Cisco ASA 5500系列中的应用安全检测引擎

 Web浏览（HTTP）
 电子邮件（SMTP/eSMTP）
 企业IP电话（SIP、H.323、SCCP）
 运营商语音服务（MGCP、GTP）
 文件传输（FTP）
 隧道化应用（对等或即时消息传送）
 域名系统（DNS）
 其它

    除协议符合性外，检测引擎还能够控制应用内每个特性或功能的使用，从而扩展安全管理员的访问控制工具集。利用FTP检测引擎，管理员能够通过控制用户在文件服务器上执行的特殊命令来保护文件服务器，例如，允许用户检索文件但不允许删除文件或上传可疑内容。所有服务都通过简单但强大的Adaptive Security Device Manager（ASDM）GUI提供。Cisco ASDM 使用向导和直观界面快速部署强韧的应用安全策略（见图1）。

图1 Cisco ASDM 5.0版

    能够部署在生产网络环境中的检测引擎，必须满足当今网络对性能和网络服务的苛刻要求。Cisco ASA 5500 系列能够满足当今网络的高性能要求，提供450Mbps的并发保护服务。另外，通过集成多业务质量（QoS）机制，包括语音流量的专有低延迟队列，可以轻松地满足延迟敏感型语音流量的严格服务等级协议（SLA）。最后，安全基础设施的可用性由高级高可用性功能保证，包括主用/主用故障切换服务，即网络管理员可以充分利用冗余投资，允许故障切换对列中的两台设备检测正常网络运作时的应用流量。

    自适应识别与防御架构将Cisco ASA 5500系列中的多种应用安全检测引擎与网络服务集成在一起。自适应识别与防御架构采用了模块化服务处理和策略框架，能够对每股流量使用特殊安全或网络服务，利用顺畅的流量处理提供细粒度的策略控制和Anti-X保护。由于这种架构的效率高，而且能通过用户可安装安全服务模块（SSM）实现软件和硬件可扩展性，因此，各机构不但能发展现有服务和部署新服务，而且不需要更换平台，也不会降低性能。作为Cisco ASA 5500系列的架构基础，自适应识别与防御架构能够提供高度可定制的安全策略和非常好的服务可扩展性，有效抵御快速发展的各种威胁环境。

网络应用目前已经大幅提高了企业的生产率，而且还具有很大的潜力。为了发挥这些潜力，必须保护应用的可用性和完整性。Cisco ASA 5500 系列不但能提供新的安全保护，而且能够在不损害传统解决方案的前提下提供全面的应用保护。Cisco ASA 5500系列不仅提供全面的协议支持，深入的应用控制，以及与网络服务的紧密集成，还能集成在灵活的高性能自适应检测与防御架构中。这种灵活性能够保证Cisco ASA 5500系列不但能保护当今的网络，还能保护未来网络。