鈴木 新(Arata Suzuki）

グローバルナレッジネットワーク（株）Cisco認定インストラクター

December 15, 2015

セキュリティ初心者のための

Cisco ASA with FirePOWER Services概要

Cisco Support Community

Expert Series Webcast

ご参加ありがとうございます本日の資料はこちらからダウンロードいただけますhttp://supportforums.cisco.com/ja/community/5356/webcast

直接ダウンロードする場合はこちらhttps://supportforums.cisco.com/ja/document/12727976

オーディオ ブロードキャスト について[Audio Broadcast（オーディオ ブロードキャスト）] ウィンドウが自動的に表示され、コンピュータのスピーカーから音声が流れます

[Audio Broadcast（オーディオ ブロードキャスト）] ウィンドウが表示されない場合は、[Communicate（コミュニケート）] メニューから [Audio Broadcast（オーディオ ブロードキャスト）] を選択します

イベントが開始されると自動的に音声が流れ始めます

音声接続に関する詳細はこちらをご参照ください。解決しない場合は、QA ウィンドウよりお知らせください。https://supportforums.cisco.com/ja/document/82876

ご質問方法Webcast 中のご質問は全て画面右側のQAウィンドウより All Panelist 宛に送信してください

エキスパート スピーカー

鈴木 新（Arata Suzuki）

グローバルナレッジネットワーク（株）Cisco認定インストラクター

会社案内グローバルナレッジネットワーク株式会社

We are Global Knowledge

世界約30か国で展開するITビジネストレーニングの独立系リーディングカンパニー

Global Knowledge Asia グループとしてアジア７ヶ国に展開

子会社グローバルナレッジマネジメントセンター株式会社を通じ、世界最大の人材育成組織 American Management Association のサービスを国内で唯一提供

Lineup

Partnership

世界有数のベンダー各社の認定教育機関

アワード受賞実績多数

アライアンスパートナーの優れたコンテンツ

Original

ベンダー非依存の要素技術

クロスプラットフォーム＆マルチベンダー

ヒューマン・スキル

グローバルビジネススキル

集合研修(定期開催)

集合研修(一社向け)

Virtual Classroom

(定期開催)

eラーニング(ASP／

CD-ROM)

オンライン配信

(一社向け)

Virtual Classroom

(一社向け)

NEW TRAINMIX TRAIN(新入社員研修)

Worldwide Training Service

テストセンター

提供コース1,000以上

年間提供クラス6,000以上

推奨コースのご案内★ ASA関連コースのご案内

●ASA5500シリーズを使用したセキュアネットワークの構築実習Cisco ASAの概要からコマンド及びGUI(ASDM)を使用した設定方法までを２日間で学習するグローバルナレッジオリジナルコースです。

●Cisco ASA with FirePOWER Services概要Cisco ASAの提案、設計、構築、保守を行っている方を対象として、1日でFirePOWERの全体像を学習するグローバルナレッジオリジナルコースです。演習でFirePOWERを操作し、動作の確認をすることができます。

▼コース詳細はこちら

gknet.jp/asawc

▼コース詳細はこちら

gknet.jp/fpwc

▼詳細・お申し込みはこちら

★ 20周年記念 キャンペーンのご案内

20周年記念キャンペーン

20周年記念キャンペーン

対象コースから2コースお申し込みいただくと、1コースが半額に！130コースから、お好きな組み合わせでご受講いただけます。

with Buy One Get One 50% OFF

対象コースを定価でご受講いただくと、クールなデジタルガジェットをプレゼント！話題のドローンやギフト券など2コース8点から選べます。

with Cool Gadget

gknet.jp/gk20th

鈴木 新(Suzuki Arata）

Dec 15, 2015

Cisco Support Community Expert Series Webcast

セキュリティ初心者のためのCisco ASA with FirePOWER Services概要

グローバルナレッジネットワーク（株）Cisco認定インストラクター

• 次世代ファイアウォールを説明できますか?

A) 説明できる。

B) 次世代ファイアウォールを聞いたことはあるが説明できない。

C) 次世代ファイアウォールを聞いたことがないがファイアウォールは聞いたことがある。

D) 次世代ファイアウォールもファイアウォールも聞いたことがない。

投票質問1

• 次世代ファイアウォールとは

• 従来のファイアウォール

• 次世代ファイアウォール

• ASAの基礎

• ASA 5500

• ASA 5500-X

• ASA with FirePOWERの機能

• IPS

• AVC

• URLフィルタリング

• AMP

• FireSIGHT Management Center

• オブジェクトの作成

• ポリシーの作成

• Demo

アジェンダ

次世代ファイアウォールとは

•従来のファイアウォール

•次世代ファイアウォール

–パケットフィルタリング

–ステートフルインスペクション

– NAT

– VPN

– HA構成（High Availability）

従来のファイアウォール

–パケットフィルタリング

–ステートフルインスペクション

– NAT

– VPN

– HA構成（High Availability）

次世代ファイアウォール

– アプリケーションコントロール

– ユーザーコントロール

– IPS/IDS

– L2/L3 構成での配置

下記の機能を追加

従来のファイアウォール

–パケットフィルタリング

–ステートフルインスペクション

– NAT

– VPN

– HA構成（High Availability）

次世代ファイアウォール

– アプリケーションコントロール

– ユーザーコントロール

– IPS/IDS

– L2/L3 構成での配置

下記の機能を追加

ASA with

FirePOWER

従来のファイアウォール

ASA

ASAの基礎 •ASA 5500

•ASA 5500-X

ASA 5500

CLI

スイッチやルータと同様の

モードからコマンドを入力

GUI

ASDMを使用

設定方法

ASA 5500シリーズ

（第一世代）

ASA 5500ファイアウォール

VPN

HA構成

NAT

ASA = Cisco Adaptive Security Appliance

複数のセキュリティ機能を兼ね備えた製品

ファイアウォール

ネットワークインターフェース層

インターネット層

トランスポート層

アプリケーション層

ＩＰ ＴＣＰ Data

通過を拒否 通過を許可

ネットワークの出入り口で動作

ASA 5500

FWは通信状態を把握し、次に来るパケットを予測

ステートテーブル

クライアント

ファイアウォール

Webサーバ

ヘッダデータ

想定する戻りパケット

ＯＫ！

ＮＧ！

ヘッダデータ

データヘッダ

データヘッダ

データヘッダ

データヘッダ

ステートフルインスペクション

インターネット

ファイアウォールを利用した典型的なネットワーク構成

社内クライアント

サーバルーム部門セグメント

L3機器

ファイアウォール 公開用サーバ

DMZ

社内サーバ

ファイアウォールシステムの構成

ASA 5500

各I/Fには、セキュリティレベル（0～100）を設定する（必須）

セキュリティレベルの高⇒低 OK

セキュリティレベルの低⇒高 NG

セキュリティレベルの高⇒低の戻り OK

※戻りパケットが許可されるのは、

デフォルトでTCPおよびUDPのみです。

inside

outside

dmz

インターネット

50

0

100

セキュリティレベルの概念

ASA 5500

(config)# access-list ICMP permit icmp 10.0.1.0 255.255.255.0 any

(config)# class-map Inspect-C

(config-cmap)# match access-list ICMP

(config)# policy-map Inspect-P

(config-pmap)# class Inspect-C

(config-pmap-c)# inspect icmp

(config)# service-policy Inspect-P interface inside

クラスマップの作成

ポリシーマップの作成

I/Fに適用

インスペクションの設定

ASA 5500

複数のプライベートアドレスを1つのグローバルアドレスに変換

(config)# object network PAT-Address(config-network-object)# host 200.1.1.5

(config)# object network PAT-Config(config-network-object)# subnet 10.0.1.0 255.255.255.0(config-network-object)# nat (inside,outside) dynamic PAT-Address

10.0.1.0/24

insideInternet outside

hostコマンドを使って、PAT変換後のアドレスを指定

PAT用IP 200.1.1.5

NAT変換前のアドレスをオブジェクト指定

NAT変換の紐づけ

NAT（PAT）

ASA 5500

IPsecVPNおよびSSL VPNをサポート

SSL VPN

Tunnel 社内Webサーバ

HTTP

WebVPN用ポータルページ

SSL VPNの例

VPN

ASA 5500

ASAを使った冗長構成

Active / Standby Failover

Active / Active Failover

Failed Active

Active/Standby Failoverの例

Internet

HA構成（High Availablity）

ASA 5500-X

ASA 5500-Xシリーズ

（第二世代）

ASA 5500-X

ASA 5512-X

200 Mbps NGFW

60 Mbps NGFW

plus IPS

100,000

Connections

10,000 CPS

ASA 5515-X

350 Mbps NGFW

90 Mbps NGFW

plus IPS

250,000

Connections

15,000 CPS ASA 5525-X

650 Mbps NGFW

300 Mbps NGFW

plus IPS

500,000

Connections

20,000 CPS

ASA 5545-X

1 Gbps NGFW

450 Mbps NGFW

plus IPS

750,000

Connections

30,000 CPS

1.4 Gbps NGFW

600 Mbps NGFW

plus IPS

1 Million

Connections

50,000 CPS

ASA 5555-X

小規模向け 中規模向け

Cisco ASA 5500-Xのパフォーマンス

ASA 5500-X

2 Gbps NGFW

1 Gbps NGFW

plus IPS

500,000

Connections

40,000 CPS

ASA 5585-SSP10

9 Gbps NGFW

2.5 Gbps NGFW

plus IPS

1.8 Million

Connections

120,000 CPS

ASA 5585-SSP40

13 Gbps NGFW

4 Gbps NGFW

plus IPS

4 Million

Connections

160,000 CPS

ASA 5585-SSP60

5 Gbps NGFW

1.5 Gbps NGFW

plus IPS

1 Million

Connections

75,000 CPS

ASA 5585-SSP20

大規模向け

Cisco ASA 5500-Xのパフォーマンス

ASA 5500-X

32© 2015 Cisco and/or its affiliates. All rights reserved.

ファイアウォール

IPS

ASA 5500-XASA with FirePOWERの通信の流れ

ASA 5500-X

• IPS（Intrusion Prevention System）

•AVC（Application Visibility Control）

•URLフィルタリング

•AMP（Advanced Malware Protection)

FirePOWERの主要機能

ASA 5500-X

URL

•AVCは標準実装

• 1、３年間の中から選択

IPS IPS IPS IPS

AMPURL AMP

URL

サブスクリプション ライセンス

ASA with FirePOWERの機能

• IPS

•AVC

•URLフィルタリング

•AMP

IPS

IPS（Intrusion Prevention System）

インターネット

社内クライアント

サーバルーム部門セグメント

L3機器

ファイアウォール

社内サーバ

IPS

IPSの構成

IPS

業界最高水準のIPSエンジン

• SNORT

オープンソースのIDS

シグニチャベースで動作

FirePOWERはSNORTベースのIPS

IPS

業界最高水準のIPSエンジン

•自動チューニング

ネットワーク環境の変化に伴いチューニングが必要

Network Awarenessの機能による推奨ルールの自動生成

チューニングを容易に行うことができる

AVC

AVC（Application Visibility Control）

AVC2500 を超えるアプリケーションを認識する

iTunes Google Drive

対応アプリ一覧http://tools.cisco.com/security/center/avc.x

AVC

シグニチャマッチングで識別するため、ポート番号が通信によって変わるアプリも識別可能

AVC ユーザー（グループ）、ネットワーク、ゾーン、

VLANなどが対象

リスク、関連性、タイプ、カテゴリーなどでアプリケーションを分類

2500を超えるアプリケーションとサブアプリケーション

AVC

45

Facebookは閲覧のみ許可した例

URL

URLフィルタリング

URL

81カテゴリ60言語200ヵ国対応

URL•レピュテーション スコア5 ～ 10：信頼できる動作の長い歴史があり、トラフィック量が多く、広くアクセスされている。

0 ～ 5：信頼できる動作の歴史がある、または第三者の検証を受けたサイト。

-3 ～ 3：管理された信頼できるコンテンツやリンクの提携ネットワークサイトおよびユーザが生成したコンテンツサイトの可能性がある。

-6 ～ -3：悪意がある疑いがあるが、確実ではない。攻撃的な広告シンジケートおよびユーザ トラッキング ネットワークの可能性がある。

-10 ～ -6：ほぼ確実に悪意のあるサイト。継続的にキー ロガー、ルートキット、およびその他のマルウェアを配布する専用サイト、またはハイジャックされたサイト。 フィッシングサイト、ボット、ドライブバイ インストーラも含まれる。

URL•カテゴリに分けられたURLを使用したフィルタリング機能

• SIOの分析によるWebレピュテーションスコアを使用

AMP

50

AMP（Advanced Malware Protection）

AMP

• ファイルがネットワークに侵入した際に、フィンガープリントを作成• フィンガープリントはSHA-254によるハッシュ値• フィンガープリントをCiscoのクラウドに送り分析する

ファイルレピュテーション

AMP

• マルウェアを検出した時に詳細な動作をチェック• サンドボックスと呼ばれるチェック用の環境で検査する• ファイルの脅威レベルを判断

ファイルサンドボックス

AMP過去にさかのぼって解析し、感染経路を特定する

ファイルトラジェクトリ

AMP

FirePOWER FireSIGHT

AMPの仕組み

AMP

• ファイルポリシーの設定は、ファイルとプロトコルを選択し、マルウェア検出のために検査

• 以下の項目を設定可能：• 検出するファイルの種類• 検出するプロトコル• 転送の方向• 取る行動（ブロック、検出など）

File Policy

• FirePOWERの一般的な設定方法はどれでしょう?

A) コマンドで設定する。

B) CCP（Cisco Configuration Professional）を使用する。

C) ASDM（Cisco Adaptive Security Device Manager）を使用する。

D) FireSIGHTを使用する。

投票質問2

FireSIGHTManagement Center

•オブジェクトの作成

•ポリシーの作成

ASDM＝＞ASAを設定する

FireSIGHT＝＞FirePOWERの機能をフル活用して管理/設定するための製品

GUIによる設定

FireSIGHT 初期設定

FirePOWER 設定・登録、基本設定

システム設定

パッチ・シグニチャのアップデート

オブジェクトの作成

アクセスポリシーの適用

FireSIGHT設定手順

セキュリティポリシーの作成

NetworkPortVLAN tagURLSecurity ZoneGeolocation

オブジェクトの作成

IntrusionFileNetworkDiscoverySSLUsers

ポリシーの作成

ルールの作成

IntrusionFileNetwork DiscoverySSLUsers

NetworkPortVLAN tagURLSecurity ZoneGeolocation

オブジェクト ポリシーAdaptive

Security Device Manager

Access Control Policy

ルール①

ルール②

ルール③

ルール④

複数のルールを1つのAccessControlPolicyにまとめる ACPを

FirePOWERに適用

FireSIGHT

Indication of Compromise（IoC:侵入の痕跡）

参考

Demo •FireSIGHTを使用したFirePOWERの設定と確認

Q & A 画面右側のQ&A ウィンドウから All Panelist 宛に送信してください

Ask the Expert with Arata Suzuki

今日聞けなかった質問は、今回のエキスパートが担当するエキスパートに質問（ 12月16日～ 12月27日まで開催）へお寄せください！https://supportforums.cisco.com/ja/discussion/12727981

Webcastの内容やQ&Aドキュメントは、本日より5営業日以内にこのサイトへ掲載いたします。https://supportforums.cisco.com/ja/community/5356/webcast

来月のWebcast 予定

2015年 1月26日（火） 10:00-11:30テーマ：Cisco Startを始めよう！～Cisco Startのご紹介と、シンプルに、簡単に、安全に、ネットワークを構築する方法をご案内します

スピーカー：藤原麻子（マーケティング マーケティングマネージャ）前原朋実（エンタープライズネットワーク プロダクトマネージャー）冲中恒雄（エンタープライズネットワークシステムズ エンジニアリングシステムズ エンジニア）

コンテンツに関するご意見を募集しています！

掲載してほしい情報あったら役に立つ情報英語ではなく日本語でほしい情報などリクエストをお寄せください

ソーシャルメディアでサポートコミュニティと繋がろう

http://www.facebook.com/CiscoSupportCommunityJapan

Twitter- http://bit.ly/csc-twitterhttps://twitter.com/cscjapan

https://www.youtube.com/user/CSCJapanModerator

Google+ http://bit.ly/csc-googleplus

LinkedIn http://bit.ly/csc-linked-in

Instgram http://bit.ly/csc-instagram

Newsletter Subscriptionhttp://bit.ly/csc-newsletter

ご参加ありがとうございましたアンケートにもご協力ください