Как выбрать Cisco ASA 5500-X серии?

Брандмауэры Cisco ASA принято считать лучшим выбором для корпоративных сетей. Если вы владеете небольшим бизнесом, в этом семействе найдутся варианты, которые смогут удовлетворить ваши потребности. Но имейте в виду, что их функции обычно несколько ограничены по сравнению с более поздними версиями. Нижеприведённая таблица не включает все модели из серии 5500-X. Мы включили только те, которые, по нашему мнению, стали бы наиболее подходящим выбором в сравнении с "нижними" моделями, учитывая при этом цену и функционал.

Спецификации оборудования для Cisco ASA 5500-x series

  ASA 5505 ASA 5506-X ASA 5512-X ASA 5525-X ASA 5555-X
Одновременных сеансов, макс. 10,000/25,000 20,000/50,000 100,000 500,000 1,000,000
Макс.
сеансов юзера VPN , Cisco AnyConnect 
IKEv2
25 2/50 2/250 750 5,000
Stateful Throughput
Inspection
Max. 150Mbps 750 Mbps 1 Gbps 2Gbps 4 Gbps
Multi-protocol Stateful
Throughput Inspection
N/A 250 Mbps 500 Mbps 1 Gbps 1.5 Gbps
VLANs 3/20 5/30 50/100 200 500
Встроенных портов 8 ports fast ethernet
with 2 of those providing
power over ethernet
8 ports
Gb Ethernet
6 ports
10/100/1000
3 port
10/100/1000
8 ports 10/100/1000
Память 4 GB 4 GB 8GB 16 GB
Hard Drive 50 GB SSD 1 slot, 120 GB self encrypting 1 slot
120 GB self
encrypting
2 slots (RAID 1)
120 GB self encypting

Функционал

Серия межсетевых экранов ASA 5500-X от Cisco предлагает множество функций. Однако многие из них требуют дополнительного лицензирования. Обратите внимание, что в следующей таблице перечислены только ключевые функции. Если вы хотите узнать о лицензировании более подробно, то ознакомьтесь с подробными сведениями о лицензировании Cisco для получения полного списка того, что предлагает каждое устройство, либо обратитесь в нашу службу поддержки

Так или иначе, эта таблица содержит основную информацию:

  ASA 5505 ASA 5506-X ASA 5512-X ASA 5525-X ASA 5555-X
Users/Nodes 10 (Base license)
50/Unlimited with
additional license
Unlimited Unlimited Unlimited Unlimited

Отказоустойчивость

Security+ License Security + License Security + License Included Included
AnyConnect Optional License Optional License Optional License Optional License Optional License
BotNet фильтрация No support   Timed License Timed License Timed License
IPS No Support No Support Optional License Optional License Optional License
Кластеризация No support No support Security + License Included Included
GTP/GPRS No Support No Support No Support Optional License Optional License
VPN AnyConnect or
Apex License
AnyConnect or
Apex License
AnyConnect or
Apex License
AnyConnect or
Apex License
AnyConnect or
Apex License

Примечание. Дополнительные лицензии, перечисленные выше, являются отдельными для каждой функции. Например, AnyConnect и IPS требуют отдельной дополнительной лицензии для включения этих функций.

Если вы собираетесь платить за ASA, вы действительно должны использовать эти дополнительные функции. Мы же не будем углубляться в описание каждой из них.

Cisco ASA
Cisco ASA

BotNet фильтрация 

Используя нетехнические термины, BotNet похож на армию зомби-компьютеров, управляемую злоумышленником. Они часто используются в атаках DDoS (Distributed Denial of Service) и могут навредить нормальной работе сети. Эти роботы перегружают вашу сеть трафиком до такой степени, что полезный трафик просто таки теряется. Конечно же они, в основном, ориентированы на "профильные" веб-серверы, но не стоит недооценивать уровень угрозы и для обычных корпоративных сетей. То есть никто не даст гарантии, что вы не станете жертвой DDoS-атаки только потому, что вы являетесь "всего лишь" небольшой компанией.

Отказоустойчивость

Поддержка отказоустойчивости довольно проста.
У вас есть один из двух сценариев:

  •  В сценарии Active/Standby один ASA филонит без дела пока активный ASA не упадёт от усталости, и уж тогда-то первый друг автоматически включается в работу за себя и за того неисправного парня. 
  •  Вы также можете настроить сценарий Active/Active, где каждый брандмауэр имеет свою собственную задачу, но если кто-то не справляется, другой выполняет оба задания. То есть, формируется так называемая избыточность. Она важна в сети, требующей высокого уровня доступности и отказоустойчивости. Другими словами, она должна позволять вам вести бизнес как будто ничего не случилось, пока ваши техники не выведут неисправное устройство в рабочий режим.

IPS

IPS (Intrusion Prevention System - система предотвращения вторжений) - это программное обеспечение, которое постоянно мониторит сетевой трафик на признаки злонамеренной деятельности. IPS не только отслеживает признаки этой деятельности, но и может остановить ее. Система может отбросить злобный трафик, заблокировать IP-адрес злоумышленника, отправить предупреждение системным администраторам и просто сбросить соединение. Угрозы обнаруживаются сложными механизмами: посредством сравнения сигнатур, аномалий или анализа состояния протокола. Это еще один механизм безопасности, который уменьшает вероятность того, что вам придётся ломать голову для решения проблем, связанных с нарушением безопасности.

Как вы можете видеть, эти дополнительные функции брандмауэра Cisco весьма и весьма ценны. Не стоит экономить на них, если они находятся в рамках вашего бюджета. Устранение нарушений безопасности сети - это ещё более ресурсоёмкий процесс, который отнимет много времени и средств вашей компании.

Выбор межсетевого экрана

Для начала просмотрите именно свою сеть. Вы навряд ли захотите сравнивать все эти модели, правда? Проще будет выбрать одну, а затем выяснить совместим ли он с вашим гипервизором или вашими коммутаторами. Поскольку эта информация уж очень обширна, мы просто таки обязаны направить вас к документации Cisco по совместимости . Ну или опять же — вы всегда можете посоветоваться с нашей технической службой. Далее просто: обнаружили что-то несовместимое и можете либо удалить несовместимые устройства в вашей сети, либо рассмотреть другой вариант брандмауэра.

Затем вам нужно определиться с бюджетом. В нашем магазине купить брандмауэр Cisco, конечно же, дешевле, чем где либо ещё, но это лишь в относительных величинах. В абсолютных показателях стоимости они не дешевы, и некоторые функции, которые возможно вам понадобятся вполне могут быть и вне вашего ценового диапазона. В этом случае вы можете изучить альтернативы оборудованию Cisco или (что лучше всего) попытаться переработать бюджет.

Вы также должны учитывать масштабируемость. Нижние модели, которые не поддерживают кластеризацию, могут впоследствии стать головной болью для ваших администраторов, поскольку они должны будут настроить каждый межсетевой экран ASA индивидуально. Имейте в виду, что перечисленные здесь брандмауэры Cisco, из тех, что могут поддерживать кластеризацию, способны группировать только два устройства. Если вам требуется больше, вам нужно посмотреть в сторону моделей 5580 и 5585-X.

И ещё одна вещь, которую вам нужно учитывать, - это расходы на лицензирование. У этих устройств много функций, но за их использование вам придется платить. Обязательно получите информацию от своей IT-группы о том, что, по их мнению, будет работать лучше всего, прежде чем принимать решение о покупке. 
Ну а если у вас есть вопросы, а IT-группы нет, то обращайтесь к нам по любому из каналов связи.
Мы надеемся, что после прочтения нашей  статьи, выбор аппаратного межсетевого экрана для вас будет совсем простым.




Ещё по теме

Обзор линейки маршрутизаторов серии Cisco ASR 1000

Обзор линейки маршрутизаторов серии Cisco ASR 1000

Межсетевые экраны Cisco ASA5500 на примере ASA5505-BUN-K9

Межсетевые экраны Cisco ASA5500 на примере ASA5505-BUN-K9


Написать отзыв

Внимание: HTML не поддерживается! Используйте обычный текст.
    Плохо           Хорошо
Мы вам перезвоним!