曹先生15992658811

電話0756-2212186

傳真0756-2212986

掃一掃,關注官方微信

在線客服
中文版 英文版
信息安全
當前位置:首頁>解決方案>信息安全
思科ASA 5500:一種卓越的防火墻解決方案
發布時間:2015年05月1日
      Cisco ASA 5500 系列自適應安全設備提供領先的防火墻功能,并能夠通過擴展支持其它安全服務。
      在所有機構的網絡安全基礎設施中,防火墻都提供第一道防線。它采用的具體作法是,將公司制定的用戶網絡訪問權限策略與每次訪問操作的連接信息進行比較。如果用戶策略與連接信息不匹配,防火墻就不允許建立連接。如果相互匹配,則防火墻允許流量流經網絡。
      通過這種方式,防火墻形成了各機構網絡安全基礎設施的基本???。由于防火墻能夠提供卓越的性能,延長關鍵業務運作的網絡正常運行時間,因而物超所值。但是,隨著公司網絡上語音、視頻和協作流量的快速增長,企業不但要求防火墻引擎以超高速度運行,還要求它支持應用級檢查。標準的L2和L3防火墻能夠防止對內部和外部網絡的非法接入,如果增加了應用級檢測,防火墻將能夠在L7檢測、識別和驗證應用類型,有效阻止不需要或誤操作的應用流量。利用這些功能,防火墻不但能執行端點用戶注冊和認證,還能有效控制多媒體應用的使用。

對速度的要求 :
      在網絡能夠不斷增強業務生產率、協作和通信的同時,防火墻也得到了同步的發展。例如,Cisco? ASA 5500 系列自適應安全設備就是專門為數百種應用協議的標準策略實施和應用級防火墻檢測而開發的。獨立的第三方測試表明,這種防火墻的性能遠遠超過了同類產品。另外,在全球市場調查公司Gartner 于2006年6月進行的防火墻"魔方"調查中,Cisco ASA 5500系列自適應安全設備在概念和技術上都名列榜首。利用Cisco ASA 5500系列的高性能應用檢測功能,網絡對待流量的詳細策略依據不但能基于端口、狀態和地址信息,還能基于深埋在幀頭中的應用信息。通過對這種深包檢測信息與公司策略的比較,防火墻能夠允許或阻止某些流量通過。例如,如果公司策略禁止企圖通過開放端口進入網絡的應用流量通過網絡,那么,即使這種流量在用戶和連接水平上看似合法流量,也會被自動丟棄。
      這種不需要的流量可能包含將會消耗大量帶寬的與業務無關的對等流量。它可能會建立即時消息傳送流量,但不符合公司的即時消息傳送標準。另外,它還可能是公司決定從網絡中濾除的其它非關鍵應用流量。
      Cisco ASA 5500 系列自適應安全設備能夠以業內領先的性能檢測和過濾協議。2005年9月,位于新澤西州克林波瑞的獨立測試實驗室 Miercom 的測試結果表明,中端Cisco ASA 5520 通過TCP/IP連接傳輸HTTP(Web)流量的性能,比最接近的三家競爭對手高六倍。與此同時,Cisco ASA 5520 還能實現100%的威脅檢測成功率,而其它設備只能達到30-40%的準確率。 利用這種性能和安全準確率,各企業可以利用Cisco ASA 5500 系列,快速、安全地擴展網絡部署和應用,滿足企業用戶對響應時間的要求。

企業網絡的安全組件 :
企業網安全架構的主要組件包括:
      部署在傳統公司廣域網邊緣周邊、分支機構廣域網邊緣以及企業內部的戰略位置,保證合法用戶接入的防火墻; 從網絡中濾除惡意軟件的IPS; 用于加密(支持站點到站點連接的IPsec和支持移動連接的SSL)以防止數據被盜的VPN; 防止遠程和移動用戶連接遭受病毒侵襲,保證安裝了所需軟件和安全版本的端點或Anti-X安全性。

增加入侵防御:
      Gartner 對新一代防火墻的定義是:將防火墻過濾與入侵防御系統(IPS)結合在一起的防火墻。與防火墻相似,IPS 也能實時過濾數據包。但是,IPS 并不依據用戶信息和應用策略過濾,而是掃描進入代碼中的已知惡意樣式,稱為簽名。這些簽名能夠證明惡意軟件的存在,例如蠕蟲、特洛伊木馬和間諜軟件。 惡意軟件可能會消耗服務器和網絡資源,并造成針對內部員工或外部Web用戶的拒絕服務(DoS)攻擊。由于IPS 能夠過濾已知惡意簽名,因而能進一步提高防火墻功能的安全性。一旦IPS檢測到惡意軟件,系統就會阻止它進入網絡。
      根據Gartner 的調查,由于新一代防火墻能夠將防火墻和IPS集成在一起,因而只需檢測一次流量。相反,如果需要檢測一次連接層信息并檢查一次惡意軟件,將顯著降低系統吞吐量。
      利用Cisco ASA 5500 系列,企業能夠靈活地增加IPS 服務,阻止其它惡意軟件的攻擊。Cisco ASA 5500 系列防火墻版作為獨立的防火墻設備,其中包含用于處理加密會話的VPN 集中器。要添加入侵防御,除防火墻以外,各機構還可以在系統機箱中安裝自適應檢測和防御安全服務??椋ˋIP-SSM),建立一次通過防火墻/IPS數據包檢測。
      Cisco ASA 5500 系列自適應安全設備不但能通過擴展支持IPS,還能支持企業需要的其它主要安全?;せ疲喊踩捉幼植悖⊿SL)VPN和端點安全性(也稱為"Anti-X"安全性)。利用這種內部可擴展性,企業可以根據每個網段的特殊要求,讓設備靈活地滿足安全需求。與此同時,利用同一個平臺還能降低總體安全運作成本。 為進一步降低成本,部署了融合型服務器和數據中心的機構還可以將Cisco ASA 5500 系列自適應安全設備劃分成多個"虛擬"防火墻,以提高可擴展性?;謊災?,一臺物理Cisco ASA 5500 系列設備可以作為多個邏輯防火墻完成多臺設備的任務,并能降低資本支出(CapEx)。Cisco ASA 5500 系列設備是"即插即用"的:網絡管理員不需要修改交換機或路由器的任何配置,就能將其添加到現有網絡基礎設施中。


為適當的位置提供適當的服務:
      Cisco ASA 5500系列為企業提供的全套服務都可以通過專門為防火墻、IPS、Anti-X和VPN支持開發的產品版本定制。由于這些版本允許網絡管理員為適當的位置部署適當的安全服務,因而能提供卓越的?;?。為滿足企業網內特殊環境的需求,每個版本都與一套專用思科安全服務結合在一起。 對于大中型企業,Cisco ASA 5500 系列設備可以作為防火墻/IPsec VPN 集中器、IPS、Anti-X安全系統或SSL VPN集中器獨立運行。Cisco ASA 5500 系列Anti-X版不但能防止公司網絡感染遠程和移動客戶端的病毒,還能檢查遠程設備是否安裝了要求的操作系統、應用和安全軟件版本。VPN版增加了從10個SSL VPN用戶起步的許可證,并允許增加SSL許可證。 Cisco ASA 5500 系列解決方案--業務解決方案與公司網絡
      Cisco ASA 5500 系列自適應安全設備可以部署到整個企業,作為深入防御最佳實踐安全方法,在特殊網段中提供所需要的服務。該設備可以在某個網段中執行一種職能,而在另一個網段中執行另一種職能?;謊災?,執行哪種職能完全視需求而定。
      另外,該設備還能在一個機箱中支持多種安全功能,其便利性和經濟性非常適合分支機構使用。為了將多種功能結合在一起,Cisco ASA 5500 系列設備為IPS和Anti-X?;ぬ峁┠?榛鍍?。SSL VPN只需添加軟件和許可證即可實現。如果為Cisco ASA 5500 系列防火墻版增加其它??楹?或軟件功能,還可以根據要求啟用或關閉防火墻功能。
      大企業擁有雄厚的資金和人力,可以選擇、安裝和管理來自不同廠商的最佳產品。但是,新一代融合型設備是一種結實耐用的產品:它們緊密集成安全功能的目的不但包括提高便利性和降低資本支出;還包括提高安全性,因為獨立功能可以共享安全事件信息。另外,它們還具有更高的性能,因為單次通過數據包檢測能夠掃描多種威脅。因此,功能融合的安全設備可能更符合大企業的需要。
      如上所述,Cisco ASA 5500 系列的準確性高于同類產品。在前面提到的Miercom 獨立實驗室測試中,比較了防火墻性能、統一防火墻和IPS性能、IPsec VPN吞吐量以及每秒連接性能。Cisco ASA 5520 的三數字加密標準(3DES)IPsecVPN吞吐量比同類產品高三倍,其連接建立率比同類產品高四倍。在 Miercom 的測試中,總共為接受測試的四種系統發動了126種威脅或測試條件。每個系統獨立執行一個測試條件,每個系統都測試了所有簽名。

結論:
      防火墻是各機構網絡安全體系結構中的基本???,因此,必須部署在整個企業網中所有可能的入侵點上。根據業內領先的市場研究廠商的預測,為降低成本,提高運作便利性,新一代防火墻不但會集成防火墻和IPS過濾,還會集成其它安全功能。另外,集成不但會通過安全數據關聯提高安全性,還會在單次通過數據包檢測中提供卓越的性能。
      Cisco ASA 5500 自適應安全設備不但可以用作防火墻,還可以利用機箱??楹圖墑餃砑δ芾┱?,執行全部安全功能。該設備能夠根據每個網段需要的吞吐量和連接數,以合理的價格從最小的家庭辦公室擴展到最大的企業環境。

首頁  1  末頁 

聯系我們

十一选五北京十一选五开奖 www.gvnak.icu 電話:0756-2212186
傳真:0756-2212986
郵編:519000
地址:珠海市香洲區鳳凰南路1030號
      瀚高大廈1108室
駐金灣辦事處:
      珠海市金灣區幸福南路1號402室
郵箱:xt#www.gvnak.icu
      (請將#替換成@)