Брандмауэры Cisco ASA принято считать лучшим выбором для корпоративных сетей. Если вы владеете небольшим бизнесом, в этом семействе найдутся варианты, которые смогут удовлетворить ваши потребности. Но имейте в виду, что их функции обычно несколько ограничены по сравнению с более поздними версиями. Нижеприведённая таблица не включает все модели из серии 5500-X. Мы включили только те, которые, по нашему мнению, стали бы наиболее подходящим выбором в сравнении с "нижними" моделями, учитывая при этом цену и функционал.
Спецификации оборудования для Cisco ASA 5500-x series
| ASA 5505 | ASA 5506-X | ASA 5512-X | ASA 5525-X | ASA 5555-X | |
|---|---|---|---|---|---|
| Одновременных сеансов, макс. | 10,000/25,000 | 20,000/50,000 | 100,000 | 500,000 | 1,000,000 |
| Макс. сеансов юзера VPN , Cisco AnyConnect IKEv2 |
25 | 2/50 | 2/250 | 750 | 5,000 |
| Stateful Throughput Inspection |
Max. 150Mbps | 750 Mbps | 1 Gbps | 2Gbps | 4 Gbps |
| Multi-protocol Stateful Throughput Inspection |
N/A | 250 Mbps | 500 Mbps | 1 Gbps | 1.5 Gbps |
| VLANs | 3/20 | 5/30 | 50/100 | 200 | 500 |
| Встроенных портов | 8 ports fast ethernet with 2 of those providing power over ethernet |
8 ports Gb Ethernet |
6 ports 10/100/1000 |
3 port 10/100/1000 |
8 ports 10/100/1000 |
| Память | — | 4 GB | 4 GB | 8GB | 16 GB |
| Hard Drive | — | 50 GB SSD | 1 slot, 120 GB self encrypting | 1 slot 120 GB self encrypting |
2 slots (RAID 1) 120 GB self encypting |
Функционал
Серия межсетевых экранов ASA 5500-X от Cisco предлагает множество функций. Однако многие из них требуют дополнительного лицензирования. Обратите внимание, что в следующей таблице перечислены только ключевые функции. Если вы хотите узнать о лицензировании более подробно, то ознакомьтесь с подробными сведениями о лицензировании Cisco для получения полного списка того, что предлагает каждое устройство, либо обратитесь в нашу службу поддержки.
Так или иначе, эта таблица содержит основную информацию:
| ASA 5505 | ASA 5506-X | ASA 5512-X | ASA 5525-X | ASA 5555-X | |
|---|---|---|---|---|---|
| Users/Nodes | 10 (Base license) 50/Unlimited with additional license |
Unlimited | Unlimited | Unlimited | Unlimited |
|
Отказоустойчивость |
Security+ License | Security + License | Security + License | Included | Included |
| AnyConnect | Optional License | Optional License | Optional License | Optional License | Optional License |
| BotNet фильтрация | No support | Timed License | Timed License | Timed License | |
| IPS | No Support | No Support | Optional License | Optional License | Optional License |
| Кластеризация | No support | No support | Security + License | Included | Included |
| GTP/GPRS | No Support | No Support | No Support | Optional License | Optional License |
| VPN | AnyConnect or Apex License |
AnyConnect or Apex License |
AnyConnect or Apex License |
AnyConnect or Apex License |
AnyConnect or Apex License |
Примечание. Дополнительные лицензии, перечисленные выше, являются отдельными для каждой функции. Например, AnyConnect и IPS требуют отдельной дополнительной лицензии для включения этих функций.
Если вы собираетесь платить за ASA, вы действительно должны использовать эти дополнительные функции. Мы же не будем углубляться в описание каждой из них.
BotNet фильтрация
Используя нетехнические термины, BotNet похож на армию зомби-компьютеров, управляемую злоумышленником. Они часто используются в атаках DDoS (Distributed Denial of Service) и могут навредить нормальной работе сети. Эти роботы перегружают вашу сеть трафиком до такой степени, что полезный трафик просто таки теряется. Конечно же они, в основном, ориентированы на "профильные" веб-серверы, но не стоит недооценивать уровень угрозы и для обычных корпоративных сетей. То есть никто не даст гарантии, что вы не станете жертвой DDoS-атаки только потому, что вы являетесь "всего лишь" небольшой компанией.
Отказоустойчивость
Поддержка отказоустойчивости довольно проста.
У вас есть один из двух сценариев:
- В сценарии Active/Standby один ASA филонит без дела пока активный ASA не упадёт от усталости, и уж тогда-то первый друг автоматически включается в работу за себя и за того неисправного парня.
- Вы также можете настроить сценарий Active/Active, где каждый брандмауэр имеет свою собственную задачу, но если кто-то не справляется, другой выполняет оба задания. То есть, формируется так называемая избыточность. Она важна в сети, требующей высокого уровня доступности и отказоустойчивости. Другими словами, она должна позволять вам вести бизнес как будто ничего не случилось, пока ваши техники не выведут неисправное устройство в рабочий режим.
IPS
IPS (Intrusion Prevention System - система предотвращения вторжений) - это программное обеспечение, которое постоянно мониторит сетевой трафик на признаки злонамеренной деятельности. IPS не только отслеживает признаки этой деятельности, но и может остановить ее. Система может отбросить злобный трафик, заблокировать IP-адрес злоумышленника, отправить предупреждение системным администраторам и просто сбросить соединение. Угрозы обнаруживаются сложными механизмами: посредством сравнения сигнатур, аномалий или анализа состояния протокола. Это еще один механизм безопасности, который уменьшает вероятность того, что вам придётся ломать голову для решения проблем, связанных с нарушением безопасности.
Как вы можете видеть, эти дополнительные функции брандмауэра Cisco весьма и весьма ценны. Не стоит экономить на них, если они находятся в рамках вашего бюджета. Устранение нарушений безопасности сети - это ещё более ресурсоёмкий процесс, который отнимет много времени и средств вашей компании.
Выбор межсетевого экрана
Для начала просмотрите именно свою сеть. Вы навряд ли захотите сравнивать все эти модели, правда? Проще будет выбрать одну, а затем выяснить совместим ли он с вашим гипервизором или вашими коммутаторами. Поскольку эта информация уж очень обширна, мы просто таки обязаны направить вас к документации Cisco по совместимости . Ну или опять же — вы всегда можете посоветоваться с нашей технической службой. Далее просто: обнаружили что-то несовместимое и можете либо удалить несовместимые устройства в вашей сети, либо рассмотреть другой вариант брандмауэра.
Затем вам нужно определиться с бюджетом. В нашем магазине купить брандмауэр Cisco, конечно же, дешевле, чем где либо ещё, но это лишь в относительных величинах. В абсолютных показателях стоимости они не дешевы, и некоторые функции, которые возможно вам понадобятся вполне могут быть и вне вашего ценового диапазона. В этом случае вы можете изучить альтернативы оборудованию Cisco или (что лучше всего) попытаться переработать бюджет.
Вы также должны учитывать масштабируемость. Нижние модели, которые не поддерживают кластеризацию, могут впоследствии стать головной болью для ваших администраторов, поскольку они должны будут настроить каждый межсетевой экран ASA индивидуально. Имейте в виду, что перечисленные здесь брандмауэры Cisco, из тех, что могут поддерживать кластеризацию, способны группировать только два устройства. Если вам требуется больше, вам нужно посмотреть в сторону моделей 5580 и 5585-X.
И ещё одна вещь, которую вам нужно учитывать, - это расходы на лицензирование. У этих устройств много функций, но за их использование вам придется платить. Обязательно получите информацию от своей IT-группы о том, что, по их мнению, будет работать лучше всего, прежде чем принимать решение о покупке.
Ну а если у вас есть вопросы, а IT-группы нет, то обращайтесь к нам по любому из каналов связи.
Мы надеемся, что после прочтения нашей статьи, выбор аппаратного межсетевого экрана для вас будет совсем простым.
