CISCO ASA 5500 系列自適應安全設備解決方案概述

Cisco® ASA 5500 系列自適應安全設備是思科專門設計的解決方案，能夠將最高的安全性和VPN服務與全新的自適應識別和防御（AIM）架構有機地結合在一起。作為思科自防御網絡的要害組件，Cisco ASA 5500系列能夠提供主動威脅防御，在網絡受到威脅之前就能及時阻擋攻擊，控制網絡行為和應用流量，并提供靈活的VPN連接。思科提供的強大多功能網絡安全設備系列不但能為保護中小企業和大型企業網絡提供廣泛而深入的安全功能，還能降低與實現這種安全性相關的總體部署和運營成本及復雜性。

Cisco ASA 5500 系列能夠在一個平臺中提供多種已經過市場驗證的技術，無論從技術角度還是從經濟角度看，都能夠為多個地點部署各種安全服務。利用其多功能安全組件，企業幾乎不需要作任何兩難選擇，既可以提供強有力的安全保護，又可以降低在多個地點部署多臺設備的運營成本。

圖1 Cisco ASA 5500 系列自適應安全設備

Cisco ASA 5500 系列能夠通過以下要害組件幫助企業更有效地治理網絡并提供出色的投資保護：

• 經過市場驗證的安全與VPN功能 – 全特性、高性能的防火墻，入侵防御系統 (ipS), 網絡防病毒和IPSec/SSL VPN 技術提供了強大的應用安全性，基于用戶和應用的訪問控制，蠕蟲與病毒防御，惡意軟件防護以及遠程用戶/站點連接。
• 可擴展的自適應識別與防御服務架構－利用一個模塊化服務處理和策略框架，AIM可根據每個流量的情況，應用特定的安全策略或網絡服務，提供高度精確的策略控制和Anti-x保護，并簡化流量處理。Cisco ASA 5500 系列AIM架構具有出色效率，安全服務模塊（SSM）則提供了軟件和硬件可擴展性，因此無需更換平臺，也不會降低性能，即可擴展現有服務和部署新服務。作為Cisco ASA 5500系列的架構基礎，AIM支持高度可定制的安全策略和前所未有的服務可擴展性，來為威脅程度迅速提高的環境提供保護。
• 降低部署和運營成本– 這種多功能的設備可實現平臺、配置和治理的標準化，從而降低部署與日常運營成本。

市場領先的安全和VPN功能

Cisco ASA 5500系列充分利用了思科在開發業界領先、屢獲大獎的安全和VPN解決方案方面的豐富經驗，且集成了Cisco PIX® 500系列安全設備、Cisco IPS 4200系列入侵防御系統和Cisco VPN 3000系列集中器的最新技術。通過結合這些技術，Cisco ASA 5500系列提供了一個無與倫比的最佳解決方案，能終止范圍最為廣泛的威脅，并為企業提供靈活、安全的連接選項。Cisco ASA 5500系列提供的安全和網絡服務的深度和廣度使其能保護網絡的任意區域，包括最常見的威脅對象，如移動用戶、遠程地點，以及不可治理的桌面和服務器。作為思科自適應威脅防御和統一安全接入策略的要害組件之一，Cisco ASA 5500系列結合了多種安全和VPN技術，提供了豐富的應用安全、Anti-x防御、網絡控制和抑制，以及安全連接特性。
應用安全

Cisco ASA 5500系列通過30種可檢查第二到七層網絡流量的應用感知檢測引擎，提供了強大的應用層安全性。為防止網絡遭受應用層攻擊，使企業能控制應用和協議在環境中的使用方式，這些檢測引擎包含豐富的應用和協議知識，采用了安全實施技術，包括應用/協議命令過濾、協議異常事件檢測，以及應用和協議狀態跟蹤。作為另一個應用檢測和控制層，這些檢測引擎還采用了攻擊檢測和防御技術，如緩沖泛洪防御、內容過濾和驗證，以及URL 顯示服務。檢測引擎適用于多種常用應用和協議，包括Web服務、文件傳輸服務、電子郵件服務、語音和多媒體服務、數據庫服務、操作系統服務和3G移動無線服務。這些檢測引擎也使企業能控制即時消息、對等文件共享和其他隧道應用等威脅，幫助企業實施使用策略，保護合法業務應用的網絡帶寬。

Anti-X防御

Cisco ASA 5500系列提供了先進、高性能的保護，可防御網絡和應用層攻擊、拒絕服務（DoS）攻擊，以及蠕蟲、網絡病毒、特洛伊木馬、間諜軟件及廣告軟件等惡意軟件。要實現高效的Anti-X防御，需將廣泛的攻擊檢測技術與先進的分析技術相配合，以實現高度準確的威脅分類，從而確保在不影響合法網絡流量的情況下，實施相應的防御措施。

高級檢測技術－為確保能發現威脅，Cisco ASA 5500系列提供了眾多的檢測方法，以發現策略違反、異?；顒雍桶踩┒垂?。這些方法包括用于終止數據流中的隱藏攻擊的狀態化模式識別；用于驗證網絡流量的協議分析；用于識別涉及多個連接的攻擊的流量異常檢測；可通過觀察到協議或服務與正常RFC行為有所偏差而發現攻擊的協議異常檢測；以及用于發現中間人攻擊的第二層分析。專用防護可“凈化”網絡流量，以防止“逃避檢測”的企圖；這些防護包括IP分段重組和規范化、TCP流分段重組和規范化、TCP逃避控制、IP防電子欺騙和URL顯示。

兩種思科創新的分析和關聯技術可準確抵御所發現的威脅，與廣泛的檢測技術相結合，它們是：風險評估和元事件生成器。

風險評估－為確保能在不影響合法流量的情況下終止惡意攻擊，Cisco ASA 5500系列采用了思科創新的風險評估技術。風險評估超越了用單因素方式確定威脅風險的普通方法，用四種測量因素來確定一個事件的風險：

• 事件嚴重程度－評分表示威脅的相對影響
  
• 特征可信度－評分表示特征的準確度
  
• 資產價值－定制化價值表示攻擊目標的重要性（例如，配線間中的打印服務器價值較低，數據中心中的電子商務服務器價值較高）
  
• 攻擊影響性－數值根據目標對攻擊類型的易感性而定

這四個因素的結合可實現準確的威脅評估，以便使用戶能自信地采取防御行動。

元數據生成器－為快速、準確地識別和終止會迅速傳播并導致嚴重損失的蠕蟲，Cisco ASA 5500系列采用了思科的元數據生成器技術，此種技術可提供獨特的設備內關聯功能。這可通過蠕蟲行為的實時建模實現，這些行為包括多種事件類型和各事件時間間隔的關聯性。當蠕蟲試圖穿過網絡時，它們通過多個分組的傳輸而傳播，在很多情況下，這些分組看起來是合法流量。元事件生成器使用實時關聯服務，來識別與蠕蟲傳播相關聯的初始分組，并終止完成蠕蟲蔓延所需的后續分組傳輸。這會導致蠕蟲無法完好無損地到達目的地，從而“殺死”蠕蟲。

網絡控制和抑制

Cisco ASA 5500系列提供了范圍廣泛的網絡控制和抑制服務，使企業能精確控制應用訪問和網絡流量傳輸。作為安全基礎，Cisco ASA 5500系列設備具有豐富的狀態化檢測防火墻服務，可跟蹤所有網絡通信的狀態并防止未授權網絡接入。通過Cisco ASA 5500系列提供的高度靈活的訪問控制服務，企業能實施其公司安全策略，以及應用和資源使用策略。根據各種元素，包括用戶身份和用戶組成員關系、網絡資源地址、預定義或定制應用類型、相關VPN隧道、時間和星期幾等，可方便地制訂策略。使用Cisco ASA 5500系列提供的網絡和應用對象分組功能，可簡化這些應用的持續治理，使企業能方便地向一個現有對象組添加新網絡設備或應用，使得新設備或應用可采用與對象組中其他成員相同的策略。

安全連接服務

Cisco ASA 5500系列提供強大的站點間和遠程接入VPN服務，使企業能在公共網絡上為移動用戶、遠程地點和業務合作伙伴創建安全連接。這為實現安全提供了一種集成方式，使機構可獲得互聯網的連接和成本優勢，且不破壞公司安全策略的完整性。

通過將VPN服務與Cisco ASA 5500系列提供的范圍廣泛的安全服務相集成，企業可受益于更為強大、更為安全的VPN連接。集成化思科自適應威脅防御功能有助于確保VPN不會成為蠕蟲、病毒、惡意軟件或黑客等網絡攻擊的傳播途徑。企業可對VPN流量執行具體的應用和訪問控制策略，以使各用戶和用戶組都只能訪問他們有權訪問的服務和資源。此外，還能針對每個用戶、用戶組、隧道、消息流執行定制服務質量（QoS）策略，以確保對各網絡流量提供相應的優先級和帶寬限制。

遠程接入VPN－Cisco ASA 5500系列的靈活技術提供了可符合連接需求的定制解決方案，使可由公司治理的員工桌面能通過IPSec VPN獲得強大、可定制的遠程接入。對于公司不可治理的終端，如外部網、互聯網服務亭或員工自己的臺式機，Cisco ASA 5500系列為基于SSL的遠程接入提供了WebVPN。利用思科豐富的遠程接入經驗，企業可部署一個為核心企業應用提供廣泛支持的集成平臺。

• 靈活的平臺---在單一平臺上提供IPSec和基于SSL的VPN服務，無需部署兩個并行解決方案。為SSL和IPSec VPN部署分立的平臺會導致低效和成本增加，而Cisco ASA 5500系列避免了這些問題。
  
• 永續集群---通過在Cisco ASA 5500系列和VPN 3000系列上平均分配VPN連接，可經濟有效地進行遠程接入部署，無需用戶干預。這一高度永續的功能消除了單點故障，使企業能按需擴展其VPN終端，并為企業提供出色的投資保護。
  
• Cisco Easy VPN---提供了一個獨特的可擴展、經濟有效且易于治理的遠程接入VPN架構。Cisco ASA 5500系列設備可動態地將最新VPN安全策略分發到遠程VPN設備和客戶端，確保那些遠程終端能在建立連接前獲得最新策略，從而提供最高水平的靈活性、可擴展性和易用性。此外， Cisco ASA 5500系列為VPN客戶端軟件提供了“自動更新”功能，可使遠程桌面上運行的思科VPN客戶端軟件實現自動版本更新。

站點間VPN---利用 Cisco ASA 5500系列提供的標準站點間VPN功能，企業可安全地通過成本低廉的互聯網連接，將網絡擴展到業務合作伙伴及全球各地的遠程和小型辦公室。

• 適用于當前應用的VPN基礎設施---Cisco ASA 5500系列提供了一個能在安全的IPSec網絡上融合語音、視頻和數據的VPN基礎設施，通過將強大的站點間VPN支持和豐富的檢測功能、QoS、動態路由及狀態化故障恢復特性相結合，使企業可受益于融合網絡的眾多優勢。
  
• 強大的安全性和性能---分支機構和遠程機構使公司可更好地深入重要的市場，部署于重要的地點。通過基于Cisco ASA 5500系列的VPN解決方案，多個站點間可實現安全、高速的通信，提供了企業通信所必需的出色性能、可靠性和可用性。

智能網絡集成

Cisco ASA 5500系列以思科20多年的網絡領域領先地位和創新技術為基礎，提供了廣泛的智能網絡服務，可無縫地集成入當今多樣化的網絡環境。主要的網絡集成功能包括：

• 第二層透明防火墻---無需更改任何地址，就能迅速地將Cisco ASA 5500系列部署于現有網絡。它提供了高性能狀態第二到七層安全服務，和針對網絡層攻擊的保護，可集成入復雜的路由、高可用性和組播環境。
  
• 服務虛擬化---可將單一Cisco ASA 5500系列設備邏輯劃分為多個虛擬防火墻，每個防火墻有自己的策略且分別進行治理 。此功能適用于將多個防火墻整合入單一Cisco ASA 5500系列設備的企業，或是提供可治理防火墻或托管服務的電信運營商。
  
• 基于802.1q的VLAN支持---可方便地集成入交換式網絡環境。
  
• OSPF動態路由服務---可在幾秒內檢測出網絡中斷并繞行斷點傳輸流量，從而提高了網絡永續性。
  
• 協議獨立型組播（PIM）稀疏模式v2和雙向PIM路由支持---可安全地供給要害性的實時企業應用、協作式計算應用和流媒體服務。
  
• IPv6支持---可安全地部署下一代IPv6網絡。
  
• 服務質量（QoS）---低延遲隊列（LLQ）和流量監管特性可支持有嚴格QoS要求的應用，如語音或視頻，以確保端到端網絡QoS策略的實施。對延遲敏感的流量會獲得高于文件傳輸和其他較能適應延遲的流量的優先級。
  
• IP電話“自動配置”服務---可幫助電話注冊正確的Cisco CallManager 系統并下載更多配置信息和軟件鏡像，從而簡化IP電話的部署。
  
• 永續架構---為企業提供了狀態化主用/主用和主用/備用高可用性服務，以及VPN設備集群，可實現最高吞吐率和網絡正常運行時間。Cisco ASA 5500系列也支持“零停機軟件更新”，使企業可在故障恢復對上安裝軟件維護版本，且不會影響連接或網絡正常運行。此外，集成的動態負載均衡功能為遠程接入VPN部署提供了高連接可擴展性和永續性。

獨特的自適應識別和防御服務架構

Cisco ASA 5500系列利用其獨特的自適應識別與防御服務架構為網絡提供了更高的安全性和出色的網絡控制（圖2）。AIM架構使企業能夠適應并擴展 Cisco ASA 5500的高性能安全服務，這是因為它能夠利用可選的安全服務模塊（SSM）提供出色性能和擴展安全服務，并能夠通過定制性高、針對信息流的安全策略來滿足應用的安全需求。這一自適應架構使企業能夠隨時隨地根據需要部署安全服務，例如根據特定應用和用戶需求定制檢測技術，或增加更多入侵防御和Anti-X服務，如自適應檢測與防御安全服務模塊(AIP SSM)提供的服務。此外，AIM架構可集成未來的威脅識別和防御服務，進一步增強了Cisco ASA 5500系列的出色投資保護，使企業能在出現新威脅時調整其網絡防御策略。

圖2 思科自適應識別和防御服務架構

利用Cisco ASA 5500系列強大的策略框架，治理員可綜合、協調地制訂具體的策略，定義為各流量提供哪些特定服務。共有30多種應用和協議專用檢測引擎、QoS策略、Anti-X服務和其他檢測及網絡服務。策略的制訂可基于多種因素，包括網絡地址、流量類型、VPN隧道，和應用或目的地等。該架構支持在信息流基礎上選擇特定安全或網絡服務，能以高度精確的方式實施安全服務，支持特定安全策略。

降低部署和運營成本

在提高網絡安全性的同時，Cisco ASA 5500系列也降低了部署和運營成本。它廣泛的VPN和安全服務系列使其成為一款多功能設備，且提供了平臺和治理標準化。憑借其訪問控制、應用檢測和蠕蟲、病毒及其他惡意軟件防御技術，它可作為一個融合威脅防御設備而部署。利用其高度可擴展的站點間IPSec和SSL遠程接入VPN功能，它可用作專用的VPN端接設備。此外，它也能在網絡中同樣出色地運行，進行部門間訪問控制，并可針對內部客戶無意間帶入網絡的蠕蟲、病毒和其他惡意代碼進行防護。在小型企業和分支機構環境中，Cisco ASA 5500系列可充當“一體化”解決方案，提供全面的威脅防御和VPN服務，更好地滿足這種部署的預算和運營模式要求。這種自適應“單平臺，多功能”方式，減少了需要部署和治理的平臺數。此通用操作環境也簡化了配置、監控、排障和對安全人員的培訓。為進一步降低運營成本，Cisco ASA 5500系列提供了高度網絡感知能力－可在不干擾合法流量和應用的情況下，無縫地插入網絡。

圖3 Cisco ASA 5500系列部署示例

設備型號

Cisco ASA 5500系列通過Cisco ASA 5510、5520和5540設備，為從中小型企業到大型企業等各種環境提供了解決方案。表1顯示了每種設備型號的性能和功能。

*通過升級許可提供。

如需有關這些平臺的完整規格和更多信息，請參見Cisco ASA 5500系列產品簡介。

訂購信息

表2提供了Cisco ASA 5500系列設備的訂購信息。如需訂購，請訪問思科訂購主頁。

如需所有產品編號的完整列表，請參見Cisco ASA 5500系列產品簡介。

服務與支持

為了幫助客戶更快地獲得成功，思科提供了多種服務計劃。這些創新的服務計劃通過一個由人員、流程、工具和合作伙伴構成的獨特網絡提供，可以實現很高的客戶滿足度。思科服務可以幫助您保護您的網絡投資，優化網絡運營，讓您的網絡為新的應用做好充分的預備，從而拓展網絡智能并增強您的業務優勢。如需了解更多關于思科服務的信息，請訪問思科技術支持服務或者思科高級服務。

了解更多信息

如需了解更多信息，請訪問以下鏈接：

Cisco ASA 5500 系列：http://www.cisco.com/go/asa
思科自適應安全設備治理器： http://www.cisco.com/go/asdm
思科產品認證：http://www.cisco.com/go/securitycert
思科技術支持服務：http://www.cisco.com/en/US/PRodUCts/svcs/ps3034/serv_category_home.Html
思科高級服務：http://www.cisco.com/en/US/products/svcs/ps11/services_segment_category_home.html
思科IPS服務：http://www.cisco.com/en/US/products/ps6076/serv_home.html