فهرست مطالب
فایروال پرچمدار سیسکو موسوم به Cisco ASA که برگرفته از Adaptive Security Appliance و فناوری FirePOWER (نتیجه خرید شرکت Source Fire توسط سیسکو در سال 2013) اساس محصولات “فایروال نسل بعدی” را در پرتفوی سیسکو خدمات ASA FirePOWER رهبری می کنند. این فایروال نسل بعدی از ASA-OS و ماژول نرم افزاری (SFR) شناخته شده ای تشکیل شده است که از توابع اصلی “نسل بعدی” مانند کنترل برنامه، حفاظت از نفوذ، ضد بدافزار و فیلتر کردن URL مراقبت می کند.
مشکل اغلب فایروال های نسل جدید
اکثر فایروال های نسل بعدی (NGFW) تمرکز زیادی بر روی امکان کنترل برنامه دارند، اما روی قابلیت های دفاع تهدید آنها بسیار کم است. برای جبران این کمبود، برخی از NGFW سعی می کنند پیشگیری از نفوذ در نسل اول خود را با یک سری محصولات افزودنی غیر یکپارچه تکمیل کنند. با این حال، این روش برای محافظت از تجارت شما در برابر خطرات ناشی از مهاجمان پیچیده و بدافزارهای پیشرفته کمک چندانی نمی کند. بعلاوه، به محض اینکه آلوده شوید، هیچ کمکی در اندازه گیری عفونت، مهار آن و سریع ترمیم نمی کنند.
نسل بعدی فایروال سیسکو
آنچه شما نیاز دارید فایروال نسل بعدی یکپارچه و تهدید محور است. یکی که نه تنها کنترل برنامه کاربردی دانه دانه را فراهم می کند، بلکه امنیت موثری را در برابر تهدیدات ناشی از حملات بدافزار پیچیده و گریزنده فراهم می کند.
Firewall Cisco Firepower Next-Generation Firewall (NGFW) اولین NGFW کاملاً یکپارچه و تهدید محور این صنعت است. این یک مدیریت جامع و یکپارچه از توابع فایروال، کنترل برنامه، جلوگیری از تهدید و محافظت از بدافزار پیشرفته از شبکه تا نقطه نهایی است.
می توان آن را در سیسکو Firepower سری 1000، سری 2100 ، سری 4100 و 9300 لوازم مستقر کرد تا یک پلت فرم امنیتی NGFW بهینه سازی شده برای عملکرد و تراکم را برای لبه اینترنت و سایر محیط های با کارایی بالا فراهم کند.
لایسنس ASA FirePOWER
همسو شدن با عملکردهای نسل بعدی، لایسنس های مناسب پیشنهاد شده توسط سیسکو وجود دارد، در واقع مشابه سایر فروشندگان، که لایسنس ها براساس عملکرد فایروال انجام می شود. در ASA FirePOWER لایسنس های زیر موجود است:
مجوز کنترل
امکان کنترل کاربر و برنامه را با افزودن شرایط برنامه و کاربر به قوانین کنترل دسترسی فراهم می کند. برای فعال کردن کنترل باید محافظت را نیز فعال کنید. منقضی نمی شود
مجوز حفاظت – شامل رفتار تشخیص و پیشگیری از نفوذ ، کنترل پرونده و فیلتر کردن اطلاعات امنیتی است. منقضی نمی شود.
مجوز Advanced Malware Protection (AMP)
هنگام انتقال از طریق شبکه ، شناسایی و مسدود کردن کد بدافزار را انجام می دهد. مجوز براساس زمان است.
مجوز فیلتر کردن URL – در قوانین کنترل دسترسی که ترافیکی را تعیین می کند که می تواند شبکه را براساس URL ها و دسته وب درخواست شده توسط میزبان تحت نظارت تعیین کند ، استفاده می شود. دسته بندی ها با اطلاعات مربوط به آن وب سایت ها که از ابر سیسکو توسط ماژول ASA FirePOWER بدست می آیند همبستگی دارند. مجوز براساس زمان است.
علاوه بر مجوزهای توصیف شده در بالا ، سیستم عامل ASA نیز مانند گذشته مجوز دارد. به این معنی
- مجوز Security Plus برای سیستم عامل های کوچک (5506X ، 5508X ، 5512X)
- VLAN بیشتر
- خوشه آماده به کار فعال
- عملکرد بالات
- سیستم عامل های Low End از زمینه پشتیبانی نمی کنند
- VPN – مجوز Anyconnect
- به علاوه
- اتصال مشتری VPN اساسی
- مشتری های IPsec IKEv2 شخص ثالث RA
- در هر برنامه VPN
- Cloud Web Security و WSA
- ماژول NAM (802.1x)
- AMP برای نقاط پایانی را فعال می کند (AMP خود مجوز جداگانه دارد)
- اوج
- همه موارد بالا
- ماژول قابلیت مشاهده شبکه (از 4.2)
- وضعیت (مطابقت و اصلاح با ISE ، Apex برای ISE مورد نیاز)
- رمزگذاری Suite B یا NG
- VPN بدون مشتری
- حالت چند زمینه ای ASA دسترسی از راه دور
Firepower Management Center (FMC) و معماری شبکه
با رنگ قرمز می توانید جریان ترافیک تولید را مشاهده کنید. ترافیک به طور معمول بین رابط های عادی ASA بر اساس جدول مسیریابی (یا PBR) از دستگاه به دستگاه دیگر جریان می یابد. با این حال، تغییر مسیر ترافیک داخلی ASA که توسط Modular Policy Framework (MPF) انجام می شود، وظیفه هدایت ترافیک تولید به ماژول های FirePOWER را بر عهده دارد (همچنین به ماژول SFR نیز بدانید) که از نظر طراحی اختیاری است اما البته برای تأثیرگذاری توابع فایروال نسل بعدی ضروری است. .
این تغییر مسیر ترافیک در رابط داخلی ASA متصل است که پایگاه داده ASA و صفحه ماژول SFR را متصل می کند. ترافیکی که به ماژول SFR هدایت می شود تحت شرایط مختلف بررسی می شود و طبق سیاست های پیکربندی شده اقدامات انجام می شود. این سیاستها به نام سیاستهای کنترل دسترسی به نوبه خود از ایستگاه مدیریتی به نام مرکز مدیریت Firepower (FMC) که همه ماژولها با آن همگام سازی می شوند ، پیکربندی می شوند. FMC می تواند به عنوان لوازم خانگی فیزیکی نیز باشد. خطوط سیاه ترافیک مدیریت Firepower را از FMC به سنسورها و از سنسورها به FMC نشان می دهد. این خط سیاه معمولاً نوعی بخش مدیریتی در داخل شبکه است. در حال طراحی FirePOWER در شبکه خود، باید بخاطر داشته باشید که سنسورها از بخش mgmt برای ورود به سیستم FMC استفاده می کنند و FMC از mgmt برای نظارت بر حسگرها، کشیدن داده ها و تنظیمات فشار استفاده می کند. این بدان معناست که این قسمت از شبکه می تواند به ویژه با ثبت ترافیک به نحوی مورد استفاده قرار گیرد.