Cisco ASA 機能

Cisco ASA がもっている機能をざっくりと以下に挙げます

◆ステートフルパケットフィルタリング

従来のアクセスリストなどのパケットフィルタリング機能では「送信元、送信先」「アクセス先のポート」「アウトバウンド、インバウンド」などの項目で制御していた

この為、送信元を偽装した不正パケットは適切に処理できないことがある

しかし、ステートフルパケットインスペクションでは、送信元からのセッション(L3、L4情報)をキャッシュし、送信先からの戻りの通信と矛盾がないか確認する

よって、戻りの通信用の設定を意識する必要はない

また、セキュリティレベルという概念があり、セキュリティレベルの高いインターフェイス(Inside側)からの開始セッションはすべて許可し、セキュリティレベルの低いインターフェイス(Outside側)からのセッションは、管理者が許可の設定をしない限り、拒否する仕組みになっている

◆ユーザベース認証

アクスルールにマッチした通信に対して Client側に認証を求める

つまり、セッション単位でアプリケーション層でのユーザーチェックを行なう「カットスループロキシ認証」を採用している

◆アプリケーションインスペクション

デフォルトでアプリケーション毎の固有の通信内容の情報(L7情報)がインストールされており、その情報を元にパケットを制御することができる

また、インスペクションルールを新規作成することも可能である

例えば、FTP通信の場合、制御ポート(TCP21番)はクライアントからセッションを確立しに行くが、データポート(TCP20番)は、サーバ側からセッションを確立しに行くというようなアプリケーション固有の動きにも対応できる

（HTTP、SMTP/eSMTP、SIP、H.323、SCCP、MGCP、GTP、DNS、その他多数対応）

◆Network Address Translation(NAT)

ローカルアドレス、グローバルアドレスを相互変換する機能
以下にNATの種類を記載

Static NAT　

　プライベートIPアドレスとグローバルIPアドレスを常に１対１でマッピングする

Dynamic NAT　

　グローバルIPアドレスのプールの中で、プライベートIPアドレスとグローバルIPアドレスを
　１対１でマッピングさせる

PAT(NAPT)

　PAT用にTCP/UDPポート番号を割り当てることにより、複数のアドレスで
　一つの(グローバル、プライベート)アドレスを共有できるようにする

◆Modular Policy Framework

以下の3つの項目を使うことにより、アクセス制御、VPNポリシー、QOS等のトラフィックに対する詳細な制御が可能である

　>ClassMap　トラフィックの指定

　>PolicyMap　動作の指定

　>ServicePolicy　ポリシーの指定先の指定

◆Virtual Private Network

IPsec VPN、SSL VPN に対応している

また、これらは同時に使用可能である

◆Security Context(仮想Firewall)

ASA では仮想Firewall を作成することにより、仮想Firewall毎に処理を分ける事が可能である

・仮想FW毎に別々のコンフィグファイルを作成できる。つまり、仮想FW毎にセキュリティーポリシーを持つことが出来る

・Active/Active の冗長構成を組む際にも使用

◆冗長機能

ＡＳＡを２台使い、冗長化する

>Active/Standby

１台目を稼動系としてトラフィックを通過させ、２台目を待機系としてスタンバイさせておく、尚、スタンバイ機にトラフィックが通過することはない
切り替え時はインターフェースのＩＰ、ＭＡＣ情報等がすべてスタンバイ機に引き継がれる

つまり、隣接している別の機器からはＡＳＡが冗長構成を組んでいるにせよ、ひとつにしか見えない

>Active/Active

仮想FW機能使用時のみ使用可能である(ASA5505 は仮想FW機能はなし）
ロードバランシングでは無く、トラフィックの分散ができる

>フェイルオーバー

通常の冗長機能だが、切り替え時にセッション引継ぎはしない
Active機－Standby機間で設定内容の同期をする（10秒間隔）

>ステートフルフェイルオーバー

セッション情報を維持したまま切り替えが可能である

◆Transparent mode

FW を L2デバイスとして動作させる事が可能である
既存のセグメント構成を変更することなく FW の導入が可能

◆GUIによる管理

ASDM(Adaptive Security Device Manager)を使用することにより Web でASA のコンフィグレーション及びモニタリングが可能である

ASDM は ASA の Flashメモリーに内蔵されていて、管理端末へ ASDM をダウンロードして使用するか、ASA上で実行させるかを選択可能

◆IPS/アンチウイルス

拡張モジュールにて機能する

＜おすすめ＞

Ciscoネットワーク構築教科書[設定編]

ルータ/スイッチ/ワイヤレス/セキュリティの設定を一挙に学ぶ! 設定の基本をすべて網羅! 設定例から学び、実践力を強化する Cisco製品の“設定”について網羅的に解説。設定の基本から実践までを広範囲に学ぶことができます。中小ネットワークなど数多くの企業システムで採用されている主要なCisco製品を取り上げます。...

Ciscoネットワーク構築教科書[解説編]

Amazonでシスコシステムズ合同会社のCiscoネットワーク構築教科書。アマゾンならポイント還元本が多数。シスコシステムズ合同会社作品ほか、お急ぎ便対象商品は当日お届けも可能。またCiscoネットワーク構築教科書もアマゾン配送商品なら通常配送無料。

CISCO Cisco ASA 5505 適応型セキュリティアプライアンス Users/ノード数50VPN対応3DES/AES ASA5505-50-BUN-K9

Cisco ASA 5500 シリーズ SSL/IPSec VPN Edition を利用すると、モバイルユーザ、固定エンドポイント、リモートオフィス、契約業者、ビジネスパートナーなど、多岐にわたるユーザに対して企業ネットワークへの安全なアクセスを提供できるようになります。幅広い導入形態とアプリケーション環境に対応...