Cisco Adaptive Security Appliance(ASA)ソフトウェア

Cisco ASA ソフトウェア リリース 9.0

データ シート





Cisco ASA ソフトウェア リリース 9.0



Cisco® ASA ソフトウェアは、Cisco ASA セキュリティ デバイス ファミリで使用されているコア オペレーティング システムです。エンタープライズクラスのファイアウォールと VPN 機能を提供し、かつシスコ侵入防御システム(IPS)、シスコ クラウド型 Web セキュリティ(旧称 ScanSafe)、Cisco Identity Services Engine(ISE)および Cisco TrustSec と統合して進化し続けるセキュリティのニーズを満たす包括的なソリューションを実現します。


15 年以上にわたりファイアウォールおよびネットワーク セキュリティの分野で市場をリードしてきた実績のある Cisco ASA ソフトウェアは、全世界で 100 万台以上のセキュリティ アプライアンスに導入され、使用されています。同一のコア ASA ソフトウェアで、スタンドアロン アプライアンス、組織の既存のネットワーク インフラストラクチャと統合されるハードウェア ブレードを含めた幅広いフォーム ファクタ、およびパブリック クラウドとプライベート クラウドを安全に保護できるソフトウェアをサポートします。

ASA ソフトウェアはあらゆる規模の企業ネットワークを保護し、サービス プロバイダーのニーズに対応します。

クラスタリング


Cisco ASA ソフトウェア リリース 9.0 は最大 8 基の Cisco ASA 5580 または 5585-X 適応型セキュリティ アプライアンス ファイアウォール モジュールを組み合わせて単一のクラスタに結合することができ、最大 128 Gbps の実効スループット(最大 320 Gbps)と 5000 万を超える同時接続数を実現します。クラスタ化したときにパフォーマンスが大幅に低下する競合ソリューションとは異なり、ASA ソフトウェア クラスタリング ソリューションはクラスタ上のユニット数に関わらず、一貫した拡張性を提供します。また、競合プラットフォーム上でのクラスタリングが既存のレイヤ 2 およびレイヤ 3 ネットワークに中程度から高程度の変更を必要とする一方で、ASA ソフトウェアは既存の Cisco Virtual Switching System(VSS)および Cisco Virtual PortChannel(VPC)ベースのデータセンター設計を使用して、標準の Link Aggregation Control Protocol(LACP)上に構築されます。

8 ユニットのクラスタに 8 基の IPS モジュールを追加して補強し、最大 60 Gbps の IPS スループットを実現して内部および外部の脅威から高パフォーマンスのデータセンターを保護することができます。

表 1 Cisco ASA クラスタのファイアウォール パフォーマンス データ1

プラットフォーム 1 ユニット 2 ユニット クラスタ 4 ユニット クラスタ 8 ユニット クラスタ
Cisco ASA 5585X と SSP-10 2 Gbps 3.2 Gbps 6.4 Gbps 12.8 Gbps
Cisco ASA 5585X と SSP-20 5 Gbps 8 Gbps 16 Gbps 32 Gbps
Cisco ASA 5585X と SSP-40 10 Gbps 16 Gbps 32 Gbps 64 Gbps
Cisco ASA 5585X と SSP-60 20 Gbps 32 Gbps 64 Gbps 128 Gbps


パフォーマンス面での利点に加え、クラスタには管理とトラブルシューティングがしやすいというメリットもあります。マスター ノードにプッシュされたポリシーはクラスタ内のすべてのユニットに複製され、クラスタ全体、およびクラスタ内の個別のユニットの健全性、パフォーマンス、キャパシティの統計を単一の管理コンソールから評価することができます。


1 注意:パフォーマンス データは参考値です。実際の結果は非対称トラフィックの量とパケット サイズによって異なります。

Cisco TrustSec® の統合


ASA ソフトウェアは、アイデンティティベースのファイアウォール セキュリティと Cisco TrustSec® セキュリティ グループ タグの統合を通してコンテキスト認識機能を提供し、可視性と管理を強化します。アイデンティティベースのファイアウォール セキュリティは、より柔軟なアクセス制御によりユーザおよびグループのアイデンティティとアクセス ポイントに基づいたポリシー適用を可能にします。また、ポリシーの構成も簡素化されます。管理者はビジネス ルールに対応したポリシーを作成でき、セキュリティを高め、使いやすさを向上できるだけでなく、ポリシー自体の数も少なく抑えることができます。同様に、Cisco TrustSec の統合によってセキュリティ グループ タグをネットワークの DNA に埋め込むことができ、管理者はより良い、より詳細なポリシーの作成と適用が可能になります。

クラウド型 Web セキュリティの統合


ASA ソフトウェアはシスコ クラウド型 Web セキュリティとの統合により、企業にローカライズされたネットワーク セキュリティを組み合わせた集中管理型のコンテンツ セキュリティ ソリューションを提供します。競合ソリューションの多くが採用しているオールインワン型のアプローチとは異なり、Cisco ASA ソフトウェアが採用するアーキテクチャ アプローチはより優れたパフォーマンスと有効性を実現します。管理者は、ネットワーク アドレス、Microsoft Active Directory ユーザまたはグループ名、あるいは特定のセキュリティ コンテキスト内にあるホストに基づき、トラフィックのサブセットに対する詳細なコンテンツ スキャンの実行を選択できます。その結果、ASA ソフトウェアは妥協のないセキュリティと卓越したパフォーマンスを実現できます。

セキュア リモート アクセス


ASA ソフトウェアは SSL トンネル内、および Cisco AnyConnect® 3.1 以降と組み合わせて使用すればパブリック インターフェイス上で IPv4 と IPv6 のデュアル スタックで運用できます。IPv6 クライアントレス サポートも提供しています。ほとんどの競合ソリューションが IPv4 から IPv6 トラフィック パターンへの移行時に平均 80 % のパフォーマンス低下を引き起こす一方で、ASA ソフトウェアはパフォーマンスへの影響を 15 % 未満に抑え、IPv6 リモート アクセスの接続をサポートできます。

また、ASA ソフトウェアは、リモート アクセス向けのスイート B 暗号化規格および IPsec トンネルを使用したサイトツーサイト接続を含む包括的な次世代の暗号化機能を提供します。

特長と利点


表 2 特長と利点

特長 説明 主な利点 対応 ASA モデル
クラスタリング 複数のハードウェア アプライアンスで以下を実現
  • 最大 128 Gbps の実効スループット
  • 最大 5000 万の同時接続
  • 直線的かつ予測可能な規模とスループットの増加(例:2 ユニットのクラスタが 32 Gbps をサポートする場合、同一トラフィック プロファイルで 4 ユニットのクラスタは 64 Gbps をサポート)
  • Cisco Application Security Device Manager(ASDM)の単一インスタンスを使用して最大 8 ユニットのクラスタを構成、監視可能
  • クラスタ メンバー間のステータスを同期し、シングル ポイント障害を回避
ASA 5580 および ASA 5585-X アプライアンス
シスコ クラウド型 Web セキュリティ(Scansafe)の統合 シスコ クラウド型 Web セキュリティと統合し、シスコの Web セキュリティ クラウドに Web トラフィックをリダイレクトして Web セキュリティとマルウェア防御を実現。
  • チェックボックス セキュリティ製品と異なり、この統合で包括的な Web セキュリティ(URL フィルタリング、Web アプリケーションの可視化と制御(AVC)、マルウェア防御)を最小限のパフォーマンスおよびキャパシティ低下のみで提供
  • Web トラフィックをシスコ クラウド型 Web セキュリティ タワーにリダイレクトしてユーザ名、ユーザ グループ、送信元または宛先に基づいた追加の分析が可能
  • トラフィック リダイレクションにより最適化されたパフォーマンスを実現。本社またはブランチ オフィスへの VPN トラフィック、インターネットに直接送られるホワイトリスト トラフィック、シスコ クラウド型 Web セキュリティ タワーへ送られる詳細なスキャンのマークがつけられたトラフィックの 3 つの広範なカテゴリにトラフィックを分割可能
すべての ASA 5500 および 5500-X シリーズ アプライアンスおよび Cisco Catalyst 6500 シリーズ ASA サービス モジュール
TrustSec ASA ソフトウェアを Cisco TrustSec アーキテクチャに統合し、ASA ソフトウェアの 5 タプルおよびアイデンティティベースのファイアウォール ポリシー要素にセキュリティ グループ タグ(SGT)およびセキュリティ グループ名を追加。
  • セキュリティ デバイスがセキュリティ グループ タグ(SGT)を一貫した適用要素として使用可能
  • ASA ソフトウェアを使用して SGT に基づいたポリシー作成と適用が可能
  • ASA ソフトウェアがエンド ポイントでのポスチャまたは準拠性の変化に基づいて適切なポリシー アクション(例:許可、拒否、アクセス制限)を実行可能
すべての ASA 5500 および 5500-X シリーズ アプライアンスおよび Cisco Catalyst 6500 シリーズ ASA サービス モジュール
次世代暗号化 楕円曲線、SHA-2(256、384、512 ビット ハッシュ)を含む暗号化アルゴリズムのスイート B をサポート。ESPv3 として定義される IPSecv3 および拡張 IPSecv3 も含む
  • NSA 認定スイート B 暗号化規格により小さなキーサイズで優れた機密性と整合性を提供
ASA 5500-X シリーズおよび ASA 5585-X アプライアンス
マルチコンテキスト拡張機能 サイトツーサイト VPN およびダイナミック プロトコルのサポートを含むように現行の ASA Multicontext 機能を拡張。ルーテッド モードと透過モードが混在するマルチコンテキスト構成のサポートも追加。
  • 各ファイアウォールのコンテキストがスタティック ルートとダイナミック ルートにそれぞれのルーティング テーブルを維持可能
  • コンテキスト単位でルーティング プロトコルを混合およびマッチさせることが可能
  • IKEv1 および IKEv2 をサポート
  • 複数のモードでシングルモードのサイトツーサイト VPN 機能を維持
  • システム コンテキスト内で柔軟な VPN リソース割り当てが可能
すべての ASA 5500 および 5500-X アプライアンス(ASA 5505 を除く)および Cisco Catalyst 6500 シリーズ ASA サービス モジュール
IPv6 IPv4/IPv6 混在環境での ASA 導入を実現し、喫緊の課題である IPv6 への移行に対する準備を支援。
  • 次を含む重要な IPv4 から IPv6 への変換機能を提供し、IPv6 への移行を支援
    • ステートフル NAT64 および NAT66
    • DHCPv6 リレー、DNS64
    • IPv4 と IPv6 の混在環境でのポリシー構成を簡素化する統合型 ACL
  • IPv4 トラフィックと比べてパフォーマンスに対する影響を 15 % 未満に抑え、IPv6 リモート アクセス接続を提供 (競合ソリューションは、IPv4 から IPv6 トラフィック パターンへの移行時にパフォーマンスが平均で 80 % 低下)
すべての ASA 5500 および 5500-X シリーズ アプライアンスおよび Cisco Catalyst 6500 シリーズ ASA サービス モジュール
クライアントレス VPN での Citrix 相互運用性 クライアントレス ポータルを通した Citrix Xen インフラストラクチャへのアクセス機能をエンド ユーザに提供。
  • クライアントレス ポータルを使用して Web インターフェイス経由で XenDesktop および XenApp へのアクセスが可能
  • XenDesktop (5.0) および XenApp (6.0) にシングル サインオン サポートを提供
  • ASA から Xen インフラストラクチャへの Citrix Mobile Receiver 直接終了が可能
すべての ASA 5500 および 5500-X シリーズ アプライアンスおよび Cisco Catalyst 6500 シリーズ ASA サービス モジュール
クライアントレス VPN の強化 自動サインイン構成向けのテンプレートおよびツール
Java ベースのファイル ブラウザ
Java プラグイン向けのプロキシ サポート
  • 多様なアプリケーションでのシングル サインインに対するクライアントレス ポータルのより簡単で高速な構成を実現
  • 複数のアプリケーション向けに多様な標準化されたテンプレートを提供
  • 新しい Java ベースのファイル ブラウザを使用してクライアントレス ポータル経由で共有ファイルへのアクセスが可能
  • エンド ユーザがプロキシ サーバの背後にいても、Java プラグインを使用して TCP/IP アプリケーションへのアクセスが可能
すべての ASA 5500 および 5500-X シリーズ アプライアンスおよび Cisco Catalyst 6500 シリーズ ASA サービス モジュール


ソフトウェアのダウンロード


Cisco ASA ソフトウェアは、Cisco Software Centerからダウンロードできます。

サービスおよびサポート


ネットワークへの投資を無駄にすることなく、ネットワーク運用を最適化し、ネットワーク インテリジェンスの強化や事業の拡張を進めていただくために、シスコのサービスをぜひお役立てください。

サービスのライフサイクルの「運用」フェーズには、Cisco Security IntelliShield Alert Manager Service、Cisco SMARTnet®、Cisco Service Provider Base、および Cisco Services for IPS が含まれます。これらのサービスは、大企業、中堅・中小企業、およびサービス プロバイダーのお客様に適しています。

Cisco Security IntelliShield Alert Manager Service は、脅威と脆弱性に対する、カスタマイズ可能な Web ベースの警告サービスです。これにより企業は、自社の環境における潜在的な脆弱性に関して、正確で信頼できる情報に簡単かつタイムリーにアクセスできます。

Cisco Services for IPS は、IPS 機能を備えたモジュール、プラットフォーム、およびプラットフォームとモジュールのバンドルをサポートします。Cisco SMARTnet および Service Provider Base は、この製品ファミリの他の製品をサポートします。

関連情報


詳細については、以下のリンクを参照してください。