Листовка для Cisco Cisco ASA 5585-X with FirePOWER SSP-10
2
改訂日 : 2014 年 10 月 1 日
1
ASA FirePOWER モジ ュ ール
ASA FirePOWER モジ ュ ールは、 Next-Generation Intrusion Prevention System (NGIPS)、 Application Visibility and Control
(AVC)、 URL フ ィ ル タ リ ン グ、 Advanced Malware Protection (AMP) な ど の次世代の フ ァ イ ア ウ ォ ール サービ ス を提供 し
(AVC)、 URL フ ィ ル タ リ ン グ、 Advanced Malware Protection (AMP) な ど の次世代の フ ァ イ ア ウ ォ ール サービ ス を提供 し
ま す。 こ のモ ジ ュ ールは、 シ ン グル コ ン テ キ ス ト ま たはマルチ コ ン テ キ ス ト モー ド で使用す る こ と も 、 ルーテ ッ ド モー ド
ま たは ト ラ ン ス ペア レ ン ト モー ド で使用す る こ と も で き ます。
ま たは ト ラ ン ス ペア レ ン ト モー ド で使用す る こ と も で き ます。
こ のモジ ュ ールは、 ASA SFR と も 呼ばれ ます。
こ のモジ ュ ールには、 初期設定お よ び ト ラ ブルシ ュ ーテ ィ ン グ用の基本的な コ マ ン ド ラ イ ン イ ン タ ーフ ェ イ ス (CLI) が用
こ のモジ ュ ールには、 初期設定お よ び ト ラ ブルシ ュ ーテ ィ ン グ用の基本的な コ マ ン ド ラ イ ン イ ン タ ーフ ェ イ ス (CLI) が用
意 さ れてい ま すが、 別の ア プ リ ケーシ ョ ン で あ る FireSIGHT 管理セ ン タ ーを使用 し て、 デバ イ ス 上にセキ ュ リ テ ィ ポ リ シー
を設定す る こ と も で き ま す。 こ の ア プ リ ケーシ ョ ン は、 別の FireSIGHT 管理セ ン タ ーのアプ ラ イ ア ン ス 上にホ ス ト す る こ と
も 、 VMware サーバ上で実行 さ れ る 仮想アプ ラ イ ア ン ス と し て ホ ス ト す る こ と も 可能です (FireSIGHT 管理セ ン タ ー は防御
セ ン タ ー と も 呼ばれ ま す)。
ASA FirePOWER モジ ュ ールが ASA と 連携する方法
ASA FirePOWER モジ ュ ールは、 ASA と は別個の ア プ リ ケーシ ョ ン を実行 し ま す。 こ のモ ジ ュ ールは、 (ASA 5585-X での
み) ハー ド ウ ェ ア モジ ュ ール と し て使用す る こ と も 、 (他のすべてのモジ ュ ールでは) ソ フ ト ウ ェ ア モジ ュ ール と し て使用
す る こ と も で き ま す。 ハー ド ウ ェ ア モジ ュ ール と し て使用す る 場合、 デバ イ ス には別の管理ポー ト と コ ン ソ ール ポー ト 、 お
み) ハー ド ウ ェ ア モジ ュ ール と し て使用す る こ と も 、 (他のすべてのモジ ュ ールでは) ソ フ ト ウ ェ ア モジ ュ ール と し て使用
す る こ と も で き ま す。 ハー ド ウ ェ ア モジ ュ ール と し て使用す る 場合、 デバ イ ス には別の管理ポー ト と コ ン ソ ール ポー ト 、 お
よ び特別なデー タ イ ン タ ーフ ェ イ ス が含ま れ ま す。 こ の イ ン タ ーフ ェ イ ス は、 モジ ュ ール自体ではな く 、 ASA が直接使用 し
ま す。
ま す。
デバ イ ス は、 パ ッ シブ展開 (モニ タ 専用) ま たは イ ン ラ イ ン展開のいずれかで設定で き ま す。
•
パ ッ シブ展開では、 ト ラ フ ィ ッ ク の コ ピーがデバ イ ス に送信 さ れますが、 ASA には返 さ れません。 パ ッ シブ モー ド では、
デバ イ ス が ト ラ フ ィ ッ ク に対 し て実行 し た と 思われ る 内容を確認 し 、 ネ ッ ト ワ ー ク に影響を与えずに ト ラ フ ィ ッ ク の内容
デバ イ ス が ト ラ フ ィ ッ ク に対 し て実行 し た と 思われ る 内容を確認 し 、 ネ ッ ト ワ ー ク に影響を与えずに ト ラ フ ィ ッ ク の内容
を評価で き ます。
•
イ ン ラ イ ン展開では、 実際の ト ラ フ ィ ッ ク がデバ イ ス に送信 さ れ る ため、 ト ラ フ ィ ッ ク で発生す る 内容は、 デバ イ ス のポ
リ シーの影響を受け ます。 望ま し く ない ト ラ フ ィ ッ ク が ド ロ ッ プ さ れ、 ポ リ シーに よ り 適用 さ れた他のア ク シ ョ ンが実行
さ れた後、 ト ラ フ ィ ッ ク は ASA に返 さ れて、 追加の処理およ び最終的な伝送が行われます。
以降の項で、 こ れ ら のモー ド について詳 し く 説明 し ま す。
ASA FirePOWER イ ン ラ イ ン モー ド
イ ン ラ イ ン モー ド では、 ト ラ フ ィ ッ ク は ASA FirePOWER モジ ュ ールに転送 さ れ る 前に、 フ ァ イ ア ウ ォ ール検査を受け ま
す。 ASA で ASA FirePOWER イ ン ス ペ ク シ ョ ン のために ト ラ フ ィ ッ ク を識別す る 場合、 ト ラ フ ィ ッ ク は次の よ う に ASA お よ
びモ ジ ュ ール を通過 し ま す。
びモ ジ ュ ール を通過 し ま す。
1.
ト ラ フ ィ ッ ク はASAに入 り ます。
2.
着信 VPN ト ラ フ ィ ッ ク が復号化 さ れ ます。
3.
フ ァ イ ア ウ ォ ール ポ リ シーが適用 さ れ ます。
4.
ト ラ フ ィ ッ ク が ASA FirePOWER モジ ュ ールに送信 さ れ ます。
5.
ASA FirePOWER モジ ュ ールは ト ラ フ ィ ッ ク にセ キ ュ リ テ ィ ポ リ シーを適用 し 、 適切な ア ク シ ョ ン を実行 し ま す。
6.
有効な ト ラ フ ィ ッ ク が ASA に返 さ れ ます。 ASA FirePOWER モジ ュ ールは、 セ キ ュ リ テ ィ ポ リ シーに従っ て一部の ト ラ
フ ィ ッ ク を ブ ロ ッ ク す る こ と が あ り 、 ブ ロ ッ ク さ れた ト ラ フ ィ ッ ク は渡 さ れ ま せん。
7.
発信 VPN ト ラ フ ィ ッ ク が暗号化 さ れ ます。
8.
ト ラ フ ィ ッ ク が ASA か ら 出 ます。
次の図は、 ASA FirePOWER モジ ュ ールを イ ン ラ イ ン モー ド で使用す る 場合の ト ラ フ ィ ッ ク フ ロ ーを示 し ます。 こ の例で
は、 特定の ア プ リ ケーシ ョ ン に許可 さ れない ト ラ フ ィ ッ ク を モ ジ ュ ールがブ ロ ッ ク し ま す。 それ以外の ト ラ フ ィ ッ ク は、
ASAを通っ て転送 さ れ ま す。
は、 特定の ア プ リ ケーシ ョ ン に許可 さ れない ト ラ フ ィ ッ ク を モ ジ ュ ールがブ ロ ッ ク し ま す。 それ以外の ト ラ フ ィ ッ ク は、
ASAを通っ て転送 さ れ ま す。