企业新闻
当前位置:企业新闻

思科ASA 5506-X入门级防火墙介绍

来源:未知 时间:2017-05-22 10:17
 

   若是企业初期想要在较低的预算中,取得最基本的防火墙功能,但又考量到未来的扩充性,ASA 5506-X便提供了这样的选择。只是在扩充之后,Firepower模组便要由另一套独立的系统控管,虽然,设备与扩充模组的管理平台,原厂已经计划最终要整合成单一的网页介面,不过就现阶段而言,企业取得扩充功能之后,管理者同时要在两种管理平台监控及制订政策。此外,在设备的管理上,管理者必须在电脑上安装指定软件才能执行。

  ASA 5506-X的网络介面总共配置了8个GbE口,企业可自行设定为WAN口、LAN口,以及DMZ口使用。在设备的硬体规格中,虽然没有列出处理器的规格,但拥有4GB记忆体与多达8GB快闪记忆体,算是不错。在效能规格的部分,ASA 5506-X防火墙最大的吞吐量为750Mbps,VPN则有100Mbps(在3DES与AES加密标準条件下测试),在防火墙、应用程式控管,以及IPS叁项功能同时运作的情况下,吞吐量是125Mbps,适合网络流量不大的环境。

  对于ASA 5506-X的进阶选用功能,包含IPS、网络进阶威胁防护、网址过滤等,都要再加购Firepower软件授权才能使用。同时,上述的功能,企业也必须透过额外建置的Firepower Management Center(FMC)伺服器,才能控管。

  提供详细的防火墙政策设定功能

  在ASDM应用程式中,管理者可检视已经连接到ASA 5506-X的电脑列表,并得知连接口与网络的运作情形。切换到防火墙仪表板中,我们则能浏览ASA 5506-X设备3大资讯,包含进出流量的即时走势图,以及最常触发的防火墙政策排行,与内部流量使用量排行等。

  在流量分析的部分,ASDM一共提供3种流量比对资讯,分别是即时连线与NAT转址数量对照、丢弃封包的类型,以及已扫描和识别为SYN的封包DoS攻击流量速率分析。

  其中,使用量排行又细分成4种指标,分别是依据前10名的流量来源、目的地、网络服务,以及使用者。因此,管理者可检查是否有疑似异常的情形。

  设定防火墙的政策部分,管理者可透过ASDM建立ASA 5506-X运作的各项规则,其中,与网络相关的部分,包含流量存取、NAT、指定网址过滤伺服器,以及使用者可存取的开放FTP站台和网页伺服器等。针对恶意威胁,主要是威胁档案侦测与僵尸网络的过滤能力。

  像是网络流量存取的政策,管理者可启用简易图表,协助自己以图像化的方式,检视政策执行的方法,是否符合预期。此外,这裡也提供了封包追踪程式,让管理者能在政策执行异常时,检查那个环节出现问题。

  ASDM在设定政策的介面中,内建了相当丰富的工具,在一般增修与排序指令之外,这裡也能让管理者轻鬆复製政策,用以建立新的规则。而且,在每个已制订的项目中,还提供了执行次数统计,和记录的检视功能。

  需搭配进阶防护模组,更能提供次世代防火墙应有功能

  若要控管ASA 5506-X的其他安全防护功能,例如IPS、应用程式可视性(AVC)、网址过滤等,管理者则需连接至Firepower FMC才能操作。

  由于Firepower模组强调应用程式的可视性,例如,系统可依据得知端点电脑使用的应用程式版本,判断ASA 5506-X需要额外启动的保护机制,弥补软件尚未更新所带来的资安风险。

  在FMC中,管理者可看到各式的威胁资讯,包含IOC(Indicator Of Compromise)、入侵事件侦测,以及根据情境感知分析的可疑事件等。

  此外,针对进阶威胁事件的管控,企业透过Firepower内建的AMP功能,可进行恶意软件的轨迹追踪。由于这种类型的事件往往有潜伏期,因此AMP会针对ASA 5506-X的流量持续分析,管理者可以在FMC中检视整起事件的发生过程,包含从那一台端点电脑进入到内部网络,以及受到波及的电脑清单,还有过程之中对外的异常连线等。

  Cisco ASA 5506-X防护机制总览

  在ASA次世代防火墙设备的管控方式,Cisco提供针对基本防火墙功能的单机控管,以及针对进阶威胁提供选购的Firepower模组,管理者必须到这两个平台当中操作。
 

 

  

 

  提供网路运作状态的仪表板

  在ASA 5506-X仪表板中,网管人员可透过左侧检视已与其连线的设备列表,并能针对这些联网设备与防火墙的防护机制,加以检视其运作的状态是否正常。

  

 

  能够针对特定网路流量产生报表

  在ASDM主控臺中,管理者可指定ASA 5506-X所连接的特定网域,产生流量分析报表。如图中所示,系统可依据这个连接埠的流量位元数、封包数、流入或流出请求等资讯,提供一个或多个分析图表。

  

 

  可扩充威胁情资进阶分析能力

  针对威胁情资的整合,ASA 5506-X可选用Firepower功能模组,与内部威胁情资进行串连,将网路流量进阶分析,并能得知其受骇指标(IOC),追查疑似异常的内部电脑与使用者。

  产品资讯

  Cisco ASA 5506-X

  ● 网路埠数量:8个GbE埠(企业可自定WAN、LAN、DMZ)

  ● 资安防护吞吐量:125 Mbps(应用程式控管与IPS)

  ● 防火墙吞吐量:750 Mbps

  ● VPN吞吐量:100 Mbps

  ● 防毒引擎:厂商未提供


上一篇:Cisco UCS系列服务器打造多样化超融合平台
下一篇:新华三H3C S5130和S5560交换机获IPv6金牌认证

售前客服

售前客服

电话:028-83252151

传真:028-85259033

咨询热线:15378180513
在线客服