UTM适应市场的需求
信息安全威胁开始逐步呈现出网络化和复杂化的态势,以前的安全威胁和恶意行为与现今都不可同日而语,现在每天都有数百种新攻击手段被释放到互联网上,而各种主流软件平台的安全漏洞更是数以千计,计算机设备面临的安全困境远超从前。
传统的防病毒软件只能用于防范计算机病毒,防火墙只能对非法访问通信进行控制,而入侵检测系统只能被用来识别特定的恶意攻击行为。在一个没有得到全面防护的计算机设施中,安全问题的炸弹随时都有爆炸的可能,用户必须针对每种安全威胁部署相应的防御手段,这样复杂度和风险性都难以下降,而且不同产品各司其职的方式已经无法应对当前更加智能的攻击手段。整合式安全设备UTM可从不同的方式获取信息,综合使用这些信息,防御更具智能化的攻击行为,实现主动识别,自动防御的能力。因此UTM类型的产品成为信息安全的一种新的潮流。
UTM产品对于中小企业用户,既可以应付资金比较薄弱的问题,也可以简化管理,大大降低在技术管理方面的要求,弥补中小企业在技术力量上的不足,同时也可以使企业在信息安全方面的安全级别得到真正的提升。
思科的UTM产品系列-ASA5500
Cisco® ASA 5500 系列自适应安全设备是思科专门设计的UTM产品和解决方案,是业界领先的UTM产品,能够将最高的安全性和VPN服务与思科全新的自适应识别和防御(AIM)架构有机地结合在一起。作为思科自防御网络的关键组件,Cisco ASA 5500系列能够提供主动威胁防御,在网络受到威胁之前就能及时阻挡攻击,控制网络行为和应用流量,并提供灵活的VPN连接。思科提供的强大多功能网络安全设备系列不但能为保护中小企业和大型企业网络提供广泛而深入的安全功能,还能降低与实现这种安全性相关的总体部署和运营成本及复杂性。
Cisco ASA 5500 系列能够在一个平台中提供多种已经过市场验证的成熟的安全及网络技术,无论从技术角度还是从经济角度看,都能够为多个地点部署各种安全服务。利用其多功能安全组件,企业几乎不需要作任何两难选择,既可以提供强有力的安全保护,又可以降低在多个地点部署多台设备的运营成本。
 |
| 图1 Cisco ASA 5500 系列自适应安全设备 |
Cisco UTM ASA 5500 系列通过以下关键组件帮助企业更有效地管理网络并提供出色的投资保护:
• 经过市场验证的安全与VPN功能 – 全特性、高性能的防火墙,入侵防御系统 (IPS), 网络防病毒和IPSec/SSL VPN 技术提供了强大的应用安全性,基于用户和应用的访问控制,蠕虫与病毒防御,恶意软件防护以及远程用户/站点连接。
• 可扩展的自适应识别与防御服务架构-利用一个模块化服务处理和策略框架AIM,可根据每个流量的情况,应用特定的安全策略或网络服务,提供高度精确的策略控制和Anti-x保护,并简化流量处理。Cisco ASA 5500 系列AIM架构具有出色效率,安全服务模块(SSM)则提供了软件和硬件可扩展性,因此无需更换平台,也不会降低性能,即可扩展现有服务和部署新服务。作为Cisco ASA 5500系列的架构基础,AIM支持高度可定制的安全策略和前所未有的服务可扩展性,来为威胁程度迅速提高的环境提供保护。
• 降低部署和运营成本– 这种多功能的设备可实现平台、配置和管理的标准化,从而降低部署与日常运营成本。
思科UTM拥有领先的安全和VPN功能
Cisco ASA 5500系列充分利用了思科在开发业界领先、屡获大奖的安全和VPN解决方案方面的丰富经验,且集成了Cisco PIX® 500系列安全设备、Cisco IPS 4200系列入侵防御系统和Cisco VPN 3000系列集中器的最新技术。通过结合这些技术,Cisco ASA 5500系列提供了一个无与伦比的最佳解决方案,能终止范围最为广泛的威胁,并为企业提供灵活、安全的连接选项。Cisco ASA 5500系列提供的安全和网络服务的深度和广度使其能保护网络的任意区域,包括最常见的威胁对象,如移动用户、远程地点,以及不可管理的桌面和服务器。作为思科自适应威胁防御和统一安全接入策略的关键组件之一,Cisco ASA 5500系列结合了多种安全和VPN技术,提供了丰富的应用安全、Anti-x防御、网络控制和抑制,以及安全连接特性。
应用安全
Cisco ASA 5500系列通过30多种可检查第二到七层网络流量的应用感知检测引擎,提供了强大的应用层安全性。为防止网络遭受应用层攻击,使企业能控制应用和协议在环境中的使用方式,这些检测引擎包含丰富的应用和协议知识,采用了安全实施技术,包括应用/协议命令过滤、协议异常事件检测,以及应用和协议状态跟踪。作为另一个应用检测和控制层,这些检测引擎还采用了攻击检测和防御技术,如缓冲泛洪防御、内容过滤和验证,以及URL 显示服务。检测引擎适用于多种常用应用和协议,包括Web服务、文件传输服务、电子邮件服务、语音和多媒体服务、数据库服务、操作系统服务和3G移动无线服务。这些检测引擎也使企业能控制即时消息、对等文件共享和其他隧道应用等威胁,帮助企业实施使用策略,保护合法业务应用的网络带宽。
Anti-X防御
Cisco ASA 5500系列提供了先进、高性能的保护,可防御网络和应用层攻击、拒绝服务(DoS)攻击,以及蠕虫、网络病毒、特洛伊木马、间谍软件及广告软件等恶意软件。要实现高效的Anti-X防御,需将广泛的攻击检测技术与先进的分析技术相配合,以实现高度准确的威胁分类,从而确保在不影响合法网络流量的情况下,实施相应的防御措施。高级检测技术-为确保能发现威胁,Cisco ASA 5500系列提供了众多的检测方法,以发现策略违背、异常活动和安全漏洞攻击。这些方法包括用于终止数据流中的隐藏攻击的状态化模式识别;用于验证网络流量的协议分析;用于识别涉及多个连接的攻击的流量异常检测;可通过观察到协议或服务与正常RFC行为有所偏差而发现攻击的协议异常检测;以及用于发现中间人攻击的第二层分析。专用防护可“净化”网络流量,以防止“逃避检测”的企图;这些防护包括IP分段重组和规范化、TCP流分段重组和规范化、TCP逃避控制、IP防电子欺骗和URL显示。
其中,思科采用创新的分析和关联技术,与广泛的检测技术相结合,可以准确抵御所发现的威胁。它们是:风险评估和元事件生成器。
风险评估-为确保能在不影响合法流量的情况下终止恶意攻击,Cisco ASA 5500系列采用了思科创新的风险评估技术。风险评估超越了用单因素方式确定威胁风险的普通方法,用四种测量因素来确定一个事件的风险:
事件严重程度-评分表示威胁的相对影响
特征可信度-评分表示特征的准确度
资产价值-定制化价值表示攻击目标的重要性(例如,配线间中的打印服务器价值较低,数据中心中的电子商务服务器价值较高)
攻击影响性-数值根据目标对攻击类型的易感性而定
这四个因素的结合可实现准确的威胁评估,以便使用户能自信地采取防御行动。
元数据生成器-为快速、准确地识别和终止会迅速传播并导致严重损失的蠕虫,Cisco ASA 5500系列采用了思科的元数据生成器技术,此种技术可提供独特的设备内关联功能。这可通过蠕虫行为的实时建模实现,这些行为包括多种事件类型和各事件时间间隔的关联性。当蠕虫试图穿过网络时,它们通过多个分组的传输而传播,在很多情况下,这些分组看起来是合法流量。元事件生成器使用实时关联服务,来识别与蠕虫传播相关联的初始分组,并终止完成蠕虫蔓延所需的后续分组传输。这会导致蠕虫无法完好无损地到达目的地,从而“杀死”蠕虫。
网络控制和抑制
Cisco ASA 5500系列提供了范围广泛的网络控制和抑制服务,使企业能精确控制应用访问和网络流量传输。作为安全基础,Cisco ASA 5500系列设备具有丰富的状态化检测防火墙服务,可跟踪所有网络通信的状态并防止未授权网络接入。通过Cisco ASA 5500系列提供的高度灵活的访问控制服务,企业能实施其公司安全策略,以及应用和资源使用策略。根据各种元素,包括用户身份和用户组成员关系、网络资源地址、预定义或定制应用类型、相关VPN隧道、时间和星期几等,可方便地制订策略。使用Cisco ASA 5500系列提供的网络和应用对象分组功能,可简化这些应用的持续管理,使企业能方便地向一个现有对象组添加新网络设备或应用,使得新设备或应用可采用与对象组中其他成员相同的策略。
安全连接服务
Cisco ASA 5500系列提供强大的站点间和远程接入VPN服务,使企业能在公共网络上为移动用户、远程地点和业务合作伙伴创建安全连接。这为实现安全提供了一种集成方式,使机构可获得互联网的连接和成本优势,且不破坏公司安全策略的完整性。
通过将VPN服务与Cisco ASA 5500系列提供的范围广泛的安全服务相集成,企业可受益于更为强大、更为安全的VPN连接。集成化思科自适应威胁防御功能有助于确保VPN不会成为蠕虫、病毒、恶意软件或黑客等网络攻击的传播途径。企业可对VPN流量执行详细的应用和访问控制策略,以使各用户和用户组都只能访问他们有权访问的服务和资源。此外,还能针对每个用户、用户组、隧道、消息流执行定制服务质量(QoS)策略,以确保对各网络流量提供相应的优先级和带宽限制。
远程接入VPN-Cisco ASA 5500系列的灵活技术提供了可符合连接需求的定制解决方案,使可由公司管理的员工桌面能通过IPSec VPN获得强大、可定制的远程接入。对于公司不可管理的终端,如外部网、互联网服务亭或员工自己的台式机,Cisco ASA 5500系列为基于SSL的远程接入提供了WebVPN。利用思科丰富的远程接入经验,企业可部署一个为核心企业应用提供广泛支持的集成平台。
灵活的平台---在单一平台上提供IPSec和基于SSL的VPN服务,无需部署两个并行解决方案。为SSL和IPSec VPN部署分立的平台会导致低效和成本增加,而Cisco ASA 5500系列避免了这些问题。
永续集群---通过在Cisco ASA 5500系列和VPN 3000系列上平均分配VPN连接,可经济有效地进行远程接入部署,无需用户干预。这一高度永续的功能消除了单点故障,使企业能按需扩展其VPN终端,并为企业提供出色的投资保护。
Cisco Easy VPN---提供了一个独特的可扩展、经济有效且易于管理的远程接入VPN架构。Cisco ASA 5500系列设备可动态地将最新VPN安全策略分发到远程VPN设备和客户端,确保那些远程终端能在建立连接前获得最新策略,从而提供最高水平的灵活性、可扩展性和易用性。此外, Cisco ASA 5500系列为VPN客户端软件提供了“自动更新”功能,可使远程桌面上运行的思科VPN客户端软件实现自动版本更新。
站点间VPN---利用 Cisco ASA 5500系列提供的标准站点间VPN功能,企业可安全地通过成本低廉的互联网连接,将网络扩展到业务合作伙伴及全球各地的远程和小型办公室。
适用于当前应用的VPN基础设施---Cisco ASA 5500系列提供了一个能在安全的IPSec网络上融合语音、视频和数据的VPN基础设施,通过将强大的站点间VPN支持和丰富的检测功能、QoS、动态路由及状态化故障恢复特性相结合,使企业可受益于融合网络的众多优势。
强大的安全性和性能---分支机构和远程机构使公司可更好地深入重要的市场,部署于重要的地点。通过基于Cisco ASA 5500系列的VPN解决方案,多个站点间可实现安全、高速的通信,提供了企业通信所必需的出色性能、可靠性和可用性。
智能网络集成
Cisco ASA 5500系列以思科20多年的网络领域领先地位和创新技术为基础,提供了广泛的智能网络服务,可无缝地集成入当今多样化的网络环境。主要的网络集成功能包括:
第二层透明防火墙---无需更改任何地址,就能迅速地将Cisco ASA 5500系列部署于现有网络。它提供了高性能状态第二到七层安全服务,和针对网络层攻击的保护,可集成入复杂的路由、高可用性和组播环境。
服务虚拟化---可将单一Cisco ASA 5500系列设备逻辑划分为多个虚拟防火墙,每个防火墙有自己的策略且分别进行管理 。此功能适用于将多个防火墙整合入单一Cisco ASA 5500系列设备的企业,或是提供可管理防火墙或托管服务的电信运营商。
基于802.1q的VLAN支持---可方便地集成入交换式网络环境。
OSPF动态路由服务---可在几秒内检测出网络中断并绕行断点传输流量,从而提高了网络永续性。
协议独立型组播(PIM)稀疏模式v2和双向PIM路由支持---可安全地供应关键性的实时企业应用、协作式计算应用和流媒体服务。
IPv6支持---可安全地部署下一代IPv6网络。
服务质量(QoS)---低延迟队列(LLQ)和流量监管特性可支持有严格QoS要求的应用,如语音或视频,以确保端到端网络QoS策略的实施。对延迟敏感的流量会获得高于文件传输和其他较能适应延迟的流量的优先级。
IP电话“自动配置”服务---可帮助电话注册正确的Cisco CallManager 系统并下载更多配置信息和软件镜像,从而简化IP电话的部署。
永续架构---为企业提供了状态化主用/主用和主用/备用高可用性服务,以及VPN设备集群,可实现最高吞吐率和网络正常运行时间。Cisco ASA 5500系列也支持“零停机软件更新”,使企业可在故障恢复对上安装软件维护版本,且不会影响连接或网络正常运行。此外,集成的动态负载均衡功能为远程接入VPN部署提供了高连接可扩展性和永续性。
思科UTM独特的自适应识别和防御服务架构
Cisco ASA 5500系列利用其独特的自适应识别与防御服务架构为网络提供了更高的安全性和出色的网络控制(图2)。AIM架构使企业能够适应并扩展 Cisco ASA 5500的高性能安全服务,这是因为它能够利用可选的安全服务模块(SSM)提供出色性能和扩展安全服务,并能够通过定制性高、针对信息流的安全策略来满足应用的安全需求。这一自适应架构使企业能够随时随地根据需要部署安全服务,例如根据特定应用和用户需求定制检测技术,或增加更多入侵防御和Anti-X服务,如自适应检测与防御安全服务模块(AIP SSM)提供的服务。此外,AIM架构可集成未来的威胁识别和防御服务,进一步增强了Cisco ASA 5500系列的出色投资保护,使企业能在出现新威胁时调整其网络防御策略。
 |
| 图2 思科自适应识别和防御服务架构 |
利用Cisco ASA 5500系列强大的策略框架,管理员可综合、协调地制订详细的策略,定义为各流量提供哪些特定服务。共有30多种应用和协议专用检测引擎、QoS策略、Anti-X服务和其他检测及网络服务。策略的制订可基于多种因素,包括网络地址、流量类型、VPN隧道,和应用或目的地等。该架构支持在信息流基础上选择特定安全或网络服务,能以高度精确的方式实施安全服务,支持特定安全策略。
思科UTM帮助用户降低部署和运营成本
在提高网络安全性的同时,Cisco ASA 5500系列也降低了部署和运营成本。它广泛的VPN和安全服务系列使其成为一款多功能设备,且提供了平台和管理标准化。凭借其访问控制、应用检测和蠕虫、病毒及其他恶意软件防御技术,它可作为一个融合威胁防御设备而部署。利用其高度可扩展的站点间IPSec和SSL远程接入VPN功能,它可用作专用的VPN端接设备。此外,它也能在网络中同样出色地运行,进行部门间访问控制,并可针对内部客户无意间带入网络的蠕虫、病毒和其他恶意代码进行防护。在小型企业和分支机构环境中,Cisco ASA 5500系列可充当“一体化”解决方案,提供全面的威胁防御和VPN服务,更好地满足这种部署的预算和运营模式要求。这种自适应“单平台,多功能”方式,减少了需要部署和管理的平台数。此通用操作环境也简化了配置、监控、排障和对安全人员的培训。为进一步降低运营成本,Cisco ASA 5500系列提供了高度网络感知能力-可在不干扰合法流量和应用的情况下,无缝地插入网络。
 |
| 图3 Cisco ASA 5500系列部署示例 |
设备型号
Cisco ASA 5500系列通过Cisco ASA 5510、5520和5540设备,为从中小型企业到大型企业等各种环境提供了解决方案。表1显示了每种设备型号的性能和功能。
结束语
Cisco® ASA 5500 系列自适应安全设备是业界领先的UTM产品,采用自适应识别和防御(AIM)架构,并结合思科自防御网络的核心技术,提供综合的防护能力,使企业几乎不需要作任何两难选择,既可以提供强有力的安全保护,又可以降低在多个地点部署多台设备的运营成本,真正实现信息安全保护。
68476636-8002)
