ASA——下一代防火墙

思科® ASA 5500 系列自适应安全设备是一个专用平台，能够针对中小企业（SMB）和企业应用将最佳安全性与 VPN 服务有机地结合在一起。Cisco ASA 5500 系列不但允许企业按照特殊部署环境和选件定制，还为SSL/IPsec VPN、防火墙、Anti-X和入侵防御提供特殊产品版本。

利用Cisco ASA 5500 系列 SSL/IPsec VPN版，各机构不需要降低公司安全策略的完整性，就能够加强互联网传输连接，并降低成本。由于 Cisco ASA 5500 将安全套接字层（SSL）和IP Security（IPsec）VPN服务与全面威胁防御技术有机地结合在一起，因此，它不但能按照各种部署环境的要求提供高度定制的网络接入，还能提供高级端点和网络层安全性（见图1）。

图1 可以根据各种部署方案定制的VPN服务

Cisco ASA 5500 系列 SSL/IPsec VPN版

Cisco ASA 5500 系列 SSL/IPsec VPN版能够为任何方案连接提供灵活的VPN技术，每台设备可以扩展到同时支持5000名用户。它通过 SSL、数据报传输层安全性（DTLS）、IPsec VPN 客户端技术、高级无客户端SSL VPN功能以及网络敏感型站点到站点 VPN 连接提供易于管理的全通道网络接入，使移动用户、远程站点、合同商和商业合作伙伴都能通过公共网络建立安全连接。由于取消了扩展和保护VPN所需要的辅助设备，因而降低了VPN的部署和运作成本。

Cisco ASA 5500 系列 SSL/IPsec VPN版的优点包括：

• 基于SSL、DTLS和IPsec的完全网络远程访问--完全网络访问几乎能够为任何应用或网络资源提供网络层远程用户连接，而且通常能够将接入扩展到托管计算机，例如公司拥有的笔记本电脑。建立连接时，可以使用自动下载的Cisco AnyConnect VPN Client、Cisco IPsec VPN Client 以及 Microsoft和 Mac OS X第2层通道协议（L2TP）/IPsec VPN Client。Cisco AnyConnect VPN Client 将自动基于网络限制使其通道协议适应最有效的方法。这是使用 DTLS 协议为延迟敏感型流量提供优化连接的第一种 VPN 产品，例如IP语音（VoIP）流量或基于 TCP 的应用接入。由于 Cisco ASA 5500 系列支持基于 SSL、DLTS和 IPsec 的远程接入 VPN 技术，因而具有无与伦比的灵活性，能够满足多种部署方案的需求。
• 卓越的无客户端网络访问--无客户端远程访问能够提供对位于任意位置的网络应用和资源的访问，而且不需要桌面 VPN 客户端软件。利用互联网浏览器中独特的 SSL 加密，Cisco ASA 5500 系列不但能为所有基于Web的应用或资源、Citrix 等终端服务应用以及优化的 Microsoft Outlook Web 接入和 Lotus iNotes提供无客户端接入，还允许访问各种胖客户端应用，例如电子邮件和日历、即时消息传送、FTP、Telnet 和 SSH等。另外，Cisco ASA 5500 系列还具有卓越的内容重写功能，能够可靠地显示包含 Java、JavaScript、ActiveX、Flash 及其它高级内容的复杂Web页面。
• 网络敏感型站点到站点VPN--可以在多个分支机构站点之间执行对网络敏感的站点到站点 VPN 安全高速通信。由于支持VPN服务质量（QoS）和路由，因而能够高质量地可靠传输对延迟敏感的各种应用，例如语音、视频和终端服务。
• 威胁防御VPN--VPN 是恶意软件渗透到网络中的主要来源。恶意软件包括蠕虫、病毒、间谍软件、键击记录器、特洛伊木马和rootkit攻击。由于 Cisco ASA 5500 系列采用了多种有效的入侵防御、防病毒、应用感知防火墙和VPN端点安全功能，因而降低了 VPN 连接变成安全威胁通道的风险。
• 更经济高效的VPN部署和运作方式--扩展和保护 VPN 通常需要增加负载均衡功能和安全设备，从而增加了设备和运作成本。Cisco ASA 5500 系列将这些功能集成在一起，能够在当今的VPN 产品之间提供无与伦比的网络和安全性集成水平。由于Cisco ASA 5500 系列能够在一个平台上支持灵活的通道选项，因而使客户能够利用多种经济高效的方法，部署并行 VPN 基础设施。
• 可扩展性和永续性--Cisco ASA 5500 系列的每台设备最多同时允许5000对用户的会话，并能够通过集成式集群和负载均衡功能，进一步扩展到数万对用户。由于状态化故障切换特性能够提供高可用性服务，因而能显著延长正常运行时间。

可定制远程访问 VPN 特性

完全网络访问

Cisco ASA 5500 系列 SSL/IPsec VPN 版通过如表1所示的 Cisco AnyConnect VPN Client 或 Cisco IPsec VPN Client 提供广泛的应用和网络资源访问。

表1 Cisco AnyConnect VPN Client 的特性

特性	说明
优化网络访问	Cisco AnyConnect VPN Client 能够基于网络限制使其通道自动适应最有效的方法。DTLS 协议可自动使用，为延迟敏感型流量提供优化连接，例如 VoIP 流量或基于 TCP 的应用访问。SSL HTTP 可以通过锁定环境保证网络连接的可用性，包括使用 Web 代理服务器的环境。 数据压缩可以减少数据传输量。
广泛的操作系统支持	Windows 2000、 XP x86 和 64位 Windows Vista x86 Mac OS X Power PC 以及 Intel 10.4 和 10.5 Linux Intel （2.6.x 核心） Windows Mobile 5 Pocket PC 版，包括Treo 700w、Sprint PPC-7600 以及 Cingular HP 8125 （特性许可证）
多种部署和连接选项	部署选项： 预部署，包括 Microsoft Installer 通过 ActiveX（只对Windows）和Java完成自动头端部署（初始安装时需要管理权限） 连接方式： 通过系统图标独立连接 由浏览器启动（Web启动） 无客户端门户启动 命令行界面（CLI）启动
客户端软件易于管理	由于 Cisco AnyConnect VPN Client 允许管理员自动从头端安全设备分发软件和策略更新，因而能减轻 VPN 客户端软件更新负担。
一致的用户体验	完全通道客户端模式支持远程接入用户，能够提供与LAN相当的一致用户体验 多种供应方法和小下载量有利于实现 Cisco AnyConnect VPN Client 的广泛兼容性和快速下载
高级IP网络连接	访问内部 IPv4 和IPv6 网络资源 为优化网络接入提供集中分离通道控制 IP地址分配机制： 静态 内部池 动态主机配置协议（DHCP） RADIUS/轻量目录访问协议（LDAP）

无客户端网络访问
如表2所示的无客户端 SSL VPN访问，能够精确控制互联网、共享计算机、外联网合作伙伴、员工的台式机以及公司的员工桌面台式机对某些网络资源和应用的基于Web的访问。

表2 Cisco ASA 5500 基于 Web 的无客户端访问

特性	说明
广泛、可靠的兼容性	高级转换功能有助于保证与包含复杂内容的Web页面的兼容性，包括 HTML、Java、ActiveX、JavaScript 和 Flash。
集成式无客户端应用优化	对 Microsoft Outlook Web Access 和 Lotus iNotes等资源密集型应用的集成式性能优化，能够缩短例外响应时间和延迟，提供高质量的 SSL VPN 最终用户体验。
可定制的用户体验	增强的无客户端门户提供基于组的定制特性，以便提供细化接入、易于使用性和可定制的用户体验： 支持多语言无客户端用户门户 用户可定制的资源标签 发布基于简单供稿（RSS）的信息资源，自动更新重要的实时内容
完全无客户端Citrix 访问	由于通过无客户端 SSL VPN 接入 Citrix 时不需要额外的辅助应用，因而加快了应用的启动，降低了桌面软件冲突风险。
集成式客户端/服务器应用支持	不需要预部署远程客户端就能访问通用客户端/服务器应用，允许快速访问 Telent、SSH、远程桌面协议（RDP）和虚拟网络计算（VNC）资源。
支持通用厚客户端应用	端口转发支持对常用胖客户端应用的无线客户端访问，例如邮局协议（POP）、简单邮件传输协议（SMTP）、互联网消息访问协议（IMAP）、电子邮件、联机日历、即时消息传送、Telnet、SSH及其它通过小型Java程序由客户端启动的TCP 应用。 利用智能通道，Microsoft Windows 用户不需要管理权限就能访问 TCP 应用，而且VPN管理员可以只运行被批准的应用访问内部资源。
广泛的浏览器支持	支持多种浏览器，包括Microsoft Internet Explorer、Firefox、 Opera、Safari 和 Pocket Internet Explorer（PIE），无论从哪个位置都能保证广泛的连接兼容性。
高级IP网络连接	允许访问内部 IPv4 和 IPv6 网络资源。

全面的认证和授权选项
Cisco ASA 5500 系列为用户认证和授权提供多种选项，如表3所示。

表3 Cisco ASA 系列的认证和授权选项

特性	说明
认证选项	RADIUS RADIUS，带有NT LAN Manager（NTLM）的密码期满（MSCHAPv2） RADIUS OTP 支持（状态/回复消息属性） RSA SecurID Active Directory/Kerberos 嵌入式证书权威机构（CA） 数字证书/智能卡 LDAP，带密码有效期和过时 通用 LDAP 支持 综合证书和用户名/密码多因子认证 面向简单的一次登录（SSO）的内部域密码提示 面向键击记录器防护的SSL VPN 虚拟键击认证
高级授权	从RADIUS 和LDAP的策略映射 动态接入策略直接利用域成员关系和状态制定用户策略
面向无客户端 SSL VPN 用户的一次登录（SSO）	Computer Associates Siteminder （Netegrity） RSA Access Manager（ClearTrust） 安全性声明标记语言（SAML） 基本/NTLM 认证通过 基于表格的认证通过

威胁防御VPN 特性
Cisco ASA 5500 系列 SSL/IPsec VPN版能够通过其集成式网络和端点安全技术为 VPN 部署提供高级安全性。保护VPN是防止其遭受蠕虫、病毒、间谍软件、键击记录器、特洛伊木马、根病毒或黑客等攻击的重要环节。详细的应用和访问控制策略有助于确保个人和用户组只能访问到他们有权访问的应用和网络服务（见图2）。

图2 威胁防护 VPN 服务利用内部安全性防止VPN威胁

VPN网关处的网络安全性
蠕虫、病毒、应用嵌入式攻击和应用滥用是当今网络面临的最大安全问题。远程接入和远程办公室VPN连接是这些威胁的主要入口，因为VPN设备的安全功能有限，部署VPN 时，由于通常都没有在总部通道终止点处部署适当的检查和威胁预防，因此，远程办公室或用户的恶意软件很容易感染网络并伺机传播。幸运的是，采用了Cisco ASA 5500 系列的综合威胁防御功能之后，客户将能够在恶意软件进入网络内部之前就及时发现并阻止。对于应用嵌入式攻击，例如通过文件共享对等网络传输的间谍软件或广告件，Cisco ASA 5500 系列能够深入检查应用流量，找到并丢弃危险负载，防止其到达目标并造成危害。Cisco ASA 5500 系列提供的某些VPN网关安全特性如表4所示。

表4 VPN网关处的网络安全性

特性	说明
多种恶意软件预防技术	蠕虫、病毒、间谍软件、键击记录器、特洛伊木马和rootkit攻击将在Cisco ASA 5500 系列 VPN网关处被截获，在它们进入网络之前就能予以消除。
应用感知防火墙和访问控制	应用流量检查支持全面的用户访问控制，并能够防止滥用某些应用，例如通过VPN连接实现的对等文件共享。
入侵防御	Cisco ASA 5500 系列能够防止多种网络攻击。
访问限制	根据灵活的配置策略和当前局面，决定是否允许访问保密资源。
虚拟LAN（VLAN）映射	基于配置的VLAN，实施基于用户和用户组的流量访问限制。

为SSL VPN 提供全面的端点安全性
SSL VPN 部署既允许从安全端点接入，也允许从非公司管理的端点接入，并能够将网络资源扩展到多种用户群。但是，在网络扩展的同时，可能遭受网络安全攻击的点也不断增加。无论用户从公司管理PC、个人网络可接入设备还是从公共终端接入网络，Cisco Secure Desktop 都能减少数据量，例如 Cookie、浏览器历史、临时文件以及SSL VPN 会话终止后遗留下来的下载内容。通过与 Cisco NAC 设备和Cisco NAC 框架的集成，还可以全面检查网络接入用户的端点状况。Cisco Secure Desktop 的特性如表5所示。

表5 Cisco Secure Desktop 能够提供从网络到端点的全面安全信息

特性	说明
连接前状况评估	执行主机完整性审核检查，看端点系统上是否安装了防病毒软件、个人防火墙软件和Windows 服务包，然后决定是否允许接入网络。 目前，通过这种机制支持的应用和版本越来越多。为支持新产品版本，需要经常更新信息。 管理员还可以根据正在运行的进程确定检查的内容。
连接前资源评估	Cisco Secure Desktop可以检查远程系统上是否有水印，以便确定网络资源是否由公司所有，然后决定是否允许接入。水印检查内容包括系统注册值、符合所需CRC32校验的文件存在性、IP地址范围匹配以及证书匹配。
全面会话保护	另外，还为与会话相关的所有数据提供其它保护，包括密码、文件下载、历史、Cookie和高速缓存文件。不仅如此，还对Cisco Secure Desktop的安全域进行数据加密。
会话结束后清理数据	安全域中的数据将在通话结束后被复写进行清除。
键击记录器检测	会话开始时，Cisco Secure Desktop 将对某些基于软件的键击记录软件进行检查。如果发现安全域中运行异常程序，将提示用户阻止可疑行为。
提供顾客权限	从远程计算机接入网络的用户不能在所有系统上拥有管理员权限。Cisco Secure Desktop 一般只提供仿客权限，以保证所有系统上供应和安装的安全性。
高级端点评估许可证	提供高级端点评估选项，自动修复不符合要求的应用。

网络敏感型站点到站点VPN特性
利用Cisco ASA 5500 系列 SSL/IPsec VPN版提供的网络感知 IPsec 站点到站点 VPN功能，企业可以通过低成本的互联网连接，安全地将网络扩展到世界各地的业务合作伙伴，以及远程办公室和卫星办公室（表6）。

表6 Cisco ASA 5500 系列 SSL/IPsec VPN 版站点到站点 VPN 连接

特性	说明
支持QoS	支持延迟敏感型应用，例如语音、视频和终端服务。
网络感知路由	在隧道邻居之间支持首先打开最短路径（OSPF），对网络拓扑进行学习，易于网络集成。

通过平台集成实现VPN经济高效性
Cisco ASA 5500 系列将多种功能集成在一起，例如安全性和负载均衡，以减少扩展和保护VPN需要的设备数量，从而降低设备成本、体系结构复杂性和运作成本（表7）。

表7 作为VPN部署的补充的集成式功能

特性	说明
网络与端点的安全性	内部恶意软件防御、IPS和防火墙功能不但提高了VPN安全性，还减少了设备的部署量。
负载均衡	集成式负载均衡特性支持多机箱集群，避免了昂贵的外部负载均衡设备。

Cisco ASA 5500 系列平台概述
Cisco ASA 5500 系列提供五种型号：5505、5510、5520、5540和5550（图3），能够为从小办公室到企业总部的各类站点提供可扩展性。5510及以上的型号使用相同的机箱，并提供并发服务可扩展性、投资保护和未来技术可扩展性。Cisco ASA 5500 系列的规格如表8所示。

图3 Cisco ASA 5500系列

表8 Cisco ASA 5500 系列自适应安全设备的规格

平台	Cisco ASA 5505	Cisco ASA 5510	Cisco ASA 5520	Cisco ASA 5540	Cisco ASA 5550
最高VPN吞吐量	100Mbps	170Mbps	225Mbps	325Mbps	425Mbps
最高并发SSL VPN会话数	25	250	750	2500	5000
最高并发IPsec VPN会话数1	25	250	750	2500	5000
接口	8个带动态端口组合的10/100铜线以太网端口，包括两个以太网供电（PoE）端口、3个USB端口	5个10/100铜线以太网端口(其中2个端口可以通过Security Plus License升级为10/100/1000铜线以太网端口)，2个USB端口	4个10/100/1000铜线以太网端口，1个带外管理端口，2个USB端口	4个10/100/1000铜线以太网端口，1个带外管理端口，2个USB端口	8个千兆位以太网端口，4个小机架可插拔（SFP）光纤端口，1个快速以太网端口
外形	桌面	1-RU	1-RU	1-RU	1-RU
状态化故障切换	否	许可特性2	是	是	是
VPN负载均衡	否	许可特性2	是	是	是

1. 设备包括2名SSL VPN用户的评估和远程管理许可证。总IPsec 和SSL（无客户端和基于隧道）VPN 会话路数不能超过表中显示的最高IPsec 并发会话数。SSL VPN会话数也不能超过设备的许可通话路数。

2. 可以通过 Cisco ASA 5510 Security Plus 许可证升级。

思科服务

思科及其合作伙伴提供的服务能够帮助客户有效部署和管理安全解决方案。思科采用了全生命周期服务方法，以满足客户对部署和操作Cisco ASA 5500 系列安全设备以及其它思科安全技术的必需要求。这种方法能够帮助客户改善网络安全状况，建立可用性和可靠性更高的网络，及时支持新应用，降低网络成本，并在日常运作中保持网络正常运行。如需进一步了解思科安全服务，请访问：http://www.cisco.com/go/services/security。