Cisco ASA или Cisco ISR
Перед системным администратором и инженером, проектирующим корпоративную сеть передачи данных, встаёт задача проектирования архитектуры граничного сегмента сети, выбора типа граничного оборудования, количество единиц оборудования и используемых функций. Граничное оборудование — это оборудование, которое с одной стороны соединяет ЛВС организации с сетью Интернет, с другой стороны защищает локальную сеть и корпоративные данные от Интернет угроз.
В качестве граничного оборудования может быть использован маршрутизатор или межсетевой экран, а могут быть использованы оба устройства. В нашей статье мы рассмотрим данные устройства, взяв за основу решения компании Cisco.
Компания ВИСТЛАН предлагает Заказчикам маршрутизаторы и межсетевые экраны Cisco. Cisco ASA — это серия межсетевых экранов, Cisco ISR — это серия сервисных маршрутизаторов.
Маршрутизатор или межсетевой экран
Основная задача маршрутизатора — объединять сети, передавать пакеты между разными сетями и разными сегментами сети, обеспечить передачу пакета с заданным качеством сервиса.
Задача брандмауэра обеспечить безопасность сети независимо от того, будет ли пакет доставлен по назначению, корректно ли время прибытия пакета, направление и т. д. То есть задача обеспечить гарантированную передачу пакета не является целью работы межсетевого экрана, его задача противоположна, его задача — остановить пакет, если он несёт вред сети.
Между тем IS — это уже не просто маршрутизаторы, это роутеры с функциями IP фильтрации. А ASA это — фаерволы с поддержкой многих функций роутеров таких, как динамическая маршрутизация.
Межсетевые ASA 5500-X
Cisco ASA серии 5500-X предоставляет защиту от Интернет угроз, включая защиту от целенаправленных атак и вирусных программ.
Cisco ASA — это популярный в ИТ-среде межсетевой экран. Серия 5500-X обладает следующими функциями:
- VPN типа «site-to-site»;
- удалённый доступ для компьютеров и мобильных устройств;
- кластеризация;
- AVC (Granular Application Visibility and Control) содержит более 4000 категорий приложений и предоставляет администраторам безопасности управлять доступом сотрудников к приложениям, повышает безопасность предприятия, уменьшает риски;
- IPS FirePOWER (NGIPS) обеспечивает предотвращение сложных угроз, защиту пользователей, инфраструктуры, приложений и контента, автоматизацию действий по защите;
- фильтрация доступа к веб адресам по рейтингу и категориям обеспечивает контроль над подозрительным веб-трафиком, а также соблюдение внутренних политик для сотен миллионов веб сайтов в более, чем восьмидесяти категориях;
- централизованное управление устройствами ASA через Cisco Firepower Management Center, который предоставляет офицерам безопасности полный обзор и контроль над деятельностью в сети. Контроль включает информацию о пользователях, устройствах, связь между виртуальными машинами, уязвимости, угрозы, клиентские приложения, файлы и веб-сайты.
Тактико-технические характеристики ASA 5500-X
Для сравнения рассмотрим основные характеристики старшей и младшей моделей серии.
Максимальная пропускная способность | Пропускная способность межсетевого экранирования | Пропускная способность VPN (3DES/AES) | |
ASA 5506-X | 750 Mb в сек. | 300 Mb в сек. | 100 Mb в сек. |
ASA 5555-X | 4 Gb в сек. | 2 Gb в сек. | 700 Mb в сек. |
Маршрутизаторы ISR 4000
ISR Cisco семейства 4000 включает все необходимые функции по передаче трафика. Роутеры выполняют несколько параллельных задач без снижения пропускной способности каналов связи:
- шифрование;
- управление трафиком;
- оптимизация WAN трафика.
Рисунок 4 – Маршрутизаторы серии ISR 4000
Семейство ISR Cisco 4000 обладает функционалом программного решения Cisco Software Defined WAN (SDWAN). Cisco SDWAN — это набор интеллектуальных программных приложений, которые позволяют надёжно и безопасно подключать конечные устройства и филиалы через разнообразный набор транспортных каналов сети Интернет. Маршрутизаторы с поддержкой SDWAN, такие, как ISR 4000, динамически маршрутизируют трафик по «лучшему» каналу связи, принимают решения по интеллектуальным алгоритмам, что обеспечивает:
- контроль над сетевой производительностью приложений;
- использование полосы пропускания;
- конфиденциальность данных;
- доступность внешних каналов связи.
Технология DNA — архитектура цифровых сетей
Архитектура цифровых сетей – это открытая, расширяемая, программно-управляемая архитектура. Cisco DNA использует сетевые интеллектуальные алгоритмы, которые помогают организациям автоматизировать, упростить и обезопасить сеть. Основные преимущества технологии DNA:
- Informed by Context — оборудование интерпретирует каждый байт данных, проходящих через него, что повышает безопасность, удобство работы и ускоряет операции;
- Powered by Intent — оборудование интерпретирует намерения администратора по конфигурации сети, позволяя настраивать несколько устройств за несколько минут;
- Driven by Intuition — оборудование анализирует данные и события, проходящих через него, и превращает эти данные в полезную информацию. Учится на каждом инциденте, предотвращает будущие проблемы и инциденты.
Модуль Firepower для ISR
Модуль Cisco Firepower для ISR расширяет для маршрутизаторов ISR возможности по защите устройств в сети.
Cisco Firepower для ISR — это те же компоненты безопасности:
- система предотвращения вторжений;
- контроль активности программного обеспечения;
- защита от вредоносного программного обеспечения;
- фильтрация URLов;
- Cisco Firepower Management Center.
Тактико-технические характеристики ISR 4000
Для сравнения рассмотрим основные характеристики старшей и младшей моделей серии.
|
Пропускная способность (max) | Пропускная способность (VPN AES) |
ISR 4221 | 1,2 Gb в сек. | 100 Mb в сек. |
ISR 4461 | 10 Gb в сек. | 7 Gb в сек. |
Заключение
В этой статье мы увидели, что маршрутизатор ISR 4000 — это устройство с функционалом межсетевого экрана. В одном устройстве есть функции маршрутизации и функции защиты.
Межсетевой экран ASA 5500-X — это устройство с функционалом маршрутизатора, в одном устройстве есть функции защиты и функции маршрутизации.
Обе серии имеют схожие ТТХ и набор функций. В чём тогда различие? Дело в том, что если вы подключаете к Интернету небольшое предприятие или филиал, то вы можете использовать устройство из любой линейки, вы закроете все потребности предприятия, а это:
- маршрутизация;
- управление трафиком;
- межсетевое экранирование;
- VPN;
- управления доступом к веб сайтам;
- контроль работы приложений.
Но всё же ISR 4000 — это больше маршрутизатор, а ASA 5500-X — больше межсетевой экран. Аппаратные и программные компоненты серий оптимизированы для выполнения своих уникальных функций. И если у вас крупное предприятие со сложными бизнес-процессами или у вас Дата-центр с большим количеством сервисов и приложений, вам придётся использовать оборудования обоих классов, только в этом случае ваши приложения будут выполняться с минимальными сетевыми задержками, и вы будете конкурентны на рынке.
Товары
- Комментарии
Менеджеры компании с готовностью ответят на ваши вопросы и оперативно подготовят коммерческое предложение.
|
Задать вопрос
|