在所有机构的网络安全基础设施中,防火墙都提供第一道防线。它采用的具体作法是,将公司制定的用户网络访问权限策略与每次访问操作的连接信息进行比较。如果用户策略与连接信息不匹配,防火墙就不允许建立连接。如果相互匹配,则防火墙允许流量流经网络。
通过这种方式,防火墙形成了各机构网络安全基础设施的基本模块。由于防火墙能够提供卓越的性能,延长关键业务运作的网络正常运行时间,因而物超所值。但是,随着公司网络上语音、视频和协作流量的快速增长,企业不但要求防火墙引擎以超高速度运行,还要求它支持应用级检查。标准的L2和L3防火墙能够防止对内部和外部网络的非法接入,如果增加了应用级检测,防火墙将能够在L7检测、识别和验证应用类型,有效阻止不需要或误操作的应用流量。利用这些功能,防火墙不但能执行端点用户注册和认证,还能有效控制多媒体应用的使用。
Cisco ASA 5500 系列自适应安全设备提供领先的防火墙功能,并能够通过扩展支持其它安全服务。
1.1.1 对速度的要求
在网络能够不断增强业务生产率、协作和通信的同时,防火墙也得到了同步的发展。例如,Cisco® ASA 5500 系列自适应安全设备就是专门为数百种应用协议的标准策略实施和应用级防火墙检测而开发的。独立的第三方测试表明,这种防火墙的性能远远超过了同类产品。另外,在全球市场调查公司Gartner 于2006年6月进行的防火墙“魔方”调查中,Cisco ASA 5500系列自适应安全设备在概念和技术上都名列榜首。
利用Cisco ASA 5500 系列的高性能应用检测功能,网络对待流量的详细策略依据不但能基于端口、状态和地址信息,还能基于深埋在数据帧头与负载中的应用信息。通过对这种深度数据包检测信息与公司策略的比较,防火墙能够允许或阻止某些流量通过。例如,如果公司策略禁止企图通过开放端口进入网络的应用流量通过网络,那么,即使这种流量在用户和连接水平上看似合法流量,也会被自动丢弃。
这种不需要的流量可能包含将会消耗大量带宽的与业务无关的对等流量。它可能会建立即时消息传送流量,但不符合公司的即时消息传送标准。另外,它还可能是公司决定从网络中滤除的其它非关键应用流量。
Cisco ASA 5500 系列自适应安全设备能够以业内领先的性能检测和过滤协议。2005年9月,位于新泽西州克林波瑞的独立测试实验室 Miercom 的测试结果表明,中端Cisco ASA 5520 通过TCP/IP连接传输HTTP(Web)流量的性能,比最接近的三家竞争对手高六倍。与此同时,Cisco ASA 5520 还能实现100%的威胁检测成功率,而其它设备只能达到30-40%的准确率。
利用这种性能和安全准确率,各企业可以利用Cisco ASA 5500 系列,快速、安全地扩展网络部署和应用,满足企业用户对响应时间的要求。
企业网络的安全组件
企业网安全架构的主要组件包括:
部署在传统公司广域网边缘周边、分支机构广域网边缘以及企业内部的战略位置,保证合法用户接入的防火墙;
从网络中滤除恶意代码的IPS;
用于加密(支持站点到站点连接的IPsec和支持移动连接的SSL)以防止数据被盗的VPN;
防止远程和移动用户连接遭受病毒侵袭,保证安装了所需软件和安全版本的端点或Anti-X安全性。
1.1.2 增加入侵防御
Gartner 对新一代防火墙的定义是:将防火墙过滤与入侵防御系统(IPS)结合在一起的防火墙。与防火墙相似,IPS 也能实时过滤数据包。但是,IPS 并不依据用户信息和应用策略过滤,而是扫描进入代码中的已知恶意样式,称为签名。这些签名能够证明恶意代码的存在,例如蠕虫、特洛伊木马和间谍软件。
间谍软件可能会消耗服务器和网络资源,并造成针对内部员工或外部Web用户的拒绝服务(DoS)攻击。由于IPS 能够过滤已知恶意签名,因而能进一步提高防火墙功能的安全性。一旦IPS检测到恶意代码,系统就会阻止它进入网络。
根据Gartner 的调查,由于新一代防火墙能够将防火墙和IPS集成在一起,因而只需检测一次流量。相反,如果需要检测一次连接层信息并检查一次恶意代码,将显著降低系统吞吐量。
利用Cisco ASA 5500 系列,企业能够灵活地增加IPS 服务,阻止其它恶意代码的攻击。Cisco ASA 5500 系列防火墙版作为独立的防火墙设备,其中包含用于处理加密会话的VPN 集中器。要添加入侵防御,除防火墙以外,各机构还可以在系统机箱中安装自适应检测和防御安全服务模块(AIP-SSM),建立一次通过防火墙/IPS数据包检测。
Cisco ASA 5500 系列自适应安全设备不但能通过扩展支持IPS,还能支持企业需要的其它主要安全保护机制:安全套接字层(SSL)VPN和端点安全性(也称为“Anti-X”安全性)。利用这种内部可扩展性,企业可以根据每个网段的特殊要求,让设备灵活地满足安全需求。与此同时,利用同一个平台还能降低总体安全运作成本。
为进一步降低成本,部署了融合型服务器和数据中心的机构还可以将Cisco ASA 5500 系列自适应安全设备划分成多个“虚拟”防火墙,以提高可扩展性。换言之,一台物理Cisco ASA 5500 系列设备可以作为多个逻辑防火墙完成多台设备的任务,并能降低资本支出(CapEx)。Cisco ASA 5500 系列设备是“即插即用”的:网络管理员不需要修改交换机或路由器的任何配置,就能将其添加到现有网络基础设施中。
1.1.3 为适当的位置提供适当的服务
Cisco ASA 5500 系列为企业提供的全套服务都可以通过专门为防火墙、IPS、Anti-X和VPN支持开发的产品版本定制。由于这些版本允许网络管理员为适当的位置部署适当的安全服务,因而能提供卓越的保护。为满足企业网内特殊环境的需求,每个版本都与一套专用思科安全服务结合在一起。
对于大中型企业,Cisco ASA 5500 系列设备可以作为防火墙/IPsec VPN 集中器、IPS、Anti-X安全系统或SSL VPN集中器独立运行。Cisco ASA 5500 系列Anti-X版不但能防止公司网络感染远程和移动客户端的病毒,还能检查远程设备是否安装了要求的操作系统、应用和安全软件版本。VPN版增加了从10个SSL VPN用户起步的许可证,并允许增加SSL许可证(见图1)。
图1 Cisco ASA 5500 系列解决方案——业务解决方案与公司网络
Cisco ASA 5500 系列自适应安全设备可以部署到整个企业,作为深入防御最佳实践安全方法,在特殊网段中提供所需要的服务。该设备可以在某个网段中执行一种职能,而在另一个网段中执行另一种职能。换言之,执行哪种职能完全视需求而定。
另外,该设备还能在一个机箱中支持多种安全功能,其便利性和经济性非常适合分支机构使用。为了将多种功能结合在一起,Cisco ASA 5500 系列设备为IPS和Anti-X保护提供模块化刀片。SSL VPN只需添加软件和许可证即可实现。如果为Cisco ASA 5500 系列防火墙版增加其它模块和/或软件功能,还可以根据要求启用或关闭防火墙功能。
大企业拥有雄厚的资金和人力,可以选择、安装和管理来自不同厂商的最佳产品。但是,新一代融合型设备是一种结实耐用的产品:它们紧密集成安全功能的目的不但包括提高便利性和降低资本支出;还包括提高安全性,因为独立功能可以共享安全事件信息。另外,它们还具有更高的性能,因为单次通过数据包检测能够扫描多种威胁。因此,功能融合的安全设备可能更符合大企业的需要。
如上所述,Cisco ASA 5500 系列的准确性高于同类产品。在前面提到的Miercom 独立实验室测试中,比较了防火墙性能、统一防火墙和IPS性能、IPsec VPN吞吐量以及每秒连接性能。Cisco ASA 5520 的3DES IPsecVPN吞吐量比同类产品高三倍,其连接建立率比同类产品高四倍。
备注: 在 Miercom 的测试中,总共为接受测试的四种系统发动了126种威胁或测试条件。每个系统独立执行一个测试条件,每个系统都测试了所有签名。如需进一步了解测试情况,请访问:
1.1.4 结论
防火墙是各机构网络安全体系结构中的基本模块,因此,必须部署在整个企业网中所有可能的入侵点上。根据业内领先的市场研究厂商的预测,为降低成本,提高运作便利性,新一代防火墙不但会集成防火墙和IPS过滤,还会集成其它安全功能。另外,集成不但会通过安全数据关联提高安全性,还会在单次通过数据包检测中提供卓越的性能。
Cisco ASA 5500 自适应安全设备不但可以用作防火墙,还可以利用机箱模块和集成式软件功能扩展,执行全部安全功能。该设备能够根据每个网段需要的吞吐量和连接数,以合理的价格从最小的家庭办公室扩展到最大的企业环境。