В сегодняшнем материале мы проведем анализ функционала межсетевых экранов ASA и маршрутизаторов ISR от Cisco, чтобы определить, какое из устройств обеспечивает более высокий уровень безопасности. В принципе они оба поддерживаются все основные протоколы и функции защиты данных. Это NAT, VPN для удаленного подключения и P2P VPN для прямого соединения двух локальных сетей (например, филиалов одной организации), IPS и непосредственно программный межсетевой экран.

Так как ASA являются устройствами, предназначенными именно для обеспечения безопасности, последние 3 пункта составляют набор их основных функций. Естественно, что эффективности этих компонентов уделяется особенное внимание.

Кроме того, преимуществом использования ASA в качестве межсетевого экрана является то, что все необходимые для обеспечения безопасности инструменты и протоколы встроены и задействованы по умолчанию, в то время как в маршрутизаторы ISR все это подключается отдельно в качестве дополнительного функционала.

Рассмотрим подробнее каждый из этих компонентов.

NAT

В экранах ASA присутствуют различные версии данного протокола, в частности, доступен Twice NAT.

Функции межсетевого экрана

Данный компонент производит глубокий анализ сетевых протоколов. Можно выбирать между маршрутизируемым режимом экрана и прозрачным. Также есть возможность устанавливать обычный или более усиленный режим защиты. При втором варианте для повышения уровня безопасности блокируются некоторые сетевые функции, например, есть версии программного обеспечения, не поддерживающие Remote Access VPN в таком режиме.

TrustSec

Этот компонент позволяет регулировать права доступа за счет установки и идентификации меток групп пользователей LDAP.

IPS

Эти модули, встроенные в ASA, позволяют практически полностью исключить риск несанкционированного проникновения злоумышленников в результате кибератак. Для использования этого функционала требуется приобрести лицензию.

ASA CX

Позволяет администратору контролировать запуск и эксплуатацию приложений отдельными пользователями или группами. Также данный функционал включает в себя надежный сетевой фильтр, блокирующий небезопасные ресурсы. Для большинства моделей достаточно просто подключить твердотельный накопитель SSD, но самая последняя на сегодняшний день версия ASA 5585-X потребуется блейд-модуль.

VPN для доступа к удаленным сетям

Существует 3 варианта использования данной функции:

Конфигурация предназначена для персональных компьютеров, ноутбуков и мобильных устройств. В данной конфигурации возможна интеграция с такими технологиями Cisco, как Secure Desktop и Web Security.
Бесклиентский SSL VPN. Предназначен для безопасного использования приложений на интернет ресурсах.
Тонкий клиент для браузера, основанный на скриптах MS-Active и плагинов Java. Такой режим позволяет пробрасывать порты к определенным приложениям.

Маршрутизация

Можно использовать режим статической маршрутизации, а также OSPF или EIGRP.По причине того, что в устройстве ASA не предусмотрены интерфейсы VTI и их аналоги, количество соседей в IPSec-туннелях ограничено. То есть, может быть только 1 сосед для каждого внешнего интерфейса.

Failover – резервирование

Данная возможность доступна как для множественного, так и для единственного контекста. В первом случае в режиме Active/Active, а во втором – Standby/Active. Если требуется переключиться с основного межсетевого экрана ASA на резервный, может быть задействован режим Stateful.

Сети, в которых требуется высокая проходимость трафика, могут обслуживаться несколькими устройствами ASA, объединенными в один кластер – такой метод подойдет для сетей, работающих со скоростью до 320 Гб/с.

QoS

В устройствах ASA невозможна классификация посредством NBAR, поэтому шейпинг доступен исключительно для Default Class. Обычно представленных в межсетевом экране ASA функций вполне достаточно для обеспечения безопасности, но есть и некоторые специфические инструменты, использовать которые можно только с маршрутизатором Cisco ISR.

интеллектуальная маршрутизация OER, Round-Robin или PBR для оптимальной балансировки трафика в сети;
MPLS;
туннели GRE;
DMVPN;
GETVPN;
WLAN контроллер. Gatekeeper, IVR, CUBE, WAAS;

Приложенный ниже график позволяет провести анализ соотношения цены и производительности экранов. За рэперные точки приняты наибольшие показатели производительности IPSec и межсетевого экрана.

производительность МСЭ к цене

Для экранов ASA указана базовая стоимость платформы. Что касается маршрутизаторов – используется цена стандартной комплектации без добавления каких-либо дополнительных модулей.

На следующем графике приведено соотношение цены и производительности IPSec VPN.

производительность IPSec к цене

Также следует сказать о том, что при использовании маршрутизатора по лицензии SEC скорость передачи данных ограничивается 85-ю Мб/с. Ограничение может быть снято посредством повышения лицензии до HSEC. Но также следует отметить, что все устройства серий выше 2951 продаются с готовой лицензией HSEC.

Также различия между маршрутизаторами и межсетевыми экранами заключаются в производительности IPSec-шифровании. В маршрутизаторах за это отвечают программное обеспечение, установленное на компьютер, а также модуль шифрования данных. В экранах ASA производительность никак не зависит от аппаратных возможностей компьютера, потому что шифрование осуществляется за счет задействования ASIC-схем.

В заключение

Если суммировать все вышеизложенное, можно сказать, что каждое из устройств имеет собственные преимущества, поэтому выбор между ними следует делать в зависимости от поставленных задач.

Если вам необходимо обеспечить безопасный доступ к интернету, а также возможность подключения к сети сотрудников на удаленке, лучше остановиться на межсетевом экране ASA. Если необходимо развернуть масштабную сеть с интеграцией различных дополнительных сервисов – лучшим решением станет маршрутизатор ISR.

Также есть вариант скомбинировать возможности ASA и ISR, возложив на первый обеспечение безопасности, а на второй – динамическую маршрутизацию трафика.

Назад к списку