思科集成防火墙解决方案

产品简介1思科集成防火墙解决方案Cisco®ASA5500系列自适应安全设备、CiscoPIX®安全设备、思科集成业务路由器和CiscoASR1000系列汇聚业务路由器中的CiscoIOS®防火墙、以及用于CiscoCatalyst®6500系列交换机和Cisco7600系列路由器的防火墙业务模块（FWSM）。现在，网络对于企业的成功比以往任何时候都更加重要。它们支持着关键应用和流程，并为融合的数据、语音和视频服务提供了一个通用基础设施。思科非常了解企业目前面临的安全挑战，并通过为客户提供业界一流的安全解决方案，帮助他们安全地开展业务。与只提供具有基本安全性的单点产品不同，思科致力于将安全性嵌入到整个网络之中，在其所有产品中集成安全服务。这不仅可以加强安全保障，还能使其成为业务基础设施的一个透明、可扩展、可管理的组成部分。CiscoASA5500系列自适应安全设备、CiscoPIX安全设备、思科集成业务路由器和CiscoASR1000系列汇聚业务路由器中的CiscoIOS高级安全特性集，以及用于CiscoCatalyst6500系列交换机和Cisco7600系列路由器的FWSM，构成了集成的安全解决方案，完美地诠释了思科安全理念。其中每一款产品都经济高效地集成了全面的防火墙、入侵防御和VPN技术。实施这些集成解决方案的客户将可以加强安全性、降低拥有成本和减少运营开支——所有这些优势都得益于单一平台中集成安全服务带来的增强智能共享功能。满足各种需求的集成防火墙解决方案CiscoASA5500系列、CiscoPIX安全设备、CiscoIOS防火墙，以及用于CiscoCatalyst6500系列交换机和Cisco7600系列路由器的FWSM，构成了思科灵活的集成防火墙解决方案。在模块化、可扩展的平台基础之上，每个产品都设计有一个独特的特性集，可以更好地保护不同的网络环境。您既可以单独地部署这些解决方案，以保护网络基础设施中的特定区域，也可以遵循思科SAFE蓝图中所介绍的设计最佳实践，将它们整合到一起，构建出一种分层的深层防御系统。为了进一步丰富这些集成防火墙解决方案，思科还提供了全面的安全管理产品系列——从思科安全设备、CiscoIOS软件安全特性和嵌入式设备管理器，到独立的管理应用，以确保您能够有效管理思科安全基础设施。CiscoASA5500系列CiscoASA5500系列自适应安全设备将经过市场验证的、业界最佳的安全和VPN服务，与一个创新的、自适应架构结合在一起。这为客户带来了一个强大的多功能网络安全设备，能够为中小型企业（SMB）、大型企业和数据中心网络提供全面保护，同时降低达到这一全新安全等级所需的总体部署和运营成本。CiscoASA5500系列采用了专门为CiscoPIX500系列安全设备、CiscoIPS4200系列传感器和CiscoVPN3000系列集中器开发的技术。这些技术在CiscoASA5500系列上无缝融合在一起，提供了一个能2产品简介够阻止最广泛威胁的平台。CiscoASA5500系列在其产品系列（如图1所示）中，可确保应用和内容的安全，并带来不含威胁的VPN连接。这一广泛的安全功能可以保护任何网段，包括最常见的威胁攻击渠道，例如远程站点、局域网连接的内部用户和远程接入VPN等。图1.CiscoASA5500系列设备产品系列CiscoASA5505CiscoASA5510CiscoASA5520CiscoASA5540CiscoASA5550CiscoASA5580小型办公室中型分支机构大型企业企业边缘企业边缘或总部数据中心注：图1提供了一般性指导方针。您应当根据自己的需求部署您的网络。CiscoASA5500系列通过智能的、可感知应用的检测引擎，提供了强大的应用安全性，能够对四到七层的网络流进行检查。这将可以为客户带来更加安全的网络，包括Web、语音和第三代（3G）移动无线服务等。为了保护网络避免遭受应用层攻击，帮助企业更有效地控制在其环境中使用的应用和协议，这些检测引擎还集合了广泛的应用与协议知识，并采用了多项安全执行技术，如协议异常检测、应用和协议状态跟踪等。此外，它们还采用了攻击检测和消除技术，例如应用和协议命令过滤、内容验证及URL反混淆技术等。这些检测引擎还提供了对即时消息、对等文件共享和隧道应用的控制，来支持您的企业执行使用策略，并释放网络带宽用于关键业务应用。在加强网络安全的同时，CiscoASA5500系列还能降低部署和运营成本。凭借广泛的VPN和安全服务特性，其成为一款能够用于多种用途的设备，进而实现了平台标准化。您可以在中央地点将其部署为一个融合的威胁防御设备，以使用其访问控制、应用检测，以及蠕虫、病毒和其他恶意软件防范技术。您还可以将其作为专用的远程接入设备，充分利用其VPN功能。它在网络内部也同样能够发挥重要作用，包括提供部门间的访问控制，以及防御内部用户在无意间引入到网络中的蠕虫、病毒和其他恶意代码。在小型企业和分支机构环境中，CiscoASA5500系列可以充当一个“多功能一体”的设备，提供全面的威胁防御和VPN服务，同时满足此类部署的预算和运营模式要求。这种自适应的“单一设备，多种用途”方法减少了您需要部署和管理的平台数量，同时在所有部署中提供了一个通用的运营与管理环境。这一方法将可以简化配置、监控、故障排除和安全人员培训工作。为了最大限度地降低运营成本，CiscoASA5500系列还具有很高的网络感知能力，可以在不中断合法流量和应用的情况下，无缝地部署到网络之中。CiscoASA5500系列防火墙性能zCiscoASA5505:150MbpszCiscoASA5510:300MbpszCiscoASA5520:450MbpszCiscoASA5540:650MbpszCiscoASA5550:1.2GbpszCiscoASA5580-20:6.5GbpszCiscoASA5580-40:14Gbps3产品简介CiscoPIX安全设备市场领先的CiscoPIX系列安全设备通过经济高效、易于部署的解决方案，提供了强大的用户和应用策略执行，多矢量攻击防范和加密连接服务。这些设备提供了多种集成的安全和网络服务，包括先进的应用感知防火墙服务、市场领先的IP语音（VoIP）和多媒体安全、稳定的站点间和远程接入IP安全（IPSec）VPN连接、屡获殊荣的永续性、智能网络服务，以及灵活的管理解决方案等。CiscoPIX系列包括多种产品——从面向小型和家庭办公室的、外型小巧、便于使用的桌面设备，到面向大型企业和服务供应商环境、具有出色投资保护能力的模块化千兆位设备。CiscoPIX安全设备能够为各种规模的网络环境带来稳定的安全保护、性能和可靠性。CiscoPIX安全设备集成了广泛的高级防火墙服务，以防止企业在互联网和企业网络环境中受到威胁的持续攻击（如图2所示）。这些设备能够提供丰富的状态检测防火墙服务，跟踪所有网络通信的状态，以及阻止未经授权的网络访问。它们还通过智能的、可感知应用的检测引擎，提供了强大的应用层安全功能，能够对四到七层的网络流进行检查。为了保护网络免受应用层攻击，帮助企业更有效地控制在其环境中使用的应用和协议，这些检测引擎集合了广泛的应用和协议知识，并采用了安全执行技术，其中包括协议异常检测、应用和协议状态跟踪，网络地址转换（NAT）服务，以及攻击检测和消除技术，如应用和协议命令过滤、内容验证及URL反混淆技术等。这些检测引擎还能帮助您的企业控制即时消息、对等文件共享和隧道应用，支持您执行使用策略，并释放网络带宽用于合法的业务应用。图2CiscoPIX安全设备产品系列CiscoPIX501CiscoPIX506ECiscoPIX515ECiscoPIX525CiscoPIX525CiscoPIX535远程办公人员或SOHO（1-20名用户）小型分支机构（20-99名用户）中型分支机构（100-999名用户）大型企业分支机构（100-999名用户）企业边缘企业总部数据中心注：图2提供的是一般性应用指导方针。您应根据自己的应用需求，而不仅仅是根据网络的规模，选择合适的产品。CiscoPIX安全设备建立在一个可以提供多种安全服务的加固操作系统基础之上，能够提供最高级别的安全性。它已经通过了多项业界评估和认证，包括针对防火墙的通用标准评估保障（EAL）四级和IPSec认证。CiscoPIX安全设备能够为多种VoIP和其他多媒体标准提供市场领先的安全保护，包括H.232版本4、会话创建协议（SIP）、思科瘦客户端控制协议（SCCP）、实时流协议（RTSP）和媒体网关控制协议（MGCP）等，以帮助企业安全地部署多种现有的和下一代VoIP和多媒体应用。CiscoPIX安全设备能够提供多种配置、监控和故障排除选项，让您的企业可以灵活地使用最符合自身需要的方法。在管理解决方案方面，既有基于策略的集中管理工具，也有基于Web的集成管理，并支持远程监控协议，如简单网络管理协议（SNMP）和系统日志等。集成的思科自适应安全设备管理器（ASDM）提供了一个基于Web的世界一流管理界面，能够显著简化单一CiscoPIX安全设备的部署、后续配置和监控工作，且无需在管理员的计算机上安装任何软件（除了标准Web浏览器和Java插件以外）。4产品简介管理员还能利用一个命令行接口（CLI），远程配置、监控和排除CiscoPIX安全设备故障。安全CLI访问可通过多种方法实现，包括SecureShell版本2（SSHv2）协议、基于IPSec的Telnet，以及通过控制台端口进行带外访问。CiscoPIX安全设备还具有强大的自动更新功能，以及一组革命性的安全远程管理服务，可确保防火墙配置和软件映像始终保持最新状态。此外，CiscoPIX安全设备还支持使用多种由思科技术开发合作伙伴提供的配置和监控工具。每款CiscoPIX安全设备产品的防火墙性能如下：CiscoPIX安全设备防火墙性能：zCiscoPIX501:60MbpszCiscoPIX506E:100MbpszCiscoPIX515E:190MbpszCiscoPIX525:330MbpszCiscoPIX535:1.7GbpsCiscoIOS防火墙CiscoIOS防火墙是一种状态检测防火墙选件，适用于Cisco1800、2800和3800系列集成业务路由器；Cisco800和7200系列路由器；CiscoASR1000系列汇聚业务路由器；以及Cisco7301路由器。所有配有CiscoIOS软件高级安全或更高特性集的集成业务路由器，都支持CiscoIOS防火墙。CiscoASR1000系列汇聚业务路由器还能为企业网络的广域网和互联网边缘，以及电信运营商网络中的宽带用户，提供基于区域的多千兆位速率CiscoIOS防火墙。CiscoIOS防火墙是一款理想的一体化安全与路由解决方案，可为WAN到网络的接入点提供有效保护。其主要特性包括：具有拒绝服务（DoS）防护功能的状态检测防火墙；增强的应用、流量和用户感知能力，有利于发现、检查和控制应用；针对语音、视频和其他应用的先进的协议检查功能；针对每个用户、每个接口或者子接口的安全策略；紧密集成的身份识别服务，针对每个用户提供身份验证和授权；以及方便的管理。基于角色的精细访问，可支持在网络运营和安全运营人员之间，安全合理地区分路由器管理权限。CiscoIOS防火墙不仅能够帮助在网络周边实现单点保护，还能将安全策略的实施变成网络自身的一个固有组成部分。CiscoIOS防火墙可以运行在多种基于CiscoIOS软件的路由器上（如图3所示）。它为那些既希望利用网络基础设施保障安全，又想要继续利用CiscoIOS软件功能的客户（无论办公场所的规模多大）提供了最佳选择。这些软件功能包括服务质量（QoS）、多协议、组播和先进路由支持等。图3.CiscoIOS防火墙产品系列Cisco871Cisco1841Cisco2801Cisco2811Cisco2821Cisco2851Cisco3825Cisco3845Ci