1. Giới thiệu Firewall ASA
Cisco ASA viết tắt của từ: Cisco Adaptive Security Appliance. ASA là một giải pháp bảo mật đầu cuối chính của Cisco. Hiện tại ASA là sản phẩm bảo mật dẫn đầu trên thị trường về hiệu năng và cung cấp các mô hình phù hợp doanh nghiệp, tích hợp giải pháp bảo mật mạng. Dòng sản phẩm ASA giúp tiết kiệm chi phí, dễ dàng triển khai. Nó bao gồm các thuộc tính sau:
+ Bảo mật thời gian thực, hệ điều hành độc quyền của Cisco
+ Công nghệ Stateful firewall sử dụng thuật toán SA của Cisco
+ Sử dụng SNR để bảo mật kết nối TCP
+ Sử dụng Cut through proxy để chứng thực telnet, http, ftp
+ Chính sách bảo mật mặc định gia tăng bảo vệ mức tối đa và cũng có khả năng tùy chỉnh những chính sách này và xây dựng lên chính sách của riêng bạn
+ VPN: IPSec, SSL và L2TP
+ Tích hợp hệ thống ngăn ngừa và phát hiện xâm nhập IDS/IPS
+ NAT động, NAT tĩnh, NAT port
+ Ảo hóa các chính sách sử dụng Context
2. Các model Firewall ASA
Có tất cả 6 model khác nhau. Dòng sản phẩm này phân loại khác nhau từ tổ chức nhớ đến mô hình doanh nghiệp vừa hay cho nhà cung cấp dịch vụ ISP. Mô hình càng cao thì thông lượng, số port, chi phí càng cao. Sản phẩm bao gồm : ASA 5505, 5510, 5520, 5540, 5550, 5580-20, 5580-40.
2.1. ASA 5505
ASA 5505
ASA 5505 là model nhỏ nhất trong các dòng sản phẩm của ASA, cả về kích thước vật lý cũng như hiệu suất. Nó được thiết kết dành cho các văn phòng nhỏ và văn phòng gia đình Đối với các doanh nghiệp lớn hơn, ASA 5505 thường được sử dụng để hỗ trợ cho các nhân viên làm việc từ xa. Có 8 cổng FastEthernet trên ASA 5505, tất cả kết nối đến một switch nội bộ.
2 trong số các cổng có khả năng cung cấp Power over Ethernet (PoE) với các thiết bị kèm theo. (ASA chính nó không thể hỗ trợ bởi PoE). The mặc định, tất cả 8 cổng được kết nối đến các VLAN giống nhau trong switch, cho phép kết nối các thiết bị để giao tiếp ở lớp 2 Các cổng của switch có thể chia thành nhiều VLAN để hỗ trợ các khu vực hoặc chức năng khác nhau trong một văn phòng nhỏ. ASA kết nối với mỗi VLAN qua các interface các nhân luận lý. Bất kỳ luồng dữ liệu nào qua giữa các VLAN đều qua ASA và các chính sách bảo mật của nó. ASA 5505 có một khe Security Services Card (SSC) có thể chấp nhận một tùy chọn AIPSSC-5 IPS module. Với module được cài đặt, ASA có thể tăng cường các đặc tính bảo mật của nó với các chức năng mạng IPS
2.2. ASA 5510, 5520 và 5540
ASA 5510
Các model ASA 5510, 5520 và 5540 sử dụng một khuôn chung như hình trên và có các chỉ số ở mặt trước và các phần cứng kết nối giống nhau. Các model khác nhau trong xếp hạng hiệu suất an ninh của chúng. Tuy nhiên, ASA 5510 được thiết kết cho các doanh nghiệp nhỏ và vừa (SMB) và các văn phòng từ xa của doanh nghiệp lớn. ASA 5520 thích hợp cho các doanh nghiệp vừa trong khi ASA 5540 dành cho các doanh nghiệp vừa và lớn và các nhà cung cấp dịch vụ mạng.
ASA 5520 và 5540 có 4 cổng 10/100/100 có thể sử dụng để kết nối vào cơ sở hạ tầng mạng. 4 cổng là các interface firewall chuyên dụng và không kết nối với nhau. ASA 5510 có thể sử dụng 4 cổng 10/100 là mặc định. Nếu thêm một giấy phép bảo mật được mua và kích hoạt 2 port làm việc ở 10/100/1000 và 2 port FastEthernet. Một interface thứ 5 dùng để quản lý cũng có sẵn.
Các ASA 5510, 5520 và 5540 có một khe cắm SSM có thể gắn card vào :
• Four-port Gigabit Ethernet SSM: module này thêm vào 4 interface firewall vật lý, hoặc 10/100/100 RJ45 hoặc small form-factor pluggable (SFP) - cổng cơ bản
• Advanced Inspection and Prevention (AIP) SSM: module này thêm các khả năng của mạng nội tuyến IPS để phù hợp với bảo mật của ASA
• Content Security and Control (CSC) SSM: module này các dịch vụ kiểm soát nội dung và chống virus toàn diện cho phù hợp với bảo mật của ASA.
2.3. ASA 5550
ASA 5550
ASA 5550 được thiết kế để hỗ trợ doanh nghiệp lớn và các nhà cung cấp dịch vụ mạng. Hình trên cho thấy mặt trước và sau. Chú ý rằng ASA 5550 trong giống ASA 5510, 5520 và 5540. Sự khác biệt đáng chú ý nhất là ASA 5550 có 4 cổng Gigabit Ethernet (4GE-SSM) cố định trong khe cắm SSM, không thể tháo bỏ và thay đổi.
Đặc điểm kiến trúc ASA 5550 có 2 nhóm của các interface vật lý kết nối đến 2 bus nội được chia ra. Các nhóm interface được gọi là khe cắm 0 và 1 tương ứng với bus 0 và 1. Khe cắm 0 gồm 4 cổng Gigabit Ethernet bằng đồng. khe cắm 1 gồm 4 cổng SFP Gigablit Ethernet bằng đồng, mặc dù chỉ có 4 trong 8 cổng có thể được sử dụng bất cứ lúc nào. ASA 5550 cung cấp hiệu suất cao cho các môi trường được đòi hỏi. Để tối đa hóa thông lượng firewall, phần lớn lưu lượng nên đi từ các switch port trên bus 0 đến switch port trên bus 1. ASA có thể chuyển tiếp lưu lượng hiệu quả hơn rất nhiều từ bus này đến bus kia nếu lưu lượng nằm trong một bus đơn.
2.4. ASA 5580
ASA 5580 là một model có hiệu suất cao trong họ và được thiết kế cho các doanh nghiệp lớn, trung tâm dữ liệu, các nhà cung cấp dịch vụ lớn. Nó có thể hỗ trợ lên đến 24 Gigabit Ethernet interfaces hoặc 12 10Gigabit Ethernet interfaces. Đây là một trong hai model khung lớn hơn một đơn vị rack tiêu chuẩn (RU) ASA 5580 thể hiện trong hình 2.9, có 2 model: ASA 5580-20 (5Gbps) và ASA 5580-40 (10Gbps). Bộ khung bao gồm 2 port 10/100/1000 được sử dụng cho quản lý lưu lượng out-ofband. Hệ thống cũng sử dụng nguồn cung cấp điện dự phòng kép.
ASA 5580
ASA 5580 khung tổng cộng có 9 khe cắm PCI Express mở rộng. khe cắm 1 được dành riêng cho module mã hóa gia tốc để hỗ trợ cho các phiên làm việc VPN hiệu suất cao. Khe 2-9 dành cho việc sử dụng trong tương lai, để lại 6 khe cắm có sẵn cho các card interface mạng sau đây:
• 4-port 10/100/1000BASE-T copper Gigabit Ethernet interfaces
• 4-port 1000BASE-SX fiber-optic Gigabit Ethernet interfaces
• 2-port 10GBASE-SR 10Gigabit Ethernet fiber-optic interfaces
Văn Công Thắng – VnPro