ASDM を使用した Cisco セキュリティ アプライアン ス コンフィギュレーション ガイド
セキュリティ アプライアンスの概要
セキュリティ アプライアンスの概要
発行日;2012/02/04 | 英語版ドキュメント(2011/07/27 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 19MB) | フィードバック

目次

セキュリティ アプライアンスの概要

モデルごとの SSM および SSC サポート

VPN 仕様

プラットフォーム単位の新機能

バージョン 8.2(1)の新機能

バージョン8.1(2)の新機能

バージョン8.1(1)の新機能

バージョン8.0(4)の新機能

バージョン8.0(3)の新機能

バージョン8.0(2)の新機能

ファイアウォール機能の概要

公開サーバの設定

公開サーバの概要

公開サーバの追加

公開サーバの編集

セキュリティ ポリシーの概要

アクセス リストによるトラフィックの許可または拒否

NAT の適用

IP フラグメントからの保護

通過トラフィックへの AAA の使用

HTTP、HTTPS、または FTP フィルタリングの適用

アプリケーション インスペクションの適用

Advanced Inspection and Prevention Security Services モジュールへのトラフィックの送信

Content Security and Control Security Services モジュールへのトラフィックの送信

QoS ポリシーの適用

接続制限の適用と TCP 正規化

脅威検出のイネーブル化

ファイアウォール モードの概要

ステートフル インスペクションの概要

VPN 機能の概要

セキュリティ コンテキストの概要

セキュリティ アプライアンスの概要

セキュリティ アプライアンスでは高度なステートフル ファイアウォールと VPN コンセントレータ機能が 1 つのデバイスに組み合されています。モデルによっては、AIP SSM と呼ばれる統合侵入防御モジュールおよび CSC SSM と呼ばれる統合コンテンツ セキュリティ制御モジュールに組み合されています。セキュリティ アプライアンスは、(仮想化ファイアウォールに似た)マルチ セキュリティ コンテキスト、トランスペアレント(レイヤ 2)ファイアウォール操作またはルーテッド(レイヤ 3)ファイアウォール操作、拡張検査エンジン、IPSec およびクライアントレス SSL サポート、その他多数の機能など、多数の拡張機能を備えています。


) Cisco PIX 501 および PIX 506E セキュリティ アプライアンスはサポートされていません。


この章には、次の項があります。

「モデルごとの SSM および SSC サポート」

「VPN 仕様」

「プラットフォーム単位の新機能」

「ファイアウォール機能の概要」

「VPN 機能の概要」

「セキュリティ コンテキストの概要」

モデルごとの SSM および SSC サポート

表 3-1 に、プラットフォームごとの Security Services Module(SSM; セキュリティ サービス モジュール)および Security Services Card(SSC; セキュリティ サービス カード)を示します。

 

表 3-1 SSM サポート

プラットフォーム
SSM モデル
SSC モデル

ASA 5505

サポート対象外

AIP SSC 5

ASA 5510

AIP SSM 10

AIP SSM 20

CSC SSM 10

CSC SSM 20

4GE SSM

サポート対象外

ASA 5520

AIP SSM 10

AIP SSM 20

AIP SSM 40

CSC SSM 10

CSC SSM 20

4GE SSM

サポート対象外

ASA 5540

AIP SSM 10

AIP SSM 20

AIP SSM 40

CSC SSM 101

CSC SSM 201

4GE SSM

サポート対象外

ASA 5550

サポート対象外(4GE SSM が組み込まれており、ユーザが取り除くことはできません)

サポート対象外

ASA 5580

サポート対象外

サポート対象外

1.CSC SSM のライセンスでは 1000 ユーザまでサポートされます。一方 Cisco ASA 5540 シリーズ アプライアンスでは、それよりもかなり多くのユーザをサポートできます。ASA 5540 適応型セキュリティ アプライアンスで CSC SSM を展開する場合は、必ずスキャンする必要のあるトラフィックにだけ CSC SSM が送信されるようにセキュリティ アプライアンスを設定してください。

VPN 仕様

Cisco ASA 5500 Series VPN Compatibility Reference 』を参照してください。 http://www.cisco.com/en/US/docs/security/asa/compatibility/vpn-platforms-82.html

プラットフォーム単位の新機能

この項では、サポートされているプラットフォーム リリースごとに使用可能な新機能のリストを示します。ASDM では複数のプラットフォーム リリースがサポートされており、このガイドではすべてのリリースの機能が記載されているため、使用しているリリースに該当機能が含まれているかどうか各項を確認する必要があります。この項は、次の内容で構成されています。

「バージョン 8.2(1)の新機能」

「バージョン8.1(2)の新機能」

「バージョン8.1(1)の新機能」

「バージョン8.0(4)の新機能」

「バージョン8.0(3)の新機能」

「バージョン8.0(2)の新機能」

バージョン 8.2(1)の新機能

表 3-2 にバージョン 8.2(1)の新機能のリストを示します。

 

表 3-2 ASA バージョン 8.2(1)の新機能

機能
説明
リモート アクセス機能

ASDM 認証のワンタイム パスワード サポート

ASDM では現在、RSA SecureID(SDI)でサポートされているワンタイム パスワード(OTP)を使用して管理者認証がサポートされています。この機能は、スタティック パスワードで認証している管理者に関するセキュリティ上の問題に対処します。

ASDM ユーザ向けの新しいセッション コントロールには、セッション時間とアイドル時間を制限する機能が搭載されています。ASDM 管理者が使用するパスワードがタイムアウトになると、ASDM により管理者の再認証を求めるプロンプトが表示されます。

http server idle-timeout および http server session-timeout というコマンドが導入されました。http server idle-timeout のデフォルト値は 20 分で、1440 分まで増やすことができます。

ASDM で [Configuration] > [Device Management] > [Management Access] > [ASDM/HTTPD/Telnet/SSH] を参照してください。

Secure Desktop のカスタマイズ

ASDM を使用して、Secure Desktop バックグラウンド(ロック アイコン)とそのテキスト カラー、および Desktop、Cache Cleaner、Keystroke Logger、Close Secure Desktop の各ウィンドウのダイアログ バナーなど、リモート ユーザに表示される Secure Desktop ウィンドウをカスタマイズできます。

ASDM で [Configuration] > [CSD Manager] > [Secure Desktop Manager] を参照してください。

証明書からのユーザ名事前入力

ユーザ名事前入力機能により、ユーザ名およびパスワード認証をする場合に、証明書から抽出されたユーザ名の使用がイネーブルになります。この機能がイネーブルな場合、ログイン画面でユーザ名が「あらかじめ入力されて」おり、ユーザはパスワードの入力だけ求められます。この機能を使用するには、 pre-fill username コマンドおよび username-from-certificate コマンドの両方をトンネルグループ コンフィギュレーション モードで設定する必要があります。

ユーザ名事前入力機能は、ユーザ名が 2 つ必要な場合に、二重認証のユーザ名として証明書からプライマリ ユーザ名とセカンダリ ユーザ名を抽出する機能をサポートしているため、二重認証機能はユーザ名事前入力機能と互換性があります。二重認証のためにユーザ名事前入力機能を設定する場合、管理者は次の新しいトンネルグループ汎用アトリビュート コンフィギュレーションモード コマンドを使用します。

secondary-pre-fill-username :クライアントレスまたは AnyConnect クライアント接続のユーザ名抽出をイネーブルにします。

secondary-username-from-certificate :ユーザ名として使用するため、証明書からいくつかの標準 DN フィールドを抽出できるようにします。

ASDM で、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect or Clienltess SSL VPN Connection Profiles] > [Advanced] を参照してください。設定は [Authentication]、[Secondary Authentication]、および [Authorization] の各パネルに表示されています。

二重認証

二重認証機能は、ネットワークにリモート アクセスする場合に Payment Card Industry Standards Council Data Security Standard に準拠して 2 因数認証を行います。この機能では、ユーザはログイン ページで 2 セットの別々のログイン認定証を入力する必要があります。たとえば、プライマリ認証はワンタイム パスワードで、セカンダリ認証はドメイン(Active Directory)認定証といった場合があります。いずれかの認証に失敗すると、接続が拒否されます。

AnyConnect VPN クライアントおよびクライアントレス SSL VPN の両方で二重認証がサポートされています。AnyConnect クライアントでは、Windows コンピュータ(サポート対象 Windows Mobile 装置および Start Before Logon など)、Mac コンピュータ、および Linux コンピュータで二重認証がサポートされています。IPsec VPN クライアント、SVC クライアント、カットスルー プロキシ認証、ハードウェア クライアント認証、および管理認証では二重認証はサポートされていません。

二重認証には、次の新しいトンネルグループ汎用アトリビュート コンフィギュレーション モード コマンドが必要です。

secondary-authentication-server-group :SDI サーバ グループになることができないセカンダリ AAA サーバ グループを指定します。

secondary-username-from-certificate :ユーザ名として使用するため、証明書からいくつかの標準 DN フィールドを抽出できるようにします。

secondary-pre-fill-username :クライアントレスまたは AnyConnect クライアント接続のユーザ名抽出をイネーブルにします。

authentication-attr-from-server :どの認証サーバ認可アトリビュートが接続に適用されるかを指定します。

authenticated-session-username :どの認証ユーザ名がセッションに関連付けられているかを指定します。

(注) RSI/SDA ワンタイム パスワードはセカンダリ パスワードとしては使用できません。プライマリ認証にだけ使用できます。

ASDM で、[Configuration] > [Remote Access VPN] > [Network (Client) Access or Clientless SSL VPN] > [AnyConnect Connection Profiles] > [Add/Edit] > [Advanced] > [Secondary Authentication] を参照してください。

AnyConnect Essentials

AnyConnect Essentials は セキュリティ アプライアンス上に完全に設定され、別途ライセンスされた SSL VPN クライアントで、AnyConnect の全機能を実現しますが、次の例外があります。

CSD なし(HostScan/Vault/Cache Cleaner など)

クライアントレス SSL VPN なし

Windows Mobile Support オプション

AnyConnect Essentials クライアントは、Microsoft Windows Vista、Windows Mobile、Windows XP または Windows 2000、Linux、または Macintosh OS X を実行するリモート エンド ユーザに Cisco SSL VPN クライアントの利点を提供します。

AnyConnect Essentials を設定する場合、管理者は次のコマンドを使用します。

anyconnect-essentials :AnyConnect Essentials 機能をイネーブルにします。(このコマンドの no フォームを使用して)この機能がディセーブルになっている場合、フル AnyConnect VPN クライアントが使用されます。この機能は、デフォルトでイネーブルになっています。

(注) このライセンスは、SSL VPN の共有ライセンスと同時には使用できません。

ASDM で、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [AnyConnect Essentials License] を参照してください。このペインを表示するため、ASDM の AnyConnect Essentials ライセンスをインストールする必要があります。

接続プロファイル単位の Cisco Secure Desktop のディセーブル

Cisco Secure Desktop は、イネーブルになっている場合、自動的にすべてのコンピュータで実行され、セキュリティ アプライアンスへの SSL VPN 接続を行います。この新機能により、接続プロファイル単位で、あるユーザが Cisco Secure Desktop を実行しないようにできます。この機能により、これらのセッションのエンドポイント アトリビュートが検出されなくなるため、Dynamic Access Policy(DAP; ダイナミック アクセス ポリシー)コンフィギュレーションを調整しなければならない場合があります。

CLI:[no] without-csd command

コマンドはこの機能に必要です。SSL VPN セッションで接続エイリアスが使用されている場合、この機能は有効になりません。

ASDM で、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] > [Add or Edit] > [Advanced, Clientless SSL VPN Configuration]

または

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Connection Profiles] > [Add or Edit > Advanced] > [SSL VPN] を参照してください。

接続プロファイルごとの証明書認証

以前のバージョンは、セキュリティ アプライアンス インターフェイスごとに証明書認証をサポートしていたため、証明書が必要ない場合でもユーザは証明書を要求されていました。この新機能により、ユーザは、接続プロファイル コンフィギュレーションで証明書が必要な場合だけ証明書が要求されます。この機能は自動的に実行されるため、 ssl certificate authentication コマンドは必要なくなりましたが、セキュリティ アプライアンスでは下位互換性を考え、このコマンドは保持されています。

ASDM で、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Connection Profiles] > [Add/Edit > [Basic]

または

[Configuration] > [Remote Access VPN] > [Clientless SSL VPN] > [Connection Profiles] > [Add/Edit] > [Basic] を参照してください。

証明書マッピング向け EKU 拡張機能

この機能では、クライアント証明書の Extended Key Usage 拡張機能を確認し、これらの値を使用してクライアントでどの接続プロファイルを使用するべきか判断する、証明書マップを作成する機能が追加されています。クライアントがそのプロファイルに一致しない場合、デフォルト グループが使用されます。証明書が有効かどうか、また接続プロファイルの認証設定により、接続結果が異なります。

extended-key-usage というコマンドが導入されました。

ASDM で、[IPSec Certificate to Connection Maps] > [Rules] ペイン、または [Certificate to SSL VPN Connections Profile Maps] ペインを使用してください。

Win 2007 Server の SSL VPN SharePoint サポート

クライアントレス SSL VPN セッションでは現在 Microsoft Office SharePoint Server 2007 がサポートされています。

SSL VPN セッションの共有ライセンス

多数の SSL VPN セッションに対する共有ライセンスを購入し、セキュリティ アプライアンスの 1 つを共有ライセンス サーバ、残りをクライアントに設定することで、セキュリティ アプライアンスのグループ間で必要に応じてセッションを共有できます。コマンド license-server コマンド(各種)、 show shared license が導入されました。

(注) このライセンスは、AnyConnect Essentials ライセンスと同時には使用できません。

ASDM で、[Configuration] > [Device Management] > [Licensing] > [Shared SSL VPN Licenses] を参照してください。[Monitoring] > [VPN] > [Clientless SSL VPN] > [Shared Licenses] も参照してください。

ファイアウォール機能

TCP ステート バイパス

非対称ルーティングをアップストリーム ルーターで設定している場合で、トラフィックが 2 つのセキュリティ アプライアンス間を行き来する場合は、特定のトラフィック向けに TCP ステート バイパスを設定できます。 set connection advanced tcp-state-bypass というコマンドが導入されました。

ASDM で、[Configuration] > [Firewall] > [Service Policy Rules] > [Rule Actions] > [Connection Settings] を参照してください。

Phone Proxy で使用されるメディア終端インスタンスのインターフェイス単位の IP アドレス

バージョン 8.0(4)では、セキュリティ アプライアンスにグローバル メディア終端アドレス(MTA)を設定していました。バージョン 8.2 では、インターフェイス別に MTA を設定できるようになりました(最低 MTA 数は 2 個)。この機能拡張の結果、旧型 CLI は廃止されました。必要な場合は、引き続き古いコンフィギュレーションを使用できます。しかし、コンフィギュレーションを完全に変更する必要があり、新しいコンフィギュレーション方法だけ承認されている場合、古いコンフィギュレーションは後で復元できません。

ASDM で、[Configuration] > [Firewall] > [Advanced] > [Encrypted Traffic Inspection] > [Media Termination Address] を参照してください。

Phone Proxy の CTL ファイルの表示

Cisco Phone Proxy 機能には、Phone Proxy で使用される CTL ファイルを表示する show ctl-file コマンドが含まれています。Phone Proxy インスタンスを設定する場合、 show ctl-file コマンドを使用するとデバッグに役立ちます。

このコマンドは ASDM ではサポートされていません。

Phone Proxy データベースからのセキュアフォン エントリのクリア

Cisco Phone Proxy 機能には、Phone Proxy データベースのセキュアフォン エントリをクリアする clear phone-proxy secure-phones コマンドが含まれています。セキュア IP 電話では、起動時に必ず CTL ファイルが要求されるため、Phone Proxy により IP 電話をセキュアとマークするデータベースが作成されます。セキュア フォン データベースのエントリは、設定された指定タイムアウト後に( timeout secure-phones コマンドを介して)削除されます。あるいは、 clear phone-proxy secure-phones コマンドを使用して、設定したタイムアウトを待たずに Phone Proxy データベースをクリアできます。

このコマンドは ASDM ではサポートされていません。

H.323 アプリケーション検査での H.239 メッセージ サポート

このリリースでは、セキュリティ アプライアンスでは H.323 アプリケーション検査の一部として H.239 規格がサポートされています。H.239 は、H.300 シリーズ エンドポイントが 1 回のコールで追加ビデオ チャネルを開くことができる機能を提供する規格です。1 回のコールで、(ビデオ電話などの)エンドポイントから、ビデオ用のチャネルとデータ表示用のチャネルが送信されます。H.239 ネゴシエーションは H.245 チャネルで行われます。セキュリティ アプライアンスにより、追加メディア チャネルのピンホールが開きます。エンドポイントは、オープン論理チャネル メッセージ(OLC)を使用して、新しいチャネル作成の信号を発信します。メッセージ拡張子は H.245 バージョン 13 の一部です。テレプレゼンテーション セッションの復号化と符号化は、デフォルトでイネーブルにされています。H.239 の符号化および復号化は ASN.1 コーダーによりあらかじめ作成されています。

ASDM で、[Configuration] > [Firewall] > [Service Policy Rules] > [Add Service Policy Rule Wizard] > [Rule Actions] > [Protocol Inspection] > [H.323 H.225] を参照してください。 [Configure] をクリックし、H.323 Inspect Map を選択します。

エンドポイントから OLCAck が送信されない場合の H.323 エンドポイントの処理

H.323 アプリケーション インスペクションが、一般的な H.323 エンドポイントを処理するよう機能拡張されました。機能拡張は、H.239 プロトコル識別情報を持つ extendedVideoCapability OLC を使用しているエンドポイントに影響を与えます。ピアから OLC メッセージ受信後に H.323 エンドポイントから OLCAck が送信されない場合でも、セキュリティ アプライアンスにより OLC メディア提案情報がメディア アレイに登録され、(extendedVideoCapability)メディア チャネルのピンホールが開きます。

ASDM で、[Configuration] > [Firewall] > [Service Policy Rules] > [Add Service Policy Rule Wizard] > [Rule Actions] > [Protocol Inspection] > [H.323 H.225] を参照してください。

トランスペアレント ファイアウォール
モードの IPv6

トランスペアレント ファイアウォール モードは現在 IPv6 ルーティングに参加しています。このリリース以前は、セキュリティ アプライアンスはトランスペアレント モードでは IPv6 トラフィックを渡せませんでした。現在では、IPv6 管理アドレスをトランスペアレント モードで設定し、IPv6 アクセス リストを作成し、セキュリティ アプライアンスにより IPv6 パケットが認識され、渡されるなど、その他の IPv6 機能を設定できます。

特に指定がない限り、すべての IPv6 機能がサポートされています。

ASDM で、[Configuration] > [Device Management] > [Management Access] > [Management IP Address] を参照してください。

Botnet Traffic Filter

マルウェアは、不明なホストにインストールされている悪意あるソフトウェアです。個人データ(パスワード、クレジット カード番号、キー ストローク、または機密データ)の送信などのネットワーク アクティビティを試みるマルウェアが既知の不正な IP アドレスに接続を開始すると、このようなマルウェアを Botnet Traffic Filter によって検出できます。Botnet Traffic Filter は、着信接続と送信接続を既知の不正なドメイン名および IP アドレスのダイナミック データベースと照合してチェックし、あらゆる疑わしいアクティビティをログに記録します。IP アドレスまたはドメイン名をローカルの「ブラックリスト」または¢ホワイトリスト」に入力することで、ダイナミック データベースをスタティック データベースで補完することもできます。

dynamic-filter コマンド(各種)および inspect dns dynamic-filter-snoop キーワードが導入されました。

ASDM で、[Configuration] > [Firewall] > [Botnet Traffic Filter] を参照してください。

ASA 5505 の AIP SSC カード

AIP SSC で ASA 5505 セキュリティ アプライアンスの IPS が提供されます。AIP SSM では仮想センサーはサポートされていない点に注意してください。 allow-ssc-mgmt hw-module module ip 、および hw-module module allow-ip というコマンドが導入されました。

ASDM で、[Configuration] > [Device Setup] > [SSC Setup and Configuration] > [IPS] を参照してください。

IPS の IPv6 サポート

トラフィック クラスで match any コマンドを使用し、ポリシー マップで ips コマンドが指定されている場合に、IPv6 トラフィックを AIP SSM または SSC に送信できるようになりました。

ASDM で、[Configuration] > [Firewall] > [Service Policy Rules] を参照してください。

管理機能

SNMP バージョン 3 および暗号化

このリリースでは、DES 暗号化、3DES 暗号化、または AES 暗号化、およびサポートされているセキュリティ モデルの中でも最もセキュアな形式である SNMP バージョン 3 をサポートしています。このバージョンにより、User-based Security Model(USM)を使用して認証特性を設定できます。

次のコマンドが導入されました。

show snmp engineid

show snmp group

show snmp-server group

show snmp-server user

snmp-server group

snmp-server user

次のコマンドが変更されました。

snmp-server host

ASDM で、[Configuration] > [Device Management] > [Management Access] > [SNMP] を参照してください。

ルーティング機能

マルチキャスト NAT

セキュリティ アプライアンスで、グループ アドレスのマルチキャスト NAT がサポートされるようになりました。

トラブルシューティング機能

コアダンプ機能

コアダンプは、プログラムが異常終了したときの実行中プログラムのスナップショットです。コアダンプは、エラーを診断またはデバッグし、後でまたはサイト外で分析するためにクラッシュを保存する場合に使用します。Cisco TAC は、アプリケーションまたはシステムのクラッシュをトラブルシューティングするためのコアダンプ機能をセキュリティ アプライアンスでイネーブルにするようユーザに要求できます。

コアダンプをイネーブルにする方法について、 coredump enable コマンドを参照してください。

バージョン8.1(2)の新機能

表 3-3 にバージョン 8.1(2)の新機能のリストを示します。


) バージョン 8.1(x)は、Cisco ASA 5580 適応型セキュリティ アプライアンスでだけサポートされています。


 

表 3-3 ASA バージョン 8.1(2)の新機能

機能
説明
リモート アクセス機能

スマート トンネルによる IE 向け自動サインオン

この機能により、WININET 接続のログオン認定証を置き換えることができます。ほとんどの Microsoft アプリケーションでは、Internet Explorer など WININET が使用されています。Mozilla Firefox では使用されていないため、この機能ではサポートされていません。Mozilla Firefox では HTTP を使用した認証がサポートされているため、フォームを使用した認証はこの機能では動作しません。

認定証は、サービスではなく宛先ホストにスタティックに関連付けられているため、最初の認定証が誤っている場合、それらは実行時に動的に修正できません。また、宛先ホストと関連付けられているため、そのホストのいくつかのサービスへのアクセスを拒否したい場合は、自動サインオンがイネーブルになったホストをサポートするのは好ましくない場合があります。

スマート トンネルのグループ自動サインオンを設定するには、自動サインオン サイトのグローバル リストを作成し、そのリストをグループ ポリシーまたはユーザ名に割り当てます。この機能は、ダイナミック アクセス ポリシーではサポートされていません。

ASDM で、[Configuration] > [Firewall] > [Advanced] > [ACL Manager] を参照してください。

Entrust 証明書プロビジョニング

(バージョン 8.0x および 8.1x を実行しているセキュリティ アプライアンスを管理できる)ASDM 6.1.3 には、ASA の一時的(テスト)またはディスカウントされた永続的 SSL ID 証明書を申し込む Entrust Web サイトへのリンクが含まれています。

ASDM で、[Configuration] > [Remote Access VPN] > [Certificate Management] > [Identity Certificates] > [Enroll ASA SSL VPN head-end with Entrust] を参照してください。

IKE 鍵の再生成におけるユーザ再認証の時間延長

フェーズ 1 SA 鍵の再生成において、リモート ユーザの認定証を入力するのに時間をさらに与えるようセキュリティ アプライアンスを設定できます。以前は、reauthenticate-on-rekey が IKE トンネルに設定され、フェーズ 1 鍵の再生成が行われた場合、ユーザはセキュリティ アプライアンスにより認証を求められ、その認定証の入力に約 2 分間しか与えられていませんでした。ユーザがそのウィンドウに 2 分以内に認定証を入力しないと、トンネルが終了します。新しい機能がイネーブルになったことで、トンネルがドロップする前に認定証を入力する時間に余裕ができました。総時間は、鍵の再生成が実際に行われる場合に確立中の新しい フェーズ 1 SA と期限が切れつつある古いフェーズ 1 SA 間の差分です。デフォルトのフェーズ 1 鍵の再生成時間が設定された状態では、差分は約 3 時間、または鍵の再生成間隔の約 15% です。

ASDM で、[Configuration] > [Device Management] > [Certificate Management] > [Identity Certificates] を参照してください。

永続的 IPsec トンネル フロー

永続的 IPsec トンネル フロー機能がイネーブルになっている場合、セキュリティ アプライアンスは、トンネルがドロップした後にステートフル(TCP)トンネル フローを維持および再開してから、回復します。トンネルがドロップすると他のすべてのフローはドロップするため、新しいトンネルが現れるときに再確立する必要があります。TCP フローを維持することで、一時的なトンネルのドロップを介して、旧型または機密のアプリケーションをいくつか動作させておくことができます。この機能では、ハードウェア クライアントからの IPsec LAN-to-LAN トンネルおよび Network Extension Mode トンネルがサポートされています。IPsec または AnyConnect/SSL VPN リモート アクセス トンネルはサポートされていません。 sysopt connection preserve-vpn-flows コマンドを参照してください。このオプションは、デフォルトでディセーブルになっています。

ASDM で、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [IPsec] > [System Options] を参照してください。 [Preserve stateful VPN flows when the tunnel drops for Network Extension Mode (NEM)] チェックボックスをオンにして、永続的 IPsec トンネル フローをイネーブルにします。

Active Directory グループの表示

Active Directory グループをリストする CLI コマンド show ad-groups が追加されました。ASDM ダイナミック アクセス ポリシーではこのコマンドを使用して、VPN ポリシーの定義に使用できる MS AD グループのリストを管理者に提示します。

ASDM で、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] > [Add/Edit DAP] > [Add/Edit AAA Attribute] を参照してください。

Mac OS 上のスマート トンネル

スマート トンネルが Mac OS でサポートされるようになりました。

ASDM で、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Smart Tunnels] を参照してください。

ファイアウォール機能

NetFlow Filtering

トラフィックとイベント タイプに基づいて NetFlow イベントをフィルタ処理し、レコードをさまざまなコレクタに送信できます。たとえば、すべての flow-create イベントのログを 1 つのコレクタに記録できますが、flow-denied イベントのログを異なるコレクタに記録できます。 flow-export event-type コマンドを参照してください。

ASDM で、[Configuration] > [Firewall] > [Security Policy] > [Service Policy Rules] > [Add/Edit Service Policy Rule] > [Rule Actions] > [NetFlow] を参照してください。

NetFlow 遅延フロー作成イベント

寿命が短いフローについては、NetFlow 収集装置は、フロー作成とティアダウンの 2 つのイベントの確認とは対照的に、1 つのイベントの処理から利点を得ます。フロー作成イベント送信前に、遅延を設定できるようになりました。タイマーが期限切れになる前にフローがティアダウンすると、フロー ティアダウン イベントだけが送信されます。 flow-export delay flow-create コマンドを参照してください。

(注) ティアダウン イベントには、フローに関するすべての情報が含まれています。情報は失われません。

ASDM で、[Configuration] > [Device Management] > [Logging] > [NetFlow] を参照してください。

QoS トラフィック シェーピング

ファースト イーサネットを使用するセキュリティ アプライアンスのような、高速でパケットを送信するデバイスを使用しており、それがケーブル モデムなどの低速デバイスに接続されている場合は、このケーブル モデムにおいてパケットが頻繁にドロップされるようなボトルネックになります。回線速度が異なるネットワークを管理するには、比較的低速の固定された速度でパケットを送信するようにセキュリティ アプライアンスを設定できます。shape コマンドを参照してください。

IPSec アンチ リプレイ ウィンドウ サイズを設定できる crypto ipsec security-association replay コマンドも参照してください。プライオリティ キューイングの 1 つの副作用は、パケットの並べ替えです。IPSec パケットでは、アンチ リプレイ ウィンドウ内にない異常なパケットが syslog の警告メッセージを生成します。これらの警告は、プライオリティ キューイングの場合は誤報です。この新しいコマンドにより、誤報アラームの可能性がなくなります。

ASDM で、[Configuration] > [Firewall] > [Security Policy] > [Service Policy Rules] > [Add/Edit Service Policy Rule] > [Rule Actions] > [QoS] を参照してください。トラフィック シェーピングにサポートされている唯一のトラフィック クラスは、すべてのトラフィックに一致する class-default である点に注意してください。

TCP 正規化拡張機能

あるパケット タイプに対して TCP 正規化処理を設定できるようになりました。以前は、これらの種類のパケットのデフォルト処理はパケットをドロップすることでした。TCP ノーマライザにパケットを許可するよう設定できるようになりました。

TCP による無効な ACK チェック(invalid-ack コマンド)

TCP パケット シーケンス過去ウィンドウ チェック(seq-past-window コマンド)

データ チェック機能搭載 TCP SYN-ACK (synack-data コマンド)

TCP 故障パケット バッファ タイムアウト(queue コマンド timeout キーワード)を設定することもできます。以前は、4 秒間でタイムアウトになりました。現在は、タイムアウトを別の値に設定できるようになりました。

MSS を超えるパケットのデフォルト処理はドロップから許可に変更されました(exceed-mss コマンド)。

次の設定可能でない処理は、これらのパケット タイプに対してドロップからクリアに変更されました。

TCP の不良オプション長

SYN 以外での TCP ウィンドウ スケール

不良 TCP ウィンドウ スケール値

不良 TCP SACK ALLOW オプション

ASDM で、[Configuration] > [Firewall] > [Objects] > [TCP Maps] を参照してください。

TCP 代行受信の統計情報

threat-detection statistics tcp-intercept コマンドで TCP 代行受信統計情報の収集をイネーブルにし、 show threat-detection statistics コマンドでそれらを表示できます。

ASDM で、[Configuration] > [Firewall] > [Threat Detection] を参照してください。

脅威検出除外タイムアウト

threat-detection scanning-threat shun duration コマンドを使用して脅威検出の除外タイムアウトが設定できるようになりました。

ASDM で、[Configuration] > [Firewall] > [Threat Detection] を参照してください。

脅威検出ホスト統計情報の微調整

threat-detection statistics host number-of-rate コマンドを使用して、収集されたホスト統計情報の量を減らし、この機能のシステムへの影響を減らすことができるようになりました。

ASDM で、[Configuration] > [Firewall] > [Threat Detection] を参照してください。

プラットフォーム機能

VLAN が増加

ASA 5580 でサポートされる VLAN の数が 100 から 250 に拡大されました。

バージョン8.1(1)の新機能

表 3-4 にバージョン 8.1(1)の新機能のリストを示します。


) バージョン 8.1(x)は、Cisco ASA 5580 適応型セキュリティ アプライアンスでだけサポートされています。


 

表 3-4 ASA バージョン 8.1(1)の新機能

機能
説明

Cisco ASA 5580 の導入

Cisco ASA 5580 には、次の 2 つのモデルがあります。

ASA 5580-20 は TCP トラフィックを 5 ギガビット/秒で配信し、UDP パフォーマンスがさらに強化されています。この高スループットを達成するため、システムの多数の機能がマルチコア対応になりました。さらに、60,000 TCP 接続/秒を超える速度で配信され、100 万接続までサポートされています。

ASA 5580-40 は TCP トラフィックを 10 ギガビット/秒で配信し、ASA 5580-20 同様、UDP パフォーマンスがさらに強化されます。ASA 5580-40 は 120,000 TCP 接続/秒を超える速度で配信し、合計 200 万接続までサポートされています。

ASDM で、[Home] > [System Resource Status and Home] > [Device Information] > [Environment Status] を参照してください。

NetFlow

新しい NetFlow 機能では、フローを使用したイベントを NetFlow プロトコル経由でログに記録することで、ASA ロギンク機能が強化されています。この機能と新しい CLI コマンドの詳細については、『 Cisco ASA 5580 Adaptive Security Appliance Command Line Configuration Guide 』を参照してください。

ASDM で、[Configuration] > [Device Management] > [Logging] > [NetFlow] を参照してください。

SIP プロビジョナル メディアのタイムアウト

timeout sip-provisional-media コマンドを使用して、SIP プロビジョナル メディアのタイムアウトを設定できるようになりました。

ASDM で、[Configuration] > [Firewall] > [Advanced] > [Global Timeouts] を参照してください。

アクティベーション キーの詳細

show activation key detail コマンドを使用して、以前にインストールされたすべての一時キーおよびその有効期限など、イネーブルにされた機能により、永続的アクティベーション キーおよび一時アクティベーション キーを表示できるようになりました。

シングル コンテキスト モードの ASDM で、[Configuration] > [Device Management] > [System Image/Configuration] > [Activation Key] を参照してください。マルチ コンテキスト モードの ASDM で、[System] > [Configuration] > [Device Management] > [Activation Key] を参照してください。

バージョン8.0(4)の新機能


) これらの機能は、バージョン 8.1(1)では使用できません。すべてではありませんが、これらの機能の多くについては「バージョン8.1(2)の新機能」を参照してください。たとえば、Unified Communications 機能は 8.1(2)ではサポートされていません。


表 3-5 にバージョン 8.0(4)の新機能のリストを示します。

 

表 3-5 ASA および PIX バージョン 8.0(4)の新機能

機能
説明
Unified Communications 機能2

Phone Proxy

Phone Proxy 機能がサポートされています。ASA Phone Proxy は、SIP インスペクションをサポートし、セキュリティを強化した Metreos Cisco Unified Phone Proxy に類似した機能を提供しています。ASA Phone Proxy の主な機能は次のとおりです。

電話のシグナリングとメディアを強制的に暗号化することによるリモート IP 電話の安全の確保

リモート IP 電話による証明書を使用した認証の実行

IP 電話からの TLS シグナリングの終了および Cisco Unified Mobility Advantage サーバへの TCP および TLS の開始

SRTP の終了と着信側への RTP/SRTP の開始

ASDM で、[Configuration] > [Firewall] > [Advanced] > [Encrypted Traffic Inspection] > [Enable Phone Proxy] を参照してください。

モビリティ プロキシ

Cisco Unified Mobility Advantage クライアントおよびサーバ間のセキュアな接続(モビリティ プロキシ)がサポートされています。

Cisco Unified Mobility Advantage ソリューションには、企業内通信アプリケーションおよびサービスを携帯電話やスマート フォンに拡張するモバイル ハンドセット用の使いやすいソフトウェア アプリケーションである、Cisco Unified Mobile Communicator と Cisco Unified Mobility Advantage サーバがあります。モビリティ ソリューションにより通信が効率的に行われ、企業間のリアルタイムなコラボレーションがイネーブルにされます。

このソリューション中の ASA により、Cisco Unified Mobile Communicator と Cisco Unified Mobility Advantage 間の独自プロトコルである (以前の OLWP)MMP プロトコルが検査されます。ASA は TLS プロキシの役割も果たし、Cisco Unified Mobile Communicator と Cisco Unified Mobility Advantage 間の TLS シグナリングの終了と再発生を行います。

ASDM で、[Configuration] > [Firewall] > [Advanced] > [Encrypted Traffic Inspection] > [TLS Proxy] を参照してください。

プレゼンス フェデレーション プロキシ

Cisco Unified Presence サーバと Cisco/Microsoft Presence サーバ間のセキュアな接続(プレゼンス フェデレーション プロキシ)がサポートされています。Presence ソリューションにより、企業はその Cisco Unified Presence クライアントを企業ネットワークに安全に接続したり、異なる企業の Presence サーバ間で Presence 情報を共有できます。

ASA は、インターネット通信および企業内通信を行うために Presence をイネーブルにする機能を実現しています。SSL がイネーブルにされた Cisco Unified Presence クライアントは、Presence Server に SSL 接続を確立できます。ASA により、Cisco Unified Presence サーバで通信している第三者 Presence サーバなど、サーバ間で SSL 接続がイネーブルにされます。企業は Presence 情報を共有し、IM アプリケーションを使用できます。ASA では、サーバ間の SIP メッセージが検査されます。

ASDM で、[Configuration] > [Firewall] > [Service Policy Rules] > [Add/Edit Service Policy Rule] > [Rule Actions] > [Protocol Inspection or Configuration] > [Firewall] > [Advanced] > [Encrypted Traffic Inspection] > [TLS Proxy] > [Add] > [Client Configuration] を参照してください。

リモート アクセス機能

スマート トンネルに
よる IE 向け自動サインオン1

この機能により、WININET 接続のログオン認定証を置き換えることができます。ほとんどの Microsoft アプリケーションでは、Internet Explorer など WININET が使用されています。Mozilla Firefox では使用されていないため、この機能ではサポートされていません。Mozilla Firefox では HTTP を使用した認証がサポートされているため、フォームを使用した認証はこの機能では動作しません。

認定証は、サービスではなく宛先ホストにスタティックに関連付けられているため、最初の認定証が誤っている場合、それらは実行時に動的に修正できません。また、宛先ホストと関連付けられているため、そのホストのいくつかのサービスへのアクセスを拒否したい場合は、自動サインオンがイネーブルになったホストをサポートするのは好ましくない場合があります。

スマート トンネルのグループ自動サインオンを設定するには、自動サインオン サイトのグローバル リストを作成し、そのリストをグループ ポリシーまたはユーザ名に割り当てます。この機能は、ダイナミック アクセス ポリシーではサポートされていません。

ASDM で、[Firewall] > [Advanced] > [ACL Manager] を参照してください。

Entrust 証明書プロビジョニング1

ASDM には、ASA の一時的(テスト)またはディスカウントされた永続的 SSL ID 証明書を申し込む Entrust Web サイトへのリンクが含まれています。

ASDM で、[Configuration] > [Remote Access VPN] > [Certificate Management] > [Identity Certificates] を参照してください。 [Enroll ASA SSL VPN head-end with Entrust] をクリックします。

IKE 鍵の再生成におけるユーザ再認証の時間延長

フェーズ 1 SA 鍵の再生成において、リモート ユーザの認定証を入力するのに時間をさらに与えるようセキュリティ アプライアンスを設定できます。以前は、reauthenticate-on-rekey が IKE トンネルに設定され、フェーズ 1 鍵の再生成が行われた場合、ユーザはセキュリティ アプライアンスにより認証を求められ、その認定証の入力に約 2 分間しか与えられていませんでした。ユーザがそのウィンドウに 2 分以内に認定証を入力しないと、トンネルが終了します。新しい機能がイネーブルになったことで、トンネルがドロップする前に認定証を入力する時間に余裕ができました。総時間は、鍵の再生成が実際に行われる場合に確立中の新しい フェーズ 1 SA と期限が切れつつある古いフェーズ 1 SA 間の差分です。デフォルトのフェーズ 1 鍵の再生成時間が設定された状態では、差分は約 3 時間、または鍵の再生成間隔の約 15% です。

ASDM で、[Configuration] > [Device Management] > [Certificate Management] > [Identity Certificates] を参照してください。

永続的 IPsec トンネル フロー

永続的 IPsec トンネル フロー機能がイネーブルになっている場合、セキュリティ アプライアンスは、トンネルがドロップした後にステートフル(TCP)トンネル フローを維持および再開してから、回復します。トンネルがドロップすると他のすべてのフローはドロップするため、新しいトンネルが現れるときに再確立する必要があります。TCP フローを維持することで、一時的なトンネルのドロップを介して、旧型または機密のアプリケーションをいくつか動作させておくことができます。この機能は、ハードウェア クライアントからの IPsec LAN-to-LAN トンネルおよび Network Extension Mode トンネルをサポートします。IPsec または AnyConnect/SSL VPN リモート アクセス トンネルはサポートされていません。 [no] sysopt connection preserve-vpn-flows コマンドを参照してください。このオプションは、デフォルトでディセーブルになっています。

ASDM で、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [IPsec] > [System Options] を参照してください。 [Preserve stateful VPN flows when the tunnel drops for Network Extension Mode (NEM)] チェックボックスをオンにして、永続的 IPsec トンネル フローをイネーブルにします。

Active Directory
グループの表示

Active Directory グループをリストする CLI コマンド show ad-groups が追加されました。ASDM ダイナミック アクセス ポリシーではこのコマンドを使用して、VPN ポリシーの定義に使用できる MS AD グループのリストを管理者に提示します。

ASDM で、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] > [Add/Edit DAP] > [Add/Edit AAA Attribute] を参照してください。

Mac OS 上のスマート トンネル1

スマート トンネルが Mac OS でサポートされるようになりました。

ASDM で、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Smart Tunnels] を参照してください。

ファイアウォール機能

QoS トラフィック シェーピング

ファースト イーサネットを使用するセキュリティ アプライアンスのような、高速でパケットを送信するデバイスを使用しており、それがケーブル モデムなどの低速デバイスに接続されている場合は、このケーブル モデムにおいてパケットが頻繁にドロップされるようなボトルネックになります。回線速度が異なるネットワークを管理するには、比較的低速の固定された速度でパケットを送信するようにセキュリティ アプライアンスを設定できます。shape コマンドを参照してください。IPSec アンチ リプレイ ウィンドウ サイズを設定できる crypto ipsec security-association replay コマンドも参照してください。プライオリティ キューイングの 1 つの副作用は、パケットの並べ替えです。IPSec パケットでは、アンチ リプレイ ウィンドウ内にない異常なパケットが syslog の警告メッセージを生成します。これらの警告は、プライオリティ キューイングの場合は誤報です。この新しいコマンドにより、誤報アラームの可能性がなくなります。

ASDM で、[Configuration] > [Firewall] > [Security Policy] > [Service Policy Rules] > [Add/Edit Service Policy Rule] > [Rule Actions] > [QoS] を参照してください。トラフィック シェーピングにサポートされている唯一のトラフィック クラスは、すべてのトラフィックに一致する class-default である点に注意してください。

TCP 正規化拡張機能

あるパケット タイプに対して TCP 正規化処理を設定できるようになりました。以前は、これらの種類のパケットのデフォルト処理はパケットをドロップすることでした。TCP ノーマライザにパケットを許可するよう設定できるようになりました。

TCP による無効な ACK チェック(invalid-ack コマンド)

TCP パケット シーケンス過去ウィンドウ チェック(seq-past-window コマンド)

データ チェック機能搭載 TCP SYN-ACK (synack-data コマンド)

TCP 故障パケット バッファ タイムアウト(queue コマンド timeout キーワード)を設定することもできます。以前は、4 秒間でタイムアウトになりました。現在は、タイムアウトを別の値に設定できるようになりました。

MSS を超えるパケットのデフォルト処理はドロップから許可に変更されました(exceed-mss コマンド)。

次の設定可能でない処理は、これらのパケット タイプに対してドロップからクリアに変更されました。

TCP の不良オプション長

SYN 以外での TCP ウィンドウ スケール

不良 TCP ウィンドウ スケール値

不良 TCP SACK ALLOW オプション

ASDM で、[Configuration] > [Firewall] > [Objects] > [TCP Maps] を参照してください。

TCP 代行受信の
統計情報

threat-detection statistics tcp-intercept コマンドで TCP 代行受信統計情報の収集をイネーブルにし、 show threat-detection statistics コマンドでそれらを表示できます。

ASDM 6.1(5)以降で、[Configuration] > [Firewall] > [Threat Detection] を参照してください。このコマンドは ASDM 6.1(3)ではサポートされていませんでした。

脅威検出除外
タイムアウト

threat-detection scanning-threat shun duration コマンドを使用して脅威検出の除外タイムアウトが設定できるようになりました。

ASDM 6.1(5)以降で、[Configuration] > [Firewall] > [Threat Detection] を参照してください。このコマンドは ASDM 6.1(3)ではサポートされていませんでした。

SIP プロビジョナル メディアのタイムアウト

timeout sip-provisional-media コマンドを使用して、SIP プロビジョナル メディアのタイムアウトを設定できるようになりました。

ASDM で、[Configuration] > [Firewall] > [Advanced] > [Global Timeouts] を参照してください。

プラットフォーム機能

ASA 5505 のネイティブ VLAN サポート

switchport trunk native vlan コマンドを使用して、ASA 5505 トランク ポートにネイティブ VLAN を含めることができます。

』を参照してください。

2.この機能は、PIX セキュリティ アプライアンスではサポートされていません。

バージョン8.0(3)の新機能

表 3-6 にバージョン 8.0(3)の新機能のリストを示します。

 

表 3-6 ASA および PIX バージョン 8.0(3)の新機能

機能
説明

AnyConnect RSA SoftID API
統合

ユーザ トークン コードを取得するため、RSA SoftID と直接通信する AnyConnect VPN クライアントをサポートしています。また、接続プロファイル(トンネル グループ)の SoftID メッセージ サポートを指定する機能、およびセキュリティ アプライアンスで RADIUS プロキシ経由で受信した SDI メッセージと一致する SDI メッセージを設定する機能が提供されています。この機能により、リモート クライアント ユーザに表示されたプロンプトが認証中に必要な処理に適していることを確実にし、AnyConnect クライアントは認証確認に確実に応答します。

IP アドレス再使用遅延

IP アドレスが IP アドレス プールに戻された後のアドレスの再使用を遅らせます。遅延時間を長くすることによって、IP アドレスがアドレス プールに戻されてからすぐに再割り当てするとセキュリティ アプライアンスで発生する可能性がある問題を防止します。

ASDM で、[Configure] > [Remote Access VPN] > [Network (Client) Access] > [Address Assignment] > [Assignment Policy] を参照してください。

WAAS 検査

Wide Area Application Services(WAAS)の検査がサポートされました。WAAS により支社およびリモート オフィスでは、WAN サービスおよび MAN サービスに LAN 同様のアクセスができます。inspect waas コマンドを参照してください。

ASDM で、[Configuration] > [Firewall] > [Service Policy Rules] > [Add/Edit Service Policy Rule] > [Rule Actions] > [Protocol Inspection] を参照してください。

DNS Guard の機能拡張

DNS Guard をイネーブルまたはディセーブルにするオプションが追加されました。この機能がイネーブルにされている場合、DNS 要求から DNS 応答が 1 つだけ返されます。

ASDM で、[Configuration] > [Firewall] > [Objects] > [Inspect maps] > [DNS] を参照してください。

完全修飾ドメイン名サポートの
機能拡張

Fully Qualified Domain Name(FQDN; 完全修飾ドメイン名)または IP アドレスのいずれかを VPN ロード バランシング クラスタのクライアントに送信するオプションが redirect-fqdn コマンドに追加されました。

ASDM で、[Configuration] > [Device Management] >[High Availability] > [VPN Load Balancing or Configuration] > Remote Access VPN] > [Load Balancing] を参照してください。

クライアントレス SSL VPN Caching Static Content の
機能拡張

クライアントレス SSL VPN ユーザがスタティック コンテンツをキャッシュできる新しいコマンドが追加され、 cache-static-content がイネーブルにされています。

ASDM で、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Content Cache] を参照してください。

DHCP クライアントの機能拡張

DHCP クライアントに 2 つの項目が追加されました。最初のオプションでは DHCP Option 61 を設定して、MAC または「cisco-<MAC>-<インターフェイス>-<ホスト名>」という文字列のいずれかを送信します。ここで < > はクライアント ID として該当する値を表します。2 番目のオプションでは、DHCP 要求でブロードキャスト フラグがイネーブルになっている場合に、DHCP 検出のブロードキャスト フラグを設定またはクリアします。

ASDM で、[Configuration] > [Device Management] > [DHCP] > [DHCP Server] を参照し、[Advanced] ボタンをクリックします。

ASDM Banner

ASDM を開始すると、継続するか切断するか選択する新しいバナー テキストが、ダイアログボックスに表示されます。 banner asdm コマンドを参照してください。

ASDM で、[Configuration] > [Properties] > [Device Administration] > [Banner] を参照してください。

ESMTP の機能拡張

Transport Layer Security(TLS)上で動作する Extended Simple Mail Transfer Protocol(ESMTP)インスペクションのオプションが追加されました。

ASDM で、[Configuration] > [Firewall] > [Objects] > [Inspect Map] > [ESMTP] を参照してください。

スマート カード除去の機能拡張

VPN グループ ポリシーに、スマート カードが取り外されたときにトンネルを接続したままにするかどうか指定するオプションが追加されました。以前は、トンネルは常に切断された状態でした。 smartcard-removal-disconnect コマンド を参照してください。

ASDM で、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [Add/Edit Internal/External Group Policies] > [More Options] を参照してください。

バージョン8.0(2)の新機能

表 3-7 にバージョン 8.0(2)の新機能のリストを示します。


) ASA または PIX 8.0(1)リリースはありませんでした。


 

表 3-7 ASA および PIX バージョン 8.0(2)の新機能

ASA 機能タイプ
機能
説明
一般機能

ルーティング

EIGRP ルーティング

セキュリティ アプライアンスでは EIGRP または EIGRP スタブ ルーティングがサポートされています。

ハイ アベイラビリティ

フェールオーバー ペアでのリモート コマンド実行

ピアに直接接続しなくても、フェールオーバー ペアのピア装置でコマンドを実行できます。これは Active/Standby フェールオーバーおよび Active/Active フェールオーバーの両方で動作します。

CSM コンフィギュレーション ロールバック サポート

フェールオーバー コンフィギュレーションで、Cisco Security Manager コンフィギュレーション ロールバック機能がサポートされています。

フェールオーバー ペア Auto Update サポート

Auto Update サーバを使用して、フェールオーバー ペアでプラットフォーム イメージとコンフィギュレーションを更新できます。

SIP シグナリングのステートフル フェールオーバー

SIP メディア接続およびシグナリング接続はスタンバイ装置に複製されています。

冗長インターフェイス

論理冗長インターフェイスは、アクティブとスタンバイからなる物理インターフェイスのペアです。アクティブ インターフェイスに障害が発生すると、スタンバイ インターフェイスがアクティブになり、トラフィックの受け渡しを開始します。冗長インターフェイスを設定してセキュリティ アプライアンスの信頼性を高めることができます。この機能は、デバイスレベルのフェールオーバーとは別個のものですが、必要であればフェールオーバーと共に冗長インターフェイスも設定できます。最大 8 個の冗長インターフェイス ペアを設定できます。

SSM

パスワード リセット

SSM ハードウェア モジュールのパスワードをリセットできます。

VPN 機能3

認証の機能拡張

証明書とユーザ名およびパスワードを組み合せたログイン

管理者には、SSL VPN 接続へのログインに、証明書に加えてユーザ名とパスワードが必要です。

内部ドメイン ユーザ名およびパスワード

たとえば、ワンタイム パスワードなど、ドメイン ユーザ名とパスワード以外の認定証でログインするユーザの内部リソースにアクセスできるパスワードを提供します。これは、ログイン時にユーザが入力するパスワードとは別のパスワードです。

汎用 LDAP サポート

これには OpenLDAP および Novell LDAP があります。認証と認可に使用できる LDAP サポートを拡張します。

Onscreen Keyboard

セキュリティ アプライアンスには、ログイン ページおよび内部リソースに対する以降の認証要求のための Onscreen Keyboard オプションが含まれています。物理的なキーボードに文字を入力するのではなく、ユーザに認証時にマウスで画面上のキーボードの文字をクリックさせることで、ソフトウェアを使用したキーストローク ログ機能に対する保護が強化されます。

認証の機能拡張(続き)

RSA Access Manager で検証された SAML SSO

セキュリティ アプライアンスでは、RSA Access Manager(Cleartrust and Federated Identity Manager)を備えたシングル サインオン(SSO)用の Security Assertion Markup Language(SAML)プロトコルがサポートされています。

NTLMv2

Version 8.0(2)では、Windows ベース クライアントに NTLMv2 認証がサポートされています。

証明書

ローカル認証局

ブラウザベースおよびクライアントベースの両方の SSL VPN 接続で使用する認証局をセキュリティ アプライアンスで提供します。

OCSP CRL

SSL VPN の OCSP 失効チェックを行います。

Cisco Secure Desktop

Host Scan

Cisco AnyConnect 接続およびクライアントレス SSL VPN 接続を確立するために必要な処理として、リモート コンピュータでは、大幅に拡張されたアンチウイルス アプリケーションおよびアンチスパイウェア アプリケーション、ファイアウォール、オペレーティング システム、および関連するアップデートのスキャンが実行されます。また、指定したレジストリ エントリ、ファイル名、およびプロセス名のスキャンも行われます。スキャン結果はセキュリティ アプライアンスに送信されます。セキュリティ アプライアンスでは、ユーザのログイン クレデンシャルおよびスキャンの結果に基づいて、ダイナミック アクセス ポリシー(DAP)が割り当てられます。

Advanced Endpoint Assessment ライセンスを使用すると、要件に不備があるコンピュータがバージョン要件に即してアップデートされるよう設定することで、Host Scan 機能を拡張できます。

シスコでは、Host Scan がサポートしているアプリケーションおよびバージョンのリストを適時アップデートするための機能を、Cisco Secure Desktop とは独立したパッケージで提供しています。

ログイン前評価と定期チェックの簡略化

Cisco Secure Desktop により、ログイン前のコンフィギュレーションと定期チェックがリモート Microsoft Windows コンピュータで実行できるよう簡素化されました。Cisco Secure Desktop により、チェックを簡素化し、グラフィカルに表示したエンドポイント チェック基準の条件を追加、変更、削除、およびインポートできます。このグラフィカル表示を使用して一連のチェックを設定し、それらを支店にリンクさせ、ログインを拒否し、エンドポイント プロファイルを割り当てながら、Cisco Secure Desktop Manager により変更が XML ファイルに記録されます。戻された結果を、接続タイプ設定や複数グループ設定など、多数の他のタイプのデータと組み合せて使用するようセキュリティ アプライアンスを設定し、DAP を生成して、セッションに適用できます。

アクセス ポリシー

ダイナミック アクセス ポリシー(DAP)

VPN ゲートウェイは、ダイナミックな環境で動作します。各 VPN 接続は、頻繁に変更されるイントラネット コンフィギュレーション、組織内で各ユーザが所属するさまざまな役割、コンフィギュレーションとセキュリティ レベルが異なる遠隔地のアクセス サイトからのログインなど、複数の変数の影響を受ける可能性があります。VPN 環境での認可ユーザのタスクは、スタティック コンフィギュレーションのネットワークで作業するユーザのタスクよりもかなり複雑です。

セキュリティ アプライアンスでのダイナミック アクセス ポリシー(DAP)により、これらの多くの変数に対処する認可機能を設定できます。ダイナミック アクセス ポリシーは、特定のユーザ トンネルまたはユーザ セッションと関連付けるアクセス コントロール アトリビュートの集合を設定することによって作成します。これらのアトリビュートにより、複数のグループ メンバーシップやエンドポイント セキュリティの問題に対処します。つまりセキュリティ アプライアンスは、定義されるポリシーに基づいて特定のセッションの特定のユーザにアクセス権を付与します。セキュリティ アプライアンスは、ユーザが接続するときに、1 つ以上の DAP レコードからアトリビュートを選択または集約することによって DAP を生成します。DAP レコードは、リモート デバイスのエンドポイント セキュリティ情報および認証されたユーザの AAA 認可情報に基づいて選択されます。選択された DAP レコードは、ユーザ トンネルまたはセッションに適用されます。

管理者の区別

RADIUS または LDAP いずれかの同じデータベースに存在する通常のリモート アクセス ユーザと管理ユーザを区別できます。さまざまな方法(TELNET および SSH など)でコンソールへのアクセスを作成し、管理者だけにアクセスを制限できます。これは IETF RADIUS service-type アトリビュートに基づいてます。

プラットフォームの機能拡張

リモート アクセス VPN 接続をサポートする VLAN

グループ レベルまたはユーザ レベルでのクライアント トラフィックのマッピング(タギング)をサポートしています。この機能は、IPsec 接続および SSL トンネルベース接続だけでなく、クライアントレス接続と互換性があります。

ASA 5510 に対する VPN ロード バランシング

Security Plus ライセンスがある ASA 5510 適応型セキュリティ アプライアンスへのロード バランシング サポートが拡張されています。

暗号条件付きデバッグ

ユーザは、ピア IP アドレス、暗号エンジンの接続 ID、Security Parameter Index (SPI; セキュリティ パラメータ インデックス)など、事前に定義された暗号条件に基づいて、IPsec トンネルをデバッグできます。デバッグ メッセージを特定の IPSec 操作に限定し、デバッグ出力の量を減らすことで、多数のトンネルを持つセキュリティ アプライアンスのトラブルシューティングが容易になります。

ブラウザベース SSL VPN 機能

機能強化されたポータル設計

Version 8.0(2)には、より明確に編成され、視覚的に魅力的な拡張エンド ユーザ インターフェイスが含まれています。

カスタマイゼーション

すべてのユーザに見えるコンテンツのカスタマイゼーションを管理者が定義します。

FTP のサポート

CIFS(Windows ベース)に加えて、FTP 経由でファイルにアクセスできます。

ブラウザベース SSL VPN 機能(続き)

プラグイン アプレット

Version 8.0(2)では、プレインストールされたクライアント アプリケーションを必要とせずに、TCP ベース アプリケーションをサポートするフレームワークが追加されています。Java アプレットにより、ユーザはブラウザ対応の SSL VPN ポータルからこれらのアプリケーションにアクセスできます。まず、TELNET、SSH、RDP、および VNC に対してサポートされています。

スマート トンネル

スマート トンネルは、セキュリティ アプライアンスでブラウザベース SSL VPN セッションをパスウェイとして使用するアプリケーションとリモート サイト間の接続です。Version 8.0(2)により、スマート トンネル アクセスを許可するアプリケーションを識別し、アプリケーションへのパスとそのチェックサムの SHA-1 ハッシュを指定し、アクセス権を付与する前にチェックできます。Lotus SameTime、および Microsoft Outlook Express は、スマート トンネル アクセスを許可できるアプリケーションの例です。

スマート トンネル接続を発信するリモート ホストは、Microsoft Windows Vista、Windows XP、または Windows 2000 を実行している必要があり、ブラウザでは Java、Microsoft ActiveX、またはその両方がイネーブルになっていなければなりません。

RSS ニュースフィード

管理者は、クライアントレス ポータルに RSS ニュースフィード情報を入力できます。これにより、会社のニュースや他の情報がユーザ画面に表示されます。

パーソナル ブックマーク サポート

ユーザは自分自身のブックマークを定義できます。これらのブックマークは、ファイル サーバに保存されています。

変換の機能拡張

Adobe flash および Java WebStart などさまざまな複雑な形式の Web コンテンツがクライアントレス接続でサポートされます。

IPv6

パブリック IPv4 接続上で IPv6 リソースにアクセスできます。

Web フォルダ

Windows オペレーティング システムから接続しているブラウザベース SSL VPN ユーザは、共有ファイル システムを参照し、フォルダの表示、フォルダおよびファイル プロパティの表示、作成、移動、コピー、ローカル ホストからリモート ホストへのコピー、および削除などの操作を実行できます。Internet Explorer により、いつ Web フォルダが使用できるか指示されます。このフォルダにアクセスすると別のウィンドウが開き、共有フォルダが表示されます。このフォルダでユーザは、フォルダのプロパティとドキュメントにより許可されると想定して、Web フォルダ機能を実行できます。

Microsoft Sharepoint の機能拡張

マシン上でブラウザで使用できる Microsoft Office アプリケーションを統合し、サーバで共有されたドキュメントの表示、変更、および保存をする Microsoft Sharepoint の Web Access サポートを拡張します。Version 8.0(2)では、Windows Server 2003 で Windows Sharepoint Services 2.0 がサポートされています。

HTTP Proxy

PAC サポート

プロキシ 自動コンフィギュレーション ファイル(PAC)の URL を指定して、ブラウザにダウンロードできます。一度ダウンロードされると、PAC ファイルでは、JavaScript 関数を使用して各 URL のプロキシを識別します。

HTTPS Proxy

プロキシ除外リスト

セキュリティ アプライアンスが外部プロキシ サーバに送信できる HTTP 要求から除外する URL のリストを設定できます。

NAC

SSL VPN トンネル サポート

セキュリティ アプライアンスでは、AnyConnect VPN クライアント セッションを確立するエンドポイントの NAC ポスチャが検証されます。

監査サービスのサポート

クライアントがポスチャ検証要求に応答しない場合にはクライアントの IP アドレスをオプションの監査サーバに渡すように、セキュリティ アプライアンスを設定できます。監査サーバは、ホストの IP アドレスを使用してチャレンジを直接ホストに送信し、そのヘルスを評価します。たとえば、ホストにチャレンジを送信して、ウイルス チェック ソフトウェアがアクティブで最新の状態になっているかどうかを判断します。監査サーバは、リモート ホストとの相互通信を完了すると、トークンをポスチャ検証サーバに渡し、リモート ホストのヘルスを示します。トークンが、リモート ホストが正常に動作していることを示している場合、ポスチャ検証サーバから、アプリケーションのセキュリティ アプライアンスに対するネットワーク アクセス ポリシーがトンネルのトラフィックに送信されます。

ファイアウォール機能

アプリケーション インスペクション

モジュラ ポリシー フレームワーク インスペクション クラス マップ

トラフィックでは、インスペクション クラス マップの複数の照合コマンドのいずれか 1 つを照合できます。これまでは、クラス マップを照合するには、トラフィックではクラス マップのすべての照合コマンドを照合する必要がありました。

暗号化ストリームの AIC および AIC Arch 変更

TLS に対して HTTP インスペクションを行い、これにより WebVPN HTTP ストリームおよび HTTPS ストリームで AIC/MPF インスペクションが可能になります。

SCCP および SIP の TLS Proxy4

暗号化トラフィック インスペクションがイネーブルにされます。実装にはCisco CallManager と対話する SSL 暗号化 VoIP シグナリング(Skinny および SIP)があります。

CCM の SIP 機能拡張

シグナリング ピンホールについて、CCM 5.0 および 6.x との相互運用性が改善されます。

フル RTSP PAT サポート

TCP セグメント リアセンブリ サポート、RTSP のスケーラブルな解析ルーチン、および RTSP トラフィックを保護するセキュリティ機能強化を提供します。

アクセス リスト

拡張サービス オブジェクト グループ

TCP サービス、UDP サービス、ICMP タイプ サービス、および任意のプロトコルが混在しているサービス オブジェクト グループを設定できます。これにより、特定の ICMP タイプ オブジェクト グループおよびプロトコル オブジェクト グループが必要なくなります。また、拡張サービス オブジェクト グループは、発信元サービスおよび宛先サービスの両方を指定します。アクセス リスト CLI でこの動作がサポートされるようになりました。

アクセス リストの名前変更機能

アクセス リストの名前を変更できます。

ライブ アクセス リスト ヒット数

複数のアクセス リストからの ACE のヒット数が含まれます。ヒット数値は、トラフィックが特定のアクセス ルールにヒットする回数を表します。

攻撃からの防御

適応型セキュリティ アプライアンスへの管理トラフィックの接続制限値の設定

レイヤ 3/4 管理クラス マップについては、 set connection コマンドを指定できます。

脅威の検出

基本脅威検出およびスキャン脅威検出をイネーブルにして、DoS 攻撃やスキャン攻撃などの攻撃を監視できます。スキャン攻撃については、攻撃しているホストを自動的に除外できます。また、スキャン攻撃の統計情報をイネーブルにして、ホスト、ポート、プロトコル、およびアクセス リストの有効および無効なトラフィックを監視できます。

NAT

トランスペアレント
ファイアウォール NAT サポート

トランスペアレント ファイアウォールに対して NAT を設定できます。

IPS

AIP SSM を備えた仮想 IPS センサー

IPS ソフトウェア バージョン 6.0 以降を実行している AIP SSM は、複数の仮想センサーを実行できます。これは、AIP SSM に複数のセキュリティ ポリシーを設定できるということです。各コンテンツまたはシングル モードの適応型セキュリティ アプライアンスを 1 つ以上の仮想センサーに割り当てられます。または、複数のセキュリティ コンテキストを同一仮想センサーに割り当てられます。サポートされる最大センサー数を含む、仮想センサーの詳細については、IPS のマニュアルを参照してください。

ロギング

セキュア ロギング

TCP による SSL または TLS、および暗号化されたシステム ログ メッセージの内容を使用して syslog サーバへのセキュアな接続をイネーブルにできます。PIX シリーズの適応型セキュリティ アプライアンスではサポートされていません。

IPv6

SIP の IPv6 サポート

SIP インスペクション エンジンでは、IPv6 アドレスがサポートされています。IPv6 アドレスは URL、Via フィールド、および SDP フィールドで使用できます。

3.クライアントレス SSL VPN 機能は、PIX セキュリティ アプライアンスではサポートされていません。

4.TLS Proxy は、PIX セキュリティ アプライアンスではサポートされていません。

ファイアウォール機能の概要

ファイアウォールは、外部ネットワークのユーザによる不正アクセスから内部ネットワークを保護します。ファイアウォールは、人材ネットワークとユーザ ネットワークを区別しておくなど、内部ネットワークを互いに保護することもできます。Web や FTP サーバなど外部ユーザが使用できる必要があるネットワーク リソースがある場合、これらのリソースを Demilitarized Zone (DMZ; 非武装地帯)と呼ばれるファイアウォール背後の別のネットワークに配置できます。ファイアウォールにより DMZ へのアクセスは制限されますが、DMZ には公開サーバしかないため、攻撃されてもサーバだけしか影響を受けず、他の内部ネットワークには影響を与えません。あるアドレスだけを除外したり、認証や認可を求めたり、外部 URL フィルタリング サーバで調整して、内部ユーザが外部ネットワークにいつアクセスできるか(たとえば、インターネットへのアクセス)を制御することもできます。

ファイアウォールに接続されたネットワークについて言えば、 外部 ネットワークがファイアウォールの前に位置し、 内部 ネットワークがファイアウォールの背後で保護され、ファイアウォールの背後にある DMZ により外部ユーザへのアクセスが制限されます。セキュリティ アプライアンスにより、多数の内部インターフェイス、多数の DMZ、必要な場合は多数の外部インターフェイスなど、さまざまなセキュリティ ポリシーを持つ多数のインターフェイスを設定できるため、これらの用語は一般的な意味でだけ使用されます。

この項は、次の内容で構成されています。

「公開サーバの設定」

「セキュリティ ポリシーの概要」

「ファイアウォール モードの概要」

「ステートフル インスペクションの概要」

公開サーバの設定

この項では、公開サーバを設定する方法について説明します。説明する内容は次のとおりです。

「公開サーバの概要」

「公開サーバの追加」

「公開サーバの編集」

公開サーバの概要

ファイアウォールの基本機能の 1 つとして外部ネットワークのユーザによる不正アクセスから内部ネットワークを保護したり、内部ネットワークを互いに保護することがありますが、この機能では複数のコンフィギュレーションが必要です。つまり DMZ インターフェイス内で、ACL リストやルール、NAT/PAT ルールを作成し、アプリケーション検査を行います。

ASDM では [Configuration] > [Firewall] > [Public Servers] ペインで [Public Servers] ペインが表示されているため、管理者は内部および外部ユーザがアクセスできるさまざまなアプリケーション サーバを公開できます。このペインが選択されると、公開サーバのリスト、 内部アドレスおよび外部アドレス、内部または外部アドレスで適用されるインターフェイス、および公開されるサービスが表示されます。

このペインで、既存の公開サーバを追加、編集、削除、または変更できます。

フィールド

[Add]:公開サーバを追加します。

[Edit]:公開サーバ グループを編集します。

[Delete]:指定した公開サーバを削除します。

[Apply]:行われた変更内容を適用します。

[Reset]:セキュリティ アプライアンスを以前のコンフィギュレーションにリセットします。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

公開サーバの追加

公開サーバを追加するには、次の手順を実行します。


) STATIC PAT は公開サーバではサポートされていません。



ステップ 1 [Configuration] > [Firewall] > [Public Servers] ペインで、 [Add] をクリックして新しいサーバを追加します。

[Add Public Server] ダイアログボックスが表示されます。

ステップ 2 [Private Interface]、[Private IP Address]、[Service]、[Public Interface]、および [Public IP Address] に値を入力します。

[Private Interface]:ドロップダウン メニューを使用してプライベート インターフェイスの名前を選択するか、フィールドに名前を入力します。

[Private IP Address]:[Private IP Address] フィールドの隣にある [...] ブラウザ ボタンをクリックし、プライベート IP アドレス を選択します。[Browse Private IP Address] ダイアログボックスが表示されます。

[Filter]:[Filter] フィールドに名前またはプライベート IP アドレスを入力し、[Filter] をクリックします。ワイルドカード文字としてアスタリスク(*)や疑問符(?)を使用できます。入力した名前を削除するには、[Clear] をクリックするか、[Add] をクリックします。[Add Network Object] ダイアログボックスが表示されます。

ステップ 3 [Add Network Object] ダイアログボックスに次の値を入力します。

[Name]:(オプション)オブジェクト名。使用できる文字は、a ~ z、A ~ Z、0 ~ 9、ドット(.)、ダッシュ(-)、およびアンダースコア(_)です。64 文字以内で指定します。

[IP Address]:IP アドレス(ホスト アドレス)。

[Netmask]:IP アドレスのサブネット マスク。

[Description]:(オプション)ネットワーク オブジェクトの説明。

ステップ 4 [OK] をクリックします。

これでルールの作成時にこのネットワーク オブジェクトを使用できます。編集したオブジェクトの場合、変更内容は自動的にそのオブジェクトを使用するすべてのルールに継承されます。


) 使用中のネットワーク オブジェクトは削除できません。


ステップ 5 [Service]:外部に公開されているサービス。現在定義されているサービスまたは作成されたサービス グループを選択できます。各種ポートから複数のサービスを外部に開くことができます。

[Service Address] フィールドの隣にある [...] ブラウザ ボタンをクリックし、サービスを選択します。[Browse Service] ダイアログボックスが表示されます。

[Browse Service Groups] ダイアログボックスでは、サービス グループを選択できます。このダイアログボックスはさまざまなコンフィギュレーション ウィンドウで使用され、その時のタスクに該当する名前で表示されます。

ステップ 6 [Browse Service Groups] ダイアログボックスで、メイン メニューから [Service] を選択し、[OK] をクリックします。次の値を入力します。

[Public Interface]:ドロップダウン メニューを使用してパブリック インターフェイスの名前を選択するか、フィールドに名前を入力します。

[Public IP Address]:サーバの外部から見えるアドレス。IPv6 がイネーブルにされている場合、IPv6 アドレスのリストがこのリストから見えます。
[Public IP Address] フィールドの隣にある [...] ブラウザ ボタンをクリックし、パブリック IP アドレスを選択します。[Browse Public IP Address] ダイアログボックスが表示されます。

ステップ 7 [Filter] フィールドに名前またはパブリック IP アドレスを入力し、[Filter] をクリックします。ワイルドカード文字としてアスタリスク(*)や疑問符(?)を使用できます。入力した名前を削除するには、[Clear] をクリックするか、[Add] をクリックします。[Add Network Object] ダイアログボックスが表示されます。

ステップ 8 [Add Network Object] ダイアログから次の値を入力します。

[Name]:(オプション)オブジェクト名。使用できる文字は、a ~ z、A ~ Z、0 ~ 9、ドット(.)、ダッシュ(-)、およびアンダースコア(_)です。64 文字以内で指定します。

[IP Address]:IP アドレス(ホスト アドレス)。

[Netmask]:IP アドレスのサブネット マスク。

[Description]:(オプション)ネットワーク オブジェクトの説明。

ステップ 9 [OK] をクリックします。

これでルールの作成時にこのネットワーク オブジェクトを使用できます。編集したオブジェクトの場合、変更内容は自動的にそのオブジェクトを使用するすべてのルールに継承されます。


) 公開サーバのルールは、アクセス リストで network-object グループ メンバーとして使用されているホスト アドレスには該当しません。
たとえば、次のようになります。
# object-group network k1
# network-object 10.16.1.1 255.255.255.255
# access-list outside_access_in permit tcp any object-group k1
# access-group outside_access_in in interface outside
# static (inside,outside) 192.168.1.1 10.16.1.1 netmask 255.255.255.255


公開サーバの編集

公開サーバを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [Public Servers] ペインで、 [Edit] をクリックしてオブジェクトを編集するか、既存の公開サーバを選択して、 [Edit] をクリックします。

[Edit Public Server] ダイアログボックスが表示されます。

ステップ 2 次の手順を実行して、[Inside Interface]、[Inside Address]、[Service]、[Outside Interface]、[Outside Address] の値を入力します。

[Private Interface]:現在定義されている内部インターフェイスをリストに表示し、サーバが配置されているインターフェイスを提供します。
プルダウン メニューを使用して、インターフェイスの名前を選択するか、フィールドに名前を入力します。

[Private IP Address]:サーバの外部から見えるアドレス。IPv6 がイネーブルにされている場合、IPv6 アドレスのリストがこのリストから見えます。[Private IP Address] フィールドの隣にある [...] ブラウザ ボタンをクリックし、プライベート IP アドレスを選択します。[Browse Private IP Address] ダイアログボックスが表示されます。

[Filter] :[Filter] フィールドに名前または内部 IP アドレスを入力し、[Filter] をクリックします。ワイルドカード文字としてアスタリスク(*)や疑問符(?)を使用できます。入力した名前を削除するには、[Clear] をクリックするか、[Add] をクリックします。[Add Network Object] ダイアログボックスが表示されます。

ステップ 3 [Add Network Object] ダイアログから次の値を入力します。

[Name]:(オプション)オブジェクト名。使用できる文字は、a ~ z、A ~ Z、0 ~ 9、ドット(.)、ダッシュ(-)、およびアンダースコア(_)です。64 文字以内で指定します。

[IP Address]:IP アドレス(ホスト アドレス)。

[Netmask]:IP アドレスのサブネット マスク。

[Description]:(オプション)ネットワーク オブジェクトの説明。

ステップ 4 [OK] をクリックします。

これでルールの作成時にこのネットワーク オブジェクトを使用できます。編集したオブジェクトの場合、変更内容は自動的にそのオブジェクトを使用するすべてのルールに継承されます。


) 使用中のネットワーク オブジェクトは削除できません。


ステップ 5 [Service]:外部に公開されているサービス。現在定義されているサービスまたは作成されたサービス グループを選択できます。各種ポートから複数のサービスを外部に開くことができます。

[Service Address] フィールドの隣にある [...] ブラウザ ボタンをクリックし、サービスを選択します。
[Browse Service] ダイアログボックスが表示されます。

[Browse Service Groups] ダイアログボックスでは、サービス グループを選択できます。このダイアログボックスはさまざまなコンフィギュレーション画面で使用され、その時のタスクに該当する名前で表示されます。

ステップ 6 [Browse Service Groups] ダイアログボックスで、メイン メニューから [Service] を選択し、[OK] をクリックします。

[Public Interface]:現在定義されているインターフェイスを表示するドロップダウン リストにより、どのインターフェイスがサーバにアクセスできるか指定できます。

プルダウン メニューを使用して、外部インターフェイスの名前を選択するか、フィールドに名前を入力します。

[Public IP Address]:[Public IP Address] フィールドの隣にある [...] ブラウザ ボタンをクリックし、外部 IP アドレス を選択します。[Browse IP Address] ダイアログボックスが表示されます。

[Filter]:[Filter] フィールドに名前または IP アドレスを入力し、[Filter] をクリックします。ワイルドカード文字としてアスタリスク(*)や疑問符(?)を使用できます。入力した名前を削除するには、[Clear] をクリックするか、[Add] をクリックします。[Add Network Object] ダイアログボックスが表示されます。

ステップ 7 [Add Network Object] ダイアログから次の値を入力します。

[Name]:(オプション)オブジェクト名。使用できる文字は、a ~ z、A ~ Z、0 ~ 9、ドット(.)、ダッシュ(-)、およびアンダースコア(_)です。64 文字以内で指定します。

[IP Address]:IP アドレス(ホスト アドレス)。

[Netmask]:IP アドレスのサブネット マスク。

[Description]:(オプション)ネットワーク オブジェクトの説明。

ステップ 8 [OK] をクリックします。

これでルールの作成時にこのネットワーク オブジェクトを使用できます。編集したオブジェクトの場合、変更内容は自動的にそのオブジェクトを使用するすべてのルールに継承されます。


 

セキュリティ ポリシーの概要

セキュリティ ポリシーにより、どのトラフィックがファイアウォールを通過して別のネットワークにアクセスできるか決定されます。デフォルトでは、セキュリティ アプライアンスによりトラフィックは、(セキュリティ レベルが高い)内部ネットワークから(セキュリティ レベルが低い)外部ネットワークへと自由に流れることができます。トラフィックに処理を適用して、セキュリティ ポリシーをカスタマイズできます。この項は、次の内容で構成されています。

「アクセス リストによるトラフィックの許可または拒否」

「NAT の適用」

「IP フラグメントからの保護」

「通過トラフィックへの AAA の使用」

「HTTP、HTTPS、または FTP フィルタリングの適用」

「アプリケーション インスペクションの適用」

「Advanced Inspection and Prevention Security Services モジュールへのトラフィックの送信」

「Content Security and Control Security Services モジュールへのトラフィックの送信」

「QoS ポリシーの適用」

「接続制限の適用と TCP 正規化」

アクセス リストによるトラフィックの許可または拒否

内部から外部へトラフィックを制限したり、外部から内部へトラフィックを許可する場合にアクセス リストを適用できます。トランスペアレント ファイアウォール モードでは、非 IP トラフィックを許可するための EtherType アクセスリストも適用できます。

NAT の適用

NAT には次のような利点があります。

内部ネットワークでプライベート アドレスを使用できます。プライベート アドレスは、インターネットにルーティングできません。

NAT はローカル アドレスを他のネットワークから隠蔽するため、攻撃者はホストの実際のアドレスを知ることができません。

NAT は、重複 IP アドレスをサポートすることで IP ルーティングの問題を解決できます。

IP フラグメントからの保護

セキュリティ アプライアンスでは、IP フラグメントが保護されます。この機能は、すべての ICMP エラー メッセージのフル リアセンブリおよびセキュリティ アプライアンスを経由した残りの IP フラグメントの仮想リアセンブリを行います。セキュリティ チェックに失敗したフラグメントはドロップされ、ログに記録されます。仮想リアセンブリは、ディセーブルにできません。

通過トラフィックへの AAA の使用

たとえば、HTTP などあるタイプのトラフィックには認証または認可が必要な場合があります。セキュリティ アプライアンスは、RADIUS サーバまたは TACACS+ サーバにアカウンティング情報を送信することもあります。

HTTP、HTTPS、または FTP フィルタリングの適用

アクセス リストを使用して特定の Web サイトまたは FTP サーバへのアウトバウンド アクセスを防ぐことができますが、インターネットのサイズおよびダイナミックな性質を考えると、Web 使用状況をこのように設定および管理するのは現実ではありません。セキュリティ アプライアンスを次に示すインターネット フィルタリング製品のいずれかを実行している個別サーバと組み合せて使用することをお勧めします。

Websense Enterprise

Secure Computing SmartFilter

アプリケーション インスペクションの適用

インスペクション エンジンは、ユーザのデータ パケット内に IP アドレッシング情報を埋め込むサービスや、ダイナミックに割り当てられるポート上でセカンダリ チャネルを開くサービスに必要です。これらのプロトコルでは、セキュリティ アプライアンスが詳細なパケット インスペクションを行うことが必要です。

Advanced Inspection and Prevention Security Services モジュールへのトラフィックの送信

侵入防御のため、ご使用のモデルで AIP SSM がサポートされている場合、検査のためにトラフィックを AIP SSM に送信できます。AIP SSM は、拡張埋め込み型シグニチャ ライブラリに基づき異常や誤使用を検索することで、ネットワーク トラフィックをリアルタイムに監視して分析する、侵入防御サービス モジュールです。不正なアクティビティが検出されると、特定の接続を終了させ、攻撃しているホストを永続的にブロックし、インシデントをログに記録して、デバイス マネージャに警報を送信できます。その他の正当な接続は中断せずに、個別に動作を続けます。詳細については、『 Configuring the Cisco Intrusion Prevention System Sensor Using the Command Line Interface 』を参照してください。

Content Security and Control Security Services モジュールへのトラフィックの送信

ご使用のモデルでサポートされている場合、CSC SSM により、ウイルス、スパイウェア、スパム、およびその他の不要トラフィックから保護されます。これは、FTP、HTTP、POP3、および SMTP トラフィックをスキャンすることで実現されます。そのためには、これらのトラフィックを CSC SSM に送信するようにセキュリティ アプライアンスを設定しておきます。

QoS ポリシーの適用

ネットワーク トラフィックの中には、音声やストリーミング ビデオなど、長い遅延時間が許容されないものがあります。QoS は、これらのタイプのトラフィックを優先させるネットワーク機能です。QoS は、選択したネットワーク トラフィックに優れたサービスを提供するネットワークの機能を指します。

接続制限の適用と TCP 正規化

TCP 接続、UDP 接続、および初期接続を制限できます。接続と初期接続の数を制限することで、DoS 攻撃(サービス拒絶攻撃)から保護されます。セキュリティ アプライアンスでは、初期接続の制限を利用して TCP 代行受信を発生させます。代行受信によって、TCP SYN パケットを使用してインターフェイスをフラッディングする DoS 攻撃から内部システムを保護します。初期接続とは、送信元と宛先の間で必要になるハンドシェイクを完了していない接続要求のことです。

TCP 正規化は、正常に見えないパケットをドロップするよう設計された、高度なTCP 接続設定で構成される機能です。

脅威検出のイネーブル化

スキャン脅威検出と基本脅威検出を設定でき、脅威を分析するための統計情報の使用方法についても設定できます。

基本脅威検出では、DoS 攻撃など攻撃に関連したアクティビティが検出され、自動的にシステム ログ メッセージに送信されます。

典型的なスキャン攻撃は、サブネット内のすべての IP アドレスにアクセスできるかどうかを試す(サブネット内の複数のホストを順にすべてスキャンするか、1 つのホストまたはサブネットの複数のポートを順にすべてスイープする)ホストから行われます。スキャン脅威検出機能は、いつホストがスキャンを実行するかを判定します。トラフィック シグニチャに基づく IPS スキャン検出とは異なり、セキュリティ アプライアンスのスキャン脅威検出機能では、スキャン アクティビティがあるかどうかの分析に使用可能なホストの統計情報が含まれる広範なデータベースが維持されます。

ホスト データベースは、リターン アクティビティのない接続、閉じているサービス ポートへのアクセス、脆弱な TCP の動作(ランダムではない IPID など)など、多くの疑わしい動作を追跡します。

攻撃者に関するシステム ログ メッセージを送信するようにセキュリティ アプライアンスを設定できます。または自動的にホストを除外できます。

ファイアウォール モードの概要

セキュリティ アプライアンスは、次の 2 種類のファイアウォール モードで動作します。

ルーテッド

トランスペアレント

ルーテッド モードでは、セキュリティ アプライアンスはネットワーク内のルータ ホップと見なされます。

トランスペアレント モードでは、セキュリティ アプライアンスは「bump-in-the-wire(BITW)」または「ステルス ファイアウォール」のように動作し、ルータ ホップとは見なされていません。セキュリティ アプライアンスでは、内部インターフェイスと外部インターフェイスに同じネットワークが接続されます。

ネットワーク コンフィギュレーションを簡素化するためにトランスペアレント ファイアウォールを使用する場合があります。ファイアウォールを攻撃者に見えないようにする場合も、トランスペアレント モードは便利です。ルーテッド モードではブロックされてしまうようなトラフィックにトランスペアレント ファイアウォールを使用することもできます。たとえば、トランスペアレント ファイアウォールにより EtherType アクセス リストを使用して、マルチキャスト ストリームが可能になります。

ステートフル インスペクションの概要

セキュリティ アプライアンスを通過するすべてのトラフィックはアダプティブ セキュリティ アルゴリズムを使用して検査され、通過を許可されるかドロップされます。単純なパケット フィルタで送信元アドレス、宛先アドレス、およびポートが正しいかチェックできますが、パケット シーケンスまたはフラグが正しいかどうかはチェックされません。フィルタによりフィルタに対してあらゆるパケットもチェックされますが、プロセスが遅い場合があります。

しかし、セキュリティ アプライアンスなどのステートフル ファイアウォールでは、次のようにパケットの状態が考慮されます。

この接続は新しいか。

新しい接続の場合、セキュリティ アプライアンスではアクセス リストに対してパケットをチェックする必要があり、パケットを許可するか拒否するか判断するために他のタスクを行います。このチェックを行うため、セッションの最初のパケットは「セッション管理パス」を通過し、トラフィックのタイプによっては、「コントロール プレーン パス」を通過する場合もあります。

セッション管理パスは、次のタスクを行います。

アクセス リストのチェック

ルート ルックアップの実行

NAT 変換(xlates)の割り当て

「高速 パス」でのセッションの確立


) セッション管理パスと高速パスで「アクセレレーテッド セキュリティ パス」が構成されます。


(パケット ペイロードを検査または変更する必要がある)レイヤ 7 インスペクションが必要な一部のパケットが、コントロール プレーン パスに渡されます。レイヤ 7 インスペクション エンジンは、ウェルノウン ポート番号を使用するデータ チャネルとセッションごとに異なるポート番号を使用するコントロール チャネルなど、2 つ以上のチャネルを持つプロトコルに必要です。これらのプロトコルとして FTP、H.323、および SNMP があります。

この接続は確立されているか。

すでに接続が確立されている場合、セキュリティ アプライアンスではパケットを再チェックする必要はありません。最も一致するパケットは、両方向で高速パスを通過できます。高速パスは、次のタスクを行います。

IP チェックサム検証

セッション ルックアップ

TCP シーケンス番号チェック

既存のセッションを使用した NAT 変換

レイヤ 3 およびレイヤ 4 ヘッダー調整

UDP またはその他の接続プロトコルについては、セキュリティ アプライアンスで、高速パスも使用できるよう、コネクション ステート情報が作成されます。

レイヤ 7 インスペクションが必要なプロトコルのデータ パケットも高速パスを通過できます。

確立されたセッション パケットの中には、引き続きセッション管理パスまたはコントロール プレーン パスを通過しなければならないものがあります。セッション管理パスを通過するパケットとして、検査またはコンテンツ フィルタリングが必要な HTTP パケットがあります。コントロール プレーン パスを通過するパケットとして、レイヤ 7 インスペクションが必要なプロトコルのコントロール パケットがあります。

VPN 機能の概要

VPN は、(インターネットなど)プライベートな接続と見なされる TCP/IP ネットワーク間のセキュアな接続です。このセキュアな接続をトンネルと呼びます。セキュリティ アプライアンスではトンネリング プロトコルを使用してセキュリティ パラメータをネゴシエートし、トンネルを作成および管理して、パケットをカプセル化し、トンネル経由でパケットを送受信し、カプセル化を解除します。セキュリティ アプライアンスは、双方向のトンネル エンドポイントとして機能します。たとえば、プレーン パケットを受信してカプセル化し、それをトンネルのもう一方の側に送信することができます。そのエンドポイントで、パケットはカプセル化が解除され、最終的な宛先に送信されます。また、セキュリティ アプライアンスは、カプセル化されたパケットを受信してカプセル化を解除し、それを最終的な宛先に送信することもできます。セキュリティ アプライアンスは、これらの機能を実行するためにさまざまな標準プロトコルを起動します。

セキュリティ アプライアンスが実行する機能は次のとおりです。

トンネルの確立

トンネル パラメータのネゴシエーション

ユーザの認証

ユーザ アドレスの割り当て

データの暗号化と復号化

セキュリティ キーの管理

トンネルを通したデータ転送の管理

トンネル エンドポイントまたはルータとしての着信と発信のデータ転送の管理

セキュリティ アプライアンスは、これらの機能を実行するためにさまざまな標準プロトコルを起動します。

セキュリティ コンテキストの概要

1 台のセキュリティ アプライアンスを、セキュリティ コンテキストと呼ばれる複数の仮想装置に分割できます。各コンテキストは、独自のセキュリティ ポリシー、インターフェイス、および管理者を持つ独立した装置です。マルチ コンテキストは、複数のスタンドアロン装置を使用することに似ています。マルチ コンテキスト モードでは、ルーティング テーブル、ファイアウォール機能、IPS、管理など、多くの機能がサポートされます。VPN、ダイナミック ルーティング プロトコルなど、いくつかの機能はサポートされません。

マルチ コンテキスト モードの場合、セキュリティ アプライアンスには、セキュリティ ポリシー、インターフェイス、およびスタンドアロン装置で設定できるほとんどのオプションを識別するコンテキストごとのコンフィギュレーションが含まれます。システム管理者は、システム コンフィギュレーションに設定することでコンテキストを追加および管理します。このコンフィギュレーションは、シングル モードのコンフィギュレーション同様、スタートアップ コンフィギュレーションです。システム コンフィギュレーションは、セキュリティ アプライアンスの基本設定を識別します。システム コンフィギュレーションには、自分自身のネットワーク インターフェイスまたはネットワーク設定は含まれません。システムがネットワーク リソースにアクセスする必要が生じたとき(サーバからコンテキストをダウンロードするときなど)は、管理コンテキストとして指定されたコンテキストのいずれかを使用します。

管理コンテキストは、他のコンテキストとまったく同じです。ただ、ユーザが管理コンテキストにログインすると、システム管理者権限を持つので、システム コンテキストおよび他のすべてのコンテキストにアクセス可能になる点が異なります。


) ルーテッド モードまたはトランスペアレント モードですべてのコンテキストを実行できます。あるモードでは実行できないコンテキストがあったり、別のモードで他のコンテキストが実行できない場合もあります。

マルチ コンテキスト モードではスタティック ルーティングだけサポートされています。