Cisco ASA (Adaptive Security Appliance)

Все статьи

Устройство защиты Cisco ASA (заменило PIX Firewall) занимает лидирующие позиции в свои областях, в связи с чем пользуются широким спросом у целевой аудитории, состоящей не из простых пользователей, а из крупных организаций, что доказывает высокий уровень их надёжности.

Cisco ASA имеет ряд отличительных черт, делающих выбор в их пользу оправданным: их мы рассмотрим ниже.

Собственная операционная система

В своей работе Cisco ASA использует не общую операционную систему, а свою собственную, интегрированную в устройство. Эта ОС, похожая на Cisco IOS, с самого начала разрабатывалась с расчётом на высокую производительность и безопасность, что и было достигнуто: устройство способно анализировать до 500 000 соединений одновременно.

Алгоритм ASA (Adaptive Security Algorithm)

Cisco ASA – фаейрвол, использующий динамическую фильтрацию, которая осуществляется с использованием алгоритма ASA - Adaptive Security Algorithm. Он многократно безопаснее и надёжнее статической фильтрации и прикладных фаейрволов proxy. ASA контролирует трафик, изолируя сегменты сети, подключённые к фаейрволу.

Все интерфейсы получают определённый уровень безопасности, который градируется от 0 до 100. Исходя из этих данных, ASA меняет своё поведение, запрещая и разрешая те или иные соединения. Списки доступа могут применяться для запрета прохождения трафика с высоким уровнем доверия на более низкий, и наоборот.

ASA сохраняет все данные о сессиях в сети, передавая её в таблицу состояния, используя затем эти данные для контроля всего проходящего через фаейрвол трафика. Возвращаемый трафик проходит анализ, и, если информация не отвечает ожидаемым требованиям, соединение сбрасывается. Иными словами, безопасность базируется на соединении, а не на пакете, как это бывает при статической пакетной фильтрации, что практически полностью исключает возможность взлома сети методом hijack.

Технология аутентификации - Cut-through proxy

Механизм аутентификации Cut-through proxy, известный также как аутентификация по пользователю, отличается высоким уровнем прозрачности, гарантирует более высокую производительность, нежели proxy фаейрволы. Связано это с тем, что аутентификация пользователя в Cisco ASA происходит сначала на уровне приложений, а весь трафик данного подключения затем инспектируется лишь алгоритмом ASA – в обход уровня приложений, что снижает нагрузку на процессор в разы. Иными словами, cut-through proxy не подвергает новые пакеты аутентификации, если она уже была пройдена ранее.

Инспектирование протоколов и приложений

Фаейрволы получили широкое распространение во многих организациях, однако иногда – при неправильной конфигурации – они могут стать источником проблем. Так, некоторые фаейрволы могут блокировать внутренние протоколы и приложения, используемые в корпоративной сети.

Чтобы подобное не происходило, фаейрвол должен отвечать ряду требований, среди которых:

  • использование NAT – сетевой трансляции адреса внутри IP-пакета;
  • использование внутри пакета PAT – трансляции портов;
  • проверка пакетов на наличие неправильного, в том числе, вредоносного использования приложений;
  • безопасное открытие и закрытое динамических портов и IP адреса для разрешенных соединений между клиентом и сервером.

Cisco ASA полностью отвечают этим требованиям, разрешая некоторым протоколам и приложениям допуск к защищённым коммуникациям. Данный функционал носит название «Application-Aware Inspection».

Виртуальный фаейрвол (Security Context)

Начиная с седьмой версии ОС, Cisco ASA способно поддерживать технологию Security Context – виртуальных фаейрволов. С её помощью можно установить на одном устройстве несколько независимо функционирующих фаейрволов – с различными интерфейсами, конфигурацией, политикой безопасности и прочими параметрами. Единственное, это решение лицензируется и доступно не на всех моделях устройств защиты.

Поддержка отказоустойчивости (Failover)

В случае отказа фаейрвола сеть может стать лёгкой добычей для злоумышленников. Именно по этой причине Cisco ASA имеет функцию failover – конфигурацию отказоустойчивости, значительно повышающей эффективность и надёжность решения. Её суть сводится к тому, что аппаратная и программная часть фаейрвола конфигурируются в паре, и пока одно из них является задействованным, второе остаётся резервным, ведущим лишь мониторинг и готовым в случае необходимости заменить активный фаейрол в случае отказа. Такая конфигурация называется «активный/пассивный».

А с седьмой версии ПО возможна конфигурация «активный/активный», при котором оба устройства обрабатывают трафик, используя виртуальные фаейрволы – на каждом устройстве размещается по два. В обычных условиях один из них является активным, а второй – дополнительным. В случае сбоя или выходе одного устройства из строя второе активизирует дополнительный фаейрвол, обрабатывая весь трафик.

В каждой из конфигураций осуществляется динамическая отказоустойчивость, благодаря которой даже при отказе устройства установленные соединения не теряются.

Прозрачный файервол (Transparent firewall)

Седьмая и более поздние версии операционной системы позволяют Cisco ASA работать в качестве прозрачного фаейрвола или режиме моста, обеспечивая максимальную защиту сети.

Управление через Web интерфейс

Для достижения максимально просто управления устройство был разработан Adaptive Security Device Manager (ASDM) – понятный и удобный веб-интерфейс, которым можно пользоваться без специальных знаний командной оболочки устройства.

Новое поколение Cisco ASA: 5500-X

Межсетевые экраны Cisco ASA серии 5500-X (5512-X, 5515-X и более старшие) – это современное оборудование, являющее собой комплексное решение с массой преимуществ: возможность отслеживания состояний, которые обеспечивали межсетевые экраны предыдущих поколений, плюс набор сетевой безопасности высочайшего уровня. Среди их отличительных особенностей выделяют также наличие одновременно нескольких сервисов безопасности, предустановленные блоки питания в качестве резервных источников.

Данные модели межсетевых экранов прекрасно справляются со своей задачей, гарантируя полную защиту сетевых соединений – это достигается за счет применения встроенных сервисов безопасности, основанных на архитектуре облачных технологий и современных ПО, среди которых:

  • прозрачность и контроль приложений (Application Visibility and Control);
  • облачная система обеспечения интернет-безопасности и контроля (Cisco Cloud Web Security);
  • cредства безопасности (Web Security Essentials);
  • система предотвращения вторжений с учетом контекста (Intrusion Prevention System).

Кроме того, необходимо обратить внимание, что для корректной работы данных устройств не нужна отдельная настройка аппаратных модулей.

Cisco ASA серии 5500-X (5512-X, 5515-X и более старшие) – это преемники ранее зарекомендовавших себя межсетевых экранов серии ASA 5500, особенностью которой является высокопроизводительный контроль приложений и отличные эксплуатационные характеристики.

Потребность данных устройств определяется временем: в первую очередь, необходимость в их использовании оправдывается тем, что на предприятиях, в различных отраслях требуется обеспечение все большего уровня безопасности.

Благодаря инновационным решениям, используемым в Cisco ASA серии 5500-X, пользователи могут использовать все преимущества новых устройств и приложений, не задумываясь о возможных проблемах с безопасностью, они исключены.

Секрет кроется в том, что разработчики Cisco ASA серии 5512-X и 5515-X предлагают своим пользователям комплексное решение – современный интеллектуальный ресурс, функциональность которого основана на симбиозе прозрачности входящего и исходящего трафика (на любых уровнях) и внедрения глобальных интеллектуальных сетевых ресурсов, которые могут использовать:

  • систему Cisco Security Intelligence Operation в качестве превентивной меры – принцип действия основан на предупреждении в реальном времени о возможных угрозах и соответственное их недопущение;
  • собственно, технологии самого устройства поколения ASA;
  • уже зарекомендовавшие себя технологии Cisco TrustSec;
  • мобильное приложение Cisco AnyConnect® Secure Mobility Solution, в задачи которого вменяется обработка данных о подключаемых мобильных клиентах.

Таким образом, всё говорит о том, что межсетевые экраны Cisco ASA серии 5500-X – это не просто современное решение, а сбалансированное решение для тех, кто нуждается в устройстве с высокой производительностью, обеспечивающее полную безопасность с уникальной прозрачностью. А если сюда еще добавить такие характеристики как пропускная способность до 1,2 Гбит/сек, возможность одновременных подключений до 250 тысяч и 15 тысяч подключений в секунду + 6 интегрированных интерфейсов 10/100/1000 Fast Ethernet, то можно с уверенностью сделать вывод – конкурентов у данной серии не предвидится долгое время.

Теги: Cisco ASA, Cisco Adaptive Security Appliance, Firewall, межсетевой экран