ASA——下一代防火墙

融合型与专用型安全设备的部署比较

部署 Cisco ASA 5500 系列自适应安全设备、Cisco PIX 安全设备、Cisco IPS 4200系列检测器设备或Cisco VPN 3000系列集中器的最佳时机

思科系统公司® 提供的可定制安全解决方案能够满足所有部署环境的要求。推出 Cisco® ASA 5500 系列自适应安全设备之后,思科能够以物理设备的方式在同一个平台上提供融合的多功能安全和VPN服务。借助融合型防火墙、入侵防御系统(IPS)和网络Anti-X服务,客户可以使用Cisco ASA 5500系列部署各种威胁防御和安全服务。对于VPN服务,Cisco ASA 5500系列能够灵活地提供定制的解决方案,满足SSL VPN和IPSec远程接入以及站点间连接要求。

由于Cisco ASA 5500系列自适应安全设备能够提供多种VPN和安全服务,因而能够一机多用。企业可以将其部署为单功能独立设备,也可以作为组合解决方案,根据特殊部署环境定制Anti-X、IPS、防火墙和VPN应用。在小企业和分支机构环境中,Cisco ASA 5500系列商业版还可以作为“一体化”设备,提供全面的威胁防御和VPN服务,并满足这种部署的预算和运营要求。

与Cisco PIX®安全设备、Cisco IPS 4200系列检测器和Cisco VPN 3000系列集中器等传统的“专用型”安全设备不同,在使用Cisco ASA 5500等多功能设备时,会出现哪些部署问题?本文将讨论部署不同于专用设备的多功能安全设备的功能、运营和成本。

思科安全设备产品系列

对于打算在安全部署中选用基于设备的安全功能的客户,思科系统公司提供Cisco PIX安全设备、Cisco IPS 4200系列检测器、Cisco VPN 3000系列集中器和Cisco ASA 5500系列自适应安全设备。这些产品都能为部署环境各异和规模各不相同的客户提供解决方案,部署环境可以从小型机构到公司总部,企业规模则可以从小企业到大型跨国公司。Cisco PIX安全设备还可以部署在小型机构/家庭办公室(SOHO)环境中。在下面的段落中,我们将简要介绍每种平台的特性和部署情况。

Cisco PIX 安全设备

市场领先的Cisco PIX安全设备能够在经济有效、易于部署的解决方案中提供强大的应用感知型防火墙和VPN服务,包括用户和应用策略实施、多厂商攻击防御以及安全的站点间连接服务等。

Cisco IPS 4200系列检测器

Cisco IPS 4200 检测器能够防止网络遭受恶意代码、蠕虫和病毒的攻击,在它们对数据造成影响之前就终止它们的运行。由于这些检测器能够对各种威胁进行检测、分类和阻挡,其中包括蠕虫、间谍件和恶意软件、网络病毒和应用滥用等,因而能加强对网络的保护。

Cisco VPN 3000 系列集中器

Cisco VPN 3000 系列集中器能够在远程接入VPN解决方案中同时提供SSL和IPSec VPN连接。其中不但包含基于标准、易于使用的VPN客户端和可以扩展的VPN隧道网关终结设备,还包含使各公司能够方便地安装、配置和监控其远程接入VPN的管理系统。

Cisco ASA 5500 系列安全设备

Cisco ASA 5500系列能够将安全技术的最新发展与思科切实可用的防火墙,入侵防御,防病毒、防垃圾邮件、防泄密和防间谍软件(“Anti-X”)、URL过滤以及VPN服务相融合。Cisco ASA 5500系列增加了一个统一管理包,并提高了速度,由于简化了大型企业和中小型企业(SMB)应用的管理,因而提高了并行服务吞吐量。

特性/功能比较

Cisco ASA 5500系列将Cisco PIX、 IPS 4200和VPN 3000平台经过市场验证的特性集与Trend Micro开发的网络Anti-X功能集成在同一个设备和管理框架中。这些特性融合之后产生了新功能,例如为远程接入VPN连接提供蠕虫、病毒和恶意软件防御,在网络周边有效预防各种蠕虫、病毒和恶意软件,以及实施内部和增强应用检测和控制等。因此,与思科推出的专用安全和VPN设备相比,Cisco ASA 5500系列能够提供很多来自于高度融合、相互补充的服务的扩展功能。

Cisco ASA 5500 系列设备提供的广泛的威胁防御功能还能加强网络防御,无论威胁来自远程机构、总部DMZ还是网络内部,都能有效保护网络不受侵害。在经常被忽略的网络部分区域,例如经济上或运营上不适合部署高级安全功能的远程站点和网络内部,可以利用这种方式消除蠕虫、病毒和恶意软件,提高应用安全性。从这个角度看,Cisco ASA 5500系列能够提高整个网络的安全性,进而增强网络安全链的强度。

从现有部署集成的角度看,Cisco ASA 5500系列与原先安装的所有Cisco PIX、IPS 4200和 VPN 3000完全兼容。由于这些设备都是利用经过市场验证的相同技术开发的,因此,Cisco ASA 5500系列与专用设备之间不存在特性差别。不仅如此,部署Cisco ASA 5500系列时,安全人员还可以利用与Cisco PIX、IPX 4200和VPN 3000设备相同的培训内容和知识。

每种平台的应用环境和功能如表1所示。

表1 功能比较

应用 其它ASA服务
Cisco ASA 5500 和 Cisco PIX ASA 面向典型的PIX 515E和525环境
在SOHO和大企业总部作为PIX 501、506E 和 535的补充
全部IPS服务
消除蠕虫和恶意软件
网络防病毒
加强应用检测
VPN集群
模块化服务插槽
Cisco ASA 5500 和Cisco IPS 4200 ASA 面向融合型防火墙和IPS
IPS 4200 的性能和价格都适合纯IPS部署
全部防火墙服务
全部VPN服务
基于文件的防病毒
防泄密/防垃圾邮件/防间谍软件和URL过滤
模块化服务插槽
Cisco ASA 5500 和 Cisco VPN 3000 ASA面向所有站点的远程接入和站点间VPN服务
ASA 能够与原有VPN 3000集群互操作
吞吐量提高三倍
SSL VPN可扩展性提高10倍
提供更多的多功能SSL VPN服务
提供状态化VPN故障切换
为站点间VPN提供QoS和 OSPF
建立可抵御蠕虫/恶意软件/病毒攻击的威胁防御VPN

安全架构和IT组织问题

网络的大小、运营模式和分段情况影响着安全和VPN平台决策。在某些情况下,将多种安全和VPN功能整合在一台设备中能够更好地满足企业的要求。但在其它情况下,用专用设备提供专用功能更为适合。

从规模的角度看,大企业网络的流量大、复杂度高,因而需要部署功能更专用的设备。以只提供某几种甚至某一种功能的设备为基础建立起来的安全和VPN基础设施不但可扩展性好,易于选择软件版本和升级周期,还能进行全面配置调试,增加网络分段。从运营角度看,部署专用功能设备还有助于在不同的IT部门之间分配网络安全责任。

需要专用安全和VPN设备的功能分段的典型实例如下:

  • 部署专用的远程接入VPN设备
  • 部署专用IPS设备,执行安全策略审查和法规符合性检查,或者指定IT部门的责任
  • 旨在保护Web服务器集群和应用服务器的数据中心专用高速部署
  • 支持永续的高速流量检查和访问控制的网络边缘防火墙

在较小的网络和机构中,趋势朝相反方向发展。对于越小的网络,例如小企业和远程机构,IT部门也越小,其发展方向是尽可能将多种安全和VPN功能集中在少数设备中。减少设备数量不但能降低网络的复杂性,还能减少网络操作需要的平台数,从而降低对IT人员的技能要求。事实上,在IT人员较少,而且通常不具有太高安全技能的小企业中,设备集中通常能简化站点的运营。

Cisco ASA 5500 系列高度灵活,因而既适合提供专用型功能,又适合提供融合型功能。由于它提供多种VPN和安全服务,因而可以做到一机多用。客户可以利用防火墙版把它作为传统防火墙部署在网络边缘,或者利用VPN版把它部署为专用远程接入SSL和IPSec VPN设备,也可以利用IPS版令其提供服务器和其它关键资源保护,或者利用Anti-X版把它作为融合型威胁防御设备部署在小站点中,充分发挥访问控制,应用检测以及防蠕虫、防病毒、防间谍软件和防攻击技术的联合防御优势。在小企业和分支机构环境中,还可以利用商业版把它部署为“一体化”设备,提供符合预算和运营要求的全面威胁预防和VPN服务。

在纯IPS部署,例如由IPS提供安全策略审查和法规符合性数据的网络中,Cisco IPS 4200系列堪称首选平台。这种审查基础设施不但能有效保护网络安全,还能在策略实施设备之上实施多级攻击、蠕虫、病毒、间谍软件和广告件防御。不仅如此,各机构还可以让独立的IT管理部门管理IPS及其它安全功能(例如防火墙)。由此看来,管理IPS基础设施的机构通常更愿意使用专用设备。

平台和运营成本问题

平台成本

在多数情况下,提供融合功能的Cisco ASA 5500系列的成本不高于类似的Cisco PIX或VPN 3000专用产品。因此,设备的成本不能作为决定融合型ASA 5500和专用型Cisco PIX或VPN 3000设备孰优孰劣的因素。如前所述,企业应该将产品特性、安全架构和组织运营模式作为决策的基础。

对于纯IPS部署,Cisco IPS 4200系列能够提供优于Cisco ASA 5500的性价比。Cisco ASA 5500系列提供融合型防火墙、IPS和网络防病毒功能,能够消除多种威胁,保护应用安全。IPS 4200系列则适合面向IPS的环境。

对于SOHO或者大公司总部的防火墙和站点间VPN部署,Cisco PIX 501、PIX 506E和PIX 535安全设备是最经济有效的平台。Cisco ASA 5500系列适合为小站点中的融合服务应用提供保护。如果只需要某些威胁防御功能或纯VPN功能,Cisco PIX 501和PIX 506E设备是SOHO的首选。在高端,Cisco PIX 535安全设备能够以1.7Gbps的速度提供极高的性能,在价格和性能方面都是Cisco ASA 5500的有效补充。如前所述,Cisco ASA 5500和Cisco PIX产品在功能方面完全兼容,可以根据网络架构的需要一起部署。

运营成本

Cisco ASA 5500系列具有“一机多用”功能,因而具有独特的安全和VPN运营成本优势(见图1)。由于Cisco ASA 5500系列能够提供多种服务,因而能够部署到功能要求各不相同的多种环境中。因为这些服务都来自思科经过市场验证的安全和VPN设备,所以ASA 5500系列在部署时不会降低特性、性能和可管理性。这种方法不但能减少必须部署和管理的平台数,还能为所有部署提供统一的运营和管理环境,简化配置、监控、故障排除和安全培训。

图1 一机多用

一机多用

由Cisco ASA 5500系列提供统一标准平台的常见部署包括:

  • Cisco ASA 5500 系列Anti-X ——将访问控制、流量和应用检测与防蠕虫、防病毒、防间谍软件和防泄密功能相融合。
  • Cisco ASA 5500 系列 IPS——将访问控制、流量和应用检测与防蠕虫、防病毒和防恶意软件功能相融合,防止网络的内部关键资源(服务器、数据库等)遭受攻击。
  • Cisco ASA 5500 系列 防火墙版——对网络内部、网络边缘和/或DMZ实施传统的防火墙和应用检查功能。
  • Cisco ASA 5500 系列VPN ——传统的SSL和IPSec远程接入和站点间VPN,提供可选的“威胁防御VPN”服务,包括融合的流量和应用检测,以及蠕虫、病毒和恶意软件防御。
  • Cisco ASA 5500系列商业版——“一体化”访问控制,流量和应用检测,蠕虫、病毒和恶意软件防御,远程访问VPN,针对小企业和分支机构的站点间VPN。

结论

融合型和专用型安全和VPN部署都可起到保护当今网络的作用。决策时,应主要考虑网络的规模、网络的架构、在网络中的位置以及IT支持方式。Cisco ASA 5500系列高度灵活,可以同时满足融合型和专用型安全和VPN部署的要求。

在网络中统一由Cisco ASA 5500系列支持多种部署环境和提供各种安全功能,能够简化网络架构,从而降低部署和运营成本。Cisco ASA 5500系列非常适合取代Cisco PIX 515E和PIX 525安全设备,以及由Cisco VPN 3000系列集中器提供的SSL和IPSec VPN服务。由于Cisco ASA 5500系列采用了Cisco PIX和VPN 3000系列的技术,因此,它提供的所有特性/功能都能与现有的Cisco PIX和VPN 3000部署兼容。而对于独立式IPS部署,Cisco IPS 4200系列仍然是首选平台。对于SOHO和大型总部的传统防火墙和站点间VPN部署,Cisco PIX 501、 PIX 506E和 PIX 535 安全设备不但是最经济有效的平台,也可对多站点 Cisco ASA 5500 系列进行有效补充。

联系我们