Устройство защиты Cisco ASA (заменило PIX Firewall) занимает лидирующие позиции в свои областях, в связи с чем пользуются широким спросом у целевой аудитории, состоящей не из простых пользователей, а из крупных организаций, что доказывает высокий уровень их надёжности.
Cisco ASA имеет ряд отличительных черт, делающих выбор в их пользу оправданным: их мы рассмотрим ниже.
В своей работе Cisco ASA использует не общую операционную систему, а свою собственную, интегрированную в устройство. Эта ОС, похожая на Cisco IOS, с самого начала разрабатывалась с расчётом на высокую производительность и безопасность, что и было достигнуто: устройство способно анализировать до 500 000 соединений одновременно.
Cisco ASA – фаейрвол, использующий динамическую фильтрацию, которая осуществляется с использованием алгоритма ASA - Adaptive Security Algorithm. Он многократно безопаснее и надёжнее статической фильтрации и прикладных фаейрволов proxy. ASA контролирует трафик, изолируя сегменты сети, подключённые к фаейрволу.
Все интерфейсы получают определённый уровень безопасности, который градируется от 0 до 100. Исходя из этих данных, ASA меняет своё поведение, запрещая и разрешая те или иные соединения. Списки доступа могут применяться для запрета прохождения трафика с высоким уровнем доверия на более низкий, и наоборот.
ASA сохраняет все данные о сессиях в сети, передавая её в таблицу состояния, используя затем эти данные для контроля всего проходящего через фаейрвол трафика. Возвращаемый трафик проходит анализ, и, если информация не отвечает ожидаемым требованиям, соединение сбрасывается. Иными словами, безопасность базируется на соединении, а не на пакете, как это бывает при статической пакетной фильтрации, что практически полностью исключает возможность взлома сети методом hijack.
Механизм аутентификации Cut-through proxy, известный также как аутентификация по пользователю, отличается высоким уровнем прозрачности, гарантирует более высокую производительность, нежели proxy фаейрволы. Связано это с тем, что аутентификация пользователя в Cisco ASA происходит сначала на уровне приложений, а весь трафик данного подключения затем инспектируется лишь алгоритмом ASA – в обход уровня приложений, что снижает нагрузку на процессор в разы. Иными словами, cut-through proxy не подвергает новые пакеты аутентификации, если она уже была пройдена ранее.
Фаейрволы получили широкое распространение во многих организациях, однако иногда – при неправильной конфигурации – они могут стать источником проблем. Так, некоторые фаейрволы могут блокировать внутренние протоколы и приложения, используемые в корпоративной сети.
Чтобы подобное не происходило, фаейрвол должен отвечать ряду требований, среди которых:
Cisco ASA полностью отвечают этим требованиям, разрешая некоторым протоколам и приложениям допуск к защищённым коммуникациям. Данный функционал носит название «Application-Aware Inspection».
Начиная с седьмой версии ОС, Cisco ASA способно поддерживать технологию Security Context – виртуальных фаейрволов. С её помощью можно установить на одном устройстве несколько независимо функционирующих фаейрволов – с различными интерфейсами, конфигурацией, политикой безопасности и прочими параметрами. Единственное, это решение лицензируется и доступно не на всех моделях устройств защиты.
В случае отказа фаейрвола сеть может стать лёгкой добычей для злоумышленников. Именно по этой причине Cisco ASA имеет функцию failover – конфигурацию отказоустойчивости, значительно повышающей эффективность и надёжность решения. Её суть сводится к тому, что аппаратная и программная часть фаейрвола конфигурируются в паре, и пока одно из них является задействованным, второе остаётся резервным, ведущим лишь мониторинг и готовым в случае необходимости заменить активный фаейрол в случае отказа. Такая конфигурация называется «активный/пассивный».
А с седьмой версии ПО возможна конфигурация «активный/активный», при котором оба устройства обрабатывают трафик, используя виртуальные фаейрволы – на каждом устройстве размещается по два. В обычных условиях один из них является активным, а второй – дополнительным. В случае сбоя или выходе одного устройства из строя второе активизирует дополнительный фаейрвол, обрабатывая весь трафик.
В каждой из конфигураций осуществляется динамическая отказоустойчивость, благодаря которой даже при отказе устройства установленные соединения не теряются.
Седьмая и более поздние версии операционной системы позволяют Cisco ASA работать в качестве прозрачного фаейрвола или режиме моста, обеспечивая максимальную защиту сети.
Для достижения максимально просто управления устройство был разработан Adaptive Security Device Manager (ASDM) – понятный и удобный веб-интерфейс, которым можно пользоваться без специальных знаний командной оболочки устройства.
Межсетевые экраны Cisco ASA серии 5500-X (5512-X, 5515-X и более старшие) – это современное оборудование, являющее собой комплексное решение с массой преимуществ: возможность отслеживания состояний, которые обеспечивали межсетевые экраны предыдущих поколений, плюс набор сетевой безопасности высочайшего уровня. Среди их отличительных особенностей выделяют также наличие одновременно нескольких сервисов безопасности, предустановленные блоки питания в качестве резервных источников.
Данные модели межсетевых экранов прекрасно справляются со своей задачей, гарантируя полную защиту сетевых соединений – это достигается за счет применения встроенных сервисов безопасности, основанных на архитектуре облачных технологий и современных ПО, среди которых:
Кроме того, необходимо обратить внимание, что для корректной работы данных устройств не нужна отдельная настройка аппаратных модулей.
Cisco ASA серии 5500-X (5512-X, 5515-X и более старшие) – это преемники ранее зарекомендовавших себя межсетевых экранов серии ASA 5500, особенностью которой является высокопроизводительный контроль приложений и отличные эксплуатационные характеристики.
Потребность данных устройств определяется временем: в первую очередь, необходимость в их использовании оправдывается тем, что на предприятиях, в различных отраслях требуется обеспечение все большего уровня безопасности.
Благодаря инновационным решениям, используемым в Cisco ASA серии 5500-X, пользователи могут использовать все преимущества новых устройств и приложений, не задумываясь о возможных проблемах с безопасностью, они исключены.
Секрет кроется в том, что разработчики Cisco ASA серии 5512-X и 5515-X предлагают своим пользователям комплексное решение – современный интеллектуальный ресурс, функциональность которого основана на симбиозе прозрачности входящего и исходящего трафика (на любых уровнях) и внедрения глобальных интеллектуальных сетевых ресурсов, которые могут использовать:
Таким образом, всё говорит о том, что межсетевые экраны Cisco ASA серии 5500-X – это не просто современное решение, а сбалансированное решение для тех, кто нуждается в устройстве с высокой производительностью, обеспечивающее полную безопасность с уникальной прозрачностью. А если сюда еще добавить такие характеристики как пропускная способность до 1,2 Гбит/сек, возможность одновременных подключений до 250 тысяч и 15 тысяч подключений в секунду + 6 интегрированных интерфейсов 10/100/1000 Fast Ethernet, то можно с уверенностью сделать вывод – конкурентов у данной серии не предвидится долгое время.
Теги: Cisco ASA, Cisco Adaptive Security Appliance, Firewall, межсетевой экран
