ASA——下一代防火墙

利用思科ASA 5500系列自适应安全设备保护业务应用

利用Cisco ASA 5500自适应安全设备进一步加强应用安全保护

网络安全威胁已经越来越逼近应用层。网络和安全管理员必须在通过部署新服务来提高业务生产率与防止服务遭受攻击之间作出艰难的抉择。Cisco ASA 5500 系列自适应安全设备有效地解决了这个问题,因为它能够快速、强韧、安全地部署新应用。

概述

网络应用是业务基础设施的主要部分。但是,传统的安全解决方案既缺乏应用覆盖广度和检测服务深度,又缺乏网络服务和足够高的性能,因而无法防止这些应用遭受网络攻击。Cisco® ASA 5500系列不但能提高应用安全性,还能防止网络应用遭受当今及未来的各种威胁。

挑战

互联网的爆炸式增长使很多业务流程都转移到了网络上。网络应用已经形成了这些业务流程的骨干。Web浏览、电子邮件通信和IP电话等应用成为了业务基础设施的核心。消息传送和在位应用(例如即时消息传送)逐渐被视为员工之间以及与合作伙伴和客户交流的重要工具。伴随着高性能网络的部署,网络应用大大提高了企业的生产率。

随着各机构对网络依赖程度的提高,这些应用的可用性和完整性变成了开展业务的重要环节。但是,实施安全策略来保证高可用性正变得越来越困难。由于新工具经常使用户误用或滥用应用,因此,用户仍然青睐于传统的安全技术。事实上,对等文件共享网络等应用正逐渐将这些工具直接集成到应用本身。"端口跳跃"和隧道等应用行为使应用能够智能扫描和查找防火墙中的开放端口,例如Web浏览端口(端口80),并通过这些端口建立隧道,因此,传统的安全设备几乎不可能实施网络分段和可接受用户策略。缺乏应用使用控制的局面不但能降低员工的生产率,消耗网络资源,还会使各机构面临法规和法律问题。

另外,越来越多的攻击瞄准了应用层。这些攻击采用的方法是破坏应用的可用性和完整性,进而减弱网络应用对生产率的增强作用。从IP电话到Web应用,各机构对应用层攻击的防护要求从未像现在这么迫切。但是,传统的安全设备几乎不能保护应用层,即几乎无法抵御企业当今及未来面临的各种威胁。

最后,传统解决方案不能提供现代网络需要的关键网络服务和性能,IP电话等关键业务流量必须高度可用,而且必须在整个网络中提供相当于话音质量的服务。与此同时,安全服务绝对不能影响网络中的正常服务供应。

这些挑战使安全和网络管理员面临两难抉择:注重应用供应还是应用安全性。因此,市场需要能够解决这个问题的新型解决方案,以便为当今的关键业务应用提供新的安全保护。

解决方案:利用Cisco ASA 5500 系列中的应用安全性

当今的安全威胁需要用新的方法消除。要实现全面的应用安全性,需要提高对整个网络中的应用的敏感性,而不是用一种方法保护网络中的所有应用。每种应用都需要一组通用服务,以及其它应用专用检测服务。这些应用检测服务必须满足当今网络的性能和服务要求。所有要求都必须与清晰、全面的架构密切相连,以便灵活地部署和实施应用安全策略。Cisco ASA 5500 系列自适应安全设备不但能提供新型应用保护方法,还能保护关键业务应用的可用性和完整性。

Cisco ASA 5500 系列通过自适应识别和防御架构,进一步提高了网络的安全性和策略控制。利用遍及所有主要网络协议的应用安全检测引擎,Cisco ASA 5500 系列允许部署全面的应用安全策略。每种检测引擎都监控应用流,并能够标示和阻止针对特定协议的非法操作。例如,利用Web检测引擎,管理员能够检查流量是否符合 HTTP RFC 及其它标准,以保证通过端口80的流量属于合法Web流量。这种方法有两个优点。首先,检测引擎能够发现并阻止试图通过端口80绕过安全策略的非HTTP应用(对等程序,例如Kazaa,就属于此类)。其次,它能够评估协议语义和最佳实践,防止瞄准应用层的已知和未知攻击。针对应用处理漏洞发动的坏件攻击可以通过标准符合予以消除。

除协议符合性外,检测引擎还能够控制应用内每个特性或功能的使用,从而扩展安全管理员的访问控制工具集。利用FTP检测引擎,管理员能够通过控制用户在文件服务器上执行的特殊命令来保护文件服务器,例如,允许用户检索文件但不允许删除文件或上传可疑内容。所有服务都通过简单但强大的Adaptive Security Device Manager(ASDM)GUI提供。Cisco ASDM 使用向导和直观界面快速部署强韧的应用安全策略(见图1)。

图1 Cisco ASDM 5.0版

能够部署在生产网络环境中的检测引擎,必须满足当今网络对性能和网络服务的苛刻要求。Cisco ASA 5500 系列能够满足当今网络的高性能要求,提供450Mbps的并发保护服务。另外,通过集成多业务质量(QoS)机制,包括语音流量的专有低延迟队列,可以轻松地满足延迟敏感型语音流量的严格服务等级协议(SLA)。最后,安全基础设施的可用性由高级高可用性功能保证,包括主用/主用故障切换服务,即网络管理员可以充分利用冗余投资,允许故障切换对列中的两台设备检测正常网络运作时的应用流量。

自适应识别与防御架构将Cisco ASA 5500系列中的多种应用安全检测引擎与网络服务集成在一起。自适应识别与防御架构采用了模块化服务处理和策略框架,能够对每股流量使用特殊安全或网络服务,利用顺畅的流量处理提供细粒度的策略控制和Anti-X保护。由于这种架构的效率高,而且能通过用户可安装安全服务模块(SSM)实现软件和硬件可扩展性,因此,各机构不但能发展现有服务和部署新服务,而且不需要更换平台,也不会降低性能。作为Cisco ASA 5500系列的架构基础,自适应识别与防御架构能够提供高度可定制的安全策略和无与伦比的服务可扩展性,有效抵御快速发展的各种威胁环境。

结论

Cisco ASA 5500系列中的应用安全检测引擎包括:

  • Web浏览(HTTP)
  • 电子邮件(SMTP/eSMTP)
  • 企业IP电话(SIP、H.323、SCCP)
  • 运营商语音服务(MGCP、GTP)
  • 文件传输(FTP)
  • 隧道化应用(对等或即时消息传送)
  • 域名系统(DNS)
  • 其它

网络应用目前已经大幅提高了企业的生产率,而且还具有很大的潜力。为了发挥这些潜力,必须保护应用的可用性和完整性。Cisco ASA 5500 系列不但能提供新的安全保护,而且能够在不损害传统解决方案的前提下提供全面的应用保护。Cisco ASA 5500系列不仅提供全面的协议支持,深入的应用控制,以及与网络服务的紧密集成,还能集成在灵活的高性能自适应检测与防御架构中。这种灵活性能够保证Cisco ASA 5500系列不但能保护当今的网络,还能保护未来网络。

联系我们


网络研讨会:思科ASA 5500系列自适应安全设备SSL VPN版故障排除