思科令人印象深刻的第一裂纹在下一代防火墙

当我们去年5月测试下一代防火墙时，至少有一家重要的安全供应商没有出现:思科，因为他们还没有准备好测试。现在，ASA CX下一代防火墙已经一年了成熟，我们把产品通过其步伐，用同样的方法，因为我们最后NGFW测试。

什么时候我们去年五月测试下一代防火墙，至少一个重要的安全厂商是不存在：思科，因为他们还没有准备好进行测试。现在，ASA CX下一代防火墙已经一年了成熟，我们把产品通过其步伐，用同样的方法，因为我们最后NGFW测试。

我们发现，思科拥有一支优秀的产品，具有良好的覆盖和强大的应用识别和控制功能。谁已升级到ASA防火墙的“-X”版本的企业安全管理人员（在RSA宣布2012年3月会议）可以增加下一代功能的硬件在其数据中心和分支机构，并获得直接的好处。雷竞技电脑网站

谁没有升级自己的硬件或网络谁管理人员考虑从不同厂商的交换机应该做一个有竞争力的扫描决定了Cisco ASA之前。我们发现ASA CX是一个坚实的“版本1”的努力，但思科仍然有显著工作在改善管理，集成，威胁缓解和应用控制的事，离开ASA CX工作正在进行中。

介绍ASA CX

当思科决定增加下一代功能，以它的ASA防火墙，它必须面临一项艰巨的任务：如何把一个成熟的防火墙体系结构，并添加了新一代的特点，尤其是应用识别和控制，即安全管理人员询问。和下一代功能，是指应用识别和控制。思科采取了刺在这个在2009年，当它增加了模块化策略框架，这带来了很多的应用层控制到ASA。而不是触摸现有ASA防火墙的微妙构造NAT和政策规定，强积金层次上现有的安全策略的顶部。

该ASA 5515-X是一个标准的ASA防火墙与另外的处理模块，被称为“CX”（为“上下文”），该手柄应用识别和控制。在经过5555-X的ASA 5512-X，在CX下一代防火墙运行的软件模块。在高端ASA 5585-X，思科有两个硬件加速器可今日（在SSP10和SSP20）有针对性的结束年发布另外两个车型（在SSP40和SSP60），旨在利用ASA吞吐量至10Gbps和超越。

运行CX也确实会带来性能上的损失。例如，我们测试了ASA 5515-X的额定电流为原料的防火墙吞吐量1.2Gbps，而只是下一代吞吐量350Mbps。随着$ 5,600标价时，5515-X相比其他下一代防火墙提供了非常有竞争力的价格/性能。

对于思科的工程师，加入CX集下一代的功能意味着要么回到绘图板在ASA或不翻倒的船太多楔入下一代功能开始出现问题。思科把每个选项的一点：下一代功能都粘在ASA的一侧的方式，树叶核心防火墙完全不受干扰。这是添加其他安全功能时，对ASA，如IPS和防恶意软件扫描思科已经采取，并将继续采取作为附加件，如网络安全做出自己的方式进入ASA的办法。

但是，思科也向我们承诺，这是严肃的统一的管理制度，将带来ASA和下一代功能在一个单一的GUI 2013年底前即使安全功能由单独的非常策略引擎运行，良好的政策管理工具可以提供一个统一的经验，安全管理人员建立防火墙策略。

但在目前的版本中，我们测试的9.1，网络管理人员会很清楚，有在工作中两个不同的策略引擎。The ASA’s next-generation features don’t even share an IP address with the base ASA firewall — next-gen policies are configured using Cisco Prime Security Manager (PRSM), a completely different management system from the ASA firewall’s Adaptive Security Device Manager (ASDM).

基本ASA防火墙仍然是处理访问控制，NAT和VPN。为了使下一代功能，一个条目是服务规则，模块化政策框架的一部分提出，定义哪些流量被发送到防火墙的CX一部分。这意味着，任何流量必须由正常访问控制规则被第一传递，然后经受基于应用和用户识别信息的附加的检查和控制。

由于每个连接通过CX引擎，三种不同的政策开始发挥作用。首先，CX引擎解码SSL。其次，它关系用户认证信息的连接。最后，访问控制策略被应用，阻止或允许基于用户标识和应用层信息（包括应用程序ID，应用程序类型和URL类别）和用户识别的连接。

虽然大多数应用识别和控制是新CX策略集，他们不是都在那里 - 一切CX之前加入到ASA的模块化策略框架的一部分仍然处于核心ASA下来。这导致一些重叠和混乱，因为你要看看在两个地方做的非常类似的应用程序的控制。

在一些地方，CX和ASA MPF完全重叠;在其他领域，分工更加直观。思科告诉我们，他们的工程师经过18个月的路线图上的合作，以推动应用层功能集成到了CX代码和移动共同服务，如基于身份的访问控制，到ASA基地，预计将在每一个版本进展。

在ASA 5515-X硬件的当前版本具有运行IPS或下一代防火墙（CX）的选择，但不能同时运行。思科告诉我们，IPS将与2013年底的CX代码进行整合，用一个单独的许可证，以使IPS功能集。至于反恶意软件，思科不能给我们一个明确的答复。像许多保安公司，他们正在从传统的反病毒扫描回避掉作为对许多新的威胁无效。随着信誉服务精美的ASA水平僵尸网络检测集成到ASA CX政策以来，思科认为它有坐在后面，看着另类的豪华方法提供反恶意软件保护，而不是急于进入又一个防病毒引擎。

这怎么看的防火墙？

我们通过检查ASA CX的基本防火墙功能来开始我们的测试。的曾孙Cisco的PIX和VPN集中器3000系列， ASA在许多企业中仍然是一个重要的存在。当我们测试ASA作为终端用户VPN集中器时AnyConnect安全移动解决方案V3.0两年前，我们知道企业的网络管理人员会很乐意 - 思科提供了跨平台，端点安全状态评估，整合稳固的客户支持与他们的WSA的Web安全网关和稳定的性能。

虽然我们没有潜水深入到ASA的这一部分，事情并没有改变，而ASA仍然作为一个VPN集中器进行远程访问看起来不错。

对于这次审查中，我们在10个方面测试的防火墙功能，发现了鱼龙混杂具有较强的加分和一些短处。

不幸的是，我们最大的抱怨是在任何基本的防火墙的最重要的部分：策略管理。核心ASA防火墙具有过滤流量它得到了下一代应用程序的控制之前，制定政策管理的重要。我们发现ASA政策的一部分，被称为ACL（访问控制列表），是有问题的。

该ASA是企业防火墙之间不寻常的，因为它不是基于区域的（尽管Cisco IOS防火墙是），这意味着有两个以上的接口（或安全区域）的任何部署可能会非常复杂，非常快。例如，要建立我们的政策，这三种类型的受信任的用户，服务器和互联网之间的区别，我们不得不写更多的规则，而不是一个会在基于区域的防火墙使用，在某些情况下，定义在不同接口的不同方向的两个规则覆盖相同的流量。这是规则涵盖流量进入接口和流量会在同一界面出来 - 这需要一段时间的思考一种奇怪的方式来适应，更重要的是，导致更大的规则集。

该规则集越大，越有可能是有一个错误，越难理解。由于为核心的默认行为防火墙“放下一切”，而下一代防火墙是“允许的一切，”你不希望任何渗透到下一代产品，你是不舒服的。

在ASA的缺乏与其他VPN的ACL访问控制的整合也可能导致人为错误在同一ASA既被用于VPN和防火墙的标准网络中的复杂因素。我们的建议是：不这样做，至少不会在任何复杂的网络。这些设备价格便宜，以至于你可以得到一个远程访问和另一个用于防火墙和避免在非常低的成本潜在的安全问题。

基本的防火墙，我们认为理所当然的，如NAT，VLAN支持，动态路由，联合2层/ 3层的支持，并在ASA IPv6功能都做得很好的方面。

We were disappointed that Cisco still hasn’t pushed BGP routing into the ASA, especially since they’ve done a really incredible job with the routing protocols (OSPF, OSPFv3, EIGRP, RIP and several multicast routing protocols) which come already inside the ASA. It took a while for the outstanding routing feature set we all know and love from IOS to migrate into the ASA, but it was worth the wait, and network managers looking for the ASA to be a strong participant in their dynamic routing will be happy with its capabilities.

因为根据我们的标准NGFW的测试方法，我们无法测试BGP，我们使用OSPFv3协议，而不是到ASA整合到我们现有的IPv4和IPv6网络，一个非常痛苦的经历。该ASA还缺少VPN和动态路由之间的充分融合。网络管理员希望使用动态路由建大基于VPN的广域网需要与IOS坚持他们的站点到站点的隧道。我们没有测试高可用性，但思科对我们说，ASA CX目前支持主动/被动故障切换，并支持主动/主动群集明年。

除了防火墙的访问控制列表中，我们发现，缺乏其他两个领域：QoS执行和集中管理。我们将分别覆盖中央管理，但我们的QoS执行的测试发现，ASA具有非常弱的功能集。大多数防火墙都在拥塞期间一些能力帮助优化和控制流量，但不ASA。我们发现，ASA只具有简单的治安（特定应用的带宽限制，即使有足够的可用），没有任何企图管理流量排队。服务质量是一个大的区域，其中ASA可以拿起了很多来自思科IOS强大的功能。

我们认为，谁已经长大了与其他防火墙，并没有使用到ASA的怪癖会发现这是一个比较困难的产品，安全管理集成到复杂的网络。然而，在简单的拓扑结构，特别是在有大量远程接入VPN的环境中，与基本的防火墙市场的其余部分ASA配合并保持有竞争力的解决方案。

下一代应用识别和控制

如果有什么定义下一代防火墙，它的应用识别和控制，以及ASA CX下一代功能在这一目标瞄准正视。为了评估ASA CX如何能很好地识别和控制应用程序，我们使用相同的一套41个测试场景中九类，我们在我们的下一代试图去年防火墙测试。

在ASA CX，应用控制是简单明了：“允许”，“块”或有没有其他的选择，比如重定向到一个警告页面或发送警报（尽管这可以通过扫描日志来完成）。考虑到这一点，我们在鸽子，并开始测试ASA CX的能力，下潜深到应用程序中。

相比于我们的其他NGFW电器的测试在一年前，该ASA CX确实出奇地好了60％的识别和格挡率，我们的表现最好（SonicWALL的）和狭义磨边我们的第二个最好的表演者，Check Point的基本追平。

该ASA CX有许多应用很好的粒度。例如，LinkedIn的ASA CX让你允许大多数LinkedIn的，但块找工作或职位。在某些情况下，ASA CX分歧应用到多个类别 - 例如，有五个LinkedIn应用和Facebook的10人。在流行的应用程序中，ASA CX让我们专注于更具体的应用行为，如发布与阅读或上传下载对比。该设计试图映射的安全策略到防火墙规则集深思熟虑从安全管理的角度来看。

未能识别和阻止应用程序可以有两个来源：虫子，或者只是不支持摆在首位的应用。随着ASA CX，我们发现各少许。例如，与Skype的ASA CX只是没有，如果我们从事任何类型的逃避工作。