若是企業(yè)初期想要在較低的預(yù)算中����,取得較基本的防火墻功能,但又考量到未來的擴(kuò)充性�,ASA 5506-X便提供了這樣的選擇。只是在擴(kuò)充之后�,F(xiàn)irepower模組便要由另一套獨(dú)立的系統(tǒng)控管,雖然����,設(shè)備與擴(kuò)充模組的管理平臺(tái)�����,原廠已經(jīng)計(jì)劃較終要整合成單一的網(wǎng)頁介面�����,不過就現(xiàn)階段而言��,企業(yè)取得擴(kuò)充功能之后����,管理者同時(shí)要在兩種管理平臺(tái)監(jiān)控及制訂政策���。此外�,在設(shè)備的管理上�����,管理者必須在電腦上安裝指定軟件才能執(zhí)行����。
ASA 5506-X的網(wǎng)絡(luò)介面總共配置了8個(gè)GbE口����,企業(yè)可自行設(shè)定為WAN口�、LAN口,以及DMZ口使用����。在設(shè)備的硬體規(guī)格中,雖然沒有列出處理器的規(guī)格����,但擁有4GB記憶體與多達(dá)8GB快閃記憶體,算是不錯(cuò)���。在效能規(guī)格的部分,ASA 5506-X防火墻較大的吞吐量為750Mbps�,VPN則有100Mbps(在3DES與AES加密標(biāo)準(zhǔn)條件下測(cè)試),在防火墻���、應(yīng)用程式控管����,以及IPS叁項(xiàng)功能同時(shí)運(yùn)作的情況下���,吞吐量是125Mbps���,適合網(wǎng)絡(luò)流量不大的環(huán)境�。
對(duì)于ASA 5506-X的進(jìn)階選用功能���,包含IPS�����、網(wǎng)絡(luò)進(jìn)階威脅防護(hù)�、網(wǎng)址過濾等�����,都要再加購(gòu)Firepower軟件授權(quán)才能使用�。同時(shí),上述的功能��,企業(yè)也必須透過額外建置的Firepower Management Center(FMC)伺服器��,才能控管��。
提供詳細(xì)的防火墻政策設(shè)定功能
在ASDM應(yīng)用程式中����,管理者可檢視已經(jīng)連接到ASA 5506-X的電腦列表�,并得知連接口與網(wǎng)絡(luò)的運(yùn)作情形���。切換到防火墻儀表板中��,我們則能瀏覽ASA 5506-X設(shè)備3大資訊�����,包含進(jìn)出流量的即時(shí)走勢(shì)圖��,以及較常觸發(fā)的防火墻政策排行����,與內(nèi)部流量使用量排行等�。
在流量分析的部分,ASDM一共提供3種流量比對(duì)資訊�,分別是即時(shí)連線與NAT轉(zhuǎn)址數(shù)量對(duì)照��、丟棄封包的類型��,以及已掃描和識(shí)別為SYN的封包DoS攻擊流量速率分析����。
其中�,使用量排行又細(xì)分成4種指標(biāo)����,分別是依據(jù)前10名的流量來源、目的地�、網(wǎng)絡(luò)服務(wù),以及使用者�����。因此���,管理者可檢查是否有疑似異常的情形�。
設(shè)定防火墻的政策部分����,管理者可透過ASDM建立ASA 5506-X運(yùn)作的各項(xiàng)規(guī)則,其中����,與網(wǎng)絡(luò)相關(guān)的部分,包含流量存取、NAT����、指定網(wǎng)址過濾伺服器,以及使用者可存取的開放FTP站臺(tái)和網(wǎng)頁伺服器等�。針對(duì)惡意威脅,主要是威脅檔案?jìng)蓽y(cè)與僵尸網(wǎng)絡(luò)的過濾能力�����。
像是網(wǎng)絡(luò)流量存取的政策����,管理者可啟用簡(jiǎn)易圖表,協(xié)助自己以圖像化的方式�����,檢視政策執(zhí)行的方法����,是否符合預(yù)期。此外��,這裡也提供了封包追蹤程式���,讓管理者能在政策執(zhí)行異常時(shí)����,檢查那個(gè)環(huán)節(jié)出現(xiàn)問題����。
ASDM在設(shè)定政策的介面中,內(nèi)建了相當(dāng)豐富的工具�,在一般增修與排序指令之外,這裡也能讓管理者輕鬆復(fù)製政策��,用以建立新的規(guī)則�。而且,在每個(gè)已制訂的項(xiàng)目中�,還提供了執(zhí)行次數(shù)統(tǒng)計(jì),和記錄的檢視功能��。
需搭配進(jìn)階防護(hù)模組�,更能提供次世代防火墻應(yīng)有功能
若要控管ASA 5506-X的其他安全防護(hù)功能,例如IPS�、應(yīng)用程式可視性(AVC)、網(wǎng)址過濾等�,管理者則需連接至Firepower FMC才能操作。
由于Firepower模組強(qiáng)調(diào)應(yīng)用程式的可視性����,例如�����,系統(tǒng)可依據(jù)得知端點(diǎn)電腦使用的應(yīng)用程式版本�,判斷ASA 5506-X需要額外啟動(dòng)的保護(hù)機(jī)制����,彌補(bǔ)軟件尚未更新所帶來的資安風(fēng)險(xiǎn)。
在FMC中�,管理者可看到各式的威脅資訊,包含IOC(Indicator Of Compromise)��、入侵事件偵測(cè)����,以及根據(jù)情境感知分析的可疑事件等。
此外�����,針對(duì)進(jìn)階威脅事件的管控���,企業(yè)透過Firepower內(nèi)建的AMP功能�,可進(jìn)行惡意軟件的軌跡追蹤。由于這種類型的事件往往有潛伏期�����,因此AMP會(huì)針對(duì)ASA 5506-X的流量持續(xù)分析�����,管理者可以在FMC中檢視整起事件的發(fā)生過程����,包含從那一臺(tái)端點(diǎn)電腦進(jìn)入到內(nèi)部網(wǎng)絡(luò)�,以及受到波及的電腦清單,還有過程之中對(duì)外的異常連線等�����。
Cisco ASA 5506-X防護(hù)機(jī)制總覽
在ASA次世代防火墻設(shè)備的管控方式���,Cisco提供針對(duì)基本防火墻功能的單機(jī)控管�,以及針對(duì)進(jìn)階威脅提供選購(gòu)的Firepower模組����,管理者必須到這兩個(gè)平臺(tái)當(dāng)中操作����。
提供網(wǎng)路運(yùn)作狀態(tài)的儀表板
在ASA 5506-X儀表板中��,網(wǎng)管人員可透過左側(cè)檢視已與其連線的設(shè)備列表�,并能針對(duì)這些聯(lián)網(wǎng)設(shè)備與防火墻的防護(hù)機(jī)制,加以檢視其運(yùn)作的狀態(tài)是否正常���。
能夠針對(duì)特定網(wǎng)路流量產(chǎn)生報(bào)表
在ASDM主控臺(tái)中�����,管理者可指定ASA 5506-X所連接的特定網(wǎng)域�,產(chǎn)生流量分析報(bào)表����。如圖中所示,系統(tǒng)可依據(jù)這個(gè)連接埠的流量位元數(shù)�、封包數(shù)、流入或流出請(qǐng)求等資訊���,提供一個(gè)或多個(gè)分析圖表����。
可擴(kuò)充威脅情資進(jìn)階分析能力
針對(duì)威脅情資的整合,ASA 5506-X可選用Firepower功能模組�����,與內(nèi)部威脅情資進(jìn)行串連����,將網(wǎng)路流量進(jìn)階分析���,并能得知其受駭指標(biāo)(IOC)�,追查疑似異常的內(nèi)部電腦與使用者�����。
產(chǎn)品資訊
Cisco ASA 5506-X
● 網(wǎng)路埠數(shù)量:8個(gè)GbE埠(企業(yè)可自定WAN��、LAN��、DMZ)
● 資安防護(hù)吞吐量:125 Mbps(應(yīng)用程式控管與IPS)
● 防火墻吞吐量:750 Mbps
● VPN吞吐量:100 Mbps
● 防毒引擎:廠商未提供
