CISCO ASA 5500 系列自适应安全设备解决方案概述
Cisco® ASA 5500 系列自适应安全设备是思科专门设计的解决方案,能够将最高的安全性和VPN服务与全新的自适应识别和防御(AIM)架构有机地结合在一起。作为思科自防御网络的要害组件,Cisco ASA 5500系列能够提供主动威胁防御,在网络受到威胁之前就能及时阻挡攻击,控制网络行为和应用流量,并提供灵活的VPN连接。思科提供的强大多功能网络安全设备系列不但能为保护中小企业和大型企业网络提供广泛而深入的安全功能,还能降低与实现这种安全性相关的总体部署和运营成本及复杂性。
Cisco ASA 5500 系列能够在一个平台中提供多种已经过市场验证的技术,无论从技术角度还是从经济角度看,都能够为多个地点部署各种安全服务。利用其多功能安全组件,企业几乎不需要作任何两难选择,既可以提供强有力的安全保护,又可以降低在多个地点部署多台设备的运营成本。
图1 Cisco ASA 5500 系列自适应安全设备
Cisco ASA 5500 系列能够通过以下要害组件帮助企业更有效地治理网络并提供出色的投资保护:
市场领先的安全和VPN功能
Cisco ASA 5500系列充分利用了思科在开发业界领先、屡获大奖的安全和VPN解决方案方面的丰富经验,且集成了Cisco PIX® 500系列安全设备、Cisco IPS 4200系列入侵防御系统和Cisco VPN 3000系列集中器的最新技术。通过结合这些技术,Cisco ASA 5500系列提供了一个无与伦比的最佳解决方案,能终止范围最为广泛的威胁,并为企业提供灵活、安全的连接选项。Cisco ASA 5500系列提供的安全和网络服务的深度和广度使其能保护网络的任意区域,包括最常见的威胁对象,如移动用户、远程地点,以及不可治理的桌面和服务器。作为思科自适应威胁防御和统一安全接入策略的要害组件之一,Cisco ASA 5500系列结合了多种安全和VPN技术,提供了丰富的应用安全、Anti-x防御、网络控制和抑制,以及安全连接特性。
应用安全
Cisco ASA 5500系列通过30种可检查第二到七层网络流量的应用感知检测引擎,提供了强大的应用层安全性。为防止网络遭受应用层攻击,使企业能控制应用和协议在环境中的使用方式,这些检测引擎包含丰富的应用和协议知识,采用了安全实施技术,包括应用/协议命令过滤、协议异常事件检测,以及应用和协议状态跟踪。作为另一个应用检测和控制层,这些检测引擎还采用了攻击检测和防御技术,如缓冲泛洪防御、内容过滤和验证,以及URL 显示服务。检测引擎适用于多种常用应用和协议,包括Web服务、文件传输服务、电子邮件服务、语音和多媒体服务、数据库服务、操作系统服务和3G移动无线服务。这些检测引擎也使企业能控制即时消息、对等文件共享和其他隧道应用等威胁,帮助企业实施使用策略,保护合法业务应用的网络带宽。
Anti-X防御
Cisco ASA 5500系列提供了先进、高性能的保护,可防御网络和应用层攻击、拒绝服务(DoS)攻击,以及蠕虫、网络病毒、特洛伊木马、间谍软件及广告软件等恶意软件。要实现高效的Anti-X防御,需将广泛的攻击检测技术与先进的分析技术相配合,以实现高度准确的威胁分类,从而确保在不影响合法网络流量的情况下,实施相应的防御措施。
高级检测技术-为确保能发现威胁,Cisco ASA 5500系列提供了众多的检测方法,以发现策略违反、异常活动和安全漏洞攻击。这些方法包括用于终止数据流中的隐藏攻击的状态化模式识别;用于验证网络流量的协议分析;用于识别涉及多个连接的攻击的流量异常检测;可通过观察到协议或服务与正常RFC行为有所偏差而发现攻击的协议异常检测;以及用于发现中间人攻击的第二层分析。专用防护可“净化”网络流量,以防止“逃避检测”的企图;这些防护包括IP分段重组和规范化、TCP流分段重组和规范化、TCP逃避控制、IP防电子欺骗和URL显示。
两种思科创新的分析和关联技术可准确抵御所发现的威胁,与广泛的检测技术相结合,它们是:风险评估和元事件生成器。
风险评估-为确保能在不影响合法流量的情况下终止恶意攻击,Cisco ASA 5500系列采用了思科创新的风险评估技术。风险评估超越了用单因素方式确定威胁风险的普通方法,用四种测量因素来确定一个事件的风险:
这四个因素的结合可实现准确的威胁评估,以便使用户能自信地采取防御行动。
元数据生成器-为快速、准确地识别和终止会迅速传播并导致严重损失的蠕虫,Cisco ASA 5500系列采用了思科的元数据生成器技术,此种技术可提供独特的设备内关联功能。这可通过蠕虫行为的实时建模实现,这些行为包括多种事件类型和各事件时间间隔的关联性。当蠕虫试图穿过网络时,它们通过多个分组的传输而传播,在很多情况下,这些分组看起来是合法流量。元事件生成器使用实时关联服务,来识别与蠕虫传播相关联的初始分组,并终止完成蠕虫蔓延所需的后续分组传输。这会导致蠕虫无法完好无损地到达目的地,从而“杀死”蠕虫。
网络控制和抑制
Cisco ASA 5500系列提供了范围广泛的网络控制和抑制服务,使企业能精确控制应用访问和网络流量传输。作为安全基础,Cisco ASA 5500系列设备具有丰富的状态化检测防火墙服务,可跟踪所有网络通信的状态并防止未授权网络接入。通过Cisco ASA 5500系列提供的高度灵活的访问控制服务,企业能实施其公司安全策略,以及应用和资源使用策略。根据各种元素,包括用户身份和用户组成员关系、网络资源地址、预定义或定制应用类型、相关VPN隧道、时间和星期几等,可方便地制订策略。使用Cisco ASA 5500系列提供的网络和应用对象分组功能,可简化这些应用的持续治理,使企业能方便地向一个现有对象组添加新网络设备或应用,使得新设备或应用可采用与对象组中其他成员相同的策略。
安全连接服务
Cisco ASA 5500系列提供强大的站点间和远程接入VPN服务,使企业能在公共网络上为移动用户、远程地点和业务合作伙伴创建安全连接。这为实现安全提供了一种集成方式,使机构可获得互联网的连接和成本优势,且不破坏公司安全策略的完整性。
通过将VPN服务与Cisco ASA 5500系列提供的范围广泛的安全服务相集成,企业可受益于更为强大、更为安全的VPN连接。集成化思科自适应威胁防御功能有助于确保VPN不会成为蠕虫、病毒、恶意软件或黑客等网络攻击的传播途径。企业可对VPN流量执行具体的应用和访问控制策略,以使各用户和用户组都只能访问他们有权访问的服务和资源。此外,还能针对每个用户、用户组、隧道、消息流执行定制服务质量(QoS)策略,以确保对各网络流量提供相应的优先级和带宽限制。
远程接入VPN-Cisco ASA 5500系列的灵活技术提供了可符合连接需求的定制解决方案,使可由公司治理的员工桌面能通过IPSec VPN获得强大、可定制的远程接入。对于公司不可治理的终端,如外部网、互联网服务亭或员工自己的台式机,Cisco ASA 5500系列为基于SSL的远程接入提供了WebVPN。利用思科丰富的远程接入经验,企业可部署一个为核心企业应用提供广泛支持的集成平台。
站点间VPN---利用 Cisco ASA 5500系列提供的标准站点间VPN功能,企业可安全地通过成本低廉的互联网连接,将网络扩展到业务合作伙伴及全球各地的远程和小型办公室。
智能网络集成
Cisco ASA 5500系列以思科20多年的网络领域领先地位和创新技术为基础,提供了广泛的智能网络服务,可无缝地集成入当今多样化的网络环境。主要的网络集成功能包括:
独特的自适应识别和防御服务架构
Cisco ASA 5500系列利用其独特的自适应识别与防御服务架构为网络提供了更高的安全性和出色的网络控制(图2)。AIM架构使企业能够适应并扩展 Cisco ASA 5500的高性能安全服务,这是因为它能够利用可选的安全服务模块(SSM)提供出色性能和扩展安全服务,并能够通过定制性高、针对信息流的安全策略来满足应用的安全需求。这一自适应架构使企业能够随时随地根据需要部署安全服务,例如根据特定应用和用户需求定制检测技术,或增加更多入侵防御和Anti-X服务,如自适应检测与防御安全服务模块(AIP SSM)提供的服务。此外,AIM架构可集成未来的威胁识别和防御服务,进一步增强了Cisco ASA 5500系列的出色投资保护,使企业能在出现新威胁时调整其网络防御策略。
图2 思科自适应识别和防御服务架构
利用Cisco ASA 5500系列强大的策略框架,治理员可综合、协调地制订具体的策略,定义为各流量提供哪些特定服务。共有30多种应用和协议专用检测引擎、QoS策略、Anti-X服务和其他检测及网络服务。策略的制订可基于多种因素,包括网络地址、流量类型、VPN隧道,和应用或目的地等。该架构支持在信息流基础上选择特定安全或网络服务,能以高度精确的方式实施安全服务,支持特定安全策略。
降低部署和运营成本
在提高网络安全性的同时,Cisco ASA 5500系列也降低了部署和运营成本。它广泛的VPN和安全服务系列使其成为一款多功能设备,且提供了平台和治理标准化。凭借其访问控制、应用检测和蠕虫、病毒及其他恶意软件防御技术,它可作为一个融合威胁防御设备而部署。利用其高度可扩展的站点间IPSec和SSL远程接入VPN功能,它可用作专用的VPN端接设备。此外,它也能在网络中同样出色地运行,进行部门间访问控制,并可针对内部客户无意间带入网络的蠕虫、病毒和其他恶意代码进行防护。在小型企业和分支机构环境中,Cisco ASA 5500系列可充当“一体化”解决方案,提供全面的威胁防御和VPN服务,更好地满足这种部署的预算和运营模式要求。这种自适应“单平台,多功能”方式,减少了需要部署和治理的平台数。此通用操作环境也简化了配置、监控、排障和对安全人员的培训。为进一步降低运营成本,Cisco ASA 5500系列提供了高度网络感知能力-可在不干扰合法流量和应用的情况下,无缝地插入网络。
图3 Cisco ASA 5500系列部署示例
设备型号
Cisco ASA 5500系列通过Cisco ASA 5510、5520和5540设备,为从中小型企业到大型企业等各种环境提供了解决方案。表1显示了每种设备型号的性能和功能。
表1 设备型号
Cisco ASA 5500系列自适应安全设备的型号Cisco ASA 5510Cisco ASA 5520Cisco ASA 5540 防火墙吞吐率高达300 Mbps高达450 Mbps高达650 Mbps 并发威胁防御吞吐率高达150 Mbps,带高达375 Mbps,带AIP-SSM-20高达450 Mbps,带 (防火墙+ Anti-x 服务)AIP-SSM-10AIP-SSM-20 3DES/AES VPN吞吐率高达170 Mbps高达225 Mbps高达325 Mbps 连接数32,000 / 64,000*130,000280,000 IPSec VPN 对50 / 150*300 / 750*500 / 2000* / 5000* WebVPN 对50 / 150*300 / 750*500 / 1250* / 2500* 集成I/O端口3个快速以太网端口 + 1个 治理端口/ 5个*快速以太网端口4个 千兆以太网端口+1 个快速以太网端口4个 千兆以太网端口+1 个快速以太网端口 虚拟接口(VLAN)0 / 10*25100 安全的上下文支持不支持高达10个*高达50个* 高可靠性/可扩展性支持不支持/主用/备用*主用/主用和主用/备用,VPN集群/负载均衡主用/主用和主用/备用,VPN集群/负载均衡
*通过升级许可提供。
如需有关这些平台的完整规格和更多信息,请参见Cisco ASA 5500系列产品简介。
订购信息
表2提供了Cisco ASA 5500系列设备的订购信息。如需订购,请访问思科订购主页。
表2 订购信息 产品名称 产品编号 Cisco ASA 5510设备(3个快速以太网端口,50个VPN对,三重数字加密标准/高级加密标准〔3DES/AES〕) ASA5510-BUN-K9 Cisco ASA 5510设备,带AIP-SSM-10(3个快速以太网端口,50个VPN对,AIP-SSM-10,3DES/AES) ASA5510-AIP10-K9 Cisco ASA 5510安全增强设备(5个快速以太网端口,150个VPN对,3DES/AES) ASA5510-SEC-BUN-K9 Cisco ASA 5520设备(4个千兆以太网端口+1个快速以太网端口,300个VPN对,3DES/AES) ASA5520-BUN-K9 Cisco ASA 5520设备,带AIP-SSM-10(4个千兆以太网端口+1个快速以太网端口,300个VPN对,AIP-SSM-10,3DES/AES) ASA5520-AIP10-K9 Cisco ASA 5520设备,带AIP-SSM-20(4个千兆以太网端口+1个快速以太网端口,300个VPN对,AIP-SSM-20,3DES/AES) ASA5520-AIP20-K9 Cisco ASA 5540设备(4个千兆以太网端口+1个快速以太网端口,500个VPN对,3DES/AES) ASA5540-BUN-K9 Cisco ASA 5540设备,带AIP-SSM-20(4个千兆以太网端口+1个快速以太网端口,500个VPN对,AIP-SSM-20,3DES/AES) ASA5540-AIP20-K9 如需所有产品编号的完整列表,请参见Cisco ASA 5500系列产品简介。
服务与支持
为了帮助客户更快地获得成功,思科提供了多种服务计划。这些创新的服务计划通过一个由人员、流程、工具和合作伙伴构成的独特网络提供,可以实现很高的客户满足度。思科服务可以帮助您保护您的网络投资,优化网络运营,让您的网络为新的应用做好充分的预备,从而拓展网络智能并增强您的业务优势。如需了解更多关于思科服务的信息,请访问思科技术支持服务或者思科高级服务。
了解更多信息
如需了解更多信息,请访问以下链接:
新闻热点
疑难解答
