白皮書
融合型與專用型安全設備的部署比較
部署 Cisco ASA 5500 系列自適應安全設備、Cisco PIX 安全設備、Cisco IPS 4200系列檢測器設備或Cisco VPN 3000系列集中器的最佳時機
思科系統公司 提供的可定制安全解決方案能夠滿足所有部署環境的要求。推出 Cisco ASA 5500 系列自適應安全設備之后,思科能夠以物理設備的方式在同一個平臺上提供融合的多功能安全和VPN服務。借助融合型防火墻、入侵防御系統(IPS)和網絡Anti-X服務,客戶可以使用Cisco ASA 5500系列部署各種威脅防御和安全服務。對于VPN服務,Cisco ASA 5500系列能夠靈活地提供定制的解決方案,滿足SSL VPN和IPSec遠程接入以及站點間連接要求。
由于Cisco ASA 5500系列自適應安全設備能夠提供多種VPN和安全服務,因而能夠一機多用。企業可以將其部署為單功能獨立設備,也可以作為組合解決方案,根據特殊部署環境定制Anti-X、IPS、防火墻和VPN應用。在小企業和分支機構環境中,Cisco ASA 5500系列商業版還可以作為“一體化”設備,提供全面的威脅防御和VPN服務,并滿足這種部署的預算和運營要求。
與Cisco PIX?安全設備、Cisco IPS 4200系列檢測器和Cisco VPN 3000系列集中器等傳統的“專用型”安全設備不同,在使用Cisco ASA 5500等多功能設備時,會出現哪些部署問題?本文將討論部署不同于專用設備的多功能安全設備的功能、運營和成本。
思科安全設備產品系列
對于打算在安全部署中選用基于設備的安全功能的客戶,思科系統公司提供Cisco PIX安全設備、Cisco IPS 4200系列檢測器、Cisco VPN 3000系列集中器和Cisco ASA 5500系列自適應安全設備。這些產品都能為部署環境各異和規模各不相同的客戶提供解決方案,部署環境可以從小型機構到公司總部,企業規模則可以從小企業到大型跨國公司。Cisco PIX安全設備還可以部署在小型機構/家庭辦公室(SOHO)環境中。在下面的段落中,我們將簡要介紹每種平臺的特性和部署情況。
Cisco PIX 安全設備
市場領先的Cisco PIX安全設備能夠在經濟有效、易于部署的解決方案中提供強大的應用感知型防火墻和VPN服務,包括用戶和應用策略實施、多廠商攻擊防御以及安全的站點間連接服務等。
Cisco IPS 4200系列檢測器
Cisco IPS 4200 檢測器能夠防止網絡遭受惡意代碼、蠕蟲和病毒的攻擊,在它們對數據造成影響之前就終止它們的運行。由于這些檢測器能夠對各種威脅進行檢測、分類和阻擋,其中包括蠕蟲、間諜件和惡意軟件、網絡病毒和應用濫用等,因而能加強對網絡的保護。
Cisco VPN 3000 系列集中器
Cisco VPN 3000 系列集中器能夠在遠程接入VPN解決方案中同時提供SSL和IPSec VPN連接。其中不但包含基于標準、易于使用的VPN客戶端和可以擴展的VPN隧道網關終結設備,還包含使各公司能夠方便地安裝、配置和監控其遠程接入VPN的管理系統。
Cisco ASA 5500 系列安全設備
Cisco ASA 5500系列能夠將安全技術的最新發展與思科切實可用的防火墻,入侵防御,防病毒、防垃圾郵件、防泄密和防間諜軟件(“Anti-X”)、URL過濾以及VPN服務相融合。Cisco ASA 5500系列增加了一個統一管理包,并提高了速度,由于簡化了大型企業和中小型企業(SMB)應用的管理,因而提高了并行服務吞吐量。
特性/功能比較
Cisco ASA 5500系列將Cisco PIX、 IPS 4200和VPN 3000平臺經過市場驗證的特性集與Trend Micro開發的網絡Anti-X功能集成在同一個設備和管理框架中。這些特性融合之后產生了新功能,例如為遠程接入VPN連接提供蠕蟲、病毒和惡意軟件防御,在網絡周邊有效預防各種蠕蟲、病毒和惡意軟件,以及實施內部和增強應用檢測和控制等。因此,與思科推出的專用安全和VPN設備相比,Cisco ASA 5500系列能夠提供很多來自于高度融合、相互補充的服務的擴展功能。
Cisco ASA 5500 系列設備提供的廣泛的威脅防御功能還能加強網絡防御,無論威脅來自遠程機構、總部DMZ還是網絡內部,都能有效保護網絡不受侵害。在經常被忽略的網絡部分區域,例如經濟上或運營上不適合部署高級安全功能的遠程站點和網絡內部,可以利用這種方式消除蠕蟲、病毒和惡意軟件,提高應用安全性。從這個角度看,Cisco ASA 5500系列能夠提高整個網絡的安全性,進而增強網絡安全鏈的強度。
從現有部署集成的角度看,Cisco ASA 5500系列與原先安裝的所有Cisco PIX、IPS 4200和 VPN 3000完全兼容。由于這些設備都是利用經過市場驗證的相同技術開發的,因此,Cisco ASA 5500系列與專用設備之間不存在特性差別。不僅如此,部署Cisco ASA 5500系列時,安全人員還可以利用與Cisco PIX、IPX 4200和VPN 3000設備相同的培訓內容和知識。
每種平臺的應用環境和功能如表1所示。
- 表1 ?功能比較
|
|
應用 |
其它ASA服務 |
|
Cisco ASA 5500 和 Cisco PIX |
ASA 面向典型的PIX 515E和525環境 |
全部IPS服務 |
|
Cisco ASA 5500 和Cisco IPS 4200 |
ASA 面向融合型防火墻和IPS |
全部防火墻服務 |
|
Cisco ASA 5500 和 Cisco VPN 3000 |
ASA面向所有站點的遠程接入和站點間VPN服務 |
吞吐量提高三倍 |
安全架構和IT組織問題
網絡的大小、運營模式和分段情況影響著安全和VPN平臺決策。在某些情況下,將多種安全和VPN功能整合在一臺設備中能夠更好地滿足企業的要求。但在其它情況下,用專用設備提供專用功能更為適合。
從規模的角度看,大企業網絡的流量大、復雜度高,因而需要部署功能更專用的設備。以只提供某幾種甚至某一種功能的設備為基礎建立起來的安全和VPN基礎設施不但可擴展性好,易于選擇軟件版本和升級周期,還能進行全面配置調試,增加網絡分段。從運營角度看,部署專用功能設備還有助于在不同的IT部門之間分配網絡安全責任。
需要專用安全和VPN設備的功能分段的典型實例如下:
部署專用的遠程接入VPN設備
部署專用IPS設備,執行安全策略審查和法規符合性檢查,或者指定IT部門的責任
旨在保護Web服務器集群和應用服務器的數據中心專用高速部署
支持永續的高速流量檢查和訪問控制的網絡邊緣防火墻
在較小的網絡和機構中,趨勢朝相反方向發展。對于越小的網絡,例如小企業和遠程機構,IT部門也越小,其發展方向是盡可能將多種安全和VPN功能集中在少數設備中。減少設備數量不但能降低網絡的復雜性,還能減少網絡操作需要的平臺數,從而降低對IT人員的技能要求。事實上,在IT人員較少,而且通常不具有太高安全技能的小企業中,設備集中通常能簡化站點的運營。
Cisco ASA 5500 系列高度靈活,因而既適合提供專用型功能,又適合提供融合型功能。由于它提供多種VPN和安全服務,因而可以做到一機多用。客戶可以利用防火墻版把它作為傳統防火墻部署在網絡邊緣,或者利用VPN版把它部署為專用遠程接入SSL和IPSec VPN設備,也可以利用IPS版令其提供服務器和其它關鍵資源保護,或者利用Anti-X版把它作為融合型威脅防御設備部署在小站點中,充分發揮訪問控制,應用檢測以及防蠕蟲、防病毒、防間諜軟件和防攻擊技術的聯合防御優勢。在小企業和分支機構環境中,還可以利用商業版把它部署為“一體化”設備,提供符合預算和運營要求的全面威脅預防和VPN服務。
在純IPS部署,例如由IPS提供安全策略審查和法規符合性數據的網絡中,Cisco IPS 4200系列堪稱首選平臺。這種審查基礎設施不但能有效保護網絡安全,還能在策略實施設備之上實施多級攻擊、蠕蟲、病毒、間諜軟件和廣告件防御。不僅如此,各機構還可以讓獨立的IT管理部門管理IPS及其它安全功能(例如防火墻)。由此看來,管理IPS基礎設施的機構通常更愿意使用專用設備。
平臺和運營成本問題
平臺成本
在多數情況下,提供融合功能的Cisco ASA 5500系列的成本不高于類似的Cisco PIX或VPN 3000專用產品。因此,設備的成本不能作為決定融合型ASA 5500和專用型Cisco PIX或VPN 3000設備孰優孰劣的因素。如前所述,企業應該將產品特性、安全架構和組織運營模式作為決策的基礎。
對于純IPS部署,Cisco IPS 4200系列能夠提供優于Cisco ASA 5500的性價比。Cisco ASA 5500系列提供融合型防火墻、IPS和網絡防病毒功能,能夠消除多種威脅,保護應用安全。IPS 4200系列則適合面向IPS的環境。
對于SOHO或者大公司總部的防火墻和站點間VPN部署,Cisco PIX 501、PIX 506E和PIX 535安全設備是最經濟有效的平臺。Cisco ASA 5500系列適合為小站點中的融合服務應用提供保護。如果只需要某些威脅防御功能或純VPN功能,Cisco PIX 501和PIX 506E設備是SOHO的首選。在高端,Cisco PIX 535安全設備能夠以1.7Gbps的速度提供極高的性能,在價格和性能方面都是Cisco ASA 5500的有效補充。如前所述,Cisco ASA 5500和Cisco PIX產品在功能方面完全兼容,可以根據網絡架構的需要一起部署。
運營成本
Cisco ASA 5500系列具有“一機多用”功能,因而具有獨特的安全和VPN運營成本優勢(見圖1)。由于Cisco ASA 5500系列能夠提供多種服務,因而能夠部署到功能要求各不相同的多種環境中。因為這些服務都來自思科經過市場驗證的安全和VPN設備,所以ASA 5500系列在部署時不會降低特性、性能和可管理性。這種方法不但能減少必須部署和管理的平臺數,還能為所有部署提供統一的運營和管理環境,簡化配置、監控、故障排除和安全培訓。
- 圖1 一機多用
![]("http://www.netadmin.com.cn/special/cisco/images/untitled7_clip_image002.jpg")
無線局域網 數據中心 ASA 5500Anti-X版 帶本地互聯網接入的遠程站點
ASA 5500 IPS版 ASA 5500 IPS版
內部網段 DMZ:向內公共互聯網服務
公司LAN
ASA 5500 VPN版 ASA 5500防火墻版 外部網:商業合作伙伴訪問
遠程接入用戶 向外用戶互聯網接入
防火墻版
基于Cisco PIX? Firewall,具有豐富的應用保護功能,可提供強大的訪問和策略實施功能。
IPS版
提供入侵防御、蠕蟲防御和防火墻服務,防止服務器和關鍵資源遭受黑客和網絡蠕蟲攻擊。
Anti-X版 新增!
防止用戶受到互聯網威脅,安全地將遠程站點與Anti-X、防火墻和VPN服務相連。
VPN版 新增!
提供帶統一威脅管理的統一SSL和IPSec遠程接入服務
由Cisco ASA 5500系列提供統一標準平臺的常見部署包括:
Cisco ASA 5500 系列Anti-X 版——將訪問控制、流量和應用檢測與防蠕蟲、防病毒、防間諜軟件和防泄密功能相融合。
Cisco ASA 5500 系列 IPS版——將訪問控制、流量和應用檢測與防蠕蟲、防病毒和防惡意軟件功能相融合,防止網絡的內部關鍵資源(服務器、數據庫等)遭受攻擊。
Cisco ASA 5500 系列 防火墻版——對網絡內部、網絡邊緣和/或DMZ實施傳統的防火墻和應用檢查功能。
Cisco ASA 5500 系列VPN 版——傳統的SSL和IPSec遠程接入和站點間VPN,提供可選的“威脅防御VPN”服務,包括融合的流量和應用檢測,以及蠕蟲、病毒和惡意軟件防御。
Cisco ASA 5500系列商業版——“一體化”訪問控制,流量和應用檢測,蠕蟲、病毒和惡意軟件防御,遠程訪問VPN,針對小企業和分支機構的站點間VPN。
結論
融合型和專用型安全和VPN部署都可起到保護當今網絡的作用。決策時,應主要考慮網絡的規模、網絡的架構、在網絡中的位置以及IT支持方式。Cisco ASA 5500系列高度靈活,可以同時滿足融合型和專用型安全和VPN部署的要求。
在網絡中統一由Cisco ASA 5500系列支持多種部署環境和提供各種安全功能,能夠簡化網絡架構,從而降低部署和運營成本。Cisco ASA 5500系列非常適合取代Cisco PIX 515E和PIX 525安全設備,以及由Cisco VPN 3000系列集中器提供的SSL和IPSec VPN服務。由于Cisco ASA 5500系列采用了Cisco PIX和VPN 3000系列的技術,因此,它提供的所有特性/功能都能與現有的Cisco PIX和VPN 3000部署兼容。而對于獨立式IPS部署,Cisco IPS 4200系列仍然是首選平臺。對于SOHO和大型總部的傳統防火墻和站點間VPN部署,Cisco PIX 501、 PIX 506E和 PIX 535 安全設備不但是最經濟有效的平臺,也可對多站點 Cisco ASA 5500 系列進行有效補充。
北京
北京市東城區東長安街1號東方廣場東方經貿城東一辦公樓19-21層
郵政編碼:100738
電話:(8610) 85155000
傳真:(8610) 85181881
上海市淮海中路222號力寶廣場32-33層
郵政編碼:200021
電話:(8621) 23024000
傳真:(8621) 23024450
廣州
廣州市天河區林和西路161號中泰國際廣場A塔34層
郵政編碼:510620
電話:(8620) 85193000
傳真:(8620) 85193008
成都
成都市順城大街308號冠城廣場23層
郵政編碼:610017
電話:(8628) 86961000
傳真:(8628) 86528999
翻譯日期:2006年2月20日
