9. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
アクセス コントロール リスト(ACL)
10
IPアドレスや、プロトコル、ポート、方向を元に、パケットの許可・拒否を判断
許可した通信は、フローを常に監視し、戻りのパケットを動的に許可
戻りパケットを動的に許可
許可していない方向からのパケットをブロック
TIPS) ベーシックな機能だが、システムのセキュリティの土台として、無くてはならない機能
10. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
TCPノーマライザ
11
デフォルト有効
TCPパケットやフローを 監視、セキュリティチェックし、異常なパケットをドロップ
- TCPの正規化
TCP
TCP
セキュリティ
チェック例
説明
check-
retransmission
一貫性のないTCP再送を防止
checksum-
verification
チェックサムの確認
invalid-ack 無効なACKを検出、ブロック
syn-data
データを含む不正なSYNパケットを
ブロック
synack-data
データを含む不正なSYNACK
パケットをブロック
reserved-bit
TCPヘッダの予約ビットに対する
アクション。デフォルト無効
Windows
Variation
予想外のウィンドサイズの変更が
発生時にアクション。デフォルト
許可
TIPS) デフォルト設定のままで 通常 問題無し
11. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
モジュラー ポリシー フレームワーク(MPF)
TCP SYN フラッド対策
12
指定数を上回る TCP SYNフラッドに対し、ASAが代理応答し、身元確認を行う
送信元から応答がないと、TCP SYNパケットをドロップ
CLI 設定例
policy-map CONNS
class OUT-to-IN
set connection embryonic-conn-max 50
ASDM 設定箇所
IPアドレス偽装
攻撃者
指定数を上回ると、ASAが TCPプロキシの
ように動作、身元確認と制御を行う
多くの場合、攻撃者は自分のIPアドレスを偽装
TIPS) 中継機器や対向機器の、コネクション処理リソースの保護に有効
12. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
モジュラー ポリシー フレームワーク(MPF)
コネクション フラッド対策
13
指定数を上回る コネクション生成をブロック
TCPとUDPの コネクション数の制御に対応
CLI 設定例
policy-map CONNS
class OUT-to-IN
set connection conn-max 50
ASDM 設定箇所
指定数以上のコネクションの生成を拒否
TIPS) 中継機器や対向機器の、コネクション処理リソースの保護に有効
13. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
スレット ディテクション - 脅威検出
14
デフォルト有効
ドロップしたパケットを 定間隔で監視し、
閾値を越えた時に アラートアクション
攻撃や異常通信の把握に有益
検知対象 説明
acl-drop ACLでドロップしたパケット数
bad-packet-
drop
RFC標準に準拠しない、不正
なフォームのパケット数
conn-limit-
drop
定義したコネクションリミットを
超過した数
dos-drop DoS攻撃
fw-drop
ベーシックファイアウォール
セキュリティチェック
icmp-drop 疑わしいICMPパケット数
inspect-
drop
アプリケーション
インスペクションでドロップ数
interface-
drop
インターフェイスでドロップされ
たパケット数
scanning-
threat
ネットワーク/ホスト スキャニン
グ攻撃
syn-attack 不完全なセッション攻撃
ドロップパケットのレートを監視し、
閾値超過時にアラート、もしくは遮断
Dec 06 2014 00:44:31: %ASA-4-733100: [ SYN attack] drop rate-1
exceeded. Current burst rate is 5667 per second, max configured rate
is 200; Current average rate is 11366 per second, max configured rate
is 100; Cumulative total count is 6819865
Syslogメッセージ 出力例
TIPS) アクションを 攻撃者IPアドレス遮断に変更可
14. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
VPN - リモートセキュアアクセス
15
デスクトップやモバイルからの、セキュアなリモート アクセスを終端
専用VPNクライアント、もしくは ウェブブラウザ経由
Cisco AnyConnect
VPNクライアント
ウェブブラウザベース
クライアントレス SSL VPN
Cisco AnyConnect VPNクライアント
サポート デスクトップ サポート モバイル
Microsoft Windows Apple iOS - iPhone
Apple Mac OS X Apple iOS - iPad
Linux Google Android
クライアントレス SSL VPN
サポート デスクトップ
ウェブブラウザ
サポート モバイル
ウェブブラウザ
Google Chrome Citrix Receiver
Internet Explorer Pocket IE
Mozilla Firefox
Apple Safari
Citrix Receiver
TIPS) Cisco AnyConnectは 柔軟なセキュリティ制御が可能
15. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
次世代ファイアウォール(NGFW)
アプリケーション可視化と制御(AVC)
16
アプリケーション制御
- 1400以上のアプリケーションに対応
対応アプリケーションは逐次更新、増加中
- アプリケーションの対応リクエストが可能
アプリケーション例
ソーシャル 趣味
Facebook YouTube
Twitter iCloud
LinkedIn iTunes
Webメール ファイル共有
Gmail Google Drive
Yahoo Mail Dropbox
Outlook.com Yahoo Box
メッセンジャー P2P
Google Talk Chat BitTorrent
Yahoo Messenger Share
Skype Winny
TIPS) アプリケーション一覧と、対応リクエストは専用ポータルで
http://asacx-cisco.com/
YouTube
SalesForce
Twitter
DropBox
Wikipedia
Facebook
17. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
次世代侵入防御システム(NGIPS)
18
不正な挙動や 攻撃を検知時、自動でアラートや遮断
- 脆弱性情報データベース(CVE)の脆弱性を狙った攻撃に多数対応
最新の攻撃に 対応
- 検知パターンの自動アップデート
検知条件の自動チューニング
- 従来型に比べ、運用性をさらに改善
攻撃の可視化
- 脅威の検知状況や、攻撃者とターゲットをグラフィカルに表示
TIPS) 最新の脅威情報と対応シグネチャの確認は以下サイト
http://tools.cisco.com/security/center/home.x
Code
18. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
NGFWとNGIPSの利用に必要なハードウェア
19
ASA5512-X~ASA5555-X
- SSD増設が必要
- CPU・メモリはASA本体のを共用
ASA5585-X
- 専用モジュール増設が必要
- モジュールに専用CPUと、メモリ、
HDD搭載済みのため、より高性能
SSD増設スロット 専用モジュール
TIPS) ASA5512-X~ASA5555-Xは、SSD増設と 簡単なセットアップで、NGFWとNGIPSを利用可
19. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
まとめ
20
”Cisco ASA 5500-X 次世代ファイアウォールは、
ワンボックスで レイヤー3からレイヤー7までを、
強力に保護する、オールインワン ソリューション”
20. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
Agenda
Cisco ASA 5500-X 次世代ファイアウォール ラインアップ
Cisco ASA 5500-X 次世代ファイアウォール 主要セキュリティ機能
最適なソフトウェアバージョンの選定方法
パフォーマンスのボトルネック把握と 最適化
シスログのボトルネック把握と 最適化
シスコサポートコミュニティ (Japan)
21
26. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
ASA ソフトウェアのダウンロード
27
Download Softwareから、公開ソフトウェア バージョンのダウンロード可能
- シスコ社内テストを合格したバージョンのみ公開
インタリム リリースは、All Releases > Interim からダウンロード可能
- インタリム リリースノートも 当ページからダウンロード可能
インタリム
リリース
メンテナンス
リリース
リリースノート
Download Software http://software.cisco.com/download/navigator.html
27. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
リリースノート
28
リリース毎の新機能や、修正不具合一覧、その他重要な情報を網羅
Cisco ASA 5500-X Series Next-Generation Firewalls Release Notes
http://www.cisco.com/c/en/us/support/security/asa-5500-series-next-generation-firewalls/products-release-notes-list.html
28. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
ソフトウェアメンテナンス終了日と、サポート終了日
29
End-of-Life and End-of-Sale Notices
にて公開、逐次更新
Cisco ASA 5500-X Series Next-Generation Firewalls End-of-Life and End-of-Sale Notices
http://www.cisco.com/c/en/us/products/security/asa-5500-series-next-generation-firewalls/eos-eol-notice-listing.html
ソフトウェア メンテナンス終了日
開発や不具合修正が可能な最終日
TACサポートの最終日
サポート終了日
34. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
マルチコア、マルチCPU処理
35
ASAは、CPUによるソフトウェアベースの通信制御
- 柔軟で多様なセキュリティ制御に対応するため
マルチコア、マルチCPUによる分散処理で、パフォーマンス向上を実現
- 上位モデルほど、コア数やCPU数が増加
CPUの使用状況が、パフォーマンスに強く影響
RAM
Management
1 Gbps
RAM
Flash
Crypto Accelerator
I/O Bridge
M1
2
cores
CPU
2 cores
2 cores
2 cores
2 cores
2 cores
2 cores
CPU
2 cores
2 cores
2 cores
2 cores
2 cores
2 cores
Fabric SwitchM0
0123459 678
Crypto Accelerator
Crypto Accelerator
Crypto Accelerator
Co
n
Aux
1 Gbps10 Gbps
Internal-Data
Ports
ASA5585 SSP-60
35. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
ASA5585 パケットとコネクション処理例
36
RAM RAM
Flash
Crypto Accelerator
I/O Bridge
M1
2 cores
CPU
2 cores
2 cores
2 cores
2 cores
2 cores
2 cores
CPU
2 cores
2 cores
2 cores
2 cores
2 cores
2 cores
Fabric SwitchM0
0123459 678
Crypto Accelerator
Crypto Accelerator
Crypto Accelerator
Con Aux
ASA5585 SSP-60
コネクション毎に1つのコアが
自動で割当てられ、その
パケットの通信制御を実施
Interface処理
Packet Ingress
Packet Egress
TIPS) 同一コネクションの後続パケットは、割り当てられた1つのコアが継続し処理する
36. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
ソフトウェア処理 アーキテクチャ概要
37
データパス(DP)にて、コネクション制御やACL・NAT処理など、基本処理を行う
- 処理が最適化されており、高速
コントロールポイント(CP)にて、インスペクションやシスログなど、高度な処理を行う
- 複雑な処理のため、低速
コントロールポイント(CP)
- アプリケーション インスペクション
- シスログ、SNMP、AAA
- ARP解決、フェイルオーバ
データパス(DP)
- コネクション ルックアップ
- 新規コネクションの生成と切断
- ACL・NAT処理
- L3ルーティング、L2スイッチングInterface cards
ASASoftware
Data Path
(DP)
Control Point (CP)
37. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
パケット処理フローとパフォーマンス
38
New
conn?
Application
Inspection
ARP
解決
Dynamic
Routing
yes
no
Packet
Ingress
Packet
Egress
TCP
Proxy
Control Point (CP)
Session ManagerFastpath
NAT
適用
Policy
checks
L2/L3
Lookup
Data Path (DP)
Create
Conn
NAT / Routing
Create
Xlate
Mgmt
Performance高い 低い
Failover
Syslog,
Netflow
ACL checks
新規コネクション
かのチェック
TCP
Normalizer
38. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
機能別のパフォーマンス影響
39
TIPS) コントロールポイント(CP)で処理する機能は総じて負荷が高い
マルチコア処理に最適化済み機能は、コマンド show asp multiprocessor accelerated-featureで確認可
主要機能
パフォーマンス
影響
Static NAT 少さい
Dyanamic NAT 大きい
PAT 大きい
ACL 少さい
Application Inspection 大きい
Threat-detection(Basic) ほぼ無い
Threat-detection
(Advanced)
大きい
IPSec 少さい
SSL VPN 大きい
主要機能
パフォーマンス
影響
Syslog 大きい
TCP Syslog とても大きい
SNMP 大きい
NetFlow やや大きい
主要機能
パフォーマンス
影響
Active/Standby Failover 大きい
Active/Active Failover とても大きい
39. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
ACLと 推奨最大ACE数
40
各ACL毎に、1つまたは複数のアクセス コントロール エントリ(ACE)で構成
- ACE数は、 show access-list | include elements コマンドで確認可
ACE設定可能数の上限は無し
- ACE設定数が多いほど、パフォーマンス低下とメモリ占有
- 推奨最大ACE数を超過時、15%のパフォーマンス低下が目安
5512-X 5515-X 5525-X 5545-X 5555-X
5585
SSP-10
5585
SSP-20
5585
SSP-40
5585
SSP-60
推奨最大
ACE数
100k 100k 200k 300k 500k 500k 750k
1
million
2
million
40. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
アクセス コントロール エントリ(ACE)の数え方
41
ciscoasa# access-list INSIDE extended permit object-group HTTP-HTTPS-FTP object-group
OBJ-10.0.0.1-3 object-group OBJ-20.0.0.1-4
1つのACL内に、送信元IP3個、宛先IP4個、サービス3個を設定した場合・・・
コマンド確認例
object-group network OBJ-10.0.0.1-3
network-object host 10.0.0.1
network-object host 10.0.0.2
network-object host 10.0.0.3
object-group network OBJ-20.0.0.1-4
network-object host 20.0.0.1
network-object host 20.0.0.2
network-object host 20.0.0.3
network-object host 20.0.0.4
送信元IP 3個 宛先IP 4個 サービス 3個
object-group service HTTP-HTTPS-FTP
service-object tcp desti eq http
service-object tcp desti eq https
service-object tcp desti eq ftp
ciscoasa# show access-list | in element
access-list INSIDE; 36 elements; name hash: 0xdedb237a
TIPS)
オブジェクト定義に 指定IPではなく、
サブネットを利用することで ACE数を
抑えることが可能
送信元IP(3個) x 宛先IP(4個) x サービス(3個) = 36個のACE数が生成
ACE合計数
41. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
各プロセスのCPU使用状況
42
show processes cpu-usage コマンド
- 5秒、1分、5分の、各プロセス毎のCPU使用率を表示
- sorted non-zero キーワードで、ゼロ以外のプロセスを ソート表示
TIPS) 負荷の高いプロセスを把握し チューニングに活用可
ciscoasa# show proc cpu-usage sorted non-zero
PC Thread 5Sec 1Min 5Min Process
0x00000000017e4e32 0x00007ffecf5752e0 15.2% 15.2% 15.0% Logger
- - 11.7% 11.7% 11.6% DATAPATH-2-1337
- - 11.7% 11.8% 11.7% DATAPATH-3-1338
- - 11.6% 11.7% 11.6% DATAPATH-0-1335
- - 11.6% 11.7% 11.6% DATAPATH-1-1336
0x00000000007a8978 0x00007ffecf565e80 4.4% 4.4% 4.4% CP Processing
コントロールポイント(CP) 負荷データパス(DP) 負荷
42. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
各コアのCPU使用率
43
show cpu detail コマンド
- 各コアの、データパス(DP)とコントロールポイント(CP)のCPU使用率を表示
ciscoasa# show cpu detail
Break down of per-core data path versus control point cpu usage:
Core 5 sec 1 min 5 min
Core 0 68.4 (47.8 + 20.6) 66.9 (46.6 + 20.3) 65.4 (45.6 + 20.1)
Core 1 68.8 (47.8 + 21.0) 67.1 (46.8 + 20.3) 65.6 (45.8 + 20.0)
Core 2 68.2 (48.6 + 19.6) 66.9 (46.6 + 20.3) 65.4 (45.7 + 20.0)
Core 3 69.2 (49.0 + 20.2) 67.1 (47.0 + 20.1) 65.6 (45.9 + 19.9)
コントロールポイント(CP) 負荷データパス(DP) 負荷
TIPS) 一部コアのみ負荷が特出し高い時は、特定のシングルフローによる高負荷を疑う
43. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
NGFWとNGIPSの機能と、パフォーマンス
44
低い
ASA L3 / L4 ACL
NGFW - URL Filtering
NGFW – Broad AVC
NGFW –
Web AVC
NGIPS
Performance
高い
URL Filtering
NGFW - Broad AVC
メールやFTPなどのアプリケーション制御
NGFW - Web AVC
HTTPやHTTPSのWebアプリケーション制御
NGIPS
脅威の自動検出と、アラート・ブロック
TIPS) NGIPSは通信フローを監視し 脅威検出を行うため、負荷が高い
URL別、もしくはURLカテゴリ別制御
44. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
NGFW 新規パケット処理フロー 概要
45
ACL
checks
MPF
対象no
Packet
Ingress
Packet
Egress
NGFW
ASA Software
NAT
Drop Application
Inspection
NGFW
対象?
no
Drop
yes
no
yes
Broad
AVC
Web AVC
URL
no no
Drop Drop
http
packet
yes yes
TIPS) ACLで不要通信を破棄し、必要な通信のみNGFWとNGIPS処理を行うと良い
Performance高い 低い
yes
各
種
処
理
45. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
ベストプラクティス
46
ACLやNATエントリは、定期的な見直し・削除を実施し、エントリ数を抑える
不要な機能や設定の 削減
高度処理が不要な通信は、ACLでの優先破棄を
高度処理が必要な通信のみ、NGFWとNGIPS制御を行う
運用中、通信量ピーク時のCPU使用率に余裕を持たせる
- バーストトラフィックや、攻撃発生時の、セキュリティ処理の余力を考慮
- ASAはCPUが高負荷になると、パケットドロップの原因に
46. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
まとめ
47
ASAはソフトウェアベースの通信制御
- マルチコア、マルチCPUの分散処理により、パフォーマンス向上を実現
データシートは、設定が最小限のテスト機での計測結果
- マルチプロトコルが より実ネットワークに近いスループット
実ネットワークは、使用機能と設定量、通信処理量によりパフォーマンス変化
これら機能・設定を最適化する事で、パフォーマンスの最適化が可能
48. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
¥
シスログの活用
49
シスログは、優秀なトラブルシューティングツール
ASAを通過するトラフィックの処理や、ASA動作状況を記録する
Local
Buffer
ログ保存・管理用 トラブルシューティング用
Syslog Server
SNMP Server
ASDM
Monitor
(Telnet, SSH)
Console
49. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
トラブル事例
50
障害発生後に show logを確認したが、障害時Syslogメッセージが
残っていなかった
シスログサーバを確認したが、幾つかのSyslogメッセージが欠けていた
Syslogメッセージの時間と、実際の時間がずれていた
TIPS) メッセージの欠損や 時刻不一致は、トラブルシューティングの効率や結果に影響
50. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
Syslogメッセージ生成と送信の仕組み
51
以下3つの処理を行う
1. データパス(DP)が対象通信を検知し、コントロールポイント(CP)にイベントキュー
2. コントロールポイント(CP)がSyslogメッセージを生成
3. データパス(DP)が Syslogメッセージを 送信
Control Point (CP)
Data Path (DP)
Packet
Ingress
Logger
ログ生成
対象?
yes
1. DPからCP宛に
ログ生成要求の
イベントキュー
Syslog Server
3. Syslogメッセージ送信
2. CPは キューを確認し、
シスログフォームを生成
TIPS) 大量の生成・送信処理は、過負荷によるSyslogメッセージの破棄や、CPU負荷高騰、帯域圧迫の原因に
51. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
ciscoasa# show asp event dp-cp
DP-CP EVENT QUEUE QUEUE-LEN HIGH-WATER
Punt Event Queue 0 0
Identity-Traffic Event Queue 0 0
General Event Queue 0 1
Syslog Event Queue 5 310
Non-Blocking Event Queue 0 0
Midpath High Event Queue 0 2
Midpath Norm Event Queue 0 3
SRTP Event Queue 0 0
EVENT-TYPE ALLOC ALLOC-FAIL ENQUEUED ENQ-FAIL RETIRED 15SEC-RATE
midpath-norm 911 0 911 0 911 0
arp-in 253 0 253 0 253 0
syslog 2511111 1321 249790 212123 2511111 0
イベントキュー失敗数の確認
52
show asp event dp-cp コマンド
- データパス(DP)から コントロールポイント(CP)への キューの処理状況
- 過負荷が発生すると、ENQ-FAILが上昇
キューリミットを超過しFAILした数
TIPS) 通信量ピーク時に 大量のFAILが発生していないか確認を
メモリ不足
52. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
Syslogメッセージ 破棄数の確認
53
ciscoasa# show logging queue
Logging Queue length limit : 512 msg(s)
129052 msg(s) discarded due to queue overflow
0 msg(s) discarded due to memory allocation failure
Current 0 msg on queue, 512 msgs most on queue
show logging queue コマンド
- Syslogメッセージの送信待ちキュー状態
- Syslogメッセージ生成数が、送信可能数より多い場合、メッセージ破棄が発生
Syslogメッセージの破棄数
TIPS) 通信量ピーク時に 大量の破棄が発生していないか確認を
62. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
Cisco ASA 5512-X ~ 5555-X 前面
63
5512-X
5515-X
ASA5512-X~ASA5555-Xは、全て1RUシャーシ
ASA5545-Xと ASA5555-Xは、SSDと電源モジュールが冗長
冗長SSD
63. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
Cisco ASA 5512-X ~ 5555-X 背面
64
6 Gigabit Ethernet Ports
8 Gigabit Ethernet Ports
5512-X
5515-X
5525-X
5545-X
5555-X
冗長電源
64. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
Cisco ASA 5512-X ~ 5515-X 内部構造
65
Note: ASA 5515-X のみ Regex Accelerator あり
ASA 5512-X
ASA 5515-X
Flash
Controller Hub
PCIe Bus
Management
1 Gbps
M0
012345
Crypto Accelerator
Con
1 Gbps
2 USB
RAM RAM
Slot 0
External PCIe Slot
SSD Slot
CPU Complex
ASA & NGFW & NGIPS
1 core 1 core
SSD 0
Regex Accelerator
65. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
Cisco ASA 5525-X ~ 5555-X 内部構造
66
Note: ASA 5545-Xと5555-Xは CPU 8コア
ASA 5525-X
ASA 5545-X
ASA 5555-X
Flash
Controller Hub
PCIe Bus
Management
1 Gbps
M0
01234567
Crypto Accelerator
Con
1 Gbps
Regex Accelerator
2 USB
RAM
1 core
RAM
Slot 0
External PCIe Slot
SSD 1
SSD Slot
CPU Complex
ASA & NGFW & NGIPS
1 core
1 core
1 core
SSD 0
66. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
Cisco ASA 5585-X 前面
67
2 or 4
10GE Ports
2
1 GE Management Ports Console
Port
6 or 8
1 GE Ports
拡張モジュール
冗長HDD
67. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
Cisco ASA 5585-X 背面
68
ホットスワップ対応 冗長電源
68. Cisco and/or its affiliates. All rights reserved.CC5-3 Cisco Public
Cisco ASA 5585-X SSP-10 と SSP-20 内部構造
69
Note:
ASA5585-X SSP-10 は 1 CPU 4コア
ASA5585-X SSP-20 は 1 CPU 8コア
ASA5585-X SSP-10
ASA5585-X SSP-20
RAM
Management
1 Gbps
Flash
I/O Bridge
M1
CPU
2 cores
2 cores
2 cores
2 cores
Fabric SwitchM0
0123459 678
Crypto Accelerator
Crypto Accelerator
Con Aux
1 Gbps10 Gbps
Internal-Data
Ports