Cisco ASA with FirePOWER Services バージョン 6.2 ローカル管理設定ガイド

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ

このマニュアル内で検索

ご利用いただける言語

Download Options

Book Title

Cisco ASA with FirePOWER Services バージョン 6.2 ローカル管理設定ガイド

Chapter Title

セキュリティ、インターネットアクセス、および通信ポート

PDF - Complete Book (10.57 MB) PDF - This Chapter (542.0 KB)
View with Adobe Reader on a variety of devices

検索結果

Updated:: 2018年5月8日

セキュリティ、インターネットアクセス、および通信ポート

ASA FirePOWER モジュールを保護するには、保護された内部ネットワークにそれをインストールしてください。ASA FirePOWER モジュールは、使用可能なサービスとポートのうち必要なもののみを持つように設定されていますが、攻撃がファイアウォールの外側から到達することがないように確保する必要があります。

また、ASA FirePOWER モジュールの機能によってはインターネット接続が必要となることにも注意してください。デフォルトでは、ASA FirePOWER モジュールは、インターネットに直接接続するように設定されます。また、システムでは、セキュアなアプライアンスアクセスのため、また、特定のシステム機能が正しく動作するのに必要なローカルまたはインターネット上のリソースにそれらのシステムがアクセスできるようにするため、特定のポートをオープンのままにしておく必要があります。

詳細については、以下を参照してください。

インターネットアクセス要件

デフォルトでは、ASA FirePOWER モジュールは、ポート 443/tcp（HTTPS）および 80/tcp（HTTP）でインターネットに直接接続するよう設定されます。これらのポートは、デフォルトでは、ASA FirePOWER モジュール上でオープンになっています。通信ポートの要件を参照してください。

次の表に、ASA FirePOWER モジュールの特定の機能におけるインターネットアクセス要件を示します。

表 D-1 ASA FirePOWER モジュール機能のインターネットアクセス要件
機能	インターネットアクセスの用途
侵入ルール、VDB、および GeoDB の更新	侵入ルール、GeoDB、または VDB の更新をアプライアンスに直接ダウンロードするか、ダウンロードをスケジュールします。
ネットワークベースの AMP	マルウェアクラウド検索を実行します。
セキュリティインテリジェンスフィルタリング	インテリジェンスフィードを含む、外部ソースからのセキュリティインテリジェンスフィードデータをダウンロードします。
システムソフトウェアの更新	システム更新をアプライアンスに直接ダウンロードするか、ダウンロードをスケジュールします。
URL フィルタリング	クラウドベースの URL カテゴリおよびレピュテーションデータをアクセスコントロール用にダウンロードし、カテゴライズされていない URL に対してルックアップを実行します。
whois	外部ホストの whois 情報を要求します。

通信ポートの要件

オープンポートは、次のことを可能にします。

アプライアンスのユーザインターフェイスにアクセスする
アプライアンスへのリモート接続を保護する
特定のシステム機能を正しく動作させるために必要なローカル/インターネットリソースへのアクセスを可能にする

一般に、機能関連のポートは、該当する機能を有効化または設定する時点まで、閉じたままになります。

注意

開いたポートを閉じると展開にどのような影響が及ぶか理解するまでは、開いたポートを 閉じないでください。

たとえば、管理デバイス上のポート 25/tcp（SMTP）アウトバウンドを閉じた場合、個別の侵入イベントに関する電子メール通知をデバイスから送信できなくなります（侵入ルールの外部アラートの設定を参照）。

次の表は、ASA FirePOWER モジュールの機能を最大限に活用できるようするために必要なオープンポートを示しています。

表 D-2 ASA FirePOWER モジュールの機能と運用のためのデフォルト通信ポート
[ポート（Port）]	説明	方向（Direction）	開く目的
22/tcp	SSH/SSL	双方向	アプライアンスへのセキュアなリモート接続を許可します。
25/tcp	SMTP	発信	アプライアンスから電子メール通知とアラートを送信します。
53/tcp	DNS	発信	DNS を使用します。
67/udp 68/udp	DHCP	発信	DHCP を使用します。（注）これらのポートはデフォルトで閉じられています。
		双方向	HTTP 経由でカスタムおよびサードパーティのセキュリティインテリジェンスフィードを更新します。 URL カテゴリおよびレピュテーションデータをダウンロードします（さらにポート 443 も必要）。
161/udp	SNMP	双方向	SNMP ポーリング経由でアプライアンスの MIB にアクセスできるようにします。
162/udp	SNMP	発信	リモートトラップサーバに SNMP アラートを送信します。
389/tcp 636/tcp	LDAP	発信	外部認証用に LDAP サーバと通信します。
389/tcp 636/tcp	LDAP	発信	検出された LDAP ユーザに関するメタデータを取得します。
443/tcp	HTTPS	着信	アプライアンスのユーザインターフェイスにアクセスできるようにします。
443/tcp	HTTPS クラウド通信	双方向	次のものを取得します。ソフトウェア、侵入ルール、VDB、および GeoDB の更新 URL カテゴリおよびレピュテーションデータ（さらにポート 80 も必要）インテリジェンスフィードおよび他のセキュアなセキュリティインテリジェンスフィードファイルに関してネットワークトラフィックで検出されたマルウェアの性質
		双方向	デバイスのローカルユーザインターフェイスを使用してソフトウェア更新をダウンロードします。
514/udp	syslog	発信	リモート syslog サーバにアラートを送信します。
8305/tcp	アプライアンス通信	双方向	展開におけるアプライアンス間で安全に通信します。必須作業です。
8307/tcp	ホスト入力クライアント	双方向	ホスト入力クライアントと通信します。