Cisco ASA がもっている機能をざっくりと以下に挙げます
◆ステートフルパケットフィルタリング
従来のアクセスリストなどのパケットフィルタリング機能では「送信元、送信先」「アクセス先のポート」「アウトバウンド、インバウンド」などの項目で制御していた
この為、送信元を偽装した不正パケットは適切に処理できないことがある
しかし、ステートフルパケットインスペクションでは、送信元からのセッション(L3、L4情報)をキャッシュし、送信先からの戻りの通信と矛盾がないか確認する
よって、戻りの通信用の設定を意識する必要はない
また、セキュリティレベルという概念があり、セキュリティレベルの高いインターフェイス(Inside側)からの開始セッションはすべて許可し、セキュリティレベルの低いインターフェイス(Outside側)からのセッションは、管理者が許可の設定をしない限り、拒否する仕組みになっている
◆ユーザベース認証
アクスルールにマッチした通信に対して Client側 に認証を求める
つまり、セッション単位でアプリケーション層でのユーザーチェックを行なう「カットスループロキシ認証」を採用している
◆アプリケーションインスペクション
デフォルトでアプリケーション毎の固有の通信内容の情報(L7情報)がインストールされており、その情報を元にパケットを制御することができる
また、インスペクションルールを新規作成することも可能である
例えば、FTP通信 の場合、制御ポート(TCP21番)はクライアントからセッションを確立しに行くが、データポート(TCP20番)は、サーバ側からセッションを確立しに行くというようなアプリケーション固有の動きにも対応できる
(HTTP、SMTP/eSMTP、SIP、H.323、SCCP、MGCP、GTP、DNS、その他多数対応)
◆Network Address Translation(NAT)
ローカルアドレス、グローバルアドレスを相互変換する機能
以下にNATの種類を記載
Static NAT
プライベートIPアドレス と グローバルIPアドレス を常に1対1でマッピングする
Dynamic NAT
グローバルIPアドレスのプールの中で、プライベートIPアドレス と グローバルIPアドレスを
1対1でマッピングさせる
PAT(NAPT)
PAT用にTCP/UDPポート番号を割り当てることにより、複数のアドレスで
一つの(グローバル、プライベート)アドレスを共有できるようにする
◆Modular Policy Framework
以下の3つの項目を使うことにより、アクセス制御、VPNポリシー、QOS等のトラフィックに対する詳細な制御が可能である
>ClassMap トラフィックの指定
>PolicyMap 動作の指定
>ServicePolicy ポリシーの指定先の指定
◆Virtual Private Network
IPsec VPN、SSL VPN に対応している
また、これらは同時に使用可能である
◆Security Context(仮想Firewall)
ASA では 仮想Firewall を作成することにより、仮想Firewall毎 に処理を分ける事が可能である
・仮想FW毎 に別々のコンフィグファイルを作成できる。つまり、仮想FW毎 にセキュリティーポリシーを持つことが出来る
・Active/Active の冗長構成を組む際にも使用
◆冗長機能
ASAを2台使い、冗長化する
>Active/Standby
1台目を稼動系としてトラフィックを通過させ、2台目を待機系としてスタンバイさせておく、尚、スタンバイ機にトラフィックが通過することはない
切り替え時はインターフェースのIP、MAC情報 等がすべてスタンバイ機に引き継がれる
つまり、隣接している別の機器からは ASA が冗長構成を組んでいるにせよ、ひとつにしか見えない
>Active/Active
仮想FW機能 使用時のみ使用可能である(ASA5505 は仮想FW機能 はなし)
ロードバランシングでは無く、トラフィックの分散ができる
>フェイルオーバー
通常の冗長機能だが、切り替え時にセッション引継ぎはしない
Active機-Standby機 間で設定内容の同期をする(10秒間隔)
>ステートフルフェイルオーバー
セッション情報を維持したまま切り替えが可能である
◆Transparent mode
FW を L2デバイス として動作させる事が可能である
既存のセグメント構成を変更することなく FW の導入が可能
◆GUIによる管理
ASDM(Adaptive Security Device Manager)を使用することにより Web でASA のコンフィグレーション及びモニタリングが可能である
ASDM は ASA の Flashメモリー に内蔵されていて、管理端末へ ASDM をダウンロードして使用するか、ASA上 で実行させるかを選択可能
◆IPS/アンチウイルス
拡張モジュールにて機能する
<おすすめ>