと ASDM リリースの互換性

クライアント PC のオペレーティング システムとブラウザの要件

サポートされるプラットフォームおよび機能のライセンス

セキュリティ サービス モジュールのサポート

VPN 仕様

Cisco VPN Client のサポート

Cisco Secure Desktop のサポート

サイトツーサイト VPN の互換性

暗号化標準

セキュリティ アプライアンスと ASDM リリースの互換性

表A-1 に、セキュリティ アプライアンスの各リリースで使用可能な ASDM または PDM のバージョンを示します。

 

表A-1 セキュリティ アプライアンスと ASDM/PDM リリースの互換性

セキュリティ アプライアンスのリリース
ASDM/PDM バージョン

8.0(x)

ASDM 6.0(x)

7.2(x)

ASDM 5.2(x)

7.1(x)

ASDM 5.1(x)

7.0(x)

ASDM 5.0(x)

PIX 6.3(x)

PDM 4.1(x)

クライアント PC のオペレーティング システムとブラウザの要件

表A-2 に、ASDM でサポートおよび推奨されるプラットフォームを一覧表示します。 ASDM は他のブラウザやブラウザ バージョンで動作しますが、公式にサポートされているブラウザに限られています。 以前の PDM バージョンとは異なり、Java をインストールしておく必要があります。 Windows のネイティブ JVM は現在ではサポートされなくなっており、動作しません。

 

表A-2 オペレーティング システム、ブラウザ、および Java の要件

オペレーティング
システム
Java アプレットを実行するブラウザ
ASDM
ランチャ
他の要件

Windows 1

プロセッサ:Intel Pentium IV、AMD Athlon または同等の製品

メモリ:最小 512 MB RAM

ディスプレイ:最小解像度 1024x768 および 256 色

Windows 2000
(Service Pack 4)または Windows XP オペレーティング システム、英語または日本語版

Internet Explorer 6.0、Java プラグイン 2 1.4.2 または 5.0(1.5)インストール済み


) HTTP 1.1Settings for Internet Options >
Advanced > HTTP 1.1 の設定では、プロキシ接続と非プロキシ接続の両方で HTTP 1.1 を使用してください。


Firefox 1.5、Java プラグイン 2 1.4.2 または 5.0(1.5)インストール済み

Java 1.4.2 または 5.0(1.5) 2

SSL 暗号化設定 :ブラウザの詳細設定で、SSL で使用可能な暗号化オプションすべてをイネーブルにします。

Sun SPARC Solaris

メモリ:最小 512 MB RAM

ディスプレイ:最小解像度 1024x768 および 256 色

Sun Solaris 8 または 9

Firefox 1.5、Java プラグイン 2 1.4.2 または 5.0(1.5)インストール済み

使用不可

Linux

メモリ:最小 256 MB RAM

ディスプレイ:最小解像度 1024x768 および 256 色

Red Hat Linux Desktop または Red Hat Linux Enterprise WS、バージョン 3

GNOME または KDE デスクトップ環境

Firefox 1.5、Java プラグイン 2 1.4.2 または 5.0(1.5)インストール済み

使用不可

1.ASDM は、Windows 3.1、95、98、ME、または Windows NT4 ではサポートされていません。

2.http://java.sun.com/ から最新の Java をダウンロードしてください。

サポートされるプラットフォームおよび機能のライセンス

このソフトウェア バージョンでは、以下のプラットフォームをサポートしています。それぞれのモデルでサポートされる機能については、関連する表を参照してください。

ASA 5505、 表A-3

ASA 5510、 表A-4

ASA 5520、 表A-5

ASA 5540、 表A-6

ASA 5550、 表A-7

PIX 515/515E、 表A-8

PIX 525、 表A-9

PIX 535、 表A-10


) 斜体字の項目は、基本ライセンスと置き換え可能な別個のオプション ライセンスです。 ライセンスは、たとえば 10 セキュリティ コンテキスト ライセンスと強力暗号化、または 500 クライアントレス SSL VPN ライセンスと GTP/GPRS ライセンスのように組み合せて購入したり、または 4 種類のライセンスをすべてまとめて購入したりできます。


 

表A-3 ASA 5505 適応型セキュリティ アプライアンス ライセンスの機能

ASA 5505
基本ライセンス
Security Plus

ユーザ、同時 3

10

オプション ライセンス:

10

オプション ライセンス:

50

制限なし

50

制限なし

セキュリティ コンテキスト

サポート対象外

サポート対象外

VPN セッション 4

10、IPSec とクライアントレス SSL VPN の合計数

25、IPSec とクライアントレス SSL VPN の合計数

最大 IPSec セッション数

10

25

最大クライアントレス SSL VPN セッション数

2

オプション ライセンス:10

2

オプション ライセンス:10

VPN ロード バランシング

サポート対象外

サポート対象外

SIP 用 TLS プロキシおよび Skinny 検査

サポート対象

サポート対象

フェールオーバー

サポート対象外

Active/Standby(ステートフル フェールオーバーなし)

GTP/GPRS

サポート対象外

サポート対象外

最大 VLAN/ゾーン

3(他のもう 1 つのゾーンとのみ通信可能な 2 つの正規ゾーンと 1 つの制限ゾーン)

20

最大 VLAN トランク

サポート対象外

制限なし

同時ファイアウォール接続 5

10 K

25 K

最大物理インターフェイス

無制限、VLAN/ゾーンに割り当て

無制限、VLAN/ゾーンに割り当て

暗号化

基本(DES)

オプション ライセンス:
強力(3DES/AES)

基本(DES)

オプション ライセンス:
強力(3DES/AES)

最小 RAM

256 MB(デフォルト)

256 MB(デフォルト)

3.ルーテッド モードでは、外部(インターネット用 VLAN)と通信する場合にのみ、内部のホスト(仕事用と自宅用の VLAN)が制限数の対象としてカウントされます。 インターネット ホストは制限数の対象としてカウントされません。 仕事用と自宅用の間のトラフィックを開始するホストも制限数の対象としてカウントされません。 デフォルト ルートに関連付けられたインターフェイスは、インターネット インターフェイスと見なされます。 デフォルト ルートがない場合、すべてのインターフェイス上のホストは制限数の対象としてカウントされます。 透過モードでは、ホスト数が最低のインターフェイスがホスト制限数の対象としてカウントされます。 ホスト制限の表示方法については、「show local-host コマンド」を参照してください。

4.IPSec およびクライアントレス SSL VPN の最大セッション数の合計は最大 VPN セッション数より多くなりますが、セッションの合計数が VPN セッション制限数を超えないようにしてください。 最大 VPN セッション数を超えるとセキュリティ アプライアンスに過負荷がかかるので、ネットワークが適切なサイズになるように配慮してください。

5.同時ファイアウォール接続は TCP 80% と UDP 20% の混合トラフィックで構成され、4 回の接続ごとに 1 つのホストと 1 つのダイナミック変換が使用されます。

 

表A-4 ASA 5510 適応型セキュリティ アプライアンス ライセンスの機能

ASA 5510
基本ライセンス
Security Plus

ユーザ、同時

制限なし

制限なし

セキュリティ コンテキスト

サポート対象外

2

オプション ライセンス:

5

VPN セッション 6

250、IPSec とクライアントレス SSL VPN の合計数

250、IPSec とクライアントレス SSL VPN の合計数

最大 IPSec セッション数

250

250

最大クライアントレス SSL VPN セッション数

2

オプション ライセンス:

2

オプション ライセンス:

10

25

50

100

250

10

25

50

100

250

VPN ロード バランシング

サポート対象外

サポート対象外

SIP 用 TLS プロキシおよび Skinny 検査

サポート対象

サポート対象

フェールオーバー

サポート対象外

Active/Standby または Active/Active

GTP/GPRS

サポート対象外

サポート対象外

最大 VLAN

50

100

同時ファイアウォール接続 7

50 K

130 K

最大物理インターフェイス

ファースト イーサネットの速度で無制限

ギガビット イーサネットの速度で無制限

暗号化

基本(DES)

オプション ライセンス:
強力(3DES/AES)

基本(DES)

オプション ライセンス:
強力(3DES/AES)

最小 RAM

256 MB(デフォルト)

256 MB(デフォルト)

6.IPSec およびクライアントレス SSL VPN の最大セッション数の合計は最大 VPN セッション数より多くなりますが、セッションの合計数が VPN セッション制限数を超えないようにしてください。 最大 VPN セッション数を超えるとセキュリティ アプライアンスに過負荷がかかるので、ネットワークが適切なサイズになるように配慮してください。

7.同時ファイアウォール接続は TCP 80% と UDP 20% の混合トラフィックで構成され、4 回の接続ごとに 1 つのホストと 1 つのダイナミック変換が使用されます。

 

表A-5 ASA 5520 適応型セキュリティ アプライアンス ライセンスの機能

ASA 5520
基本ライセンス

ユーザ、同時

制限なし

制限なし

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

VPN セッション 8

750、IPSec とクライアントレス SSL VPN の合計数

最大 IPSec セッション数

750

最大クライアントレス SSL VPN セッション数

2

オプション ライセンス:

10

25

50

100

250

500

750

VPN ロード バランシング

サポート対象

SIP 用 TLS プロキシおよび Skinny 検査

サポート対象

フェールオーバー

Active/Standby または Active/Active

GTP/GPRS

なし

オプション ライセンス:イネーブル

最大 VLAN

150

同時ファイアウォール接続 9

280 K

最大物理インターフェイス

制限なし

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

最小 RAM

512 MB(デフォルト)

8.IPSec およびクライアントレス SSL VPN の最大セッション数の合計は最大 VPN セッション数より多くなりますが、セッションの合計数が VPN セッション制限数を超えないようにしてください。 最大 VPN セッション数を超えるとセキュリティ アプライアンスに過負荷がかかるので、ネットワークが適切なサイズになるように配慮してください。

9.同時ファイアウォール接続は TCP 80% と UDP 20% の混合トラフィックで構成され、4 回の接続ごとに 1 つのホストと 1 つのダイナミック変換が使用されます。

 

表A-6 ASA 5540 適応型セキュリティ アプライアンス ライセンスの機能

ASA 5540
基本ライセンス

ユーザ、同時

制限なし

制限なし

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

50

VPN セッション 10

5000、IPSec とクライアントレス SSL VPN の合計数

最大 IPSec セッション数

5000

最大クライアントレス SSL VPN セッション数

2

オプション ライセンス:

10

25

50

100

250

500

750

1000

2500

VPN ロード バランシング

サポート対象

SIP 用 TLS プロキシおよび Skinny 検査

サポート対象

フェールオーバー

Active/Standby または Active/Active

GTP/GPRS

なし

オプション ライセンス:イネーブル

最大 VLAN

200

同時ファイアウォール接続 11

400 K

最大物理インターフェイス

制限なし

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

最小 RAM

1 GB(デフォルト)

10.IPSec およびクライアントレス SSL VPN の最大セッション数の合計は最大 VPN セッション数より多くなりますが、セッションの合計数が VPN セッション制限数を超えないようにしてください。 最大 VPN セッション数を超えるとセキュリティ アプライアンスに過負荷がかかるので、ネットワークが適切なサイズになるように配慮してください。

11.同時ファイアウォール接続は TCP 80% と UDP 20% の混合トラフィックで構成され、4 回の接続ごとに 1 つのホストと 1 つのダイナミック変換が使用されます。

 

表A-7 ASA 5550 適応型セキュリティ アプライアンス ライセンスの機能

ASA 5550
基本ライセンス

ユーザ、同時

制限なし

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

50

VPN セッション 12

5000、IPSec とクライアントレス SSL VPN の合計数

最大 IPSec セッション数

5000

最大クライアントレス SSL VPN セッション数

2

オプション ライセンス:

10

25

50

100

250

500

750

1000

2500

5000

VPN ロード バランシング

サポート対象

SIP 用 TLS プロキシおよび Skinny 検査

サポート対象

フェールオーバー

Active/Standby または Active/Active

GTP/GPRS

なし

オプション ライセンス:イネーブル

最大 VLAN

250

同時ファイアウォール接続 13

650 K

最大物理インターフェイス

制限なし

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

最小 RAM

4 GB(デフォルト)

12.IPSec およびクライアントレス SSL VPN の最大セッション数の合計は最大 VPN セッション数より多くなりますが、セッションの合計数が VPN セッション制限数を超えないようにしてください。 最大 VPN セッション数を超えるとセキュリティ アプライアンスに過負荷がかかるので、ネットワークが適切なサイズになるように配慮してください。

13.同時ファイアウォール接続は TCP 80% と UDP 20% の混合トラフィックで構成され、4 回の接続ごとに 1 つのホストと 1 つのダイナミック変換が使用されます。

 

表A-8 PIX 515/515E セキュリティ アプライアンス ライセンスの機能

PIX 515/515E
R(制限)
UR(制限なし)
FO(フェールオーバー) 14
FO-AA(フェールオーバー Active/Active) 1

ユーザ、同時

制限なし

制限なし

制限なし

制限なし

セキュリティ コンテキスト

サポート対象外

2

オプション ライセンス:5

2

オプション ライセンス:5

2

オプション ライセンス:5

IPSec セッション

2000

2000

2000

2000

クライアントレス SSL VPN セッション

サポート対象外

サポート対象外

サポート対象外

サポート対象外

VPN ロード バランシング

サポート対象外

サポート対象外

サポート対象外

サポート対象外

SIP 用 TLS プロキシおよび Skinny 検査

サポート対象外

サポート対象外

サポート対象外

サポート対象外

フェールオーバー

サポート対象外

Active/Standby
Active/Active

Active/Standby

Active/Standby
Active/Active

GTP/GPRS

なし

オプション ライセンス:
イネーブル

なし

オプション ライセンス:
イネーブル

なし

オプション ライセンス:
イネーブル

なし

オプション ライセンス:
イネーブル

最大 VLAN

10

25

25

25

同時ファイアウォール接続 15

48 K

130 K

130 K

130 K

最大物理インターフェイス

3

6

6

6

暗号化

なし

オプション ライセンス:

なし

オプション ライセンス:

なし

オプション ライセンス:

なし

オプション ライセンス:

基本(DES)

強力(3DES/
AES)

基本(DES)

強力(3DES/
AES)

基本(DES)

強力(3DES/
AES)

基本(DES)

強力(3DES/
AES)

最小 RAM

64 MB(デフォルト)

128 MB

128 MB

128 MB

14.このライセンスは、UR ライセンスによる別の装置とのフェールオーバー ペアでのみ使用できます。 両方の装置を同じモデルにする必要があります。

15.同時ファイアウォール接続は TCP 80% と UDP 20% の混合トラフィックで構成され、4 回の接続ごとに 1 つのホストと 1 つのダイナミック変換が使用されます。

 

表A-9 PIX 525 セキュリティ アプライアンス ライセンスの機能

PIX 525
R(制限)
UR(制限なし)
FO(フェールオーバー) 16
FO-AA(フェールオーバー Active/Active) 1

ユーザ、同時

制限なし

制限なし

制限なし

制限なし

セキュリティ コンテキスト

サポート対象外

2

オプション ライセンス:

2

オプション ライセンス:

2

オプション ライセンス:

5

10

20

50

5

10

20

50

5

10

20

50

IPSec セッション

2000

2000

2000

2000

クライアントレス SSL VPN セッション

サポート対象外

サポート対象外

サポート対象外

サポート対象外

VPN ロード バランシング

サポート対象外

サポート対象外

サポート対象外

サポート対象外

SIP 用 TLS プロキシおよび Skinny 検査

サポート対象外

サポート対象外

サポート対象外

サポート対象外

フェールオーバー

サポート対象外

Active/Standby
Active/Active

Active/Standby

Active/Standby
Active/Active

GTP/GPRS

なし

オプション ライセンス:
イネーブル

なし

オプション ライセンス:
イネーブル

なし

オプション ライセンス:
イネーブル

なし

オプション ライセンス:
イネーブル

最大 VLAN

25

100

100

100

同時ファイアウォール接続 17

140 K

280 K

280 K

280 K

最大物理インターフェイス

6

10

10

10

暗号化

なし

オプション ライセンス:

なし

オプション ライセンス:

なし

オプション ライセンス:

なし

オプション ライセンス:

基本(DES)

強力(3DES/
AES)

基本(DES)

強力(3DES/
AES)

基本(DES)

強力(3DES/
AES)

基本(DES)

強力(3DES/
AES)

最小 RAM

128 MB(デフォルト)

256 MB

256 MB

256 MB

16.このライセンスは、UR ライセンスによる別の装置とのフェールオーバー ペアでのみ使用できます。 両方の装置を同じモデルにする必要があります。

17.同時ファイアウォール接続は TCP 80% と UDP 20% の混合トラフィックで構成され、4 回の接続ごとに 1 つのホストと 1 つのダイナミック変換が使用されます。

 

表A-10 PIX 535 セキュリティ アプライアンス ライセンスの機能

PIX 535
R(制限)
UR(制限なし)
FO(フェールオーバー) 18
FO-AA(フェールオーバー Active/Active) 1

ユーザ、同時

制限なし

制限なし

制限なし

制限なし

セキュリティ コンテキスト

サポート対象外

2

オプション ライセンス:

2

オプション ライセンス:

2

オプション ライセンス:

5

10

20

50

5

10

20

50

5

10

20

50

IPSec セッション

2000

2000

2000

2000

クライアントレス SSL VPN セッション

サポート対象外

サポート対象外

サポート対象外

サポート対象外

VPN ロード バランシング

サポート対象外

サポート対象外

サポート対象外

サポート対象外

SIP 用 TLS プロキシおよび Skinny 検査

サポート対象外

サポート対象外

サポート対象外

サポート対象外

フェールオーバー

サポート対象外

Active/Standby
Active/Active

Active/Standby

Active/Standby
Active/Active

GTP/GPRS

なし

オプション ライセンス:
イネーブル

なし

オプション ライセンス:
イネーブル

なし

オプション ライセンス:
イネーブル

なし

オプション ライセンス:
イネーブル

最大 VLAN

50

150

150

150

同時ファイアウォール接続 19

250 K

500 K

500 K

500 K

最大物理インターフェイス

8

14

14

14

暗号化

なし

オプション ライセンス:

なし

オプション ライセンス:

なし

オプション ライセンス:

なし

オプション ライセンス:

基本(DES)

強力(3DES/
AES)

基本(DES)

強力(3DES/
AES)

基本(DES)

強力(3DES/
AES)

基本(DES)

強力(3DES/
AES)

最小 RAM

512 MB(デフォルト)

1024 MB

1024 MB

1024 MB

18.このライセンスは、UR ライセンスによる別の装置とのフェールオーバー ペアでのみ使用できます。 両方の装置を同じモデルにする必要があります。

19.同時ファイアウォール接続は TCP 80% と UDP 20% の混合トラフィックで構成され、4 回の接続ごとに 1 つのホストと 1 つのダイナミック変換が使用されます。

セキュリティ サービス モジュールのサポート

表A-11 に、各プラットフォームでサポートされる SSM を示します。

 

表A-11 SSM サポート

プラットフォーム
SSM モデル

ASA 5505

サポート対象外

ASA 5510

AIP SSM 10

CSC SSM 10

CSC SSM 20

4GE SSM

ASA 5520

AIP SSM 10

AIP SSM 20

CSC SSM 10

CSC SSM 20

4GE SSM

ASA 5540

AIP SSM 10

AIP SSM 20

CSC SSM 10 20

CSC SSM 20 1

4GE SSM

ASA 5550

サポート対象外(4GE SSM が組み込まれており、ユーザが取り除くことはできません)

PIX 515/515E

サポート対象外

PIX 525

サポート対象外

PIX 535

サポート対象外

20.CSC SSM のライセンスは 1000 ユーザまでサポートします。一方 Cisco ASA 5540 シリーズアプライアンスでは、それよりもかなり多くのユーザをサポートできます。 ASA 5540 適応型セキュリティ アプライアンスで CSC SSM を展開する場合は、必ずスキャンする必要のあるトラフィックにのみ CSC SSM が送信されるようにセキュリティ アプライアンスを設定してください。

VPN 仕様

ここでは、セキュリティ アプライアンスの VPN 仕様について説明します。ここでは、次の項目について説明します。

「Cisco VPN Client のサポート」

「Cisco Secure Desktop のサポート」

「サイトツーサイト VPN の互換性」

「暗号化標準」

Cisco VPN Client のサポート

セキュリティ アプライアンスは、 表A-12 に示すように、ソフトウェアベースとハードウェアベースの幅広いさまざまな Cisco VPN クライアントをサポートします。

 

表A-12 Cisco VPN Client のサポート

クライアントのタイプ
クライアントのバージョン

SSL VPN クライアント

Cisco SSL VPN Client、バージョン 1.1 以上

ソフトウェア IPSec VPN クライアント

Windows 版 Cisco VPN Client、バージョン 3.6 以上

Linux 版 Cisco VPN Client、バージョン 3.6 以上

Solaris 版 Cisco VPN Client、バージョン 3.6 以上

Mac OS X 版 Cisco VPN Client、バージョン 3.6 以上

ハードウェア IPSec VPN クライアント(Cisco Easy VPN Remote)

Cisco VPN 3002 ハードウェア クライアント、バージョン 3.0 以上

Cisco IOS Software Easy VPN Remote、リリース 12.2(8)YJ

Cisco PIX 500 シリーズ セキュリティ アプライアンス、バージョン 6.2 以上

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス、バージョン 7.0 以上

Cisco Secure Desktop のサポート

セキュリティ アプライアンスは CSD ソフトウェア バージョン 3.1.1.16 をサポートしています。

サイトツーサイト VPN の互換性

多くのサード パーティ VPN 製品との相互運用性に加えて、セキュリティ アプライアンスは、 表A-13 に示すサイトツーサイト VPN 接続向けの Cisco VPN 製品との相互運用性も提供します。

 

表A-13 サイトツーサイト VPN の互換性

プラットフォーム
ソフトウェア バージョン

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス

バージョン 7.0(1)以上

Cisco IOS ルータ

リリース 12.1(6)T 以上

Cisco PIX 500 シリーズ セキュリティ アプライアンス

バージョン 5.1(1)以上

Cisco VPN 3000 シリーズ コンセントレータ

バージョン 3.6(1)以上

暗号化標準

セキュリティ アプライアンスは、 表A-14 に示す項目を含め、数多くの暗号化標準と関連のサード パーティ製品およびサービスをサポートしています。

 

表A-14 暗号化標準

タイプ
説明

非対称(公開鍵)暗号化アルゴリズム

RSA 公開/秘密鍵ペア、512 ~ 4096 ビット

DSA 公開/秘密鍵ペア、512 ~ 1024 ビット

対称暗号化アルゴリズム

AES:128、192、および 256 ビット

DES:56 ビット

3DES:168 ビット

RC4:40、56、64、および 128 ビット

完全転送秘密(Diffie-Hellman 鍵ネゴシエーション)

Group 1:768 ビット

Group 2:1024 ビット

Group 5:1536 ビット

Group 7:163 ビット(楕円曲線 Diffie-Hellman)

ハッシュ アルゴリズム

MD5:128 ビット

SHA-1:160 ビット

X.509 認証局

Cisco IOS ソフトウェア

Baltimore UniCERT

Entrust Authority

iPlanet/Netscape CMS

Microsoft Certificate Services

RSA Keon

VeriSign OnSite

X.509 証明書登録方法

SCEP

PKCS #7 および #10