購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
1646
閲覧回数
9
いいね!
25
返信

[CTC テクノロジー共催] Ask Me Anything フォーラム 2025 - Secure firewall ASA

Eri Mizuno
Community Manager
Community Manager

‎2025-01-28 08:31 PM ‎2025-02-28 05:24 PM 更新

Ask Me Anything フォーラム 2025/2/3(月)~ 2025/2/28(金)

2025 CTCT AMA Main banner double logos.png


Cisco Secure firewall ASA をお使いの方、導入をご検討の方、サポートに従事されている方、お困りのことはありませんか?Ask Me Anything フォーラムイベントでは、選りすぐりのエキスパートがみなさまのご質問にお答えします!

【開催概要】 
1. 開催(質問受付)期間:2025 年 2 月 3 日(月)~2025 年 2 月 28 日(金)
2, 対象のテクノロジー領域:Cisco Secure firewall ASA
3. 対象範囲:上記の領域に関するトラブルシューティング、メンテナンス、設定、Q&A
4. 注意事項:設計支援やシステム/ネットワーク構築に関するご質問は対象外です。

                   Ask Me Anything イベントページへ戻る

 

右下にある「返信」ボタンをクリックして質問を開始してください

Reply.png↑こちらは画像です。実際のボタンは右下にあります。2/3 より有効になります。

 

共催企業紹介

EriMizuno_1-1733138123667.png  CTC テクノロジー株式会社について

CTC テクノロジーは、CTC グループとして IT ライフサイクルを通して一貫したサービスを提供しています。システムの導入に携わる「システム環境構築サービス」、稼働開始後の運用保守をサポートする「製品保守サービス」、「マネージドサービス」。システム全体の問題を解決できるエンジニアを育成する「教育・研修サービス」。これらを総合的に提供することで、ビジネスパートナーとしてお客様のIT活用をサポートします。詳細は https://www.ctct.co.jp/ をご覧ください。

 

エキスパート紹介

 セキュリティ製品(Secure firewall ASA)

EriMizuno_6-1733138253109.png遠藤 晴彦(Haruhiko Endo)
CTC テクノロジー株式会社 テクニカルサポート本部 テクニカルサポート第3部
ルータ・スイッチ製品担当及び、セキュリティ製品担当として製品の評価・検証・技術サポート業務に従事。2006 年に入社して以降、一貫して Cisco 社製品のテクニカルサポートを行っている。

EriMizuno_7-1733138301490.png種谷 昌洋(Masahiro Taneya)
CTC テクノロジー株式会社 テクニカルサポート本部 テクニカルサポート第3部
ルータ・スイッチ製品担当及びセキュリティ製品担当として製品の評価・検証・技術サポート業務に従事。前職にて Cisco 製品の運用保守を数年経験後 2018 年入社し、Cisco 製品のテクニカルサポートを行っている。
 
 



質問をするには Cisco.com ユーザ ID でのログインが必要です。Cisco.com ユーザ ID の登録や設定などについては シスコ コミュニティのメンバーとして登録するには?  ご質問を投稿するには 質問をする  を参照してください

ご質問が短期間に集中した場合など、タイムリーな回答が難しくなる場合があります。また、ご質問の内容に対しシスココミュニティ上で回答を公開するのが難しいと判断した場合、シスコ TAC サービスリクエストへお問い合わせいただくようご案内する場合があります。恐れ入りますがあらかじめご了承ください。

For more information, visit the セキュリティデータセンター、 ネットワークインフラストラクチャ  section.
If you have any questions or technical issues with Cisco products, click here for additional information at no charge. Visit the シスコ コミュニティ page.

ラベル:
25件の返信25

5rlg1
Level 1
Level 1

‎2025-02-03 09:36 AM

ASAのDAP機能について、マルウェア対策エンドポイント属性について教えてください。
以下のサイトよりそのマルェア対策ソフトのバージョンを設定できるように読み取れます。
こちらは認識相違ないでしょうか?また、あくまでソフトのバージョンであって、ウィルス定義
ファイル(パッチファイル)のバージョンを指定できるものではないということで合っておりますでしょうか?

検疫の観点で、ウィルス定義ファイル(パッチファイル)のようなものが属性の中で設定ができるのかどうかを
教えていただけないでしょうか?
また、Last Updateの項目がありますが、こちらもソフトバージョンのアップデートであってウィルス定義ファイルの
アップデートではないという認識でよろしかったでしょうか?

https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa918/asdm718/vpn/asdm-718-vpn-config/vpn-asdm-dap.html#ID-2184-000001e5

https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa918/asdm718/vpn/asdm-718-vpn-config/vpn-asdm-dap.html#ID-2184-0000033b

0 いいね!

CTCテクノロジー株式会社 テクニカルサポート第3部
Level 1
Level 1
5rlg1に対する応答

‎2025-02-03 10:32 AM

投稿頂きましてありがとうございます。回答準備中ですので少々お待ちください。

0 いいね!

CTCテクノロジー株式会社 テクニカルサポート第3部
Level 1
Level 1
5rlg1に対する応答

‎2025-02-05 09:55 AM

ご質問に回答させて頂きます。

Dynamic access policies(DAP)では、ご認識の通り、マルウェア対策ソフトのバージョンを
設定できます。
なお、DAPで設定できる情報については、以下のドキュメントに記載がございます。
参照URL
dap-hostscanにおける端末インストール済みantimalware-firewallの情報取得に関して
https://community.cisco.com/t5/-/-/ta-p/4443410

ウィルス定義ファイル(パッチファイル)のバージョン設定については、現状、
ご要望に沿う機能はないと考えます。

頂いたURLに記載されている「DAP へのマルウェア対策エンドポイント属性の追加」の「Last Update」や
「エンドポイント属性の定義」記載の「endpoint.am["label"].lastupdate」は
ご認識の通り、マルウェア対策ソフトのバージョンに関するものであり、ウィルス定義ファイル
に関するものではございません。

よろしくお願いいたします。

5rlg1
Level 1
Level 1
CTCテクノロジー株式会社 テクニカルサポート第3部に対する応答

‎2025-02-05 02:13 PM

ご回答いただきありがとうございました。

0 いいね!

5rlg1
Level 1
Level 1

‎2025-02-03 09:41 AM

ASAのVPN接続シーケンスにおいて、SecureClient→認証→DAP(検疫)→ポリシー適用(トンネルグループ、グループポリシー、VPNフィルター)→VPN接続確立までの概念図や各ポリシーなどの評価優先順位などが説明されたシスコからの資料やシスコのサイトはないでしょうか?

0 いいね!

CTCテクノロジー株式会社 テクニカルサポート第3部
Level 1
Level 1
5rlg1に対する応答

‎2025-02-05 10:01 AM

ご質問に回答させて頂きます。

VPN接続確立までの概念図については、残念ながら該当するものはございませんでした。
DAPのシーケンスについては、以下のドキュメントに記載がございます。
参照URL
dap-のトラブルシューティングで取得する情報
2. DAP のシーケンスについて
https://community.cisco.com/t5/-/-/ta-p/3150763

ポリシーなどの評価優先順位については、以下のドキュメントに記載がございます。
参照URL
CLI ブック 3:Cisco Secure Firewall ASA シリーズ VPN 9.18 CLI コンフィギュレーション ガイド
接続プロファイル、グループ ポリシー、およびユーザーの概要
https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa918/configuration/vpn/asa-918-vpn-config/vpn-groups.html#ID-2439-00000006
-------------------------------------------------------------
セキュリティ アプライアンスでは、さまざまなソースから属性値を適用できます。次の階層に従って、属性値を適用します。
1.Dynamic Access Policy(DAP)レコード
2.ユーザー名
3.グループ ポリシー
4.接続プロファイル用のグループ ポリシー
5.デフォルトのグループ ポリシー
そのため、属性の DAP 値は、ユーザー、グループ ポリシー、または接続プロファイル用に設定された値よりもプライオリティが高くなっています。
-------------------------------------------------------------

上記ドキュメントがご参考になれば、幸いでございます。

よろしくお願いいたします。

5rlg1
Level 1
Level 1

‎2025-02-07 05:49 PM

ASAが自身に定義したアドレスプールからIPアドレスやゲートウェイ情報をクライアントに割り当てる方式の場合に
以下の払い出しルールで基本的には動作すると考えておりますが、こちらは現行のASAOS最新バージョン(9.20系)でも変更はないでしょうか?
1.プール内の割り当て可能な(利用中でない)アドレスの内、一番低い値を持つものが払い出しされる。
10.1.1.3 10.1.1.4 10.1.1.10 ←左記のように割り当て可能な状態のIPがあった場合は、10.1.1.3が払い出される。
2.VPNセッション切断に伴い、使われなくなったアドレスは即座に再利用される。

0 いいね!

CTCテクノロジー株式会社 テクニカルサポート第3部
Level 1
Level 1
5rlg1に対する応答

‎2025-02-07 06:49 PM

投稿頂きましてありがとうございます。回答準備中ですので少々お待ちください。

0 いいね!

CTCテクノロジー株式会社 テクニカルサポート第3部
Level 1
Level 1
5rlg1に対する応答

‎2025-02-12 09:25 AM

ご質問に回答させて頂きます。

VPN local pool addressの割振り順については、以下のドキュメントに記載がございます。
参照URL
asaでのvpn-local-pool-addressの割振り順に関して
https://community.cisco.com/t5/-/-/ta-p/3152908
-------------------------------------------------------------
基本的に最後にreleaseされたaddressから降順に割り当てられます。
-------------------------------------------------------------

弊社検証機(FPR2110:9.20(3)13、端末:Windows11、SecureClient:5.1.7.80)でも
同じ挙動を確認できております。

VPNセッション切断に伴い、使われなくなったアドレスの扱いについては、
ご認識の通り、デフォルトでは即座に再利用されます。
再利用に遅延を設ける場合は、
vpn-addr-assign {aaa | dhcp | local [reuse-delay minutes]}コマンドにて
設定が可能です。
参照URL
IPv4 アドレス割り当ての設定
https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa920/configuration/vpn/asa-920-vpn-config/vpn-addresses.html#ID-2183-0000002e

弊社検証機(FPR2110:9.20(3)13)でも、reuse-delay minutesの
デフォルト値は「0」(即座に再利用)であることを、確認できております。

よろしくお願いいたします。

5rlg1
Level 1
Level 1
CTCテクノロジー株式会社 テクニカルサポート第3部に対する応答

‎2025-02-12 10:01 AM

ご回答いただきありがとうございます。内容確認いたします。

0 いいね!

5rlg1
Level 1
Level 1

‎2025-02-12 11:02 AM

ASAのクライアントプロファイルバックアップリストの機能についてですが、外部のDNSサーバーのロードバランス機能を利用している場合にこちらの機能を設定していた場合はどのような動作になるのでしょうか?(外部DNSサーバーのロードバランス機能を利用していた場合は、設定が不要?など)
仮に外部のDNSロードバランス機能で1号機もしくは2号機の筐体障害などを検知できず1号機、2号機それぞれ振り分け対象となっていた場合は、こちらのバックアップリスト機能により正常稼働している機器へ接続しにいくのでしょうか?
(構成)
ASAが2台(1号機、2号機)でAct/Act構成
外部のDNSサーバーのロードバランス機能でASAの1号機と2号機に対して振り分ける(1:1や1:2などの重みづけにより)

0 いいね!

CTCテクノロジー株式会社 テクニカルサポート第3部
Level 1
Level 1
5rlg1に対する応答

‎2025-02-12 11:46 AM

投稿頂きましてありがとうございます。回答準備中ですので少々お待ちください。

0 いいね!

CTCテクノロジー株式会社 テクニカルサポート第3部
Level 1
Level 1
5rlg1に対する応答

‎2025-02-12 03:56 PM

ご質問に回答させて頂きます。

想定としては、Failover構成ではなく、Standalone 構成で 1号機、2号機となっており、
そちらを両機器とも Active としてご利用されている前提でのご質問かと考えております。

その場合、DNSサーバ側で障害を検知できないとなると、バックアップリストに関係なく、
障害機への接続が繰り返される動作になることが想定されます。

弊社としては、Failover構成を組んで頂き、Active/Standby構成として頂くことで、
耐障害性が確保できるため、推奨させて頂きたく存じます。

もしくは、VPN Load Balancing 機能を利用することで、
ロードバランサ―を別途購入しなくても、複数のASAやFTDをクラスタ化し、
ASA/FTDデバイス間で AnyConnect接続を自動分散することができますので、
こちらの導入もご検討頂けますでしょうか。

ASA/FTD: VPN Load Balancing の設定と確認例
https://community.cisco.com/t5/-/-/ta-p/4533960

5rlg1
Level 1
Level 1
CTCテクノロジー株式会社 テクニカルサポート第3部に対する応答

‎2025-02-13 05:14 PM

ご回答ありがとうございました。内容承知いたしました。

0 いいね!

5rlg1
Level 1
Level 1

‎2025-02-13 05:23 PM

クライアントソフトについて、以下のサイトよりダウンロードが可能ですが、Windows端末(64bitOS)で利用する場合は、
どのソフトをダウンロードすればよろしいのでしょうか?Windowsでも色々とパッケージがあるため、どれを選択すればよいのかが不明です。それぞれどのようなケースで選択するのか教えていただけないでしょうか?
また、Cisco Secure Client External Browser SAML Packageについてですが、こちらはどのようなものでしょうか?
VPN接続時の認証にSAML認証を検討していますが、こちらのパッケージが必須となるのでしょうか?
それともオプション的なもので不要なのでしょうか?

■Secure Client 5
https://software.cisco.com/download/home/286330811/type/282364313/release/5.1.8.105

■AnyConnect Secure Mobility Client v4.x
https://software.cisco.com/download/home/286281283/type/282364313/release/4.10.08029

0 いいね!

CTCテクノロジー株式会社 テクニカルサポート第3部
Level 1
Level 1
5rlg1に対する応答

‎2025-02-14 09:08 AM

投稿頂きましてありがとうございます。回答準備中ですので少々お待ちください。

0 いいね!

CTCテクノロジー株式会社 テクニカルサポート第3部
Level 1
Level 1
5rlg1に対する応答

‎2025-02-14 11:09 AM

ご質問に回答させて頂きます。

Windows(x64)端末用の Cisco Secure Client のイメージとして主に利用されるものは以下になります。

■webdeploy用(ASAからイメージを配布する用途で利用します)
 Cisco Secure Client Headend Deployment Package (Windows)
 cisco-secure-client-win-5.1.8.105-webdeploy-k9.pkg

■predeploy用(PCに手動インストールする用途で利用します)
 Cisco Secure Client Pre-Deployment Package (Windows)
 cisco-secure-client-win-5.1.8.105-predeploy-k9.zip

【ご参考】
AnyConnectのバージョンアップ方法(windows端末)
https://community.cisco.com/t5/-/-/ta-p/3896563


Cisco Secure Client External Browser SAML Package は、
Web 認証の実行時に組み込みブラウザではなく外部ブラウザを利用したい場合に必要となるもので必須ではございません。
外部ブラウザをご利用頂くケースとしましては以下をご覧ください。

【ご参考】
SAML を使用した VPN 認証
https://www.cisco.com/c/ja_jp/td/docs/security/vpn_client/anyconnect/Cisco-Secure-Client-5/admin/guide/b-cisco-secure-client-admin-guide-5-0/configure_vpn.html#reference_FE50F6515F3F41F085C733AF39C83275
---------------------------------------------------------
Cisco Secure Firewall ASA リリース 9.17.1(以降)/ASDM リリース 7.17.1(以降)では、
Cisco Secure Client を使用した VPN SAML 外部ブラウザのサポートが追加されました。
Cisco Secure Client VPN 接続プロファイルのプライマリ認証方式として SAML を使用する場合は、
Web 認証の実行時に Cisco Secure Client が組み込みブラウザではなくローカルブラウザを使用することを選択できます。
この機能により、Cisco Secure Client は WebAuthN およびその他の SAML ベースの Web 認証オプション
(シングルサインオン、生体認証、または組み込みブラウザでは利用できないその他の拡張方法など)をサポートします。
---------------------------------------------------------

よろしくお願いいたします。

5rlg1
Level 1
Level 1
CTCテクノロジー株式会社 テクニカルサポート第3部に対する応答

‎2025-02-14 11:19 AM

ご回答いただきありがとうございました。内容承知いたしました。

0 いいね!

GonDad04010
Level 1
Level 1

‎2025-02-26 04:37 PM

丁寧な解説ありがとうございます。
Secure firewall ASA で Cisco Secure Client(Anyconnect) を使用している環境で
障害発生時に DART を採取するケースがあります。
お客様が使用している Cisco Secure Client のバージョンが最新ではなく、
Cisco のダウンロードサイトにお客さんが使用しているバージョンの DART 用のファイルがない場合、
最新の Cisco Secure Client のバージョン用の DART 用ファイルを使用して、
DART を採取して問題ないのでしょうか?

0 いいね!
Customers Also Viewed These Support Documents