ASA——下一代防火墙

面向企业的思科ASA 5500系列IPS版

针对关键信息资源和基础设施的攻击将严重影响企业开展业务的能力。为有效消除风险,必须让多种值得信赖的安全技术协同工作。Cisco ASA 5500 系列 IPS 版能够为各机构的关键信息资源提供无与伦比的保护,在一个易于部署的平台中提供最佳防火墙、应用安全性和入侵防御功能。Cisco ASA 5500 系列 IPS 版将世界上部署最广泛的防火墙技术的功能和稳定性,与最流行的IPS技术的高级检查功能有机地结合在一起,防止各机构的服务器和基础设施遭受攻击。

挑战

信息资源和基础设施形成了现代企业的核心。部署了网络的企业不但能提高业务效率和业绩,还能获得持续竞争优势。但是,网络也会给企业带来风险。目前,不仅网络攻击数量不断攀升,而且攻击的水平也越来越高,致使各机构核心业务面临的风险越来越大。

  • Web 应用和互联网商务站点成为攻击的目标;
  • 互联网蠕虫可能会感染服务器,中断其正常运行,直至整个网络瘫痪;
  • 零日攻击可能会使各机构没有时间发布和安装补丁;
  • 难以控制的内部环境,例如实验室,是蠕虫和病毒传播的理想位置;
  • 不满员工可能会从企业网络内部发动攻击。

解决方案

Cisco® ASA 5500 系列 IPS 版可以保护各机构的服务器和基础设施,而且不会影响其将网络作为业务工具的能力。由于 Cisco ASA 5500 系列 IPS 版具有坚实的防火墙和高级应用安全功能,因而能帮助企业实施强大、稳定的策略加强。利用市场领先的入侵防御和防蠕虫功能,Cisco ASA 5500 系列 IPS 版能够有效防止企业资源遭受高级攻击。Cisco ASA 5500 系列 IPS 版与思科的管理和监控应用套件结合在一起,能够为关键资源和基础设施提供无与伦比的保护。

该解决方案的功能包括:

  • 最值得信赖、已广泛部署的防火墙技术――Cisco ASA 5500 系列基于Cisco PIX® 系列安全设备,既允许合法业务流程通过,又能有效阻挡不受欢迎的访问者。利用其应用控制功能,该解决方案能够控制对等共享、即时消息传送和其它应用,从而减少安全漏洞,防止业务网络遭受各种威胁。
  • 准确及多矢量的威胁防御――Cisco ASA 5500 系列IPS 版在线内入侵防御服务方面融合了创新的技术,提高了检测的精确性。因此,无需承担丢失正常网络流量的风险,便能够停止更多的线程。通过一系列创新但操作简便的技术,Cisco ASA 5500 系列 IPS 版允许企业为不同的环境采用各自的检测和响应技术,以便针对特定的业务提供分析和防御功能。
  • 网络集成和永续性--Cisco ASA 5500 系列 IPS 版基于思科的多年网络经验,能够与其它网络组件紧密集成在一起,提高安全技术的效能。
  • 威胁防御VPN--Cisco ASA 5500 系列 IPS 版基于Cisco VPN 3000 系列集中器的已经过市场验证的VPN功能,能够提供对公司网络和服务的站点到站点安全访问和远程用户访问。该解决方案将安全套接字层(SSL)和IP Security(IPSec)VPN 功能有机地结合在一个最佳解决方案中,为企业提供了极高的安全连接灵活性。利用 Cisco ASA 5500 系列IPS版提供的服务,企业可以实施基于身份的安全性和网络策略,有效预防蠕虫以及很多其它形式的攻击,安全地将网络扩展到员工、合同商和业务合作伙伴。
  • 全面的安全事件生命周期管理--思科管理和监控套件支持 Cisco ASA 5500 系列 IPS 版 的大规模部署和操作。思科不但提供完整的管理、监控和风险预防解决方案,还能通过Cisco Adaptive Security Device Manager(ASDM)为每种安全设备提供功能强大、易于使用、基于浏览器的管理和监控界面。

业务优势

Cisco ASA 5500 系列 IPS 版提供的安全性和连通性使企业能够:

  • 提高业务永续性--实施业内部署最广泛的企业级防火墙、IPS、应用安全性和蠕虫防御技术,防止关键业务应用和服务因安全问题而中断。
  • 降低清理费用--防止感染发生,减少受感染后昂贵的清理费用。
  • 加强运作集成--由一个平台提供安全服务,降低安全解决方案的部署以及后续管理和监控成本。
  • 改善责任管理--在一台设备中实施全面的访问控制和威胁防御服务,减少公司因数据受损或公司控制不当而需要承担的责任。

架构

Cisco ASA 5500 IPS 版是完整的关键资源保护解决方案的中心。由于它与思科管理、监控和故障防御系统紧密地集成在一起,因而能帮助各机构部署和维护安全解决方案,全面保护关键资源和基础设施(见图1)。

图1 解决方案的架构

主要组件

Cisco ASA 5500 系列 IPS 版
在企业的多个位置提供保护服务。

管理

Cisco Security Manager(CS-Manager)为思科安全技术的大规模部署提供企业级管理基础设施。

监控

思科监控、分析和响应系统(CS-MARS)提供实时监控和意外响应功能,使各机构能够充分利用 Cisco ASA 5500 系列 IPS 版的高级检查服务的效能。

故障防御

思科意外控制系统(ICS)优质服务能够为最危险的蠕虫和病毒提供近实时更新,从而增强 Cisco ASA 5500 系列 IPS版的功能。利用Cisco ICS,各机构只需几分钟就能借助业内最快速的预防响应系统对新威胁作出响应,而这在以前几乎是不可能的。

相互补充的解决方案

Cisco® ASA 5500 系列自适应安全设备是一种模块化平台,能够为中小企业和企业应用提供新一代安全性和VPN服务。利用Cisco ASA 5500 系列提供的全面服务,可以通过四个定制软件包产品版本满足不同地点的安全需求:防火墙版、VPN版、IPS版和Anti-X版。

由于这些软件包能够为适当的位置提供适当的服务,因而能实现卓越的保护。与此同时,它们还支持 Cisco ASA 5500 系列平台的标准化,以降低管理、培训和备件成本。最后,由于每个版本都提供针对不同位置的预打包安全解决方案,因而能够简化设计和部署。

图2 相互补充的解决方案

思科服务

思科系统®公司及其合作伙伴能够为贵企业提供世界级服务和支持。思科采用了全生命期服务方法,以满足客户对部署和操作Cisco ASA 5500 系列安全设备的必需要求,最终提高网络的价值和投资回报。如需进一步了解思科安全服务,请访问:http://www.cisco.com/en/US/products/svcs/ps2961/ps2952/serv_group_home.html。

解决方案建议

Cisco ASA 5500 系列 IPS 版解决方案可以在解决方案套件中提供,也可以作为Cisco ASA 5500系列的组件提供。Cisco ASA 5500 系列产品的部件号和说明如表1 和表2所示。如果想下订单,请访问思科订购首页。

表1 推荐使用的Cisco ASA 5500 系列 IPS版套件和选件

说明 攻击防御性能 部件号
Cisco ASA 5510 设备 IPS 版套件
包括:高级检测和防御安全性服务模块10(AIP-SSM-10模块)、防火墙服务、250路 IPSec VPN,2路 SSL VPN,3个快速以太网接口
150Mbps ASA5510-AIP10-K9
Cisco ASA 5520 设备 IPS 版套件
Cisco ASA 5520 IPS版包括:AIP-SSM-20模块、防火墙服务、750路 IPSec VPN,2路 SSL VPN,4个千兆以太网接口,1个快速以太网接口
375Mbps ASA5520-AIP20-K9
Cisco ASA 5540 设备 IPS 版套件
Cisco ASA 5540 IPS版包括:AIP-SSM-20模块、防火墙服务、5000路 IPSec VPN,2路 SSL VPN,4个千兆以太网接口,1个快速以太网接口
450Mbps ASA5540-AIP20-K9

表2 Cisco ASA 5500 系列的可订购部件

说明 部件号
平台  
Cisco ASA 5510 自适应安全设备 ASA5510-BUN-K9
Cisco ASA 5520 自适应安全设备 ASA5520-BUN-K9
Cisco ASA 5540 自适应安全设备 ASA5540-BUN-K9
安全性服务模块  
Cisco ASA 5500 系列 AIP-SSM-10 ASA-SSM-AIP-10-K9
Cisco ASA 5500 系列 AIP-SSM-20 ASA-SSM-AIP-20-K9

如需了解 Cisco ASA 5500 系列 IPS 版能够为贵企业带来哪些优势,请访问:http://www.cisco.com/web/CN/products/products_netsol/security/products/asa/

注:Cisco ASA 5500 系列 CSC-SSM包含 Trend Micro 提供的嵌入式软件和支持。
销售点和注册数据将同时提供给思科和Trend Micro。

联系我们


网络研讨会:思科ASA 5500系列自适应安全设备SSL VPN版故障排除