我們這次測試的次世代防火牆產品中,Cisco推出的ASA系列入門款ASA 5506-X設備最為便宜,不到5萬元(未稅,維護費用另計)就能擁有,針對進階防禦的部分,則是提供可選用的Firepower擴充模組。

若是企業初期想要在較低的預算中,取得最基本的次世代防火牆功能,但又考量到未來的擴充性,ASA 5506-X便提供了這樣的選擇。只是在擴充之後,Firepower模組便要由另一套獨立的系統控管,雖然,設備與擴充模組的管理平臺,原廠已經計畫最終要整合成單一的網頁介面,不過就現階段而言,企業取得擴充功能之後,管理者同時要在兩種管理平臺監控及制訂政策。此外,在設備的管理上,管理者必須在電腦上安裝指定軟體才能執行。

ASA 5506-X的網路介面總共配置了8個GbE埠,企業可自行設定為WAN埠、LAN埠,以及DMZ埠使用。在設備的硬體規格中,雖然沒有列出處理器的規格,但擁有4GB記憶體與多達8GB快閃記憶體,算是不錯。在效能規格的部分,ASA 5506-X防火牆最大的吞吐量為750Mbps,VPN則有100Mbps(在3DES與AES加密標準條件下測試),在防火牆、應用程式控管,以及IPS三項功能同時運作的情況下,吞吐量是125Mbps,適合網路流量不大的環境。

根據代理商零壹科技提供的價格資訊,對於ASA 5506-X的進階選用功能,包含IPS、網路進階威脅防護、網址過濾等,都要再加購Firepower軟體授權才能使用。同時,上述的功能,企業也必須透過額外建置的Firepower Management Center(FMC)伺服器,才能控管。

選用的Firepower授權費用是每年33,500元,FMC軟體則是25,000元起(VMware虛擬設備軟體,是購買授權的最基本型式,可列管兩臺ASA設備)。如果把這些加起來,首年建置這套次世代防火牆的成本將超過十萬元。

提供詳細的防火牆政策設定功能

在ASDM應用程式中,管理者可檢視已經連接到ASA 5506-X的電腦列表,並得知連接埠與網路的運作情形。切換到防火牆儀表板中,我們則能瀏覽ASA 5506-X設備3大資訊,包含進出流量的即時走勢圖,以及最常觸發的防火牆政策排行,與內部流量使用量排行等。

在流量分析的部分,ASDM一共提供3種流量比對資訊,分別是即時連線與NAT轉址數量對照、丟棄封包的類型,以及已掃描和識別為SYN的封包DoS攻擊流量速率分析。

其中,使用量排行又細分成4種指標,分別是依據前10名的流量來源、目的地、網路服務,以及使用者。因此,管理者可檢查是否有疑似異常的情形。

設定防火牆的政策部分,管理者可透過ASDM建立ASA 5506-X運作的各項規則,其中,與網路相關的部分,包含流量存取、NAT、指定網址過濾伺服器,以及使用者可存取的開放FTP站臺和網頁伺服器等。針對惡意威脅,主要是威脅檔案偵測與僵屍網路的過濾能力。

像是網路流量存取的政策,管理者可啟用簡易圖表,協助自己以圖像化的方式,檢視政策執行的方法,是否符合預期。此外,這裡也提供了封包追蹤程式,讓管理者能在政策執行異常時,檢查那個環節出現問題。

ASDM在設定政策的介面中,內建了相當豐富的工具,在一般增修與排序指令之外,這裡也能讓管理者輕鬆複製政策,用以建立新的規則。而且,在每個已制訂的項目中,還提供了執行次數統計,和記錄的檢視功能。

需搭配進階防護模組,更能提供次世代防火牆應有功能

若要控管ASA 5506-X的其他安全防護功能,例如IPS、應用程式可視性(AVC)、網址過濾等,管理者則需連接至Firepower FMC才能操作。

由於Firepower模組強調應用程式的可視性,例如,系統可依據得知端點電腦使用的應用程式版本,判斷ASA 5506-X需要額外啟動的保護機制,彌補軟體尚未更新所帶來的資安風險。

在FMC中,管理者可看到各式的威脅資訊,包含IOC(Indicator Of Compromise)、入侵事件偵測,以及根據情境感知分析的可疑事件等。

此外,針對進階威脅事件的管控,企業透過Firepower內建的AMP功能,可進行惡意軟體的軌跡追蹤。由於這種類型的事件往往有潛伏期,因此AMP會針對ASA 5506-X的流量持續分析,管理者可以在FMC中檢視整起事件的發生過程,包含從那一臺端點電腦進入到內部網路,以及受到波及的電腦清單,還有過程之中對外的異常連線等。

 Cisco ASA 5506-X防護機制總覽 

在ASA次世代防火牆設備的管控方式,Cisco提供針對基本防火牆功能的單機控管,以及針對進階威脅提供選購的Firepower模組,管理者必須到這兩個平臺當中操作。

提供網路運作狀態的儀表板

在ASA 5506-X儀表板中,網管人員可透過左側檢視已與其連線的設備列表,並能針對這些聯網設備與防火牆的防護機制,加以檢視其運作的狀態是否正常。

能夠針對特定網路流量產生報表

在ASDM主控臺中,管理者可指定ASA 5506-X所連接的特定網域,產生流量分析報表。如圖中所示,系統可依據這個連接埠的流量位元數、封包數、流入或流出請求等資訊,提供一個或多個分析圖表。

可擴充威脅情資進階分析能力

針對威脅情資的整合,ASA 5506-X可選用Firepower功能模組,與內部威脅情資進行串連,將網路流量進階分析,並能得知其受駭指標(IOC),追查疑似異常的內部電腦與使用者。

 

 產品資訊 

Cisco ASA 5506-X

● 代理商:零壹科技(02)2656-5656

● 建議售價:設備49,750元(未稅)、進階威脅防護功能每年33,500元(未稅)、FMC管理平臺授權25,000元起(未稅),維護費用另計

● 網路埠數量:8個GbE埠(企業可自定WAN、LAN、DMZ)

● 資安防護吞吐量:125 Mbps(應用程式控管與IPS)

● 防火牆吞吐量:750 Mbps

● VPN吞吐量:100 Mbps

● 防毒引擎:廠商未提供

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】


Advertisement

更多 iThome相關內容