Cisco ASA 5500-X. Новый флагман сетевой безопасности

Cisco ASA 5500-X. Новый флагман сетевой безопасности

В 2012 компания Cisco анонсировала третье поколение МСЭ – ASA-X

Историческая справка

История межсетевых экранов (МСЭ) Cisco началась в ноябре 1995 года. Именно тогда была поглощена компания Network Translation, которая разработала межсетевой экран PIX (Private Internet Exchange), лучшее на то время устройство для корпоративных клиентов, удостоенное премии Hot Product of the Year журнала Data Communications.

Став частью Cisco, МСЭ PIX постоянно совершенствуется, чтобы соответствовать растущим требованиям, компания регулярно выпускает новые модификации. Так происходит почти 10 лет, но к середине первого десятилетия XXI века концепция отдельно установленных или двух независимых устройств сети (межсетевого экрана и системы обнаружения/предотвращения вторжений) изживает себя. Ее сменяет новая концепция «все в одном», предусматривающая создание единого устройства с функционалом межсетевого экрана и системы предотвращения вторжений (IPS).

В 2005 году Cisco анонсировала МСЭ ASA (Adaptive Security Appliance), который унаследовал возможности Cisco PIX и VPN 3000, а также получил современный функционал IPS, основанный на сигнатурах. Заняв ощутимую долю рынка систем безопасности, МСЭ ASA вместе в операционной системой ASA OS стали незаменимыми компонентами при построении защищенных сетей разных масштабов. Однако через несколько лет аппаратные составляющие, производительность и ограниченные возможности в использовании модулей, заставляют компанию пересмотреть архитектуру устройств ASA. В чем причина?

Дело в том, что производительность новых устройств быстро становится недостаточной из-за стремительного роста видеотрафика как основной составляющей роста мирового трафика в целом. Кроме этого, возможности МСЭ ограничены тем, что ASA поддерживает установку и работу только одного из трех модулей одновременно: или IPS, или контентной фильтрации, или расширения портов.

Cisco ASA 5500-X. Новый флагман сетевой безопасности

Обе проблемы нужно было устранить, и в результате в 2012 компания Cisco анонсировала третье поколение МСЭ – ASA-X.

ASA-X: что нового?

Прежде всего, в ASA-X устранили то, за что ругали МСЭ предыдущего поколения. Теперь модули IPS, контентной (или, как теперь принято говорить, контекстной фильтрации) и расширения портов могут работать одновременно, а скорости и объем памяти могут быть увеличены в четыре раза.

Cisco ASA 5500-X. Новый флагман сетевой безопасности

Также в ASA-X можно выделить два основных тренда – это мульти-гигабит и мульти-сервис. Список остальных особенностей представлен ниже:

  • - многоядерный многопотоковый процесcор корпоративного класса (Xeon)
  • - 4-кратное увеличение памяти
  • - аппаратный IPS-ускоритель (модели ASA-X 5525/5545/5555)
  • - аппаратный VPN-ускоритель во всех моделях
  • - IPS (теперь не отдельный физический модуль, а виртуальная машина)
  • - Сontent Security (теперь не отдельный физический модуль, а виртуальная машина)
  • - поддержка VPN & AnyConnect
  • - Botnet Protection (поставляется в виде отдельной электронной лицензии)
  • - полная поддержка BYOD
  • - соответствие требованиям безопасности PCI, HIPPA, SOX

Cisco ASA 5500-X. Новый флагман сетевой безопасности

ASA-X: взгляд со стороны

По сравнению с МСЭ предыдущего поколения, ASA-X – это совершенно новые устройства, с изменившейся аппаратной частью, характеристиками и возможностями.

Cisco ASA 5500-X. Новый флагман сетевой безопасности

Чтобы в этом убедиться, давайте изучим модель ASA5512:

Cisco ASA 5500-X. Новый флагман сетевой безопасности

Классическая зеленая цветовая гамма Cisco исчезла. Все модели третьего поколения ASA-X окрашены в серый цвет.

Cisco ASA 5500-X. Новый флагман сетевой безопасности

На коммуникационной панели устройства хорошо видны все необходимые интерфейсы:

  1. 1. Привычные порты управления – консольный и сетевой, со скоростью 1 Gbps.
  2. 2. Шесть интегрированных медных портов.
  3. 3. Слот расширения для установки платы, так же 6-портовой, но с возможностью выбора типа портов (медь или оптика).
  4. 4. Два разъема USB 2.0.
  5. 5. Вентилятор.
  6. 6. Блок питания.
  7. 7. Диодные индикаторы состояния и работы.

Cisco ASA 5500-X. Новый флагман сетевой безопасности

Cisco ASA 5500-X. Новый флагман сетевой безопасности

Внутри ASA-X находится полностью обновленная аппаратная часть. Изучив приведенную ниже таблицу, можно сравнить технические характеристики МСЭ второго и третьего поколения. Очевидно, что аппаратная часть ASA-X явно выигрывает в производительности, а также имеет преимущества в реализации сервисов и резервирования.

Сервис

Вы, наверное, помните, что с появлением модуля IPS в ASA, все расчеты спецификаций рекомендовалось делать с включенным сервисом SmartNet уровней SU1/SU2/SU3. Делалось это для того, чтобы МСЭ ASA на момент ввода в эксплуатацию была полностью готова к работе, так как без сервиса SmartNet модуль IPS не мог обновлять сигнатуры и терял свою функциональность.

Cisco ASA 5500-X. Новый флагман сетевой безопасности

С появлением ASA-X ситуация не изменилась – полноценная работа виртуальной машины IPS возможна только с включенным сервисом SmartNet уровней SU1/SU2/SU3. Это связано с тем, что обновления сигнатур поставляются отдельным подразделением Cisco Security Intelligence Operations (SIO), которое анализирует поступающие угрозы и выпускает обновления защиты для устройств Cisco. Фактически, оплата сервиса SmartNet для ASA-X ничем не отличается от оплаты работы SIO.

Cisco ASA 5500-X. Новый флагман сетевой безопасности

Подведение итогов

Третье поколение МСХ ASA-X получилось достаточно интересным и современным с точки зрения реализации сервисов безопасности и скоростных характеристик.

Cisco ASA 5500-X. Новый флагман сетевой безопасности

Устройства получили многоядерные процессоры вместо одноядерных, больший объем оперативной памяти, который нужен для работы 64-битной ASA OS и создания виртуальных машин, а также возможность оперативно реагировать на комплексные угрозы сетевой безопасности, включая Botnet-сети. Это как раз те требования, которые сегодня предъявляются к межсетевым экранам следующего поколения.

Cisco ASA 5500-X. Новый флагман сетевой безопасности

Справочная информация:

Система Orphus
comments powered by Disqus
 
Top