

企业新闻

联系我们

客户至上

成都达锐斯科技有限公司
地址：成都市武候区人民南路4段53号嘉云台丙栋7楼

电话：15378180513

联系人：

邮箱：3511891@qq.com

官网：http://www.cdh3c.com

企业新闻

当前位置: 首页>>企业新闻

思科ASA 5506-X入门级防火墙介绍

　若是企业初期想要在较低的预算中，取得较基本的防火墙功能，但又考量到未来的扩充性，ASA 5506-X便提供了这样的选择。只是在扩充之后，Firepower模组便要由另一套独立的系统控管，虽然，设备与扩充模组的管理平台，原厂已经计划较终要整合成单一的网页介面，不过就现阶段而言，企业取得扩充功能之后，管理者同时要在两种管理平台监控及制订政策。此外，在设备的管理上，管理者必须在电脑上安装指定软件才能执行。

　　ASA 5506-X的网络介面总共配置了8个GbE口，企业可自行设定为WAN口、LAN口，以及DMZ口使用。在设备的硬体规格中，虽然没有列出处理器的规格，但拥有4GB记忆体与多达8GB快闪记忆体，算是不错。在效能规格的部分，ASA 5506-X防火墙较大的吞吐量为750Mbps，VPN则有100Mbps(在3DES与AES加密标準条件下测试)，在防火墙、应用程式控管，以及IPS叁项功能同时运作的情况下，吞吐量是125Mbps，适合网络流量不大的环境。

　　对于ASA 5506-X的进阶选用功能，包含IPS、网络进阶威胁防护、网址过滤等，都要再加购Firepower软件授权才能使用。同时，上述的功能，企业也必须透过额外建置的Firepower Management Center(FMC)伺服器，才能控管。

　　提供详细的防火墙政策设定功能

　　在ASDM应用程式中，管理者可检视已经连接到ASA 5506-X的电脑列表，并得知连接口与网络的运作情形。切换到防火墙仪表板中，我们则能浏览ASA 5506-X设备3大资讯，包含进出流量的即时走势图，以及较常触发的防火墙政策排行，与内部流量使用量排行等。

　　在流量分析的部分，ASDM一共提供3种流量比对资讯，分别是即时连线与NAT转址数量对照、丢弃封包的类型，以及已扫描和识别为SYN的封包DoS攻击流量速率分析。

　　其中，使用量排行又细分成4种指标，分别是依据前10名的流量来源、目的地、网络服务，以及使用者。因此，管理者可检查是否有疑似异常的情形。

　　设定防火墙的政策部分，管理者可透过ASDM建立ASA 5506-X运作的各项规则，其中，与网络相关的部分，包含流量存取、NAT、指定网址过滤伺服器，以及使用者可存取的开放FTP站台和网页伺服器等。针对恶意威胁，主要是威胁档案侦测与僵尸网络的过滤能力。

　　像是网络流量存取的政策，管理者可启用简易图表，协助自己以图像化的方式，检视政策执行的方法，是否符合预期。此外，这裡也提供了封包追踪程式，让管理者能在政策执行异常时，检查那个环节出现问题。

　　ASDM在设定政策的介面中，内建了相当丰富的工具，在一般增修与排序指令之外，这裡也能让管理者轻鬆复製政策，用以建立新的规则。而且，在每个已制订的项目中，还提供了执行次数统计，和记录的检视功能。

　　需搭配进阶防护模组，更能提供次世代防火墙应有功能

　　若要控管ASA 5506-X的其他安全防护功能，例如IPS、应用程式可视性(AVC)、网址过滤等，管理者则需连接至Firepower FMC才能操作。

　　由于Firepower模组强调应用程式的可视性，例如，系统可依据得知端点电脑使用的应用程式版本，判断ASA 5506-X需要额外启动的保护机制，弥补软件尚未更新所带来的资安风险。

　　在FMC中，管理者可看到各式的威胁资讯，包含IOC(Indicator Of Compromise)、入侵事件侦测，以及根据情境感知分析的可疑事件等。

　　此外，针对进阶威胁事件的管控，企业透过Firepower内建的AMP功能，可进行恶意软件的轨迹追踪。由于这种类型的事件往往有潜伏期，因此AMP会针对ASA 5506-X的流量持续分析，管理者可以在FMC中检视整起事件的发生过程，包含从那一台端点电脑进入到内部网络，以及受到波及的电脑清单，还有过程之中对外的异常连线等。

　　Cisco ASA 5506-X防护机制总览

　　在ASA次世代防火墙设备的管控方式，Cisco提供针对基本防火墙功能的单机控管，以及针对进阶威胁提供选购的Firepower模组，管理者必须到这两个平台当中操作。