Выезд специалиста: 
Работаем с новыми файрволлами Firepower!
 


Программно-аппаратное обеспечение ASA: обзор, области внедрения, настройка

Оборудование, обеспечивающее максимальную защиту периметра ЛВС. Тут приведено описание преимуществ брэндмауеров фирмы CISCO. Адаптивный межсетевой экран интегрированной безопасности Аса содержит в себе набор мощнейших, проверенных на практике технологий функционирующих на единой платформе. Это делает файрвол технически удобным и выгодным экономически для организаций, которым требуется внедрение решений комплексной защиты в нескольких точках детерминации. Asa — это надёжный многоцелевой аппаратный комплекс с высокой производительностью NAT, гибко адаптируемый под необходимые корпоративные задачи сетевой безопасности.

Версии оборудования. Брандмауэры выпускаются в различных исполнениях:
  • Firewall edition
  • IPS edition
  • Content Security edition
  • FirePOWER Services edition
  • Ssl/Ipsec Virtual Private Networks Edition
Каждый вариант отличается типом лицензии и рассчитан на использование брандмауэра для определенной конкретной задачи. Например конфигурация сетевого экрана с партномером BUN-K9 поддерживает глубокие алгоритмы шифрования 3-DES / AES, в отличие от «K8», поддерживающей только DES. Все модели сертифицированны ФСТЭК.

Гибкость настроек Adaptive Security Appliances.

Настраиваете профили безопасности на «АСЕ», подстраивая брандмауэр под ключевые задачи исходя из базовых наборов параметров сетевой защиты для текущей корпоративной политики, либо гибко профилируйте CISCO файрвол вручную, тонко приспосабливая всю мощь «АСЫ» исходя из предпочтений, основанных на приоритетах, диктуемых генеральной линией Вашего бизнеса. А если техника не настроится, Вы всегда можете вызвать за помощью специалистов, которые настроят наверняка! ;)

Cisco Advanced Intrusion Protection Services

AIP — это уникальная расширенная система предотвращения вторжений, разработанная Циско, интегрированная в брандмауэр ASA, начиная с модели 5510. Проактивная защита с полным набором адаптивных сервисов, предотвращающая следующие виды угроз корпоративной безопасности:

  • сетевые черви
  • атаки на уровне приложений
  • атаки уровня операционной системы
  • руткиты
  • шпионское ПО (spyware)
Функционал доступен при установке дополнительного модуля AIP-SSM.

Сервисы безопасности контента (Content Security Services)

Компания Cisco предлагает лидирующие в индустрии безопасности сервисы, интегрированные в оборудование ASA, которые обеспечивающие полнофункциональный пакет услуг защищённости.
  • антивирус
  • антишпионский модуль
  • блокиратор файлов
  • анти-спам модуль
  • анти-фишинг
  • URL-фильтрация и блокировка
  • а также фильтры контента, проходящего через определенные порты

Данные функции реализованы на платформе от Trend Micro - являющейся лидером по анализу безопасности и предотвращения атак, при помощи модуля расширения CSC SSM, интегрированного в надёжную аппаратную оболочку от Cisco Systems.

Брандмауер ASA младшая модель 5505
аппаратный фаервол CISCOASA 5505

Модели младшего модельного ряда (до 5510 включительно) рекомендуются для применения в малых и средних сетях организаций. Имеют ограничения по функционалу и расширяемости.
Брандмауеры 5520, первые гигабитные сетевые экраны в линейке, имеют на борту четыре 10/100/1000 порта + один 100-мегабитный для локального управления; поддерживают кластерные конфигурации и держат до миллиона одновременных сессий. CISCOASA 5520-5550 оптимальны для крупных филиалов организаций либо для компаний, интенсивно использующих ЛВС и сеть Интернет.

УНИВЕРСАЛЬНАЯ ПЛАТФОРМА

Asa 55xx позволяет обеспечить одновременное использование технологий IPsec и SSL VPN; имеет гибкие возможности настройки, мониторинга и высокую отказоустойчивость. Единая аппаратно-программная платформа гарантирует удобство, полную совместимость и полный функционал при неснижаемой производительности. Эти качества в совокупности значительно снижают добавленную стоимость при эксплуатации сетевых корпоративных решений и повышают эффективность сетевого внедрения на различных платформах.


Аппаратный брандмауер 5510

усиленная безопасность

Отключаемые IDS / IPS — системы предотвращения внешних вторжений во внутренний сегмент сети. ASA фильтрует весь входящий на внешний (либо любой заданный пользователем) интерфейс трафик по сигнатурному анализу.
Система Intrusion Detection System обнаруживает известные атаки по шаблону (сигнатуре), выдавая сообщение об угрозе на консоль либо на специализированный сервер логирования.
Intrusion Prevention Systemm предотвращает возможность проникновения хакера за пределы точки детерминации сети организации, определяя атаку по сигнатуре, динамически обновляемой с сервера CISCO. Обновление возможно как вручную, так и автоматически, без участия сетевого администратора.

CBAC — возможности гибкой настройки слежения за исходящим/входящим IP-трафиком по заданным критериям. Контролируются следущие параметры: синхронизация, установке соединения по макс количеству общих соединений. Предусмотрена регулировка количества исходящих соединений на удаленные сайты. Максимальный промежуток времени синхронизации с интернет-сервером. CBAC может использоваться для защиты от DDOS-атак, путем установки определенного количества одновременных входящих сессий на сервер во внутренней сети.
Cbac также может ограничивать одновременные исходящие сессии для раннего обнаружения и предовтращения распространения сетевого червя в локальной сети.

антивирусные возможности CISCOASA

Firewall производит фильтрацию любого трафика по определенным адресам и по следующим приложениям. На вирусы проверяются следущие приложения и протоколы: ActiveX / Java / FTP / HTTP / HTTPS / IM (ICQ) / SQL и некоторые другие.

гибкие политики web-доступа

Asa умеет гибко управлять интернет-серфингом корпоративных сотрудников. Благодаря политикам по ключевым словам в домене или непосредственно в контенте сайта.

Прозрачная связь между удаленными сетями / офисами (Site to Site VPNs)

Устройства Cisco семейства ASA поддерживают доступ к удалённой сети только безопасного типа (IPSec поверх VPN) не требующий клиентского программного обеспечения. Данное качество брендмауеров позволяет строить защищенные удаленные сети, связывать филиалы компаний прозрачными зашифрованными и высокопроизводительными тунелями для совместной обработки данных, обмена документами между сетями.
Превосходные интегрированные возможности в обработке контента обеспечивают надежный процесс разработки сложных многомодульных приложений, WEB-страниц использующих технологии Java, AJaX, JavaScript или ActiveX.

* Полнофункциональный ЦИСКО ВПН (Client + Server)

Файерволы Asa позволяют получать удаленный доступ в защищенные сегменты корпоративных сетей пользователям, не имеющим оборудования АСА на абонентском конце. Настраиваемая возможность сетевого взаимодействия посредством динамически загружаемого ПО: «Сиско клиент для VPN» дает возможность входить в сеть предприятия и видеть все устройства и компьютеры той сети с удаленной машины из любой точки мира.
Ciscos EasyVPN для внедрения в среду IPsec динамически обновляет свежайшие политики безопасности в удалённо-подключенные Впн-устройства, а также удалённым клиентам, что повышает гибкость, улучшает масштабируемость и упрощает сетевое администрирование.

Сетевой удалённый доступ по WEB / HTTP протоколу

Расширенный сетевой функционал оборудования ASA5500 предоставит возможность удаленным пользователям заходить в офисную сеть и получать доступ к ресурсам частной сети находящейся за брендмауером посредством обычного Web-браузера, не используя стороннего ПО.
Это стало возможным благодаря интегрированному програмному обеспечению «WEB VPN CLIENT».
Данную функцию по достоинству оценят компании, где работает много удаленных сотрудников, фрилансеров, телеработников.

Расширенные возможности отказоустойчивости, кластеризации

Решения, предложеные Cisco на базе удаленного доступа снижают финансовые затраты, автоматически распределяя VPN-сессии среди всех устройств ASA модельного ряда "5500" и ВЧС концентраторы Сиско ВПН серии 3000, не требуя пользовательского вмешательства и дополнительного оборудования балансировки нагрузки.
Данное свойство значительно повышает отказоустойчивость сетевого решения и устраняет узкие места в сети, помогая сэкономить финансовые вложения в корпоративную сеть.
Оборудование 55xx можно использовать в кластерных системах, связывая их между собой.

Подключение брандмауеров в режиме «Failover» позволяет организовать 100% отказоустойчивую систему, защищенную от возможных сбоев в работе оборудования.

Защищенный от угроз безопасности Virtual Private Network

Не секрет, что VPN является основным источником несанкционированного проникновения вредоносных программных средств, таких как сетевые черви, трояны, вирусы, кийлогеры, руткиты и другого шпионского ПО во внутреннюю сеть организации.
Глубокая и обширная система предотвращения вторжений хакеров, встроенный антивирус и Firewall, фильтрующий приложения, создают надежную комплексную защиту VPN-канала.
Расширенные возможности защиты конечных точек в брандмауерах серии 5500-X позволят не думать о ВЧС-туннеле, как о слабом звене корпоративной сети, которое может стать черным ходом для угроз сетевой безопасности.

Превосходная управляемость и продвинутый мониторинг

Файрволы Cisco поддерживают администрирование через встроенный Adaptive Security Device Manager (ASDM), имеющий Вэб интерфейс, поддерживающий расширенные возможности управления безопасностью и VPN-функционалом брандмауера. Конфигурирование можно осуществлять различными способами. Среди них: менеджмент по Telnet / SSH, богатые опции тюнинга через web-интерфейс по протоколу HTTPS.

Основные технологические возможности брандмауэров CISCO

Надёжный брандмауэр вкупе с защищённым от вторжений VPN, построенные на основе хорошо зарекомендовавших себя технологий фаерволов PIX, а также продукт «Vpn 3000 Concentrator» - АСА модельного ряда 5500 является уникальным оборудованием, консолидирующим SSL и АЙПИ-безопасность (IP sec)-SERVICES для Virtual Private Network с интегрированной защитой туннеля посредством лидирующей в сфере брандмауэрной технологии.

Надо настроить параметры ASA файрвола?

Вы являетесь обладателем брандмауера, но затрудняетесь с настройкой? Не беспокойтесь, специалисты интегратора Москвы ЛанИнтегро готовы к выезду, настроив сложное сетевое оборудование, наподобие брандмауеров Сиско Аса. Звоните, чтобы мы оперативно и профессионально настроили конфигурации с несколькими ВПН туннелями, осуществили как первоначальную настройку оборудования, так и внедрили сложные схемы внутрисетевой маршрутизации (по протоколам BGP / MPLS / EIGRP OSPF), произвели регулировку под конкретные задачи фаерволы ASA5505 — 5585.
Опытные, сертифицированные мастера настраивают через текстовую консоль привиллегированный режим), это самый надёжный способ, поскольку конфигурирование начальных моделей с помощью интегрированной программы ASDM-IDM Launcher может не дать положительного результата. К примеру, мы настраиваем CISCOASA файрволлы на следующие конфигурации, часто вызывающие затруднения у неопытных настройщиков:
  • активация режима «Маршрутизатор», настройки маршрутизации (статическая / динамическая)
  • поднятие ВПН tunnel на брандмауэрах asa5510, etc
  • конфигурация Ip Security Vpn Server — организация защищённых туннелей
Опыт наших специалистов постоянно расширяется и недавно мы освоили новую версию Ios, в которой по-иному настраивается маршрутизация, а также изменен механизм Network Address Translation. Кроме того, мы готовы предложить услуги внедрения новейшей серии файрволлов с функционалом Fire Power! [2019-04-08]
 
©2005-2019 Системный интегратор LanIntegro в Москве — создаём сеть, устанавливаем серверы. Обновлено: 20/11/2019, 14:53.


Rambler's Top100