ハードウェアとソフトウェアの互換性
サポートされるすべてのハードウェアおよびソフトウェアの一覧は、『Cisco ASA Compatibility(Cisco ASA の互換性)』[英語] を参照してください。
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Cisco ASA は、追加モジュールとの統合サービスに加え、高度なステートフル ファイアウォールおよび VPN コンセントレータ機能を 1 つのデバイスで提供します。ASA は、複数のセキュリティ コンテキスト(仮想ファイアウォールに類似)、クラスタリング(複数のファイアウォールを 1 つのファイアウォールに統合)、トランスペアレント(レイヤ 2)ファイアウォールまたはルーテッド(レイヤ 3)ファイアウォール オペレーション、高度なインスペクション エンジン、IPsec VPN、SSL VPN、クライアントレス SSL VPN サポートなど、多数の高度な機能を含みます。
サポートされるすべてのハードウェアおよびソフトウェアの一覧は、『Cisco ASA Compatibility(Cisco ASA の互換性)』[英語] を参照してください。
『Supported VPN Platforms, Cisco ASA Series』[英語] を参照してください。
このセクションでは、各リリースの新機能を示します。
(注) |
『syslog メッセージ ガイド』に、新規、変更済み、および廃止された syslog メッセージを記載しています。 |
(注) |
バージョン 9.4(4) は、バグ CSCvd78303 のため、Cisco.com から削除されました。 |
このリリースに新機能はありません。
機能 |
説明 |
||
---|---|---|---|
ファイアウォール機能 |
|||
ルートの収束に対する接続ホールドダウン タイムアウト。 |
接続で使用されているルートがもう存在していない、または非アクティブになったときに、システムが接続を保持する時間を設定できるようになりました。このホールドダウン期間内にルートがアクティブにならない場合、接続は解放されます。ルートの収束がさらに迅速に行われるようにホールドダウン タイマーを短縮することができます。ただし、ほとんどのネットワークでは、ルートのフラッピングを防止するためにデフォルトの 15 秒が適切です。 次のコマンドが追加されました。timeout conn-holddown |
||
リモート アクセス機能 |
|||
設定可能な SSH 暗号機能と HMAC アルゴリズム |
ユーザは SSH 暗号化を管理するときに暗号化モードを選択し、さまざまなキー交換アルゴリズムに対して HMAC と暗号化を設定できます。 次のコマンドが導入されました。ssh cipher encryption、ssh cipher integrity。 9.1(7) でも使用可能です。 |
||
IPv6 の HTTP リダイレクト サポート |
ASDM アクセスまたはクライアントレス SSL VPN 用の HTTPS に HTTP リダイレクトを有効にすると、IPv6 アドレスへ送信されるトラフィックもリダイレクトできるようになりました。 次のコマンドに機能が追加されました。http redirect 9.1(7) でも使用可能です。 |
||
モニタリング機能 |
|||
フェールオーバーの SNMP engineID の同期 |
フェールオーバー ペアでは、一対の ASA の SNMP engineID は両方のユニットで同期されます。ASA ごとに、同期された engineID、ネイティブ engineID、およびリモート engineID による engineID が 3 セット維持されます。 SNMPv3 ユーザは、ローカライズされた snmp-server user 認証とプライバシー オプションを保存するためのプロファイルを作成するときに ASA の engineID も指定できます。ユーザがネイティブ engineID を指定しない場合、show running config 出力に engineID がユーザごとに 2 つずつ表示されます。 次のコマンドが変更されました。snmp-server user |
||
show tech support の強化 |
show tech support コマンドは現在次のとおりです。
次のコマンドが変更されました。show tech support 9.1(7) でも使用可能です。 |
||
CISCO-ENHANCED-MEMPOOL-MIB の cempMemPoolTable のサポート |
CISCO-ENHANCED-MEMPOOL-MIB の cempMemPoolTable がサポートされました。これは、管理型システムのすべての物理エンティティのメモリプール モニタリング エントリのテーブルです。
追加または変更されたコマンドはありません。 9.1(7) でも使用可能です。 |
このリリースに新機能はありません。
(注) |
このリリースは Firepower 9300 ASA セキュリティ モジュールのみをサポートします。 |
このリリースに新機能はありません。
(注) |
ASAv 9.4(1.200) の各機能はこのリリースには含まれません。 |
(注) |
このバージョンは ISA 3000 をサポートしません。 |
(注) |
このリリースは Cisco ISA 3000 のみをサポートします。 |
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
Cisco ISA 3000 サポート |
Cisco ISA 3000 は、DIN レールにマウントされた高耐久型の産業用セキュリティ アプライアンスです。ギガビット イーサネットと専用管理ポートを備えた、低消費電型ファンレス デバイスです。このモデルには ASA Firepower モジュールが事前にインストールされています。このモデルの特別な機能として、カスタマイズされたトランスペアレント モードのデフォルト設定と、電源喪失時もトラフィックがアプライアンスを通過することを可能にするハードウェア バイパス機能があります。 次のコマンドが導入されました。hardware-bypass、hardware-bypass manual、hardware-bypass boot-delay、show hardware-bypass この機能は、バージョン 9.5(1) では使用できません。 |
(注) |
このリリースは、Firepower 9300 の ASA のみをサポートします。 |
機能 |
説明 |
||
---|---|---|---|
プラットフォーム機能 |
|||
Firepower 9300 の ASA セキュリティ モジュール |
Firepower 9300 の ASA セキュリティ モジュールに ASA を導入しました。
|
||
ハイ アベイラビリティ機能 |
|||
Firepower 9300 用シャーシ内 ASA クラスタリング |
FirePOWER 9300 シャーシ内では、最大 3 つセキュリティ モジュールをクラスタ化できます。シャーシ内のすべてのモジュールは、クラスタに属している必要があります。 次のコマンドを導入しました。cluster replication delay、debug service-module、management-only individual、show cluster chassis |
||
ライセンシング機能 |
|||
Firepower 9300 の ASA のシスコ スマート ソフトウェア ライセンシング |
FirePOWER 9300 に ASA のシスコ スマート ソフトウェア ライセンシングが導入されました。 次のコマンドが導入されました。feature strong-encryption、feature mobile-sp、feature context |
(注) |
このリリースは、ASAv のみをサポートします。 |
機能 |
説明 |
||
---|---|---|---|
プラットフォーム機能 |
|||
VMware 上の ASAv では vCenter サポートは不要になりました。 |
vCenter なしで、vSphere クライアントまたは OVFTool のデイゼロ設定を使用して ASAv を VMware 上にインストールできるようになりました。 |
||
Amazon Web Services(AWS)の ASAv |
Amazon Web Services(AWS)とデイゼロ設定で ASAv を使用できるようになりました。
|
機能 |
説明 |
||
---|---|---|---|
プラットフォーム機能 |
|||
ASA 5506W-X、ASA 5506H-X、ASA 5508-X、ASA 5516-X |
ワイヤレス アクセス ポイントを内蔵した ASA 5506W-X、強化された ASA 5506H-X、ASA 5508-X、ASA 5516-X の各モデルが導入されました。 hw-module module wlan recover image、hw-module module wlan recover image の各コマンドが導入されました。 |
||
認定機能 |
|||
国防総省(DoD)統一機能規則(UCR)2013 証明書 |
ASA は、DoD UCR 2013 規則を遵守するように更新されています。この証明書に追加された次の機能については、この表の行を参照してください。
|
||
FIPS 140-2 認証のコンプライアンス更新 |
ASA で FIPS モードを有効にすると、ASA が FIPS 140-2 に準拠するように追加制限が設定されます。次の制限があります。
ASA の FIPS 認証ステータスを表示するには、次の URL を参照してください。 http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140InProcess.pdf この PDF は毎週更新されます。 詳細については、Computer Security Division Computer Security Resource Center のサイトを参照してください。 http://csrc.nist.gov/groups/STM/cmvp/inprocess.html fips enable コマンドが変更されました。 |
||
ファイアウォール機能 |
|||
複数のコアを搭載した ASA での SIP インスペクションのパフォーマンスが向上。 |
複数のコアで ASA を通過する SIP シグナリングチングが複数存在する場合の SIP インスペクション パフォーマンスが向上しました。ただし、TLS、電話、または IME プロキシを使用する場合、パフォーマンスの向上は見られません。 変更されたコマンドはありません。 |
||
電話プロキシおよび UC-IME プロキシに対する SIP インスペクションのサポートが削除されました。 |
SIP インスペクションを設定する際、電話プロキシまたは UC-IME プロキシは使用できなくなります。暗号化されたトラフィックを検査するには、TLS プロキシを使用します。 phone-proxy、uc-ime の各コマンドが削除されました。inspect sip コマンドから phone-proxy キーワードと uc-ime キーワードが削除されました。 |
||
ISystemMapper UUID メッセージ RemoteGetClassObject opnum3 の DCERPC インスペクションのサポート。 |
ASA は、リリース 8.3 で EPM 以外の DCERPC メッセージのサポートを開始し、ISystemMapper UUID メッセージ RemoteCreateInstance opnum4 をサポートしています。この変更により、RemoteGetClassObject opnum3 メッセージまでサポートが拡張されます。 変更されたコマンドはありません。 |
||
コンテキストごとに無制限の SNMP サーバ トラップ ホスト |
ASA では、コンテキストごとに SNMP サーバのトラップ ホスト数の制限がありません。show snmp-server host コマンドの出力には ASA をポーリングしているアクティブなホストと、静的に設定されたホストのみが表示されます。 show snmp-server host コマンドが変更されました。 |
||
VXLAN パケット インスペクション |
ASA は、標準形式に準拠するために VXLAN ヘッダーを検査できます。 inspect vxlan コマンドが導入されました。 |
||
IPv6 の DHCP モニタリング |
IPv6 の DHCP 統計情報および DHCP バインディングをモニタできます。 |
||
ESMTP インスペクションの TLS セッションでのデフォルトの動作が変更されました。 |
ESMTP インスペクションのデフォルトが、検査されない、TLS セッションを許可するように変更されました。ただし、このデフォルトは新しい、または再イメージングされたシステムに適用されます。no allow-tls を含むシステムをアップグレードする場合、このコマンドは変更されません。 デフォルトの動作の変更は、古いバージョンでも行われました:8.4(7.25)、8.5(1.23)、8.6(1.16)、8.7(1.15)、9.0(4.28)、9.1(6.1)、9.2(3.2)、9.3(1.2)、9.3(2.2)。 |
||
ハイ アベイラビリティ機能 |
|||
スタンバイ ASA での syslog 生成のブロック |
スタンバイ装置で特定の syslog の生成をブロックできます。 no logging message syslog-id standby コマンドが導入されました。 |
||
インターフェイスごとに ASA クラスタのヘルス モニタリングをイネーブルまたはディセーブル |
ヘルス モニタリングは、インターフェイスごとにイネーブルまたはディセーブルにすることができます。デフォルトでは、ポートチャネル、冗長、および単一のすべての物理インターフェイスでヘルス モニタリングがイネーブルになっています。ヘルス モニタリングは VLAN サブインターフェイス、または VNI や BVI などの仮想インターフェイスでは実行されません。クラスタ制御リンクのモニタリングは設定できません。このリンクは常にモニタされています。たとえば、管理インターフェイスなど、必須以外のインターフェイスのヘルス モニタリングをディセーブルにすることができます。 health-check monitor-interface コマンドが導入されました。 |
||
DHCP リレーの ASA クラスタリングのサポート |
ASA クラスタで DHCP リレーを設定できます。クライアントの DHCP 要求は、クライアントの MAC アドレスのハッシュを使用してクラスタ メンバにロードバランスされます。DHCP クライアントおよびサーバ機能はサポートされていません。 debug cluster dhcp-relay コマンドが導入されました。 |
||
ASA クラスタリングでの SIP インスペクションのサポート |
ASA クラスタで SIP インスペクションを設定できます。制御フローは、任意のユニットで作成できますが(ロード バランシングのため)、その子データ フローは同じユニットに存在する必要があります。TLS プロキシ設定はサポートされていません。 show cluster service-policy コマンドが導入されました。 |
||
ルーティング機能 |
|||
Policy Based Routing:ポリシー ベース ルーティング |
ポリシーベース ルーティング(PBR)は、ACL を使用して指定された QoS でトラフィックが特定のパスを経由するために使用するメカニズムです。ACL では、パケットのレイヤ 3 および レイヤ4 ヘッダーの内容に基づいてトラフィックを分類できます。このソリューションにより、管理者は区別されたトラフィックに QoS を提供し、低帯域幅、低コストの永続パス、高帯域幅、高コストのスイッチド パスの間でインタラクティブ トラフィックとバッチ トラフィックを分散でき、インターネット サービス プロバイダーとその他の組織は明確に定義されたインターネット接続を介して一連のさまざまなユーザから送信されるトラフィックをルーティングできます。 set ip next-hop verify-availability、set ip next-hop、set ip next-hop recursive、set interface、set ip default next-hop、set default interface、set ip df、set ip dscp、policy-route route-map、show policy-route、debug policy-route の各コマンドが導入されました。 |
||
インターフェイス機能 |
|||
VXLAN のサポート |
VXLAN のサポートが追加されました(VXLAN トンネル エンドポイント(VTEP)のサポートを含む)。ASA またはセキュリティ コンテキストごとに 1 つの VTEP 送信元インターフェイスを定義できます。 次のコマンドが導入されました。debug vxlan、default-mcast-group、encapsulation vxlan、inspect vxlan、interface vni、mcast-group、nve、nve-only、peer ip、segment-id、show arp vtep-mapping、show interface vni、show mac-address-table vtep-mapping、show nve、show vni vlan-mapping、source-interface、vtep-nve、vxlan port |
||
モニタリング機能 |
|||
EEM のメモリ トラッキング |
メモリの割り当てとメモリの使用状況をログに記録してメモリ ロギングのラップ イベントに応答するための新しいデバッグ機能が追加されました。 次のコマンドが導入または変更されました。memory logging、show memory logging、show memory logging include、event memory-logging-wrap |
||
トラブルシューティングのクラッシュ |
show tech-support コマンドの出力と show crashinfo コマンドの出力には、生成された syslog の最新 50 行が含まれます。これらの結果を表示できるようにするには、logging buffer コマンドをイネーブルにする必要があります。 |
||
リモート アクセス機能 |
|||
ECDHE-ECDSA 暗号のサポート |
TLSv1.2 では、次の暗号のサポートが追加されています。
ssl ecdh-group コマンドが導入されました。 |
||
クライアントレス SSL VPN セッション Cookie アクセスの制限 |
クライアントレス SSL VPN セッション Cookie が JavaScript などのクライアント側のスクリプトを介してサードパーティからアクセスされないようにすることができます。
http-only-cookie コマンドが導入されました。 この機能は、9.2(3) にもあります。 |
||
セキュリティ グループ タギングを使用した仮想デスクトップのアクセス制御 |
ASA では、内部アプリケーションおよび Web サイトへのクライアントレス SSL リモート アクセス用にセキュリティ グループ タギングベースのポリシー制御をサポートしています。この機能では、配信コントローラおよび ASA のコンテンツ変換エンジンとして XenDesktop による Citrix の仮想デスクトップ インフラストラクチャ(VDI)を使用します。 詳細については、次の Citrix 製品のマニュアルを参照してください。
|
||
クライアントレスSSL VPN に OWA 2013 機能のサポートを追加 |
クライアントレス SSL VPN では、以下を除き、OWA 2013 の新機能をサポートしています。
変更されたコマンドはありません。 |
||
クライアントレスSSL VPN に Citrix XenDesktop 7.5 および StoreFront 2.5 のサポートを追加 |
クライアントレス SSL VPN では、XenDesktop 7.5 および StoreFront 2.5 のアクセスをサポートしています。 XenDesktop 7.5 の機能の完全なリストと詳細については、http://support.citrix.com/proddocs/topic/xenapp-xendesktop-75/cds-75-about-whats-new.html を参照してください。 StoreFront 2.5 の機能の完全なリストと詳細については、http://support.citrix.com/proddocs/topic/dws-storefront-25/dws-about.html を参照してください。 変更されたコマンドはありません。 |
||
定期的な証明書認証 |
定期的な証明書認証を有効にすると、ASA は、VPN クライアントから受信した証明書チェーンを保存し、それらを定期的に再認証します。 periodic-authentication certificate、revocation-check, show vpn-sessiondb の各コマンドが導入または変更されました。 |
||
証明書有効期限のアラート |
ASA は、トラスト ポイントですべての CA および ID の証明書の有効期限について 24 時間ごとにチェックします。証明書の有効期限がまもなく切れる場合は、syslog がアラートとして発行されます。リマインダおよび繰り返しの間隔を設定できます。デフォルトでは、リマインダは有効期限の 60 日前に開始し、7 日ごとに繰り返されます。 crypto ca alerts expiration コマンドが導入または変更されました。 |
||
基本制約 CA フラグの適用 |
デフォルトでは、CA フラグのない証明書を CA 証明書として ASA にインストールできなくなりました。基本制約拡張は、証明書のサブジェクトが CA で、この証明書を含む有効な認証パスの最大深さかどうかを示すものです。必要に応じて、これらの証明書のインストールを許可するように ASA を設定できます。 ca-check コマンドが導入されました。 |
||
IKEv2 無効セレクタの通知設定 |
現在、ASA が SA 上で着信パケットを受信し、そのパケットのヘッダー フィールドが SA 用のセレクタに適合しなかった場合、ASA はそのパケットを廃棄します。ピアへの IKEv2 通知の送信をイネーブルまたはディセーブルにすることができます。この通知の送信はデフォルトで無効になっています。
crypto ikev2 notify invalid-selectors コマンドが導入されました。 |
||
16 進数の IKEv2 事前共有キー |
16 進数の IKEv2 事前共有キーを設定できます。 ikev2 local-authentication pre-shared-key hex、ikev2 remote-authentication pre-shared-key hex の各コマンドが導入されました。 |
||
管理機能 |
|||
ASDM 管理認証 |
HTTP アクセスと Telnet および SSH アクセス別に管理認証を設定できるようになりました。 次のコマンドが導入されました。 aaa authorization http console |
||
証明書コンフィギュレーションの ASDM ユーザ名 |
ASDM の証明書認証(http authentication-certificate)を有効にすると、ASDM が証明書からユーザ名を抽出する方法を設定できます。また、ログイン プロンプトでユーザ名を事前に入力して表示できます。 次のコマンドが導入されました。http username-from-certificate |
||
CLI で ? の入力時にヘルプを有効または無効にするための terminal interactive コマンド |
通常、ASA CLI で ? を入力すると、コマンド ヘルプが表示されます。コマンド内にテキストとして ? を入力できるようにするには(たとえば、URL の一部として ? を含めるには)、no terminal interactive コマンドを使用してインタラクティブなヘルプを無効にします。 次のコマンドが導入されました。terminal interactive |
||
REST API の機能 |
|||
REST API バージョン 1.1 |
REST API バージョン 1.1 のサポートが追加されました。 |
||
トークンベース認証が(既存の基本認証に加えて)サポートされるようになりました。 |
クライアントは特定の URL にログイン要求を送信でき、成功すると、(応答ヘッダーに)トークンが返されます。クライアントはさらなる API コールを送信するために、(特別な要求ヘッダー内で)このトークンを使用します。トークンは明示的に無効にするまで、またはアイドル/セッション タイムアウトに到達するまで有効です。 |
||
マルチ コンテキスト モードの限定的なサポート |
REST API エージェントをマルチ コンテキスト モードで有効にできるようになりました。CLI コマンドはシステム コンテキスト モードでのみ発行できます(シングル コンテキスト モードと同じコマンド)。 次のようにパススルー CLI の API コマンドを使用して、コンテキストを設定できます。
context パラメータがない場合、要求は admin コンテキストに向けられたものとみなされます。 |
||
高度な(粒状の)インスペクション |
次のプロトコルの詳細なインスペクションをサポートします。
|
ファイアウォールは、外部ネットワーク上のユーザによる不正アクセスから内部ネットワークを保護します。また、ファイアウォールは、人事部門ネットワークをユーザ ネットワークから分離するなど、内部ネットワーク同士の保護も行います。Web サーバまたは FTP サーバなど、外部のユーザが使用できるようにする必要のあるネットワーク リソースがあれば、ファイアウォールで保護された別のネットワーク(非武装地帯(DMZ)と呼ばれる)上に配置します。ファイアウォールによって DMZ に許可されるアクセスは限定されますが、DMZ にあるのは公開サーバだけのため、この地帯が攻撃されても影響を受けるのは公開サーバに限定され、他の内部ネットワークに影響が及ぶことはありません。また、特定アドレスだけに許可する、認証または認可を義務づける、または外部の URL フィルタリング サーバと協調するといった手段によって、内部ユーザが外部ネットワーク(インターネットなど)にアクセスする機会を制御することもできます。
ファイアウォールに接続されているネットワークに言及する場合、外部ネットワークはファイアウォールの手前にあるネットワーク、内部ネットワークはファイアウォールの背後にある保護されているネットワーク、そして DMZ はファイアウォールの背後にあるが、外部ユーザに制限付きのアクセスが許されているネットワークです。ASA を使用すると、数多くのインターフェイスに対してさまざまなセキュリティ ポリシーが設定できます。このインターフェイスには、多数の内部インターフェイス、多数の DMZ、および必要に応じて多数の外部インターフェイスが含まれるため、ここでは、このインターフェイスの区分は一般的な意味で使用するだけです。
他のネットワークにアクセスするために、ファイアウォールを通過することが許可されるトラフィックがセキュリティ ポリシーによって決められます。デフォルトでは、内部ネットワーク(高セキュリティ レベル)から外部ネットワーク(低セキュリティ レベル)へのトラフィックは、自由に流れることが ASA によって許可されます。トラフィックにアクションを適用してセキュリティ ポリシーをカスタマイズすることができます。
アクセス ルールを適用することで、内部から外部に向けたトラフィックを制限したり、外部から内部に向けたトラフィックを許可したりできます。ブリッジグループ インターフェイスでは、EtherType アクセス ルールを適用して、非 IP トラフィックを許可できます。
NAT の利点のいくつかを次に示します。
内部ネットワークでプライベート アドレスを使用できます。プライベート アドレスは、インターネットにルーティングできません。
NAT はローカル アドレスを他のネットワークから隠蔽するため、攻撃者はホストの実際のアドレスを取得できません。
NAT は、重複 IP アドレスをサポートすることで、IP ルーティングの問題を解決できます。
ASA は、IP グラグメント保護を提供します。この機能は、すべての ICMP エラー メッセージの完全なリアセンブリと、ASA 経由でルーティングされる残りの IP フラグメントの仮想リアセンブリを実行します。セキュリティ チェックに失敗したフラグメントは、ドロップされログに記録されます。仮想リアセンブリはディセーブルにできません。
アクセス リストを使用して、特定の Web サイトまたは FTP サーバへの発信アクセスを禁止できますが、このような方法で Web サイトの使用方法を設定し管理することは、インターネットの規模とダイナミックな特性から、実用的とはいえません。
ASA でクラウド Web セキュリティを設定したり、URL およびその他のフィルタリング サービス(ASA CX や ASA FirePOWER など)を提供する ASA モジュールをインストールすることができます。ASA は、Cisco Web セキュリティ アプライアンス(WSA)などの外部製品とともに使用することも可能です。
インスペクション エンジンは、ユーザのデータ パケット内に IP アドレッシング情報を埋め込むサービスや、ダイナミックに割り当てられるポート上でセカンダリ チャネルを開くサービスに必要です。これらのプロトコルは、ASA によるディープ パケット インスペクションの実行を必要とします。
一部の ASA モデルでは、ソフトウェア モジュールの設定、またはハードウェア モジュールのシャーシへの挿入を行うことで、高度なサービスを提供することができます。これらのモジュールを通じてトラフィック インスペクションを追加することにより、設定済みのポリシーに基づいてトラフィックをブロックできます。また、これらのモジュールにトラフィックを送信することで、高度なサービスを利用することができます。
音声やストリーミング ビデオなどのネットワーク トラフィックでは、長時間の遅延は許容されません。QoS は、この種のトラフィックにプライオリティを設定するネットワーク機能です。QoS とは、選択したネットワーク トラフィックによりよいサービスを提供するネットワークの機能です。
TCP 接続、UDP 接続、および初期接続を制限することができます。接続と初期接続の数を制限することで、DoS 攻撃(サービス拒絶攻撃)から保護されます。ASA では、初期接続の制限を利用して TCP 代行受信を発生させます。代行受信によって、TCP SYN パケットを使用してインターフェイスをフラッディングする DoS 攻撃から内部システムを保護します。初期接続とは、送信元と宛先の間で必要になるハンドシェイクを完了していない接続要求のことです。
TCP 正規化は、正常に見えないパケットをドロップするように設計された高度な TCP 接続設定で構成される機能です。
スキャン脅威検出と基本脅威検出、さらに統計情報を使用して脅威を分析する方法を設定できます。
基本脅威検出は、DoS 攻撃などの攻撃に関係している可能性のあるアクティビティを検出し、自動的にシステム ログ メッセージを送信します。
典型的なスキャン攻撃では、あるホストがサブネット内の IP アドレスにアクセスできるかどうかを 1 つずつ試します(サブネット内の複数のホストすべてを順にスキャンするか、1 つのホストまたはサブネットの複数のポートすべてを順にスイープする)。スキャン脅威検出機能は、いつホストがスキャンを実行するかを判別します。トラフィック署名に基づく IPS スキャン検出とは異なり、ASA のスキャニング脅威検出機能は、スキャン アクティビティに関して分析できるホスト統計を含む膨大なデータベースを維持します。
ホスト データベースは、不審なアクティビティを追跡します。このようなアクティビティには、戻りアクティビティのない接続、閉じているサービス ポートへのアクセス、脆弱な TCP 動作(非ランダム IPID など)、およびその他の多くの動作が含まれます。
攻撃者に関するシステム ログ メッセージを送信するように ASA を設定できます。または、自動的にホストを排除できます。
ASA は、次の 2 つのファイアウォール モードで動作します。
ルーテッド
Transparent
ルーテッド モードでは、ASA は、ネットワークのルータ ホップと見なされます。
トランスペアレント モードでは、ASA は「Bump In The Wire」または「ステルス ファイアウォール」のように動作し、ルータ ホップとは見なされません。ASA は「ブリッジグループ」の内部および外部インターフェイスと同じネットワークに接続します。
トランスペアレント ファイアウォールは、ネットワーク コンフィギュレーションを簡単にするために使用できます。トランスペアレント モードは、攻撃者からファイアウォールが見えないようにする場合にも有効です。トランスペアレント ファイアウォールは、他の場合にはルーテッド モードでブロックされるトラフィックにも使用できます。たとえば、トランスペアレント ファイアウォールでは、EtherType アクセス リストを使用するマルチキャスト ストリームが許可されます。
ASA を通過するトラフィックはすべて、アダプティブ セキュリティ アルゴリズムを使用して検査され、通過が許可されるか、またはドロップされます。単純なパケット フィルタは、送信元アドレス、宛先アドレス、およびポートが正しいかどうかはチェックできますが、パケット シーケンスまたはフラグが正しいかどうかはチェックしません。また、フィルタはすべてのパケットをフィルタと照合してチェックするため、処理が低速になる場合があります。
(注) |
TCP ステート バイパス機能を使用すると、パケット フローをカスタマイズできます。 |
ただし、ASA のようなステートフル ファイアウォールは、パケットの次のようなステートについて検討します。
新規の接続かどうか。
新規の接続の場合、ASA は、パケットをアクセス リストと照合してチェックする必要があり、これ以外の各種のタスクを実行してパケットの許可または拒否を決定する必要があります。このチェックを行うために、セッションの最初のパケットは「セッション管理パス」を通過しますが、トラフィックのタイプに応じて、「コントロール プレーン パス」も通過する場合があります。
セッション管理パスで行われるタスクは次のとおりです。
アクセス リストとの照合チェック
ルート ルックアップ
NAT 変換(xlates)の割り当て
「ファスト パス」でのセッションの確立
ASA は、TCP トラフィックのファスト パスに転送フローとリバース フローを作成します。ASA は、高速パスも使用できるように、UDP、ICMP(ICMP インスペクションがイネーブルの場合)などのコネクションレス型プロトコルの接続状態の情報も作成するので、これらのプロトコルもファスト パスを使用できます。
(注) |
SCTP などの他の IP プロトコルの場合、ASA はリバース パス フローを作成しません。そのため、これらの接続を参照する ICMP エラー パケットはドロップされます。 |
レイヤ 7 インスペクションが必要なパケット(パケットのペイロードの検査または変更が必要)は、コントロール プレーン パスに渡されます。レイヤ 7 インスペクション エンジンは、2 つ以上のチャネルを持つプロトコルで必要です。2 つ以上のチャネルの 1 つは周知のポート番号を使用するデータ チャネルで、その他はセッションごとに異なるポート番号を使用するコントロール チャネルです。このようなプロトコルには、FTP、H.323、および SNMP があります。
確立済みの接続かどうか。
接続がすでに確立されている場合は、ASA でパケットの再チェックを行う必要はありません。一致するパケットの大部分は、両方向で「ファースト」パスを通過できます。高速パスで行われるタスクは次のとおりです。
IP チェックサム検証
セッション ルックアップ
TCP シーケンス番号のチェック
既存セッションに基づく NAT 変換
レイヤ 3 ヘッダー調整およびレイヤ 4 ヘッダー調整
レイヤ 7 インスペクションを必要とするプロトコルに合致するデータ パケットも高速パスを通過できます。
確立済みセッション パケットの中には、セッション管理パスまたはコントロール プレーン パスを引き続き通過しなければならないものがあります。セッション管理パスを通過するパケットには、インスペクションまたはコンテンツ フィルタリングを必要とする HTTP パケットが含まれます。コントロール プレーン パスを通過するパケットには、レイヤ 7 インスペクションを必要とするプロトコルのコントロール パケットが含まれます。
VPN は、TCP/IP ネットワーク(インターネットなど)上のセキュアな接続で、プライベートな接続として表示されます。このセキュアな接続はトンネルと呼ばれます。ASA は、トンネリング プロトコルを使用して、セキュリティ パラメータのネゴシエート、トンネルの作成および管理、パケットのカプセル化、トンネルを通したパケットの送信または受信、パケットのカプセル化の解除を行います。ASA は、双方向トンネルのエンドポイントとして機能します。たとえば、プレーン パケットを受信してカプセル化し、それをトンネルのもう一方のエンドポイントに送信することができます。そのエンドポイントで、パケットはカプセル化を解除され、最終的な宛先に送信されます。また、セキュリティ アプライアンスは、カプセル化されたパケットを受信してカプセル化を解除し、それを最終的な宛先に送信することもできます。ASA は、これらの機能を実行するためにさまざまな標準プロトコルを起動します。
ASA は、次の機能を実行します。
トンネルの確立
トンネル パラメータのネゴシエーション
ユーザの認証
ユーザ アドレスの割り当て
データの暗号化と復号化
セキュリティ キーの管理
トンネルを通したデータ転送の管理
トンネル エンドポイントまたはルータとしての着信と発信のデータ転送の管理
ASA は、これらの機能を実行するためにさまざまな標準プロトコルを起動します。
単一の ASA は、セキュリティ コンテキストと呼ばれる複数の仮想デバイスにパーティション化できます。各コンテキストは、独自のセキュリティ ポリシー、インターフェイス、および管理者を持つ独立したデバイスです。マルチ コンテキストは、複数のスタンドアロン デバイスを使用することに似ています。マルチ コンテキスト モードでは、ルーティング テーブル、ファイアウォール機能、IPS、管理など、さまざまな機能がサポートされています。ただし、サポートされていない機能もあります。詳細については、機能に関する各章を参照してください。
マルチ コンテキスト モードの場合、ASA には、セキュリティ ポリシー、インターフェイス、およびスタンドアロン デバイスで設定できるほとんどのオプションを識別するコンテキストごとのコンフィギュレーションが含まれます。システム管理者がコンテキストを追加および管理するには、コンテキストをシステム コンフィギュレーションに設定します。これが、シングル モード設定と同じく、スタートアップ コンフィギュレーションとなります。システム コンフィギュレーションは、ASA の基本設定を識別します。システム コンフィギュレーションには、ネットワーク インターフェイスやネットワーク設定は含まれません。その代わりに、ネットワーク リソースにアクセスする必要が生じたときに(サーバからコンテキストをダウンロードするなど)、システムは管理コンテキストとして指定されているコンテキストのいずれかを使用します。
管理コンテキストは、他のコンテキストとまったく同じです。ただし、ユーザが管理コンテキストにログインすると、システム管理者権限を持つので、システム コンテキストおよび他のすべてのコンテキストにアクセス可能になる点が異なります。
ASA クラスタリングを利用すると、複数の ASA をグループ化して、1 つの論理デバイスにすることができます。クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。
すべてのコンフィギュレーション作業(ブートストラップ コンフィギュレーションを除く)は、マスター ユニット上でのみ実行します。コンフィギュレーションは、メンバ ユニットに複製されます。
一部のサービスのマニュアルは、主要な設定ガイドおよびオンライン ヘルプとは別の場所にあります。
特殊なサービスを利用して、たとえば、電話サービス(Unified Communications)用のセキュリティ プロキシを提供したり、ボットネット トラフィック フィルタリングを Cisco アップデート サーバのダイナミック データベースと組み合わせて提供したり、Cisco Web セキュリティ アプライアンス用の WCCP サービスを提供したりすることにより、ASA と他のシスコ製品の相互運用が可能になります。これらの特殊なサービスの一部については、別のガイドで説明されています。
レガシー サービスは現在も ASA でサポートされていますが、より高度なサービスを代わりに使用できる場合があります。レガシー サービスについては別のガイドで説明されています。
『Cisco ASA Legacy Feature Guide』
このマニュアルの構成は、次のとおりです。
RIP の設定
ネットワーク アクセスの AAA 規則
IP スプーフィングの防止などの保護ツールの使用(ip verify reverse-path)、フラグメント サイズの設定(fragment)、不要な接続のブロック(shun)、TCP オプションの設定(ASDM 用)、および基本 IPS をサポートする IP 監査の設定(ip audit)。
フィルタリング サービスの設定