セキュリティ|ファイアウォール
Cisco Firewall Services Module (FWSM)
開発元:Cisco Systems
概要
FWSMは Cisco PIXテクノロジーを採用しており、Cisco PIX OSで動作します。このOSは、セキュリティ ホールや、パフォーマンス低下の原因となるオーバーヘッドを防ぐ、強固なリアルタイム組み込みシステムです。このシステムの中核を成す保護スキームは、Adaptive Security Algorithm(ASA;アダプティブ セキュリティ アルゴリズム)を基盤としており、コネクション型のステートフル ファイアウォールを提供します。FWSMは、ASAを使用し、送信元と宛先のアドレス、ランダム化された TCPシーケンス番号、ポート番号、およびその他のTCPフラグに基づいて、セッション フローの接続テーブル エントリを作成します。また、これらの接続テーブル エントリにセキュリティ ポリシーを適用することにより、送受信すべてのトラフィックを制御します。
FWSMは、ルーテッド モードまたはトランスペアレント モードの複数のセキュリティ コンテキストをサポートするなど、高度な機能を持っており、同じ管理プラットフォーム上で複数のファイアウォールを管理できるので、費用削減と運用の簡素化に役立ちます。また、FWSMのバーチャル化機能は、Cisco Catalyst 6500シリーズ スイッチや7600 シリーズ ルータへの投資保護効果をさらに高めます。Cisco Catalyst 6500シリーズ スイッチまたはCisco 7600シリーズ ルータのセキュリティ サービスに、FWSMのバーチャル化機能が加わることにより、強力な階層防御(Defense in-Depth)が可能となります。さらに、リソース管理機能を利用すれば、セキュリティ コンテキストに割り当てるリソースをいつでも制限できるので、1つのセキュリティ コンテキストが別のコンテキストを妨げるような状況を防ぐことができます。標準のソフトウェア ライセンスでは、特別な管理コンテキストに加えて、最大2つのセキュリティ コンテキストを利用できます。さらに多くのセキュリティ コンテキストを使用する場合は、別途ライセンスを購入する必要があります。
トランスペアレント ファイアウォール機能を使用すると、FWSMはレイヤ2ブリッジング ファイアウォールとして機能するように設定されるので、ネットワーク トポロジーへの変更が最小限で済みます。また、設定および配置に要する時間も短縮されるので、ITリソースが限られている企業にとって、トランスペアレント ファイアウォール機能は大きなメリットがあります。管理インターフェイス以外にIPアドレスはないので、トランスペアレント ファイアウォールではサブネットの作成や設定更新の必要はありません。
FWSMのサービス管理および高度なリソース管理/制限機能を利用すると、複数のバーチャル コンテキストによるセキュリティ サービスのプロビジョニングとモニタリングを効果的に行うことができます。このような機能には、クラスの作成、リソース制限、ユーザ単位またはCisco Access Control Server(ACS)ベースのAccess Control List(ACL;アクセス制御リスト)、ACL単位のSyslog、Syslogレベルの設定、Address Resolution Protocol(ARP)検査、マルチキャスト パススルーのサポートなどが含まれます。
拡張フィルタリングは、音声アプリケーションのような高度な保護機能およびアプリケーション サポートを提供します。そのほかにも、ポリシーベースのNetwork Address Translation(NAT;ネットワーク アドレス変換)、双方向NAT、双方向ACL、Voice over IP(VoIP)用機能拡張、SkinnyおよびSession Initiation Protocol(SIP)対応のPort Address Translation(PAT)、Media Gateway Control Protocol(MGCP)、H.323 v3およびv4、Multiprotocol Label Switching (MPLS)とファイアウォールの統合、WebSenseおよびN2H2によるURLフィルタリング、攻撃の回避および防御機能があります。
特長
FWSMの利点
ファイアウォールの役割は以前とは異なったものになっています。現在のファイアウォールは、外部からの不正アクセスに対して社内ネットワークを守るだけではありません。社内ネットワークの境界部分を脅威から守るほか、社内ネットワーク内の不正ユーザが特定のサブネット、ワークグループ、またはLANにアクセスするのを防ぐ機能もあります。階層型の階層防御システムを構築しておかないと、大きな代償を支払うことになりかねません。
データの盗難や内部者の不正利用による企業の損失は、2003年に米国で報告されている額だけでも8200万ドルにも上ります(CSI/FBI Report、2003)。FBIの統計によると、セキュリティ問題の70%は、組織内部で発生しています。このFBI調査では、5人に1人が、過去12カ月間に社内ネットワークに侵入されたか、侵入されそうになったと回答しており、またほとんどの専門家が、ネットワーク侵入の大部分は検出されていないと認めています。増大する一方の脅威から企業の資産を守るためには、社内ネットワークに、信頼性の高い統合セキュリティ ソリューションが必要です。
データの盗難や内部者の不正利用による企業の損失は、2003年に米国で報告されている額だけでも8200万ドルにも上ります(CSI/FBI Report、2003)。FBIの統計によると、セキュリティ問題の70%は、組織内部で発生しています。このFBI調査では、5人に1人が、過去12カ月間に社内ネットワークに侵入されたか、侵入されそうになったと回答しており、またほとんどの専門家が、ネットワーク侵入の大部分は検出されていないと認めています。増大する一方の脅威から企業の資産を守るためには、社内ネットワークに、信頼性の高い統合セキュリティ ソリューションが必要です。
統合モジュール
FWSMを Cisco Catalyst 6500シリーズ スイッチまたは Cisco 7600シリーズ ルータに搭載すると、これらのデバイス上のあらゆるポートがファイアウォール ポートとして使用可能になり、ステートフルなファイアウォール セキュリティがネットワーク インフラストラクチャに統合されます。ラック スペースのコストが高い場合は、このような統合が特に重要となります。
Cisco Catalyst 6500シリーズ スイッチおよび Cisco 7600シリーズ ルータは、マルチレイヤのLAN、WAN、MANスイッチング機能に加えて、ファイアウォール サービス、侵入検知、VPNなどのインテリジェントなサービスを必要とするお客様に最適なIPサービス スイッチです。
Cisco Catalyst 6500シリーズ スイッチおよび Cisco 7600シリーズ ルータは、マルチレイヤのLAN、WAN、MANスイッチング機能に加えて、ファイアウォール サービス、侵入検知、VPNなどのインテリジェントなサービスを必要とするお客様に最適なIPサービス スイッチです。
将来を見据えた拡張性
FWSMは、最大 5.5 Gbpsのトラフィック処理能力があり、システムをオーバーホールしなくても、将来必要となる高度なパフォーマンス要件を満たすことができます。また、Cisco Catalyst 6500シリーズに最大3つの FWSMを追加できるので(合計4モジュール)、今後の需要増に十分に対応できます。
信頼性とハイ アベイラビリティ
FWSMは、Cisco PIXテクノロジーを基盤としており、セキュアなリアルタイム オペレーティング システムとして実績のある Cisco PIX OSが使用されています。FWSMを使用すれば、実証済みの Cisco PIXテクノロジーをパケット検査に適用し、同じプラットフォーム上で高いパフォーマンスとセキュリティの両方を提供できます。
FWSMは復元力にも優れ、同じ 6500または 7600シャーシ内のモジュール間や、異なるシャーシ内のモジュール間での高速フェールオーバーをサポートしています。シャーシ内とシャーシ間の両方のフェールオーバーに対応しているので、お客様は必要に応じて柔軟にファイアウォールを配置できます。
FWSMは復元力にも優れ、同じ 6500または 7600シャーシ内のモジュール間や、異なるシャーシ内のモジュール間での高速フェールオーバーをサポートしています。シャーシ内とシャーシ間の両方のフェールオーバーに対応しているので、お客様は必要に応じて柔軟にファイアウォールを配置できます。
所有コストの削減
FWSMは、ファイアウォール製品のなかでも最高レベルの価格性能比を実現します。FWSMは、Cisco PIXファイアウォールを基盤としているのでトレーニングや管理にかかる費用が軽減されます。またシャーシに統合されるので、管理対象のデバイス数も少なくなります。
使いやすさ
FWSMの管理や設定には、Cisco PIX Device Managerのわかりやすい GUIを使用できます。また、シスコの管理フレームワークや Cisco Architecture for Voice, Video and Integrated Data(AVVID)パートナーによる設定やモニタにも対応しています。Cisco PIX Device Managerを使用すれば、システム レベルやデバイス レベルでも、また詳細なセキュリティ コンテキスト レベルでも、FWSMの管理やモニタを簡単に行うことができます。
FWSMは、拡張性の高い CiscoWorks VPN/Security Management Solution(VMS)を使用して、中央システムのコンソールから管理することも可能です。CiscoWorks VMSを使用すると、シスコ ネットワーク全体のセキュリティ ソリューションをモジュール方式で管理およびモニタすることが可能です。また、VPN、ルータ、スイッチ、ファイアウォール、そしてシスコのセキュリティ エージェントなど、さまざまなソリューションを扱うことのできる拡張性の高い総合管理センターを構築できます。特に、CiscoWorks Management Center for Firewallsを使用すれば、ネットワーク全体の FWSMや Cisco PIXセキュリティ アプライアンス、そしてCisco IOSルータベースのファイアウォールに対して、統一された一貫性のある包括的な中央集中型ファイアウォール管理が可能となるので、大規模なセキュリティ機能の導入も迅速に進めることができます。
FWSMは、拡張性の高い CiscoWorks VPN/Security Management Solution(VMS)を使用して、中央システムのコンソールから管理することも可能です。CiscoWorks VMSを使用すると、シスコ ネットワーク全体のセキュリティ ソリューションをモジュール方式で管理およびモニタすることが可能です。また、VPN、ルータ、スイッチ、ファイアウォール、そしてシスコのセキュリティ エージェントなど、さまざまなソリューションを扱うことのできる拡張性の高い総合管理センターを構築できます。特に、CiscoWorks Management Center for Firewallsを使用すれば、ネットワーク全体の FWSMや Cisco PIXセキュリティ アプライアンス、そしてCisco IOSルータベースのファイアウォールに対して、統一された一貫性のある包括的な中央集中型ファイアウォール管理が可能となるので、大規模なセキュリティ機能の導入も迅速に進めることができます。
仕様
| 機能 | 詳細 |
|---|---|
| パフォーマンス | ・ 5.5 Gbps ・ 100万の同時接続 ・ 毎秒100,000の接続のセットアップおよび解放 ・ 256,000のPATおよび256,000のNAT変換 |
| ルーテッドおよびトランスペアレント ファイアウォール | ファイアウォールは次のいずれかのモードで実行されます。 ・ ルーテッド モード ― FWSMはネットワーク内で単一のルータホップとみなされます。 ・ トランスペアレント モード― FWSMはBITW(Bump In The Fire)のように動作し、ルータホップにはなりません。FWSMは、その内部ポートと外部ポートで同一ネットワークに接続しますが、各ポートは異なるVLANに属している必要があります。ダイナミック ルーティング プロトコルやNATは必要ありません。 |
| 複数のセキュリティ コンテキスト | ・ 複数コンテキスト モードでは、最大100の異なるセキュリティ コンテキストを作成できます (作成できる数はソフトウェアライセンスによります)。セキュリティ コンテキストは、独自のセキュリティ ポリシーやインターフェイスを持つバーチャル ファイアウォールです。ルーテッドモードでは、各コンテキ ストが256のVLANをサポートできます。トランスペアレント モードでは、各コンテキストがサポートで きるインターフェイスは2つだけです。 ・ 複数のコンテキストを作成することにより、複数のスタンドアロン ファイアウォールを使用する場合 と同様の効果が得られます。 ・ セキュリティ コンテキストは必ずルーテッド モードまたはトランスペアレント モードで実行されます。 |
| 双方向NATおよびポリシーベースのNAT | ・ ダイナミックまたはスタティックのNATおよびPATを提供します。 ・ 内部および外部のアドレスでNATを設定できます。ポリシーベースのNATでは、拡張ACLを使用して、変換されるアドレスを識別できます。これにより、変換するアドレスを決定する際に、きめ細かな制御が行えます。 |
| リソース管理 | ・ コンテキストごとにリソースを制限できるので、1つのコンテキストがすべてのリソースを使い切らないようにすることが可能です。 |
| カットスループロキシ | ・ VLAN単位でセキュリティ ポリシーを適用できます。 |
| URLフィルタリング | ・ WebSense EnterpriseまたはN2H2(現在はSecure Computing Corporationの一部門)のHTTPフィルタリングを使用して、HTTP、HTTPS、およびFTP要求をフィルタリングできます。 |
| 設定サポート | ・ CLI(コマンドライン インターフェイス)へのコンソール接続(スイッチからのセッション) ・ FWSMの内部インターフェイスへのTelnet接続 ・ FWSMの外部インターフェイスへのTelnet over IP Security(IPSec)接続 ・ CLIへのSecure Shell Protocol(SSH) ・ Cisco PIX Device ManagerへのSecure Sockets Layer(SSL)接続 ・ CiscoWorks VMS Management Center for Firewalls |
| AAAサポート | ・ TACACS+およびRADIUSのサポートを通じて一般的なAuthentication, Authorization, Accounting(AAA;認証、許可、アカウンティング)サービスとの統合を可能にします。 |
| Cisco PIX Device Manager | ・ 簡便でわかりやすいWebベースのGUIによるファイアウォールのリモート管理 ・ 使用傾向、パフォーマンス ベースライン、セキュリティ イベント情報を提供するさまざまなリアルタイム レポートおよび履歴レポート ・ Cisco PIX Device Managerは、Cisco Catalyst 6500シリーズ用の総合的なデバイス管理ツールであるCiscoView Device Managerとの統合が可能です。CiscoView Device Managerを使用すると、使いやすいGUIを通じて、FWSMやスーパバイザ モジュールなどのCisco Catalyst 6500システム内のモジュールを集合的に管理できます。 |
| セキュアなネットワーク管理 | ・ セキュアなTriple Data Encryption Standard(3DES)で暗号化されたネットワーク管理アクセス |
| アクセス リスト | ・最大80,000のACL 次のACLをサポート ・拡張ACL ― インターフェイス上のIPトラフィックの制御 ・受信 ・送信 ・ EtherType ACL ― トランスペアレント ファイアウォール モードにおけるインターフェイス上の非IPトラフィックの制御 |
| ダイナミック ルーティング プロトコル | FWSMが単一コンテキスト モードでサポートするルーティング プロトコル ・ Routing Information Protocol(RIP)v1およびv2(パッシブ モード) ・ OSPF トランスペアレント モードでサポートするのは、スタティック ルーティングのみ |
| コマンドの許可 | ・ コマンドへのユーザ アクセスを制御し、特権レベルに関連付けられたユーザ アカウントまたはログインを作成できます。 |
