cisco_asa_firewall.png

Семейство межсетевых экранов Cisco ASA 5500-X

С конца 2005 года компания Cisco начала выпуск нового поколения межсетевых экранов Cisco ASA 5500-X Series, пришедших на смену устаревшей серии Cisco PIX 500 Series.

Cisco ASA позволяет организовывать защищенные корпоративные коммуникации до 100 000 пользователей, обрабатывая всевозможные трансляции IP адресов и их изменения за единицу времени, благодаря использованию технологии NAT/PAT.

Полный контроль и безопасность такой сетевой активности межсетевые экраны Cisco ASA 5500-X Series способны выполнять как между внутренними сегментами единой локальной сети организации, так и при доступе в глобальную сеть Интернет. Также устройства серии Cisco ASA позволяют организовать в компании не пропускающих через себя групповой трафик выделенные IPSec-VPN (Virtual Private Network) туннели с DES-K8, 3DES/AES-K9 шифрованием для доступа к локальной сети и ресурсам. Такое решение отлично подходит в случаях, не требующих использование группового (multicast) трафика.

В серии межсетевых экранов Cisco ASA реализована технология уровней безопасности, ранее использовавшаяся в устройствах Cisco PIX 500 Series. Всего уровней 101, от 0 – 100. Чем он выше, тем приоритетнее проходящий сетевой трафик. По устоявшейся традиции, самый низкий 0 (нулевой) уровень безопасности обычно отдается под выход в сеть Интернет, а самый высокий 100 (сотый) – под доверительные сегменты корпоративной сети компании. Суть технологии проста – с высокого уровня на низкий сетевой трафик проходит свободно, без каких-либо ограничений, а вот наоборот потребуется задать правила прохождения трафика листами доступа (Access-List) и применить их к интерфейсам с высоким уровнем. Если в сети несколько сегментов (подсетей), то нет необходимости задавать множество правил для каждого интерфейса, можно использовать специальный сервис, при котором все интерфейсы с одинаковыми уровнями безопасности могут обмениваться между собой без ограничений, таким образом превращаясь в обычные маршрутизируемые.

В последнее время со стороны производителя прослеживается тенденция внедрения новых функциональных возможностей. Например, модули системы предотвращения несанкционированных вторжений IPS (Intrusion Prevention Solution), работающих на основе сигнатурного анализа данных в проходящем сетевой трафике. В модификациях Cisco ASA 5500 с литерой X (например, Cisco ASA 5512-X) наряду с ранее внедренным программным решением IPS/CX появился и абсолютно новый функциональный модуль фирменной технологии FirePOWER.

Межсетевые экраны нового поколения Cisco ASA 5500-X Series можно разделить на четыре основных категории:

  • Начального уровня – модели Cisco ASA 5505, 5506-X, 5508-X, 5510, 5512-X;
  • Корпоративного уровня – модели Cisco ASA 5515-X, 5516-X, 5520, 5525-X;
  • для ЦОД (Центр Обработки Данных) – модели Cisco ASA 5540, 5545-X, 5550, 5555-X;
  • масштаба оператора связи – модель Cisco ASA 5585-X и ее разновидности.

Разделение устройств на категории связано с различием в производительности, так как функционально они похожи. Перечислим основные характеристики, по которым их различают:

  • Производительность в идеальном режиме межсетевого экрана (firewall), когда проходящий сетевой траффик обрабатывается только по протоколу UDP, а IP пакеты имеют одинаковый размер (Мбит/с);
  • Производительность в реальном режиме обработки разнородного трафика (голос, видео, e-mail, web, SQL, SSH, IPSec и т.п.) по протоколам TCP, UDP, ICMP, GRE и т.п. с различными размерами IP пакетов (Мбит/с);
  • Производительность в режиме IPSec-VPN с глубоким 3DES/AES шифрованием (Мбит/с);
  • Производительность в режиме межсетевого экрана (firewall) с IPS модулем (Мбит/с);
  • Количество одновременных туннелей IPSec-VPN;
  • Максимальное количество одновременных пользовательских сессий;
  • Скорость изменения количества сессий за 1 секунду.

А теперь, в качестве наглядного примера, приведем сравнительную таблицу производительности моделей межсетевых экранов Cisco ASA 5500-X Series с лидерами рынка сетевой безопасности.

В этом обзоре мы постарались разъяснить ключевые моменты, на которые следует обращать внимание при выборе межсетевых экранов нового поколения Cisco ASA 5500-X Series. А также, какие модели способны покрывать потребности компаний разного уровня в информационной безопасности.

Напомним, что не менее важным является грамотная, профессиональная настройка Cisco ASA для реализации бизнес-целей компании в качественной информационной защите.

За более подробной консультацией по Cisco ASA обращайтесь в нашу компанию.

IT BRIDGE обладает многолетним опытом и высоким уровнем компетенций по созданию, внедрению, настройке и обслуживанию решений на базе программно-аппаратного обеспечения Cisco, Juniper Networks, Check Point и других производителей в области информационной безопасности. Специалисты компании готовы предоставить грамотную консультацию, провести аудит существующей IT инфраструктуры на предмет выявления проблемных зон, помочь в подборе оборудования и оптимального решения, а также выполнить полный комплекс работ по защите информационных ресурсов вашего бизнеса.