CSC モジュールは四種類のトラフィックしか検査できないように設計されております。
- ウェブ: TCP 80 番ポート
- メール送信: TCP 25 番ポート
- メール受信: TCP 110 番ポート
- FTP ファイル転送: TCP 21 番ポート
このことを考慮して、ASA のコマンドラインから csc コマンドを実行する際、下記のメッセージが表示されます。
WARNING: CSC can ONLY scan TCP traffic that is destined to port 80 (HTTP), 25 (SMTP), 110 (POP3), or 21 (FTP) when configured. Any other type of traffic, even if configured, will not be scanned.
つまり、この四種類以外のトラフィックを CSC モジュールに渡しても検査ができず、逆に CSC モジュールに不必要な負荷をかけることになり、パーフォマンスに影響することが考えられます。例えば、下記のように全トラフィックを CSC モジュールの検査対象にする間違った設定例がよく見られます。
!
policy-map global_policy
class class-default
csc fail-open
!
service-policy global_policy global
!
CSC モジュールに関連する ASA 側の正しい設定例は、以下のようになります。
!
access-list csc-traffic permit tcp any any eq www
access-list csc-traffic permit tcp any any eq smtp
access-list csc-traffic permit tcp any any eq pop3
access-list csc-traffic permit tcp any any eq ftp
!
class-map csc-class
match access-list csc-traffic
!
policy-map inside-policy
class csc-class
csc fail-open
!
service-policy inside-policy interface inside
!