CHAPTER
51
TCP ステート バイパスの設定
この章では、TCP ステート バイパスについて説明します。この機能を使用すると、アウトバウンド フ
ローとインバウンド フローが異なる適応型セキュリティ アプライアンスを通過できます。この章には、
次の項があります。
• 「TCP ステート バイパスに関する情報」(P.51-1)
• 「TCP ステート バイパスのライセンス要件」(P.51-2)
• 「ガイドラインと制限事項」(P.51-2)
• 「デフォルト設定」(P.51-3)
• 「TCP ステート バイパスの設定」(P.51-3)
• 「TCP ステート バイパスの監視」(P.51-4)
• 「TCP ステート バイパスの設定例」(P.51-4)
• 「TCP ステート バイパスの機能履歴」(P.51-5)
TCP ステート バイパスに関する情報
デフォルトでは、適応型セキュリティ アプライアンスを通過するトラフィックはすべて、アダプティ
ブ セキュリティ アルゴリズムを使用して検査され、セキュリティ ポリシーに基づいて、通過を許可さ
れるか、またはドロップされます。適応型セキュリティ アプライアンスは、各パケットのステートを
チェックして(新規の接続か、確立済みの接続か)、セッション管理パス(新規接続の SYN パケッ
ト)、ファースト パス(確立済み接続)、またはコントロール プレーン パス(高度な検査)を割り当て
ることで、ファイアウォールのパフォーマンスを最大化します。ステートフル ファイアウォールの詳
細については、「ステートフル インスペクションの概要」(P.1-13)を参照してください。
ファースト パスの既存の接続に一致する TCP パケットは、セキュリティ ポリシーのあらゆる面の再検
査を受けることなく適応型セキュリティ アプライアンスを通過できます。この機能によってパフォー
マンスは最大になります。ただし、SYN パケットを使用してファースト パスのセッションを確立する
方法、およびファースト パスで実施される検査(TCP シーケンス番号など)は、非対称ルーティング
ソリューションを妨げる場合があります。つまり、接続のアウトバウンド フローとインバウンド フ
ローがどちらも同じ適応型セキュリティ アプライアンスを通過する必要があります。
たとえば、新しい接続が適応型セキュリティ アプライアンス 1. に到着します。SYN パケットはセッ
ション管理パスを通過し、接続のエントリがファースト パス テーブルに追加されます。この接続の後
続のパケットが適応型セキュリティ アプライアンス 1 を通過する場合、パケットはファースト パスの
エントリと一致して、通過します。しかし、後続のパケットが適応型セキュリティ アプライアンス 2
に到着すると、SYN パケットがセッション管理パスを通過していないために、ファースト パスにはそ
の接続のエントリがなく、パケットはドロップされます。図 51-1 は非対称ルーティングの例を示した
もので、アウトバウンド トラフィックはインバウンド トラフィックとは異なる適応型セキュリティ ア
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
51-1
第 51 章
TCP ステート バイパスの設定
TCP ステート バイパスのライセンス要件
プライアンスを通過しています。
図 51-1
非対称ルーティング
ISP A
ISP B
ࠠࡘ࠹ࠖ
ࠕࡊࠗࠕࡦࠬ 2
ࠠࡘ࠹ࠖ
ࠕࡊࠗࠕࡦࠬ 1
࠲ࡦ ࠻ࡈࠖ࠶ࠢ
ౝㇱ
ࡀ࠶࠻ࡢࠢ
251155
⊒ା࠻ࡈࠖ࠶ࠢ
アップストリーム ルータに設定された非対称ルーティングがあり、トラフィックが 2 つの適応型セ
キュリティ アプライアンスの間で切り替わる場合は、特定のトラフィックに対して TCP ステート バイ
パスを設定できます。TCP ステート バイパスは、ファースト パスでのセッションの確立方法を変更
し、ファースト パスの検査をディセーブルにします。この機能は、TCP トラフィックを UDP 接続と
同じように処理します。指定されているネットワークに一致する非 SYN パケットが適応型セキュリ
ティ アプライアンスに到着し、ファースト パスのエントリがない場合は、パケットはセッション管理
パスを通過して、ファースト パスの接続を確立します。いったんファースト パスに入ると、トラ
フィックはファースト パスの検査をバイパスします。
TCP ステート バイパスのライセンス要件
モデル
ライセンス要件
すべてのモデル
基本ライセンス
ガイドラインと制限事項
この項では、この機能のガイドラインと制限事項について説明します。
コンテキスト モードのガイドライン
シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。
ファイアウォール モードのガイドライン
ルーテッド モードとトランスペアレント モードでサポートされます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
51-2
OL-18970-01-J
第 51 章
TCP ステート バイパスの設定
デフォルト設定
フェールオーバーのガイドライン
フェールオーバーはサポートされます。
サポートされていない機能
TCP ステート バイパスを使用するときは、次の機能はサポートされません。
• アプリケーション検査:アプリケーション検査ではインバウンド トラフィックとアウトバウンド
トラフィックの両方が同じ適応型セキュリティ アプライアンスを通過する必要があるので、アプ
リケーション検査は TCP ステート バイパスではサポートされません。
• AAA 認証済みセッション:ユーザが 1 つの適応型セキュリティ アプライアンスで認証するとき、
他の適応型セキュリティ アプライアンスを介して返されるトラフィックは、ユーザがその適応型
セキュリティ アプライアンスで認証を受けていないので拒否されます。
• TCP 代行受信、最大初期接続制限、TCP シーケンス番号のランダム化:適応型セキュリティ アプ
ライアンスは接続のステートを追跡しないので、これらの機能は適用されません。
• TCP 正規化:TCP ノーマライザはディセーブルになります。
• SSM および SSC 機能:TCP ステート バイパスおよび IPS や CSC などの SSM または SSC 上で
実行するアプリケーションは使用できません。
NAT のガイドライン
変換セッションは適応型セキュリティ アプライアンスごとに個別に確立されるので、TCP ステート バ
イパス トラフィック用に両方の適応型セキュリティ アプライアンスでスタティック NAT を設定してく
ださい。ダイナミック NAT を使用すると、適応型セキュリティ アプライアンス 1 でのセッションに選
択されるアドレスが、適応型セキュリティ アプライアンス 2 でのセッションに選択されるアドレスと
異なります。
デフォルト設定
TCP ステート バイパスは、デフォルトでディセーブルになっています。
TCP ステート バイパスの設定
この項では、TCP ステート バイパスの設定方法について説明します。
コマンド
目的
ステップ 1 class-map name
例:
hostname(config)# class-map bypass_traffic
ステップ 2 match parameter
例:
hostname(config-cmap)# match access-list
bypass
ステップ 3 policy-map name
例:
hostname(config)# policy-map
tcp_bypass_policy
ステートフル ファイアウォール検査をディセーブルにするトラ
フィックを識別するためのクラスマップを作成します。
クラスマップのトラフィックを指定します。詳細については、
「トラフィックの特定(レイヤ 3/4 クラスマップ)」(P.9-13)を
参照してください。
クラスマップ トラフィックで実行するアクションを設定するポ
リシーマップを追加または編集します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
51-3
第 51 章
TCP ステート バイパスの設定
TCP ステート バイパスの監視
コマンド
目的
ステップ 4 class name
ステップ 1 で作成したクラスマップを指定します。
例:
hostname(config-pmap)# class
bypass_traffic
ステップ 5 set connection advanced-options
TCP ステート バイパスをイネーブルにします。
tcp-state-bypass
例:
hostname(config-pmap-c)# set connection
advanced-options tcp-state-bypass
ステップ 6 service-policy policymap_name {global |
interface interface_name}
例:
hostname(config)# service-policy
tcp_bypass_policy outside
1 つまたは複数のインターフェイスでポリシーマップをアクティ
ブにします。global はポリシーマップをすべてのインターフェ
イスに適用し、interface は 1 つのインターフェイスに適用しま
す。グローバル ポリシーは 1 つしか適用できません。インター
フェイスのグローバル ポリシーは、そのインターフェイスに
サービス ポリシーを適用することで上書きできます。各イン
ターフェイスには、ポリシーマップを 1 つだけ適用できます。
TCP ステート バイパスの監視
TCP ステート バイパスを監視するには、次のいずれかのタスクを実行します。
コマンド
目的
show conn
show conn コマンドを使用した場合、TCP ステート バイパスを使用する
接続にはフラグ「b」が表示されます。
TCP ステート バイパスの設定例
TCP ステート バイパスの設定例を次に示します。
hostname(config)# access-list tcp_bypass extended permit tcp 10.1.1.0 255.255.255.224 any
hostname(config)# class-map tcp_bypass
hostname(config-cmap)# description "TCP traffic that bypasses stateful firewall"
hostname(config-cmap)# match access-list tcp_bypass
hostname(config-cmap)# policy-map tcp_bypass_policy
hostname(config-pmap)# class tcp_bypass
hostname(config-pmap-c)# set connection advanced-options tcp-state-bypass
hostname(config-pmap-c)# service-policy tcp_bypass_policy outside
hostname(config-pmap-c)# static (inside,outside) 209.165.200.224 10.1.1.0 netmask
255.255.255.224
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
51-4
OL-18970-01-J
第 51 章
TCP ステート バイパスの設定
TCP ステート バイパスの機能履歴
TCP ステート バイパスの機能履歴
表 51-1 に、この機能のリリース履歴の一覧を示します。
表 51-1
TCP ステート バイパスの機能履歴
機能名
リリース
機能情報
TCP ステート バイパス
8.2(1)
この機能が導入されました。set connection
advanced-options tcp-state-bypass コマンドが導入されま
した。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
51-5
第 51 章
TCP ステート バイパスの設定
TCP ステート バイパスの機能履歴
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
51-6
OL-18970-01-J
© Copyright 2026 Paperzz