Cisco Adaptive Security Appliance 5500
Az adaptív biztonsági szolgáltatások egyesítésére a Cisco egy új termékcsaládot dobott piacra – az Adaptive Security Appliance (ASA) 5500 sorozat a hálózat, illetve az egyes alkalmazások adatforgalmának megfigyelésére és szabályozására használható, emellett rugalmas VPN-szolgáltatást biztosít. A széria kulcseleme a gyártó önvédő hálózati stratégiájának (Self-Defending Network, SDN) nemrég bejelentett továbbgondolása, amely az adaptív védelmet (Adaptive Threat Defense, ATD) tűzi a zászlajára a több rétegre kiterjedő dinamikus ellenőrzés révén. A stratégia első pillére az Anti-X védelem, amely részint reaktív, részint megelőző védelmet biztosít különféle forgalom- és tartalombiztonsági szolgáltatásokkal; a második az alkalmazásbiztonság; a harmadik pedig a hálózatvezérlés és -elszigetelés. Az ATD-be illeszkedő, a télutón bemutatott termékeket és technológiákat az alábbi táblázat foglalja össze:
A Cisco ASA 5500-as termékcsalád három tagjával, illetve ezek szoftveres és hardveres bővítési lehetőségeivel megfelelhet a kis- és középvállalatok, valamint a nagyobb szervezetek igényeinek is. A gyártó szándékai szerint a befektetést a különféle biztonsági funkciók összevonása, a könnyebb konfigurálhatóság, a – kevesebb hibalehetőségből is adódó – nagyobb biztonság, valamint a hálózat sebességét vissza nem fogó teljesítmény teszi megtérülővé. A széria az ASA 5510, az ASA 5520, illetve az ASA 5540 jelzést viselő modellekkel kerül piacra.
Hirdetés
Az új megoldások a PIX Security Appliance, IPS 4200 és VPN 3000 Concentrator termékcsaládokban alkalmazott biztonsági szolgáltatásokra épülnek. A termékek az IP-integrációs lehetőségek mellett támogatják a QoS-t, az útválasztást, az IPv6-ot és a multicastot, így anélkül illeszthetők a meglévő hálózatba, hogy hátráltatnák a jogosult forgalmat vagy az alkalmazások működését. Az ASA 5500 sorozat VPN-szolgáltatásai között a távoli elérésű IPSec és SSL VPN funkciók mellett QoS-re alkalmas, telephelyek közötti IPSec-szolgáltatások is találhatók.
Az ASA 5500 széria tagjai az ATD stratégia eljárásai szerint összefüggésükben vizsgálják a különböző biztonsági eseményeket, és képesek összehangoltan reagálni. Védelmet nyújthatnak a férgek, a vírusok, a kémprogramok és a reklámprogramok ellen; a hálózati forgalomban felismerik és megelőzik a támadásokat és az illetéktelen behatolást, és emellett a túlterheléses támadásokat (DoS) is kivédik.
A készülékek a hálózati alkalmazások védelmét-ellenőrzését is elvégzik, többek között szabályozzák a nagy sávszélességet igénylő egyenrangú (P2P) szolgáltatások – például a fájlcserélő vagy az azonnali üzenetküldő programok – működését és a webes hozzáférést (URL-ellenőrzés); gondoskodnak az adatbázis-szolgáltatások és a hasonló vállalati alaprendszerek védelméről; valamint számos alkalmazásfüggő védelmi funkcióval teszik biztonságossá a multimédiás és VoIP-szolgáltatások használatát.
Az ASA 5500 sorozat hálózatellenőrzési és veszélyforrás-elszigetelési szolgáltatásokat is kínál, amelyekkel ellenőrizhetők és szegmentálhatók a felhasználók, az alkalmazás-hozzáférés és a hálózat fő forgalmi irányai. Ide tartoznak többek között a 2-4. rétegben működő, állapotfüggő vizsgálatokat végző tűzfalfunkciók (Stateful Packet Inspection, SPI), amelyekkel nyomon lehet követni a hálózatban zajló kommunikációs tevékenységeket, és meg lehet akadályozni a jogosulatlan hozzáférést. A virtualizáció (azaz VLAN-ok létrehozása) szokott módon a hálózat szegmentálását és a szolgáltatások méretezését segíti.
A széria fentebb jellemzett adaptív hálózatvédelmi technológiával ellátott IPSec és SSL VPN funkciócsomagja igyekszik garantálni, hogy a hálózatot a VPN-kapcsolaton keresztül ne érjék külső féreg-, vírus- vagy más támadások. Az új termékeket számos szituációban lehet alkalmazni, ideértve a telephelyek közti vagy felügyelt asztali gépekről történő hozzáférést, a vállalati hálózat teljes vagy részleges elérését, a partnerek általi külső hozzáférést és az extranetes megoldásokat.
A Cisco ASA 5500 készülékek funkcionalitása szoftverekkel és hardvermodulokkal bővíthető. Az egyszerűbb üzemeltetés és hibaelhárítás érdekében lehetséges több szolgáltatás közös felügyelete, de egyedi szolgáltatásprofilok telephelyekhez, illetve funkcionális területekhez külön is bevezethetők. A „több szolgáltatás egyetlen eszközön” elven alapuló megközelítéssel csökkenteni lehet a telepítendő és felügyelendő platformok számát, ami végeredményben egyszerűbb konfigurálást, hálózatfigyelést és hibaelhárítást eredményez, illetve csökkentheti az ezekkel járó költségeket.
Az ASA 5500 felügyeleti szolgáltatásainak túlnyomó része az egyedi eszközfelügyeletet kínáló Adaptive Security Device Manager, illetve a többeszközös felügyeletet támogató Cisco Security Management Suite megoldáscsomag része. Az előbbi olyan webalapú megoldás, amellyel az összes biztonsági szolgáltatás és VPN-eszközhöz kapcsolódó funkció konfigurálható. A legfeljebb tíz eszközt kezelő rendszer eszközállapot- és szolgáltatásfigyelést, valamint ezekkel kapcsolatos jelentéseket is tartalmaz.
A Cisco Security Management Suite megoldáscsomagot a nagyobb rendszerekhez fejlesztették ki. A csomag összetett, szabálykészlet alapú, többszolgáltatásos felügyeletet kínál a több helyszínt átfogó hálózatok konvergens kezeléséhez. Támogatja a különböző dedikált készülékeket, routereket és switcheket tartalmazó vegyes környezeteket, és szabályozott kereteket biztosít a számos felhasználóra vagy részlegre kiterjedő szoftverfrissítések elvégzéséhez, illetve nyilvántartásához. Mind a Cisco ASA 5500 sorozatot, mind a Cisco egyéb biztonsági termékeit vásárlók igénybe vehetik a Cisco készenléti és sürgősségi szolgáltatásait.
| Műszaki adatok | |||
| Típus | Cisco ASA 5510 | Cisco ASA 5520 | Cisco ASA 5540 |
| Tűzfal áteresztőképessége | 300 Mbps | 450 Mbps | 650 Mbps |
| VPN áteresztőképesség | 170 Mbps | 225 Mbps | 325 Mbps |
| Egyidejű kapcsolatok | 32 000 / 64 000* | 130 000 | 280 000 |
| IPSec VPN peerek | 50 / 150* | 300 / 750** | 500 / 2000** / 5000*** |
| WebVPN peerek | 50 / 150* | 300 / 750** | 500 / 1250** / 2500*** |
| Biztonsági kontextusok | nem támogatott | 2 / max. 10**** | 2 / max. 50**** |
| Hálózati interfészek | 3 Fast Ethernet + 1 menedzsmentport / 5 Fast Ethernet* | 4 Gigabit Ethernet + 1 Fast Ethernet | 4 Gigabit Ethernet + 1 Fast Ethernet |
| VLAN-ok száma | 0 / 10* | 25 | 100 |
| SSM bővítőhelyek | 1 | 1 | 1 |
| Felhasználói flash bővítőhelyek | 1 | 1 | 1 |
| USB 2.0 portok | 2 | 2 | 2 |
| Soros portok | 2 RJ45 (konzol, AUX) | 2 RJ45 (konzol, AUX) | 2 RJ45 (konzol, AUX) |
| Memória | 256 MB | 512 MB | 1024 MB |
| Flash rendszermemória | 64 MB | 64 MB | 64 MB |
| Listaár | 3 495 dollártól | 7 995 dollártól | 16 995 dollártól |
| * Cisco ASA 5510 Security Plus licenccel | |||
| ** Cisco ASA 5520/5540 VPN Plus licenccel | |||
| *** Cisco ASA 5540 VPN Premium licenccel | |||
| **** külön licencelt szolgáltatás | |||
A hardverteljesítmény fokozásához egy-egy úgynevezett Adaptive Inspection and Prevention Security Services Module (AIP SSM) helyezhető a készülékekbe. Az SSM-AIP-10 jelzésű kiegészítő kártya az ASA 5510-zel 150 Mbps, míg az ASA 5520-szal 225 Mbps teljesítményt nyújt. Az SSM-AIP-20 az ASA 5520 sebességéhez 375 Mbps-ot, az ASA 5540-éhez pedig 450 Mbps-ot tesz hozzá.
A cikk még nem ért véget, kérlek, lapozz!
