白皮書
融合型與專用型安全設(shè)備的部署比較
部署 Cisco ASA 5500 系列自適應(yīng)安全設(shè)備、Cisco PIX 安全設(shè)備、Cisco IPS 4200系列檢測(cè)器設(shè)備或Cisco VPN 3000系列集中器的最佳時(shí)機(jī)
思科系統(tǒng)公司 提供的可定制安全解決方案能夠滿足所有部署環(huán)境的要求。推出 Cisco ASA 5500 系列自適應(yīng)安全設(shè)備之后,思科能夠以物理設(shè)備的方式在同一個(gè)平臺(tái)上提供融合的多功能安全和VPN服務(wù)。借助融合型防火墻、入侵防御系統(tǒng)(IPS)和網(wǎng)絡(luò)Anti-X服務(wù),客戶可以使用Cisco ASA 5500系列部署各種威脅防御和安全服務(wù)。對(duì)于VPN服務(wù),Cisco ASA 5500系列能夠靈活地提供定制的解決方案,滿足SSL VPN和IPSec遠(yuǎn)程接入以及站點(diǎn)間連接要求。
由于Cisco ASA 5500系列自適應(yīng)安全設(shè)備能夠提供多種VPN和安全服務(wù),因而能夠一機(jī)多用。企業(yè)可以將其部署為單功能獨(dú)立設(shè)備,也可以作為組合解決方案,根據(jù)特殊部署環(huán)境定制Anti-X、IPS、防火墻和VPN應(yīng)用。在小企業(yè)和分支機(jī)構(gòu)環(huán)境中,Cisco ASA 5500系列商業(yè)版還可以作為“一體化”設(shè)備,提供全面的威脅防御和VPN服務(wù),并滿足這種部署的預(yù)算和運(yùn)營(yíng)要求。
與Cisco PIX?安全設(shè)備、Cisco IPS 4200系列檢測(cè)器和Cisco VPN 3000系列集中器等傳統(tǒng)的“專用型”安全設(shè)備不同,在使用Cisco ASA 5500等多功能設(shè)備時(shí),會(huì)出現(xiàn)哪些部署問(wèn)題?本文將討論部署不同于專用設(shè)備的多功能安全設(shè)備的功能、運(yùn)營(yíng)和成本。
思科安全設(shè)備產(chǎn)品系列
對(duì)于打算在安全部署中選用基于設(shè)備的安全功能的客戶,思科系統(tǒng)公司提供Cisco PIX安全設(shè)備、Cisco IPS 4200系列檢測(cè)器、Cisco VPN 3000系列集中器和Cisco ASA 5500系列自適應(yīng)安全設(shè)備。這些產(chǎn)品都能為部署環(huán)境各異和規(guī)模各不相同的客戶提供解決方案,部署環(huán)境可以從小型機(jī)構(gòu)到公司總部,企業(yè)規(guī)模則可以從小企業(yè)到大型跨國(guó)公司。Cisco PIX安全設(shè)備還可以部署在小型機(jī)構(gòu)/家庭辦公室(SOHO)環(huán)境中。在下面的段落中,我們將簡(jiǎn)要介紹每種平臺(tái)的特性和部署情況。
Cisco PIX 安全設(shè)備
市場(chǎng)領(lǐng)先的Cisco PIX安全設(shè)備能夠在經(jīng)濟(jì)有效、易于部署的解決方案中提供強(qiáng)大的應(yīng)用感知型防火墻和VPN服務(wù),包括用戶和應(yīng)用策略實(shí)施、多廠商攻擊防御以及安全的站點(diǎn)間連接服務(wù)等。
Cisco IPS 4200系列檢測(cè)器
Cisco IPS 4200 檢測(cè)器能夠防止網(wǎng)絡(luò)遭受惡意代碼、蠕蟲和病毒的攻擊,在它們對(duì)數(shù)據(jù)造成影響之前就終止它們的運(yùn)行。由于這些檢測(cè)器能夠?qū)Ω鞣N威脅進(jìn)行檢測(cè)、分類和阻擋,其中包括蠕蟲、間諜件和惡意軟件、網(wǎng)絡(luò)病毒和應(yīng)用濫用等,因而能加強(qiáng)對(duì)網(wǎng)絡(luò)的保護(hù)。
Cisco VPN 3000 系列集中器
Cisco VPN 3000 系列集中器能夠在遠(yuǎn)程接入VPN解決方案中同時(shí)提供SSL和IPSec VPN連接。其中不但包含基于標(biāo)準(zhǔn)、易于使用的VPN客戶端和可以擴(kuò)展的VPN隧道網(wǎng)關(guān)終結(jié)設(shè)備,還包含使各公司能夠方便地安裝、配置和監(jiān)控其遠(yuǎn)程接入VPN的管理系統(tǒng)。
Cisco ASA 5500 系列安全設(shè)備
Cisco ASA 5500系列能夠?qū)踩夹g(shù)的最新發(fā)展與思科切實(shí)可用的防火墻,入侵防御,防病毒、防垃圾郵件、防泄密和防間諜軟件(“Anti-X”)、URL過(guò)濾以及VPN服務(wù)相融合。Cisco ASA 5500系列增加了一個(gè)統(tǒng)一管理包,并提高了速度,由于簡(jiǎn)化了大型企業(yè)和中小型企業(yè)(SMB)應(yīng)用的管理,因而提高了并行服務(wù)吞吐量。
特性/功能比較
Cisco ASA 5500系列將Cisco PIX、 IPS 4200和VPN 3000平臺(tái)經(jīng)過(guò)市場(chǎng)驗(yàn)證的特性集與Trend Micro開(kāi)發(fā)的網(wǎng)絡(luò)Anti-X功能集成在同一個(gè)設(shè)備和管理框架中。這些特性融合之后產(chǎn)生了新功能,例如為遠(yuǎn)程接入VPN連接提供蠕蟲、病毒和惡意軟件防御,在網(wǎng)絡(luò)周邊有效預(yù)防各種蠕蟲、病毒和惡意軟件,以及實(shí)施內(nèi)部和增強(qiáng)應(yīng)用檢測(cè)和控制等。因此,與思科推出的專用安全和VPN設(shè)備相比,Cisco ASA 5500系列能夠提供很多來(lái)自于高度融合、相互補(bǔ)充的服務(wù)的擴(kuò)展功能。
Cisco ASA 5500 系列設(shè)備提供的廣泛的威脅防御功能還能加強(qiáng)網(wǎng)絡(luò)防御,無(wú)論威脅來(lái)自遠(yuǎn)程機(jī)構(gòu)、總部DMZ還是網(wǎng)絡(luò)內(nèi)部,都能有效保護(hù)網(wǎng)絡(luò)不受侵害。在經(jīng)常被忽略的網(wǎng)絡(luò)部分區(qū)域,例如經(jīng)濟(jì)上或運(yùn)營(yíng)上不適合部署高級(jí)安全功能的遠(yuǎn)程站點(diǎn)和網(wǎng)絡(luò)內(nèi)部,可以利用這種方式消除蠕蟲、病毒和惡意軟件,提高應(yīng)用安全性。從這個(gè)角度看,Cisco ASA 5500系列能夠提高整個(gè)網(wǎng)絡(luò)的安全性,進(jìn)而增強(qiáng)網(wǎng)絡(luò)安全鏈的強(qiáng)度。
從現(xiàn)有部署集成的角度看,Cisco ASA 5500系列與原先安裝的所有Cisco PIX、IPS 4200和 VPN 3000完全兼容。由于這些設(shè)備都是利用經(jīng)過(guò)市場(chǎng)驗(yàn)證的相同技術(shù)開(kāi)發(fā)的,因此,Cisco ASA 5500系列與專用設(shè)備之間不存在特性差別。不僅如此,部署Cisco ASA 5500系列時(shí),安全人員還可以利用與Cisco PIX、IPX 4200和VPN 3000設(shè)備相同的培訓(xùn)內(nèi)容和知識(shí)。
每種平臺(tái)的應(yīng)用環(huán)境和功能如表1所示。
- 表1 ?功能比較
|
|
應(yīng)用 |
其它ASA服務(wù) |
|
Cisco ASA 5500 和 Cisco PIX |
ASA 面向典型的PIX 515E和525環(huán)境 |
全部IPS服務(wù) |
|
Cisco ASA 5500 和Cisco IPS 4200 |
ASA 面向融合型防火墻和IPS |
全部防火墻服務(wù) |
|
Cisco ASA 5500 和 Cisco VPN 3000 |
ASA面向所有站點(diǎn)的遠(yuǎn)程接入和站點(diǎn)間VPN服務(wù) |
吞吐量提高三倍 |
安全架構(gòu)和IT組織問(wèn)題
網(wǎng)絡(luò)的大小、運(yùn)營(yíng)模式和分段情況影響著安全和VPN平臺(tái)決策。在某些情況下,將多種安全和VPN功能整合在一臺(tái)設(shè)備中能夠更好地滿足企業(yè)的要求。但在其它情況下,用專用設(shè)備提供專用功能更為適合。
從規(guī)模的角度看,大企業(yè)網(wǎng)絡(luò)的流量大、復(fù)雜度高,因而需要部署功能更專用的設(shè)備。以只提供某幾種甚至某一種功能的設(shè)備為基礎(chǔ)建立起來(lái)的安全和VPN基礎(chǔ)設(shè)施不但可擴(kuò)展性好,易于選擇軟件版本和升級(jí)周期,還能進(jìn)行全面配置調(diào)試,增加網(wǎng)絡(luò)分段。從運(yùn)營(yíng)角度看,部署專用功能設(shè)備還有助于在不同的IT部門之間分配網(wǎng)絡(luò)安全責(zé)任。
需要專用安全和VPN設(shè)備的功能分段的典型實(shí)例如下:
部署專用的遠(yuǎn)程接入VPN設(shè)備
部署專用IPS設(shè)備,執(zhí)行安全策略審查和法規(guī)符合性檢查,或者指定IT部門的責(zé)任
旨在保護(hù)Web服務(wù)器集群和應(yīng)用服務(wù)器的數(shù)據(jù)中心專用高速部署
支持永續(xù)的高速流量檢查和訪問(wèn)控制的網(wǎng)絡(luò)邊緣防火墻
在較小的網(wǎng)絡(luò)和機(jī)構(gòu)中,趨勢(shì)朝相反方向發(fā)展。對(duì)于越小的網(wǎng)絡(luò),例如小企業(yè)和遠(yuǎn)程機(jī)構(gòu),IT部門也越小,其發(fā)展方向是盡可能將多種安全和VPN功能集中在少數(shù)設(shè)備中。減少設(shè)備數(shù)量不但能降低網(wǎng)絡(luò)的復(fù)雜性,還能減少網(wǎng)絡(luò)操作需要的平臺(tái)數(shù),從而降低對(duì)IT人員的技能要求。事實(shí)上,在IT人員較少,而且通常不具有太高安全技能的小企業(yè)中,設(shè)備集中通常能簡(jiǎn)化站點(diǎn)的運(yùn)營(yíng)。
Cisco ASA 5500 系列高度靈活,因而既適合提供專用型功能,又適合提供融合型功能。由于它提供多種VPN和安全服務(wù),因而可以做到一機(jī)多用。客戶可以利用防火墻版把它作為傳統(tǒng)防火墻部署在網(wǎng)絡(luò)邊緣,或者利用VPN版把它部署為專用遠(yuǎn)程接入SSL和IPSec VPN設(shè)備,也可以利用IPS版令其提供服務(wù)器和其它關(guān)鍵資源保護(hù),或者利用Anti-X版把它作為融合型威脅防御設(shè)備部署在小站點(diǎn)中,充分發(fā)揮訪問(wèn)控制,應(yīng)用檢測(cè)以及防蠕蟲、防病毒、防間諜軟件和防攻擊技術(shù)的聯(lián)合防御優(yōu)勢(shì)。在小企業(yè)和分支機(jī)構(gòu)環(huán)境中,還可以利用商業(yè)版把它部署為“一體化”設(shè)備,提供符合預(yù)算和運(yùn)營(yíng)要求的全面威脅預(yù)防和VPN服務(wù)。
在純IPS部署,例如由IPS提供安全策略審查和法規(guī)符合性數(shù)據(jù)的網(wǎng)絡(luò)中,Cisco IPS 4200系列堪稱首選平臺(tái)。這種審查基礎(chǔ)設(shè)施不但能有效保護(hù)網(wǎng)絡(luò)安全,還能在策略實(shí)施設(shè)備之上實(shí)施多級(jí)攻擊、蠕蟲、病毒、間諜軟件和廣告件防御。不僅如此,各機(jī)構(gòu)還可以讓獨(dú)立的IT管理部門管理IPS及其它安全功能(例如防火墻)。由此看來(lái),管理IPS基礎(chǔ)設(shè)施的機(jī)構(gòu)通常更愿意使用專用設(shè)備。
平臺(tái)和運(yùn)營(yíng)成本問(wèn)題
平臺(tái)成本
在多數(shù)情況下,提供融合功能的Cisco ASA 5500系列的成本不高于類似的Cisco PIX或VPN 3000專用產(chǎn)品。因此,設(shè)備的成本不能作為決定融合型ASA 5500和專用型Cisco PIX或VPN 3000設(shè)備孰優(yōu)孰劣的因素。如前所述,企業(yè)應(yīng)該將產(chǎn)品特性、安全架構(gòu)和組織運(yùn)營(yíng)模式作為決策的基礎(chǔ)。
對(duì)于純IPS部署,Cisco IPS 4200系列能夠提供優(yōu)于Cisco ASA 5500的性價(jià)比。Cisco ASA 5500系列提供融合型防火墻、IPS和網(wǎng)絡(luò)防病毒功能,能夠消除多種威脅,保護(hù)應(yīng)用安全。IPS 4200系列則適合面向IPS的環(huán)境。
對(duì)于SOHO或者大公司總部的防火墻和站點(diǎn)間VPN部署,Cisco PIX 501、PIX 506E和PIX 535安全設(shè)備是最經(jīng)濟(jì)有效的平臺(tái)。Cisco ASA 5500系列適合為小站點(diǎn)中的融合服務(wù)應(yīng)用提供保護(hù)。如果只需要某些威脅防御功能或純VPN功能,Cisco PIX 501和PIX 506E設(shè)備是SOHO的首選。在高端,Cisco PIX 535安全設(shè)備能夠以1.7Gbps的速度提供極高的性能,在價(jià)格和性能方面都是Cisco ASA 5500的有效補(bǔ)充。如前所述,Cisco ASA 5500和Cisco PIX產(chǎn)品在功能方面完全兼容,可以根據(jù)網(wǎng)絡(luò)架構(gòu)的需要一起部署。
運(yùn)營(yíng)成本
Cisco ASA 5500系列具有“一機(jī)多用”功能,因而具有獨(dú)特的安全和VPN運(yùn)營(yíng)成本優(yōu)勢(shì)(見(jiàn)圖1)。由于Cisco ASA 5500系列能夠提供多種服務(wù),因而能夠部署到功能要求各不相同的多種環(huán)境中。因?yàn)檫@些服務(wù)都來(lái)自思科經(jīng)過(guò)市場(chǎng)驗(yàn)證的安全和VPN設(shè)備,所以ASA 5500系列在部署時(shí)不會(huì)降低特性、性能和可管理性。這種方法不但能減少必須部署和管理的平臺(tái)數(shù),還能為所有部署提供統(tǒng)一的運(yùn)營(yíng)和管理環(huán)境,簡(jiǎn)化配置、監(jiān)控、故障排除和安全培訓(xùn)。
- 圖1 一機(jī)多用
![]("http://www.netadmin.com.cn/special/cisco/images/untitled7_clip_image002.jpg")
無(wú)線局域網(wǎng) 數(shù)據(jù)中心 ASA 5500Anti-X版 帶本地互聯(lián)網(wǎng)接入的遠(yuǎn)程站點(diǎn)
ASA 5500 IPS版 ASA 5500 IPS版
內(nèi)部網(wǎng)段 DMZ:向內(nèi)公共互聯(lián)網(wǎng)服務(wù)
公司LAN
ASA 5500 VPN版 ASA 5500防火墻版 外部網(wǎng):商業(yè)合作伙伴訪問(wèn)
遠(yuǎn)程接入用戶 向外用戶互聯(lián)網(wǎng)接入
防火墻版
基于Cisco PIX? Firewall,具有豐富的應(yīng)用保護(hù)功能,可提供強(qiáng)大的訪問(wèn)和策略實(shí)施功能。
IPS版
提供入侵防御、蠕蟲防御和防火墻服務(wù),防止服務(wù)器和關(guān)鍵資源遭受黑客和網(wǎng)絡(luò)蠕蟲攻擊。
Anti-X版 新增!
防止用戶受到互聯(lián)網(wǎng)威脅,安全地將遠(yuǎn)程站點(diǎn)與Anti-X、防火墻和VPN服務(wù)相連。
VPN版 新增!
提供帶統(tǒng)一威脅管理的統(tǒng)一SSL和IPSec遠(yuǎn)程接入服務(wù)
由Cisco ASA 5500系列提供統(tǒng)一標(biāo)準(zhǔn)平臺(tái)的常見(jiàn)部署包括:
Cisco ASA 5500 系列Anti-X 版——將訪問(wèn)控制、流量和應(yīng)用檢測(cè)與防蠕蟲、防病毒、防間諜軟件和防泄密功能相融合。
Cisco ASA 5500 系列 IPS版——將訪問(wèn)控制、流量和應(yīng)用檢測(cè)與防蠕蟲、防病毒和防惡意軟件功能相融合,防止網(wǎng)絡(luò)的內(nèi)部關(guān)鍵資源(服務(wù)器、數(shù)據(jù)庫(kù)等)遭受攻擊。
Cisco ASA 5500 系列 防火墻版——對(duì)網(wǎng)絡(luò)內(nèi)部、網(wǎng)絡(luò)邊緣和/或DMZ實(shí)施傳統(tǒng)的防火墻和應(yīng)用檢查功能。
Cisco ASA 5500 系列VPN 版——傳統(tǒng)的SSL和IPSec遠(yuǎn)程接入和站點(diǎn)間VPN,提供可選的“威脅防御VPN”服務(wù),包括融合的流量和應(yīng)用檢測(cè),以及蠕蟲、病毒和惡意軟件防御。
Cisco ASA 5500系列商業(yè)版——“一體化”訪問(wèn)控制,流量和應(yīng)用檢測(cè),蠕蟲、病毒和惡意軟件防御,遠(yuǎn)程訪問(wèn)VPN,針對(duì)小企業(yè)和分支機(jī)構(gòu)的站點(diǎn)間VPN。
結(jié)論
融合型和專用型安全和VPN部署都可起到保護(hù)當(dāng)今網(wǎng)絡(luò)的作用。決策時(shí),應(yīng)主要考慮網(wǎng)絡(luò)的規(guī)模、網(wǎng)絡(luò)的架構(gòu)、在網(wǎng)絡(luò)中的位置以及IT支持方式。Cisco ASA 5500系列高度靈活,可以同時(shí)滿足融合型和專用型安全和VPN部署的要求。
在網(wǎng)絡(luò)中統(tǒng)一由Cisco ASA 5500系列支持多種部署環(huán)境和提供各種安全功能,能夠簡(jiǎn)化網(wǎng)絡(luò)架構(gòu),從而降低部署和運(yùn)營(yíng)成本。Cisco ASA 5500系列非常適合取代Cisco PIX 515E和PIX 525安全設(shè)備,以及由Cisco VPN 3000系列集中器提供的SSL和IPSec VPN服務(wù)。由于Cisco ASA 5500系列采用了Cisco PIX和VPN 3000系列的技術(shù),因此,它提供的所有特性/功能都能與現(xiàn)有的Cisco PIX和VPN 3000部署兼容。而對(duì)于獨(dú)立式IPS部署,Cisco IPS 4200系列仍然是首選平臺(tái)。對(duì)于SOHO和大型總部的傳統(tǒng)防火墻和站點(diǎn)間VPN部署,Cisco PIX 501、 PIX 506E和 PIX 535 安全設(shè)備不但是最經(jīng)濟(jì)有效的平臺(tái),也可對(duì)多站點(diǎn) Cisco ASA 5500 系列進(jìn)行有效補(bǔ)充。
北京
北京市東城區(qū)東長(zhǎng)安街1號(hào)東方廣場(chǎng)東方經(jīng)貿(mào)城東一辦公樓19-21層
郵政編碼:100738
電話:(8610) 85155000
傳真:(8610) 85181881
上海市淮海中路222號(hào)力寶廣場(chǎng)32-33層
郵政編碼:200021
電話:(8621) 23024000
傳真:(8621) 23024450
廣州
廣州市天河區(qū)林和西路161號(hào)中泰國(guó)際廣場(chǎng)A塔34層
郵政編碼:510620
電話:(8620) 85193000
傳真:(8620) 85193008
成都
成都市順城大街308號(hào)冠城廣場(chǎng)23層
郵政編碼:610017
電話:(8628) 86961000
傳真:(8628) 86528999
翻譯日期:2006年2月20日
