Cisco ASA の概要

Cisco ASA は、追加モジュールとの統合サービスに加え、高度なステートフルファイアウォールおよび VPN コンセントレータ機能を 1 つのデバイスで提供します。ASA は、複数のセキュリティコンテキスト（仮想ファイアウォールに類似）、クラスタリング（複数のファイアウォールを 1 つのファイアウォールに統合）、トランスペアレント（レイヤ 2）ファイアウォールまたはルーテッド（レイヤ 3）ファイアウォールオペレーション、高度なインスペクションエンジン、IPsec VPN、SSL VPN、クライアントレス SSL VPN サポートなど、多数の高度な機能を含みます。

ハードウェアとソフトウェアの互換性

サポートされるすべてのハードウェアおよびソフトウェアの一覧は、『Cisco ASA Compatibility（Cisco ASA の互換性）』[英語] を参照してください。

VPN の互換性

『Supported VPN Platforms, Cisco ASA Series』[英語] を参照してください。

新機能

このセクションでは、各リリースの新機能を示します。

（注）

『syslog メッセージガイド』に、新規、変更済み、および廃止された syslog メッセージを記載しています。

ASA 9.10(1) の新機能

リリース日：2018 年 10 月 25 日


機能	説明
プラットフォーム機能
Azure 用の ASAv VHD カスタムイメージ	シスコが提供する圧縮 VHD イメージを使用して、Azure に独自のカスタム ASAv イメージを作成できるようになりました。VHD イメージを使用して展開するには、Azure ストレージアカウントに VHD イメージをアップロードする必要があります。次に、アップロードしたディスクイメージおよび Azure Resource Manager テンプレートを使用して、管理対象イメージを作成できます。Azure テンプレートは、リソースの説明とパラメータの定義が含まれている JSON ファイルです。
FirePOWER モジュールバージョン 6.3 の ISA 3000 サポート	以前サポート対象だったバージョンは FirePOWER 5.4 でした。
ファイアウォール機能
Cisco Umbrella サポート	Cisco Umbrella で定義されているエンタープライズセキュリティポリシーをユーザ接続に適用できるように DNS 要求を Cisco Umbrella へリダイレクトするようにデバイスを設定できます。FQDN に基づいて接続を許可またはブロックできます。または、疑わしい FQDN の場合は Cisco Umbrella インテリジェントプロキシにユーザをリダイレクトして URL フィルタリングを実行できます。Umbrella の設定は、DNS インスペクションポリシーに含まれています。新規/変更されたコマンド：umbrella 、umbrella-global 、token 、public-key 、timeout edns 、dnscrypt 、show service-policy inspect dns detail
MSISDN および選択モードのフィルタリング、アンチリプレイ、およびユーザスプーフィング保護に対する GTP インスペクションの機能拡張	モバイルステーション国際サブスクライバ電話番号（MSISDN）または選択モードに基づいて PDP コンテキストの作成メッセージをドロップするように GTP インスペクションを設定できるようになりました。また、アンチリプレイとユーザスプーフィング保護も実装できます。新規/変更されたコマンド： anti-replay 、gtp-u-header-check 、match msisdn 、match selection-mode
TCP ステートバイパスのデフォルトのアイドルタイムアウト	TCP ステートバイパス接続のデフォルトのアイドルタイムアウトは 1 時間ではなく、2 分になりました。
カットスループロキシログインページからのログアウトボタンの削除をサポート	ユーザ ID 情報（AAA 認証リスナー）を取得するようにカットスループロキシを設定している場合、ページからログアウトボタンを削除できるようになりました。これは、ユーザが NAT デバイスの背後から接続し、IP アドレスで識別できない場合に便利です。1 人のユーザがログアウトすると、その IP アドレスのすべてのユーザがログアウトされます。新規/変更されたコマンド： aaa authentication listener no-logout-button 9.8(3) でも同様。
Trustsec SXP 接続の設定可能な削除ホールドダウンタイマー	デフォルトの SXP 接続ホールドダウンタイマーは 120 秒です。このタイマーを 120 ～ 64000 秒に設定できるようになりました。新規/変更されたコマンド：cts sxp delete-hold-down period 、show cts sxp connection brief 、show cts sxp connections 9.8(3) でも同様。
トランスペアレントモードでの NAT'ed フローのオフロードをサポート。	フローオフロード（flow-offload enable および set connection advanced-options flow-offload コマンド）を使用している場合、トランスペアレントモードで NAT を必要とするフローをオフロードされたフローに含めることができるようになりました。
Firepower 4100/9300 ASA 論理デバイスのトランスペアレントモード展開のサポート	Firepower 4100/9300 に ASA を展開するときに、トランスペアレントまたはルーテッドモードを指定できるようになりました。新規/変更された FXOS コマンド：enter bootstrap-key FIREWALL_MODE 、set value routed 、set value transparent
VPN 機能
従来の SAML 認証のサポート	CSCvg65072 の修正とともに ASA を展開すると、SAML のデフォルト動作で、AnyConnect 4.4 または 4.5 ではサポートされていない組み込みブラウザが使用されます。そのため、引き続き AnyConnect 4.4 または 4.5 を使用するには、従来の外部ブラウザで SAML 認証方式を有効にする必要があります。セキュリティ上の制限があるため、このオプションは、AnyConnect 4.6（またはそれ以降）に移行するための一時的な計画の一環としてのみ使用してください。このオプションは近い将来に廃止されます。新規/変更されたコマンド： saml external-browser 9.8(3) でも同様。
AnyConnect VPN リモートアクセス接続のための DTLS 1.2 サポート。	DTLS 1.2（RFC-6347 で規定）では、現在サポートされている DTLS 1.0（バージョン番号 1.1 は DTLS には使用されません）に加えて、AnyConnect リモートアクセスもサポートされるようになりました。これは、5506 を除くすべての ASA モデルに適用され、ASA がクライアントではなく、サーバとしてのみ機能している場合に適用されます。DTLS 1.2 は、現在のすべての TLS/DTLS 暗号方式と大きな Cookie サイズに加えて、追加の暗号方式をサポートしています。新規/変更されたコマンド：show run ssl 、show vpn-sessiondb detail anyconnect ssl cipher 、ssl server-version
ハイアベイラビリティとスケーラビリティの各機能
Firepower 4100/9300 のクラスタ制御リンクのカスタマイズ可能な IP アドレス	クラスタ制御リンクのデフォルトでは 127.2.0.0/16 ネットワークが使用されます。FXOS でクラスタを展開するときに、ネットワークを設定できるようになりました。シャーシは、シャーシ ID およびスロット ID（127.2.chassis_id.slot_id）に基づいて、各ユニットのクラスタ制御リンクインターフェイス IP アドレスを自動生成します。ただし、一部のネットワーク展開では、127.2.0.0/16 トラフィックはパスできません。そのため、ループバック（127.0.0.0/8）およびマルチキャスト（224.0.0.0/4）アドレスを除き、FXOS にクラスタ制御リンクのカスタム /16 サブネットを設定できるようになりました。新規/変更された FXOS コマンド： set cluster-control-link network
Firepower 9300 シャーシごとのクラスタユニットのパラレル参加	Firepower 9300 の場合、この機能により、シャーシ内のセキュリティモジュールがクラスタに同時に参加し、トラフィックがモジュール間で均等に分散されるようになります。他のモジュールよりもかなり前に参加したモジュールは、他のモジュールがまだ負荷を共有できないため、必要以上のトラフィックを受信することがあります。新規/変更されたコマンド： unit parallel-join
クラスタインターフェイスデバウンス時間は、ダウン状態から稼働状態に変更するインターフェイスに適用されるようになりました。	インターフェイスのステータス更新が発生すると、ASA はインターフェイスを障害としてマークし、クラスタからユニットを削除するまで health-check monitor-interface debounce-time コマンドまたは ASDM [Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] 画面で指定されたミリ秒数待機します。この機能は、ダウン状態から稼働状態に変更するインターフェイスに適用されるようになりました。たとえば、ダウン状態から稼働状態に移行している EtherChannel の場合（スイッチがリロードされた、またはスイッチが有効になっている EtherChannel など）、デバウンス時間を長くすることで、他のクラスタユニットの方がポートのバンドルが速いという理由だけで、クラスタユニット上でインターフェイスがエラー表示されるのを防ぐことができます。変更されたコマンドはありません。
Microsoft Azure Government クラウドでの ASAv のアクティブ/バックアップのハイアベイラビリティ	アクティブな ASAv の障害が Microsoft Azure パブリッククラウドのバックアップ ASAv へのシステムの自動フェールオーバーをトリガーするのを許可するステートレスなアクティブ/バックアップソリューションが、Azure Government クラウドで使用できるようになりました。新規または変更されたコマンド：failover cloud [Monitoring] > [Properties] > [Failover] > [Status] [Monitoring] > [Properties] > [Failover] > [History]
インターフェイス機能
Firepower 2100/4100/9300 のスーパーバイザの関連付けを表示するための show interface ip brief および show ipv6 interface の出力の強化	Firepower 2100/4100/9300 の場合、コマンドの出力は、インターフェイスのスーパーバイザの関連付けステータスを表示するために強化されています。新規/変更されたコマンド：show interface ip brief、show ipv6 interface
Firepower 2100 では、set lacp-mode コマンドが set port-channel-mode に変更されています。	set lacp-mode コマンドは、Firepower 4100/9300 でのコマンドの使用方法に合わせるために set port-channel-mode に変更されています。新規/変更された FXOS コマンド： set port-channel-mode
管理およびトラブルシューティングの機能
Firepower 2100 の NTP 認証のサポート	FXOS で SHA1 NTP サーバ認証を設定できるようになりました。新規/変更された FXOS コマンド：enable ntp-authentication、set ntp-sha1-key-id、set ntp-sha1-key-string 新規/変更された [Firepower Chassis Manager] 画面： [Platform Settings] > [NTP] 新規/変更されたオプション：[NTP Server Authentication: Enable] チェックボックス、[Authentication Key] フィールド、[Authentication Value] フィールド
ACL を使用せず IPv6 トラフィックを一致させるためのパケットキャプチャのサポート	capture コマンドの match キーワードを使用する場合、any キーワードは IPv4 トラフィックのみ照合します。IPv4 または IPv6 トラフィックをキャプチャするために、any4 と any6 キーワードを指定できるようになりました。any キーワードでは、引き続き IPv4 トラフィックのみ照合されます。新規/変更されたコマンド：capture match
Firepower 2100 の FXOS に対する SSH の公開キー認証のサポート	SSH キーを設定し、パスワード認証の代わりに公開キー認証を使用したり、両方の認証を使用したりできます。新規/変更された FXOS コマンド：set sshkey
GRE および IPinIP カプセル化のサポート	内部インターフェイス上でのパケットキャプチャを実行するときに、ICMP、UDP、TCP、およびその他の GRE および IPinIP カプセル化を表示するコマンドの出力が強化されます。新規/変更されたコマンド：show capture
アプリケーションのキャッシュの割り当てを制限するメモリしきい値を有効にするためのサポート	デバイスの管理性と安定性を維持するメモリの予約があるため、特定のメモリしきい値に達するアプリケーションキャッシュの割り当てを制限することができます。新規/変更されたコマンド：memory threshold enable、show run memory threshold、clear conf memory threshold
RFC 5424 ロギングのタイムスタンプのサポート	RFC 5424 形式に従ってロギングタイムスタンプを有効にすることができます。新規/変更されたコマンド：logging timestamp
TCB-IPS のメモリ使用量を表示するためのサポート	TCB-IPS でのアプリケーションレベルのメモリキャッシュを表示します。新規/変更されたコマンド：show memory app-cache

ファイアウォール機能の概要

ファイアウォールは、外部ネットワーク上のユーザによる不正アクセスから内部ネットワークを保護します。また、ファイアウォールは、人事部門ネットワークをユーザネットワークから分離するなど、内部ネットワーク同士の保護も行います。Web サーバまたは FTP サーバなど、外部のユーザが使用できるようにする必要のあるネットワークリソースがあれば、ファイアウォールで保護された別のネットワーク（非武装地帯（DMZ）と呼ばれる）上に配置します。ファイアウォールによって DMZ に許可されるアクセスは限定されますが、DMZ にあるのは公開サーバだけのため、この地帯が攻撃されても影響を受けるのは公開サーバに限定され、他の内部ネットワークに影響が及ぶことはありません。また、特定アドレスだけに許可する、認証または認可を義務づける、または外部の URL フィルタリングサーバと協調するといった手段によって、内部ユーザが外部ネットワーク（インターネットなど）にアクセスする機会を制御することもできます。

ファイアウォールに接続されているネットワークに言及する場合、外部ネットワークはファイアウォールの手前にあるネットワーク、内部ネットワークはファイアウォールの背後にある保護されているネットワーク、そして DMZ はファイアウォールの背後にあるが、外部ユーザに制限付きのアクセスが許されているネットワークです。ASA を使用すると、数多くのインターフェイスに対してさまざまなセキュリティポリシーが設定できます。このインターフェイスには、多数の内部インターフェイス、多数の DMZ、および必要に応じて多数の外部インターフェイスが含まれるため、ここでは、このインターフェイスの区分は一般的な意味で使用するだけです。

セキュリティポリシーの概要

他のネットワークにアクセスするために、ファイアウォールを通過することが許可されるトラフィックがセキュリティポリシーによって決められます。デフォルトでは、内部ネットワーク（高セキュリティレベル）から外部ネットワーク（低セキュリティレベル）へのトラフィックは、自由に流れることが ASA によって許可されます。トラフィックにアクションを適用してセキュリティポリシーをカスタマイズすることができます。

アクセスルールによるトラフィックの許可または拒否

アクセスルールを適用することで、内部から外部に向けたトラフィックを制限したり、外部から内部に向けたトラフィックを許可したりできます。ブリッジグループインターフェイスでは、EtherType アクセスルールを適用して、非 IP トラフィックを許可できます。

NAT の適用

NAT の利点のいくつかを次に示します。

内部ネットワークでプライベートアドレスを使用できます。プライベートアドレスは、インターネットにルーティングできません。
NAT はローカルアドレスを他のネットワークから隠蔽するため、攻撃者はホストの実際のアドレスを取得できません。
NAT は、重複 IP アドレスをサポートすることで、IP ルーティングの問題を解決できます。

IP フラグメントからの保護

ASA は、IP グラグメント保護を提供します。この機能は、すべての ICMP エラーメッセージの完全なリアセンブリと、ASA 経由でルーティングされる残りの IP フラグメントの仮想リアセンブリを実行します。セキュリティチェックに失敗したフラグメントは、ドロップされログに記録されます。仮想リアセンブリはディセーブルにできません。

HTTP、HTTPS、または FTP フィルタリングの適用

アクセスリストを使用して、特定の Web サイトまたは FTP サーバへの発信アクセスを禁止できますが、このような方法で Web サイトの使用方法を設定し管理することは、インターネットの規模とダイナミックな特性から、実用的とはいえません。

ASA でクラウド Web セキュリティを設定したり、URL およびその他のフィルタリングサービス（ASA CX や ASA FirePOWER など）を提供する ASA モジュールをインストールすることができます。ASA は、Cisco Web セキュリティアプライアンス（WSA）などの外部製品とともに使用することも可能です。

アプリケーションインスペクションの適用

インスペクションエンジンは、ユーザのデータパケット内に IP アドレッシング情報を埋め込むサービスや、ダイナミックに割り当てられるポート上でセカンダリチャネルを開くサービスに必要です。これらのプロトコルは、ASA によるディープパケットインスペクションの実行を必要とします。

サポート対象のハードウェアモジュールまたはソフトウェアモジュールへのトラフィックの送信

一部の ASA モデルでは、ソフトウェアモジュールの設定、またはハードウェアモジュールのシャーシへの挿入を行うことで、高度なサービスを提供することができます。これらのモジュールを通じてトラフィックインスペクションを追加することにより、設定済みのポリシーに基づいてトラフィックをブロックできます。また、これらのモジュールにトラフィックを送信することで、高度なサービスを利用することができます。

QoS ポリシーの適用

音声やストリーミングビデオなどのネットワークトラフィックでは、長時間の遅延は許容されません。QoS は、この種のトラフィックにプライオリティを設定するネットワーク機能です。QoS とは、選択したネットワークトラフィックによりよいサービスを提供するネットワークの機能です。

接続制限と TCP 正規化の適用

TCP 接続、UDP 接続、および初期接続を制限することができます。接続と初期接続の数を制限することで、DoS 攻撃（サービス拒絶攻撃）から保護されます。ASA では、初期接続の制限を利用して TCP 代行受信を発生させます。代行受信によって、TCP SYN パケットを使用してインターフェイスをフラッディングする DoS 攻撃から内部システムを保護します。初期接続とは、送信元と宛先の間で必要になるハンドシェイクを完了していない接続要求のことです。

TCP 正規化は、正常に見えないパケットをドロップするように設計された高度な TCP 接続設定で構成される機能です。

脅威検出のイネーブル化

スキャン脅威検出と基本脅威検出、さらに統計情報を使用して脅威を分析する方法を設定できます。

基本脅威検出は、DoS 攻撃などの攻撃に関係している可能性のあるアクティビティを検出し、自動的にシステムログメッセージを送信します。

典型的なスキャン攻撃では、あるホストがサブネット内の IP アドレスにアクセスできるかどうかを 1 つずつ試します（サブネット内の複数のホストすべてを順にスキャンするか、1 つのホストまたはサブネットの複数のポートすべてを順にスイープする）。スキャン脅威検出機能は、いつホストがスキャンを実行するかを判別します。トラフィック署名に基づく IPS スキャン検出とは異なり、ASA のスキャニング脅威検出機能は、スキャンアクティビティに関して分析できるホスト統計を含む膨大なデータベースを維持します。

ホストデータベースは、不審なアクティビティを追跡します。このようなアクティビティには、戻りアクティビティのない接続、閉じているサービスポートへのアクセス、脆弱な TCP 動作（非ランダム IPID など）、およびその他の多くの動作が含まれます。

攻撃者に関するシステムログメッセージを送信するように ASA を設定できます。または、自動的にホストを排除できます。

ファイアウォールモードの概要

ASA は、次の 2 つのファイアウォールモードで動作します。

ルーテッド
Transparent

ルーテッドモードでは、ASA は、ネットワークのルータホップと見なされます。

トランスペアレントモードでは、ASA は「Bump In The Wire」または「ステルスファイアウォール」のように動作し、ルータホップとは見なされません。ASA は「ブリッジグループ」の内部および外部インターフェイスと同じネットワークに接続します。

トランスペアレントファイアウォールは、ネットワークコンフィギュレーションを簡単にするために使用できます。トランスペアレントモードは、攻撃者からファイアウォールが見えないようにする場合にも有効です。トランスペアレントファイアウォールは、他の場合にはルーテッドモードでブロックされるトラフィックにも使用できます。たとえば、トランスペアレントファイアウォールでは、EtherType アクセスリストを使用するマルチキャストストリームが許可されます。

ルーテッドモードでブリッジグループの設定、およびブリッジグループと通常インターフェイスの間のルートの設定を行えるように、ルーテッドモードでは Integrated Routing and Bridging をサポートしてます。ルーテッドモードでは、トランスペアレントモードの機能を複製できます。マルチコンテキストモードまたはクラスタリングが必要ではない場合、代わりにルーテッドモードを使用することを検討してください。

ステートフルインスペクションの概要

ASA を通過するトラフィックはすべて、アダプティブセキュリティアルゴリズムを使用して検査され、通過が許可されるか、またはドロップされます。単純なパケットフィルタは、送信元アドレス、宛先アドレス、およびポートが正しいかどうかはチェックできますが、パケットシーケンスまたはフラグが正しいかどうかはチェックしません。また、フィルタはすべてのパケットをフィルタと照合してチェックするため、処理が低速になる場合があります。

（注）

TCP ステートバイパス機能を使用すると、パケットフローをカスタマイズできます。

ただし、ASA のようなステートフルファイアウォールは、パケットの次のようなステートについて検討します。

新規の接続かどうか。

新規の接続の場合、ASA は、パケットをアクセスリストと照合してチェックする必要があり、これ以外の各種のタスクを実行してパケットの許可または拒否を決定する必要があります。このチェックを行うために、セッションの最初のパケットは「セッション管理パス」を通過しますが、トラフィックのタイプに応じて、「コントロールプレーンパス」も通過する場合があります。

セッション管理パスで行われるタスクは次のとおりです。

アクセスリストとの照合チェック
ルートルックアップ
NAT 変換（xlates）の割り当て
「ファストパス」でのセッションの確立

ASA は、TCP トラフィックのファストパスに転送フローとリバースフローを作成します。ASA は、高速パスも使用できるように、UDP、ICMP（ICMP インスペクションがイネーブルの場合）などのコネクションレス型プロトコルの接続状態の情報も作成するので、これらのプロトコルもファストパスを使用できます。

（注）

SCTP などの他の IP プロトコルの場合、ASA はリバースパスフローを作成しません。そのため、これらの接続を参照する ICMP エラーパケットはドロップされます。

レイヤ 7 インスペクションが必要なパケット（パケットのペイロードの検査または変更が必要）は、コントロールプレーンパスに渡されます。レイヤ 7 インスペクションエンジンは、2 つ以上のチャネルを持つプロトコルで必要です。2 つ以上のチャネルの 1 つは周知のポート番号を使用するデータチャネルで、その他はセッションごとに異なるポート番号を使用するコントロールチャネルです。このようなプロトコルには、FTP、H.323、および SNMP があります。

確立済みの接続かどうか。

接続がすでに確立されている場合は、ASA でパケットの再チェックを行う必要はありません。一致するパケットの大部分は、両方向で「ファースト」パスを通過できます。高速パスで行われるタスクは次のとおりです。
- IP チェックサム検証
- セッションルックアップ
- TCP シーケンス番号のチェック
- 既存セッションに基づく NAT 変換
- レイヤ 3 ヘッダー調整およびレイヤ 4 ヘッダー調整
レイヤ 7 インスペクションを必要とするプロトコルに合致するデータパケットも高速パスを通過できます。

確立済みセッションパケットの中には、セッション管理パスまたはコントロールプレーンパスを引き続き通過しなければならないものがあります。セッション管理パスを通過するパケットには、インスペクションまたはコンテンツフィルタリングを必要とする HTTP パケットが含まれます。コントロールプレーンパスを通過するパケットには、レイヤ 7 インスペクションを必要とするプロトコルのコントロールパケットが含まれます。

VPN 機能の概要

VPN は、TCP/IP ネットワーク（インターネットなど）上のセキュアな接続で、プライベートな接続として表示されます。このセキュアな接続はトンネルと呼ばれます。ASA は、トンネリングプロトコルを使用して、セキュリティパラメータのネゴシエート、トンネルの作成および管理、パケットのカプセル化、トンネルを通したパケットの送信または受信、パケットのカプセル化の解除を行います。ASA は、双方向トンネルのエンドポイントとして機能します。たとえば、プレーンパケットを受信してカプセル化し、それをトンネルのもう一方のエンドポイントに送信することができます。そのエンドポイントで、パケットはカプセル化を解除され、最終的な宛先に送信されます。また、セキュリティアプライアンスは、カプセル化されたパケットを受信してカプセル化を解除し、それを最終的な宛先に送信することもできます。ASA は、これらの機能を実行するためにさまざまな標準プロトコルを起動します。

ASA は、次の機能を実行します。

トンネルの確立
トンネルパラメータのネゴシエーション
ユーザの認証
ユーザアドレスの割り当て
データの暗号化と復号化
セキュリティキーの管理
トンネルを通したデータ転送の管理
トンネルエンドポイントまたはルータとしての着信と発信のデータ転送の管理

ASA は、これらの機能を実行するためにさまざまな標準プロトコルを起動します。

セキュリティコンテキストの概要

単一の ASA は、セキュリティコンテキストと呼ばれる複数の仮想デバイスにパーティション化できます。各コンテキストは、独自のセキュリティポリシー、インターフェイス、および管理者を持つ独立したデバイスです。マルチコンテキストは、複数のスタンドアロンデバイスを使用することに似ています。マルチコンテキストモードでは、ルーティングテーブル、ファイアウォール機能、IPS、管理など、さまざまな機能がサポートされています。ただし、サポートされていない機能もあります。詳細については、機能に関する各章を参照してください。

マルチコンテキストモードの場合、ASA には、セキュリティポリシー、インターフェイス、およびスタンドアロンデバイスで設定できるほとんどのオプションを識別するコンテキストごとのコンフィギュレーションが含まれます。システム管理者がコンテキストを追加および管理するには、コンテキストをシステムコンフィギュレーションに設定します。これが、シングルモード設定と同じく、スタートアップコンフィギュレーションとなります。システムコンフィギュレーションは、ASA の基本設定を識別します。システムコンフィギュレーションには、ネットワークインターフェイスやネットワーク設定は含まれません。その代わりに、ネットワークリソースにアクセスする必要が生じたときに（サーバからコンテキストをダウンロードするなど）、システムは管理コンテキストとして指定されているコンテキストのいずれかを使用します。

管理コンテキストは、他のコンテキストとまったく同じです。ただし、ユーザが管理コンテキストにログインすると、システム管理者権限を持つので、システムコンテキストおよび他のすべてのコンテキストにアクセス可能になる点が異なります。

ASA クラスタリングの概要

ASA クラスタリングを利用すると、複数の ASA をグループ化して 1 つの論理デバイスとすることができます。クラスタは、単一デバイスのすべての利便性（管理、ネットワークへの統合）を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。

すべてのコンフィギュレーション作業（ブートストラップコンフィギュレーションを除く）は、マスターユニット上でのみ実行します。コンフィギュレーションは、メンバユニットに複製されます。

特殊なサービスおよびレガシーサービス

一部のサービスのマニュアルは、主要な設定ガイドおよびオンラインヘルプとは別の場所にあります。

特殊なサービスに関するガイド

特殊なサービスを利用して、たとえば、電話サービス（Unified Communications）用のセキュリティプロキシを提供したり、ボットネットトラフィックフィルタリングを Cisco アップデートサーバのダイナミックデータベースと組み合わせて提供したり、Cisco Web セキュリティアプライアンス用の WCCP サービスを提供したりすることにより、ASA と他のシスコ製品の相互運用が可能になります。これらの特殊なサービスの一部については、別のガイドで説明されています。

レガシーサービスガイド

レガシーサービスは現在も ASA でサポートされていますが、より高度なサービスを代わりに使用できる場合があります。レガシーサービスについては別のガイドで説明されています。

『Cisco ASA Legacy Feature Guide』

このマニュアルの構成は、次のとおりです。

RIP の設定
ネットワークアクセスの AAA 規則
IP スプーフィングの防止などの保護ツールの使用（ip verify reverse-path）、フラグメントサイズの設定（fragment）、不要な接続のブロック（shun）、TCP オプションの設定（ASDM 用）、および基本 IPS をサポートする IP 監査の設定（ip audit）。
フィルタリングサービスの設定

CLI ブック 1：Cisco ASA シリーズ 9.10 CLI コンフィギュレーションガイド（一般的な操作）

偏向のない言語

翻訳について

Book Title

CLI ブック 1：Cisco ASA シリーズ 9.10 CLI コンフィギュレーションガイド（一般的な操作）

Chapter Title