インターフェイスごとに、またはグローバルに適用するアクセス ルールは、防御の最前線となります。エントリ時に、特定のタイプのトラフィック、または特定のホストあるいはネットワーク間のトラフィックをドロップできます。デフォルトでは、内部ネットワーク（高セキュリティ レベル）から外部ネットワーク（低セキュリティ レベル）へのトラフィックは、自由に流れることが ASA によって許可されます。

アクセス ルールは、内部から外部へのトラフィックを制限するため、または外部から内部へのトラフィックを許可するために使用できます。

基本的なアクセス ルールでは、送信元アドレスとポート、宛先アドレスとポート、およびプロトコルの「5タプル」を使用してトラフィックを制御します。アクセス ルール およびアクセス コントロール リスト を参照してください。

URL フィルタリングは、宛先サイトの URL をベースにしたトラフィックを拒否または許可します。

スキャニング、サービス妨害（DoS）、および他の攻撃から保護するために多くの手段を実装できます。ASA の数多くの機能は、接続制限を適用して異常な TCP パケットをドロップすることで、攻撃から保護するのに役立ちます。一部の機能は自動ですが、ほとんどの場合でデフォルトが適切である設定可能な機能もあれば、完全に任意で必要な場合に設定する必要がある機能もあります。

次に、ASA で使用可能な脅威からの保護サービスを示します。

• IP パケット フラグメンテーションの保護：ASA は、すべての ICMP エラー メッセージの完全リアセンブリ、および ASA を介してルーティングされる残りの IP フラグメントの仮想リアセンブリを実行し、セキュリティ チェックに失敗したフラグメントをドロップします。コンフィギュレーションは必要ありません。

• 接続制限、TCP 正規化、およびその他の接続関連機能：TCP と UDP の接続制限値とタイムアウト、TCP シーケンス番号のランダム化、TCP ステート バイパスなどの接続関連サービスを設定します。TCP 正規化は、正常に見えないパケットをドロップするように設計されています。接続設定を参照してください。

  たとえば、TCP と UDP の接続、および初期接続（信元と宛先の間で必要になるハンドシェイクを完了していない接続要求）を制限できます。接続と初期接続の数を制限することで、DoS 攻撃（サービス拒絶攻撃）から保護されます。ASA では、初期接続の制限を利用して TCP 代行受信を発生させます。代行受信によって、TCP SYN パケットを使用してインターフェイスをフラッディングする DoS 攻撃から内部システムを保護します。

• 脅威検出：攻撃を識別できるように統計情報の収集するために脅威検出を ASA に実装します。基本脅威検出はデフォルトでイネーブルになっていますが、高度な統計情報とスキャン脅威検出を実装できます。スキャン脅威であると特定されたホストを遮断できます。脅威の検出を参照してください。

仮想環境は仮想マシンとしてサーバーを導入します（VMware ESXi など）。仮想環境でのファイアウォールは、従来のハードウェアデバイスでも実現できますが、ASA 仮想 などの仮想マシンのファイアウォールも実現できます。

従来のファイアウォールと次世代のファイアウォール サービスは、仮想マシン サーバーを使用しない環境に適用する場合と同じ方法で、仮想環境に適用されます。ただし、仮想環境では、サーバーの作成と切断が容易なため、追加の課題を提供できます。

さらに、データセンター内のサーバー間のトラフィックは、データセンターと外部ユーザー間のトラフィックと同じ程度の保護を必要とする可能性があります。たとえば、攻撃者がデータセンター内のあるサーバーの制御を手に入れた場合、データセンターのその他のサーバーに攻撃を広げる可能性があります。

仮想環境のファイアウォール サービスは、ファイアウォール保護を特に仮想マシンに適用する機能を追加します。以下に、仮想環境で使用可能なファイアウォール サービスを示します。

• 属性ベースのアクセス制御：属性に基づいて一致するトラフィックにネットワーク オブジェクトを設定し、アクセス制御ルールでこれらのオブジェクトを使用します。これにより、ネットワーク トポロジからファイアウォール ルールを分離することができます。たとえば、Engineering 属性を持つすべてのホストに Lab Server 属性を持つホストへのアクセスを許可できます。これらの属性を持つホストを追加および削除することができ、ファイアウォール ポリシーは、アクセス ルールを更新する必要なく自動的に適用されます。詳細については、属性ベースのアクセス制御を参照してください。

ネットワーク アドレス変換（NAT）の主な機能の 1 つは、プライベート IP ネットワークがインターネットに接続できるようにすることです。NAT は、プライベート IP アドレスをパブリック IP に置き換え、内部プライベート ネットワーク内のプライベート アドレスをパブリック インターネットで使用可能な正式の、ルーティング可能なアドレスに変換します。このようにして、NAT はパブリック アドレスを節約します。これは、ネットワーク全体に対して 1 つのパブリック アドレスだけを外部に最小限にアドバタイズすることができるからです。

NAT の他の機能には、次のおりです。

• セキュリティ：内部アドレスを隠蔽し、直接攻撃を防止します。

• IP ルーティング ソリューション：NAT を使用する際は、重複 IP アドレスが問題になりません。

• 柔軟性：外部で使用可能なパブリック アドレスに影響を与えずに、内部 IP アドレッシング スキームを変更できます。たとえば、インターネットにアクセス可能なサーバの場合、インターネット用に固定 IP アドレスを維持できますが、内部的にはサーバのアドレスを変更できます。

• IPv4 と IPv6（ルーテッド モードのみ）の間の変換：IPv4 ネットワークに IPv6 ネットワークを接続する場合は、NAT を使用すると、2 つのタイプのアドレス間で変換を行うことができます。

NAT は必須ではありません。特定のトラフィック セットに NAT を設定しない場合、そのトラフィックは変換されませんが、セキュリティ ポリシーはすべて通常通りに適用されます。

参照先：

• Network Address Translation（NAT）

• NAT の例と参照

インスペクション エンジンは、ユーザーのデータ パケット内に IP アドレッシング情報を埋め込むサービスや、ダイナミックに割り当てられるポート上でセカンダリ チャネルを開くサービスに必要です。これらのプロトコルでは、必要なピンホールを開く、およびネットワーク アドレス変換（NAT）を適用するために ASA で詳細なパケット インスペクションを行う必要があります。

デフォルトの ASA ポリシーは、すでに DNS、FTP、SIP、ESMTP、TFTP などの数多くの一般的なプロトコルのインスペクションをグローバルに適用しています。デフォルトのインスペクションでネットワークに必要なすべてが揃うことがあります。

ただし、他のプロトコルのインスペクションをイネーブルにしたり、インスペクションを微調整したりする必要がある場合があります。多くのインスペクションには、それらの内容に基づいてパケットを制御できる詳細なオプションがあります。プロトコルを十分に理解している場合には、そのトラフィックをきめ細かく制御できます。

サービス ポリシーを使用して、アプリケーション インスペクションを設定します。グローバル サービス ポリシーを設定するか、サービス ポリシーを各インターフェイスに適用するか、またはその両方を行うことができます。

参照先：

• サービス ポリシー

• アプリケーション レイヤ プロトコル インスペクションの準備

• 基本インターネット プロトコルのインスペクション

• 音声とビデオのプロトコルのインスペクション

• モバイル ネットワークのインスペクション。