7 апреля 2015 года Cisco анонсировали новые решения в области информационной безопасности. Которые представлены в новых моделях многофункционального защитного устройства Cisco ASA. После того, как в 2013 году компания Cisco приобрели компанию sourcefire и интегрировали ее технологии с решениями Cisco, появился новый продукт Cisco ASA с функциями firepower.
У новых фаэрволов, помимо традиционного межсетевого экрана с функцией контроля состояний, помимо лидирующей в отрасли системы построения межофисных vpn и vpn для удаленного доступа на базе протокола dtls, также появились:
- технологии контроля приложений next generation firewall,
- лидирующая в отрасли система обнаружения и предотвращения вторжений next generation ips,
- система фильтрации url на основе репутационных технологий и категоризации посещаемых ресурсов,
- система advanced malware protection для борьбы с вредоносным кодом и обнаружении его постфактум,
- встроенные системы управления уязвимостями,
- система корреляций,
- система управления событиями в области информационной безопасности.
Весь этот функционал может быть запущен как в виде отдельных высокоскоростных устройств, так и виде виртуальных модулей, активируемых лицензией на платформе Cisco ASA 5500-Х, начиная с модели 5512-Х и заканчивая старшей моделью 5585-Х.
И отдельно, немного особняком у стояла самая младшая модель Cisco ASA 5500, это модель asa5505, которая уступала по функциональности, по программному обеспечению старшим моделям.
Именно поэтому Cisco анонсировали несколько новых моделей, которые пришли на смену Cisco ASA 5505.
Это в первую очередь модели:
asa5506-Х – настольный вариант (100% ngfw-поставляется с avc);
asa5506w-x настольный вариант многофункционального защитного средства с встроенной точной беспроводного доступа (wi-fi может управляться локально или через Cisco wlc);
asa5508-Х и asa5516-Х (1ru, новая платформа-лучшее сочетание цены и производительности);
asa5506h-x – абсолютно новое решение, продукт в защищенном исполнении, предназначенный для установки в агрессивных средах, в индустриальных сегментах для защиты автоматизированных систем управления технологическими процессами, для защиты АСУ ТП.
Если сравнить анонсированное сейчас (и то, что уже доступно к заказу), по сравнению с прежней моделью АSА 5505, то можно увидеть, что по всем показателям (по функционалу, лицензированию, пропускной способности, наличию интегрированной точки wi-fi доступа) новые модели 5506-Х в разном исполнении 5508-Х и 5516-Х, они превосходят модель 5505.
Ключевые отличия по сравнению с Cisco ASA 5505
|
функция |
|
5505 |
5506-Х/5508-Х / 5516-Х |
|
ngfw |
Контроль приложений (avc) |
Нет |
Да |
|
Cisco firepower services |
Подписки на amp, ngips,url filtering |
Нет |
Да |
|
hardware security |
Cisco trust anchor |
Нет |
Да |
|
simplified purchase experience |
Поддержка неограниченного числа пользователей (node) |
Нет |
Да |
|
vpn |
Расширенная поддержка мобильности |
Нет |
Да |
|
additional features |
Пропускная способность |
|
2,5Х + для МСЭ |
|
Интегрированная точка доступа wi-fi |
Нет |
Да (5506w-x) |
|
|
В защищенном исполнении |
Нет |
Да (5506h-x) |
Новая модель asa 5506-Х, помимо того, что она содержит большое количество портов, больше память, лучше процессор, позволяет нам обеспечивать большую производительность, чем это делала модель 5505. У данной модели есть еще одно неоспоримое преимущество: помимо функции межсетевого экрана с контролем состояний, помимо функции vpn поддержки, данное решение также включает в себя полноценную систему предотвращения вторжений, систему url фильтрации, систему управления инцидентами, систему управления уязвимостями, корреляций, систему борьбы с вредоносным кодом, весь тот же самый функционал, что и на старших моделях, вплоть до 5585-Х, но в небольшом настольном форм-факторе.
Основные характеристики asa5506
|
Параметр |
Значение |
|
cpu |
Многоядерный |
|
ram |
4 Гб |
|
Ускоритель |
Да |
|
Порты |
8х ge портов данных, 1 порт управления с 10/100/1000 base-t |
|
Консольный порт |
rj-45, mini usb |
|
usb-порт |
type “a” supports 2.0 |
|
Память |
64-gb msata |
|
Охлаждение |
convection |
|
Питание |
ac extemal, no dc |
Для небольших офисов, интернет-киосков, интернет-терминалов, предназначена беспроводная модель asa 5506w-x, в которую встроена точка доступа, аналогичная точке доступа Cisco 702 по функционалу, по возможностям, в остальном, данное решение ничем не отличается от обычной модели 5506-Х.
Основные характеристики asa5506w
|
Параметр |
Значение |
|
wireless ap |
Cisco ASA 5506_ap702 (аналогично ap702i), ieee 802.11n, 2х2 mimo |
|
Порты |
8х внешних портов данных, 1 точка доступа (соединение с 1внутренним портом данных) |
|
Порт управления |
any data port of g1/1-g1/9, mgmt 1/1 только для управления МСЭ |
|
Управление |
Отдельное управление для wireless, http х ap gui |
asa 5506h-x в защищенном исполнении, специально создана для установки в агрессивных средах, в индустриальных сегментах, в цехах, на улице, на буровых и тому подобных местах, где достаточно специфическое окружение (температура, влага, пыль и т.д.), где требуется использование специализированного корпуса и оборудования. Такое решение у компании Cisco появилось. Оно расширило уже существующие решения для индустриального применения, специальные индустриальные коммутаторы, маршрутизаторы, индустриальные точки доступа. Теперь есть и индустриальный межсетевой экран с индустриальной системой обнаружения и предотвращения вторжений, а также индустриальной системы обнаружения и противодействия вредоносному коду.
Основные характеристики asa5506h
|
Параметр |
Значение |
|
Порты |
4 х портов данных |
|
Управление |
1 порт, 10/100/1000base-t, 100base-fx, 1000base-x, sfp |
|
Напряжение |
5v( ***5506 is 12v) |
|
Диапазон температур |
От -20 до 60*С |
|
Монтаж |
wall-mount, horizontal desk, rack-mount и din rail-mount |
Модели - asa 5508-x и asa 5516-x отличаются встроенным жестким диском, что позволяет практически мгновенно запускать на них весь необходимый функционал firepower – системы предотвращения вторжений, борьбу с вредоносным кодом, url фильтрацию и т.д. На предыдущих моделях 5512-Х, 5515-Х жесткий диск ssd приобретается отдельно. Здесь он уже является неотъемлемой частью поставки.
Основные характеристики asa5508 и asa5516
|
Параметр |
Значение |
|
cpu |
Многоядерный |
|
ram |
8 Гб |
|
Ускоритель |
Да |
|
Порты |
8х ge портов данных, 1 порт управления с 10/100/1000 base-t |
|
Консольный порт |
rj-45, mini usb |
|
usb-порт |
type “a” supports 2.0 |
|
Память |
120-gb ssd |
|
Охлаждение |
Вентилятор |
|
Питание |
ac intemal, no dc |
Если сравнить производительность младших моделей Cisco ASA с функциями firepower новых анонсированных моделей 5506-Х, 5508-Х, 5516-Х с двумя моделями предыдущего модельного ряда 5512-Х и 5515-Х, видно, что по всем показателям новые модели либо превосходят, либо сопоставимы с предыдущими двумя решениями.
Если сравнить функциональность, связанную с традиционной возможностью Cisco ASA, не беря контроль приложений, функции предотвращения вторжений, обращая внимание только на традиционный межсетевой экран с контролем состояний, на функции ipsec, на количество тоннелей ipsec либо ssl, на количество контекстов безопасности, поддерживаемых vlan, то видно, что новые модели либо превосходят, либо сопоставимы с предыдущим модельным рядом. Но больший функционал, встроенный жесткий диск, делают новые решения более предпочтительными при выборе и внедрении, чем предыдущие две модели 5512-Х и 5515-Х.
Производительность Cisco ASA c firepower
|
Модель |
5506-Х |
5508-Х |
5512-Х |
5515-Х |
5516-Х |
|
Контроль приложений (ngfw) |
250 |
450 |
300 |
500 |
850 |
|
Контроль приложений вместе с предотвращением атак (ngfw + ips) |
125 |
250 |
150 |
250 |
600 |
|
Максимальное число одновременных соединений |
20,000 / 50,000 |
100,000 |
250,000 |
100,000 |
250,000 |
|
Максимальное число новых соединений в секунду |
5,000 |
10,000 |
10,000 |
15,000 |
20,000 |
|
МСЭ с контролем состояния |
750 Мбит/с |
1 Гбит/с |
1 Гбит/с |
1,2 Гбит/с |
1,8 Гбит/с |
|
Пропускная способность в режиме шифрования |
100 Мбит/с |
175 Мбит/с |
200 Мбит/с |
250 Мбит/с |
250 Мбит/с |
|
ipsec vpn соединений |
10; 50 |
100 |
250 |
250 |
300 |
|
Cisco anyconnect соединений |
2; 50 |
100 |
2; 250 |
2; 250 |
300 |
|
Контекстов безопасности |
Н/п |
Н/п |
2;5 |
2;5 |
2;5 |
|
vlan |
5;30 |
50 |
50; 100 |
100 |
100 |
|
Отказоустойчивость |
Требует security plus license; active/ standby |
active/ active и active/ standby |
Требует security plus license; active/active и active/standby |
active/active и active/ standby |
active/active и active/ standby |
И, наконец, еще одно важное отличие новых моделей, это встроенная локальная система управления для всего функционала с точки зрения защиты и для функций обычного межсетевого экрана и для функций vpn и для функции firepower сервиса. То есть для борьбы с несанкционированными приложениями, для их контроля, для борьбы с атаками, для борьбы с вредоносным кодом, для управления уязвимостями на узлах сети, для корреляции этих событий между собой. Все это - встроенная локальная система управления asdm, начиная с версии 7.3.
Компания Cisco прилагает большие усилия для развития модельного ряда Cisco ASA, и предложения своим заказчикам самых лучших решений в области информационной безопасности.
