第1页共6页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页共6页1.1第2页共6页第1页共6页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第2页共6页1.2将CiscoASA5500作为一种卓越的防火墙解决方案CiscoASA5500系列自适应安全设备提供领先的防火墙功能,并能够通过扩展支持其它安全服务。在所有机构的网络安全基础设施中,防火墙都提供第一道防线。它采用的具体作法是,将公司制定的用户网络访问权限策略与每次访问操作的连接信息进行比较。如果用户策略与连接信息不匹配,防火墙就不允许建立连接。如果相互匹配,则防火墙允许流量流经网络。通过这种方式,防火墙形成了各机构网络安全基础设施的基本模块。由于防火墙能够提供卓越的性能,延长关键业务运作的网络正常运行时间,因而物超所值。但是,随着公司网络上语音、视频和协作流量的快速增长,企业不但要求防火墙引擎以超高速度运行,还要求它支持应用级检查。标准的L2和L3防火墙能够防止对内部和外部网络的非法接入,如果增加了应用级检测,防火墙将能够在L7检测、识别和验证应用类型,有效阻止不需要或误操作的应用流量。利用这些功能,防火墙不但能执行端点用户注册和认证,还能有效控制多媒体应用的使用。1.2.1对速度的要求在网络能够不断增强业务生产率、协作和通信的同时,防火墙也得到了同步的发展。例如,Cisco®ASA5500系列自适应安全设备就是专门为数百种应用协议的标准策略实施和应用级防火墙检测而开发的。独立的第三方测试表明,这种防火墙的性能远远超过了同类产品。另外,在全球市场调查公司Gartner于2006年6月进行的防火墙“魔方”调查中,CiscoASA5500系列自适应安全设备在概念和技术上都名列榜首。利用CiscoASA5500系列的高性能应用检测功能,网络对待流量的详细策略依据不但能基于端口、状态和地址信息,还能基于深埋在数据帧头与负载中的应用信息。通过对这种深度数据包检测信息与公司策略的比较,防火墙能够允许或阻止某些流量通过。例如,如果公司策略禁止企图通过开放端口进入网络的应用流量通过网络,那么,即使这种流量在用户和连接水平上看似合法流量,也会被自动丢弃。这种不需要的流量可能包含将会消耗大量带宽的与业务无关的对等流量。它可能会建立即时消息传送流量,但不符合公司的即时消息传送标准。另外,它还可能是公司决定从网络中滤除的其它非关键应用流量。CiscoASA5500系列自适应安全设备能够以业内领先的性能检测和过滤协议。2005年9月,位于新泽西州克林波瑞的独立测试实验室Miercom的测试结果表明,中端CiscoASA5520通过TCP/IP连接传输HTTP(Web)流量的性能,比最接近的三家第3页共6页第2页共6页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第3页共6页竞争对手高六倍。与此同时,CiscoASA5520还能实现100%的威胁检测成功率,而其它设备只能达到30-40%的准确率。利用这种性能和安全准确率,各企业可以利用CiscoASA5500系列,快速、安全地扩展网络部署和应用,满足企业用户对响应时间的要求。企业网络的安全组件企业网安全架构的主要组件包括:部署在传统公司广域网边缘周边、分支机构广域网边缘以及企业内部的战略位置,保证合法用户接入的防火墙;从网络中滤除恶意代码的IPS;用于加密(支持站点到站点连接的IPsec和支持移动连接的SSL)以防止数据被盗的VPN;防止远程和移动用户连接遭受病毒侵袭,保证安装了所需软件和安全版本的端点或Anti-X安全性。1.2.2增加入侵防御Gartner对新一代防火墙的定义是:将防火墙过滤与入侵防御系统(IPS)结合在一起的防火墙。与防火墙相似,IPS也能实时过滤数据包。但是,IPS并不依据用户信息和应用策略过滤,而是扫描进入代码中的已知恶意样式,称为签名。这些签名能够证明恶意代码的存在,例如蠕虫、特洛伊木马和间谍软件。间谍软件可能会消耗服务器和网络资源,并造成针对内部员工或外部Web用户的拒绝服务(DoS)攻击。由于IPS能够过滤已知恶意签名,因而能进一步提高防火墙功能的安全性。一旦IPS检测到恶意代码,系统就会阻止它进入网络。根据Gartner的调查,由于新一代防火墙能...
