Межсетевые экраны нового поколения Cisco ASA серии 5500-X
Всесторонний мониторинг и контроль
Мобильный доступ и облачные технологии способствуют повышению производительности, но сопряжены с дополнительными рисками. Для защиты ресурсов необходимы мониторинг пользователей, приложений, устройств и угроз в сети, а также контроль за их действиями. Межсетевые экраны Cisco ASA серии 5500-X обеспечивают необходимую прозрачность сети, превосходную защиту от угроз и вредоносного ПО повышенной сложности и высокий уровень автоматизации, позволяющие сократить расходы и упростить инфраструктуру.
Превосходство Cisco ASA в тестах межсетевых экранов
Компания NSS Labs тестирует первый в отрасли ориентированный на предотвращение угроз межсетевой экран нового поколения. Ознакомиться с результатами.
Отнеситесь к обеспечению безопасности как к фактору роста
Джон Чемберс (John Chambers) обсуждает безопасные способы использования возможностей Всеобъемлющего Интернета.
Возможности и характеристики
Надежная многоуровневая защита от угроз
Межсетевые экраны нового поколения Cisco ASA серии 5500-X помогают заказчикам найти баланс между эффективностью обеспечения безопасности и производительностью. Это решение, представляющее собой сочетание самого популярного в отрасли межсетевого экрана с контролем состояния соединений и полного ассортимента сервисов сетевой безопасности нового поколения, включает:
Cisco предлагает первый в отрасли ориентированный на предотвращение угроз межсетевой экран нового поколения, — Cisco ASA с сервисами FirePOWER, доступный на многофункциональных устройствах обеспечения безопасности Cisco ASA серии 5500-X и ASA серии 5585-X. Благодаря этому решению заказчик получает в одном устройстве проверенную временем защиту межсетевым экраном Cisco ASA в сочетании с лучшей в отрасли защитой от угроз и вредоносного ПО — Sourcefire.
Защитите ваш бизнес с помощью решения для полномасштабного контроля и высокоэффективного противостояния угрозам на всем протяжении атаки. Это решение обеспечивает всесторонний мониторинг и контроль, сокращение расходов и упрощение инфраструктуры, а также защиту от вредоносного ПО и новых угроз в режиме реального времени.
Широкий выбор типоразмеров и возможностей
Благодаря технологии MultiScale и разнообразию типоразмеров вы сможете защитить сеть любого размера. Межсетевые экраны Cisco ASA серии 5500-X нового поколения поставляются в виде:
Проверенная временем платформа корпоративного класса
Все межсетевые экраны Cisco ASA серии 5500-X нового поколения работают под управлением программного обеспечения Cisco Adaptive Security Appliance (ASA) и поддерживают функции контроля состояния соединений корпоративного класса, а также возможности межсетевых экранов нового поколения. Конфигурация программного обеспечения ASA допускает такие функциональные возможности, как:
Услуги поддержки продуктов
Услуги Cisco позволяют повысить эффективность работы, снизить расходы на техническую поддержку и улучшить управление сетевыми рисками.
Всё о межсетевых экранах Cisco ASA5500 на примере ASA5505-BUN-K9
Межсетевые экраны ASA5505 были сняты с производства в 2017 году, но до сих пор данное оборудование считается идеальным вариантом для защиты сети от внешних угроз для мелкого и среднего бизнеса. К тому же, техническая поддержка, сервисные контракты и лицензии все еще можно приобрести, как и оборудование в целом.
Сильной стороной межсетевых экранов серии Cisco ASA5500 можно назвать идеальные показатели безопасности и продвинутую архитектуру сервисов с возможностью апгрейда. Эффективное противодействие сетевым угрозам без возможности дальнейшего распространения по сети — вот что является главной задачей межсетевого экрана ASA5505-BUN-K9, с которой он прекрасно справляется. Особенности устройства позволяют эффективно противостоять сетевым угрозам и блокировать их распространение по сети.
ASA5505-BUN-K9 – основные возможности:
Высокопроизводительный межсетевой экран, использование системы IPS для предотвращения вторжений, также поддерживаются сети VPN, обеспечена защита содержимого, приложений, мониторинг приложений и пользователей, эффективная защита от вредоносных программ, избавление от вирусов, фильтрация данных, возможность подключения удаленных пользователей или объектов.
Прогрессивная технология защиты от поражения шпионскими и вредоносными программами. Поэтому сети надежно защищены от вирусов и негативных последствий их воздействия.
Межсетевой экран для пересылки легитимного трафика, исключая риск появления «незваных гостей». Обеспечена современная защита от риска несанкционированного доступа к необходимой информации или приложениям.
VPN инструменты для соединений разных объектов, поддерживается удаленный доступ к необходимым сервисам и системам внутри сети.
Блокирование спама с инновационной эффективностью. Вероятность ложных срабатываний крайне минимальна, поэтому возрастает эффективность использования эл. почты для бизнес-общения, существенно увеличивается производительность коллективной работы.
Диспетчер устройств адаптивной защиты – универсальное приложение, которое позволяет сделать общий контроль и настройку любых сервисов гораздо проще, для этого разработан удобный и грамотно продуманный web-интерфейс.
Как выбрать Cisco ASA 5500-X серии?
Брандмауэры Cisco ASA принято считать лучшим выбором для корпоративных сетей. Если вы владеете небольшим бизнесом, в этом семействе найдутся варианты, которые смогут удовлетворить ваши потребности. Но имейте в виду, что их функции обычно несколько ограничены по сравнению с более поздними версиями. Нижеприведённая таблица не включает все модели из серии 5500-X. Мы включили только те, которые, по нашему мнению, стали бы наиболее подходящим выбором в сравнении с «нижними» моделями, учитывая при этом цену и функционал.
С пецификации оборудования для Cisco ASA 5500-x series
Функционал
Серия межсетевых экранов ASA 5500-X от Cisco предлагает множество функций. Однако многие из них требуют дополнительного лицензирования. Обратите внимание, что в следующей таблице перечислены только ключевые функции. Если вы хотите узнать о лицензировании более подробно, то ознакомьтесь с подробными сведениями о лицензировании Cisco для получения полного списка того, что предлагает каждое устройство, либо обратитесь в нашу службу поддержки.
Так или иначе, эта таблица содержит основную информацию:
| ASA 5505 | ASA 5506-X | ASA 5512-X | ASA 5525-X | ASA 5555-X | |
|---|---|---|---|---|---|
| Users/Nodes | 10 (Base license) 50/Unlimited with additional license | Unlimited | Unlimited | Unlimited | Unlimited |
| Security+ License | Security + License | Security + License | Included | Included | |
| AnyConnect | Optional License | Optional License | Optional License | Optional License | Optional License |
| BotNet фильтрация | No support | Timed License | Timed License | Timed License | |
| IPS | No Support | No Support | Optional License | Optional License | Optional License |
| Кластеризация | No support | No support | Security + License | Included | Included |
| GTP/GPRS | No Support | No Support | No Support | Optional License | Optional License |
| VPN | AnyConnect or Apex License | AnyConnect or Apex License | AnyConnect or Apex License | AnyConnect or Apex License | AnyConnect or Apex License |
Примечание. Дополнительные лицензии, перечисленные выше, являются отдельными для каждой функции. Например, AnyConnect и IPS требуют отдельной дополнительной лицензии для включения этих функций.
Если вы собираетесь платить за ASA, вы действительно должны использовать эти дополнительные функции. Мы же не будем углубляться в описание каждой из них.
Cisco ASA
BotNet фильтрация
Используя нетехнические термины, BotNet похож на армию зомби-компьютеров, управляемую злоумышленником. Они часто используются в атаках DDoS (Distributed Denial of Service) и могут навредить нормальной работе сети. Эти роботы перегружают вашу сеть трафиком до такой степени, что полезный трафик просто таки теряется. Конечно же они, в основном, ориентированы на «профильные» веб-серверы, но не стоит недооценивать уровень угрозы и для обычных корпоративных сетей. То есть никто не даст гарантии, что вы не станете жертвой DDoS-атаки только потому, что вы являетесь «всего лишь» небольшой компанией.
Отказоустойчивость
Поддержка отказоустойчивости довольно проста.
У вас есть один из двух сценариев:
Выбор межсетевого экрана
Затем вам нужно определиться с бюджетом. В нашем магазине купить брандмауэр Cisco, конечно же, дешевле, чем где либо ещё, но это лишь в относительных величинах. В абсолютных показателях стоимости они не дешевы, и некоторые функции, которые возможно вам понадобятся вполне могут быть и вне вашего ценового диапазона. В этом случае вы можете изучить альтернативы оборудованию Cisco или (что лучше всего) попытаться переработать бюджет.
Вы также должны учитывать масштабируемость. Нижние модели, которые не поддерживают кластеризацию, могут впоследствии стать головной болью для ваших администраторов, поскольку они должны будут настроить каждый межсетевой экран ASA индивидуально. Имейте в виду, что перечисленные здесь брандмауэры Cisco, из тех, что могут поддерживать кластеризацию, способны группировать только два устройства. Если вам требуется больше, вам нужно посмотреть в сторону моделей 5580 и 5585-X.
Лицензирование Cisco ASA 5500
Автор
Борис Усков, CCNP
Системный инженер
На смену решению Cisco ASA пришли устройства Cisco Firepower. Более подробно о решениях Firepower можно почитать у нас в FAQ или посетить Демо-стенд.
Оглавление:
Читайте также:
1. Cisco ASA 5500 Series Platform License
В данную группу лицензий входят позиции для моделей ASA5505, ASA5506, ASA5510, ASA5512-X и ASA5585-X. Модель ASA5505 является единственной моделью, для которой существуют ограничения на количество пользователей за МСЭ. Под пользователем подразумевается пользовательское устройство, трафик которого пропускается через ASA. Существуют модели ASA5505 с лицензией до 10 пользователей (ASA5505-SW-10), до 50 (ASA5505-SW-50), а также без ограничений на количество пользователей (ASA5505-SW-UL).
Для моделей ASA5505, ASA5506, ASA5510 и ASA5585 существуют лицензии Security Plus, которые расширяют функционал. Для ASA5505 лицензия Security Plus (ASA5505-SEC-PL):
Для ASA5506 лицензия Security Plus (L- ASA5506-SEC-PL):
Для ASA5510 лицензия Security Plus (L-ASA5510-SEC-PL):
Для ASA5512-X лицензия Security Plus (ASA5512-SEC-PL):
Для ASA5585-X лицензия Security Plus (ASA5585-SEC-PL) включает возможность использования 10GB SFP+ слотов.
С линейкой современных решений по безопасности Cisco FTD, которые пришли на смену Cisco ASA, Вы можете ознакомиться в нашем каталоге.
2. Cisco ASA 5500 Series Botnet Traffic Filter Licenses
Данная лицензия активирует сервис Botnet Traffic Filter, ориентированный на выявление бот сетей и предотвращение связанных с ними атак. Данный функционал позволяет выявлять среди внутренних ПК, те компьютеры, которые стали частью бот сети. Принцип работы сервиса опирается на инспекцию сессий с целью сравнения адресов и доменных имён с текущей динамической базой данных, хранящей информацию об известных бот сетях. В случае если внутренний ПК обращается к известной бот сети, ASA оповещает об этом системного администратора, а также блокирует такое подключение. Лицензия существует для каждой модели ASA кроме новой модели 5506. Для ASA5506 функционал Botnet Traffic Filter активируется лицензией Security Plus. Например, для ASA 5510 требуется ASA5510-BOT-1YR. Лицензия с ограничением времени (time-based) на 1 год.
Для активации функций данной лицензии необходимо наличие на ASA лицензии, разрешающей использование стойких криптографических алгоритмов 3DES/AES.
В современном решении по безопасности Cisco FTD защита от бот сетей реализуется средствами Security Intelligence и NG IPS. Как это работает, мы рассказываем на нашем демо-стенде.
3. Cisco ASA 5550 Series Unified Communications Licenses
Данная лицензия предоставляет возможность использования следующего функционала:
Функция Phone proxy позволяет терминировать на ASA SRTP/TLS сессии. Данная технология предоставляет возможность IP-телефонам создавать SRTP/TLS-туннели между пользовательским телефонным аппаратом в удалённой локации и межсетевым экраном ASA, установленном в офисе компании. Технология Phone Proxy позволяет устанавливать безопасные соединения непосредственно между IP-телефоном и ASA, тем самым снимая нагрузку, связанную с шифрованием, с самой IP АТС. Также данный функционал позволяет использовать защищённые соединения между телефоном и ASA в случае, если IP АТС не поддерживает функций шифрования вообще.
Функция Phone Proxy работает совместно с IP АТС Cisco UCM. Cisco UCM может быть настроен в режиме mixed mode или nonsecure mode. Вне зависимости от режима CUCM, удалённые телефоны, поддерживающие шифрования, могут быть установлены в режим шифрования (encrypted mode). Сессии TLS (сигнализация) и SRTP (передача медиа-данных) при этом терминируются на ASA. МСЭ выполняет инспекцию сигнальных протоколов SCCP или SIP, выполняет функцию NAT для пакетов. Если CUCM работает в nonsecure mode, ASA выполняет следующие функции: конвертирует TLS в TCP, конвертирует SRTP в RTP.
Если CUCM работает в mixed mode, и телефоны внутренней инфраструктуры настроены как аутентифицируемые, ASA не конвертирует TLS в TCP, но конвертирует SRTP в RTP. Если CUCM работает в mixed mode, и телефоны внутренней инфраструктуры настроены на шифрование генерируемого трафика, TLS соединения остаются TLS, SRTP соединения остаются SRTP. TLS proxy. При использовании шифрования end-to-end, когда создаются безопасные соединения непосредственно между CUCM и IP-phone, МСЭ не может проследить медиа- и сигнальный трафик, что приводит к частичному невыполнению функций безопасности брандмауэром. Функция TLS proxy позволяет настроить МСЭ таким образом, чтобы осуществлялся перехват и дешифрация сигнального трафика с целью его инспекции. После осуществления инспекции сигнальный трафик снова шифруется и отправляется на CUCM.
Presence federation proxy. Осуществляет функции TLS proxy для сессий между Сisco Unified Presence servers и Cisco/Microsoft Presence servers. Данные сервера предназначены для сбора и предоставления информации о текущих статусах пользователей («доступен», «нет на месте» и т.д.). Использование ASA в качестве Secure Presence Federation Proxy позволяет осуществлять инспекцию трафика между соответствующими Presence-серверами и применять правила политики безопасности для SIP-сессий между ними.
Лицензии не зависят от модели ASA и различаются по количеству одновременных сессий (от 24 до 10000). Следует учитывать, что для каждой модели ASA существует ограничение по возможным одновременным TLS-сессиям. Примерами лицензий являются: ASA-UC-24, ASA-UC-50, ASA-UC-100 и т. д. Intercompany Media Engine. Существуют также лицензии типа IME (Intercompany Media Engine), являющиеся опцией для UC лицензий и позволяющие организовывать безопасную связь между компаниями или филиалами организации, использующими Cisco UCM. Реализация данной технологии подразумевает использование трёх основных компонентом – CUCM, CU-IME сервер и МСЭ ASA. Данная технология позволяет динамически открывать доступ на МСЭ для совершения звонков между двумя IP АТС через публичную сеть Интернет в случае, если предварительно данный звонок осуществлялся через ТфОП (PSTN).
Для реализации технологии IME, ASA должна выполнять две функции:
Fallback to PSTN. Технология IME осуществляет переключение звонков из Интернет обратно на PSTN в зависимости от качества обслуживания. Для реализации данной функции МСЭ ASA должен осуществлять мониторинг RTP трафика и отправлять информацию о QoS на IME Server для принятия решения о переводе звонка на PSTN. Лицензии IME существуют для каждой модели ASA и бывают типа K8 и К9. Для лицензий типа K8 нет ограничений на правила ввоза, но количество одновременных TLS-сессий ограничивается 1000. Примерами лицензий являются: ASA5505-ME-K8, ASA5505-ME-K9, ASA5510-ME-K8, ASA5510-ME-K9 и т. д.
4. Cisco ASA 5500 FirePOWER Services
Начиная с августа 2014 года сервисы SourceFire стали доступны на межсетевых экранах ASA 5500-X в виде виртуального блейда. В сентябре 2014 года согласно отчёту рейтингового агентства NSS Labs межсетевой экран Cisco ASA с сервисами FirePOWER стал лучшим межсетевым экраном нового поколения (NGFW), среди всех протестированных решений (Palo Alto, Check Point, McAfee, Fortinet и др.).
Для того, чтобы запустить сервисы FirePOWER на Cisco ASA 5500-X необходимо выполнение следующих условий:
Лицензия-подписка на сервисы FirePOWER. Лицензии-подписки доступны в следующих пяти комбинациях:
Пример партномера подписки: L-ASA5512-TAMC=
На данный момент подписки доступны на 1 или на 3 года. Стоимость трёхгодичной подписки на треть меньше по сравнению с покупкой трёх годичных подписок. При использовании резервных устройств на них должны приобретаться те же подписки, что и на основное. Конфигурация также должна быть абсолютно идентична основному устройству.
Для моделей ASA5506, 5508 и 5516 существуют также подписки на 5 лет.
Для моделей ASA5506, 5508 и 5516 заказ системы управления Defence Center является опциональным. Для моделей настройка сервисов FirePOWER может быть осуществлена посредством ASDM. Отдельный Defence Center необходим при некоторых требованиях, в частности, для построении отчётов.
В настоящий момент существуют бандлы для ASA55XX-FPWR-BUN для соответствующих моделей Cisco ASA. Бандл включает все вышеперечисленные условия.
Кроме того, на данный момент в состав бандла входят только ASA 5500-X K9 (кроме 5506, 5508 и 5516), то есть, содержащие в ПО алгоритмы 3DES/AES. Для упрощения процедуры ввоза устройств на территорию РФ, рекомендуется заказывать ASA 5500-X K8 с включённым SSD диском (например, ASA5512-SSD120-K8), и дозаказывать необходимые компоненты отдельно. Стоимость такого заказа не увеличивается относительно стоимости бандла.
Для моделей ASA5506, 5508 и 5516 бандл ASA55XX-FPWR-BUN включает в себя как модели K8, так и модели K9 (на выбор).
Напоминаем, что на смену Cisco ASA пришли новые высокопроизводительные устройства Cisco FTD.
5. Cisco ASA 5500 IPS SSP License
Для данного типа лицензий на настоящий момент времени (2015 год) объявлены даты окончания продаж (End-Of-Sale). При необходимости запуска функционала IPS на Cisco ASA рекомендуется использовать соответствующую лицензию на сервис FirePOWER (см. пункт 4 «Cisco ASA 5500 FirePOWER Services»).
Информация ниже приводится для исторической справки.
IPS – Intrusion Prevention System – система предотвращения вторжений. Для предыдущих моделей ASA 5505 – 5550 для получения функционала необходимо было установить соответствующий аппаратный модуль (AIP SSC-5, AIP SSM-10, AIP SSM-20, AIP SSM-40). Для новой линейки моделей ASA5500-X сервис IPS реализован программными средствами, не требует установки дополнительного аппаратного модуля.
Для того чтобы получить функционал IPS на линейке МСЭ ASA 5500-X можно приобрести соответствующий бандл (ASA5512-IPS-K8, ASA5512-IPS-K9, ASA5525-IPS-K8, ASA5525-IPS-K9 и т.д.) или установить соответствующую лицензию на ASA:
Для работы системы IPS необходима подписка на обновления сигнатур устройств. Обновление сигнатур системы IPS осуществляется за счёт приобретения подписки на сервисную поддержку SmartNet.
Для линейки МСЭ ASA 5500-X с функционалом CX (Next Generation Firewall) может быть включена функция Next Generation IPS (NG IPS). Для этого должна быть приобретена дополнительная подписка, например ASA5512-IP3Y= (подписка на NG IPS на 3 года для ASA5512). Кроме того, подписка на NG IPS входит в бандлы подписок CX. Примеры партномеров:
6. Cisco ASA 5500-X Series CX Subscriptions and ScanSafe
Для МСЭ ASA серии 5500-X, то есть нового поколения, функционал глубокой инспекции трафика на уровне приложений, а также функционал обеспечения Web-безопасности реализован частично посредством облачной технологии Scan Safe – защита от вирусов и шпионского ПО (SpyWare), частично посредством ASA CX или ASA+FirePOWER – фильтрация и блокировка URL, репутационная фильтрация, распознание приложений. Как ASA CX, так и сервисы FirePOWER являются виртуальным блейдом в межсетевых экранах ASA серии 5500-Х. На настоящий момент времени (2015 год) на лицензии ASA CX объявлены даты окончания продаж (End-Of-Sale). Рекомендуется использовать сервисы FirePOWER.
На ASA Серии 5500, то есть ASA предыдущего поколения, функционал контентной безопасности – Content Security – реализуется путём перенаправления трафика на модули CSC-SSM-10 или CSC-SSM-20. Лицензирование данного функционала описано в пункте 7 «Cisco ASA 5500 Series Content Security Feature Licenses».
ASA CX
Для данного типа лицензий на настоящий момент времени (2015 год) объявлены даты окончания продаж (End-Of-Sale). При необходимости запуска функционала IPS на Cisco ASA рекомендуется использовать соответствующую лицензию на сервис FirePOWER (см. пункт 4 «Cisco ASA 5500 FirePOWER Services»).
Информация данного раздела «ASA CX» приводится для исторической справки.
Для активации функционала ASA CX на ASA серии 5500-Х необходимо выполнение следующих условий:
Подписка СХ дифференцируется по моделям ASA, может быть трёх видов:
Подписка может быть на год, три года и пять лет.
Есть возможность приобрести бандл с установленным SSD для CX и предустановленной выбранной лицензией (подпиской), например ASA5515-SSD120-K9. Есть возможность «превратить» обычную ASA серии 5500-Х в ASA CX, путём замены имеющегося SSD на ASA5500X-SSD120= и установки соответствующей подписки.
Для реализации функционала CX не обязательна активация 3DES/AES. То есть, подходят ASA K8. Функционал CX не совместим с функционалом IPS. К функционалу CX может быть добавлен функционал Next Generation IPS (NG IPS). Для этого должна быть приобретена дополнительная подписка, например ASA5512-IP3Y= (подписка на NG IPS на 3 года для ASA5512). Кроме того, подписка на NG IPS входит в бандлы подписок CX. Примеры партномеров:
ScanSafe
Для реализации защиты внутренней инфраструктуры корпораций от вирусов, шпионского ПО (SpyWare) для ASA5500-X необходимо настроить перенаправление трафика, подлежащего детальной инспекции в облако ScanSafe. Для активации данного функционала не требуется установки дополнительной лицензии на ASA. Единственным условием для ASA является активация 3DES/AES.
Необходима лицензия на стороне Cloud Web Security – лицензия ScanSafe. Лицензия даёт возможность получить от ScanSafe ключи аутентификации, которые необходимо будет активировать на ASA для регистрации в облаке ScanSafe.
Лицензии ScanSafe бывают трёх видов по функционалу:
Каждый вид лицензии дифференцируется по количеству пользователей и по сроку действия. Возможны лицензии на год, три года и пять лет. На данный момент, ScanSafe не включён в GPL.
7. Cisco ASA 5500 Series Content Security Feature Licenses
Информация данного раздела касается исключительно моделей ASA прошлого поколения, на которые объявлен EOS. Информация данного раздела приводится для исторической справки. Актуальные функции фильтрации контента доступны на решении Cisco FTD. Как это работает в решении Cisco FTD, мы рассказываем на нашем демо-стенде.
Функционал Content Security для МСЭ ASA серии 5500, то есть ASA прошлого поколения, реализуется путём установки модуля CSC-SSM-10 или CSC-SSM-20. Сервисные модули обеспечивают функции детальной инспекции проходящего через МСЭ трафика для защиты внутренней инфраструктуры корпораций от вирусов, шпионского ПО (SpyWare), а также, для реализации функций фильтрации и блокировки URL в соответствие с политиками безопасности компании, функций антиспама, антифишинга и фильтрации контента.
Для ASA серии 5500 с установленным модулем CSC-SSM-10 или CSC-SSM-20 необходимы лицензии Contex Security. Данные лицензии бывают трёх типов:
Cisco рекомендует для наиболее эффективной работы сервисного модуля CSC-SSM наличие двух сервисов: сервис обновления ПО (Software update service) и Cisco SMARTnet®. При покупке описанных лицензий сервис обновления ПО (Software update service) включён в стоимость лицензии и работает в течение одного года с момента активации лицензии. Сервис SMARTnet не включён в стоимость лицензии и может быть приобретён дополнительно. Следует отметить, что для работы модуля CSC-SSM наличие SmartNet (в отличие от Software update service) не является необходимым условием.
Для продления работоспособности лицензии существуют варианты обновлений на 1 и на 2 года для любых комбинаций базовых, опциональных и пользовательских лицензий.
8. Cisco ASA 5500 Series Security Context Feature Licenses
Устройство ASA может быть разделено по функционалу на несколько виртуальных устройств, называемых контекстами безопасности (Contexts). Каждый контекст представляется независимым МСЭ, реализующим собственные сервисы политики безопасности.
ASA 5505 и 5506 не поддерживают контексты безопасности. Для остальных моделей в базовой комплектации (Base License или Security Plus License для ASA5510 и ASA5512-X) предусмотрено 2 контекста безопасности. При необходимости можно купить лицензию, увеличивающую количество возможных контекстов. Примерами лицензий являются: ASA5500-SC-5, ASA5500-SC-10, ASA5500-SC-20 и т. д. При этом следует обратить внимание на максимально возможное количество контекстов для конкретной модели:
На решениях Cisco FTD контексты безопасности поддерживаются на устройствах FPR 2100 и старше.
9. Cisco ASA 5500 Series GTP Feature License
Если через МСЭ необходимо пропускать GPRS-трафик, необходимо настроить соответствующую инспекцию. Для того чтобы команды настройки GTP были доступны, необходимо наличие лицензии ASA5500-GTP (одинаковая для всех моделей, кроме ASA5506. Для ASA5506 функционал открывается лицензией Security Plus для версии ios 9.3, для версии ios 9.4 данный функционал может быть не доступен).
10. Cisco ASA 5500 Series VPN Licenses
МСЭ поддерживает следующие VPN:
Следующие три типа VPN включены в базовую лицензию (Base License или Security Plus License) для соответствующих моделей:
Для IPSec remote access VPN using IKEv2 необходимо наличие лицензии либо AnyConnect Premium, либо AnyConnect Essentials (устаревшие лицензии, объявлен End-Of-Sale), либо AnyConnect Plus или Apex.
Количество IPSec сессий для каждой модели можно уточнить в configuration guide, в разделе Licensing for IPsec VPNs.
В конце 2014 года компания Cisco Systems полностью поменяла схему лицензирования функционала удалённого доступа (remote access). На данный момент времени (2015 год) на все лицензии типа SSL VPN объявлены даты окончания продаж (End-Of-Sale). К таковым лицензиям относятся:
Новая схема лицензирования предусматривает три вида лицензий:
В связи с изменением схемы лицензирования функционала удалённого доступа (remote access) вся информация ниже приводится для исторической справки. При необходимости запуска функционала удалённого доступа рекомендуется приобретать лицензии Cisco AnyConnect Plus/Apex в соответствии с новой схемой лицензирования.
10.1. Cisco ASA 5500 Series SSL VPN Licenses
В данную группу лицензий входят SSL Premium User Licenses и Advanced Endpoint Assessment Licenses.
SSL Premium User Licenses
SSL VPN может быть двух типов: Essential и Premium. Лицензии типа Essential сравнительно недорогие и необходимы для организации удалённых подключений с помощью клиента AnyConnect VPN Client. Данные лицензии активизируют возможность организации VPN каналов для удалённых подключений, при этом число конкурентных VPN соединений ограничивается только возможностями конкретной модели ASA (например, 250 сессий для ASA5510).
Основное преимущество использования SSL AnyConnect VPN, по сравнению с IPSec remote-access в том, что соответствующее клиентское программное обеспечение Cisco AnyConnect VPN Client может быть скачано и автоматически установлено непосредственно с VPN-концентратора (VPN-gateway), в качестве которого как раз может выступать МСЭ ASA. Также для работы SSL AnyConnect VPN используются протокол TCP порт 443.
Лицензии типа Premium стоят значительно дороже. Основное отличие от Essential – лицензии данного типа позволяют устанавливать clientless SSL VPN, то есть VPN туннели для удалённого подключения без использования специального программного обеспечения – клиента. Туннель в данном случае устанавливается просто с помощью браузера. При этом доступ к ресурсам сети по такому туннелю ограничен. Доступ может быть настроен к web-ресурсам, file-sharing и web-based email).
Clientless VPN может быть расширен режимом Thin-Client (тонкий клиент), называемый также TCP Port Forwarding (проброс портов TCP). Данный режим позволяет использовать приложения, требующие клиент-серверные соединения к известным портам. В режиме Thin-Client загружается и устанавливается небольшой Java-аплет на пользовательский компьютер, который выполняет функции TCP-proxy. Приложения, поддерживающиеся в режиме Thin Client, в основном e-mail-based (SMTP, POP3, and Internet Map Access Protocol version 4 [IMAP4]). Кроме того, при установке соответствующих plug-ins для браузера активизируется возможность использования таких TCP-приложений, как Citrix Client (rca), Terminal Servers (rdp), Terminal Servers Vista (rdp2), ssh, telnet, VNC Client. Многие plug-ins могут быть загружены на удалённое устройство непосредственно с МСЭ ASA. Альтернативой использования plug-ins является технология SSL VPN Smart Tunnels, являющаяся дополнительной настраиваемой опцией для режима Thin-Client. Данная технология показывает более высокую производительность по сравнению с использованием plug-ins и не требует наличия прав администратора.
Лицензии Premium не дифференцируются по моделям ASA и различаются только по количеству пользователей: L-ASA-SSL-10, L-ASA-SSL-25, L-ASA-SSL-50 и т. д.
Некоторые дополнительные функции и надстроечные лицензии доступны к использованию только при установленной лицензии Premium. К ним относятся:
AnyConnect for Cisco VPN Phone описываются в пункте 10.6, AnyConnect Premium Shared – 10.4. Cisco Secure Desktop – технология, осуществляющая определённые проверки компьютеров, с которых производятся попытки установки удалённого подключения по SSL VPN. ASA загружает специальное сканирующее ПО HostScan на удалённый хост с целью сбора такой информации об устройстве, как:
На основании проведённых проверок принимается решение, разрешать ли сканируемому хосту удалённое подключение.
Advanced Endpoint Assessment Licenses
Данные лицензии используются для расширения функций технологии Cisco Secure Desktop. Позволяют организовать обновления посредством HostScan антивирусного ПО, программного брандмауэра или систем защиты от шпионского ПО (SpyWare) на удалённом устройстве. Лицензии ASA-ADV-END-SEC одинаковые для всех моделей ASA.
10.2. AnyConnect Essentials VPN Licenses
Данные лицензии описаны в пункте 10.1. Дифференцируются только по модели ASA: ASA-AC-E-5505, ASA-AC-E-5510, ASA-AC-E-5520 и т. д.
10.3. AnyConnect Mobile VPN Licenses
Данные лицензии являются надстройкой над SSL Premium User Licenses, а также AnyConnect Essentials VPN Licenses. Разрешают удалённые подключения, используя клиент AnyConnect для мобильных устройств с ОС Windows, Android, iOS. Дифференцируются только по модели ASA: ASA-AC-M-5505, ASA-AC-M-5510, ASA-AC-M-5520 и т. д.
10.4. Premium Shared VPN Server Licenses & Premium Shared SSL VPN Participant Licenses
Разделяемые (shared) лицензии позволяют заказывать большое количество сессий AnyConnect Premium и распределять эти сессии среди группы МСЭ ASA по мере необходимости. При этом один (или несколько, для обеспечения отказоустойчивости) МСЭ ASA используется в качестве сервера лицензий, остальные МСЭ ASA являются лицензируемыми участниками.
Лицензии Premium Shared VPN Server Licenses дифференцируются по количеству SSL VPN сессий: ASA-VPNS-500, ASA-VPNS-1000, ASA-VPNS-2500 и т. д.
Лицензии Premium Shared SSL VPN Participant Licenses дифференцируются по модели ASA: ASA-VPNP-5510, ASA-VPNP-5520, ASA-VPNP-5540 и т. д.
10.5. FIPS Compliant VPN Licenses
10.6. VPN Phone Licenses
В совокупности с AnyConnect Premium license, данная лицензия позволяет IP-телефонам со встроенной AnyConnect совместимостью устанавливать соединения по SSL VPN. Лицензии дифференцируются по модели ASA: ASA-AC-PH-5505, ASA-AC-PH-5510, ASA-AC-PH-5520 и т. д.
11. Лицензирование и High Availability
При применении программного обеспечения до ASA software v8.3 для организации HA-пары необходимым условием было точное совпадение установленных лицензий на обоих устройствах. Начиная с релиза v8.3 большинство лицензий дублируется между устройствами и дополняет друг друга. Для моделей ASA5505 и 5510 на обоих устройствах необходимо наличие лицензии Security Plus, так как эта лицензия включает возможность организации HA. Лицензии SSL Essentials и Premium копируются между устройствами.
В HA-паре Active/Active количественные лицензии суммируются. Например, если имеем два устройства ASA5510 с установленными лицензиями SSL Premium на 100 пользователей, при объединении в HA-пару Active/Active имеем на выходе разрешение на 200 одновременных VPN сессий. Суммируемое значение не должно превышать ограничение для конкретной модели. Если суммарное значение превышает лимит (например, для ASA5510 доступны 250 SSL VPN соединений), к использованию будет доступно число соединений, равное лимиту платформы.
При использовании решений FirePOWER на резервные устройства должны приобретаться те же подписки FirePOWER, что и на основное. Конфигурация резервных устройств также должна быть абсолютно идентична основному устройству.
12. Лицензии с ограничением по времени (Time-Based Licenses)
В дополнение к постоянным лицензиям существует возможность заказать лицензии с ограничением по времени (time-based). Например, есть возможность приобретения лицензии с ограничением по времени AnyConnect Premium для удовлетворения потребности в определённом количестве VPN сессий в краткосрочном периоде.
Кроме того, таки лицензии как Botnet Traffic Filter бывают только с ограничением по времени, могут быть заказаны на 1 год и продлеваться на 1 или 2 года.
