1.6 选择ASA设备型号
CCNP安全防火墙642-618认证考试指南
Cisco ASA产品系列共包含7种不同型号。在防火墙考试中可能会要求考试者根据高级设计标准来挑选适合的ASA设备型号。对于各种不同的设备型号,如何去了解其全部的性能参数呢?简单来说,从型号名称来看,其数值越大就代表设备能力和性能越好。
本节简要地描述了每种ASA设备型号的特点,这些型号都支持上文所介绍的ASA特性,但可能由于特性许可的限制导致存在一些少许的差异。在特定环境下选择ASA设备型号时,主要是关注不同的环境类别及性能要求。
1.6.1 ASA 5505
ASA 5505作为ASA产品系列的入门型号,其产品规格小,拥有入门级的性能表现。通常该型号适用于小型办公室和家庭办公室(SOHO)环境。在较大型的企业中,ASA 5505常用于支持远程工作人员的连接。图1-7给出了ASA 5505的正面和背面示意图。
在Cisco ASA 5505上共拥有8个快速以太网口,并且这些端口全部和内部交换总线相连。其中两个端口拥有在以太网上供电(PoE)的能力(ASA设备自身无法采用PoE供电)。默认情况下,所有8个端口同属于内部交换总线上的相同VLAN,因此对于连接到这些端口的设备,能够直接在2层进行通信。
上述交换端口也可以被划分在不同的VLAN内,以便在小型办公环境中支持区域分割或其他功能。ASA设备通过内部的独立逻辑接口连接到各个VLAN,当流量需要在VLAN之间传输时,则必须穿越ASA设备并执行安全策略检测。
ASA 5505拥有一个安全服务卡(SSC)插槽,该插槽能够安装额外的AIP-SSC-5 IPS模块。如果安装了上述模块,ASA设备将能够启用网络IPS功能以增强其安全性。
1.6.2 ASA 5510、5520和5540
ASA 5510、5520和5540型号使用统一的机箱,并拥有相同的前面板指示灯和硬件接口。图1-8给出了这些型号的正面和背面示意图。
不同型号之间的区别在于它们不同的安全性能表现。ASA 5510适用于小型到中型企业(SMB)及较大型企业的远程办公点;ASA 5520适用于中型企业;ASA 5540则适用于中型到大型企业及服务提供商网络。
ASA 5520和5540提供4个供连接使用的10/100/1000自适应以太网口。这4个防火墙端口相互之间不存在内部交换连接。ASA 5510默认情况下提供4个10/100自适应快速以太网口。如果购买并激活了增强的安全许可,那么其中两个端口可以提升到10/100/1000自适应吉比特以太网口。此外,它们都拥有一个管理性以太网口。
ASA 5510,5520和5540的机箱上拥有一个SSM插槽,能够安装下面的模块。
4端口吉比特以太网SSM:为ASA设备增加了4个物理防火墙接口,这些端口可以是RJ-45的10/100/1000自适应端口或SFP模块端口。
高级入侵及防护(AIP)SSM:为ASA设备增加了内联网络IPS能力。
内容安全及控制(CSC)SSM:为ASA设备增加了健全的内容控制和反病毒能力。
对于上述SSM的详细内容将在本章“安全服务模块”一节中介绍。
ASA 5510、5520和5540型号提供了一个AUX端口,该端口可使用异步串行连接或通过调制解调器来进行带外管理。同时,它们还拥有一个快速以太网口用于管理,该端口还能够被配置成为普通数据流量端口来使用。
1.6.3 ASA 5550
ASA 5550适用于为大型企业和服务提供商网络提供支持。图1-9给出了其正面和背面的示意图。注意,ASA 5550外观上看似与ASA 5510、5520和5540型号相同,但不同的是ASA 5550 SSM插槽上拥有一个固化的4端口吉比特以太网(4GE-SSM)模块,且该模块无法被拆卸或者更换。
ASA 5550的物理接口被分为两组,分别连接到两个分离的内部总线上。两个接口组被称为插槽0和插槽1,也就相当于总线0和总线1。其中插槽0拥有4个固化铜缆吉比特以太网端口;插槽1拥有4个固化铜缆及4个固化SFP吉比特以太网端口。但这8个端口最多只能够同时使用4个。
1.6.4 ASA 5580
ASA 5580作为ASA产品系列中的高性能型号,适用于大型企业、数据中心及大型服务提供商。该型号最大支持24个吉比特以太网接口或12个10吉比特以太网接口。ASA 5580的机箱规格比标准机架单元(RU)要大。
ASA 5580如图1-10所示,拥有两种不同性能的机型:ASA 5580-20(5-Gbit/s吞吐量)和ASA 5580-40(10-Gbit/s吞吐量)。机箱上包括两个固化的10/100/1000自适应吉比特以太网端口,这两个端口通常用于带外管理。另外,其机箱上还提供了双冗余电源。
ASA 5580机箱共拥有9块PCI快速扩展插槽。插槽1为加密加速模块保留,能够在VPN连接中提供高性能支持,插槽2和插槽9被保留为将来使用。剩余6个插槽支持下面的网络接口卡。
4端口10/100/1000BASE-T铜缆吉比特以太网接口。
4端口1000BASE-SX光纤吉比特以太网接口。
2端口10GBASE-SR 10吉比特以太网光纤接口。
ASA 5580内部拥有为扩展插槽提供连接性的两个I/O桥(I/O bridge)。和ASA 5550不同的是,流量在单个I/O桥内部进行交换时ASA 5580可达到最大吞吐量。在插槽7和插槽8上的所有接口连接到I/O桥1上,而插槽3、4、5和6上的接口连接到I/O桥2上。
10G比特以太网接口应该安装在插槽5、7或者8上,因为这些插槽是高性能PCIe-x8插槽。
1.6.5 安全服务模块
许多ASA型号都能够安装一块安全服务模块(SSM)。这些内含专用硬件的SSM能够增强ASA设备特殊功能的处理能力。Cisco提供了高级入侵及防御(AIP)SSM、内容安全及控制(CSC)SSM以及4端口吉比特以太网(4GE)SSM三种安全服务模块可供选择。图1-11给出上述模块的示意图。
注意:
AIP-SSM和CSC-SSM使用相同的硬件形式,但是运行截然不同的软件系统。
1.高级入侵及防御(AIP)SSM
AIP-SSM运行Cisco IPS软件系统,能够协同Cisco ASA提供网络入侵防御的功能。AIP-SSM内联于ASA设备,流量在转发之前必须直接重定向到模块上进行检测和处理。AIP-SSM也能够工作在混杂模式下,使得ASA设备在转发流量时将流量复制到模块上。
为提供有效地网络IPS功能,AIP-SSM必须及时更新其IPS特征数据库。只有购买了CiscoIPS安全服务后,特征数据库才可得到更新。可以使用Cisco安全智能运营中心(SIO)软件对特征数据库进行维护和更新。该数据库内包含超过25000种威胁特征,当新的威胁被发现和更新后,相应新的特征将被添加进入数据库中,然后再下载到AIP-SSM中。
AIP-SSM拥有多种型号,如表1-8所示,型号数字越大代表性能越好。需要注意的是,并非所有型号都能适用于每种ASA平台。高性能ASA型号通常配合高性能AIP-SSM使用。ASA 5550和5580型号不能安装AIP-SSM。
对于以上两种型号,如果使用基本许可,那么仅支持反病毒、反间谍软件及文件阻塞特性。如果购买了增强型安全许可,CSC-SSM还将支持反垃圾邮件、链接扫描、URL阻塞/过滤及内容控制。
3.4端口吉比特以太网(4GE)SSM
4GE-SSM为ASA 5510、5520或5540型号提供4个额外的吉比特以太网端口。尽管该模块拥有4个铜缆10/100/1000自适应RJ-45端口和4个SFP光纤端口,但只能同时使用其中的4个端口。
1.6.6 ASA 5585-X
ASA 5585-X作为产品系列中拥有最高性能的型号,适用于大型企业和关键业务数据中心。它拥有一个2-RU规格大小的双插槽机箱,以及双冗余电源供给,如图1-12所示。其中每个插槽都支持安装安全服务处理器(SSP)。
ASA 5585-X随着所安装的Firewall/VPN安全服务处理器(SSP)的不同,其性能表现也不尽相同。共有4种SSP可供选择:SSP-10(3-Gbit/s吞吐量)、SSP-20(7-Gbit/s吞吐量)、SSP-40(12-Gbit/s吞吐量)和SSP-60(20-Gbit/s吞吐量)。根据不同设备型号,Firewall/VPN SSP最大可提供4个10-Gbit/s以太网接口,6个10/100/1000以太网接口和2个10/100/1000以太网管理接口,如图2-12所示。
可以在ASA 5585-X的上面插槽(插槽1)安装一块IPS模块,从而增加高性能的IPS功能。所支持的IPS模块如下。
IPS SSP-10(2-Gbit/s吞吐量)。
IPS SSP-20(3-Gbit/s吞吐量)。
IPS SSP-40(5-Gbit/s吞吐量)。
IPS SSP-60(10-Gbit/s吞吐量)。
图1-13给出了一台在插槽0中安装了Firewall/VPN SSP和插槽1中安装了IPS SSP的ASA 5585-X的图示。其中,Firewall/VPN SSP总是负责控制和传输来自及去往IPS SSP的流量。注意,尽管两块SSP模块从外表看上去一模一样,但是它们却分别执行完全不同的功能。如果在机箱上添加了IPS SSP模块,那么该模块还附带了由Firewall/VPN SSP控制的4个10-Gbit/s和6个10/100/1000以太网接口。
除ASA 5505外,其余型号都支持虚拟防火墙特性,该特性也被称为Security Context。每个虚拟防火墙各自独立运行,但共享硬件平台上的资源,如处理器、内存和接口。表1-14和表1-15中给出了不同型号所支持的最大虚拟防火墙数量。
ASA设备还支持配置群集或故障倒换对来保证高可用性。不同的设备型号和其所安装的许可决定了高可用性的操作模式。表1-14和表1-15中列举了设备所支持的高可用性模式。在Active/Standby(A/S)模式下,倒换对内一台ASA设备正常工作提供安全功能,而另一台ASA设备处于备用空闲状态;而在Active/Active(A/A)模式下,两台ASA设备都处于活动工作状态下。