воскресенье, 10 августа 2014 г.

Лицензирование межсетевых экранов Cisco ASA 5500

В данной статье мы попытались собрать полезную информацию о лицензировании межсетевых экранов Cisco Systems ASA5500 серии. Итак, приступим.

Лицензия K9
Если говорить о шифровании, межсетевые экраны ASA поставляются в 2-х вариантах. Первый вариант - на конце каждого партийного номера имеется символ K8 ( к примеру, ASA5505-K8), второй вариант, на конце содержится символ K9 (к примеру, ASA5505-BUN-K9).
Данные варианты различаются наличием у последнего варианта (K9) возможности шифрования алгоритмами 3DES/AES, когда у первого варианта, где на конце партийного номера имеется K8 возможность шифрования только DES.
Чем они отличаются?
Если не вникать в сложности алгоритмов шифрования, то разницу можно охарактеризовать так: информацию, зашифрованную алгоритмом DES ( K8) можно расшифровать, когда как информацию зашифрованную алгоритмами 3DES/AES расшифровать практически невозможно( а в литературе пишут что не возможно вовсе).
Где может понадобится шифрование? Шифрование требуется во всех формах VPN туннелей, будь то site-to-site IPSEC, remote access VPN, anyconnect SSL VPN и другие. Если на ASA не установлена лицензия K9, могут возникнуть некоторые трудности использования, из самых известных это не возможность использования  SSL anyconnect VPN и невозможность использования графической оболочки управления межсетевым экраном ASDM.


Лицензия Security Plus
Платформа: ASA5505
Партийный номер для заказа: ASA5505-SEC-PL=
Какой функционал открывает (расширяет):
- 802.1q trunking, т.е открывает VLAN транки;
- позволяет создавать DMZ зоны;
- увеличивает колличество VLAN c 3 до 20 ( в базовой версии имеется 3 VLAN, один из которых может  взаимодействовать только с одним другим;
- dual ISP ( позволяет настроить резервирование провайдеров в режиме Active/Standby);
- увеличивает колличество одновременных соединений с 10.000 до 25.000;
- увеличивает колличество site-to-site и IKEv1 IPSEC client подключений с 10 до 25;
Примечания: при выборе модели межсетевого экрана, надо помнить, что ASA5505 не поддерживает резервирование Failover (Active/Active или Active/Standby Failover) ни в каком варианте, а также не поддерживает возможности использования контекстов безопасности.

 Платформа: ASA5510
Партийный номер для заказа: ASA5510-SEC-PL=
Какой функционал открывает (расширяет):
- увеличивает скорость 2-ух портов до скорости Gigabit Ethernet ( в базовой версии все порты Fast Ethernet);
- увеличивает колличество одновременных соединений с 50.000 до 130.000;
- увеличивает колличество VLAN c 50 до 100;
- позволяет создавать отказоустойчивость межсетевых экранов ( Active/Active или Active/Standby Failover);


Платформа: ASA5512
Партийный номер для заказа: ASA5510-SEC-PL=
Какой функционал открывает (расширяет):
- увеличивает колличество VLAN c 50 до 100;
- позволяет создавать отказоустойчивость межсетевых экранов ( Active/Active или Active/Standby Failover);

Подключение к ASA по SSL.
В настоящий момент очень большой интерес со стороны клиентов вызывает организация удаленного подключения к сети предприятия в целях использования общих ресурсов (данных, хранящихся на серверах, программах, таких как 1C-предприятие и т.д). Cisco ASA предоставляет широкий выбор способов безопасного подключения к сети предприятия из любого места, где имеется выход в интернет.
Основными характеристиками, которым должно обладать подключение это:
1. Безопасность. Данные, которыми обменивается удаленный сотрудник с офисной сетью, должны быть защищены.
2. Простота подключения. Любой сотрудник, который желает подключиться к офисной сети, не должен испытывать сложности с настраиванием удаленного подключения и тратить на это много времени.  Действий для подключения должно быть не много,Все действия должны быть интуитивно понятны.
3. Унифицированность. Удаленный сотрудник должен иметь возможность подключаться к сети с любого устройства (мобильное устройтсво, ПК), а не только с заранее преднастроенного.
Наиболее оптимальным вариантом удаленного подключения на данный момент является SSL VPN подключение. Не будем вдаваться в технические особенности данного протокола, а перейдем сразу к тому, как же можно предусмотреть данный вариант удаленного подключения к Cisco ASA.
Для терминирования SSL подключений на ASA должны быть установлены одна из лицензий: Anyconnect Essentials и Anyconnect Premium SSL VPN.

Anyconnect Essentials
Платформа:
ASA5505       ASA-AC-E-5505  до 25   одновременных подключений
ASA5510       ASA-AC-E-5510  до 250  одновременных подключений
ASA5512       ASA-AC-E-5512  до 250  одновременных подключений
ASA5515       ASA-AC-E-5515  до 250  одновременных подключений
ASA5520       ASA-AC-E-5520  до 750  одновременных подключений
ASA5525       ASA-AC-E-5525  до 750  одновременных подключений
ASA5545       ASA-AC-E-5545  до 2500 одновременных подключений
ASA5555       ASA-AC-E-5555  до 5000 одновременных подключений

Описание.
Лицензия Essentials позволяет настроить подключение Client-Based подключение удаленных пользователей. Сотрудник может с любого устройства зайти на внешний IP адрес ASA, авторизовавшись, скачать программный клиент Anyconnect Essentials, установить его, и подключиться к сети предприятия. Для того, чтобы иметь возможность подключаться не только с ПК, но и с мобильных устройств, требуется лицензия Anyconnect Mobile.
Anyconnect Premium SSL VPN
Описание.
Лицензия Anyconnect Premium покупается в зависимости от колличества требуемых одновременных SSL-подключений к ASA. Имея те же функции, как и Essentials (см. выше), лицензии Premium позволяют организовать Веб портал ( доступ к ресурсам предприятия из браузера), использовать Cisco Secure desktop.

Anyconnect Mobile
Платформа:
ASA5505       ASA-AC-M-5505
ASA5510       ASA-AC-M-5510    
ASA5512       ASA-AC-M-5512
ASA5515       ASA-AC-M-5515
ASA5520       ASA-AC-M-5520
ASA5525       ASA-AC-M-5525
ASA5545       ASA-AC-M-5545
ASA5555       ASA-AC-M-5555

Описание.
Данная лицензия позволяет устанавливать Anyconnect соединение с мобильных устройств ( Android, Windows phone, iOS и др.). Требуется, чтобы на АСА также была установлена лицензия Essentials или необходимое колличество Anyconnect Premium SSL VPN.

Cisco ASA Security Context.
Межсетевой экран CISCO ASA может быть разделен на несколько виртуальных межсетевых экранов - контекстов безопасности. Каждый контекст может реализовывать свою политику безопасности. 
ASA5505 не поддерживает данного функционала. в ASA5510 Base license также нет данного функционала, для его использования нужна лицензия Security Plus ( по умолчанию 2 Contexts).
Максимальное колличество контекстов безопасности по платформам:
ASA5505  - не поддерживает
ASA5510  - до 5
ASS5512  - не поддерживает
ASA5515  - до 5
ASA5520  - до 20
ASA5525  - до 20
ASA5540  - до 50
ASA5545  - до 50

Партийные номера для заказа (последняя цифра указывает на количество контекстов):
ASA5500-SC-5
ASA5500-SC-10
ASA5500-SC-20

Cisco ASA 5500 IPS SSP License
Если в моделях ASA 5510, 5520, 5540 для наличия функций Intrusion Preventioon System (система предотвращения вторжений) требовалось докупать соответствующий модуль (AIP SSC), то в моделях ASA5500-X, т.е 5512, 5515, 5525, 5545, 5555 требуется открыть функционал IPS приобретением лицензии. Вы можете заказать межсетевой экран как вместе с лицензией (IPS bundle), так и по отдельности. К примеру, приобрести лицензию не сразу.
Партийные номера:
L-ASA5512-IPS-SSP
L-ASA5515-IPS-SSP
L-ASA5525-IPS-SSP
L-ASA5545-IPS-SSP
L-ASA5555-IPS-SSP
Необходомо так же узнать, что для обновления сигнатур необходимо приобрести соответствующую подписку.

Источник: nnetwork.ru/content/asalicense/



Комментариев нет:

Отправить комментарий