Овладяване на Cisco ASA 5500: SNAF и SNAA
Устройствата от серия Cisco ASA 5500 предоставят авангардно решение за firewall технология. Защитната стена (firewall) играе роля на първа линия на защита за сигурността на мрежовата инфраструктура. Стената сравнява корпоративните политики за мрежови достъп на потребителите с реалните данни от всеки направен опит за достъп. В случай, че стойностите се припокриват, firewall-ът позволява трафикът да премине през мрежата.
Защитна стена с отлична производителност ще оптимизира uptime на мрежата за критичните бизнес приложения. Причината е, че бързото навлизане на voice, видео и collaboration в корпоративните мрежи изисква използването на много бързи firewall устройства, които също могат да извършват проверки на ниво приложение. Стандартните firewall решения работят на Layer 2 и 3 на OSI модела, докато firewall с интегрирана функционалност за приложения може да следи и трафика на ниво Layer 7. Проверката на ниво приложение позволява административен контрол върху мултимедийни приложения на ниво краен потребител.
Нуждата от скорост:
Cisco ASA 5500 е създадена с цел да поддържа стандартни политики за сигурност и да извършва проверка на протоколи на приложения. Контролът върху трафика на приложения позволява следене на движението не само по портове и чрез адресна информация, но и чрез проверка на информацията, заложена дълбоко в header-а на трафика. Устройството може да засече нежеланото приложение дори когато опитът за достъп е бил одобрен на ниво потребител и връзка. Нежеланото приложение може да бъде тип peer-to-peer, който консумира големи обеми трафик, или instant messaging, който не отговоря на стандартите на организацията.
IPS, anti-X, SSL VPN:
Според Gartner следващото поколение защитни стени ще комбинира функционалност за филтриране на трафик с функционалност IPS (Intrusion Prevention System). Подобно на защитната стена IPS филтрира пакети в реално време. За разлика от firewall, който сканира въз основа на потребителски профили и политики за приложения, IPS сканира трафика за наличие на зловреден код, троянци, червей и spyware (malware). Malware може да причини DoS за вътрешните потребители на мрежата и/или за външни уеб потребители. IPS филтрира и изолира malware и добавя ново ниво на сигурност за мрежата на организацията. Устройствата от серия Cisco ASA 5500 позволяват добавянето на IPS модул. IPS се добавя чрез модул AIP-SSM. Cisco ASA 5500 включва VPN концентратор за обработка на криптирани сесии. Cisco ASA 5500 позволява добавянето на SSL VPN и anti-X функционалност. Възможностите за допълнителна функционалност улесняват планирането на бизнес нуждите и намаляват оперативните разходи за сигурност (overall operational cost of security). За нуждите на организации с консолидирани сървъри и дата центрове Cisco ASA 5500 позволява сегментация на защитната стена на множество виртуални firewalls, с цел мащабируемост. Тоест, едно физическо устройство може да функционира като няколко виртуални устройства, намалявайки капиталовите разходи (capital expenditures). При инсталация на Cisco ASA 5500 не се изисква реконфигурация на комутаторите и маршрутизаторите.
Стратегическата имплементация на Cisco ASA 5500 устройства в мрежата на организацията позволява прилагане на добрите практики за сигурност и защита. Cisco ASA 5500 може да функционира не само като защитна стена. Възможността за вграждане на модули и възможностите на интегрирания софтуерни позволяват мащабируемост според нуждите на конкретни точки в мрежата.
Курсовете за обучение SNAF и SNAA имат за цел да представят на специалистите възможностите за оптимизиране на функционалността на защитната стена. В последното тримесечие на 2010 ще проведем курс Cisco® Securing Networks with ASA Advanced (SNAA). Целта ни е в рамките на пет дни да запознаем специалистите с функционалностите на ASA с помощта на практически примери и сценарии. Курсът разглежда NAT функционалност и имплементация, управление на протоколи, динамично рутиране и суйтчинг, IPsec VPNs, SSL VPNs, CSC-SSM и AIP-SSM. За повече информация относно възможностите за оптимизиране на производителността на Вашите ASA устройства, моля позвънете на тел. 42.100.40.
Използван източник:
http://www.newhorizons.com/content/outlineDisplay.aspx?SKU=200003671&partNumber=3414CWEE
София, 02.09.2010
Уникално е това, че устройството може да засече нежеланото приложение дори когато опитът за достъп е бил одобрен на ниво потребител и връзка,което за нас е страхотно, по този начин ще бъдем още по спокойни и защитени. Нежеланото приложение може да бъде тип peer-to-peer, който консумира големи обеми трафик, или instant messaging, който не отговоря на стандартите на организацията.Много ви благодаря за тази полезна информация определено ще се възползвам от нея, надявам се често да ни пишете и информирате за новостите.
Благодаря за интересната статия, често посещавам блога ви и това, че за нуждите на организации с консолидирани сървъри и дата центрове Cisco ASA 5500 позволява сегментация на защитната стена на множество виртуални firewalls, с цел мащабируемост е дост а полезно или поне така ми се струва. Тоест, едно физическо устройство може да функционира като няколко виртуални устройства, намалявайки капиталовите разходи . Всеки иска да печели повече и ако може да не плаща нищо, но си има актив и пасиви това е положението….