Cisco ASA 機能

Cisco ASA 機能Cisco

Cisco ASA がもっている機能をざっくりと以下に挙げます

◆ステートフルパケットフィルタリング

従来のアクセスリストなどのパケットフィルタリング機能では「送信元、送信先」「アクセス先のポート」「アウトバウンド、インバウンド」などの項目で制御していた

この為、送信元を偽装した不正パケットは適切に処理できないことがある

しかし、ステートフルパケットインスペクションでは、送信元からのセッション(L3、L4情報)をキャッシュし、送信先からの戻りの通信と矛盾がないか確認する

よって、戻りの通信用の設定を意識する必要はない

また、セキュリティレベルという概念があり、セキュリティレベルの高いインターフェイス(Inside側)からの開始セッションはすべて許可し、セキュリティレベルの低いインターフェイス(Outside側)からのセッションは、管理者が許可の設定をしない限り、拒否する仕組みになっている

◆ユーザベース認証

アクスルールにマッチした通信に対して Client側 に認証を求める

つまり、セッション単位でアプリケーション層でのユーザーチェックを行なう「カットスループロキシ認証」を採用している

◆アプリケーションインスペクション

デフォルトでアプリケーション毎の固有の通信内容の情報(L7情報)がインストールされており、その情報を元にパケットを制御することができる

また、インスペクションルールを新規作成することも可能である

例えば、FTP通信 の場合、制御ポート(TCP21番)はクライアントからセッションを確立しに行くが、データポート(TCP20番)は、サーバ側からセッションを確立しに行くというようなアプリケーション固有の動きにも対応できる

(HTTP、SMTP/eSMTP、SIP、H.323、SCCP、MGCP、GTP、DNS、その他多数対応)

◆Network Address Translation(NAT)

ローカルアドレス、グローバルアドレスを相互変換する機能
以下にNATの種類を記載

Static NAT 

 プライベートIPアドレス と グローバルIPアドレス を常に1対1でマッピングする

Dynamic NAT 

 グローバルIPアドレスのプールの中で、プライベートIPアドレス と グローバルIPアドレスを
 1対1でマッピングさせる

PAT(NAPT)

 PAT用にTCP/UDPポート番号を割り当てることにより、複数のアドレスで
 一つの(グローバル、プライベート)アドレスを共有できるようにする

◆Modular Policy Framework

以下の3つの項目を使うことにより、アクセス制御、VPNポリシー、QOS等のトラフィックに対する詳細な制御が可能である

 >ClassMap トラフィックの指定

 >PolicyMap 動作の指定

 >ServicePolicy ポリシーの指定先の指定

◆Virtual Private Network

IPsec VPN、SSL VPN に対応している

また、これらは同時に使用可能である

◆Security Context(仮想Firewall)

ASA では 仮想Firewall を作成することにより、仮想Firewall毎 に処理を分ける事が可能である

・仮想FW毎 に別々のコンフィグファイルを作成できる。つまり、仮想FW毎 にセキュリティーポリシーを持つことが出来る

・Active/Active の冗長構成を組む際にも使用

◆冗長機能

ASAを2台使い、冗長化する

>Active/Standby

1台目を稼動系としてトラフィックを通過させ、2台目を待機系としてスタンバイさせておく、尚、スタンバイ機にトラフィックが通過することはない
切り替え時はインターフェースのIP、MAC情報 等がすべてスタンバイ機に引き継がれる

つまり、隣接している別の機器からは ASA が冗長構成を組んでいるにせよ、ひとつにしか見えない

>Active/Active

仮想FW機能 使用時のみ使用可能である(ASA5505 は仮想FW機能 はなし)
ロードバランシングでは無く、トラフィックの分散ができる

>フェイルオーバー

通常の冗長機能だが、切り替え時にセッション引継ぎはしない
Active機-Standby機 間で設定内容の同期をする(10秒間隔)

>ステートフルフェイルオーバー

セッション情報を維持したまま切り替えが可能である

◆Transparent mode

FW を L2デバイス として動作させる事が可能である
既存のセグメント構成を変更することなく FW の導入が可能

◆GUIによる管理

ASDM(Adaptive Security Device Manager)を使用することにより Web でASA のコンフィグレーション及びモニタリングが可能である

ASDM は ASA の Flashメモリー に内蔵されていて、管理端末へ ASDM をダウンロードして使用するか、ASA上 で実行させるかを選択可能

◆IPS/アンチウイルス

拡張モジュールにて機能する

 
 
<おすすめ>

Ciscoネットワーク構築教科書[設定編]
ルータ/スイッチ/ワイヤレス/セキュリティの設定を一挙に学ぶ! 設定の基本をすべて網羅! 設定例から学び、実践力を強化する Cisco製品の“設定”について網羅的に解説。 設定の基本から実践までを広範囲に学ぶことができます。 中小ネットワークなど数多くの企業システムで採用されている 主要なCisco製品を取り上げます。...
Ciscoネットワーク構築教科書[解説編]
Amazonでシスコシステムズ合同会社のCiscoネットワーク構築教科書。アマゾンならポイント還元本が多数。シスコシステムズ合同会社作品ほか、お急ぎ便対象商品は当日お届けも可能。またCiscoネットワーク構築教科書もアマゾン配送商品なら通常配送無料。
CISCO Cisco ASA 5505 適応型セキュリティ アプライアンス Users/ノード数50VPN対応3DES/AES ASA5505-50-BUN-K9
Cisco ASA 5500 シリーズ SSL/IPSec VPN Edition を利用すると、モバイルユーザ、固定エンドポイント、リモート オフィス、契約業者、ビジネス パートナーなど、多岐にわたるユーザに対して企業ネットワークへの安全なアクセスを提供できるようになります。幅広い導入形態とアプリケーション環境に対応...
タイトルとURLをコピーしました