ASA——下一代防火墙

面向企业的思科ASA 5500系列防火墙版

随着来自企业网内部和外部攻击的增加,网络面临的威胁越来越大。这些威胁可能会带来严重的后果,包括因网络停机而使业务中断,因信息丢失而带来财务风险,以及因信息泄露而引发法律问题等。与此同时,由于企业都希望通过持续业务流程优化和自动化提高盈利能力和竞争能力,因此,与商业合作伙伴和客户的连接越来越多。利用Cisco® ASA 5500系列防火墙版提供的世界级安全性和网络服务,企业不但能以高度可靠的方式安全地部署关键业务应用和网络,还能通过其独特的模块化解决方案显著降低运营成本,实现投资保护。

挑战

当今网络中传输的信息资源和业务应用是现代企业的动力源泉。由于企业为了提高盈利能力和竞争能力而不断改善流程和运作,因此,企业的网络变得越来越复杂,互联程度越来越高。目前,由于企业已经将这些网络作为关键业务基础设施,因而面临着越来越严重的安全性和可靠性问题。

当今企业网络面临的各种威胁包括:

  • 非法访问网络或信息--随着内部网络连接的增加,以及与新客户和业务合作伙伴的协作的加强,企业必须有效控制重要资源,才能保持竞争力,使企业免于承担法律责任。新应用可能会提高业务自动化水平和加强协作,但如果不加以保护,也会带来危险的安全漏洞。
  • 员工的生产率下降,带宽浪费严重--企业需要有效控制应用的使用,例如P2P文件共享和即时消息应用等,以提高员工生产率,并降低互联网连接成本。
  • 计划外网络停机--企业需要高度可靠的网络,才能保证连续运作,最大程度地提高生产率,包括对计划内和计划外维护升级的支持。这些网络必须能够抵御各种威胁,例如基于互联网的拒绝服务攻击,或者来自不满员工或合同商的内部破坏。

解决方案

Cisco ASA 5500 系列防火墙版不但允许企业以高度可靠的方式安全地部署关键业务应用和网络,还能通过其独特的模块化设计提供卓越的投资保护,降低运作成本。利用 Cisco ASA 5500 系列防火墙版的强大策略实施服务,企业能够防止网络遭受非法访问。这些服务与市场领先的 VPN 服务结合在一起,使企业能够通过低成本的互联网连接,安全地将网络扩展到业务合作伙伴、远程站点和移动员工。这种灵活的解决方案能够适应各机构需求的不断增长,以及安全威胁的不断变化,使企业能够容易地集成市场领先的入侵防御、防病毒、防垃圾邮件、防间谍件、URL过滤及其它高级内容安全服务,进一步加强保护。Cisco ASA 5500 系列防火墙版与思科管理和监控应用解决方案有机地结合在一起,能够以较低的运作成本提供业内最佳的安全性。

Cisco ASA 5500 系列防火墙版的功能包括:

  • 最值得信赖、已广泛部署的防火墙技术--建立在已被业内广泛认可Cisco PIX® 系列安全产品之上的Cisco ASA 5500 系列提供了更为广泛的安全服务来保护现代化网络环境。其灵活的策略功能能够防止非法访问网络资源或重要公司信息。高级应用控制功能能够帮助企业有效控制P2P文件共享、即时消息传送及其它不符合公司策略的网络应用的使用,以提高员工的生产率,减少互联网带宽浪费。
  • 威胁防御VPN--Cisco ASA 5500 系列防火墙版也是一款基于在业内已被广泛认可的Cisco VPN 3000 系列集中器之上的产品,因而能够提供对内部网到内部网(Site-to-site)和远程用户接入企业内部网(Remote Access)这两种方式的安全保护。该解决方案将SSL和IPSec VPN 功能有机地结合在一个最佳解决方案中,为企业提供了极高的安全连接灵活性。利用 Cisco ASA 5500 系列防火墙版提供的服务,企业可以对所有网络流量实施基于身份的安全性和联网策略,以便为每个员工组、合同商组和业务合作伙伴组提供适当的访问权限。
  • 自适应设计提供卓越的投资保护和未来威胁防御可扩展性--Cisco ASA 5500 系列防火墙版采用了独特的模块化设计,能够适应企业需求的不断变化。企业只需添加高性能的专用Cisco ASA 5500 系列安全服务模块,就可以容易地增加安全服务的数量,例如为高级入侵防御服务开发的高级检测和防御安全服务模块(AIP-SSM),或者为高级防病毒、防垃圾邮件及其它防护其它网络恶意代码(Anti-X)服务而开发的内容安全和控制安全服务模块(CSC-SSM)。
  • 智能网络集成与企业级永续性--Cisco ASA 5500 系列防火墙版基于思科在网络领域20多年的领先和不断创新,能够提供多种智能服务,并无缝集成到当今的各种网络环境中。该解决方案提供的多种可靠性、可扩展性解决方案可以最大限度的降低业务在网络上的当机时间,同时还不影响性能,这些解决方案包括主用/主用高可用性(Active-Active)、"不停机软件升级"以及内置集成化的VPN集群和负载均衡能力。
  • 易于部署和管理--思科管理和监控套件支持Cisco ASA 5500 系列防火墙版的大型部署和操作。思科提供完整的解决方案,不但提供管理和监控,还能通过Cisco Adaptive Security Device Manager(ASDM)为每种安全设备提供功能强大、易于使用、基于浏览器的管理和监控界面。

业务成效

Cisco ASA 5500 系列防火墙版提供的安全性和连接服务能够帮助贵企业:

  • 控制对公司资源的访问--为企业提供基于身份或网络的精细访问控制,防止非法访问应用或信息。与主流用户认证服务集成在一起,例如Microsoft、Active Directory、轻量目录访问协议(LDAP)、Kerberos 和 RSA SecurID。
  • 安全部署新应用--使企业能够为多种主流应用提供高级应用层安全服务,包括基于Web的应用、电子邮件、IP语音(VoIP)、视频和多媒体应用,从而安全地部署新应用。能够向互联网隐藏公司的网络地址,进一步加强安全保护。
  • 安全地远程访问公司网络--同时向远程站点、业务合作伙伴和移动员工提供基于 SSL 和 IPSec 的威胁防御VPN连接方法。
  • 业务永续性--实施业内顶级的防火墙、VPN和网络技术,防止关键业务应用和服务因安全问题而中断。

架构

Cisco ASA 5500 系列防火墙版是完整的安全网络访问的关键点。与思科管理和监控系统紧密集成,使各机构能够部署和维护有效的安全解决方案,全面保护关键业务应用和信息资源(见图1)。

主要组件

Cisco ASA 5500 系列防火墙版
在整个企业范围内提供广泛的安全网络互连服务。

管理
Cisco Security Manager 能够为思科安全技术的大型部署提供企业级管理基础设施。

监控
思科安全监控、分析和响应系统(Cisco Security MARS)提供实时监控和安全事件响应功能,使企业能够充分发挥 Cisco ASA 5500 系列防火墙版的安全性和网络服务的价值。

图1 解决方案的架构

解决方案的架构

补充解决方案

Cisco® ASA 5500 系列自适应安全设备是一种模块化平台,能够为中小企业和企业应用提供新一代安全性和VPN服务。利用Cisco ASA 5500 系列提供的全面服务,可以通过四个定制软件包产品版本满足不同位置的需求:防火墙版、VPN版、IPS版和Anti-X版。

由于这些软件包能够为不同的情况提供最适当的服务,因而能实现卓越的保护。与此同时,所有这些服务都通过统一、标准化的 Cisco ASA 5500 系列平台实现,从而降低了管理、培训和备件成本。最后,由于每个版本都提供针对不同使用情况的预打包安全解决方案,因而能够简化设计和部署。

图2 补充解决方案

补充解决方案

思科服务

思科及其合作伙伴能够为贵企业提供世界级服务和支持。思科采用了全生命期服务方法,以满足客户对部署和操作Cisco ASA 5500 系列安全设备的必需要求,最终提高网络的价值和投资回报。如需进一步了解思科安全服务,请访问:http://www.cisco.com/go/services/security

解决方案建议

如需提交订单,请访问思科订购首页,或参考表1。

表1 订购信息

说明 性能 部件号
Cisco ASA 5505 10用户防火墙版套件
包括:10个用户,配有2个以太网供电端口的8端口快速以太网交换机,10路 IPSec VPN,2路SSL VPN, 3DES/AES许可证
  • 150Mbps 防火墙
  • 100Mbps IPSec VPN
ASA5505-BUN-K9
Cisco ASA 5505 10用户防火墙版套件
包括:10个用户,配有2个以太网供电端口的8端口快速以太网交换机,10路 IPSec VPN,2路SSL VPN,数据加密标准(DES)许可证
  • 150Mbps 防火墙
  • 100Mbps IPSec VPN
ASA5505-K8
Cisco ASA 5505 50用户防火墙版套件
包括:50个用户,配有2个以太网供电端口的8端口快速以太网交换机,10路 IPSec VPN,2路SSL VPN,3DES/AES许可证
  • 150Mbps 防火墙
  • 100Mbps IPSec VPN
ASA5505-50-BUN-K9
Cisco ASA 5505 无限用户防火墙版套件
包括:无限用户,配有2个以太网供电端口的8端口快速以太网交换机,10路 IPSec VPN,2路SSL VPN,3DES/AES许可证
  • 150Mbps 防火墙
  • 100Mbps IPSec VPN
ASA5505-UL-BUN-K9
Cisco ASA 5505 Security Plus 防火墙版套件
包括:无限用户,配有2个以太网供电端口的8端口快速以太网交换机,25路 IPSec VPN,2路SSL VPN,DMZ 支持,主用/备用高可用性、双ISP支持、3DES/AES许可证
  • 150Mbps 防火墙
  • 100Mbps IPSec VPN
ASA5505-SEC-BUN-K9
Cisco ASA 5510 防火墙版套件
包括:3个快速以太网接口,250路 IPSec VPN,2路 SSL VPN,3DES/AES许可证
  • 300Mbps 防火墙
  • 170Mbps IPSec VPN
ASA5510-BUN-K9
Cisco ASA 5510 防火墙版套件
包括:3个快速以太网接口,250路 IPSec VPN,2路 SSL VPN,DES许可证
  • 300Mbps 防火墙
  • 170Mbps IPSec VPN
ASA5510-K8
Cisco ASA 5510 Security Plus 防火墙版套件
包括:5个快速以太网接口,250路 IPSec VPN,2路SSL VPN,主用/主用和主用/备用高可用性,3DES/AES许可证
  • 300Mbps 防火墙
  • 170Mbps IPSec VPN
ASA5510-SEC-BUN-K9
Cisco ASA 5520 防火墙版套件
包括:4个快速以太网接口+1个快速以太网接口,750路 IPSec VPN,2路SSL VPN,主用/主用和主用/备用高可用性,3DES/AES许可证
  • 450Mbps 防火墙
  • 225Mbps IPSec VPN
ASA5520-BUN-K9
Cisco ASA 5520 防火墙版套件
包括:4个千兆以太网接口+1个快速以太网接口,750路 IPSec VPN,2路 SSL VPN,主用/主用和主用/备用高可用性,DES许可证
  • 450Mbps 防火墙
  • 225Mbps IPSec VPN
ASA5520-K8
Cisco ASA 5540 防火墙版套件
包括:4个千兆以太网接口+1个快速以太网接口,5000路 IPSec VPN,2路 SSL VPN,3DES/AES 许可证
  • 650Mbps 防火墙
  • 325Mbps IPSec VPN
ASA5540-BUN-K9
Cisco ASA 5540 防火墙版套件
包括:4个千兆以太网接口+1个快速以太网接口,5000路 IPSec VPN,2路 SSL VPN,DES 许可证
  • 650Mbps 防火墙
  • 325Mbps IPSec VPN
ASA5540-K8
Cisco ASA 5550 防火墙版套件
包括:8个千兆以太网接口+1个快速以太网接口,4个千兆 SFP 接口,5000路 IPSec VPN,2路 SSL VPN,3DES/AES 许可证
  • 1.2Gbps 防火墙
  • 425Mbps IPSec VPN
ASA5550-BUN-K9
Cisco ASA 5550 防火墙版套件
包括:8个千兆以太网接口+1个快速以太网接口,4个千兆SFP 接口,5000路 IPSec VPN,2路 SSL VPN,DES 许可证
  • 1.2Gbps 防火墙
  • 425Mbps IPSec VPN
ASA5550-K8

注:Cisco ASA 5500 系列 CSC-SSM包含 Trend Micro 提供的嵌入式软件和支持。
销售点和注册数据将同时提供给思科和Trend Micro。

联系我们


网络研讨会:思科ASA 5500系列自适应安全设备SSL VPN版故障排除