利用Cisco ASA 5500 系列建立VPN连接

yangyu844512

Cisco® ASA 5500 系列自适应安全设备是专为中小企业（SMB）和大型企业应用开发的平台，将最高安全性与VPN服务有机地结合在一起。Cisco ASA 5500 系列自适应威胁防御解决方案基于防火墙、入侵防御系统（IPS）和网络防病毒功能。作为专用VPN平台，该解决方案可以独立使用，也可以与其它解决方案配合使用。
对于VPN服务，由于Cisco ASA 5500 系列提供灵活的技术，因而能根据远程接入和站点到站点连接要求，提供定制的解决方案。Cisco ASA 5500 系列提供易于管理的IP Security（IPsec）和安全套接字层（SSL）VPN远程和网络敏感型站点到站点VPN连接，使企业能够通过公共网络为移动用户、远程站点和业务合作伙伴创建安全连接。利用Cisco ASA 5500 系列，各机构不需要降低公司安全策略的完整性，就能够获得互联网的连接和成本优势。Cisco ASA 5500 系列将VPN服务与全面威胁消除服务有机地结合在一起，提供安全的VPN连接和通信。集成式自适应威胁防御功能提供统一保护，保证VPN部署不会成为网络攻击的导体，例如蠕虫、病毒、坏件或黑客等。不仅如此，还可以为VPN流量应用详细的应用和访问控制策略，使个人和用户组能够访问到他们有权访问的应用、网络服务和资源（见图1）。
图1 针对任意部署方案的VPN服务：带有威胁防御的增强型IPsec和SSL VPN服务

                               
登录/注册后可看大图

远程接入
Cisco ASA 5500 系列提供支持多种连接方式的完整远程接入VPN解决方案，包括WebVPN（SSL VPN）、Cisco VPN Client（IPSec VPN）以及从Windows 移动设备建立的Nokia Symbian 移动无线和无客户端接入。利用思科的远程接入技术，各企业只需部署一个集成式平台，就能广泛支持各种核心企业应用，简化管理，并提高部署灵活性。
安全的远程连接可以通过SSL 型Web浏览器或VPN客户端建立，因此，不需要部署和管理独立的设备就能够获得最高的灵活性和应用接入。利用Cisco ASA 5500 系列安全设备，各企业可以为每个用户组选用最适当的技术，而不需要同时部署多种解决方案。利用安全远程接入，由于企业不再需要同时为SSL和IPSec VPN 分别建立独立的平台，因而提高了效率，降低了成本。
基于IPSec的远程接入
利用IPSec 提供远程接入能够建立最增强型的可定制连接。利用IPSec，用户几乎可以访问任何应用，就好像自己与总部局域网建立了实际连接一样。思科IPSec 远程接入具有高度可定制性，利用提供的API，管理员可以编写执行程序及其它定制程序。
Cisco ASA 5500 系列是思科系统®公司提供的功能最丰富的基于IPSec 的远程接入解决方案。对于IPSec 部署，由于ASA 5500 系列充分利用了Cisco VPN 3000 系列集中器平台的特性和功能，因而能提供几乎相同的功能，但每用户吞吐量更高。不仅如此，ASA 5500 系列还能无缝地与现有VPN 3000集中器集群集成在一起，使两个平台同时为相同的用户群服务。
另外，Cisco ASA 5500 系列还提供其它思科安全解决方案也提供的新型Cisco Easy VPN远程接入功能，例如Cisco PIX® 安全设备、Cisco IOS® 路由器和Cisco VPN 3000系列集中器。Cisco Easy VPN 提供可以扩展、经济高效、易于管理的独特远程接入VPN架构，并能够降低传统VPN解决方案维护远程设备配置所需要的运作成本。Cisco ASA 5500 系列设备能够将最新的VPN安全策略动态推广到远程VPN设备和客户端，以保证这些远程端点在建立连接之前先实施最新策略，从而实现最高的灵活性、可扩展性和易于使用性。
Cisco ASA 5500 系列安全设备支持VPN客户端安全策略实施，在试图建立VPN连接时执行安全检查，包括安全策略执行情况、版本号以及公司管理的主机安全产品（例如Cisco Security Agent 或个人防火墙软件），然后再允许远程用户接入公司网络。另外，Cisco VPN Client 还可以根据客户端的类型、安装的操作系统以及Cisco VPN Client 软件的版本限制网络连接，以防非法VPN客户端接入公司网络。
Cisco VPN Client 和 Cisco VPN 3002 Hardware Client 可以自动执行软件更新，即能够在建立VPN连接时触发更新，或者根据需要更新当前连接的VPN客户端。这种方法使企业能够轻松地更新远程用户的客户端软件。
远程接入用户可以依据设备本身的内部用户数据库进行认证，也可以利用RADIUS或TACACS+ 通过外部源完成认证。由于与主流认证服务，包括Microsoft Active Directory、Microsoft Windows Domains、Kerberos、轻量目录访问协议（LDAP）和RSA SecurID，集成在一起，因此，不需要通过独立的RADIUS/TACACS+ 服务器就能完成用户认证。
SSL VPN
Cisco ASA 5500 系列能够同时为无客户端和完全网络接入部署提供核心SSL VPN功能。无客户端接入适用于非公司管理的桌面，例如外部网系统和公共接入点。完全网络接入适用于需要一致"局域网型"用户体验，并需要访问所有应用或网络资源的远程接入用户。基于SSL的完全网络接入通过Cisco SSL VPN Client for WebVPN提供，这种网络接入与IPSec VPN客户端相似，但不需要预装VPN Client 软件。
SSL VPN 只使用Web浏览器及其本地SSL加密，不需要预装VPN 客户端软件就几乎能够从可以接入互联网的任何位置远程访问网络资源。利用Cisco ASA 5500 系列上支持的WebVPN，能够容易地访问多种企业应用，包括Web资源、Web型应用、NT/Active Directory 文件共享（Web型）、电子邮件以及基于TCP的其它应用，例如来自与互联网相连、可以到达HTTP互联网站点的任何计算机的Telnet 或 Windows 终端服务。WebVPN 使用SSL及其后续产品Transport Layer Security（TLS）在远程用户与中央站点的特殊内部资源之间建立安全连接。使用WebVPN建立安全连接之后，不需要安装其它桌面软件就可以从任何系统接入网络。
站点到站点
利用Cisco ASA 5500 系列安全设备提供的网络敏感型IPSec 站点到站点 VPN 功能，企业可以利用低成本的互联网连接，安全地将其网络扩展到商业合作伙伴以及世界各地的远程和卫星办公室。ASA 5500 系列是思科推出的功能最丰富的基于设备的站点到站点VPN解决方案。通过无与伦比的网络特性集成，Cisco IOS 路由器能够提供业内最先进、最灵活的站点到站点VPN连接。
分支机构和远程机构能够将公司的范围扩展到主要市场和位置。基于Cisco ASA 5500 系列的VPN解决方案能够在多个位置之间建立安全的高速通信，提供企业通信所需要的性能、可靠性和可用性。VPN连接可以使用数字证书和预共享加密等多种方法认证。

Cisco ASA 5500 系列安全设备提供的VPN基础设施支持当今的各种应用，并能够通过安全的IPSec 网络传输语音、视频和数据。增强型的站点到站点VPN服务与丰富的检测功能和服务质量（QoS）特性结合在一起，使企业能够利用融合型网络的诸多优势。由于企业能够利用Cisco ASA 5500 系列设备，并能够将VPN与QoS特性和丰富的检测功能结合在一起，因而能安全地将语音和多媒体服务扩展到远程机构环境，充分利用融合型网络具有的诸多优势，包括提高生产率、降低运作成本和增强竞争优势等。
延迟、抖动和包损失都会降低语音和视频质量。Cisco ASA 5500 系列低延迟队列（LLQ）和流量侦听特性支持QoS要求很高的应用，例如语音或视频，以保证端到端网络QoS策略。延迟敏感型流量的传输可以优先于文件传输以及能够容忍延迟的其它流量。队列性能可以通过一系列配置参数优化。
通过VPN 部署语音和视频时，应该用状态化方式检测流经网络的所有多服务流量。Cisco ASA 5500 系列安全设备能够为多种IP语音（VoIP）和其它多媒体标准提供市场领先的保护。支持的VoIP和多媒体标准包括H.323 版本4、会话发起协议（SIP）、思科瘦客户端控制协议（SCCP）、实时流协议（RTSP）和媒体网关控制协议（MGCP），这些协议能够帮助企业安全地部署多种当前及新一代VoIP和多媒体应用。
为简化配置和提高永续性，Cisco ASA 5500 系列还具有网络拓扑敏感性。由于ASA 5500系列支持VPN隧道上首先打开的最短路径（OSPF）路由，因而能沿用网络可到达性知识，保证流量的有效传输。不仅如此，子网自动识别特性还能简化配置，因为它能够识别每个VPN网关背后的所有主机。
思科远程接入VPN解决方案
对X.509 数字证书的广泛支持包括：为具有多层证书权威结构的环境提供N层证书链，允许利用简单证书登记协议（SCEP）自动完成证书登记，以及脱机证书权威机构部署人工登记等。RSA证书支持的密钥尺寸可长达4096位，基于数字签名算法（DSA）的X.509证书的密钥尺寸可长达1024位。另外，用户也可以联机登记到Cisco IOS Software证书机构。轻量X.509证书机构有助于简化公共密钥基础设施（PKI）型站点到站点VPN的推广。
VPN连接的威胁防御
威胁防御：蠕虫、病毒、间谍软件、广告软件、特洛伊木马、DoS攻击
蠕虫、病毒、应用嵌入式攻击和应用滥用是当今网络面临的重大安全问题。由于当今的VPN设计具有漏洞，因此，远程接入和远程机构VPN连接是这些威胁的通用切入点。目前，很多VPN部署都没有在总部位置的通道终点采取适当的检测和威胁防御措施，因而使坏件很容易从远程机构或用户感染到网络并伺机传播。
利用Cisco ASA 5500 系列，不需要增加成本，不需要增加设计、部署或运作的复杂性，就能够使检测和威胁防御作为VPN解决方案的一部分。利用ASA 5500 系列的融合型威胁防御功能，客户可以在坏件进入网络内部并传播之前就及时发现并阻止。对于应用嵌入式攻击，例如通过文件共享对等网络传播的间谍软件或广告软件，ASA 5500 系列能够深入检测应用流量，以便在坏件瞄准目标并造成危害之前就及时发现危险负载并丢弃其内容。
Cisco ASA 5500 系列安全设备的应用层检测功能能够防止VPN部署遭受拒绝服务（DoS）攻击，例如SYN 泛滥、互联网控制消息协议（ICMP）泛滥、"teardrops"、端口扫描、"pings of death"以及很多其它常见攻击。
应用滥用与访问控制
适当的VPN安全设计不但要阻止威胁，还要了解哪些VPN流量正在使用网络资源和带宽，并控制对网络资源的访问。HTTP 端口80最初是为Web流量设计的，现在主要用于即时消息传送、Kazaa等对等程序以及其它应用。Cisco ASA 5500 系列能够识别、检查和控制隐蔽端口80应用的各个方面。它能够全面阻止某些流量或文件类型，也可以细致地限制某些行为，例如来自即时消息传送应用的文件传输。
应用敏感型检测引擎提供丰富的状态化检测服务，能够跟踪所有合法网络通信的状态，并防止非法访问接入。这些集成功能能够为当今不断变化的网络环境提供一道坚实的多层防线。将详细的安全策略应用到VPN流量之后，个人和小组将能够访问他们有权访问的服务和资源。所有VPN流量都将解密和检测，以保证只有合法内容才能通过设备。
网络管理员能够定义用来协调远程机构和员工的安全性和连接性的策略。这个策略既能提供无与伦比的安全性，又能保持可访问的网络环境。Cisco ASA 5500 系列安全设备提供集成式安全方法，使各机构既能充分利用互联网的连接和成本优势，又不会降低公司安全策略的完整性（见图2）。
图2 Cisco ASA 5500 系列将威胁防御与VPN功能结合在一起，提供安全的VPN连接

                               
登录/注册后可看大图

永续性
Cisco ASA 5500 系列安全设备支持多种永续性，以保证VPN部署能够实现最高的可靠性和性能。
由于永续性集群功能能够将VPN会话均匀地分布到所有Cisco ASA 5500 系列和VPN 3000 系列设备，因而能经济高效地扩展远程接入部署。集群提供的集成式负载均衡不需要用户干预，也不需要外部负载分布，就能够分布远程接入。Cisco ASA 5500 系列和VPN 3000 系列集中器的不同型号可以共存于同一个集群中，并按照每台设备的容量分布负载。这种高度灵活的容量不仅消除了单故障点，还能保护客户的投资，因为利用一个解决方案就能满足整个机构的需求。
由于VPN 状态化故障切换能够延长VPN正常连接时间，因而能保证网络的永续性和冗余性。利用Cisco ASA 5500 系列安全设备的状态化故障切换功能，所有VPN安全关联状态信息和会话关键材料，都能在故障切换对列的成员之间自动同步，从而建立永续性极高的VPN解决方案。配置为故障切换对列的设备能够实现连接状态和设备配置数据的连续同步。同步可以通过高性能局域网连接实现。利用地理位置不同的故障切换对列，可以增加一道防线。当系统或网络发生故障时，网络通话可以自动从主用设备转移到备用设备上。而且整个过程对用户是透明的。

OSPF动态路由服务支持IPSec VPN隧道邻居，能够提高VPN连接网络的可靠性。网络停顿在几秒钟之内就可以被检测到，并能够及时转移流量。另外，为提高网络性能和可靠性，还支持反向路径注入（RRI）。
集成式管理
集成式Cisco Adaptive Security Device Manager 提供基于Web的世界级管理界面，能够大大简化单台Cisco ASA 5500 系列安全设备的部署、后续配置和监控，而且不需要在管理员的计算机上安装任何软件（需要标准的Web浏览器和Java插接件）。VPN和智能设置向导能够容易地集成到任何网络环境中，信息监控特性，包括仪表盘和实时系统日志浏览器，则能够提供重要的设备/网络运行状态和事件监控。
这种集成式Web管理提供易于使用的简单界面，以便配置和监控所有VPN服务，在IPSec 和SSL VPN 用户环境中提供易于管理性。基于角色的管理使管理员能够为每个远程接入用户/用户组配置所有访问控制、安全策略和认证方法。Cisco ASA 5500 系列安全设备总共提供16个可定制管理角色，使企业能够向管理员和操作员授予对每种设备的不同访问等级（例如：只允许执行VPN服务配置、只允许执行防火墙服务配置、只允许监控或者只提供对配置的只读访问等）。
另外，Cisco Adaptive Security Device Manager 还能全面管理所有威胁防御特性，通过同一个控制台配置和保护VPN连接的各个方面。
Cisco ASA 5500系列平台概述
Cisco ASA 5500 系列共包括五个型号：5505、5510、5520、5540和5550（见图3），能够为从小型办公室到企业总部的各种位置提供站点可扩展性。每种型号都使用相同的机箱，而且都提供服务可扩展性、投资保护和未来技术可扩展性。
图3 Cisco ASA 5500 系列

                               
登录/注册后可看大图

每台设备都采用了带嵌入式VPN加密加速的1-RU设计、高可靠性的无磁盘架构、配有四个10/100/1000铜线以太网端口的可扩展I/O、一个带外管理端口、用于证书或未来扩展的USB端口以及用于增加I/O或服务模块的扩展槽。
从性能的角度看，Cisco ASA 5500 系列能够提供425Mbps的VPN性能，可同时支持5000 路会话。各型号的最高性能如表1所示。
表1 Cisco ASA 5500 系列自适应安全设备的性能

	ASA 5505	ASA 5510	ASA 5520	ASA 5540	ASA 5550
最高吞吐量	100Mbps	170Mbps	225Mbps	325Mbps	425Mbps
IPSec会话数	25	250	750	5000	5000
SSL VPN会话数*	25	250	750	2500	5000

* 需要购买VPN许可证才能达到最高会话数。
总结
Cisco ASA 5500 系列为VPN部署提供了一个灵活的全特性平台。安全的远程接入会话可以从SSL型Web浏览器建立，也可以从VPN客户端建立，因而实现了最高的灵活性和应用连接。强大的站点到站点VPN服务、丰富的检查功能和QoS特性，为当今的应用提供了一种能够通过安全IPSec网络传输语音、视频和数据的VPN基础设施。
利用Cisco ASA 5500系列，不需要增加成本，也不需要提高设计、部署或运作的复杂性，就能够将访问控制、应用检测和威胁防御作为VPN解决方案的一部分。管理员只需制定一个网络策略，就可以既提高安全性，又保持网络环境的可访问性。
利用思科在VPN方面的丰富专业知识，企业只需部署一个集成式平台，就可以一方面支持核心企业应用，一方面提高易于管理性和部署灵活性。

allenhong625

不错！！！

xueyu20

这个鸿鹄比是个什么情况