對于VPN服務(wù)，由于Cisco ASA 5500 系列提供靈活的技術(shù)，因而能根據(jù)遠程接入和站點到站點連接要求，提供定制的解決方案。Cisco ASA 5500 系列提供易于管理的IP Security(IPsec)和安全套接字層(SSL)VPN遠程和網(wǎng)絡(luò)敏感型站點到站點VPN連接，使企業(yè)能夠通過公共網(wǎng)絡(luò)為移動用戶、遠程站點和業(yè)務(wù)合作伙伴創(chuàng)建安全連接。利用Cisco ASA 5500 系列，各機構(gòu)不需要降低公司安全策略的完整性，就能夠獲得互聯(lián)網(wǎng)的連接和成本優(yōu)勢。Cisco ASA 5500 系列將VPN服務(wù)與全面威脅消除服務(wù)有機地結(jié)合在一起，提供安全的VPN連接和通信。集成式自適應(yīng)威脅防御功能提供統(tǒng)一保護，保證VPN部署不會成為網(wǎng)絡(luò)攻擊的導(dǎo)體，例如蠕蟲、病毒、壞件或黑客等。不僅如此，還可以為VPN流量應(yīng)用詳細的應(yīng)用和訪問控制策略，使個人和用戶組能夠訪問到他們有權(quán)訪問的應(yīng)用、網(wǎng)絡(luò)服務(wù)和資源(見圖1)。

針對任意部署方案的VPN服務(wù)：帶有威脅防御的增強型IPsec和SSL VPN服務(wù)

遠程接入

Cisco ASA 5500 系列提供支持多種連接方式的完整遠程接入VPN解決方案，包括WebVPN(SSL VPN)、Cisco VPN Client(IPSec VPN)以及從Windows 移動設(shè)備建立的Nokia Symbian 移動無線和無客戶端接入。利用思科的遠程接入技術(shù)，各企業(yè)只需部署一個集成式平臺，就能廣泛支持各種核心企業(yè)應(yīng)用，簡化管理，并提高部署靈活性。

安全的遠程連接可以通過SSL 型Web瀏覽器或VPN客戶端建立，因此，不需要部署和管理獨立的設(shè)備就能夠獲得最高的靈活性和應(yīng)用接入。利用Cisco ASA 5500 系列安全設(shè)備，各企業(yè)可以為每個用戶組選用最適當(dāng)?shù)募夹g(shù)，而不需要同時部署多種解決方案。利用安全遠程接入，由于企業(yè)不再需要同時為SSL和IPSec VPN 分別建立獨立的平臺，因而提高了效率，降低了成本。

基于IPSec的遠程接入

利用IPSec 提供遠程接入能夠建立最增強型的可定制連接。利用IPSec，用戶幾乎可以訪問任何應(yīng)用，就好像自己與總部局域網(wǎng)建立了實際連接一樣。思科IPSec 遠程接入具有高度可定制性，利用提供的API，管理員可以編寫執(zhí)行程序及其它定制程序。

Cisco ASA 5500 系列是思科系統(tǒng)?公司提供的功能最豐富的基于IPSec 的遠程接入解決方案。對于IPSec 部署，由于ASA 5500 系列充分利用了Cisco VPN 3000 系列集中器平臺的特性和功能，因而能提供幾乎相同的功能，但每用戶吞吐量更高。不僅如此，ASA 5500 系列還能無縫地與現(xiàn)有VPN 3000集中器集群集成在一起，使兩個平臺同時為相同的用戶群服務(wù)。

另外，Cisco ASA 5500 系列還提供其它思科安全解決方案也提供的新型Cisco Easy VPN遠程接入功能，例如Cisco PIX? 安全設(shè)備、Cisco IOS? 路由器和Cisco VPN 3000系列集中器。Cisco Easy VPN 提供可以擴展、經(jīng)濟高效、易于管理的獨特遠程接入VPN架構(gòu)，并能夠降低傳統(tǒng)VPN解決方案維護遠程設(shè)備配置所需要的運作成本。Cisco ASA 5500 系列設(shè)備能夠?qū)⒆钚碌腣PN安全策略動態(tài)推廣到遠程VPN設(shè)備和客戶端，以保證這些遠程端點在建立連接之前先實施最新策略，從而實現(xiàn)最高的靈活性、可擴展性和易于使用性。

Cisco ASA 5500 系列安全設(shè)備支持VPN客戶端安全策略實施，在試圖建立VPN連接時執(zhí)行安全檢查，包括安全策略執(zhí)行情況、版本號以及公司管理的主機安全產(chǎn)品(例如Cisco Security Agent 或個人防火墻軟件)，然后再允許遠程用戶接入公司網(wǎng)絡(luò)。另外，Cisco VPN Client 還可以根據(jù)客戶端的類型、安裝的操作系統(tǒng)以及Cisco VPN Client 軟件的版本限制網(wǎng)絡(luò)連接，以防非法VPN客戶端接入公司網(wǎng)絡(luò)。

Cisco VPN Client 和 Cisco VPN 3002 Hardware Client 可以自動執(zhí)行軟件更新，即能夠在建立VPN連接時觸發(fā)更新，或者根據(jù)需要更新當(dāng)前連接的VPN客戶端。這種方法使企業(yè)能夠輕松地更新遠程用戶的客戶端軟件。

遠程接入用戶可以依據(jù)設(shè)備本身的內(nèi)部用戶數(shù)據(jù)庫進行認(rèn)證，也可以利用RADIUS或TACACS+ 通過外部源完成認(rèn)證。由于與主流認(rèn)證服務(wù)，包括Microsoft Active Directory、Microsoft Windows Domains、Kerberos、輕量目錄訪問協(xié)議(LDAP)和RSA SecurID，集成在一起，因此，不需要通過獨立的RADIUS/TACACS+ 服務(wù)器就能完成用戶認(rèn)證。

SSL VPN

Cisco ASA 5500 系列能夠同時為無客戶端和完全網(wǎng)絡(luò)接入部署提供核心SSL VPN功能。無客戶端接入適用于非公司管理的桌面，例如外部網(wǎng)系統(tǒng)和公共接入點。完全網(wǎng)絡(luò)接入適用于需要一致"局域網(wǎng)型"用戶體驗，并需要訪問所有應(yīng)用或網(wǎng)絡(luò)資源的遠程接入用戶。基于SSL的完全網(wǎng)絡(luò)接入通過Cisco SSL VPN Client for WebVPN提供，這種網(wǎng)絡(luò)接入與IPSec VPN客戶端相似，但不需要預(yù)裝VPN Client 軟件。

SSL VPN 只使用Web瀏覽器及其本地SSL加密，不需要預(yù)裝VPN 客戶端軟件就幾乎能夠從可以接入互聯(lián)網(wǎng)的任何位置遠程訪問網(wǎng)絡(luò)資源。利用Cisco ASA 5500 系列上支持的WebVPN，能夠容易地訪問多種企業(yè)應(yīng)用，包括Web資源、Web型應(yīng)用、NT/Active Directory 文件共享(Web型)、電子郵件以及基于TCP的其它應(yīng)用，例如來自與互聯(lián)網(wǎng)相連、可以到達HTTP互聯(lián)網(wǎng)站點的任何計算機的Telnet 或 Windows 終端服務(wù)。WebVPN 使用SSL及其后續(xù)產(chǎn)品Transport Layer Security(TLS)在遠程用戶與中央站點的特殊內(nèi)部資源之間建立安全連接。使用WebVPN建立安全連接之后，不需要安裝其它桌面軟件就可以從任何系統(tǒng)接入網(wǎng)絡(luò)。

站點到站點

利用Cisco ASA 5500 系列安全設(shè)備提供的網(wǎng)絡(luò)敏感型IPSec 站點到站點 VPN 功能，企業(yè)可以利用低成本的互聯(lián)網(wǎng)連接，安全地將其網(wǎng)絡(luò)擴展到商業(yè)合作伙伴以及世界各地的遠程和衛(wèi)星辦公室。ASA 5500 系列是思科推出的功能最豐富的基于設(shè)備的站點到站點VPN解決方案。通過無與倫比的網(wǎng)絡(luò)特性集成，Cisco IOS 路由器能夠提供業(yè)內(nèi)最先進、最靈活的站點到站點VPN連接。

分支機構(gòu)和遠程機構(gòu)能夠?qū)⒐镜姆秶鷶U展到主要市場和位置?；贑isco ASA 5500 系列的VPN解決方案能夠在多個位置之間建立安全的高速通信，提供企業(yè)通信所需要的性能、可靠性和可用性。VPN連接可以使用數(shù)字證書和預(yù)共享加密等多種方法認(rèn)證。

Cisco ASA 5500 系列安全設(shè)備提供的VPN基礎(chǔ)設(shè)施支持當(dāng)今的各種應(yīng)用，并能夠通過安全的IPSec 網(wǎng)絡(luò)傳輸語音、視頻和數(shù)據(jù)。增強型的站點到站點VPN服務(wù)與豐富的檢測功能和服務(wù)質(zhì)量(QoS)特性結(jié)合在一起，使企業(yè)能夠利用融合型網(wǎng)絡(luò)的諸多優(yōu)勢。由于企業(yè)能夠利用Cisco ASA 5500 系列設(shè)備，并能夠?qū)PN與QoS特性和豐富的檢測功能結(jié)合在一起，因而能安全地將語音和多媒體服務(wù)擴展到遠程機構(gòu)環(huán)境，充分利用融合型網(wǎng)絡(luò)具有的諸多優(yōu)勢，包括提高生產(chǎn)率、降低運作成本和增強競爭優(yōu)勢等。

延遲、抖動和包損失都會降低語音和視頻質(zhì)量。Cisco ASA 5500 系列低延遲隊列(LLQ)和流量偵聽特性支持QoS要求很高的應(yīng)用，例如語音或視頻，以保證端到端網(wǎng)絡(luò)QoS策略。延遲敏感型流量的傳輸可以優(yōu)先于文件傳輸以及能夠容忍延遲的其它流量。隊列性能可以通過一系列配置參數(shù)優(yōu)化。

通過VPN 部署語音和視頻時，應(yīng)該用狀態(tài)化方式檢測流經(jīng)網(wǎng)絡(luò)的所有多服務(wù)流量。Cisco ASA 5500 系列安全設(shè)備能夠為多種IP語音(VoIP)和其它多媒體標(biāo)準(zhǔn)提供市場領(lǐng)先的保護。支持的VoIP和多媒體標(biāo)準(zhǔn)包括H.323 版本4、會話發(fā)起協(xié)議(SIP)、思科瘦客戶端控制協(xié)議(SCCP)、實時流協(xié)議(RTSP)和媒體網(wǎng)關(guān)控制協(xié)議(MGCP)，這些協(xié)議能夠幫助企業(yè)安全地部署多種當(dāng)前及新一代VoIP和多媒體應(yīng)用。

為簡化配置和提高永續(xù)性，Cisco ASA 5500 系列還具有網(wǎng)絡(luò)拓撲敏感性。由于ASA 5500系列支持VPN隧道上首先打開的最短路徑(OSPF)路由，因而能沿用網(wǎng)絡(luò)可到達性知識，保證流量的有效傳輸。不僅如此，子網(wǎng)自動識別特性還能簡化配置，因為它能夠識別每個VPN網(wǎng)關(guān)背后的所有主機。

思科遠程接入VPN解決方案

對X.509 數(shù)字證書的廣泛支持包括：為具有多層證書權(quán)威結(jié)構(gòu)的環(huán)境提供N層證書鏈，允許利用簡單證書登記協(xié)議(SCEP)自動完成證書登記，以及脫機證書權(quán)威機構(gòu)部署人工登記等。RSA證書支持的密鑰尺寸可長達4096位，基于數(shù)字簽名算法(DSA)的X.509證書的密鑰尺寸可長達1024位。另外，用戶也可以聯(lián)機登記到Cisco IOS Software證書機構(gòu)。輕量X.509證書機構(gòu)有助于簡化公共密鑰基礎(chǔ)設(shè)施(PKI)型站點到站點VPN的推廣。

VPN連接的威脅防御

威脅防御：蠕蟲、病毒、間諜軟件、廣告軟件、特洛伊木馬、DoS攻擊

蠕蟲、病毒、應(yīng)用嵌入式攻擊和應(yīng)用濫用是當(dāng)今網(wǎng)絡(luò)面臨的重大安全問題。由于當(dāng)今的VPN設(shè)計具有漏洞，因此，遠程接入和遠程機構(gòu)VPN連接是這些威脅的通用切入點。目前，很多VPN部署都沒有在總部位置的通道終點采取適當(dāng)?shù)臋z測和威脅防御措施，因而使壞件很容易從遠程機構(gòu)或用戶感染到網(wǎng)絡(luò)并伺機傳播。

利用Cisco ASA 5500 系列，不需要增加成本，不需要增加設(shè)計、部署或運作的復(fù)雜性，就能夠使檢測和威脅防御作為VPN解決方案的一部分。利用ASA 5500 系列的融合型威脅防御功能，客戶可以在壞件進入網(wǎng)絡(luò)內(nèi)部并傳播之前就及時發(fā)現(xiàn)并阻止。對于應(yīng)用嵌入式攻擊，例如通過文件共享對等網(wǎng)絡(luò)傳播的間諜軟件或廣告軟件，ASA 5500 系列能夠深入檢測應(yīng)用流量，以便在壞件瞄準(zhǔn)目標(biāo)并造成危害之前就及時發(fā)現(xiàn)危險負載并丟棄其內(nèi)容。

Cisco ASA 5500 系列安全設(shè)備的應(yīng)用層檢測功能能夠防止VPN部署遭受拒絕服務(wù)(DoS)攻擊，例如SYN 泛濫、互聯(lián)網(wǎng)控制消息協(xié)議(ICMP)泛濫、"teardrops"、端口掃描、"pings of death"以及很多其它常見攻擊。

應(yīng)用濫用與訪問控制

適當(dāng)?shù)腣PN安全設(shè)計不但要阻止威脅，還要了解哪些VPN流量正在使用網(wǎng)絡(luò)資源和帶寬，并控制對網(wǎng)絡(luò)資源的訪問。HTTP 端口80最初是為Web流量設(shè)計的，現(xiàn)在主要用于即時消息傳送、Kazaa等對等程序以及其它應(yīng)用。Cisco ASA 5500 系列能夠識別、檢查和控制隱蔽端口80應(yīng)用的各個方面。它能夠全面阻止某些流量或文件類型，也可以細致地限制某些行為，例如來自即時消息傳送應(yīng)用的文件傳輸。

應(yīng)用敏感型檢測引擎提供豐富的狀態(tài)化檢測服務(wù)，能夠跟蹤所有合法網(wǎng)絡(luò)通信的狀態(tài)，并防止非法訪問接入。這些集成功能能夠為當(dāng)今不斷變化的網(wǎng)絡(luò)環(huán)境提供一道堅實的多層防線。將詳細的安全策略應(yīng)用到VPN流量之后，個人和小組將能夠訪問他們有權(quán)訪問的服務(wù)和資源。所有VPN流量都將解密和檢測，以保證只有合法內(nèi)容才能通過設(shè)備。

網(wǎng)絡(luò)管理員能夠定義用來協(xié)調(diào)遠程機構(gòu)和員工的安全性和連接性的策略。這個策略既能提供無與倫比的安全性，又能保持可訪問的網(wǎng)絡(luò)環(huán)境。Cisco ASA 5500 系列安全設(shè)備提供集成式安全方法，使各機構(gòu)既能充分利用互聯(lián)網(wǎng)的連接和成本優(yōu)勢，又不會降低公司安全策略的完整性(見圖2)。

Cisco ASA 5500 系列將威脅防御與VPN功能結(jié)合在一起，提供安全的VPN連接

永續(xù)性

Cisco ASA 5500 系列安全設(shè)備支持多種永續(xù)性，以保證VPN部署能夠?qū)崿F(xiàn)最高的可靠性和性能。

由于永續(xù)性集群功能能夠?qū)PN會話均勻地分布到所有Cisco ASA 5500 系列和VPN 3000 系列設(shè)備，因而能經(jīng)濟高效地擴展遠程接入部署。集群提供的集成式負載均衡不需要用戶干預(yù)，也不需要外部負載分布，就能夠分布遠程接入。Cisco ASA 5500 系列和VPN 3000 系列集中器的不同型號可以共存于同一個集群中，并按照每臺設(shè)備的容量分布負載。這種高度靈活的容量不僅消除了單故障點，還能保護客戶的投資，因為利用一個解決方案就能滿足整個機構(gòu)的需求。

由于VPN 狀態(tài)化故障切換能夠延長VPN正常連接時間，因而能保證網(wǎng)絡(luò)的永續(xù)性和冗余性。利用Cisco ASA 5500 系列安全設(shè)備的狀態(tài)化故障切換功能，所有VPN安全關(guān)聯(lián)狀態(tài)信息和會話關(guān)鍵材料，都能在故障切換對列的成員之間自動同步，從而建立永續(xù)性極高的VPN解決方案。配置為故障切換對列的設(shè)備能夠?qū)崿F(xiàn)連接狀態(tài)和設(shè)備配置數(shù)據(jù)的連續(xù)同步。同步可以通過高性能局域網(wǎng)連接實現(xiàn)。利用地理位置不同的故障切換對列，可以增加一道防線。當(dāng)系統(tǒng)或網(wǎng)絡(luò)發(fā)生故障時，網(wǎng)絡(luò)通話可以自動從主用設(shè)備轉(zhuǎn)移到備用設(shè)備上。而且整個過程對用戶是透明的。

OSPF動態(tài)路由服務(wù)支持IPSec VPN隧道鄰居，能夠提高VPN連接網(wǎng)絡(luò)的可靠性。網(wǎng)絡(luò)停頓在幾秒鐘之內(nèi)就可以被檢測到，并能夠及時轉(zhuǎn)移流量。另外，為提高網(wǎng)絡(luò)性能和可靠性，還支持反向路徑注入(RRI)。

集成式管理

集成式Cisco Adaptive Security Device Manager 提供基于Web的世界級管理界面，能夠大大簡化單臺Cisco ASA 5500 系列安全設(shè)備的部署、后續(xù)配置和監(jiān)控，而且不需要在管理員的計算機上安裝任何軟件(需要標(biāo)準(zhǔn)的Web瀏覽器和Java插接件)。VPN和智能設(shè)置向?qū)軌蛉菀椎丶傻饺魏尉W(wǎng)絡(luò)環(huán)境中，信息監(jiān)控特性，包括儀表盤和實時系統(tǒng)日志瀏覽器，則能夠提供重要的設(shè)備/網(wǎng)絡(luò)運行狀態(tài)和事件監(jiān)控。

這種集成式Web管理提供易于使用的簡單界面，以便配置和監(jiān)控所有VPN服務(wù)，在IPSec 和SSL VPN 用戶環(huán)境中提供易于管理性?；诮巧墓芾硎构芾韱T能夠為每個遠程接入用戶/用戶組配置所有訪問控制、安全策略和認(rèn)證方法。Cisco ASA 5500 系列安全設(shè)備總共提供16個可定制管理角色，使企業(yè)能夠向管理員和操作員授予對每種設(shè)備的不同訪問等級(例如：只允許執(zhí)行VPN服務(wù)配置、只允許執(zhí)行防火墻服務(wù)配置、只允許監(jiān)控或者只提供對配置的只讀訪問等)。

另外，Cisco Adaptive Security Device Manager 還能全面管理所有威脅防御特性，通過同一個控制臺配置和保護VPN連接的各個方面。

Cisco ASA 5500系列平臺概述

Cisco ASA 5500 系列共包括五個型號：5505、5510、5520、5540和5550(見圖3)，能夠為從小型辦公室到企業(yè)總部的各種位置提供站點可擴展性。每種型號都使用相同的機箱，而且都提供服務(wù)可擴展性、投資保護和未來技術(shù)可擴展性。

Cisco ASA 5500系列

每臺設(shè)備都采用了帶嵌入式VPN加密加速的1-RU設(shè)計、高可靠性的無磁盤架構(gòu)、配有四個10/100/1000銅線以太網(wǎng)端口的可擴展I/O、一個帶外管理端口、用于證書或未來擴展的USB端口以及用于增加I/O或服務(wù)模塊的擴展槽。

從性能的角度看，Cisco ASA 5500 系列能夠提供425Mbps的VPN性能，可同時支持5000 路會話。各型號的最高性能如表1所示。

表1 Cisco ASA 5500系列自適應(yīng)安全設(shè)備的性能 ASA 5505ASA 5510ASA 5520ASA 5540ASA 5550

最高吞吐量 100Mbps170Mbps225Mbps325Mbps425Mbps

IPSec會話數(shù) 2525075050005000

SSL VPN會話數(shù)*2525075025005000

需要購買VPN許可證才能達到最高會話數(shù)。

總結(jié)

Cisco ASA 5500 系列為VPN部署提供了一個靈活的全特性平臺。安全的遠程接入會話可以從SSL型Web瀏覽器建立，也可以從VPN客戶端建立，因而實現(xiàn)了最高的靈活性和應(yīng)用連接。強大的站點到站點VPN服務(wù)、豐富的檢查功能和QoS特性，為當(dāng)今的應(yīng)用提供了一種能夠通過安全IPSec網(wǎng)絡(luò)傳輸語音、視頻和數(shù)據(jù)的VPN基礎(chǔ)設(shè)施。

利用Cisco ASA 5500系列，不需要增加成本，也不需要提高設(shè)計、部署或運作的復(fù)雜性，就能夠?qū)⒃L問控制、應(yīng)用檢測和威脅防御作為VPN解決方案的一部分。管理員只需制定一個網(wǎng)絡(luò)策略，就可以既提高安全性，又保持網(wǎng)絡(luò)環(huán)境的可訪問性。

利用思科在VPN方面的豐富專業(yè)知識，企業(yè)只需部署一個集成式平臺，就可以一方面支持核心企業(yè)應(yīng)用，一方面提高易于管理性和部署靈活性。

【編輯推薦】

1. 14.3.3 配置VPN、Easy VPN和DMVPN連接
2. VPN連接速度下降 禍起端口模式
3. Windows XP下實現(xiàn)高效安全的VPN連接