cisco asa シリーズ ファイアウォール編...access control firewall content aware...
TRANSCRIPT
2014年4月2日
Cisco ASA シリーズ ファイアウォール編
セキュリティ事業 プロダクトセールススペシャリスト
荒島 麻依子
シスコシステムズ合同会社
シスコ ネットワーク 基礎トレーニング
Cisco Confidential 2 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
目次
•はじめに
•ファイアーウォールとは?
•ASA 概要
•知っておきたい ASAベーシック
•ASA ファイヤーウォール機能
•管理ツールCisco ASDM
•Partner with Cisco
Cisco Confidential 3 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
ACCESS
CONTROL
Firewall
CONTENT
AWARE
Applications
CONTEXT AWARE
Identity, Data,
Location
THREAT AWARE
Malware, APT
Firewall Content
Gateways Integrated Platform
Virtual Cloud
Devic
e
Data
Cente
r N
etw
ork
防御, 発見, 修復のための統合プラットフォーム
シスコセキュリティ戦略
Cisco Confidential 5 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
セキュリティトレンド
WWW
UTM
NGFW
Policy Admin Legacy FW IPS
NGFW Email Sec
Web Sec UTM
Policy Enforcement 3年後には数兆規模に!
DC FW
Cisco Confidential 6 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
セキュリティ製品ラインナップ
WWW
UTM
NGFW
Policy Admin Legacy FW DC FW IPS
NGFW Email Sec
Web Sec UTM
Policy Enforcement
Cisco ASAシリーズ (ASA5500x, ASASM,
ASA1kv …)
Cisco ISE
Cisco ISE ACS
WSA CWS
ESA
IPS
Cisco Confidential 7 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential 8 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
ファイアウォールとは?
ファイアウォールはイントラネットとインターネット間の出入り口に設置し、ここを通過する通信はすべてファイアウォールで制御可能となります。
許可された通信
許可されてない通信
ネットワークの境界上でアクセス制御を行う。
通信を監視し、ポリシーを元に転送や破棄を行い保護。
ファイアウォールの管理者が意図するようなポリシー(ルール)をすべての通信に適用(強制)することができます。
これによって、インターネットからの攻撃を防ぐだけでなく、イントラネットからの情報の漏洩なども、ある程度防ぐことができます。
▲@IT「ファイアウォール運用の基礎(1)」より (http://www.atmarkit.co.jp/ait/articles/0105/17/news002.html)
Cisco Confidential 9 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
なぜ、ファイアウォールが必要なのでしょうか。
管理外の外部ネット(インターネット)から 内側(会社・組織)のセキュリティを守るため
リスク(一例)
機密情報漏洩 サービス停止 マルウェア感染 他社への標的型攻撃の踏台化 改ざん etc..
Cisco Confidential 10 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
サイバー攻撃関連の報道が急増中
2013年(暦年)のサイバー攻撃件数は過去最多との報告が各方面でなされています。
『日本へのサイバー攻撃、最多の128億件か
13年、 05年の調査開始以来の記録に』 (2014/02/11 日本経済新聞)
『シスコの年次セキュリティ レポートでこれまでにない悪質な攻撃と悪意のあるトラフィックの増加を報告』(2014/03/04 シスコ日本版ニュースリリース)
『「2014年版 情報セキュリティ10大脅威」の1位は「標的型メールを用いた組織へのスパイ・諜報活動」』(2014/3/17 IPA(独立行政法人情報処理推進機構))
Cisco Confidential 11 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
入口・出口対策は必須!です
入口対策:NGFW IPS 出口対策:ボットネット トラフィック フィルタ 次世代ファイアウォールサービス: ASA Next Generation F/W Services
IPA「新しいタイプの攻撃」の対策に向けた設計・運用ガイド改訂第 2 版
Cisco Confidential 12 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
セキュリティ対策専用アプライアンスの必要性
ファイアウォールの主要な機能
• アクセス制限 • アドレス変換 • ユーザー認証 • ログ収集/解析 • コンテンツフィルタリング • ルーティング
一定の企業規模になるとインターネット接続構成はインターネット接続用のルータとファイアウォールを分離するのが一般的。
社内ネットワークへの不正なアクセス制限やセキュリティ確保はファイアウォールが担う。
Internet
DMZ
社内LAN
社内ネットワークに対してではなくインターネット接続ルータそのものへの攻撃を防止するための基本的なセキュリティの設定は必要。
ASA 5500-X
Cisco Confidential 13 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential 14 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
リモートアクセス
侵入検知・侵入防止 (IPS)
ファイアウォール マルウェア感染対策
安全なリモートアクセスと ネットワーク境界を保護
Cisco ASA 5500シリーズ
Adaptive Security Appliance
•AnyConnect (IPSec / SSL VPN)
•ステートフルインスペクション •仮想ファイアウォール
•カスタマイズシグネチャ •グローバルコリレーション •レピュテーションフィルタ
•ウィルス防御 •ボットネットトラフィック遮断
イントラネット内の防御
IPv6 サポート
ファイアウォール / VPN / IPSを統合
Cisco Confidential 15 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
ディスクレスの専用ハードウェア 1
高い信頼性とパフォーマンス 2
豊富な導入実績と歴史により洗練されたOS 3
ASAのセールスポイント
Cisco Confidential 16 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
データセンタ 大企業 支社 SOHO インターネット
エッジ
ASA 5585 SSP-60 (40 Gbps, 350K cps)
ASA 5585 SSP-40 (20 Gbps, 200K cps)
ASA 5585 SSP-20 (10 Gbps, 125K cps)
ASA 5585 SSP-10 (4 Gbps, 50K cps)
ASA 5505 (150 Mbps, 4K cps) ファイアウォール/ VPN / IPS
マルチサービスアプライアンス
VPN:5Gbps
10K Session
VPN:3Gbps
10K Session
VPN:2Gbps
10K Session
VPN:1Gbps
5K Session
VPN:100Mbps
25 Session
ASA 5512-X (1Gbps,10K cps)
VPN:200Mbps
250 Session
VPN:250Mbps
250 Session
ASA 5515-X (1.2Gbps,15K cps)
ASA 5525-X (2Gbps,20K pps)
VPN:300Mbps
750 Session
ASA 5545-X (3Gbps,30K pps)
VPN:400Mbps
2.5K Session
ASA 5555-X (4Gbps,50K pps)
VPN:600Mbps
5K Session
パフォーマンススケーラビリティ
ASA 5500/5500-X シリーズランナップ
Cisco Confidential 17 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
IPS ボットネット トラフィック
フィルタ
Router(L3) モードと Transparent (L2) モード対応 Stateful Firewall
ASA 5500-X
リモートVPN Essential Premium Mobile
ASA NGFW Services
Web Security Essentials
Application Visibility Control NGIPS
包括的なネットワーク セキュリティ サービスが提供可能なアプライアンス
堅牢なファイアウォールに加えて、侵入防御、VPN、コンテンツ セキュリティやリモート アクセスなどを備えるフル機能のセキュリティ サービスがあらゆる規模のビジネスで求められています。Cisco ASA ファミリのセキュリティ デバイスは、そうしたニーズに応えるために開発されました。
Cisco Confidential 18 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
ASAはWWでも高シェア
うち ASA関連製品群がトップ数割の売上
以降もCiscoシェアに大きな変化は無
2011年後期WW セキュリティ製品売上比率 Source : Infonetics Research
Cisco
国内ではこの3年間だけ見ても右肩上がり
Cisco Confidential 19 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
PIX Firewall
(1994 ~
2008)
ASA8.5 2011 ~
ASA 8.3 : 2010 リリース ~
【参考】ASAの歴史
2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 ….
ASA 7.0 : 2005リリース ~ 2010/Oct EoS
ASA 8.0 : 2007 リリース ~ 2012/Feb EoS
ASA 7.1 : 2006 リリース ~ 2008/Aug EoS
ASA 8.1 : 2009リリース ~ 2011/Jul EoS
ASA 7.2 : 2006 リリース ~
ASA 8.2 : 2009 リリース ~
ASA5580
リリース専用OS
8.2(4)~
ASA5585X対応
ASA8.4 2011 ~
ASASM
リリース専用OS
ミッドレンジASA5500X
リリース専用OS
8.6 2012
64bit化
2012年10月
ASA 9.0にマージ CLI インターフェイスの使い勝手は
長年変わらす!
Cisco Confidential 20 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
ファイアウォール
VPN終端装置
アドバンスド セキュリティ アプライアンス
ASAの3大ポイント
4/9(水)17:00~ リモートアクセスVPN編
6/5(木)17:00~ +アルファ編
Cisco Confidential 21 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential 22 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco ASA 主な実装機能
社内ネットワーク (Trusted Network)
インターネット (Untrusted Network)
許可されていない通信、悪意のあるパケット等
許可された通信
パケットフィルタリング アプリケーションインスペクション 2種類のデザイン - Router(L3) / Transparent (L2) バーチャルF/W -「マルチコンテキスト モード」 AD 連携 -「Identity Firewall」 クラスタリング
Cisco Confidential 23 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
IKE IPsec PPTP
H.323 v1-4 SIP SCCP (Skinny) GTP (3G Wireless) MGCP TRP/RTCP/RTSP TAPI / JTAPI
Microsoft Windows Messenger Microsoft NetMeeting Real Player Cisco IP Phones Cisco Softphones
ILS / LDAP Oracle / SQL*Net (V1/V2) Microsoft RPC / DCE RPC Microsoft Networking NFS RSH SunRPC / NIS+ X Windows (XDMCP)
HTTP FTP TFTP SMTP / ESMTP DNS / EDNS ICMP TCP UDP
主要なインターネットプロトコル
セキュリティサービス
データベース / OS サービス マルチメディア / VoIP
特定のアプリケーション
30以上のエンジン
アプリケーションインスペクション
アプリケーションが使用する通信プロトコルのきめ細かい制御により、強力なアプリケーションレイヤセキュリティを実現。
NAT/PAT越えや、特殊なアプリの動的ポート割り当ても柔軟に対応。
ASAはファイアウォールの基本的な機能が充実
Cisco Confidential 24 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
2種類のデザイン(L3/L2)
L3デバイス(ルータ等)として、IP Routingを行う位置づけ。
ASAのデフォルトモード。
Dynamic Routing(RIP,OSPF,EIGRP)も可能だが、Firewallは基本的にStatic Routeで考えます。
社内
DMZ
inside
dmz
outside
別サブネット
L2デバイス(スイッチ、ブリッジ等)として動作します。
通常のAccess Controlを動作させることができます。
既存の IPアドレス環境を変えずにFirewallを導入することができます。
inside
outside
同一サブネット
社内
Routed Transparent
インターネット インターネット
Cisco Confidential 25 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
バーチャルファイアウォール機能 「マルチセキュリティ コンテキスト」
1 台のASAをセキュリティ コンテキストと呼ばれる複数の仮想装置に分割。
各コンテキスト(仮想装置)は独自のセキュリティ ポリシー、インターフェイスおよび管理者を持つことが可能。
複数のスタンドアロン装置を使用している環境に比べて、大幅なTCO削減 (運用費、保守費、電力費等の削減)を実現。
Network1/部署1
Network2/部署2
Network3/部署3
out1 in1
context1
context2
context3
out2 in2
out3 in3
論理構成
Cisco Confidential 26 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
アイデンティティ ファイアウォール
送信元 IP アドレスではなくユーザ名とユーザ グループ名に基づいてアクセス ルールとセキュリティ ポリシーを設定できます。
ネットワーク IP アドレスではなくマッピングされたユーザ名を使用してイベントを報告します。
ASA
• セキュリティポリシー
• パケットフィルタリング
AD
• ユーザー情報
• グループ情報
ユーザのアイデンティティに基づいたより細かなアクセス コントロールを実現。
Cisco Confidential 27 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Firewallクラスタリング
複数のASA で処理を分散
高スループットの実現 最大 640Gbps まで対応 (理論値)
最大16台のアプライアンスで構成可能
L2 モード: IP,MAC アドレスを共有
L3 モード: 個別のIP,MAC アドレス
ロードバランスのアプローチ
外部スイッチ(ECLB)やルータ(ECMP,PBR)による
ステートレスロードバランス
独自のCluster Control Protocolによるクラスタ内のロードバランス
各ASAはCCL(Cluster Control Link)で接続
Clu
ste
r C
ontr
ol Lin
k
”Spanned Port Channel"という新コンセプトを利用,クラスタを組んだASA全体でPort Channelの設定の共有がなされる
クラスタ内でフローの再バランシングの機能を持つ
Cisco Confidential 28 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
ASA Software 9.1(4)にてASA5512, 5515, 5525, 5545, 5555で2台のFirewall Clusteringをサポート。Active / Active環境をMulti Context無しで利用可能に。(ASA5512はSecurity Plusライセンスが必要)
ASA5500-XシリーズでのFirewall Clustering
Cisco Confidential 29 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential 30 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco ASDM(Adaptive Security Device Manager)
Cisco ASA 5500-X シリーズには、無料の設定ソフトウェア「Cisco ASDM (Adaptive Security Device Manager)」が付属しています。グラフィカルなインターフェイスで設定も簡単です。
Cisco Confidential 31 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential 32 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
CheckPoint to ASA-X
Juniper Screen OS (Netscreen) to ASA-X
Available: Now
マイグレーションツール(無償)
https://fwmig.cisco.com ※ ご利用にはCiscoウェブサイトへのID/PWが必要です。
Cisco Confidential 33 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
パートナーセントラルテクノロジ資料
テクノロジ別にセールス / 技術 / セミナー資料を掲載
Power Point資料多数 (一部pdf)
資料総数はセキュリティカテゴリがNo1
例 : Cisco ASA Next-Generation Firewall Services (チラシ)(2013/07/17)
ASA 9.0 Firewall クラスタ技術アップデート(2013/06/26)
IPS 総合アップデートと大規模環境でのデザインのご紹介(2013/05/15)
Cisco TrustSec アップデート(2013/03/13)
セキュリティだけで200近い資料を掲載中
www.cisco.com/jp/go/partnerdoc/
Cisco Confidential 34 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
製品別にソートかけられます!
パートナーセントラルテクノロジ資料
Cisco Confidential 35 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
その他参考資料
シスコ セキュリティ レポートhttp://www.cisco.com/web/JP/solution/security/annual_security_report.html
Partner Solution Update(PSU)Week http://www.cisco.com/web/JP/partners/training/archive/
• Partner Solution Update (PSU) Week 2013 October [SEC-1] シスコ次世代型ファイアウォール ロードマップのご紹介
• Partner Solution Update (PSU) Week 2013 April
[SEC-3] 次世代ファイアウォール ASA-CX テクニカル解説
• Partner Solution Update (PSU) Week Week 2012 September
[SEC-4] ASA / AnyConnect 新機能のご紹介
• Partner Solution Update (PSU) Week Week 2012 February
[SEC-4] 仮想化データセンターでのセキュリティ
Partner Solution Update (PSU) Online http://www.cisco.com/jp/go/psuonline/vod
Partner Central資料ポータルサイト http://www.cisco.com/jp/go/partnerdoc
Cisco Confidential 36 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco.comの検索方法
検索方法はUS / 日本語サイトともに同じ
検索結果は圧倒的にUSコンテンツが充実 (例 : US 24700 / JP 1950 – 写真結果)
製品名やソリューション名がわかればクイックリンク(/go/xxxx/)が利用可能 例 : www.cisco.com/jp/go/asa/ , www.cisco.com/go/security/ etc…
www.cisco.com/jp/
www.cisco.com
Cisco Confidential 37 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
サポートしているOSは? ガイドは? – 仕様確認
1. ポータルサイトからリンクをクリック : 例. www.cisco.com/go/security
2. 検索エンジンを利用 : cisco.com以外にgoogleなども利用可能
3. カタログなどに書かれているリンクを直接入力
4.
一般的なガイド一覧 : 検索時に利用可能
Release Notes : リリースノート
Configuration guides : コンフィギュレーションガイド – 設定ガイド
Data sheet : データシート
Command reference : コマンドリファレンス – コマンドガイド
Ordering guide : オーダーガイド
Cisco Validated Design : CVD – 検証済デザインガイド
www.cisco.com
Cisco Confidential 38 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
セミナーの探し方 http://www.cisco.com/jp/go/partnertraining
パートナー → トレーニング & イベント
最新のセミナー情報をアップデート
トレーニングカレンダーから2か月くらいのスケジュールが確認可能
セキュリティはPSU Online, PSU week, CTU (lab)などで実施中
Cisco Confidential 39 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
サポートコミュニティ 日本
ユーザー同士でディスカッション、TACエンジニアへの質問スレッドなど様々なドキュメント / スレッドが利用可能
http://www.cisco.com/jp/go/cscj
Cisco Confidential 40 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
dCloud : ディー クラウド
各種リモートデモ機材の利用が可能なポータルサイト
さまざまなアーキテクチャに対応, シナリオ(英語)も準備済
WebRDP , RDP on AnyConnetでリモートサイトの実機に接続
コンソールの一時確認用などにも便利です
http://dcloud.cisco.com
デモ機材例 : Unified Access Version2コンテンツ Cisco 5508 Wireless Controller 7.4 Cisco Mobility Services Engine (MSE) 7.5 Cisco Identity Services Engine (ISE) 1.2 Cisco Prime Infrastructure 1.4 ASA 5505 (Firewall) 9.0 Cisco Catalyst 3750 Series Switch Cisco Unified Communications Manager 9.0 Microsoft Certificate Authority-Windows 2008 R2 Microsoft Active Directory-Windows 2008 R2
Cisco Confidential 41 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
PEC – E Learningコンテンツサイト
セキュリティはラボコンテンツも充実しています
“gold” 製品名で検索 例 : NGFW (ASA-CX), ISE 1.2 - SGA Firewall Lab, BN-Security-AnyConnect etc…
注 ) 事前スケジュール予約しておくことをお奨めします (当日予約の場合空きがない場合有)
http://www.cisco.com/jp/go/pec
Cisco Confidential 42 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
評価版
仮想セキュリティアプライアンスは評価版での利用が可能です
例 : ISE インストール後90日間利用可能 WSAv / ESAv ポータルから45日間ライセンスが取得可能 ASA1000v 60日間利用可能
ハードアプライアンスは一部評価ライセンス機能を持っています
例 : ASA 2VPN利用可能 , ASA NGFW インストール後全機能 60日間利用可能 WSA / ESA 担当営業を通じて30日間評価ライセンス発行
正式版のライセンス取得はライセンス発注後に届くPAKをライセンスポータルにてActivateする形をとります https://tools.cisco.com/SWIFT/LicensingUI/demoPage
Cisco Confidential 43 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
ソフトウェアのダウンロード
http://www.cisco.com/ ⇒ サポート ⇒ ダウンロード
製品名がわかる場合には検索を利用
製品名がわからない場合にはカテゴリから順に選択
Cisco Confidential 44 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
参考 : 仮想アプライアンスの違い
全く同じ製品 : Cisco ISE, ACSシリーズ
パフォーマンス以外は同じ製品 : WSAv, ESAv
当面は別Swバージョン提供 & 機能制限あり : Cisco ASA 1000v
対応 ASA ソフトウェアバージョン :
http://www.cisco.com/en/US/docs/security/asa/compatibility/asamatrx.html
対応機能一覧(リリース当時)
http://www.cisco.com/en/US/docs/security/asa/asa87/release/notes/asarn87.html#wp582545
仮想アプライアンスはVmware系に対応、一部HyperVの対応予定
Cisco Confidential 45 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
【ASA NGFW Services】A4一枚チラシ(PDF)
パートナー様向けサイト「パートナーセントラル」よりダウンロード可能
Cisco Confidential 46 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
【ASA 5500-Xシリーズ】A4一枚チラシ(PDF)
パートナー様向けサイト「パートナーセントラル」よりダウンロード可能
Cisco Confidential 47 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
テクノロジー マイグレーション プログラム(TMP)
概要
エンドユーザが新規にシスコ製品を購入する際に、既存機器の下取り額を算定し、算定額をパートナー様の購入額から割り引きます。
下取り額は下取り対象製品と新たに購入されるシスコ製品の組み合わせによって決まります。
下取り対象の機器はシスコに返却いただきます。
対象製品
シスコ製品
シスコが指定する他社製品
対象パートナー
シスコ認定ゴールド/シルバー/プレミア/セレクト 、登録パートナー様
案件獲得
Thank you.