ダウンロード

Cisco ASA 5500 シリーズ IPS ソリューション

データシート

Cisco ASA 5500 シリーズ IPS ソリューション

製品概要

ネットワークの脅威とセキュリティコンプライアンスの遵守事項の数は増え続けています。グローバル・コリレーション機能を備えた Cisco® ASA 5500 シリーズ Intrusion Prevention System（IPS; 侵入防御システム）ソリューションは、業界最先端の IPS、ファイアウォール、および VPN テクノロジーを使用することで、重要な情報資産を確実に保護します。IPS は、ワーム、トロイの木馬、ウイルス、分散型サービス不能（DDoS）攻撃、偵察、およびオペレーティングシステムとアプリケーションの脆弱性に対する攻撃を含む脅威をブロックすることで、ファイアウォールによる保護を拡張します。Cisco ASA 5500 シリーズ IPS ソリューションは、ハードウェアによるアクセラレーションを行う IPS モジュールである Cisco ASA Advanced Inspection and Prevention セキュリティサービスモジュール（AIP SSM）を使用した侵入防御機能を提供します。シスコの自己防衛型ネットワークのコアコンポーネントである Cisco ASA 5500 シリーズ IPS ソリューションは、統合型、コラボレーション型、および適応型のセキュリティを実現し、継続的なビジネスオペレーションの確保に役立ちます。この製品の特徴は次のとおりです。

統合型：Cisco ASA 5500 シリーズ IPS ソリューションは、ハードウェアアクセラレーションによる IPS、業界最先端のファイアウォール、先進の VPN を、導入が容易な単一のプラットフォームで提供します。統合型アプライアンスにより、導入、管理、およびトレーニングのコストが節約されます。
コラボレーション型：AIP SSM は、Cisco ASA 5500 シリーズ IPS ソリューション内のファイアウォールだけでなく、Cisco Security Agent、Cisco Wireless LAN Controller、ルータ、スイッチと密接にコラボレーションします。プラットフォーム間での緊密なコラボレーションは、ネットワークと資産のセキュリティ保護を大幅に増強します。
適応型：5 分間隔で更新されるグローバル・コリレーションを活用した Cisco IPS は、Cisco IPS、ファイアウォール、電子メールと Web アプライアンスからのリアルタイムでグローバルな情報を用いて、脅威に対する最も高速で正確な保護を提供します。

ネットワークをセキュリティ保護するだけでなく、Cisco ASA 5500 シリーズ IPS ソリューションはコンプライアンス義務への対応を支援するうえで主要な役割を果たします。小売業における PCI（Payment Card Industry）標準、金融における FFIEC（Federal Financial Institutions Examination Council; 米国連邦金融機関検査委員会）、医療機関における HIPAA（医療保険の相互運用性と責任に関する法律）など、いずれにおいても、Cisco ASA 5500 シリーズ IPS ソリューションは、ネットワークの安全性とコンプライアンス要件の遵守を確実にするために役立ちます。

図 1 Cisco ASA 5500 シリーズ IPS ソリューション

機能と利点

Cisco ASA 5500 シリーズ IPS ソリューションは、高パフォーマンスと強力なセキュリティ保護を、導入が容易な単一のプラットフォームで提供します。

優れたセキュリティ保護

Cisco ASA 5500 シリーズ IPS ソリューションは非常に強力な侵入防御を備えており、ワーム、トロイの木馬、ウイルス、分散型サービス不能攻撃、偵察、アプリケーションとオペレーティングシステムの脆弱性悪用を含む脅威を、ネットワークに侵入する前に阻止します。IPv6 ネットワーク、IPv4 ネットワーク、IPv6 と IPv4 のハイブリッドネットワークのいずれに対しても、このソリューションは以下を提供します。

包括的な IPS 機能：Cisco ASA 5500 シリーズ IPS ソリューションは、Cisco IPS 4200 シリーズセンサーが持つ包括的な IPS 機能を備えています。Cisco AIP SSM は、トラフィックパスにインラインで導入することも、検査のためにトラフィックのコピーが Cisco AIP SSM に送信されるプロミスキャスモードで導入することもできます。Cisco ASA 5500 シリーズ IPS ソリューションは、数万の攻撃に対して実績のある保護を提供します。Cisco Anomaly Detection により、更新されたシグニチャが利用可能になる前でも、ネットワークはデイゼロの脅威から保護されます。
グローバル・コリレーション：世界最大規模の脅威に対する情報と運用インフラストラクチャである Cisco Security Intelligence Operations の力を利用して、これまでにない正確性、可視性、応答時間でセキュリティの脅威に対処できます。IPS のグローバル・コリレーションは、レピュテーション分析の追加、セキュリティの脅威にさらされる機会の削減、継続的なフィードバックを提供し、境界の外側にあるグローバルな脅威環境に関するリアルタイムの最新情報を提供します。これらの新機能を使用した Cisco IPS センサーは、迅速かつ正確により多くの脅威を検出し、悪意のある攻撃から重要な資産を保護します。
包括的かつタイムリーな攻撃保護：Cisco ASA 5500 シリーズ IPS ソリューションは、数万もの既知の攻撃と、何百万以上に及ぶ潜在的な未知の亜種による攻撃に対して、実績ある保護を提供します。この保護は、専用の IPS 検出エンジンと数千のシグニチャを使用することで実現されています。Cisco Services for IPS は、24 時間体制のグローバルなインテリジェンスチームによるシグニチャ更新を提供し、最新の脅威からの確実な保護を支援します。
デイゼロ攻撃からの保護：Cisco ASA 5500 シリーズ IPS ソリューションは、Cisco Anomaly Detection を使用してデイゼロ攻撃からの強力な保護を実現します。このソリューションは、ネットワーク上の正常な動作を学習し、ネットワーク内で異常な活動を検出すると警告を発します。Cisco Anomaly Detection は、シグニチャが利用可能になる前でも、新しい脅威に対する保護に役立ちます。
アプリケーションの検査と制御：Cisco ASA 5500 シリーズ IPS ソリューションのアプリケーション検査エンジンは、ネットワークに入ることのできる人物とトラフィックを細かく制御します。危険を含む恐れのある URL へのアクセスを防止できます。また、不正な呼び出し元をブロックすることができます。ブラックリストを使用すると、感染した添付ファイルがネットワークに侵入するのを防止できます。
ワイヤレス保護：侵入者がワイヤレスネットワークに入ることを防ぐために、Cisco ASA 5500 シリーズ IPS ソリューションは Cisco ワイヤレス LAN コントローラと緊密に統合されています。Cisco ワイヤレス LAN コントローラは、Cisco ASA 5500 シリーズ IPS ソリューションからのリアルタイムの脅威の情報に基づいて、侵入者をブロックします。
ユニファイドコミュニケーションの保護：VoIP（Voice over IP）プロトコル、Cisco Unified CallManager、およびデバイスを強力に保護することにより、重要な音声ネットワークの稼働時間を最大化します。専用の音声エンジンと包括的な音声シグニチャを使用して、Cisco ASA 5500 シリーズ IPS ソリューションは、音声ネットワークを侵入者および攻撃から保護します。

高パフォーマンス

Cisco ASA 5500 シリーズ IPS ソリューションは、ハードウェアアクセラレーションによって最高のパフォーマンスを実現し、ファイアウォールや VPN のスループットに悪影響を及ぼしません。Cisco AIP SSM-40 を使用した場合、Cisco ASA 5500 シリーズ IPS ソリューションでは最大 650 Mbps のファイアウォールと IPS のスループットが得られます。

今日、アプリケーションはかつてないほどインターネットを使用しています。VoIP、電子商取引、ストリーミングビデオ、および Web 2.0 により、生産性の向上と従業員のより高度なコラボレーションが可能になっています。これらのネットワークアプリケーションからは、接続レート、同時接続数、フロー長、トランザクションサイズなどのリソースに対して多種多様な要求が行われます。パフォーマンスの観点からすると、アプリケーションの種類は、統合コンテンツを特徴とするメディアリッチ型環境から、軽量のコネクションが次々と発生する高トランザクション型環境にまで渡ります。Cisco ASA 5500 シリーズ IPS ソリューションは、メディアリッチ型環境とトランザクション型環境の両方に最適化されています。

高度なポリシープロビジョニング

ポリシープロビジョニングを使用すると、管理を簡素化し、誤操作の可能性を低くし、本来の重要な業務に集中することができます。Cisco ASA 5500 シリーズ IPS ソリューションを使用すると、Cisco Modular Policy Framework（MPF）で統合ポリシーを適用し、Cisco AIP SSM 内で IPS ポリシーを割り当てることができます。

Cisco Modular Policy Framework：Cisco Modular Policy Framework は、一元的に Cisco ASA ファイアウォール、VPN、および IPS ポリシーを割り当てるための強力なメカニズムです。Cisco Modular Policy Framework では、Cisco ASA ファイアウォールは検査のために必要に応じてフロー単位でトラフィックを AIP SSM に渡します。
Cisco IPS ポリシープロビジョニング：IPS ポリシープロビジョニングに関して、Cisco AIP SSM は Risk Rating ベースのポリシープロビジョニングを実現する唯一の製品です。個別のシグニチャをチューニングするのではなく、リスクに基づいて IPS ポリシーを割り当てます。イベントのリスクレベルに基づいて、すべてのイベントには 0 ～ 100 の間の Risk Rating 番号が割り当てられます。Risk Rating に基づいて、ドロップパケット、アラーム、およびログを含むさまざまなポリシーアクションを割り当てることができます。

業界最先端の管理

お客様が所有する Cisco ASA 5500 シリーズ IPS ソリューションの数が 5 つであっても数千であっても、シスコは市場をリードする管理ソリューションを提供することができます。

Cisco Security Management Suite：Cisco Security Management Suite は、数千台のデバイスに対応できる強力な管理アプリケーションスイートです。Cisco Security Management Suite を使用すると、Cisco ASA 5500 シリーズ IPS ソリューションの IPS、ファイアウォール、および VPN 機能を管理できます。Cisco Security Management Suite には、Cisco Security Manager および Cisco Security Monitoring, Analysis, and Response System（CS-MARS）が含まれます。Cisco Security Manager を使用すると、ワンクリックで数百台または数千台の Cisco ASA アプライアンスにセキュリティポリシーを適用したり、ソフトウェア更新を実行したりすることができます。CS-MARS を使用すると、Cisco ASA 5500 シリーズ IPS ソリューションなどのセキュリティデバイスからデータを収集して関連付け、問題を特定したり対処方法を推奨したりすることができます。
Cisco IPS Manager Express：Cisco IPS Manager Express は、小規模展開向けのオールインワン型 IPS 管理およびレポート作成アプリケーションです。1 つのアプリケーションで、5 台までの Cisco IPS デバイスに対してプロビジョニング、監視、トラブルシューティング、およびレポート作成を行うことができます。10 を超えるドラッグアンドドロップガジェットを備えたカスタマイズ可能なダッシュボードを、ニーズに合わせてパーソナライズすることができます。

図 2 Cisco IPS Manager Express

表 1 に、Cisco ASA 5500 シリーズ IPS ソリューションの仕様を示します。

表 1 Cisco ASA 5500 シリーズ IPS ソリューションの仕様

項目	Cisco ASA 5505 IPS ソリューション（Base ライセンス/Security Plus ライセンス）	Cisco ASA 5510 IPS ソリューション（Base ライセンス/Security Plus ライセンス）	Cisco ASA 5520 IPS ソリューション	Cisco ASA 5540 IPS ソリューション
IPS
最大ファイアウォール + IPS スループット	AIP SSC-5 搭載時 75 Mbps	AIP SSM-10 搭載時 150 Mbps	AIP SSM-10 搭載時 225 Mbps AIP SSM-20 搭載時 375 Mbps AIP SSM-40 搭載時 450 Mbps	AIP SSM-20 搭載時 500 Mbps AIP SSM-40 搭載時 650 Mbps
脅威からの保護	25,000 以上の脅威	25,000 以上の脅威	25,000 以上の脅威	25,000 以上の脅威
Anomaly Detection を使用したデイゼロ保護	不可	可	可	可
カスタムシグニチャのサポート	非対応	対応	対応	対応
仮想センサー	1	4	4	4
ファイアウォール
最大ファイアウォールスループット（Mbps）	150	300	450	650
最大ファイアウォール接続数	10,000/25,000	50,000/130,000	280,000	400,000
1 秒あたりの最大ファイアウォール接続数	4,000	9,000	12,000	25,000
VPN
最大 3DES（Triple Data Encryption Standard）/AES（Advanced Encryption Standard; 高度暗号化規格)VPN スループット（Mbps）	100	170	225	325
最大サイト間およびリモートアクセス VPN ユーザセッション	10/25	250	750	5000
最大 SSL VPN ユーザセッション*	25	250	750	2500
バンドルされた SSL VPN ユーザセッション	2	2	2	2

* Cisco ASA ソフトウェア v7.1 以降では、SSL VPN（Web VPN）機能にはライセンスが必要です。システムには、デフォルトで評価およびリモート管理のために 2 つの SSL VPN ユーザが含まれます

表 2 に、Cisco AIP SSM の仕様を示します。

表 2 Cisco AIP SSM の仕様

項目	Cisco AIP SSC-5	Cisco AIP SSM-10	Cisco AIP SSM-20	Cisco AIP SSM-40

技術仕様
管理および監視インターフェイス	ホストの ASA 5505 管理インターフェイスを使用	イーサネット 10/100 ポート × 1	イーサネット 10/100 ポート × 1	イーサネット 10/100/1000 ポート × 1
メモリ	512 MB	1 GB	2 GB	4 GB
最小限のフラッシュ	512 MB	256 MB	256 MB	2 GB
動作環境条件
動作時
温度	0 ～ 40°C（32 ～ 104°F）	0 ～ 40℃（32 ～ 104°F）	0 ～ 40℃（32 ～ 104°F）	0 ～ 40℃（32 ～ 104°F）
相対湿度	5 ～ 95%（結露しないこと）	5 ～ 95%（結露しないこと）	5 ～ 95%（結露しないこと）	5 ～ 95%（結露しないこと）
非動作時
温度	-25 ～ 70℃（-13 ～ 158°F）	-25 to 70°C（-13 ～ 158°F）	-25 to 70°C（-13 ～ 158°F）	-25 to 70°C（-13 ～ 158°F）
相対湿度	5 ～ 95%（結露しないこと）	5 ～ 95%（結露しないこと）	5 ～ 95%（結露しないこと）	5 ～ 95%（結露しないこと）
高度	0 ～ 4570 m（15,000 フィート）	0 ～ 4570 m（15,000 フィート）	0 ～ 4570 m（15,000 フィート）	0 ～ 4570 m（15,000 フィート）
電源および平均故障間隔
消費電力	最大 30 W	最大 90 W	最大 90 W	最大 90 W
平均故障間隔（MTBF）	874,070 時間（100 年）	299,588 時間（31 年）	309,296 時間（35 年）	221,679 時間（25 年）
物理仕様
寸法（高さ×幅×奥行）	1.73 × 9.02 × 13.21 cm（0.68 × 3.55 × 5.2 インチ）	4.32 × 17.27 × 27.94 cm（1.70 × 6.80 × 11.00 インチ）	4.32 × 17.27 × 27.94 cm（1.70 × 6.80 × 11.00 インチ）	4.32 × 17.27 × 27.94 cm（1.70 × 6.80 × 11.00 インチ）
重量	0.19 kg（0.42 ポンド）	1.36 kg（3.00 ポンド）	1.36 kg（3.00 ポンド）	1.17 kg（2.58 ポンド）
適合標準規格
安全性	UL 1950、CSA C22.2 No. 950、EN 60950 IEC 60950、AS/NZS3260、TS001	UL 1950、CSA C22.2 No. 950、EN 60950 IEC 60950、AS/NZS3260、TS001	UL 1950、CSA C22.2 No. 950、EN 60950 IEC 60950、AS/NZS3260、TS001	UL 1950、CSA C22.2 No. 950、EN 60950 IEC 60950、AS/NZS3260、TS001
電磁波放射認定（EMC）	CE マーキング、FCC Part 15 Class A、AS/NZS 3548 Class A、VCCI Class A、EN55022 Class A、CISPR22 Class A、EN61000-3-2、EN61000-3-3	CE マーキング、FCC Part 15 Class A、AS/NZS 3548 Class A、VCCI Class A、EN55022 Class A、CISPR22 Class A、EN61000-3-2、EN61000-3-3	CE マーキング、FCC Part 15 Class A、AS/NZS 3548 Class A、VCCI Class A、EN55022 Class A、CISPR22 Class A、EN61000-3-2、EN61000-3-3	CE マーキング、FCC Part 15 Class A、AS/NZS 3548 Class A、VCCI Class A、EN55022 Class A、CISPR22 Class A、EN61000-3-2、EN61000-3-3

発注情報

シスコ製品の購入方法の詳細は、「購入案内」を参照してください。発注情報は表 3 を参照してください。

表 3 発注情報

製品名	製品番号
Cisco ASA 5505 シリーズ適応型セキュリティアプライアンス
Cisco ASA 5505 50 ユーザ適応型セキュリティアプライアンス、AIP-SSC-5 付属（シャーシ、ソフトウェア、ファストイーサネットインターフェイス× 8、IPsec VPN ピア× 10、SSL VPN ピア× 2、3DES/AES ライセンス）	ASA5505-50-AIP5-K9
Cisco ASA 5505 ユーザ数無制限適応型セキュリティアプライアンス、Security Plus ライセンスおよび AIP-SSC-5 付属（シャーシ、ソフトウェア、ファストイーサネットインターフェイス× 8、IPsec VPN ピア× 25、SSL VPN ピア× 2、DMZ サポート、ステートレスアクティブ/スタンバイハイアベイラビリティ、3DES/AES ライセンス）	ASA5505-U-AIP5P-K9
Cisco ASA 5510 シリーズ適応型セキュリティアプライアンス
Cisco ASA 5510 適応型セキュリティアプライアンス、SSM-AIP-10 付属（シャーシ、ソフトウェア、VPN ピア× 50、ファストイーサネットインターフェイス× 4、3DES/AES）	ASA5510-AIP10-K9
Cisco ASA 5510 適応型セキュリティアプライアンス、Security Plus ライセンスおよび AIP-SSM-10 付属（シャーシ、ソフトウェア、ギガビットイーサネットインターフェイス× 2、ファストイーサネットインターフェイス× 3、IPsec VPN ピア× 250、SSL VPN ピア× 2、アクティブ/アクティブハイアベイラビリティ、3DES/AES）	ASA5510-AIP10SP-K9
Cisco ASA 5510 適応型セキュリティアプライアンス、Security Plus ライセンスおよび AIP-SSM-20 付属（シャーシ、ソフトウェア、ギガビットイーサネットインターフェイス× 2、ファストイーサネットインターフェイス× 3、IPsec VPN ピア× 250、SSL VPN ピア× 2、アクティブ/アクティブハイアベイラビリティ、3DES/AES）	ASA5510-AIP20SP-K9
Cisco ASA 5520 シリーズ適応型セキュリティアプライアンス
Cisco ASA 5520 適応型セキュリティアプライアンス、AIP-SSM-10 付属（シャーシ、ソフトウェア、VPN ピア× 300、ギガビットイーサネットインターフェイス× 4、3DES/AES）	ASA5520-AIP10-K9
Cisco ASA 5520 適応型セキュリティアプライアンス、AIP-SSM-20 付属（シャーシ、ソフトウェア、VPN ピア× 300、ギガビットイーサネットインターフェイス× 4、3DES/AES）	ASA5520-AIP20-K9
Cisco ASA 5520 適応型セキュリティアプライアンス、AIP-SSM-40 付属（シャーシ、ソフトウェア、VPN ピア× 300、ギガビットイーサネットインターフェイス× 4、3DES/AES）	ASA5520-AIP40-K9
Cisco ASA 5540 シリーズ適応型セキュリティアプライアンス
Cisco ASA 5540 適応型セキュリティアプライアンス、AIP-SSM-20 付属（シャーシ、ソフトウェア、VPN ピア× 500、ギガビットイーサネットインターフェイス× 4、3DES/AES）	ASA5540-AIP20-K9
Cisco ASA 5540 適応型セキュリティアプライアンス、AIP-SSM-40 付属（シャーシ、ソフトウェア、VPN ピア× 500、ギガビットイーサネットインターフェイス× 4、3DES/AES）	ASA5540-AIP40-K9
セキュリティサービスモジュール
Cisco ASA 5500 シリーズ Advanced Inspection and Prevention セキュリティサービスカード 5（AIP SSC-5）	ASA-SSC-AIP-5-K9=
Cisco ASA 5500 シリーズ Advanced Inspection and Prevention セキュリティサービスモジュール 10（AIP SSM-10）	ASA-SSM-AIP-10-K9=
Cisco ASA 5500 シリーズ Advanced Inspection and Prevention セキュリティサービスモジュール 20（AIP SSM-20）	ASA-SSM-AIP-20-K9=
Cisco ASA 5500 シリーズ Advanced Inspection and Prevention セキュリティサービスモジュール 40（AIP SSM-40）	ASA-SSM-AIP-40-K9=

サービスおよびサポート

シスコは、お客様の成功を支援する幅広いサービスプログラムを用意しています。これらのサービスは、スタッフ、プロセス、ツール、パートナーをそれぞれに組み合わせて提供され、お客様から高い評価を受けています。シスコは、お客様のネットワークへの投資を最大限に活用し、ネットワーク運用を最適化するとともに、最新アプリケーションに対応できるようにネットワークを整備し、よりインテリジェントなネットワークを構築することによって、お客様の事業拡大を支援しています。シスコのセキュリティサービスの詳細については、http://www.cisco.com/jp/go/services/security/ にアクセスしてください。

Cisco Services for IPS

Cisco Services for IPS は Cisco ASA 5500 シリーズ IPS ソリューションの中核であり、事業者はタイムクリティカルなシグニチャファイル更新やアラートを受け取ることができます。シスコテクニカルサポートサービスポートフォリオの一部として、Cisco Services for IPS は包括的なセキュリティサービスを提供し、悪意のあるトラフィックや有害なトラフィックが正確に特定、分類、および停止されるように、使用中の Cisco ASA 5500 シリーズ IPS ソリューションを新しい脅威に対して最新の状態に保つことができます。Cisco Services for IPS の特徴は次のとおりです。

シグニチャファイルの更新およびアラート
オンラインツールおよび技術サポートを利用するための Cisco.com への登録アクセス
Cisco Technical Assistance Center（TAC）へのアクセス
Cisco IPS ソフトウェアの更新
障害が発生したハードウェアの迅速な交換

Cisco Services for IPS の詳細については、
http://www.cisco.com/web/JP/services/portfolio/tss/service_for_ips.html を参照してください。

輸出に関する考慮事項

Cisco ASA 5500 シリーズ IPS ソリューションおよび Cisco AIP SSM は、輸出規制の対象です。ガイダンスについては、輸出コンプライアンスの Web サイト（英語）http://www.cisco.com/wwl/export/crypto/ を参照してください。特定の輸出に関するご質問については、export@cisco.com までご連絡ください。

Hierarchical Navigation

Cisco ASA 5500シリーズ