Cisco ASA 5500シリーズ

Cisco ASA Next-Generation Firewall Services データ シート

データ シート





Cisco ASA Next-Generation Firewall Services



製品概要


Cisco® ASA Next-Generation Firewall Services は、Cisco ASA 5500-X シリーズ Next-Generation Firewalls(セキュリティ サービス プロセッサ SSP-10、SSP-20、SSP-40、SSP-60 搭載の 5512-X、5515-X、5525-X、5545-X、5555-X、および 5585-X)向けのモジュラ セキュリティ サービスのスイート製品です。

Cisco ASA Next-Generation Firewall Services には、Cisco Application Visibility and Control(AVC)、Web Security Essentials(WSE)、侵入防御システム(IPS)が含まれます。実績のあるステートフル インスペクション ファイアウォールと、次世代ファイアウォール機能およびネットワークベースのセキュリティ制御を組み合わせ、エンドツーエンドのネットワーク インテリジェンスと、効率性の高いセキュリティ運用を実現します。

社内ネットワークは過去に類を見ないスピードで変化しています。ユーザはいつでも、どこにいても、会社所有や個人所有を問わず、さまざまなモバイル デバイスからネットワークにアクセスしたいと考えています。またアプリケーションは非常に動的で多面的な側面を持つように進化を続け、ビジネス アプリケーションと、企業をインターネットベースの脅威にさらすような個人用アプリケーションとの境目が曖昧になってきています。このため、組織はこれまでの実績ある方法を変えることなく、効率的なセキュリティ運用を統合できる新たなアプローチを採用する必要があります。Cisco ASA Next-Generation Firewall Services を導入すれば、最高レベルのセキュリティを維持しながら、動的に変化するビジネス ニーズにも迅速に対応できます。

機能と利点


大多数の他の次世代ファイアウォールと同様に、Cisco ASA Next-Generation Firewalls はアプリケーションの識別とユーザ ID 機能を提供し、ネットワーク トラフィックの可視性と制御性を強化します。さらに、Cisco ASA Next-Generation Firewall Services によって、管理者は次のことができるようになります。

  • 許可されたマイクロ アプリケーション内の特定の動作を制御する
  • サイトのレピュテーションに基づき Web および Web アプリケーションの使用を制限する
  • インターネットの脅威に対して予防的に保護する
  • ユーザ、デバイス、ロール、アプリケーションのタイプ、脅威の特性に基づいて異なるポリシーを適用する

Cisco Prime™ Security Manager が Cisco ASA Next-Generation Firewall Services を管理します。これは、ネットワークの可視性を強化し、アプリケーション、ユーザ、動作、ポリシー、およびデバイスを詳細に制御する包括的な管理ソリューションです。柔軟性の高いアーキテクチャを採用することで、セキュリティ管理が大幅に向上します。セキュリティ管理者は、トラフィック パターンの概要、Cisco ASA Next-Generation Firewalls の健全性やパフォーマンスに関する詳細なログを取得できるなど、セキュリティ ネットワーク全体にわたってエンドツーエンドの可視性を得ることができます。ユーザは、Cisco Prime Security Manager を利用して Cisco ASA の(ファイアウォールと NAT を含む)コア機能と Cisco Next-Generation Firewall Services を統合し、分散型導入モデルのコストや複雑さを軽減できます。

かつてないほどのネットワーク可視性

Cisco ASA Next-Generation Firewall Services は、ネットワーク トラフィックについて、ネットワークに接続中のユーザ、使用されているデバイス、アクセスしているアプリケーションや Web サイトなど、これまで以上に優れた可視性をセキュリティ管理者に提供します。

また、シスコのセキュリティ テクノロジーを使用して、実用的な情報をセキュリティ管理者に提供します。たとえば、Cisco AnyConnect® クライアントは、モバイル デバイスがネットワークにアクセスする前に、その種類やロケーションに関する詳細な情報を提供します。さらに、Cisco ASA Next-Generation Firewall Services は Cisco Security Intelligence Operations(SIO)で収集したグローバル脅威インテリジェンスを使用して、ゼロデイ攻撃から保護します。これらのテクノロジーに加え、ネットワーク全体でシスコのその他のセキュリティ テクノロジーを活用してエンドツーエンドのネットワーク可視性を提供することで、優れたセキュリティ制御を実現します。提供されるサービスには次のものがあります。

  • 堅牢な認証。Windows Active Directory エージェントと Lightweight Directory Access Protocol(LDAP)を使用したパッシブな認証方法に加え、Kerberos と Windows NT LAN Manager を使用してアクティブ認証を提供します。
  • デバイス情報。Cisco AnyConnect クライアントは、ネットワークへのアクセスを獲得しようとしている特定のタイプのユーザ デバイスに関する情報だけでなく、そのデバイスがローカルにあるかリモートにあるかという情報も提供するので、管理者は安心してデバイスを許可できるとともに、ネットワークに対する高度な保護と制御を維持できます。
  • 脅威に対するレピュテーションベースの防御。Cisco SIO からの脅威インテリジェンス フィードは、世界中に導入されているシスコのセキュリティ(200 万台以上のデバイス)を使用し、E メールから Web にいたる脅威ベクトルから、世界の約 3 分の 1 のインターネット トラフィックを分析します。Cisco WSE と IPS が使用するレピュテーション フィードは、既知の脅威やゼロデイ脅威に対してほぼリアルタイムの保護を提供し、リスクや脅威にさらされる可能性の軽減に役立ちます。

アプリケーション、ユーザ、デバイス、および脅威のきめ細かい制御

Cisco ASA Next-Generation Firewall Services は、Cisco AVC 機能を使って Skype やその他のピアツーピア アプリケーションのようなポート ホッピングやプロトコル ホッピング アプリケーションをブロックすることで、記述するポリシーを少なく抑える一方、より有効なセキュリティを提供します。アプリケーション、ユーザ、デバイス、ロケーションなどのさまざまなコンテキスト要素に基づいたポリシーの記述が可能です。また、Cisco AVC では、ソーシャル ネットワーキングについての詳細な制御もできます。1,200 以上のアプリケーションと 150,000 以上のマイクロ アプリケーションを認識するため、組織はアプリケーションの特定のコンポーネント(仕事で使用する Facebook など)へのアクセス権を個人単位またはグループ単位で割り当て、他のコンポーネント(Facebook のゲームなど)を無効にすることができます。許可されたマイクロ アプリケーション内で特定の動作をブロックすることもできるため、より詳細な制御が可能です。

Cisco WSE を採用した Cisco ASA Next-Generation Firewall Services は、Web セキュリティ ニーズに対応する次世代のサービスです。Cisco WSE は、エンタープライズクラスのコンテキスト認識型 Web セキュリティ機能を、業界で最も実績のあるステートフル インスペクション ファイアウォールに提供し、エンドツーエンドのネットワーク インテリジェンスと効率的なセキュリティ運用を実現します。Cisco WSE は、堅牢なコンテンツベースの URL フィルタリングと、Cisco SIO からほぼリアルタイムで収集するグローバル脅威および Web レピュテーションの分析を融合します。Cisco WSE を活用することで、組織はレピュテーションベースの Web セキュリティ ポリシーを適用でき、ユーザ、グループ、デバイス、ロールごとにアクセス ポリシーを差別化してコンテンツベースの堅牢な URL フィルタリングを実行できます。

IPS を採用した Cisco ASA Next-Generation Firewalls は、コンテキスト駆動型の脅威の検出と緩和を実現します。運用が簡素化され、検出パラメータではなく、脅威の抑止に重点を置くことができるようになります。Cisco AVC および WSE セキュリティ サービスからの情報を活用して Cisco IPS の操作性と効率性を最適化し、包括的な脅威の抑止を実現します。

包括的なセキュリティ アーキテクチャ

Cisco ASA Next-Generation Firewall Services は Cisco ASA プラットフォームを拡張し、かつてないほどの可視性と制御性を提供します。アクセス制御、ネットワーク アドレス変換、ステートフル インスペクションなどのレイヤ 3 およびレイヤ 4 のステートフル ファイアウォール機能をサポートします。組織は、さまざまなコンプライアンス規制への準拠に不可欠な既存のステートフル インスペクション ファイアウォール ポリシーを引き続き使用しながら、コンテキスト情報にインテリジェントに対応できるレイヤ 7 コンテキスト認識型ルールを追加できます。Cisco ASA Next-Generation Firewall Services は Cisco AnyConnect セキュア モビリティ クライアントからローカル情報を収集し、Cisco SIO からほぼリアルタイムでグローバル脅威インテリジェンスを収集します。ローカルおよびグローバル脅威インテリジェンスを収集する機能が組み込まれた実証済みのファイアウォール プラットフォームは、組織のセキュリティ ニーズの変化に対応し、成長、拡張性、継続的な技術革新を実現する包括的で動的なセキュリティ アーキテクチャを提供します。

表 1 に、Cisco ASA Next-Generation Firewall Services の機能と利点を示します。

表 1 Cisco ASA Next-Generation Firewall Services の機能と利点

機能 利点
アプリケーションの識別 一般に使用されている 1,200 以上のアプリケーションと 150,000 以上のマイクロ アプリケーションをベースにしたアクセス ポリシーを適用することで、アプリケーションに関連したユーザ アクティビティを「動作」(ファイルのアップロードやソーシャル ネットワーキング サイトへの投稿など)に基づいてより詳細に管理するアクセス制御を提供し、従来のセキュリティ制御を回避できるポート ホッピングやプロトコル ホッピング アプリケーションを制御します。
ID ベースのファイアウォール ユーザおよびユーザ ロールに基づいて差別化されたアクセス制御を提供し、Windows Active Directory エージェント、LDAP、Kerberos、Windows NT LAN Manager などの一般的な ID メカニズムをサポートします。
デバイス タイプ ベースの適用 Cisco AnyConnect クライアントを使用して、ネットワークにアクセスしているデバイスのタイプ(iPad、iPhone、Android デバイスなど)を識別し、どのデバイスのアクセスを許可または拒否するかを制御します。
URL フィルタリング すべての機能を備えたエンタープライズクラスの URL フィルタリング ソリューションにより、インターネット トラフィックに対するきめ細かい制御が可能になります。
侵入防御 エンド ユーザとその個人デバイスをターゲットにしたインターネット生まれの脅威を検出してブロックします。IPS を採用した Cisco ASA Next-Generation ファイアウォールはインターネット エッジを保護し、Cisco ASA Next-Generation Firewall Services との統合によって簡素化されたポリシーで複雑さを軽減します。
グローバル脅威インテリジェンス シスコのセキュリティ導入のグローバル フットプリントを、より包括的なネットワーク保護に使用します。Cisco SIO では常に脅威インテリジェンスのフィードを更新することで、ほぼリアルタイムでマルウェアによるゼロデイ攻撃から保護します。
ステートフル ファイアウォール機能 レイヤ 7 コンテキスト認識型ルールに加えて、アクセス制御、ネットワーク アドレス変換、ステートフル インスペクションなどのレイヤ 3 およびレイヤ 4 のステートフル ファイアウォール機能を提供します。
直感的な管理ソリューション あらかじめ Cisco Prime Security Manager がロードされた強力で直感的な管理ソリューションにより、コンテキスト認識型ファイアウォールの管理を簡素化できます。


製品の性能


表 2 に、Cisco ASA 5500-X ミッドレンジ ファイアウォール向け Cisco ASA Next-Generation Firewall Services の機能と容量を示します。

Cisco ASA 5500-X プラットフォーム上の Cisco ASA Next-Generation Firewalls ソフトウェアの機能と容量に関する詳細については、小規模オフィスおよびブランチ オフィス向けまたはインターネット エッジ向け Cisco ASA 5500-X シリーズ アプライアンスのデータ シートを参照してください。

表 2 Cisco ASA 5500-X シリーズ ミッドレンジ Next-Generation Firewalls の機能と容量

機能 Cisco ASA 5512-X Cisco ASA 5515-X Cisco ASA 5525-X Cisco ASA 5545-X Cisco ASA 5555-X
Cisco AVC と WSE 使用時のスループット 200 Mbps(マルチプロトコル) 350 Mbps(マルチプロトコル) 650 Mbps(マルチプロトコル) 1 Gbps(マルチプロトコル) 1.4 Gbps(マルチプロトコル)
同時セッションの最大数 100,000 250,000 500,000 750,000 1,000,000
1 秒あたりの接続数 10,000 15,000 20,000 30,000 50,000
サポート対象のアプリケーション 1200 以上
サポート対象のマイクロアプリケーション 150,000 以上
URL カテゴリ 78
分類された URL の数 2,000 万以上
URL フィルタリングの対応言語 60 以上
毎日 Cisco SIO によって分析される Web リクエストの数 300 億
コンフィギュレーション、ロギング、およびモニタリング オンデバイスの Cisco Prime Security Manager
レポート オンデバイスの Cisco Prime Security Manager
一元化されたコンフィギュレーション、ロギング、モニタリング、およびレポート マルチデバイスの Cisco Prime Security Manager


ハードウェア製品仕様


表 3 に、Cisco ASA 5585-X CX Security Services Processor(SSP)10、20、40、および 60 のハードウェア ブレードの比較を示します。

表 3 Cisco ASA 5585-X Next-Generation Firewalls のハードウェア ブレードの機能と容量

機能 Cisco ASA 5585-X CX SSP-10 Cisco ASA 5585-X CX SSP-20 Cisco ASA 5585-X CX SSP-40 Cisco ASA 5585-X CX SSP-60
Cisco AVC と WSE 使用時のスループット 2 Gbps(マルチプロトコル) 5 Gbps(マルチプロトコル) 9 Gbps(マルチプロトコル) 13 Gbps(マルチプロトコル)
同時セッションの最大数 500,000 1,000,000 1,800,000 4,000,000
1 秒あたりの接続数 40,000 75,000 120,000 160,000
サポート対象のアプリケーション 1200 以上
サポート対象のマイクロ アプリケーション 150,000 以上
URL カテゴリ 78
分類された URL の数 2,000 万以上
URL フィルタリングの対応言語 60 以上
毎日 Cisco SIO によって分析される Web リクエストの数 300 億
コンフィギュレーション、ロギング、およびモニタリング オンデバイスの Cisco Prime Security Manager
レポート オンデバイスの Cisco Prime Security Manager
一元化されたコンフィギュレーション、ロギング、モニタリング、およびレポート マルチデバイスの Cisco Prime Security Manager


製品モデル Cisco ASA 5585-X CX SSP-10 Cisco ASA 5585-X CX SSP-20 Cisco ASA 5585-X CX SSP-40 Cisco ASA 5585-X CX SSP-60
技術仕様
メモリ 12 GB 24 GB 24 GB 48 GB
最小限のフラッシュ 8 GB
管理およびモニタリング インターフェイス イーサネット 10/100/1000 ポート X 2


プラットフォーム サポート/互換性


Cisco ASA 5585-X CX SSP-10、SSP-20、SSP-40、SSP-60 のハードウェア ブレードは、Cisco ASA 5585-X プラットフォームでサポートされます。Cisco ASA 5585-X SSP-10 および SSP-20 ファイアウォールには、Cisco ASA ソフトウェア リリース 8.4.4 以降が必要です。Cisco ASA 5585-X SSP-40 および SSP-60 ファイアウォールには、Cisco ASA ソフトウェア リリース 9.1.3 以降が必要です。Cisco ASA Next-Generation Firewall Services ソフトウェアは、Cisco ASA ソフトウェア リリース 9.1 以降を実行している Cisco ASA 5500-X シリーズの次世代ミッドレンジ セキュリティ アプライアンスでサポートされます。Cisco ASA Next-Generation Firewall Services はフォーム ファクタに関わらず Cisco Prime Security Manager で管理されます。

発注情報


シスコ製品の購入方法については、「購入案内」を参照してください。表 4 に Cisco ASA Next-Generation Firewall Services の発注情報を示します。

表 4 Cisco ASA Next-Generation Firewall Services の発注情報

製品名 製品番号
Cisco ASA 5500-X シリーズ ミッドレンジ アプライアンス(ハードウェア)
ASA 5512-X ソフトウェア バンドル、GE データ ポート X 6、GE 管理ポート X 1、AC 電源装置、DES、SSD 120 GB ASA5512-SSD120-K8
ASA 5512-X ソフトウェア バンドル、GE データ ポート X 6、GE 管理ポート X 1、AC 電源装置、トリプル DES/AES、SSD 120 GB ASA5512-SSD120-K9
ASA 5515-X ソフトウェア バンドル、GE データ ポート X 6、GE 管理ポート X 1、AC 電源装置、DES、SSD 120 GB ASA5515-SSD120-K8
ASA 5515-X ソフトウェア バンドル、GE データ ポート X 6、GE 管理ポート X 1、AC 電源装置、トリプル DES/AES、SSD 120 GB ASA5515-SSD120-K9
ASA 5525-X ソフトウェア バンドル、GE データ ポート X 8、GE 管理ポート X 1、AC 電源装置、DES、SSD 120 GB ASA5525-SSD120-K8
ASA 5525-X ソフトウェア バンドル、GE データ ポート X 8、GE 管理ポート X 1、AC 電源装置、トリプル DES/AES、SSD 120 GB ASA5525-SSD120-K9
ASA 5545-X ソフトウェア バンドル、GE データ ポート X 8、GE 管理ポート X 1、AC 電源装置、DES、SSD 120 GB X 2 ASA5545-2SSD120-K8
ASA 5545-X ソフトウェア バンドル、GE データ ポート X 8、GE 管理ポート X 1、AC 電源装置、トリプル DES/AES、SSD 120 GB X 2 ASA5545-2SSD120-K9
ASA 5555-X ソフトウェア バンドル、GE データ ポート X 8、GE 管理ポート X 1、AC 電源装置、DES、SSD 120 GB X 2 ASA5555-2SSD120-K8
ASA 5555-X ソフトウェア バンドル、GE データ ポート X 8、GE 管理ポート X 1、AC 電源装置、トリプル DES/AES、SSD 120 GB X 2 ASA5555-2SSD120-K9
Cisco ASA 5585-X アプライアンス(ハードウェア)
CX SSP-10 搭載 ASA 5585-X シャーシ SSP-10 バンドル、GE X 16、GE 管理ポート X 4、AC 電源装置 X 1、DES ASA5585-S10C10-K8
CX SSP-10 搭載 ASA 5585-X シャーシ SSP-10 バンドル、GE X 16、GE 管理ポート X 4、AC 電源装置 X 1、トリプル DES/AES ASA5585-S10C10-K9
CX SSP-10 搭載 ASA 5585-X シャーシ SSP-10 バンドル、GE X 16、SFP+ X 4、AC 電源装置 X 2、トリプル DES/AES ASA5585-S10C10XK9
CX SSP-20 搭載 ASA 5585-X シャーシ SSP-20 バンドル、GE X 16、GE 管理ポート X 4、AC 電源装置 X 1、DES ASA5585-S20C20-K8
CX SSP-20 搭載 ASA 5585-X シャーシ SSP-20 バンドル、GE X 16、GE 管理ポート X 4、AC 電源装置 X 1、トリプル DES/AES ASA5585-S20C20-K9
CX SSP-20 搭載 ASA 5585-X シャーシ SSP-20 バンドル、GE X 16、SFP+ X 4、AC 電源装置 X 2、トリプル DES/AES ASA5585-S20C20XK9
CX SSP-40 搭載 ASA 5585-X シャーシ SSP-40 バンドル、GE X 12、SFP+ X 8、AC 電源装置 X 2、DES ASA5585-S40C40-K8
CX SSP-40 搭載 ASA 5585-X シャーシ SSP-40 バンドル、GE X 12、SFP+ X 8、AC 電源装置 X 2、トリプル DES/AES ASA5585-S40C40-K9
CX SSP-60 搭載 ASA 5585-X シャーシ SSP-60 バンドル、GE X 12、SFP+ X 8、AC 電源装置 X 2、DES ASA5585-S60C60-K8
CX SSP-60 搭載 ASA 5585-X シャーシ SSP-60 バンドル、GE X 12、SFP+ X 8、AC 電源装置 X 2、トリプル DES/AES ASA5585-S60C60-K9
ASA 5585-X CX SSP-40、GE X 6、SFP+ X 4 ASA5585-SSP-CX40
ASA 5585-X CX SSP-60、GE X 6、SFP+ X 4 ASA5585-SSP-CX60
ASA Next-Generation Firewall Services ソフトウェア サブスクリプション:3 年間(1 年および 5 年間のサービス ソフトウェア バンドル サブスクリプションだけでなく、Cisco AVC、WSE、および Next-Generation Firewall IPS サービスそれぞれの 1 年、3 年、5 年間のソフトウェア サブスクリプションもご購入いただけます)
ASA 5512-X(AVC + WSE + IPS)3 年間 ASA5512-AWI3Y
ASA 5515-X(AVC + WSE + IPS)3 年間 ASA5515-AWI3Y
ASA 5525-X(AVC + WSE + IPS)3 年間 ASA5525-AWI3Y
ASA 5545-X(AVC + WSE + IPS)3 年間 ASA5545-AWI3Y
ASA 5555-X(AVC + WSE + IPS)3 年間 ASA5545-AWI3Y
ASA 5585-X SSP-10(AVC + WSE + IPS)3 年間 ASA5585-10-AWI3Y
ASA 5585-X SSP-20(AVC + WSE + IPS)3 年間 ASA5585-20-AWI3Y
ASA 5585-X SSP-40(AVC + WSE + IPS)3 年間 ASA5585-40-AWI3Y
ASA 5585-X SSP-60(AVC + WSE + IPS)3 年間 ASA5585-60-AWI3Y
ASA 5512-X(AVC + WSE)3 年間 ASA5512-AW3Y
ASA 5515-X(AVC + WSE)3 年間 ASA5515-AW3Y
ASA 5525-X(AVC + WSE)3 年間 ASA5525-AW3Y
ASA 5545-X(AVC + WSE)3 年間 ASA5545-AW3Y
ASA 5555-X(AVC + WSE)3 年間 ASA5555-AW3Y
ASA 5585-X SSP-10(AVC + WSE)3 年間 ASA5585-10-AW3Y
ASA 5585-X SSP-20(AVC + WSE)3 年間 ASA5585-20-AW3Y
ASA 5585-X SSP-40(AVC + WSE)3 年間 ASA5585-40-AW3Y
ASA 5585-X SSP-60(AVC + WSE)3 年間 ASA5585-60-AW3Y
ASA 5515-X(AVC + NGFW IPS)3 年間 ASA5515-AI3Y
ASA 5525-X(AVC + NGFW IPS)3 年間 ASA5525-AI3Y
ASA 5545-X(AVC + NGFW IPS)3 年間 ASA5545-AI3Y
ASA 5555-X(AVC + NGFW IPS)3 年間 ASA5555-AI3Y
ASA 5585-X SSP-10(AVC + NGFW IPS)3 年間 ASA5585-10-AI3Y
ASA 5585-X SSP-20(AVC + NGFW IPS)3 年間 ASA5585-20-AI3Y
ASA 5585-X SSP-40(AVC + NGFW IPS)3 年間 ASA5585-40-AI3Y
ASA 5585-X SSP-60(AVC + NGFW IPS)3 年間 ASA5585-60-AI3Y


ソフトウェアのダウンロード


Cisco ASA Next-Generation Firewall Services ソフトウェアは、Cisco Software Center からダウンロードできます。

関連情報


詳細については、以下のリンクを参照してください。