Cisco Secure Firewall ASA Virtual(ASAv)データシート
偏向のない言語
この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
今日の組織は、ネットワークセキュリティの必要を満たす上で、物理的ソリューションと仮想コントロールポイントの組み合わせに依存しています。このような組織では、ブランチオフィス、企業データセンター、および各拠点間のすべてのポイントで一貫したポリシーを維持しつつ、さまざまな物理ファイアウォールと仮想ファイアウォールを幅広い環境に展開する柔軟な対応が必要です。データセンターの統合から、オフィスの移転、合併と買収、アプリケーションの需要がピークに達する時期に至るまで、シスコの仮想ファイアウォール ポートフォリオは、統一されたポリシーの利便性とあらゆる分野に展開できる柔軟性により、ビジネスにおけるセキュリティ管理の簡素化を支援します。
Cisco® Secure Firewall ASA Virtual(旧 ASAv)を使用すると、組織に必要なパフォーマンスを柔軟に選択できます。Cisco Secure Firewall ASA Virtual は、シスコの定評ある Secure Firewall ASA ソリューションの仮想化オプションであり、従来の物理データセンター、プライベートクラウド、およびパブリッククラウドでセキュリティを提供します。スケーラブルな VPN 機能により、組織のリソースへのセキュアなアクセスが可能になり、世界クラスのセキュリティ制御により、複雑化する脅威からワークロードが保護されます。
Cisco Secure Firewall ASA Virtual は、強力な VPN 機能を備えたファイアウォールです。サイト間 VPN、リモートアクセス VPN、クライアントレス VPN の機能をサポートしています。一貫性のあるポリシーにより、仮想および物理 Secure Firewall ASA ソリューション全体の管理が簡素化されます。シスコ スマート ソフトウェア ライセンシングにより、お客様のプライベート/パブリッククラウドで実行されているアプライアンスの仮想インスタンスを簡単に展開、管理、追跡できます。
パブリッククラウドまたはプライベートクラウドに展開された Cisco Secure Firewall ASA Virtual
VPN ヘッドエンド
Cisco AnyConnect®クライアントは、従業員が自宅などあらゆる場所のあらゆるデバイスから、いつでも安全に作業できるようにします。企業ネットワークへの高度にセキュアなアクセスをユーザーに提供し、IT およびセキュリティチームに可視性と制御性を与えて、インフラストラクチャにアクセスしているユーザーおよびデバイスを特定できるようにします。IT およびセキュリティチームがオフサイトの従業員や個人のデバイスをサポートする際の負担が軽減されます。Cisco Secure Firewall ASA Virtual は、複数のデータセンターを接続するためのサイト間 VPN をサポートしています。
クラウド間のライセンスポータビリティ
パブリッククラウドまたはプライベートクラウド(VMware、KVM と Hyper-V、OpenStack、Amazon Web Services(AWS)、Microsoft Azure、Google Cloud Platform(GCP)、Oracle Cloud Infrastructure(OCI)、官公庁クラウド)間の 1 つのライセンスのポータビリティを利用して、データセンターからブランチオフィス、パブリッククラウドに至るまで、あらゆる場所に Cisco Secure Firewall ASA Virtual を展開できます。1 つのライセンスで、ワークロードの拡張、縮小、および再配置を長期的に行い、複数のプライベートおよびパブリック クラウド インフラストラクチャに対応します。
ロータッチ導入
アプリケーションまたは VPN の計画外もしくは季節的な需要増に対応するために、追加の Cisco Secure Firewall ASA Virtual アプライアンスを迅速に導入できます。新しい仮想マシンをスピンアップすることで、リモートオフィスの帯域幅や保護を強化できます。さらに保護が必要な場合は、よりパフォーマンスの高いモデル(オプション)を選択できます。
シスコのスマート ソフトウェア ライセンシングにより、シスコのライセンスの購入、展開、追跡、更新が容易になります。以下のようなメリットがあります。
● 仮想アプライアンスのより簡単な購入とアクティベーション
● ライセンスプーリングにより、ライセンス管理と仮想アプライアンスのレポートが容易
● 仮想アプライアンスのプロビジョニング時の自動ライセンス アクティベーション
お客様、セレクトパートナー、およびシスコは、Cisco Smart Software Manager で製品の権限とサービスを閲覧できます。設定とアクティベーションは、単一のトークンで行います。Cisco Secure Firewall ASA Virtual はクラウドのシスコサーバーに自己登録するため、製品アクティベーションキー(PAK)で製品を登録する必要はありません。スマート ソフトウェア ライセンシングでは、PAK またはライセンスファイルを使用する代わりに、組織全体で使用できるソフトウェアライセンスまたは権限のプールを確立します。お客様の社内で仮想アプライアンスがインスタンス化されると、プールから権限が減少します。仮想アプライアンスが停止された場合、または Smart Software Manager でインスタンス化が解除された場合は、権限がプールに追加されます。
Smart Software Manager を使用すれば、企業全体のライセンス展開を簡単かつ迅速に管理できます。また、スマート ソフトウェア ライセンシングをサポートするシスコの複数の製品を管理することもできます。
Cisco Secure Firewall ASA Virtual は、スマート ソフトウェア ライセンシングを排他的に使用します。以前の形式のライセンシングはサポートしていません。
すべての Cisco Secure Firewall ASA Virtual ライセンスは、サポートされているすべての ASAv vCPU/メモリ構成で使用できます。これにより、お客様は、さまざまな VM リソースフットプリントで実行できるようになります。また、サポート対象の AWS、Azure、GCP および OCI インスタンスタイプの数も増えます。Cisco Secure Firewall ASA Virtual VM を構成する場合、サポートされる最大 vCPU 数は 16 個です。また、サポートされる最大メモリ容量は 128 GB RAM です。
表 1. 9.20 以降の仕様:ESXi/KVM/OpenStack
| 機能 |
|
|||||
| ライセンスのタイプ |
100M(ASAv5) |
1G(ASAv10) |
2G(ASAv30) |
10G(ASAv50) |
20G(ASAv100) |
ASAv-U 9.22 以降 KVM および ESXi |
| ステートフル インスペクション スループット(最大)[1] |
100 Mbps |
1 Gbps |
2 Gbps |
10 Gbps |
20 Gbps |
90 Gbps |
| ステートフル インスペクション スループット(マルチプロトコル)[2] |
100 Mbps |
1 Gbps |
2 Gbps |
10 Gbps |
20 Gbps |
60 Gbps |
| IPsec VPN スループット(AES 450B UDP テスト)[3] |
100 Mbps |
1 Gbps |
2 Gbps |
6 Gbps |
12 Gbps |
30 Gbps |
| 1 秒あたりの接続数 |
12,500 |
40,000 |
160,000 |
270,000 |
600,000 |
1,000,000 |
| 並列セッション |
50,000 |
100,000 |
500,000 |
2,000,000 |
4,000,000 |
8,000,000 |
| VLAN |
25 |
50 |
200 |
1024 |
1024 |
1024 |
| ブリッジ グループ |
12 |
25 |
100 |
250 |
250 |
250 |
| IPsec VPN ピア数 |
50 |
250 |
750 |
10,000 |
20,000 |
30,000 |
| Cisco AnyConnect またはクライアントレス VPN のユーザーセッション数 |
50 |
250 |
750 |
10,000 |
20,000 |
30,000 |
| 仮想 CPU コアの割り当て[4] |
1 |
1 |
4 |
8 |
16 |
16 以上 |
| メモリの割り当て4 |
2 GB |
2 GB |
8GB |
16 GB |
32 GB |
32 GB 以上 |
| ディスクストレージ[5] |
8GB |
8GB |
8GB |
8GB |
8GB |
8GB |
注: このデータは、Intel X520/X710 で SR-IOV を実行する Intel® Xeon® Gold 6254 を搭載した Cisco Unified Computing Systems(Cisco UCS®)C シリーズ M5 サーバーでテストした結果です。記載された仮想 CPU コアの割り当ては、ハイパースレッディングが無効にされた専用の物理コアを想定しています。表内のパフォーマンスに関する数字は、関連するテストの実行中のみに取得されたものです。ASAv Unlimited の場合、データは、Intel® Xeon® Platinum 8558P プロセッサを搭載し、Intel E810 上で SR-IOV を実行する Cisco UCS M7 でのテストによるものです。
表 2. 9.20 以降の仕様:AWS
| AWS のパフォーマンス |
|||||
| ライセンスのタイプ |
100M(ASAv5) |
1G(ASAv10) |
2G(ASAv30) |
10G(ASAv50) |
20G(ASAv100) |
| AWS インスタンスのタイプ |
c5n.large |
c5n.large |
c5n.xlarge |
c5n.2xlarge |
c5n.4xlarge |
| ステートフル インスペクション スループット(最大)6 |
100 Mbps |
1 Gbps |
2 Gbps |
10 Gbps |
20 Gbps |
| ステートフル インスペクション スループット(マルチプロトコル)7 |
100 Mbps |
1 Gbps |
2 Gbps |
4.5 Gbps |
7 Gbps |
| IPsec VPN スループット(AES 450B UDP テスト)8 |
100 Mbps |
1 Gbps |
2 Gbps |
4.5 Gbps |
8 Gbps |
| 1 秒あたりの接続数 |
12,500 |
60,000 |
80,000 |
120,000 |
200,000 |
| 並列セッション |
50,000 |
100,000 |
500,000 |
2,000,000 |
4,000,000 |
| IPsec VPN ピア数 |
50 |
250 |
750 |
10,000 |
20,000 |
| Cisco AnyConnect またはクライアントレス VPN のユーザーセッション数 |
50 |
250 |
750 |
10,000 |
20,000 |
表 3. 9.20 以降の仕様:Azure
| Azure のパフォーマンス* |
|||||
| ライセンスのタイプ |
100M(ASAv5) |
1G(ASAv10) |
2G(ASAv30) |
10G(ASAv50) |
20G(ASAv100) |
| Azure の VM タイプ |
D3_v2 |
D3_v2 |
D3_v2 |
D4_v2 |
D5_v2 |
| ステートフル インスペクション スループット(最大)6 |
100 Mbps |
1 Gbps |
2 Gbps |
5.5 Gbps |
11 Gbps |
| ステートフル インスペクション スループット(マルチプロトコル)7 |
100 Mbps |
1 Gbps |
2 Gbps |
4.6 Gbps |
6 Gbps |
| IPsec VPN スループット(AES 450B UDP テスト)8 |
100 Mbps |
1 Gbps |
2 Gbps |
4 Gbps |
8 Gbps |
| 1 秒あたりの接続数 |
4,000 |
4,000 |
4,000 |
8,000 |
14,000 |
| 並列セッション |
50,000 |
100,000 |
500,000 |
2,000,000 |
4,000,000 |
| IPsec VPN ピア数 |
50 |
250 |
750 |
10,000 |
20,000 |
| Cisco AnyConnect またはクライアントレス VPN のユーザーセッション数 |
50 |
250 |
750 |
10,000 |
20,000 |
表 4. 9.20 以降の仕様:GCP
| GCP パフォーマンス |
|||||
| ライセンスのタイプ |
100M(ASAv5) |
1G(ASAv10) |
2G(ASAv30) |
10G(ASAv50) |
20G(ASAv100) |
| GCP マシンタイプ |
c2-standard-4 |
c2-standard-4 |
c2-standard-4 |
c2-standard-8 |
c2-standard-16 |
| ステートフル インスペクション スループット(最大)6 |
100 Mbps |
1 Gbps |
2 Gbps |
7.6 Gbps |
16 Gbps |
| ステートフル インスペクション スループット(マルチプロトコル)7 |
100 Mbps |
1 Gbps |
2 Gbps |
6 Gbps |
10 Gbps |
| IPsec VPN スループット(AES 450B UDP テスト)8 |
100 Mbps |
1 Gbps |
2 Gbps |
5 Gbps |
9.5 Gbps |
| 1 秒あたりの接続数 |
12,500 |
48,000 |
48,000 |
82,000 |
160,000 |
| 並列セッション |
50,000 |
100,000 |
500,000 |
2,000,000 |
4,000,000 |
| IPsec VPN ピア数 |
50 |
250 |
750 |
10,000 |
20,000 |
| Cisco AnyConnect またはクライアントレス VPN のユーザーセッション数 |
50 |
250 |
750 |
10,000 |
20,000 |
表 5. 9.20 以降の仕様:OCI
| OCI パフォーマンス* |
|||||
| ライセンスのタイプ |
100M(ASAv5) |
1G(ASAv10) |
2G(ASAv30) |
10G(ASAv50) |
20G(ASAv100) |
| OCI のシェイプタイプ |
VM.Standard3.4 |
VM.Standard3.4 |
VM.Standard3.4 |
VM.Standard3.8 |
VM.Standard3.8 |
| ステートフル インスペクション スループット(最大)[6] |
100 Mbps |
1 Gbps |
2 Gbps |
8 Gbps |
8 Gbps |
| ステートフル インスペクション スループット(マルチプロトコル)[7] |
100 Mbps |
1 Gbps |
2 Gbps |
8 Gbps |
8 Gbps |
| IPsec VPN スループット(AES 450B UDP テスト)[8] |
100 Mbps |
1 Gbps |
2 Gbps |
7.5 Gbps |
7.5 Gbps |
| 1 秒あたりの接続数 |
12,500 |
120,000 |
250,000 |
450,000 |
450,000 |
| 並列セッション |
50,000 |
100,000 |
500,000 |
2,000,000 |
4,000,000 |
| IPsec VPN ピア数 |
50 |
250 |
750 |
10,000 |
20,000 |
| Cisco AnyConnect またはクライアントレス VPN のユーザーセッション数 |
50 |
250 |
750 |
10,000 |
20,000 |
表 6. Catalyst 9300 上の ASAc のアプリケーション ホスティング パフォーマンスの数値
| Catalyst 9K 上の ASAc のパフォーマンス* |
||||
| ライセンスのタイプ |
100M(ASAc5) |
1G(ASAc10) |
1G(ASAc10) |
1G(ASAc10) |
| Catalyst スイッチモデルと ASAc vCPU/メモリ |
9300 1vCPU/2GB |
9300 2vCPU/2GB |
9300X 2vCPU/4GB |
9300X 4vCPU/8GB |
| ステートフル インスペクション スループット(最大)6 |
100 Mbps |
1 Gbps |
1 Gbps |
1 Gbps |
| スループット:FW (450B) |
100 Mbps |
500 Mbps |
700 Mbps |
900 Mbps |
| IPsec VPN スループット(AES 450B UDP テスト)8 |
100 Mbps |
250 Mbps |
450 Mbps |
600 Mbps |
| 1 秒あたりの接続数 |
1400 |
6,000 |
8000 |
8000 |
| 並列セッション |
50,000 |
100,000 |
100,000 |
100,000 |
| IPsec VPN ピア数 |
50 |
250 |
250 |
250 |
表 7. K8s および Docker 上のスタンドアロン ASAc
| スタンドアロン ASAc |
||
| ライセンスのタイプ |
100M(ASAc5) |
1G(ASAc10) |
| ASAc vCPU/メモリ |
1 vCPU/2 GB |
1 vCPU/2 GB |
| ステートフル インスペクション スループット(最大)6 |
100 Mbps |
1 Gbps |
| スループット:FW(450B) |
100 Mbps |
500 Mbps |
| IPsec VPN スループット(AES 450B UDP テスト)8 |
100 Mbps |
250 Mbps |
| 1 秒あたりの接続数 |
1400 |
6000 |
| 並列セッション |
50,000 |
100,000 |
| VLAN |
25 |
50 |
| ブリッジ グループ |
12 |
25 |
| IPsec VPN ピア数 |
50 |
250 |
| Cisco AnyConnect またはクライアントレス VPN のユーザーセッション数 |
50 |
250 |
| 仮想 CPU コアの割り当て4 |
1 |
1 |
| メモリの割り当て4 |
2 GB |
2 GB |
表 8. Cisco Secure Firewall ASA Virtual モデルと適切なパブリック クラウド インスタンス タイプ
| 標準層 |
100M(ASAv5) |
1G(ASAv10)* |
2G(ASAv30)* |
10G(ASAv50)* |
20G(ASAv100)* |
注 |
| 適切な AWS インスタンスタイプ |
c5.large c4.large c3.large m4.large |
c5.large c4.large c3.large m4.large |
c5.xlarge c3.xlarge m4.xlarge c4.xlarge |
c5.2xlarge c4.2xlarge c3.2xlarge m4.2xlarge |
c5.4xlarge c5n.4xlarge |
サポートされる最小のインスタンスタイプは、1G の権限の最大スループット/制限をサポートする large です。自動拡張がサポートされています |
| 推奨される Azure の VM タイプ |
F4、F4s D3、D3_v2、 DS3、DS3_v2 |
F4、F4s D3、D3_v2、 DS3、DS3_v2 |
F4、F4s D3、D3_v2、 DS3、DS3_v2 |
F8、F8s D8_v3 D4、D4_v2、DS4、 DS4_v2 |
F16、F16s
D5、D5_v2、D16_v3、DS5、 DS5_v2 (バージョン 9.15 以降のみ) |
サポートされる最小インスタンスサイズは、2G の権限の最大スループット/制限をサポートする F4/F4s です。自動拡張がサポートされています。 Accelerated Networking がサポートされています。 |
| 推奨される GCP マシンタイプ(バージョン 9.15 以降のみ) |
c2-standard-4 |
c2-standard-4 |
c2-standard-4 |
c2-standard-8 |
c2-standard-16 |
サポートされる最小インスタンスサイズは、2G の権限の最大スループット/制限をサポートする c2-standard-4 です |
| 推奨される OCI のシェイプタイプ (バージョン 9.15 以降のみ) |
VM.Standard2.4 |
VM.Standard2.4 |
VM.Standard2.4 |
VM.Standard2.8 |
VM.Standard2.8 |
サポートされる最小インスタンスサイズは、2G の権限の最大スループット/制限をサポートする VM.standard2.4 です |
表 9. ハイパーバイザとパブリッククラウドの制約
| 機能 |
Vmware |
KVM |
Hyper-V |
AWS |
Azure |
GCP |
OCI |
| ハイパーバイザ サポート |
ESXi 6.0、6.5、6.7、7.0 |
対応 |
対応 |
AWS、AWS Gov Marketplace、AWS 中国(表 9 のサポートされる VM インスタンスを参照) |
Azure、Azure Gov Marketplace、Azure 中国(表 10 のサポートされる VM インスタンスを参照) |
GCP (表 11 のサポートされる VM インスタンスを参照) |
OCI (表 12 のサポートされる VM インスタンスを参照) |
| ハイ アベイラビリティ |
ステートレスアクティブ/スタンバイ |
|
非対応 |
ステートレスアクティブ/スタンバイ |
非対応 |
非対応 |
|
| モード |
ルーテッドおよびトランスペアレント |
|
ルーテッドのみ |
ルーテッドのみ |
ルーテッドのみ |
ルーテッドのみ |
|
表 10. Cisco AnyConnect の最大ユーザーセッション数
| RAM(GB) |
権限のサポート |
|||||
| 最小 |
最大 |
100M(ASAv5) |
1G(ASAv10)* |
2G(ASAv30)* |
10G(ASAv50)* |
20G(ASAv100)* |
| 2 |
<8 |
50 |
250 |
250 |
250 |
250 |
| 8 |
<16 |
50 |
250 |
750 |
750 |
750 |
| 16 |
<32 |
50 |
250 |
750 |
10K |
10K |
| 32 |
上限なし |
50 |
250 |
750 |
10K |
20K |
表 11. AWS インスタンスのサポート
| インスタンス |
属性 |
|
| vCPU |
メモリ(GB) |
|
| C5.large* |
2 |
4 |
| C5.xlarge* |
4 |
8 |
| C5.2xlarge* |
8 |
16 |
| C5.4xlarge** |
16 |
32 |
| C5n.large** |
2 |
5.25 |
| C5n.xlarge** |
4 |
10.5 |
| C5n.2xlarge** |
8 |
21 |
| C5n.4xlarge** |
16 |
54 |
| C4.large |
2 |
3.75 |
| C4.xlarge |
4 |
7.5 |
| C4.2xlarge* |
8 |
15 |
| C3.large |
2 |
3.75 |
| C3.xlarge |
4 |
7.5 |
| C3.2xlarge* |
8 |
15 |
| m4.large |
2 |
8 |
| m4.xlarge |
4 |
16 |
| m4.2xlarge* |
8 |
32 |
表 12. Azure インスタンスのサポート
| インスタンス |
属性 |
|
| vCPU |
メモリ(GB) |
|
| D3、D3_v2、DS3*、DS3_v2* |
4 |
14 |
| D4*、D4_v2*、DS4*、DS4_v2* |
8 |
36 |
| D5、DS5、D5_v2、DS5_v2** |
16 |
72 |
| D8_v3* |
8 |
32 |
| D16_v3** |
16 |
64 |
| F4*、F4s* |
4 |
8 |
| F8*、F8s* |
8 |
16 |
| F16、F16s** |
16 |
32 |
表 13. GCP インスタンスのサポート*
| インスタンス |
属性 |
|
| OCPU |
メモリ(GB) |
|
| n1-standard-4 |
4 |
15 |
| c2-standard-4 n2-standard-4 |
4 |
16 |
| n2-highmem-4 |
4 |
32 |
| c2-standard-8 n2-standard-8 |
8 |
32 |
| n1-standard-8 |
8 |
30 |
| n1-highcpu-8 |
8 |
7.2 |
| n2-highcpu-8 |
8 |
8 |
| n2-highmem-8 |
8 |
64 |
| c2-standard-16 n2-standard-16 |
16 |
64 |
| n1-standard-16 |
16 |
60 |
| n1-highcpu-16 |
16 |
14.4 |
| n2-highcpu-16 |
16 |
16 |
| n2-highmem-16 |
16 |
128 |
表 14. OCI インスタンスのサポート*
| インスタンス |
属性 |
|
| vCPU |
メモリ(GB) |
|
| VM.Standard2.4 |
4 |
60 |
| VM.Standard2.8 |
8 |
120 |
表 15. 発注情報:Cisco Commerce Workspace(CCW)では、基本セレクション(製品番号の「K9」で示されます)の後に、目的のライセンスタイプを注文してください。
| 製品番号 |
説明 |
| L-ASAV5S-K9= |
Cisco 100 Mbps 権限(ASAv5)セレクション(永久ライセンス) |
| L-ASA-V-5S-K9= |
Cisco 100 Mbps 権限(ASAv5)サブスクリプション |
| L-ASAV10S-K9= |
Cisco 1 Gbps 権限(ASAv10)セレクション(永久ライセンス) |
| L-ASA-V-10S-K9= |
Cisco 1 Gbps 権限(ASAv10)サブスクリプション |
| L-ASAV30S-K9= |
Cisco 2 Gbps 権限(ASAv30)セレクション(永久ライセンス) |
| L-ASA-V-30S-K9= |
Cisco 2 Gbps 権限(ASAv30)サブスクリプション |
| L-ASAV50S-K9= |
Cisco 10 Gbps 権限(ASAv50)セレクション(永久ライセンス) |
| L-ASA-V-50S-K9= |
Cisco 10 Gbps 権限(ASAv50)サブスクリプション |
| L-ASA-V-100S-K9= |
Cisco 20 Gbps 権限(ASAv100)サブスクリプション* |
目的達成に役立つ柔軟な支払いソリューション
Cisco Capital により、目標を達成するための適切なテクノロジーを簡単に取得し、ビジネス変革を実現し、競争力を維持できます。総所有コスト(TCO)の削減、資金の節約、成長の促進に役立ちます。100 か国あまりの国々では、ハードウェア、ソフトウェア、サービス、およびサードパーティの補助機器を購入するのに、シスコの柔軟な支払いソリューションを利用して、簡単かつ計画的に支払うことができます。詳細はこちらをご覧ください。