CiscoASA5500系列概述.docx
《CiscoASA5500系列概述.docx》由会员分享,可在线阅读,更多相关《CiscoASA5500系列概述.docx(27页珍藏版)》请在冰豆网上搜索。
CiscoASA5500系列概述
CiscoASA5500系列概述
Cisco?
ASA5500系列自适应安全设备是能够为从小型办公室/家庭办公室和中小企业到大型企业的各类
环境提供新一代安全性和VPN服务的模块化安全平台。
CiscoASA5500系列能为企业提供全面的服务,而且这些服务都可以根据客户对防火墙、入侵防御(IPS)、Anti-X和VPN的要求而特别定制。
CiscoASA5500系列的各版本能够在适当的位置提供适当的安全服务,因而能为企业提供卓越的安全保护。
每个版本都包含一套特殊的CiscoASA服务,以满足企业网络内特殊环境的要求。
随着每个位置安全
需求的满足,整体网络安全性也得到了提升。
Slammer
W32.未来威罚
由于CiscoASA5500系列支持一个平台上的标准化,因而能降低整体安全运作成本。
统一配置环境不仅简化了管理,还降低了人员培训成本。
另外,该系列的通用硬件平台还有助于降低备件成本。
每个版本都能满足特定的企业环境需求:
♦防火墙版:
使企业能够安全、可靠地部署关键业务应用和网络。
独特的模块化设计能够提供卓越的投资保护,降低运作成本。
♦IPS版:
通过一组防火墙、应用安全性和入侵防御服务,防止关键业务服务器和基础设施遭受蠕虫、黑客及其它威胁的袭击。
♦Anti-X版:
利用全面的安全服务套件,为小型站点或远程站点的用户提供保护。
企业级防火墙和VPN服务提供到公司网络的安全连接。
来自TrendMicro的业内领先的Anti-X服务能够防止客
户端系统遭受恶意Web站点以及病毒、间谍软件和诱骗等基于内容的威胁侵袭。
♦SSL/IPsecVPN版:
使远程用户能够安全地访问内部网络系统和服务,为大型企业部署支持VPN
集群。
安全套接字层(SSL)和IPSecurity(IPsec)VPN远程接入技术将CiscoSecureDesktop等威胁迁移技术与防火墙和入侵防御服务有机地结合在一起,保证VPN流量不会给企业带来威
胁。
市场领先的应用安全性
能够抵御威胁的SSL和IPsecVPN服务
业内领先的IPS/Anti-X服务
NIMDA
W32.未来或■
购买CiscoASA5500系列自适应安全设备的五大理由
1.值得信赖的防火墙和威胁防御VPN技术
CiscoASA5500系列建立于值得信赖的CiscoPIX安全设备和CiscoVPN3000系列集中器技
术,ASA5500系列是第一个兼具市场领先的防火墙技术保护,同时提供SSL和IPsecVPN服务的解决方案。
2.业内领先的Anti-X服务
将TrendMicro在互联网边缘的威胁防御和内容控制优势与切实可行的思科解决方案结合在一
起,提供全面的防病毒、防间谍软件、文件阻挡、防垃圾邮件、防诱骗、URL阻挡和过滤以及内容过滤服务。
3.高级入侵防御服务
提供主动型全功能入侵防御服务,有效阻止各种威胁,包括蠕虫、应用层攻击、操作系统级攻击、
rootkit攻击、间谍软件、对等文件共享和即时消息传送。
4.丰富的管理和监控服务
通过CiscoAdaptiveSecurityDeviceManager(ASDM)提供直观的单设备管理和监控服务,通
过CiscoSecurityManagementSuite提供企业级多设备集中管理服务。
5.降低部署和运作成本
由于CiscoASA5500系列提供与现有思科安全解决方案一致的设计和界面,因而能显著降低初始安全部署成本和日常管理成本。
首字母缩写
SSC:
安全服务卡,SSM:
安全服务模块,AIP-SSM:
高级检测和防御安全服务模块,CSC-SSM:
内容
安全和控制安全服务模块,4GE-SSM:
4Gbps以太网安全服务模块
Cisco?
ASA5500系列自适应安全设备是思科专门设计的解决方案,将最高的安全性和出色VPN服务与创
新的可扩展服务架构有机地结合在一起。
作为思科自防御网络的核心组件,CiscoASA5500系列能够提供
主动威胁防御,在网络受到威胁之前就能及时阻挡攻击,控制网络行为和应用流量,并提供灵活的VPN连
接。
思科强大的多功能网络安全设备系列不但能为保护家庭办公室、分支机构、中小企业和大型企业网络提供广泛而深入的安全功能,还能降低实现这种新安全性相关的总体部署和运营成本及复杂性。
CiscoASA5500系列在一个平台中有力地提供了多种已经获得市场验证的技术,无论从运营角度还是从经济角度看,都能够为多个地点部署各种安全服务。
利用其多功能安全组件,企业几乎不需要作任何两难选择,也不会面临任何风险,既可以提供强有力的安全保护,又可以降低在多个地点部署多台设备的运营成本。
CiscoASA5500系列包含全面的服务,通过为中小企业和大型企业定制的产品版本,能满足各种部署环境的特定需求。
这些版本为各地点提供了相应的服务,从而达到出色的保护效果。
每个版本都综合了一套CiscoASA5500系列的重点服务(如防火墙、IPSec和SSLVPNIPS,以及Anti-X服务),以符合企业网络中特定环境的需要。
通过确保满足每个地点的安全需求,网络整体安全性也得到了提升。
CiscoASA5500系列自适应安全设备
CiscoASA5500系列能够通过以下关键组件帮助企业更有效地管理网络并提供出色的投资保护:
经过市场验证的安全与VPN功能-全特性、高性能的防火墙,入侵防御系统(IPS),Anti-X和IPSec/SSL
VPN技术提供了强大的应用安全性、基于用户和应用的访问控制、蠕虫与病毒防御、恶意软件防护、内容过滤以及远程用户/站点连接。
可扩展的自适应识别与防御服务架构—利用CiscoASA5500系列的一个模块化服务处理和策略框架,企业
可根据每个流量的情况,应用特定的安全或网络服务,提供高度精确的策略控制和各种防御服务,并简化流量处理。
该架构具有出色的效率,安全服务模块(SSM和安全服务卡则提供了软件和硬件可扩展性,因此无需更换平台,也不会降低性能,即能扩展现有服务和部署新服务。
CiscoASA5500系列支持高度可定
制的安全策略和前所未有的服务可扩展性,来为威胁程度迅速提高的环境提供保护。
降低部署和运营成本-多功能的CiscoASA5500系列可实现平台、配置和管理的标准化,从而降低部署与日常运营本。
CiscoASA5500系列简介
CiscoASA5500系列包括CiscoASA5505、5510、5520、5540和5550自适应安全设备-这些定制的高性能安全解决方案充分利用了思科系统公司?
在开发业界领先、屡获大奖的安全和VPN解决方案方面的丰富经验。
该系列集成了CiscoPIX?
500系列安全设备、CiscoIPS4200系列传感器和CiscoVPN3000系列集中器的最新技术。
通过结合上述技术,CiscoASA5500系列提供了一个无与伦比的优秀解决方案,能防御
范围最为广泛的威胁,为企业提供灵活、安全的连接选项。
作为思科自防御网络的核心组件,CiscoASA5500
系列提供了主动的威胁防御,能够在攻击蔓延到整个网络之前进行阻止,控制网络活动和应用流量,并提供灵活的VPN连接。
这些功能的结合打造了强大的多功能网络安全产品系列,不但能为中小企业(SMB、大企业和电信运营商网络提供广泛深入的安全保护,还降低了提供如此出色的安全性所涉及的部署和运营成本以及复杂性。
CiscoASA5500系列具有可扩展的思科AIM服务架构和灵活的多处理器设计,使这些自适应安全设备能在提供多项并发安全服务时获得前所未有的性能,且同时实现出色的投资保护。
CiscoASA5500系列自适应
安全设备结合了多个协同工作的高性能处理器,以提供高级防火墙服务、IPS服务、Anti-X/内容安全服务、
IPSec和SSLVPN服务等。
企业能通过安装CiscoASA5500系列安全服务模块—例如提供入侵防御服务的高级检测和防御安全服务模块(AIPSSM)或提供高级Anti-X服务的CiscoASA5500系列内容安全和控制安全服务模块(CSCSSM),添加更多高性能安全服务。
这种灵活的设计使CiscoASA5500系列能够独特地应
对新威胁、在快速发展的威胁环境中提供保护,并通过可编程硬件使该平台适应未来几年的变化,从而实现出色的投资保护。
CiscoASA5500系列结合了这些高性能、经过市场验证的安全和VPNb能,以及集成
化千兆以太网连接和基于闪存的无磁盘架构,非常适用于需要高性能、灵活、可靠且能保护投资的最佳安全解决方案的企业。
所有CiscoASA5500系列设备都包括基本系统所能支持的最大IPSecVPN用户数;SSLVPN的许可和购买须单独进行。
通过融合IPSec和SSLVPN服务与全面的威胁防御技术,CiscoASA5500系列提供了高度可定制的网络接入功能,来满足各种部署环境的需要,并提供了全面的终端和网络级安全。
CiscoASA5550自适应安全设备
CiscoASA5550自适应安全设备在一个可靠的单机架单元设备中为大型企业和电信运营商网络提供了具备
主用/主用高可用性和光纤及千兆以太网连接的大量千兆级安全服务。
利用其8个千兆以太网接口、4个SFP
光纤接口*和多达200个的VLAN企业可以将网络分成多个高性能分区,从而提高安全性。
CiscoASA5550自适应安全设备可随着企业网络安全要求的提高而扩展,从而提供了强大的投资保护功能和服务可扩展性。
企业能扩大其IPSec和SSLVPN容量,以支持更多的移动员工、远程地点和业务合作
伙伴。
通过安装一个SSLVPN升级许可证,企业能在每个CiscoASA5550上支持5000个SSLVPN对;基
本平台上支持5000个IPSecVPN对。
CiscoASA5550的集成VPN集群和负载均衡功能可提高VPN容量和
永续性。
CiscoASA5550在一个集群中能支持10个设备,从而使每个集群最多可支持50,000个SSLVPN
对或50,000个IPSecVPN对。
利用CiscoASA5550自适应安全设备的可选安全环境功能,企业可在一个
设备中部署多达50个虚拟防火墙,实现部门级或每用户安全策略分区控制,同时降低管理和支持总成本。
*注:
该系统共提供12个千兆以太网端口,其中8个能随时提供服务。
企业可选择铜缆或光纤连接,从而为数据中心、园区或企业边缘连接提供了灵活性。
CiscoASA5550自适应安全设备平台的功能和容量
特性
防火墙吞吐率
VPN吞吐率
并发连接
IPSecVPN对
SSLVPN对许可证级别*
安全环境
接口
虚拟接口(VLAN)
可扩展性
高可用性
说明
高达1.2Gbps
高达425Mbps
650,000
5,000
10、25、50、100、250、500、750、1000、2500
和5000
高达50个*
8个千兆以太网端口、4个SFP光纤端口和1个快速以太网
端口
250
VPN集群与负载均衡
主用/主用,主用/备用
CiscoASA5540
CiscoASA5550
用户/节点
无限
无限
防火墙吞吐率
高达650Mbps
高达1.2Gbps
并发威胁防御吞吐率
(防火墙+IPS服务)
高达450Mbps,采用AIP-SSM-20
不提供
3DES/AESVPN吞吐率
高达325Mbps
高达425Mbps
IPSecVPN对
5000
5000
SSLVPNX^*(内置/最
大)
2/2500
2/5000
并发连接
400,000
650,000
新建连接数/秒
25,000
36,000
集成网络端口
4个千兆以太网端口,网端口
1个快速以太
8个千兆以太网端口,4个SFP光
纤端口,1个快速以太网端口
虚拟接口(VLAN)
200
250
安全环境(内置/最
大)
2/50
2/50
高可用性
主用/主用和主用/
备用
主用/主用和主用/备用
扩展插槽
1,SSM
0
用户可接入的闪存插槽
1
1
USB2.0端口
2
2
串行端口
2个RJ-45,控制台和辅助端口
2个RJ-45,控制台和辅助端口
机架安装
支持
支持
墙壁安装
不支持
不支持
安全锁插槽(用于物理安全)
0
0
技术规格
内存
1024MB
4096MB
最低系统闪存
64MB
64MB
系统总线
多总线架构
多总线架构
Cisco
ASA5550-K8
CiscoASA5550防火墙版,8个千兆以太网端口十1个快速以太网接
PIX535
口,4个千兆SFP端口,5000路IPsecVPN和2路SSLVPN,DES
ASA5550-BUN-K9
CiscoASA5550防火墙版,8个千兆以太网端口十1个快速以太网接
口,4个千兆SFP端口,5000路IPsecVPN和2路SSLVPN,3DES/AES
ASA5550-SSL2500-K9CiscoASA5550SSL/IPsecVPN版,5000路IPsecVPN和2500
路SSLVPN,防火墙服务,8个千兆以太网端口,1个快速以太网接口
ASA5550-SSL5000-K9CiscoASA5550SSL/IPsecVPN版,5000路IPsecVPN和5000
路SSLVPN,防火墙服务,8个千兆以太网端口,1个快速以太网接口
产品名称产品编号
CiscoASA5500系列防火墙版本捆绑
CiscoASA550510用户捆绑,包括8端口快速以太网交换机,10个IPSecASA5505-BUN-K9
VPN对,2个SSLVPN对,三重数据加密标准/高级加密标准(3DES/AES)
许可证
CiscoASA5510防火墙版本,包括3个快速以太网接口,250个IPSecVPNASA5510-BUN-K9
对,2个SSLVPN对,3DES/AES许可证
CiscoASA5510防火墙版本,包括3个快速以太网接口,250个IPSecVPNASA5510-K8
对,2个SSLVPN对,DES许可证
3DES/AES许可证
CiscoASA5550防火墙版本,包括
个千兆以太网接口
个快速以太网接
ASA5550-K8
口,4个千兆SFP接口,5000个IPSecVPN对,2许可证
CiscoASA5500系列IPS版本捆绑
CiscoASA5510IPS版本,包括
VPN对,2个SSLVPN对,
AIP-SSM-10,防火墙服务,
3个快速以太网接口
250
个IPSec
ASA5510-AIP10-K9
CiscoASA5520IPS版本,包括
VPN对,2个SSLVPN对,
AIP-SSM-10,防火墙服务,
750
个IPSec
ASA5520-AIP10-K9
CiscoASA5520IPS版本,包括
VPN对,2个SSLVPN对,
CiscoASA5540IPS版本,包括
IPSecVPN对,2个SSLVPN
4个千兆以太网接口,1个快速以太网接口
AIP-SSM-20,防火墙服务,750个IPSec
4个千兆以太网接口,1个快速以太网接口
AIP-SSM-20模块,防火墙服务,
5000个
对,4个千兆以太网接口,1个快速以太网
ASA5520-AIP20-K9
ASA5540-AIP20-K9
接口
CiscoASA5500系列Anti-X版本捆绑
CiscoASA5510Anti-X版本,包括CSC-SSM-10,针对50名用户、为期一年的防病毒/防间谍软件功能,防火墙服务,250个IPSecVPN对,2个
SSLVPN对,3个快速以太网接口
CiscoASA5510Anti-X版本,包括CSC-SSM-20,针对500名用户、为期一
年的防病毒/防间谍软件功能,防火墙服务,
250个IPSecVPN对,
SSLVPN对,3个快速以太网接口
CiscoASA5520Anti-X版本,包括CSC-SSM-10,针对50名用户、
一年的防病毒/防间谍软件功能,防火墙服务,750个IPSecVPN对,
为期
2个
SSLVPN对,4个千兆以太网接口,1个快速以太网接口
CiscoASA5520Anti-X版本,包括CSC-SSM-20,针对500名用户、为期一
ASA5510-CSC10-K9
ASA5510-CSC20-K9
ASA5520-CSC10-K9
ASA5520-CSC20-K9
年的防病毒/防间谍软件功能,防火墙服务,
750个IPSecVPN
对,2个
SSLVPN对,4个千兆以太网接口,1个快速以太网接口
CiscoASA5500系列
VPN版本捆绑
CiscoASA5505VPN
对,防火墙服务
版本,包括10个IPSecVPN对,10
8端口快速以太网交换机
个SSLVPN
CiscoASA5505VPN
版本,包括25个IPSecVPN对,25
个SSLVPN
对,防火墙服务
8端口快速以太网交换机,SecurityPlus许可证
CiscoASA5510VPN
对,防火墙服务,
版本,包括250个
3个快速以太网接口
IPSecVPN
对,
50个SSLVPN
CiscoASA5510VPN
对,防火墙服务,
版本,包括250个
3个快速以太网接口
IPSecVPN
对,
100
SSLVPN
CiscoASA5510VPN
对,防火墙服务,
版本,包括250个
3个快速以太网接口
IPSecVPN
对,
250
SSLVPN
CiscoASA5520VPN
对,防火墙服务,
版本,包括750个
4个千兆以太网接口,
IPSecVPN
对,
500
SSLVPN
1个快速以太网接口
CiscoASA5540VPN
对,防火墙服务,
版本,包括5000个
4个千兆以太网接口,
IPSecVPN对,1000
1个快速以太网接口
SSLVPN
CiscoASA5540VPN
对,防火墙服务
版本,包括5000个
4个千兆以太网接口,
IPSecVPN对,2500
1个快速以太网接口
SSLVPN
CiscoASA5550VPN
对,防火墙服务,
版本,包括5000个
8个千兆以太网接口,
IPSecVPN对,2500
1个快速以太网接口
SSLVPN
CiscoASA5550VPN
对,防火墙服务,
版本,包括5000个
8个千兆以太网接口,
IPSecVPN对,5000
1个快速以太网接口
SSLVPN
安全服务模块
CiscoASA
高级检测和防御安全服务模块
10
CiscoASA
高级检测和防御安全服务模块
20
CiscoASA
年的防病毒
内容安全和控制安全服务模块/防间谍软件功能
10,提供针又50名用户、为期一
ASA5505-SSL10-K9
ASA5505-SSL25-K9
ASA5510-SSL50-K9
ASA5510-SSL100-K9
ASA5510-SSL250-K9
ASA5520-SSL500-K9
ASA5540-SSL1000-K9
ASA5540-SSL2500-K9
ASA5550-SSL2500-K9
ASA5550-SSL5000-K9
ASA-SSM-AIP-10-K9=
ASA-SSM-AIP-20-K9=
ASA-SSM-CSC-10-K9=
系列附件
SSM-4GE=
ASA-SW-UPGRADE=
系列小型闪存
系列小型闪存
电源
CiscoASA内容安全和控制安全服务模块20,提供针又500名用户、为期一ASA-SSM-CSC-20-K9=
年的防病毒/防间谍软件功能
CiscoASA4端口千兆以太网安全服务模块
CiscoASA5500系列软件
面向非支持合同客户的CiscoASA软件一次性升级
订购信息
CiscoASA5500系列SSL/IPsecVPN版的部分订购信息如表2和表3所示。
所有CiscoASA5500系列设备的基本机箱配置中都支持最高IPsec并发用户数。
所有SSLVPN特性都包含在一个特性许可证中。
每个CiscoASA5500型号都通过购买SSLVPN许可证支持SSLVPN。
CiscoASA5500系列上的SSL
VPN可以作为版本套件在一个部件号下购买,也可以独立购买机箱和SSLVPN特性许可证,如表3所示。
如果想下订单,请访问思科订购首页。
表2版本套件的订购信息
SSLVPN用户要求
版本套件
版本套件部件号
10个SSLVPN用户
CiscoASA5505SSL/IPsecVPN
户
版,10个SSLVPN用ASA5505-SSL10-K9
25个SSLVPN用户
CiscoASA5505SSL/IPsecVPN
户
版,25个SSLVPN用ASA5505-SSL25-K9
50个SSLVPN用户
CiscoASA5510SSL/IPsecVPN
户
版,50个SSLVPN用ASA5510-SSL50-K9
100个SSLVPN用户
CiscoASA5510SSL/IPsecVPN
户
版,100个SSLVPN用ASA5510-SSL100-K9
250个SSLVPN用户
CiscoASA5510SSL/IPsecVPN
户
版,250个SSLVPN用ASA5510-SSL250-K9
500个SSLVPN用
户
CiscoASA5520SSL/IPsecVPN
户
版,500个SSLVPN用ASA5520-SSL500-K9
1000个SSLVPN用
户
CiscoASA5540SSL/IPsecVPN
用户
版,1000个SSLVPNASA5540-SSL1000-K9
2500个SSLVPN用
CiscoASA5540SSL/IPsecVPN
版,2500个SSLVPNASA5540-SSL2500-K9
用户
2500个SSLVPN用CiscoASA5550SSL/IPsecVPN版,2550个SSLVPNASA5550-SSL2500-K9
户用户
5000个SSLVPN用CiscoASA5550SSL/IPsecVPN版,5000个SSLVPNASA5550-SSL5000-K9
户用户
表3个人许可证的订购信息
CiscoASA机箱和适用的SSLVPN许可证
SSLVPN用户
部件号
CiscoASA
CiscoASA
CiscoASA
CiscoASA
CiscoASA
要求
5505
5510
5520
5540
5550
10个SSLVPN
ASA5500-SSL-10
*
X
X
X
X
用户
25个SSLVPN
ASA5500-SSL-25
*
X
X
X
X
用户
50个SSLVPN
ASA5500-SSL-50
一
X
X
X
X
用户
100个SSL
ASA5500-SSL-100
一
X
X
X
X
VPN用户
250个SSL
ASA5500-SSL-250
一
升级会员 