Новинки модельного ряда Cisco ASA

7 апреля 2015 года Cisco анонсировали новые решения в области информационной безопасности. Которые представлены в новых моделях многофункционального защитного устройства Cisco ASA. После того, как в 2013 году компания Cisco приобрели компанию Sourcefire и интегрировали ее технологии с решениями Cisco, появился новый продукт Cisco ASA с функциями FirePOWER.

 

У новых фаэрволов, помимо традиционного межсетевого экрана с функцией контроля состояний, помимо лидирующей в отрасли системы построения межофисных VPN и VPN для удаленного доступа на базе протокола DTLS, также появились:

  • технологии контроля приложений Next Generation  Firewall,
  • лидирующая в отрасли система обнаружения и предотвращения вторжений Next Generation IPS,
  • система фильтрации URL на основе репутационных технологий и категоризации посещаемых ресурсов,
  • система Advanced Malware Protection для борьбы с вредоносным кодом и обнаружении его постфактум,
  •  встроенные системы управления уязвимостями,
  • система корреляций,
  • система управления событиями в области информационной безопасности.

Весь этот функционал может быть запущен как в виде отдельных высокоскоростных устройств, так и виде виртуальных модулей, активируемых лицензией на платформе Cisco ASA 5500-Х, начиная с модели 5512-Х и заканчивая старшей моделью 5585-Х.

 

И отдельно, немного особняком у стояла самая  младшая модель Cisco ASA 5500, это модель ASA5505, которая уступала по функциональности, по программному обеспечению  старшим моделям.

Именно поэтому Cisco анонсировали несколько новых моделей, которые пришли на смену Cisco ASA 5505.

Это в первую очередь модели:

ASA5506-Х – настольный вариант (100% NGFW-поставляется с AVC);

ASA5506W-X  настольный вариант многофункционального защитного средства с встроенной точной беспроводного доступа (Wi-Fi может управляться локально или через Cisco WLC);

ASA5508-Х и ASA5516-Х (1RU, новая платформа-лучшее сочетание цены и производительности);

ASA5506H-X – абсолютно новое решение, продукт в защищенном исполнении, предназначенный для установки в агрессивных средах, в индустриальных сегментах для защиты автоматизированных систем управления технологическими процессами, для защиты АСУ ТП.

 

Если сравнить анонсированное сейчас (и то, что уже доступно к заказу), по сравнению с прежней моделью АSА 5505, то можно увидеть, что по всем показателям (по функционалу, лицензированию, пропускной способности, наличию интегрированной точки Wi-Fi доступа) новые модели 5506-Х в разном исполнении 5508-Х и 5516-Х, они превосходят модель 5505.

Ключевые отличия по сравнению с Cisco ASA 5505

функция

 

5505

5506-Х/5508-Х / 5516-Х

NGFW

Контроль приложений (AVC)

Нет

Да

Cisco FirePOWER Services

Подписки на AMP, NGIPS,URL Filtering

Нет

Да

Hardware Security

Cisco Trust Anchor

Нет

Да

Simplified Purchase Experience

Поддержка неограниченного числа пользователей (Node)

Нет

Да

VPN

Расширенная поддержка мобильности

Нет

Да

Additional Features

Пропускная способность

2,5Х + для МСЭ

Интегрированная точка доступа Wi-Fi

Нет

Да (5506W-X)

В защищенном исполнении

Нет

Да (5506H-X)

 

Новая модель ASA 5506-Х, помимо того, что она содержит большое количество портов, больше память, лучше процессор, позволяет нам обеспечивать большую производительность, чем это делала модель 5505. У данной модели есть еще одно неоспоримое преимущество: помимо функции межсетевого экрана с контролем состояний, помимо функции VPN поддержки, данное решение также включает в себя полноценную систему предотвращения вторжений, систему URL фильтрации, систему управления инцидентами, систему управления уязвимостями, корреляций, систему борьбы с вредоносным кодом, весь тот же самый функционал, что и на старших моделях, вплоть до 5585-Х, но в небольшом настольном форм-факторе.

Основные характеристики ASA5506

Параметр

Значение

CPU

Многоядерный

RAM

4 Гб

Ускоритель

Да

Порты

8х GE портов данных, 1 порт управления с 10/100/1000 BASE-T

Консольный порт

RJ-45, Mini USB

USB-порт

Type “A” supports 2.0

Память

64-GB mSata

Охлаждение

Convection

Питание

AC extemal, No DC

 

Для небольших офисов, интернет-киосков, интернет-терминалов, предназначена беспроводная модель ASA 5506W-X, в которую встроена точка доступа, аналогичная точке доступа Cisco 702 по функционалу, по возможностям, в остальном, данное решение ничем не отличается от обычной модели 5506-Х.

 

Основные характеристики ASA5506W

Параметр

Значение

Wireless AP

Cisco ASA 5506_AP702 (аналогично AP702i), IEEE 802.11n, 2х2 MIMO

Порты

8х внешних портов данных, 1 точка доступа (соединение с 1внутренним портом данных)

Порт управления

Any Data Port of g1/1-g1/9, Mgmt 1/1 только для управления МСЭ

Управление

Отдельное управление для Wireless, HTTP х AP GUI

 

ASA 5506H-X в защищенном исполнении, специально создана для установки в агрессивных средах, в индустриальных сегментах, в цехах, на улице, на буровых и тому подобных местах, где достаточно специфическое окружение (температура, влага, пыль и т.д.), где требуется использование специализированного корпуса и оборудования. Такое решение у компании Cisco появилось. Оно расширило уже существующие решения для индустриального применения, специальные индустриальные коммутаторы, маршрутизаторы, индустриальные точки доступа. Теперь есть и индустриальный межсетевой экран с индустриальной системой обнаружения и предотвращения вторжений, а также индустриальной системы обнаружения и противодействия вредоносному коду.

 

Основные характеристики ASA5506H

Параметр

Значение

Порты

4 х портов данных

Управление

1 порт, 10/100/1000BASE-T, 100BASE-FX, 1000BASE-X, SFP

Напряжение

5V( ***5506 is 12V)

Диапазон температур

От -20 до 60*С

Монтаж

Wall-Mount, Horizontal Desk, Rack-Mount и DIN rail-mount

 

Модели - ASA 5508-X и ASA 5516-X отличаются встроенным жестким диском, что позволяет практически мгновенно запускать на них весь необходимый функционал FirePOWER – системы предотвращения вторжений, борьбу с вредоносным кодом, URL фильтрацию и т.д. На предыдущих моделях 5512-Х, 5515-Х жесткий диск SSD приобретается отдельно. Здесь он уже является неотъемлемой частью поставки.

 

Основные характеристики ASA5508 и ASA5516

Параметр

Значение

CPU

Многоядерный

RAM

8 Гб

Ускоритель

Да

Порты

8х GE портов данных, 1 порт управления с 10/100/1000 BASE-T

Консольный порт

RJ-45, Mini USB

USB-порт

Type “A” supports 2.0

Память

120-GB SSD

Охлаждение

Вентилятор

Питание

AC Intemal, no DC

 

Если сравнить производительность младших моделей Cisco ASA с функциями FirePOWER новых анонсированных моделей 5506-Х, 5508-Х, 5516-Х с двумя моделями предыдущего модельного ряда 5512-Х и 5515-Х, видно, что по всем показателям новые модели либо превосходят, либо сопоставимы с предыдущими двумя решениями.

Если сравнить функциональность, связанную с традиционной возможностью Cisco ASA, не беря контроль приложений, функции предотвращения вторжений, обращая внимание только на традиционный межсетевой экран с контролем состояний, на функции IPSec, на количество тоннелей IPSec либо SSL, на количество контекстов безопасности, поддерживаемых VLAN, то видно, что новые модели либо превосходят, либо сопоставимы с предыдущим модельным рядом. Но больший функционал, встроенный жесткий диск, делают новые решения более предпочтительными при выборе и внедрении, чем предыдущие две модели 5512-Х и 5515-Х.

Производительность Cisco ASA c FirePOWER

Модель

5506-Х

5508-Х

5512-Х

5515-Х

5516-Х

Контроль приложений (NGFW)

250

450

300

500

850

Контроль приложений вместе с предотвращением атак (NGFW + IPS)

125

250

150

250

600

Максимальное число одновременных соединений

20,000 / 50,000

100,000

250,000

100,000

250,000

Максимальное число новых соединений в секунду

5,000

10,000

10,000

15,000

20,000

 

 

 

 

 

Модель

5506-Х

5508-Х

5512-Х

5515-Х

5516-Х

МСЭ с контролем состояния

750 Мбит/с

1 Гбит/с

1 Гбит/с

1,2 Гбит/с

1,8 Гбит/с

Пропускная способность в режиме шифрования

100 Мбит/с

175 Мбит/с

200 Мбит/с

250 Мбит/с

250 Мбит/с

IPSec VPN соединений

10; 50

100

250

250

300

Cisco AnyConnect соединений

2; 50

100

2; 250

2; 250

300

Контекстов безопасности

Н/п

Н/п

2;5

2;5

2;5

VLAN

5;30

50

50; 100

100

100

Отказоустойчивость

Требует Security Plus License; Active/ Standby

Active/ Active и Active/ Standby

Требует Security Plus License; Active/Active и Active/Standby

Active/Active и Active/ Standby

Active/Active и Active/ Standby

 

И, наконец, еще одно важное отличие новых моделей, это встроенная локальная система управления для всего функционала с точки зрения защиты и для функций обычного межсетевого экрана и для функций VPN и для функции FirePOWER сервиса. То есть для борьбы с несанкционированными приложениями, для их контроля, для борьбы с атаками, для борьбы с вредоносным кодом, для управления уязвимостями на узлах сети, для корреляции этих событий между собой. Все это - встроенная  локальная система управления ASDM, начиная с версии 7.3.

 

Компания Cisco прилагает большие усилия для развития модельного ряда Cisco ASA, и предложения своим заказчикам самых лучших решений в области информационной безопасности.