常見問題問答
Cisco ASA 5500系列內容安全和控制安全服務模塊
一般性問題
- 問:什么是Cisco ASA 5500 系列內容安全和控制安全服務模塊(CSC-SSM)?
- 答:Cisco ASA 5500 系列 CSC-SSM是 Cisco ASA-5500 系列設備的附加服務模塊,該產品系列能夠在互聯網邊緣提供業界領先的威脅防御和內容控制功能,包括完整的防病毒、防間諜軟件、文件阻擋、防垃圾郵件、防泄密(釣魚)、URL阻擋和過濾以及內容過濾等服務。
- 問:Cisco ASA 5500 系列 CSC-SSM有哪些優點?
- 答:以前,如果想充分利用思科提供的市場領先的防火墻和VPN服務以及Trend Micro提供的業界領先的網關防病毒和內容安全解決方案,客戶必須分別從思科和Trend Micro購買相關的產品。Cisco CSC-SSM與Cisco ASA 5500系列專用設備結合,可把這些市場領先的產品整合成一個完整、統一的威脅防御解決方案,形成一個易于部署和管理的產品套件。
- 問:Cisco ASA 5500 系列 CSC-SSM具有哪些主要特點?
- 答:Cisco ASA 5500 系列 CSC -SSM 能夠提供以下功能:
全面惡意軟件保護——包含Trend Micro開發的屢獲大獎的防病毒和防間諜軟件技術。CSC-SSM幾乎可以防止所有已知惡意代碼進入網絡和在網絡中傳播,因而能避免關鍵業務應用和服務遭到破壞,保證關鍵系統和員工能夠正常工作,并減少成本高昂的感染后的清除工作。
高級內容過濾——將URL過濾、內容過濾和防泄露技術集成在一起,防止企業和員工盜竊保密信息,并減少因內容違反了網絡使用規定而需要承擔的法律責任。該模塊可以幫助企業遵守網絡內容規范,例如醫療保險便攜與責任法案(HIPAA)、Sarbanes-Oxley(SOX)和數據保護法案。
集成消息安全——集成了防垃圾郵件技術,可以在垃圾電子郵件進入郵件服務器之前就刪除掉其中的絕大部分,不但能提高員工的生產率,還能防止浪費寶貴的網絡帶寬和存儲資源。
定制和調試功能——使管理員能夠對垃圾郵件和內容功能實施定制控制,以滿足特殊公司策略或網絡環境的要求。
易于管理和自動更新功能——為簡化初始配置、部署和持續運行,該產品提供智能缺省設置以及與自適應安全設備管理器(ASDM)集成在一起的直觀界面。由于所有CSC-SSM組件都能自動更新,包括掃描引擎和模式匹配文件,因此,只需少量管理投入就能使網絡免受最新威脅的入侵。 - 問:該產品共包含幾個型號?
- 答:共有兩個型號——CSC-SSM-10和 CSC-SSM-20。這兩個型號都可以與 Cisco ASA 5510和 5520 配合使用。CSC-SSM-10 適合支持用戶人數不超過500人的機構,CSC-SSM-20則適合支持用戶人數低于1000人的機構。Cisco ASA 5540平臺可以支持這兩種CSC模塊,但由于該平臺具有1000人的用戶容量,因而這種組合不是最佳配置。
- 問: Cisco ASA 5500系列 CSC-SSM包含哪些特性和服務?
- 答: Cisco ASA 5500 系列CSC-SSM提供的缺省特性集包含防病毒、防間諜軟件和文件阻擋服務。如果購買了另行收費的Plus許可證,還將提供很多其它功能,包括防垃圾郵件、防泄密、URL阻擋/過濾和內容控制服務。這些可選特性許可證將對每個CSC-SSM額外收費。另外,各機構還可以通過另行購買和安裝用戶許可證的方法擴大用戶支持量。缺省情況下,CSC-SSM-10和CSC-SSM-20型號分別支持50名和500名用戶。需要增加用戶時,可以選用數目不同的許可證,CSC-SSM-10可選用100人、250人和500人的許可證,CSC-SSM-20可以選用750人和1,000人的許可證。表1列出了CSC-SSM的標準和可選許可證。
表1 標準特性和可選特性
|
CSC-SSM 硬件 |
標準許可證 |
可選許可證 | |
|
用戶升級(總用戶數) |
特性升級 | ||
|
CSC-SSM-10 |
50 名用戶 |
100名用戶 |
Plus許可證——增加了防垃圾郵件、防泄密、URL阻擋/過濾和內容控制 |
|
CSC-SSM-20 |
500名用戶 |
750名用戶 |
Plus 許可證——增加了防垃圾郵件、防泄密、URL阻擋/過濾和內容控制 |
- 問:Cisco ASA 5500 系列CSC-SSM一般部署在什么地方?
- 答: Cisco ASA 5500 系列 CSC-SSM 和設備一般部署在各機構或外部網絡之間的邊界,例如互聯網連接點。將這些設備部署在互聯網邊緣之后,CSC-SSM將位于用戶與互聯網之間,這樣,管理員就可以選擇哪些流量應該經過CSC-SSM掃描。
- 問:“用戶”的概念是什么?
- 答:為確定用戶數目,只有在24小時內擁有一個唯一的IP地址的接口才算作一個用戶,但安全等級最低的接口不算。通俗地說,用戶指的是非“外部”接口(由接口的安全等級確定)上可以看到的IP地址。
- 問:Cisco ASA 5500 系列 CSC-SSM 提供哪種防病毒保護?
- 答:Cisco ASA 5500 系列 CSC-SSM 提供基于文件的防病毒保護,可以預防病毒、特洛伊木馬、惡意代碼、宏病毒及其它惡意軟件。CSC-SSM將作為透明代理,對通過ASA 5500設備的文件和分組進行檢查,因而能夠在惡意內容對目標系統構成危害之前就成功截獲它們。在這種運行模式下,CSC-SSM還能向用戶通報可疑文件或內容的刪除情況,以及采取這些措施的過程和原因。
- 問:防病毒技術是否能掃描壓縮文件?
- 答:是的,它能夠在多個層次上對壓縮文件進行掃描,過程是先對文件進行解壓縮,掃描內容,然后再壓縮文件。
- 問:防病毒簽名表多長時間更新一次?
- 答:Trend Micro TrendLabsSM 每個星期為Cisco ASA 5500 系列 CSC-SSM發布一或多次常規模式更新,而緊急更新則提供得更為頻繁,以防止新出現的威脅在客戶中傳播。
- 問:Cisco ASA 5500系列CSC-SSM是否獲得了ICSA或其它證書?
- 答:是的,Cisco ASA 5500 系列CSC-SSM基于Trend Micro開發的屢獲大獎的互聯網網關技術,已經獲得了很多行業證書,包括ICSA的網關防病毒證書、西海岸實驗室為防間諜軟件頒發的Checkmark證書以及Veritest的防垃圾郵件證書。CSC-SSM目前正在接受ICSA的評估。
- 問:Cisco ASA 5500 系列 CSC-SSM是如何進行管理的?
- 答:對于大多數部署,Cisco ASA 5500 系列CSC-SSM 都配有相應的缺省設置。設置、管理和監控都可以通過Cisco ASDM進行,ASDM提供的設置向導能夠激活CSC-SSM和安全策略規則表,以便管理員確定需要CSC-SSM掃描的相關流量。
- 問:如何管理多個Cisco ASA 5500 系列 CSC-SSM?
- 答:多個CSC-SSM設備可以利用即將出臺的Trend Micro Control Manager (TMCM)新版本進行集中管理。該軟件由Trend Micro免費提供。 TMCM可以集中管理多個CSC-SSM模塊以及機構內的其它Trend Micro產品。對于混合部署了多種CSC-SSM和Trend Micro產品的大型機構,這種方法能夠為所有防病毒及其它相關功能和技術提供“一站式”管理。
- 問:Cisco ASA 5500 系列 CSC-SSM能夠阻擋哪種攻擊?
- 答: Cisco ASA 5500 系列 CSC-SSM 使用HTTP、FTP、SMTP和 POP3 產品檢測和防止非法內容和惡意軟件進入網絡,這其中包括基于文件的病毒、間諜軟件、目錄收獲攻擊、垃圾郵件和竊密。由于它能夠防止惡意軟件到達桌面或服務器系統,因而能夠將攻擊扼殺在搖籃里。
- 問:Cisco ASA 5500 系列 CSC-SSM能阻擋互聯網蠕蟲嗎?
- 答:不能。如果想利用Cisco ASA 5500 系列抵御互聯網蠕蟲的攻擊,客戶需要購買能夠保護服務器等關鍵資源的高級檢測和防御安全服務模塊(AIP-SSM),以及能夠快速防御新興蠕蟲攻擊的可選思科事故控制服務器(ICS)產品。
- 問:Cisco ASA 5500 系列 CSC-SSM 是怎樣及時發現新漏洞的?
- 答:Cisco ASA 5500 系列 CSC-SSM的背后有Trend Micro的TrendLabs的支持,這個世界上最大的安全部門之一由業界的防病毒、防間諜軟件和防垃圾郵件專家組成,能夠一天24小時保證該模塊能夠提供最新保護。威脅更新軟件將定期自動部署到CSC-SSM 。
- 問:Cisco ASA 5500 系列 CSC-SSM 是否誤擋過合法流量?
- 答:如果配置得當,Cisco ASA 5500 系列 CSC-SSM誤擋合法互聯網流量的概率極低。思科為用戶提供詳細的配置選項,使用戶能夠根據具體的環境要求設置模塊。
- 問:如果模塊因故出現故障,應該怎么辦?
- 答:可以將Cisco ASA 5500 系列設備配置為,在 CSC-SSM發生故障時一律拒絕流量,或者允許未經檢測的流量通過。另外,Cisco ASA 還支持CSC-SSM故障切換功能。如果設備屬于故障切換組的成員之一,CSC-SSM故障將觸發故障切換程序,切換到備用組件,故障切換時通過CSC-SSM建立和激活的流將重新建立。
支持和其它
- 問:技術支持、更新和返回是如何進行的?
- 答:技術支持由思科技術支持中心(TAC)或授權思科合作伙伴提供。Trend Micro通過思科TAC對CSC-SSM上的應用軟件問題提供支持。模式文件和掃描引擎更新由Trend Micro的更新服務器以透明的方式直接提供。返回由出售模塊的公司處理,與所有其它思科產品的處理流程相同。
- 問:怎樣購買Cisco ASA 5500 系列 CSC-SSM?
- 答:如果想下訂單,可以訪問思科訂購主頁,或者與思科授權經銷商或思科銷售助理聯系。
- 問:怎樣購買支持? Cisco ASA 5500 系列 CSC-SSM提供哪些支持選項?
- 答:支持計劃包括硬件支持、軟件支持和內容使用組件。為Cisco ASA 5500 系列 CSC-SSM提供的服務和支持合同如表2所示。購買該模塊時,購買價格中已經包含了第一年的Trend Micro使用更新服務費。第一年過后,客戶可以直接通過Trend Micro續訂軟件和使用合同,年費從許可證注冊一年之后起算。思科提供的SMARTnet? 維護計劃包含CSC-SSM的技術支持和硬件維護,但需另付年費。如果想增強對 Cisco ASA 5500 系列 CSC-SSM解決方案的保護并提高性能,不但需要Trend Micro軟件和使用更新服務,還需要思科SMARTnet 服務。
- 表2 思科提供的各種支持服務
|
支持服務 |
思科SMARTnet (SNT) 服務 |
Trend Micro 更新服務 |
|
Cisco ASA 5500 系列設備支持 | ||
|
Cisco.com注冊訪問 |
內含 |
— |
|
24x7x365 TAC技術支持 |
內含 |
— |
|
操作系統軟件版本(維護、主要、次要) |
內含 |
— |
|
硬件更換選項 |
內含 |
— |
|
Cisco ASA 5500 系列 CSC-SSM 支持 | ||
|
Cisco.com注冊訪問 |
內含 |
— |
|
24 x 7 x 365 TAC 技術支持 |
內含 |
— |
|
操作系統軟件版本(維護、主要、次要) |
內含 |
— |
|
模式文件、掃描引擎和簽名更新 |
— |
內含 |
|
硬件更換選項 |
內含 |
— |
- 問:是否需要同時購買思科SMARTnet 和Trend Micro更新服務?
- 答:如果想使Cisco ASA 5500 系列 CSC-SSM得到最佳保護,并表現出最佳性能,最好同時購買這兩種服務。第一年的Trend Micro軟件和使用更新服務已經包含在產品的購買價格之中。
- 問:如果發現了Cisco ASA 5500 系列 CSC-SSM未發現的惡意軟件(或可疑惡意軟件),應怎樣提交可疑數據?是否有跟蹤提交和答復過程的跟蹤機制(沿TAC案件流程)?
- 答:如果想提交可疑惡意軟件,可以進入以下URL: http://subwiz.trendmicro.com/SubWiz/Default.asp。系統將用電子郵件向您通報提交狀態。
- 問: Cisco ASA 5500 系列 CSC-SSM是否能夠代替桌面/筆記本防病毒保護或思科安全代理?
- 答:不能。Cisco ASA 5500 系列 CSC-SSM是多層安全戰略的重要組成部分,包括入侵防御和桌面安全功能。桌面和筆記本安全產品,例如OfficeScan 和思科安全代理 ,都能夠增加保護層,防止各種病毒通過可拆除介質(例如閃存和光盤驅動器)或者在計算機置于企業網以外的非安全環境時侵入計算機。另外,OfficeScan和思科安全代理還支持思科的網絡準入控制(NAC)計劃,以防止病毒從端點進入網絡。
- 問:是否可以利用以前購買的Cisco ASA 5500 系列 AIP-SSM卡運行CSC軟件應用?
- 答:不能。SSM硬件是不可更換的,思科不支持這種轉換。SSM硬件不能同時運行AIP和CSC應用。感興趣的客戶可以與經銷商或銷售代表聯系,看有沒有可行的折衷方案。
- 問:在使用CSC-SSM功能時,能否使用 Cisco ASA 系列
- 設備的其它功能,例如防火墻和VPN?
- 答:可以。Cisco ASA 5500 系列 CSC-SSM是Cisco ASA平臺的集成式服務成員。所有其它功能都可以與CSC-SSM一同使用,而且這樣能夠增強保護和控制能力,更好地保護通信安全。
- 問:客戶的用戶許可證應怎樣升級?
- 答:客戶可以購買相應的用戶升級許可證(例如從50人到100人),并訪問: www.cisco.com/go/license。用戶可以按照提示輸入合同信息、PAK號碼(履行訂單時獲取)和SSM的序列號。CSC-SSM上的軟件將在下次更新時獲得Trend Micro服務器的更新通知,并自動、透明地開始支持增加的新用戶。
- 問:Cisco ASA 5500 系列 CSC-SSM與 Websense提供的功能有什么不同?
- 答:盡管CSC-SSM與 Websense URL 和內容過濾產品之間存在著某種相似性,但SC-SSM 解決方案更適合中小企業(SME)使用。根據IDC的調查,Websense是企業市場上Web過濾和安全設備的全球領先廠商,市場份額接近30%。作為“一體化”內容安全解決方案的一部分,CSC-SSM URL 過濾解決方案能夠為SME客戶提供基本的策略管理和內容過濾功能。Websense 提供的獨立式解決方案能夠為企業客戶提供更強大、更先進的Web過濾和安全功能。在將Websense的Web過濾和安全解決方案與所有Cisco ASA 5500系列設備無縫集成方面,Websense與思科之間保持著密切的合作關系。無縫集成利用了專為高性能和完整特性支持合作開發的專用接口。 Websense產品提供的強大、成熟的Web 過濾和安全解決方案可以作為Cisco ASA設備和CSC-SSM解決方案的有效補充。
北京
北京市東城區東長安街1號東方廣場東方經貿城東一辦公樓19-21層
郵政編碼:100738
電話:(8610) 85155000
傳真:(8610) 85181881
上海市淮海中路222號力寶廣場32-33層
郵政編碼:200021
電話:(8621) 23024000
傳真:(8621) 23024450
廣州
廣州市天河區林和西路161號中泰國際廣場A塔34層
郵政編碼:510620
電話:(8620) 85193000
傳真:(8620) 85193008
成都
成都市順城大街308號冠城廣場23層
郵政編碼:610017
電話:(8628) 86961000
傳真:(8628) 86528999
翻譯日期:2006年2月22日
