Cisco ASA with FirePOWER Services ローカル管理設定ガイド 6.0

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ

このマニュアル内で検索

検索結果

Updated:: 2025年3月3日月曜日

セキュリティ、インターネットアクセス、および通信ポート

ASA FirePOWER モジュールを保護するには、保護された内部ネットワークにそれをインストールしてください。ASA FirePOWER モジュールは必要なサービスとポートだけを使用するよう設定されますが、ファイアウォール外部からの攻撃がそこまで決して到達できないようにする必要があります。

また、ASA FirePOWER モジュールの機能によってはインターネット接続が必要となることにも注意してください。デフォルトで、ASA FirePOWER モジュールはインターネットに直接接続するよう設定されます。加えて、システムで特定のポートを開いたままにしておく必要があります。その目的はセキュアなアプライアンスアクセスおよび特定のシステム機能を正しく動作させるためにローカル/インターネットリソースへのアクセスを可能にすることです。

詳細については、以下を参照してください。

インターネットアクセス要件

デフォルトで、ASA FirePOWER モジュールはポート 443/tcp（HTTPS）および 80/tcp（HTTP）でインターネットに直接接続するよう設定されます。これらのポートは、ASA FirePOWER モジュール上でデフォルトでオープンになっています（通信ポートの要件を参照）。

次の表に、ASA FirePOWER モジュールの特定の機能におけるインターネットアクセス要件を示します。

表 D-1 ASA FirePOWER モジュール機能のインターネットアクセス要件
機能	インターネットアクセスの用途
侵入ルール、VDB、および GeoDB の更新	侵入ルール、GeoDB、または VDB の更新をアプライアンスに直接ダウンロードするか、ダウンロードをスケジュールします。
ネットワークベースの AMP	マルウェアクラウド検索を実行します。
セキュリティインテリジェンスフィルタリング	インテリジェンスフィードを含む、外部ソースからのセキュリティインテリジェンスフィードデータをダウンロードします。
システムソフトウェアの更新	システム更新をアプライアンスに直接ダウンロードするか、ダウンロードをスケジュールします。
URL フィルタリング	クラウドベースの URL カテゴリおよびレピュテーションデータをアクセスコントロール用にダウンロードし、カテゴライズされていない URL に対してルックアップを実行します。
whois	外部ホストの whois 情報を要求します。

通信ポートの要件

オープンポートは以下を許可します。

アプライアンスのユーザインターフェイスにアクセスする
アプライアンスへのリモート接続を保護する
特定のシステム機能を正しく動作させるために必要なローカル/インターネットリソースへのアクセスを可能にする

一般に、機能関連のポートは、該当する機能を有効化または設定する時点まで、閉じたままになります。

注意

開いたポートを閉じると展開にどのような影響が及ぶか理解するまでは、開いたポートを 閉じないでください。

たとえば、管理デバイス上のポート 25/tcp（SMTP）アウトバウンドを閉じた場合、個別の侵入イベントに関する電子メール通知をデバイスから送信できなくなります（侵入ルールの外部アラートの設定を参照）。

次の表は、ASA FirePOWER モジュールの機能を最大限に活用できるように、必要なオープンポートを示しています。

表 D-2 ASA FirePOWER モジュールの機能と運用のためのデフォルト通信ポート
ポート	説明	方向	開く目的
22/tcp	SSH/SSL	双方向	アプライアンスへのセキュアなリモート接続を許可します。
25/tcp	SMTP	発信	アプライアンスから電子メール通知とアラートを送信します。
53/tcp	DNS	発信	DNS を使用します。
67/udp 68/udp	DHCP	発信	DHCP を使用します。（注）これらのポートはデフォルトで閉じられています。
		双方向	HTTP 経由でカスタムおよびサードパーティのセキュリティインテリジェンスフィードを更新します。 URL カテゴリおよびレピュテーションデータをダウンロードします（さらにポート 443 も必要）。
161/udp	SNMP	双方向	SNMP ポーリング経由でアプライアンスの MIB にアクセスできるようにします。
162/udp	SNMP	発信	リモートトラップサーバに SNMP アラートを送信します。
389/tcp 636/tcp	LDAP	発信	外部認証用に LDAP サーバと通信します。
389/tcp 636/tcp	LDAP	発信	検出された LDAP ユーザに関するメタデータを取得します。
443/tcp	HTTPS	着信	アプライアンスのユーザインターフェイスにアクセスします。
443/tcp	HTTPS クラウド通信	双方向	次のものを取得します。ソフトウェア、侵入ルール、VDB、および GeoDB の更新 URL カテゴリおよびレピュテーションデータ（さらにポート 80 も必要）インテリジェンスフィードおよび他のセキュアなセキュリティインテリジェンスフィードファイルに関してネットワークトラフィックで検出されたマルウェアの性質
		双方向	デバイスのローカルユーザインターフェイスを使用してソフトウェア更新をダウンロードします。
514/udp	syslog	発信	リモート syslog サーバにアラートを送信します。
8305/tcp	アプライアンス通信	双方向	展開におけるアプライアンス間で安全に通信します。必須作業です。
8307/tcp	ホスト入力クライアント	双方向	ホスト入力クライアントと通信します。

このドキュメントは役に立ちましたか?

フィードバック

シスコに問い合わせ

サポートケースをオープン
(シスコサービス契約が必要です。)

Cisco ASA with FirePOWER Services ローカル管理設定ガ イ ド 6.0