Cisco Systems® 公司提供的安全解决方案可满足任何部署环境的要求。随着Cisco 5500系列自适应安全设备的问世,思科公司能够在单一平台上提供基于硬件的集成化多功能安全服务和VPN服务。通过使用Cisco ASA 5500系列设备,用户们可以在部署思科的融合防火墙、IPS入侵防御系统和网络防病毒服务的基础上构建起一套自适应威胁防御系统。对于VPN服务,Cisco ASA 5500系列高度灵活的技术可提供按需定制的解决方案以满足远程接入和站对站通讯的要求。
可广泛用于VPN和安全服务的Cisco ASA 5500系列产品可实现在单一设备上执行多种功能。集成化的接入控制、应用监控以及蠕虫、病毒和恶意软件防范技术,使其可作为一部融合的威胁防御设备被用户部署在中心站点。此外,IP安全(IPSec)和安全套接层(SSL)VPN功能使该设备还可用于远程接入设备。Cisco ASA 5500还可用于内部网络中不同部门间的接入控制,以防止内部用户无意中将蠕虫、病毒和其他恶意代码带入网络。对于分公司或小企业的应用环境,ASA 5500可作为一部一体化的设备提供全面的威胁防御和VPN服务,并能够按需定制以满足用户对预算和运行模式的要求。
用户们在选择部署方案时,应该如何在多功能设备(如Cisco ASA 5500)以及其他的专用安全设备(如Cisco PIX®安全设备、Cisco IPS 4200系列传感器和Cisco VPN 3000系列集中器)之间做出取舍?本文从功能性、操作性和成本三个角度探讨了多功能安全设备相较于专用设备的优点。对于安全/VPN设备和Cisco路由器的部署比较分析不在本文论述范围之内,关于该方面的详细信息请参阅思科公司网站上的《Positioning Integrated Router Security and Dedicated Security Appliances(对于集成化路由器和专用安全设备的定位分析)》一文。
思科安全设备产品家族
思科公司为采用硬件式安全系统的用户提供了Cisco PIX安全设备、Cisco IPS 4200系列产品、Cisco VPN 3000系列集中器和Cisco ASA 5500系列安全设备。以上产品可为不同的部署环境和客户企业规模提供相应的解决方案,从小型办公场所到公司总部,从小公司到大型企业。Cisco PIX安全设备还可用于小型办公场所/家庭办公场所(SOHO)等应用环境。以下是对各个产品的功能和应用情况的简要介绍。
Cisco PIX安全设备
业界领先的Cisco PIX安全设备可提供健壮的应用感知型(application-aware)防火墙和VPN服务,包括用户和应用策略增强功能、多矢量攻击防御功能和安全的站对站通讯连接服务。它能提供高性价比且易于部署的解决方案。
Cisco IPS 4200系列传感器设备
Cisco IPS 4200系列传感器可保护网络内的数据和资源免受恶意攻击、蠕虫和病毒的侵袭。Cisco IPS可检测、分类和终止包括蠕虫、网络病毒、间谍软件/广告软件和应用滥用等安全威胁,为用户的网络提供有效保护。
Cisco VPN 3000系列集中器
Cisco VPN 3000系列集中器可提供性能非常好的的VPN远程接入解决方案,可同时支持SSL和IPSec VPN。它还提供了一个标准的VPN客户端和VPN通道终端设备,以及一个可方便企业用户安装、配置和监控远程接入的VPN网络的管理系统。
Cisco ASA 5500系列安全设备
Cisco ASA 5500系列融合了安全技术领域的最新成果,并集思科公司先进的防火墙、入侵防护、网络防病毒和VPN技术于一身。Cisco ASA 5500系列采用高速设计,并配备了一个统一的管理软件,它可为企业用户和SMB应用提供极大的服务吞吐量和简便的管理。
特性/功能比较分析
Cisco ASA 5500系列将Cisco PIX、IPS 4200和VPN 3000的优异性能与趋势科技(Trend Micro)的网络防病毒技术集成在单一设备和管理框架中。这些特性的融合使一些新功能成为可能,如为VPN远程接入提供对蠕虫/病毒/恶意软件的防护,在网络半径对蠕虫/病毒/恶意程序的缓解机制,以及内部的增强型应用检测和控制。因此,相对于思科公司的专用安全和VPN设备,Cisco ASA 5500是各种功能的超集,具有高度的集成化和协同能力。
从远程办公场所,到公司总部的非军事区(DMZ),再到内部网络,Cisco ASA 5500系列的威胁缓解机制都能提供有效的威胁防护。这就使对蠕虫/病毒/恶意软件的减灾防护和应用安全机制在远程站点和内部网络的部署成为可能,而这些区域在过去由于经济上和操作上的可行性等原因而一度被忽视。从这个角度说,Cisco ASA 5500系列提高了网络的整体安全性,并加强了网络级安全链。
从部署的集成性来看,Cisco ASA 5500系列可与所有现存的Cisco PIX、IPS 4200和VPN 3000设备完全兼容。如上所述,所有这些设备都应用了相同的经过市场验证的技术,所以ASA 5500系列和专用设备在特性上的差异并不明显。在部署ASA 5500时,安全人员完全可以复用他们在PIX、IPS 4200和VPN 3000等设备上的经验和知识。
表1简要列举了各个平台的功能和应用环境。
|
|
应用 |
附加的ASA服务 |
|
Cisco ASA 5500和Cisco PIX |
ASA定位于典型的PIX 515E和525应用环境 作为PIX 501、506E和535在SOHO和大型企业总部应用环境的补充 |
完备的IPS服务 蠕虫和恶意软件缓解机制 网络防病毒 增强的应用监测 VPN群集 模块化服务插槽 |
|
Cisco ASA 5500和IPS 4200 |
ASA针对融合防火墙和IPS 经优化的IPS 4200,针对IPS部署的特惠价格 |
完备的防火墙服务 完备的VPN服务 模块化服务插槽 |
|
Cisco ASA 5500和Cisco VPN 3000 |
针对IPSec远程接入和站对站VPN服务的ASA ASA可与现有VPN3000群集实现互操作 经优化的VPN3000,用于SSL VPN部署 |
3倍以上的吞吐量 VPN故障热备 站对站VPN的QOS和OSPF 具有对蠕虫/病毒/恶意程序的缓解机制 |
对安全架构和IT组织的分析
网络的规模、运行模式和分段情况会对安全和VPN平台的决策产生影响。在有些情况下,集多个安全和VPN功能于一身的一体化设备能够更好地满足要求,而在另一些情况下,具有专门功能的设备则更为合适。
从规模的角度来说,大型的企业网络由于流量和复杂度的要求往往采用专用功能的设备。基于单一功能设备而建立起来的安全和VPN基础设施具有非常好的的可扩展性,可简化软件升级和版本选择,并能支持更大的网络段和彻底的配置调整。从运行的角度来看,部署专用功能的设备也有助于划分各个IT技术部门之间的网络安全责任。
需要部署专门的安全和VPN设备的典型功能为:
•对专用远程接入VPN设备的部署
•用于安全策略和规则一致性检查的专用IPS设备的部署,或为满足IT组织责任划分的要求
•针对数据中心的高速部署,重点保护Web服务器群和应用服务器
•用于弹性的高速流量监测和接入控制的网络边缘防火墙
对于小型网络和企业组织,情况则恰恰相反。小型的企业和远程办公场所,以及小型的IT组织则倾向于在最少的设备中集成尽可能多的安全和VPN功能。更少的设备意味着更低的网络复杂度,而且IT人员也不必为操作建立在多个独立平台上的网络而掌握大量知识。本质上说,设备整合可为IT人员较少并且对安全要求较低的站点降低运作难度。
高度灵活的Cisco ASA 5500系列产品适用于专门功能和集成化功能的应用环境。它的VPN和安全功能可实现一机多用。集成化的访问控制、应用监控以及蠕虫、病毒和恶意软件缓解技术,使其可作为一部融合的威胁防御设备被用户部署在中心站点。此外,VPN功能还可使它作为一个传统的防火墙或专用的远程接入设备被部署在网络边缘。对于分公司或小企业的应用环境,ASA 5500可作为一部一体化的设备提供全面的威胁防御和VPN服务,并能够按需定制以满足用户对预算和运行模式的要求。
而对于纯粹的IPS部署,如在IPS提供安全策略检查和规则一致性数据的应用环境下,Cisco IPS 4200仍是非常好的选择。该监控设备为维持和确认网络状态提供了一种“制衡原则”,并为网络攻击、蠕虫、病毒和间谍软件/广告软件的防护分层。此外,企业经常为IPS和其他安全功能(如防火墙)设立专门的IT管理部门,而这些部门则更倾向于为自己所负责的功能服务选择专门的硬件设施。
对于SSL VPN的部署,Cisco VPN 3000系列集成器具有非常先进的功能,如用于终端安全的Cisco Secure Desktop、Clientless Citrix以及用于全网络和应用接入的SSL VPN通道。VPN 3000集中器是SSL VPN作为主要应用的环境下的首选平台。
对平台和运行成本的分析
平台成本
在大多数情况下,Cisco ASA 5500系列的部署成本等于或低于专用功能的Cisco PIX或VPN 3000产品的部署成本。然而,设备成本并不是选择融合的ASA 5500还是专用的Cisco PIX或VPN 3000设备的决定性因素。企业应该综合考虑产品特性、安全架构和组织运行模式等因素。
对于纯粹的IPS部署,Cisco IPS 4200系列相对于ASA 5500系列具有更高的性价比。ASA 5500通过其融合防火墙、IPS和网络防病毒功能可提供广泛的威胁缓解和应用安全服务,而IPS 4200系列针对IPS应用进行了优化。
对于SOHO或大型企业总部的防火墙和站对站VPN部署,Cisco PIX 501、PIX 506E和PIX 535安全设备仍为性价比高的平台。Cisco ASA 5500系列产品为小型站点的融合服务而专门优化。当SOHO用户只需要部分的威胁缓解功能或纯粹的VPN功能时,Cisco PIX 501和 PIX 506E不失为非常好的选择。Cisco PIX 535安全设备具有高达1.7 Gbps的防火墙吞吐量,是ASA 5500系列的有效补充。此外,Cisco ASA 5500和Cisco PIX功能完全兼容,并可在网络架构需要时一起部署。
运行成本
Cisco ASA 5500系列的一机多用能力使其在安全和VPN运行成本方面独具优势(见图1)。Cisco ASA 5500系列所提供的广泛服务,包括防火墙、IPS和网络防病毒,使该平台适用于具有多样化功能要求的应用环境。这些服务都来自于思科公司先进的且经过市场验证的安全和VPN设备,所以ASA 5500系列可以在不牺牲功能、可管理性和性能的情况下部署。此外,它还减少了需要部署和管理的平台数目,并为所有应用提供了一个统一的运行和管理环境,大大简化了系统配置、监控、故障检修和安全人员培训等工作。
图1:单一设备,多种用途
 |
Enterprise branch 企业分支机构
Site to site VPN….Worm protection 站对站VPN和蠕虫防范
Internal Firewalling…threat mitigation 内部防火墙和威胁防护
Enterprise HQ 企业总部
edge firewalling …Micro inspection 边缘防火墙和流量细化监控
Critical…protection 关键资源保护
Remote…Extranet 远程接入和企业外网
Small…business 小型和中型企业
Single…IPsec 单一安全设备解决方案:FW,IPS,AV,SSL和IPSec
SP…service SP管理服务
Multiple…Management 多服务产品和健壮的管理机制
Cisco ASA 5500系列单一标准化平台通常被部署于以下应用情况:
•用于网络边缘和/或DMZ区的融合接入控制,流量和应用监测,以及对蠕虫/病毒/恶意软件的威胁缓解
•用于内部网络的融合接入控制,流量和应用监测,以及对蠕虫/病毒/恶意软件的威胁缓解
•用于网络边缘和/或DMZ区的传统防火墙和应用监测
•用于内部网络的传统防火墙和应用监测
具有集成化流量和应用监测以及对蠕虫/病毒/恶意软件的威胁缓解机制的远程接入VPN
•传统的独立型远程接入VPN终端
•站对站VPN服务
•适用于任何地理位置的“一体化”接入控制,流量和应用监测,对蠕虫/病毒/恶意软件的威胁缓解,远程接入VPN和站对站VPN
结论
无论是功能融合型还是专用型的安全和VPN部署方式在当前的网络安全中都占有一席之地。究竟选择哪种方式取决于网络规模、网络架构、在网络中的部署位置和IT支持模式。Cisco ASA 5500系列由于具有服务面广、灵活度高的优点,同时适用于功能融合型和专用型的安全和VPN部署应用。
在同一网络中部署Cisco ASA 5500系列设备用于不同的应用环境并实现多重安全功能能够极大地简化网络结构,从而降低部署和运行成本。Cisco ASA 5500系列可在相应的应用场合作为Cisco PIX 515E和PIX 525安全设备的替代产品,并可代替Cisco VPN 3000系列集中器来提供IPSec VPN服务。此外,由于ASA 5500系列采用了Cisco PIX和VPN 3000系列的技术,它的功能/特性可与现存的Cisco PIX和VPN 3000部署完全兼容。对于独立的IPS和SSL VPN部署,Cisco IPS 4200系列和VPN 3000系列集中器由于其功能的针对性仍不失为非常好的选择。对于SOHO以及大型企业总部的传统型防火墙和站对站VPN的部署,Cisco PIX 501、PIX 506E和PIX 535仍是性价比高的平台,并且是多站点Cisco ASA 5500部署的有益补充。
