ASA——下一代防火墙

Cisco ASA 5500系列内容安全和控制安全服务模块

一般性问题

问:什么是Cisco® ASA 5500 系列内容安全和控制安全服务模块(CSC-SSM)?

答:Cisco ASA 5500 系列 CSC-SSM是 Cisco ASA-5500 系列设备的附加服务模块,该产品系列能够在互联网边缘提供业界领先的威胁防御和内容控制功能,包括完整的防病毒、防间谍软件、文件阻挡、防垃圾邮件、防泄密(钓鱼)、URL阻挡和过滤以及内容过滤等服务。

问:Cisco ASA 5500 系列 CSC-SSM有哪些优点?

答:以前,如果想充分利用思科提供的市场领先的防火墙和VPN服务以及Trend Micro提供的业界领先的网关防病毒和内容安全解决方案,客户必须分别从思科和Trend Micro购买相关的产品。Cisco CSC-SSM与Cisco ASA 5500系列专用设备结合,可把这些市场领先的产品整合成一个完整、统一的威胁防御解决方案,形成一个易于部署和管理的产品套件。

问:Cisco ASA 5500 系列 CSC-SSM具有哪些主要特点?

答:Cisco ASA 5500 系列 CSC -SSM 能够提供以下功能:

  • 全面恶意软件保护——包含Trend Micro开发的屡获大奖的防病毒和防间谍软件技术。CSC-SSM几乎可以防止所有已知恶意代码进入网络和在网络中传播,因而能避免关键业务应用和服务遭到破坏,保证关键系统和员工能够正常工作,并减少成本高昂的感染后的清除工作。
  • 高级内容过滤——将URL过滤、内容过滤和防泄露技术集成在一起,防止企业和员工盗窃保密信息,并减少因内容违反了网络使用规定而需要承担的法律责任。该模块可以帮助企业遵守网络内容规范,例如医疗保险便携与责任法案(HIPAA)、Sarbanes-Oxley(SOX)和数据保护法案。
  • 集成消息安全——集成了防垃圾邮件技术,可以在垃圾电子邮件进入邮件服务器之前就删除掉其中的绝大部分,不但能提高员工的生产率,还能防止浪费宝贵的网络带宽和存储资源。
  • 定制和调试功能——使管理员能够对垃圾邮件和内容功能实施定制控制,以满足特殊公司策略或网络环境的要求。
  • 易于管理和自动更新功能——为简化初始配置、部署和持续运行,该产品提供智能缺省设置以及与自适应安全设备管理器(ASDM)集成在一起的直观界面。由于所有CSC-SSM组件都能自动更新,包括扫描引擎和模式匹配文件,因此,只需少量管理投入就能使网络免受最新威胁的入侵。

问:该产品共包含几个型号?

答:共有两个型号——CSC-SSM-10和 CSC-SSM-20。这两个型号都可以与 Cisco ASA 5510和 5520 配合使用。CSC-SSM-10 适合支持用户人数不超过500人的机构,CSC-SSM-20则适合支持用户人数低于1000人的机构。Cisco ASA 5540平台可以支持这两种CSC模块,但由于该平台具有1000人的用户容量,因而这种组合不是最佳配置。

问: Cisco ASA 5500系列 CSC-SSM包含哪些特性和服务?

答: Cisco ASA 5500 系列CSC-SSM提供的缺省特性集包含防病毒、防间谍软件和文件阻挡服务。如果购买了另行收费的Plus许可证,还将提供很多其它功能,包括防垃圾邮件、防泄密、URL阻挡/过滤和内容控制服务。这些可选特性许可证将对每个CSC-SSM额外收费。另外,各机构还可以通过另行购买和安装用户许可证的方法扩大用户支持量。缺省情况下,CSC-SSM-10和CSC-SSM-20型号分别支持50名和500名用户。需要增加用户时,可以选用数目不同的许可证,CSC-SSM-10可选用100人、250人和500人的许可证,CSC-SSM-20可以选用750人和1,000人的许可证。表1列出了CSC-SSM的标准和可选许可证。

表1 标准特性和可选特性

CSC-SSM 硬件 标准许可证 可选许可证
  用户升级(总用户数) 特性升级
CSC-SSM-10
  • 50 名用户
  • 防病毒、防间谍软件、文件阻挡
  • 100名用户
  • 250名用户
  • 500名用户
  • Plus许可证——增加了防垃圾邮件、防泄密、URL阻挡/过滤和内容控制
CSC-SSM-20
  • 50 名用户
  • 防病毒、防间谍软件、文件阻挡
  • 750名用户

  • 1000名用户

  • Plus 许可证——增加了防垃圾邮件、防泄密、URL阻挡/过滤和内容控制

问:Cisco ASA 5500 系列CSC-SSM一般部署在什么地方?

答: Cisco ASA 5500 系列 CSC-SSM 和设备一般部署在各机构或外部网络之间的边界,例如互联网连接点。将这些设备部署在互联网边缘之后,CSC-SSM将位于用户与互联网之间,这样,管理员就可以选择哪些流量应该经过CSC-SSM扫描。

问:“用户”的概念是什么?

答:为确定用户数目,只有在24小时内拥有一个唯一的IP地址的接口才算作一个用户,但安全等级最低的接口不算。通俗地说,用户指的是非“外部”接口(由接口的安全等级确定)上可以看到的IP地址。

问:Cisco ASA 5500 系列 CSC-SSM 提供哪种防病毒保护?

答:Cisco ASA 5500 系列 CSC-SSM 提供基于文件的防病毒保护,可以预防病毒、特洛伊木马、恶意代码、宏病毒及其它恶意软件。CSC-SSM将作为透明代理,对通过ASA 5500设备的文件和分组进行检查,因而能够在恶意内容对目标系统构成危害之前就成功截获它们。在这种运行模式下,CSC-SSM还能向用户通报可疑文件或内容的删除情况,以及采取这些措施的过程和原因。

问:防病毒技术是否能扫描压缩文件?

答:是的,它能够在多个层次上对压缩文件进行扫描,过程是先对文件进行解压缩,扫描内容,然后再压缩文件。

问:防病毒签名表多长时间更新一次?

答:Trend Micro TrendLabsSM 每个星期为Cisco ASA 5500 系列 CSC-SSM发布一或多次常规模式更新,而紧急更新则提供得更为频繁,以防止新出现的威胁在客户中传播。

问:Cisco ASA 5500系列CSC-SSM是否获得了ICSA或其它证书?

答:是的,Cisco ASA 5500 系列CSC-SSM基于Trend Micro开发的屡获大奖的互联网网关技术,已经获得了很多行业证书,包括ICSA的网关防病毒证书、西海岸实验室为防间谍软件颁发的Checkmark证书以及Veritest的防垃圾邮件证书。CSC-SSM目前正在接受ICSA的评估。

问:Cisco ASA 5500 系列 CSC-SSM是如何进行管理的?

答:对于大多数部署,Cisco ASA 5500 系列CSC-SSM 都配有相应的缺省设置。设置、管理和监控都可以通过Cisco ASDM进行,ASDM提供的设置向导能够激活CSC-SSM和安全策略规则表,以便管理员确定需要CSC-SSM扫描的相关流量。

问:如何管理多个Cisco ASA 5500 系列 CSC-SSM?

答:多个CSC-SSM设备可以利用即将出台的Trend Micro Control Manager (TMCM)新版本进行集中管理。该软件由Trend Micro免费提供。 TMCM可以集中管理多个CSC-SSM模块以及机构内的其它Trend Micro产品。对于混合部署了多种CSC-SSM和Trend Micro产品的大型机构,这种方法能够为所有防病毒及其它相关功能和技术提供“一站式”管理。

问:Cisco ASA 5500 系列 CSC-SSM能够阻挡哪种攻击?

答: Cisco ASA 5500 系列 CSC-SSM 使用HTTP、FTP、SMTP和 POP3 产品检测和防止非法内容和恶意软件进入网络,这其中包括基于文件的病毒、间谍软件、目录收获攻击、垃圾邮件和窃密。由于它能够防止恶意软件到达桌面或服务器系统,因而能够将攻击扼杀在摇篮里。

问:Cisco ASA 5500 系列 CSC-SSM能阻挡互联网蠕虫吗?

答:不能。如果想利用Cisco ASA 5500 系列抵御互联网蠕虫的攻击,客户需要购买能够保护服务器等关键资源的高级检测和防御安全服务模块(AIP-SSM),以及能够快速防御新兴蠕虫攻击的可选思科事故控制服务器(ICS)产品。

问:Cisco ASA 5500 系列 CSC-SSM 是怎样及时发现新漏洞的?

答:Cisco ASA 5500 系列 CSC-SSM的背后有Trend Micro的TrendLabs的支持,这个世界上最大的安全部门之一由业界的防病毒、防间谍软件和防垃圾邮件专家组成,能够一天24小时保证该模块能够提供最新保护。威胁更新软件将定期自动部署到CSC-SSM 。

问:Cisco ASA 5500 系列 CSC-SSM 是否误挡过合法流量?

答:如果配置得当,Cisco ASA 5500 系列 CSC-SSM误挡合法互联网流量的概率极低。思科为用户提供详细的配置选项,使用户能够根据具体的环境要求设置模块。

问:如果模块因故出现故障,应该怎么办?

答:可以将Cisco ASA 5500 系列设备配置为,在 CSC-SSM发生故障时一律拒绝流量,或者允许未经检测的流量通过。另外,Cisco ASA 还支持CSC-SSM故障切换功能。如果设备属于故障切换组的成员之一,CSC-SSM故障将触发故障切换程序,切换到备用组件,故障切换时通过CSC-SSM建立和激活的流将重新建立。

支持和其它

问:技术支持、更新和返回是如何进行的?

答:技术支持由思科技术支持中心(TAC)或授权思科合作伙伴提供。Trend Micro通过思科TAC对CSC-SSM上的应用软件问题提供支持。模式文件和扫描引擎更新由Trend Micro的更新服务器以透明的方式直接提供。返回由出售模块的公司处理,与所有其它思科产品的处理流程相同。

问:怎样购买Cisco ASA 5500 系列 CSC-SSM?

答:如果想下订单,可以访问思科订购主页,或者与思科授权经销商或思科销售助理联系。

问:怎样购买支持? Cisco ASA 5500 系列 CSC-SSM提供哪些支持选项?

答:支持计划包括硬件支持、软件支持和内容使用组件。为Cisco ASA 5500 系列 CSC-SSM提供的服务和支持合同如表2所示。购买该模块时,购买价格中已经包含了第一年的Trend Micro使用更新服务费。第一年过后,客户可以直接通过Trend Micro续订软件和使用合同,年费从许可证注册一年之后起算。思科提供的SMARTnet® 维护计划包含CSC-SSM的技术支持和硬件维护,但需另付年费。如果想增强对 Cisco ASA 5500 系列 CSC-SSM解决方案的保护并提高性能,不但需要Trend Micro软件和使用更新服务,还需要思科SMARTnet 服务。

表2 思科提供的各种支持服务

支持服务 思科SMARTnet® (SNT) 服务 Trend Micro 更新服务
Cisco ASA 5500 系列设备支持
Cisco.com注册访问 内含
24x7x365 TAC技术支持 内含
操作系统软件版本(维护、主要、次要) 内含
硬件更换选项 内含
Cisco ASA 5500 系列 CSC-SSM 支持
Cisco.com注册访问 内含
24 x 7 x 365 TAC 技术支持 内含
操作系统软件版本(维护、主要、次要) 内含
模式文件、扫描引擎和签名更新 内含
硬件更换选项 内含

问:是否需要同时购买思科SMARTnet 和Trend Micro更新服务?

答:如果想使Cisco ASA 5500 系列 CSC-SSM得到最佳保护,并表现出最佳性能,最好同时购买这两种服务。第一年的Trend Micro软件和使用更新服务已经包含在产品的购买价格之中。

问:如果发现了Cisco ASA 5500 系列 CSC-SSM未发现的恶意软件(或可疑恶意软件),应怎样提交可疑数据?是否有跟踪提交和答复过程的跟踪机制(沿TAC案件流程)?

答:如果想提交可疑恶意软件,可以进入以下URL:http://subwiz.trendmicro.com/SubWiz/Default.asp。系统将用电子邮件向您通报提交状态。

问: Cisco ASA 5500 系列 CSC-SSM是否能够代替桌面/笔记本防病毒保护或思科安全代理?

答:不能。Cisco ASA 5500 系列 CSC-SSM是多层安全战略的重要组成部分,包括入侵防御和桌面安全功能。桌面和笔记本安全产品,例如OfficeScan 和思科安全代理 ,都能够增加保护层,防止各种病毒通过可拆除介质(例如闪存和光盘驱动器)或者在计算机置于企业网以外的非安全环境时侵入计算机。另外,OfficeScan和思科安全代理还支持思科的网络准入控制(NAC)计划,以防止病毒从端点进入网络。

问:是否可以利用以前购买的Cisco ASA 5500 系列 AIP-SSM卡运行CSC软件应用?

答:不能。SSM硬件是不可更换的,思科不支持这种转换。SSM硬件不能同时运行AIP和CSC应用。感兴趣的客户可以与经销商或销售代表联系,看有没有可行的折衷方案。

问:在使用CSC-SSM功能时,能否使用 Cisco ASA 系列 设备的其它功能,例如防火墙和VPN?

答:可以。Cisco ASA 5500 系列 CSC-SSM是Cisco ASA平台的集成式服务成员。所有其它功能都可以与CSC-SSM一同使用,而且这样能够增强保护和控制能力,更好地保护通信安全。

问:客户的用户许可证应怎样升级?

答:客户可以购买相应的用户升级许可证(例如从50人到100人),并访问: www.cisco.com/go/license。用户可以按照提示输入合同信息、PAK号码(履行订单时获取)和SSM的序列号。CSC-SSM上的软件将在下次更新时获得Trend Micro服务器的更新通知,并自动、透明地开始支持增加的新用户。

问:Cisco ASA 5500 系列 CSC-SSM与 Websense提供的功能有什么不同?

答:尽管CSC-SSM与 Websense URL 和内容过滤产品之间存在着某种相似性,但SC-SSM 解决方案更适合中小企业(SME)使用。根据IDC的调查,Websense是企业市场上Web过滤和安全设备的全球领先厂商,市场份额接近30%。作为“一体化”内容安全解决方案的一部分,CSC-SSM URL 过滤解决方案能够为SME客户提供基本的策略管理和内容过滤功能。Websense 提供的独立式解决方案能够为企业客户提供更强大、更先进的Web过滤和安全功能。在将Websense的Web过滤和安全解决方案与所有Cisco ASA 5500系列设备无缝集成方面,Websense与思科之间保持着密切的合作关系。无缝集成利用了专为高性能和完整特性支持合作开发的专用接口。 Websense产品提供的强大、成熟的Web 过滤和安全解决方案可以作为Cisco ASA设备和CSC-SSM解决方案的有效补充。

联系我们