解決済み: Re: ASAのInspection機能はデフォルトでenableになっているのか

HITOSHIYAMADA8041 · ‎2019-12-27

ASAのInspection機能はデフォルトでenableになっているのでしょうか？

またInspection機能がenable/disableかどうかはconfigのどこを見ればわかるのでしょうか？

よろしくお願いします。

Akira Muranaka · ‎2020-01-10

こんにちは！ ASAはデフォルトで幾つかのプロトコルでアプリケーションインスペクションが有効で、設定ガイドにも記載があるので、確認してみて頂くのは如何でしょうか。

https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa98/configuration/firewall/asa-98-firewall-config/asa-98-firewall-config_chapter_01101.html#ID-2093-000000fc

以下は、「アプリケーションインスペクションのデフォルト」項の抜粋ですが、"太字"のアプリケーションのインスペクションがデフォルト有効です。表1.の一覧の中の太字のアプリケーションである、DNS over UDPや FTP、H323関係、IPオプションなどはデフォルト有効ですね。

元の投稿で解決策を見る

Akira Muranaka · ‎2020-01-10

こんにちは！ ASAはデフォルトで幾つかのプロトコルでアプリケーションインスペクションが有効で、設定ガイドにも記載があるので、確認してみて頂くのは如何でしょうか。

https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa98/configuration/firewall/asa-98-firewall-config/asa-98-firewall-config_chapter_01101.html#ID-2093-000000fc

以下は、「アプリケーションインスペクションのデフォルト」項の抜粋ですが、"太字"のアプリケーションのインスペクションがデフォルト有効です。表1.の一覧の中の太字のアプリケーションである、DNS over UDPや FTP、H323関係、IPオプションなどはデフォルト有効ですね。

HITOSHIYAMADA8041 · ‎2020-01-16

ご回答ありがとうございます。

扱っているASAのConfigを確認すると、policy-mapやinspectといった文字列が見当たらないけど

inspectionは有効になっているみたいだったので疑問でした。

しかし、show running-config all policy-map コマンドを使用すると、非表示のデフォルトポリシーマップを表示できました。

デフォルトのインスペクション ポリシー マップ

一部のインスペクション タイプは、非表示のデフォルト ポリシー マップを使用します。たとえば、マップを指定しないで ESMTP インスペクションをイネーブルにした場合、_default_esmtp_map が使用されます。

デフォルトのインスペクションは、各インスペクション タイプについて説明しているセクションで説明されています。これらのデフォルト マップは、show running-config all policy-map コマンドを使用して表示できます。

DNS インスペクションは、明示的に設定されたデフォルト マップ preset_dns_map を使用する唯一のインスペクションです。