ASA——下一代防火墙

使用思科ASA 5500系列进行VPN连接

思科®ASA 5500系列自适应安全设备是结合了一流安全性与VPN服务的专用平台,面向中小型企业(SMB)应用。ASA 5500系列提供基于防火墙、入侵防御系统(IPS)和网络反病毒功能的自适应威胁防御解决方案,它可以与这些服务一起使用,或者作为专门功能的VPN平台独立使用。

在VPN服务方面,思科ASA 5500系列采用灵活的技术,能够提供量身定做的解决方案,满足远程接入和站点到站点的连接要求。思科ASA 5500系列能够提供易于管理的IP安全(IPSec)和基于VPN的安全套接层(SSL)远程接入,以及网络感知的站点到站点VPN连接,使企业能在公共网络上建立到移动用户、远程站点、业务合作伙伴的安全连接。借助ASA 5500系列,企业能够享受到互联网的连接和成本优势,而不会影响到企业安全策略的完整性。通过将VPN服务与全面的威胁缓解服务相结合,ASA 5500系列能够提供安全的VPN连接和通信。集成的自适应威胁防御功能可以提供统一的防御,帮助确保VPN部署不会成为蠕虫、病毒、恶意软件或黑客攻击等网络攻击的渠道。此外,还可以对VPN流量实施详细的应用和访问控制策略,使个人和用户组能够访问他们获得授权的应用、网络服务和资源(图1)。

图1. 适用于所有部署方案的VPN服务:带有威胁防御的强大IPSec和SSL VPN服务

适用于所有部署方案的VPN服务:带有威胁防御的强大IPSec和SSL VPN服务

远程接入

思科ASA 5500系列提供完整的远程接入VPN解决方案,支持大量连接方式,包括WebVPN(SSL VPN)、思科VPN客户端(IPSec VPN),以及Nokia Symbian移动无线与PDA客户端的连接。利用思科在远程接入领域的专业技术,企业能够部署单个集成平台,该平台广泛支持各种核心企业应用,并具备易管理性和部署灵活性。

用户可从支持SSL的Web浏览器或VPN客户端建立安全的远程连接,从而实现最大的灵活性和应用访问,而无需部署和管理单独的设备。借助思科ASA 5500系列安全设备,企业可为每类用户选择最合适的技术(IPSec或SSL VPN),而无需部署并行解决方案。这样就消除了为SSL和IPSec VPN分别部署不同的平台所导致的低效率和额外成本。

基于IPSec的远程接入

使用IPSec来提供远程接入,用户可以获得最稳健的可定制连接。通过IPSec,用户可以访问任何应用,如同他们实际连接到总部局域网一样。基于思科IPSec的远程接入具有高度的可定制性,它提供API,管理员可向其中写入执行例程和其它定制程序。

思科ASA 5500系列提供了思科系统公司功能最丰富的基于IPSec的远程接入。在IPSec部署方面,ASA 5500系列利用了思科VPN 3000系列集中器的特性和功能,能够提供几乎相同的功能,却具有更高的每用户吞吐量。此外,ASA 5500系列还与现有的VPN 3000系列集中器集群无缝整合,使两种平台都能为相同的用户群服务。

思科ASA 5500系列支持创新的思科Easy VPN远程接入功能,这些功能在其它思科安全解决方案中也能找到,如思科PIX®安全设备、思科IOS®路由器和思科VPN 3000系列集中器。思科Easy VPN提供了可扩展、经济高效、易于管理的独特远程接入VPN架构,能够消除传统VPN解决方案通常需要的远程设备配置维护的运营成本。思科ASA 5500系列设备能够动态地将最新的VPN安全策略推送到远程VPN设备和客户端,帮助确保这些远程端点在连接建立之前就拥有最新策略,从而提供最佳的灵活性、可扩展性和易用性。

思科ASA 5500系列安全设备支持VPN客户端的安全状况检查。当客户端试图连接VPN时,它会进行安全检查,包括企业规定的主机安全产品(例如思科安全代理或个人防火墙软件)的使用、版本号和状态,然后才允许远程用户接入企业网络。根据客户端类型、安装的操作系统和思科VPN客户端软件版本,它可以禁止思科VPN客户端连接到网络。这样可以防止不符合安全策略的VPN客户端接入企业网络。

ASA 5500能为思科VPN客户端和思科VPN3002硬件客户端进行自动软件更新,还能在建立VPN连接时启动更新,或者根据目前连接的VPN客户端的请求启动更新。这为远程用户提供了一种轻松更新客户端软件的方式。

可以使用RADIUS或TACACS+,根据设备上的内部用户数据库或者通过外部源,对远程接入用户进行验证。由于本地集成了很多常用的验证服务,包括Microsoft Active Directory、Microsoft Windows Domains、Kerberos、轻量级目录访问协议(LDAP)和RSA SecurID,因而它无需单独的RADIUS/TACACS+服务器作为中介,就能进行用户验证。

WebVPN

思科ASA 5500系列提供了核心SSL VPN功能,用于无客户端的部署,如外联网接入和未管理桌面。思科VPN 3000系列集中器仍是思科功能最丰富的SSL VPN解决方案。

只需使用Web浏览器和本地SSL加密,SSL VPN就能提供从几乎任何拥有互联网的地点的远程资源访问——而无需预安装的VPN客户端软件。思科ASA 5500系列可以支持WebVPN,从而提供对广泛的企业应用的轻松访问,包括Web资源、支持Web的应用、NT/Active Directory文件共享(支持Web)、电子邮件和其它基于TCP的应用(如Telnet或Windows Terminal Services),用户可从任何连接到互联网并能到达HTTP互联网站点的计算机访问这些应用。WebVPN使用SSL以及后来的传输层安全(TLS)来提供远程用户与中央站点支持的特定内部资源之间的安全连接。使用WebVPN来提供安全连接,可以实现从几乎所有系统的访问,而无需安装额外的桌面软件。

站点到站点

利用思科ASA 5500系列安全设备提供的网络感知的IPSec站点到站点VPN功能,企业能够通过低成本的互联网连接,安全地将其网络延伸到全球的业务合作伙伴和远程与小型分支机构。ASA 5500系列是思科功能最丰富的基于设备的站点到站点VPN解决方案。凭借无可比拟的网络功能集成,思科IOS路由器能够提供业界最先进、最灵活的站点到站点VPN连接。

分支机构和远程办事处将企业的触角延伸到关键的市场和位置。基于思科ASA 5500系列的VPN解决方案能够实现多个地点之间的高速安全通信,提供企业通信所需的性能、可靠性和可用性。可以使用从数字证书到共享私密等多种方法,对VPN连接进行验证。

思科ASA 5500系列安全设备为当前的应用提供了一种VPN基础设施,能够在安全的IPSec网络上传输融合的语音、视频和数据。强大的站点到站点VPN服务,结合丰富的检验功能和服务质量(QoS)功能,使企业能够利用融合网络提供的诸多好处。使用思科ASA 5500系列设备,将VPN与QoS功能和丰富的检验功能相结合,企业能够安全地将语音和多媒体服务扩展到远程办事处环境,从而利用融合网络提供的众多好处,包括提高生产力、降低运营成本和增强竞争力。

延迟、抖动和信息包丢失都会导致语音和视频质量下降。思科ASA 5500系列具有低延迟排队(LLQ)和流量警管功能,能够支持具有严格QoS要求的应用(如语音和数据),帮助确保端到端的网络QoS策略。延迟敏感的流量的优先级可以排列在文件传输和其它延迟容忍度更高的流量之前。排队性能可以通过一系列配置参数进行优化。

在VPN上部署语音和视频时,必须全状态地检验通过网络的所有多业务流量,这一点十分关键。思科ASA 5500系列安全设备能够为多种VoIP和其它多媒体标准提供市场领先的保护。它支持的VoIP和多媒体标准包括:H.323第4版、会话发起协议(SIP)、思科小型客户端控制协议(SCCP)、实时流协议(RTSP)和媒体网关控制协议(MGCP),这有助于企业安全地部署多种现有和下一代的VoIP和多媒体应用。

思科ASA 5500系列还提供网络拓扑的感知,以实现易配置性和弹性。ASA 5500系列支持VPN隧道上的开放最短路径优先(OSPF)路由,因而能够了解网络可达性,以确保高效的数据流。此外,子网自动发现功能可以识别每个VPN网关后的全部主机,从而简化配置。

思科ASA 5500广泛支持各种X.509数字证书,包括用于具有多层认证中心等级的环境的n层证书链、使用简单认证登记协议(SCEP)的简易自动证书登记、用于认证机关离线时部署的手动登记。它支持的RSA证书密钥大小可达到4096比特,而基于数字签名算法(DSA)的X.509证书密钥大小最高可达1024比特。思科ASA 5500系列还支持思科IOS软件认证中心的在线登记。轻量级的X.509认证中心能够简化支持公钥基础架构(PKI)的站点到站点VPN的推出。

VPN连接的威胁缓解

威胁缓解:蠕虫、病毒、间谍软件、广告软件、木马、拒绝服务

蠕虫、病毒、嵌入应用程序的攻击和应用滥用被视为当今网络中最严峻的安全挑战。由于VPN目前的设计方式,远程接入和远程办事处VPN连接是这类攻击的常见入口。人们部署的VPN通常没有在总部位置的隧道终端点实施适当的检测和威胁缓解,从而使得来自远程办事处或用户的恶意软件渗透到网络中,并广泛传播。

借助思科ASA 5500系列,用户可以设计适当的检测和威胁缓解,作为VPN解决方案的组成部分,而不会产生任何额外成本,也不会加大设计、部署和运营复杂性。凭借ASA 5500系列的融合威胁缓解功能,客户可以检测到恶意软件,并在其进入网络内部并传播之前进行拦截。对于应用嵌入式攻击,如通过文件共享对等网络传播的间谍软件或广告软件,ASA 5500系列能够深入检验应用流量,识别危险的有效载荷,并在其到达目标并造成破坏之前丢弃它的内容。

思科ASA 5500系列安全设备的应用层检验功能可以保护VPN部署,防御拒绝服务(DoS)攻击,例如SYN泛滥、互联网控制信息协议(ICMP)泛滥、Teardrop、端口扫描、Ping of Death和其它许多常见的攻击。

应用滥用和访问控制

正确的VPN安全设计不只是防御威胁,还要控制哪些类型的VPN流量能够使用网络资源和带宽,并且控制对网络资源的访问。以HTTP端口80为例。端口80最初是为Web流量设计的,目前用于即时消息、对等程序(如Kazaa)和其它应用。思科ASA 5500系列能够识别、检验和控制端口80应用的所有方面。它能够完全拦截某些流量或文件类型,或者具体地限制某些行为,例如在即时消息应用中传输文件。

应用感知的检验引擎提供了丰富的状态检测服务,能够跟踪所有授权网络通信的状态,防止非法的网络接入。这些集成功能为当今不断变化的网络环境构建了强大的多层防御。对VPN流量实施详细的安全策略,以便用户个人和群组能够访问他们有权访问的服务和资源。全部VPN流量都经过解密和检验,以确保只有适当的内容才允许通过设备。

这就使网络管理员能够定义远程办事处和员工的安全和连接策略。该策略可以提供无与伦比的安全性,并保持可访问的网络环境。思科ASA 5500系列安全设备提供了一种实现安全性的完整方法,使企业能够享受到互联网的连接和成本优势,而不会影响企业安全策略的完整性。(图2)

图2. 思科ASA 5500系列融合了威胁缓解和VPN功能,以提供安全的VPN连接

思科ASA 5500系列融合了威胁缓解和VPN功能,以提供安全的VPN连接

弹性

思科ASA 5500系列安全设备支持大量弹性功能,有助于确保VPN部署的最高可靠性和稳健性。

弹性集群功能可在所有思科ASA 5500系列和VPN 3000系列设备上平均分配VPN会话,从而使远程接入部署能够经济高效地扩展。集群提供了集成负载平衡,能够帮助用户确保远程接入连接的分配,而无需任何用户干预,也无需安装外部负载分配器。不同型号的思科ASA 5500系列安全设备和VPN 3000系列集中器能够在一个集群中共存,负载则根据每台设备的容量分配。这种具有高度弹性的功能消除了单点故障,并使用户能根据企业需求量身定做解决方案,从而帮助他们保护客户的投资。

VPN状态故障切换能够最大化VPN连接的正常运行时间,以确保网络中的弹性和冗余。凭借思科ASA 5500系列安全设备的状态故障切换功能,所有VPN安全连接状态信息和会话密钥材料都能在故障切换对成员之间自动同步,从而提供具有高弹性的VPN解决方案。被配置为故障切换对的设备能够连续同步它们的连接状态和设备配置数据。同步也可以在高速LAN连接上进行,通过地域分离的故障切换对提供另一个保护层。在发生系统或网络故障的情况下,网络会话自动从活动设备转移到备用设备,并对用户具有完全的透明度。

OSPF动态路由服务支持VPN隧道上的邻居,为VPN连接网络提供更高的网络可靠性。它能在几秒之内检测到网络中断,以便流量绕开故障点进行路由。思科ASA 5500系列也支持反向路由注入(RRI),能够提高网络性能和可靠性。

集成管理

集成的思科自适应安全设备管理器提供了基于Web的世界级管理界面,能够显著简化单个思科ASA 5500系列安全设备的部署、长期配置和监控,而无需在管理员的计算机上安装任何软件(除标准Web浏览器和Java插件以外)。VPN和智能设置向导能够轻松集成到任何网络环境中,而包括控制板和实时系统日志浏览器在内的信息监控功能则能提供对重要的设备/网络健康状态和事件监控的浏览。

集成的Web管理提供了一个简单易用的界面,用于配置和监控所有VPN业务,从而能够在IPSec和SSL VPN用户环境中进行轻松管理。通过基于角色的管理,管理员能够为每个远程接入用户/组配置所有的访问控制、安全策略和验证方法。此外,思科ASA 5500系列安全设备提供了多达16个级别的可定制管理角色,这样企业就可以授予管理员和操作人员访问每台设备的相应级别的权限(例如,只能进行VPN服务配置、只能进行防火墙服务配置、只能进行监控,或配置的只读访问)。

思科自适应安全设备管理器还提供对所有威胁缓解功能的完全管理,只需使用一个控制台,即可配置和保护VPN连接的所有方面。

思科ASA 5500系列平台概述

思科ASA 5500系列有三种型号:5510、5520和5540(图3),能为小型办事处提供到企业总部位置的安全连接。每个型号都使用相同的机架,具有服务可扩展性、投资保护和未来技术延伸性,这也是它的基础。

图3. 思科ASA 5500系列

思科ASA 5500系列

每种设备的外形采用1个机架单元的设计,带有内置的VPN加密加速功能,提供无盘架构以实现高可靠性。它还带有4个10/100/1000铜缆以太网端口以提供可扩展的I/O,另外还拥有1个带外管理端口。它带有一个USB端口,用于证书或未来扩展,提供1个扩展插槽,可以插入其它I/O或服务模块。
在性能方面,思科ASA 5500系列具有高达325Mbps的VPN性能,同时容纳多达5000个会话。表1按型号列出了性能。

表1 思科ASA 5500系列自适应安全设备的性能
  ASA 5510 ASA 5520 ASA 5540
最大吞吐量 170 Mbps 225 Mbps 325 Mbps
IPSec会话 150 750 5000
SSL VPN会话 150 750 2500

* 达到最大会话数量需要购买VPN会话扩展许可

总结

思科ASA 5500系列提供了一个灵活的全功能平台,用于VPN部署。可从支持SSL的Web浏览器或VPN客户端建立安全的远程接入会话,从而实现最大的灵活性和应用接入。强大的站点到站点VPN服务、丰富的检验功能以及QoS功能为当前应用提供了一个VPN基础架构,能够在安全IPSec网络上传输融合的语音、视频和数据。

借助思科ASA 5500系列,用户可以设计适当的检测和威胁缓解,作为VPN解决方案的组成部分,而不会产生任何额外的成本,也不会加大设计、部署和运营复杂性。管理员可以定义一个网络策略,以提供无与伦比的安全性,并维持可访问的网络环境。

通过利用思科丰富的VPN专业知识,企业能够部署一个支持广泛的核心企业应用、具有易管理性和部署灵活性的集成平台。

联系我们