Cisco Cisco ASA 5525-X with FirePOWER Services Prospecto
3
図
1
ASA
での
ASA FirePOWER
モジ ュ ール
ト ラ フ ィ ッ ク
フ ロー
(注)
2 つの ASA イ ン タ ーフ ェ イ ス 上の ホ ス ト が接続 さ れてお り 、 ASA FirePOWER サービ ス ポ リ シーが イ ン タ ーフ ェ イ
ス の一方のみに設定 さ れてい る 場合は、 こ れ ら の ホ ス ト 間のすべての ト ラ フ ィ ッ ク が ASA FirePOWER モジ ュ ール
に送信 さ れ ま す。 こ の機能は双方向で あ る ため、 こ れ ら の ト ラ フ ィ ッ ク には ASA FirePOWER 以外か ら の ト ラ
フ ィ ッ ク も 含 ま れ ま す。
ASA FirePOWER パ ッ シ ブ (モニ タ 専用) モー ド
モニ タ 専用モー ド の ト ラ フ ィ ッ ク フ ロ ーは、 イ ン ラ イ ン モー ド の ト ラ フ ィ ッ ク フ ロ ー と 同 じ です。 ただ し 、 ASA FirePOWER
モジ ュ ールでは ト ラ フ ィ ッ ク を ASA に戻 さ ない点のみが異な り ます。 代わ り に、 モジ ュ ールは ト ラ フ ィ ッ ク にセキ ュ リ テ ィ
ポ リ シーを適用 し 、 イ ン ラ イ ン モー ド で動作 し ていた ら ど の よ う にな っ ていたか を ユーザに通知 し ます。 た と えば、 ト ラ
モジ ュ ールでは ト ラ フ ィ ッ ク を ASA に戻 さ ない点のみが異な り ます。 代わ り に、 モジ ュ ールは ト ラ フ ィ ッ ク にセキ ュ リ テ ィ
ポ リ シーを適用 し 、 イ ン ラ イ ン モー ド で動作 し ていた ら ど の よ う にな っ ていたか を ユーザに通知 し ます。 た と えば、 ト ラ
フ ィ ッ ク が 「 ド ロ ッ プ さ れていた こ と が予想 さ れ る 」 と マー ク さ れ る 場合があ り ます。 ト ラ フ ィ ッ ク 分析に対 し て こ の情報を
使用す る と 、 イ ン ラ イ ン モー ド が必要か ど う か を判断す る う えで役に立ち ます。
パ ッ シブ モー ド を設定す る には、 サービ ス ポ リ シーに、 ト ラ フ ィ ッ ク を モジ ュ ールへ リ ダ イ レ ク ト す る モニ タ 専用の指示を
含め ま す。
パ ッ シブ モー ド を設定す る には、 サービ ス ポ リ シーに、 ト ラ フ ィ ッ ク を モジ ュ ールへ リ ダ イ レ ク ト す る モニ タ 専用の指示を
含め ま す。
(注)
ASA 上でモニ タ 専用モー ド と 通常の イ ン ラ イ ン モー ド の両方を同時に設定で き ません。 セキ ュ リ テ ィ ポ リ シーの 1 つ
の タ イ プのみが許可 さ れます。 マルチ コ ン テ キ ス ト モー ド では、 一部の コ ン テ キ ス ト に対 し てモニ タ専用モー ド を設
定 し 、 残 り の コ ン テ キ ス ト に対 し て通常の イ ン ラ イ ン モー ド を設定する こ と はで き ません。
の タ イ プのみが許可 さ れます。 マルチ コ ン テ キ ス ト モー ド では、 一部の コ ン テ キ ス ト に対 し てモニ タ専用モー ド を設
定 し 、 残 り の コ ン テ キ ス ト に対 し て通常の イ ン ラ イ ン モー ド を設定する こ と はで き ません。
次の図は、 パ ッ シブ モー ド で実行す る 場合の ト ラ フ ィ ッ ク フ ロ ーを示 し ま す。
図
2
ASA FirePOWER
パ ッ シ ブ (モニ タ 専用) モー ド
ASA
Main System
ASA FirePOWER
Diverted Traffic
ASA FirePOWER
inspection
VPN
Decryption
Firewall
Policy
Block
inside
outside
371444
ASA
Main System
inside
ASA FirePOWER
ASA FirePOWER
inspection
outside
VPN
Decryption
Firewall
Policy
Copied Traffic
371445