Cisco ASA / IronPort
- Коммутаторы
- 1. В чем основные отличия между коммутаторами серии Cisco Catalyst 2960?
- 2. Какова линейка коммутаторов Cisco Catalyst 1000?
- 3. Какова линейка коммутаторов Cisco Catalyst 9000?
- 4. Какой коммутатор покупать, 2960X или 9200L/9200?
- 5. В чём различие между коммутаторами Cisco Nexus 9300-EX, 9300-FX/FX2/FX3 и 9300-GX?
- 6. Чем отличается LAN Lite от LAN Base для коммутаторов Cisco Catalyst 2960-X?
- 7. Какой набор функций поддерживается на Cisco Catalyst 2960-L?
- 8. Чем отличается IP Lite для 2960-XR от IP Base для остальных моделей 2960?
- 9. Какова схема лицензирования коммутаторов Cisco Catalyst 9000?
- 10. Какова схема лицензирования коммутаторов Cisco Nexus 9300/9500?
- Порты
- 11. Какие варианты соединения на скорости более 1 Гбит/с доступны на оборудовании Cisco для технологии Ethernet?
- 12. Можно ли установить в оборудование Cisco SFP (SFP+) трансиверы других производителей?
- 13. Как подключить сервер к коммутатору Cisco на скорости 10 Гбит/с?
- 14. Какие типы трансиверов формата SFP доступны на оборудовании Cisco?
- Стекирование
- 15. Какие преимущества предоставляет стекирование?
- 16. Какие технологии стекирования/кластеризации коммутаторов поддерживаются на оборудовании Cisco?
- 17. Поддерживается ли стекирование в коммутаторах Cisco Nexus?
- 18. Можно ли агрегировать порты (объединять в один логический канал) подключённые к двум разным коммутаторам Cisco?
- Питание
- 19. Как обеспечить резервное питание для оборудования Cisco?
- 20. Что такое RPS 2300 и XPS 2200?
- 21. Какие технологии передачи питания по Ethernet поддерживаются на оборудовании Cisco?
- Маршрутизаторы
- 22. Можно ли монтировать в стойку маршрутизаторы Cisco 880/890/900/1100/4000?
- 23. Что такое маршрутизаторы Cisco ISR 4000 Series?
- 24. Что такое маршрутизаторы Cisco Catalyst 8000?
- 25. Какой функционал отсутствует в IOS XE для Cisco ISR 4000?
- 26. В чём разница между ISR11xx и ISR4xx?
- 27. Какова схема лицензирования программного обеспечения IOS для маршрутизаторов серии ISR 900?
- 28. Какова схема лицензирования программного обеспечения IOS XE для маршрутизаторов серии ISR 1000?
- 29. Какова схема лицензирования программного обеспечения IOS XE для маршрутизаторов серии ISR 4000?
- 30. Какова схема лицензирования маршрутизаторов Cisco на основе подписок DNA?
- 31. Поддерживает ли маршрутизатор Cisco с лицензией IP Base функционал IP SLA?
- Производительность
- 32. Какова производительность маршрутизаторов Cisco ISR G2?
- 33. Какова производительность маршрутизаторов Cisco ISR 1000?
- 34. Какова производительность маршрутизаторов Cisco ISR 4000?
- 35. Какова производительность маршрутизаторов Cisco Catalyst 8000?
- Старые модели устройств
- 36. Чем отличаются коммутаторы Cisco Catalyst 3650 и 3850?
- 37. Как лицензируются коммутаторы серии Cisco Catalyst 3650, 3560X/3750X и 3850?
- 38. Чем отличается LAN Lite от LAN Base для коммутаторов Cisco Catalyst 2960 следующих серий: 2960, 2960-S, 2960-SF, 2960-Plus?
- 39. В чем основные отличия между коммутаторами 3560V2, 3560G, 3560E и 3560X?
- 40. В чем основные отличия между коммутаторами 3750V2, 3750G, 3750E и 3750X?
- 41. Что означает «Standard Image» (IP Base) и «Enhanced Image» (IP Services) в описании коммутаторов серии 3560 и 3750. В чем разница?
- Архитектура и технологии
- 1. Какие основные преимущества дает использование контроллера беспроводной сети?
- 2. Что такое Wi-Fi 6? В чем его отличие от других стандартов?
- 3. Что такое Wi-fi 6E?
- 4. В чем основные преимущества использования технологий CleanAir и ClientLink на оборудовании Cisco?
- 5. Как оборудование Cisco помогает бороться с помехами в беспроводной сети?
- Точки доступа
- 6. В чем особенность точек доступа Catalyst 9100? В чем их отличия между собой?
- 7. В чем отличие точек доступа х800 между собой?
- 8. Есть ли у Cisco всепогодные точки доступа корпоративного класса?
- 9. Что означает R в партномере точки доступа C9120AXI-R-K9?
- 10. Какие варианты питания точек доступа Cisco 9100 существуют?
- Контроллеры
- 11. Что представляют собой контроллеры Cisco Catalyst 9800?
- 12. Контроллеры Cisco Catalyst 9800. Какие архитектуры поддерживаются, какие модели бывают?
- 13. Контроллер поддерживает работу точек доступа только в локальной сети?
- 14. Как лицензируются контроллеры Cisco Catalyst 9800?
- 15. Какие точки доступа поддерживаются на контроллерах Cisco Catalyst 9800?
- 16. Каковы особенности использования контроллера на точке доступа?
- 17. Какие решения из линейки 9800 предлагаются на замену устаревшим контроллерам?
- 18. Поддерживаются ли новые точки доступа на старых контроллерах? Как мигрировать старую инфраструктуру на Cisco Catalyst 9800?
- 19. Как резервируется контроллер на базе EWC? Какие варианты резервирования (High-Availability) контроллеров серии 9800 существуют?
- Устаревшие продукты и технологии
- 20. В чем отличие точек доступа Cisco Aironet 1810/1810W?
- 21. Какие архитектуры построения беспроводной сети на базе оборудования Cisco существуют?
- 22. В чем ключевые особенности и преимущества использования стандарта 802.11ac? В чем отличие 802.11ac wave 1 от 802.11ac wave 2?
- 23. Чем отличаются друг от друга контроллеры серий 2500, 3500, 5500, vWLC?
- 24. Какие варианты резервирования контроллеров серии 2500, 3500, 5500, 7500, 8500, vWLC существуют?
- 25. В чем отличие точек доступа x700 и x800?
- 26. Какие варианты питания точек доступа Cisco существуют (серии х700, х800)?
- 27. Какие функции поддерживаются в Mobility Express?
- 28. Какие точки доступа поддерживают работу в режиме Cisco Mobility Express?
- 29. Могу ли я подключить точку доступа с поддержкой Mobility Express к полноценному контроллеру? Можно ли установить на ТД с Mobility Express «автономное» ПО?
- 30. Почему после обновления ПО контроллера точки доступа не могут зарегистрироваться на контроллере?
- 1. Существует два разных решения по IP-телефонии на базе CUCM и CUCMe. Каковы основные различия между решениями?
- 2. Какова схема лицензирования CUCMe (версии 12.0 и выше)?
- 3. На какие серверы можно установить решение Cisco Unified Communication Manager (CUCM)?
- 4. Какова схема лицензирования для решения Cisco Unified Communication Manager (CUCM)?
- 5. Что такое Cisco Business Edition?
- 6. Что такое BE 6000?
- 7. Что такое BE 7000?
- 8. Требуется телефон для возможности совершения видео-звонков. Какие основные варианты существуют?
- 9. Какие существуют способы обеспечить электропитание для IP-телефонов Cisco? В чем преимущество каждого из способов?
- 10. Что такое PVDM?
- 11. Какие модули PVDM можно устанавливать в маршрутизаторы Cisco разных поколений?
- 12. Работают ли 3rd Party SIP телефоны с Cisco CUCM?
- 13. Более выгодная покупка – CUCM Express или BE6000?
- 14. Какие варианты организации автосекретаря (IVR) возможны на базе решений Cisco?
- 15. Какие существуют технологии записи разговоров для IP-телефонии?
- 16. Какие телефоны не поддерживаются в современных версиях Cisco Unified Communication Manager (UCM)?
- Общие вопросы
- 1. Что такое NPE?
- 2. Почему возникли проблемы с поставкой крипто-содержащего оборудования на территорию РФ?
- 3. Что означает категория C1, C2, С3 и С4?
- 4. Можно ли ввезти крипто-содержащее оборудование на территорию РФ?
- 5. Что требуется от заказчика для ввоза криптосодержащего оборудования из категории C3?
- 6. Что означает K7, K8 и K9 в парт-номере ASA5500? Почему можно без проблем заказывать только K7 и K8?
- 7. Как может быть использовано оборудование Cisco совместно с другими производителями при выполнении функций шифрования?
- 8. Какие варианты организации защищенного VPN соединения в центральном офисе на базе маршрутизатора Cisco существуют?
- 9. Требуется решение для подключения дополнительного офиса с поддержкой стойкой шифрации. Какие возможны варианты?
- 10. Какие решения компании Cisco могут использоваться для защиты персональных данных в рамках ФЗ №152 и СТО БР ИББС?
- 11. Можно ли использовать технологию DMVPN совместно с сертифицированными средствами криптозащиты информации (СКЗИ)?
- 12. Можно ли защитить мобильное устройство под управлением Apple iOS или Android, используя технологии Cisco?
- 13. Что такое Advanced Malware Protection (AMP)?
- 14. На что заменить Microsoft ISA/TMG сервер?
- Cisco ASA / IronPort
- 15. В чем отличие устройства безопасности Cisco ASA от маршрутизатора Cisco ISR? В каком случае лучше приобрести маршрутизатор, а в каком – межсетевой экран?
- 16. Какая схема лицензирования устройств Cisco ASA серии 5500?
- 17. Можно ли подключить межсетевой экран ASA к двум или более интернет-провайдерам, используя статическую маршрутизацию?
- 18. Почему не заработал ASDM на ASA?
- 19. Можно ли использовать сервис Cisco AnyConnect SSL VPN на ASA K8?
- 20. Какие варианты VPN Remote Access предоставляет ASA 5500-X
- 21. Каковы особенности моделей Cisco ASA 5506-X, 5508-X и 5516-Х?
- 22. Может ли ASA 5500-X использоваться как средство антивирусной защиты на периметре корпоративной сети?
- 23. Какова схема лицензирования Cisco AnyConnect?
- 24. Каковы основные отличия Next Generation Firewall и Web-шлюза Cisco WSA (Web Security Appliance)?
- 25. Как устройства IronPort обеспечивают высокую доступность?
- Next-Generation Firewall
- 26. Какие решения Next-Generation Firewall (NGFW) предлагает компания Cisco?
- 27. Какие преимущества даёт запуск функций NGFW на Cisco Secure Firewall?
- 28. Какие варианты операционных систем используются в решениях Cisco Secure Firewall?
- 29. Что такое Firewall Threat Defense (FTD)?
- 30. Какие варианты систем управления могут быть использованы для решений Cisco ASA и Cisco Firepower?
- 31. В чём отличие между Firepower Device Management (FDM) и Firewall Management Center (FMC)?
- 32. Что такое Cisco Firepower 1000/2100/3100/4000/9000?
- 33. Cisco Firepower или ASA?
- 34. Firepower Management Center 6.X. Что нового?
- 35. Firewall Management Center 7.X. Что нового?
- 36. Как решение Firepower взаимодействует с облачными сервисами Cisco (Облако AMP, Threat Grid, URL)?
- 37. Что случится если откажет FMC?
- 38. Есть ли у Cisco Secure Firewall (FirePOWER/FTD) ASA55xx-X или FPRxxx сертификаты ФСТЭК?
- Cisco Umbrella
- 39. Как лицензируется Cisco Umbrella?
- 40. Какова схема работы Cisco Umbrella?
- Cisco ISE
- 41. Что умеет решение Cisco ISE?
- 42. Что такое Cisco ISE-PIC?
- Устаревшие решения
- 43. Какие подписки на обновления необходимы, если на ASA 5500-Х реализуется какая-либо антивирусная защита?
- 44. Можно ли считать ASA5506 прямой заменой ASA5505?
- 45. Как запустить сервисы FirePOWER на ASA 5500-X?
- 46. В чём отличие между использованием ASDM и Firepower Management Center (Defence Center, FireSIGHT) для управления сервисами FirePOWER на Cisco ASA?
- Общие сведения
- 1. Какие решения на базе программно-определяемых сетей предлагает компания Cisco?
- SD-WAN
- 2. Что такое SD-WAN?
- 3. Какие преимущества даёт внедрение SD-WAN?
- 4. Какие решения являются обязательными для построения SD-WAN?
- 5. Почему стоит перейти на SD-WAN?
- 6. Что будет, если откажет контроллер SD-WAN?
- 7. Как обеспечивается отказоустойчивость решения SD-WAN?
- 8. Что необходимо для запуска расширенных функций безопасности?
- 9. Что такое OMP?
- SD-Access
- 10. Какие преимущества даёт внедрение SD-Access?
- 11. Какие решения являются обязательными для построения SD-Access?
- ACI
- 12. Какие преимущества даёт внедрение ACI?
- 13. Какие решения являются обязательными для построения фабрики ACI?
- 1. Каковы основные преимущества расширенной гарантии (контракта Cisco SmartNet)?
- 2. Как получить доступ к Вашему сервис-контракту Cisco SmartNet?
- 3. Что такое Cisco Smart Software Licensing?
- 4. Что такое Smart Accounts? И почему необходим Smart Account?
- 5. Управление Smart Accounts.
- 6. Как создать и настроить Smart Account?
- 7. Доступ на портал Cisco Smart Software Manager
- 8. Как правильно задать имя компании на сайте Cisco, при создании нового профиля пользователя?
В чем отличие устройства безопасности Cisco ASA от маршрутизатора Cisco ISR? В каком случае лучше приобрести маршрутизатор, а в каком – межсетевой экран?
Выбор между маршрутизаторами Cisco ISR и устройствами безопасности Cisco ASA в некоторых ситуациях не так прост, как может показаться на первый взгляд. Если требования можно сформулировать так: требуется защитить выход в интернет для пользователей и предоставить удаленный доступ, чтобы сотрудники могли работать из любой точки, тогда можно рекомендовать Cisco ASA. Если же данное устройство должно быть установлено в филиале, тогда маршрутизатор может оказаться более выгодным и гибким решением, поскольку в нем можно совместить большее число сервисов. Если установка планируется в главном офисе компании на границе сети, тогда можно установив в одной сети оба устройства и разделить между ними сервисы: Cisco ASA использовать для МСЭ, фильтрация контента, IPS, VPN для удаленных пользователей, а маршрутизатор – для протоколов динамической маршрутизации (OSPF, EIGRP, BGP), CUBE, site-to-site IPSec, DMVPN и др. Подробнее.
Какая схема лицензирования устройств Cisco ASA серии 5500?
Устройства Cisco ASA являются наиболее распространённым программно-аппаратным решением, обеспечивающим функции межсетевого экранирования. Функционал устройств крайне широк, многие сервисы включаются посредством приобретения и активизации соответствующих лицензий. Схема лицензирования Cisco ASA достаточно сложная и включает в себя множество нюансов, поэтому рассмотрена в рамках отдельной статьи.
Можно ли подключить межсетевой экран ASA к двум или более интернет-провайдерам, используя статическую маршрутизацию?
Да, это возможно. МСЭ ASA поддерживают функцию мониторинга статических маршрутов посредством функции IP SLA. Поддержка IP SLA существует в базовом варианте программного обеспечения. Однако стоит заметить, что ASA 5505 без лицензии Security Plus поддерживает три виртуальных сети (VLAN), причем одна из них имеет существенное ограничение на входящий трафик. В связи с этим, для подключения ASA 5505 к двум или более интернет-провайдерам необходимо использовать лицензию Security Plus.
Почему не заработал ASDM на ASA?
Очень часто не удаётся подключиться по ASDM к ASA K8. Причина в том, что ASDM использует протокол SSL для передачи данных. В наиболее распространённых в настоящее время ОС Windows Vista и Windows 7 протокол SSL по умолчанию использует только строгие алгоритмы для шифрования данных - 3DES/AES. В ASA K8 поддержка таких алгоритмов заблокирована. Таким образом, чтобы получить возможность использовать ASDM для конфигурирования ASA необходимо либо заказывать изначально ASA K9, требующую получения разрешения на ввоз, либо открывать функционал 3DES/AES на ASA K8 (фактически, превращая её в К9).
При этом стоит отметить, на ASA даже с включённым шифрованием 3DES/AES во многих версиях программного обеспечения для протокола SSL по умолчанию включён только алгоритм шифрования DES. Необходимо провести настройку, вручную указать использование 3DES/AES для SSL.
Windows XP поддерживает алгоритм DES для SSL.
Можно ли использовать сервис Cisco AnyConnect SSL VPN на ASA K8?
Относительно сервиса Cisco AnyConnect ситуация абсолютно аналогична ситуации с ASDM. Cisco AnyConnect использует протокол SSL для формирования защищённого VPN соединения. ОС Windows Vista и Windows 7 для протокола SSL по умолчанию использует только строгие алгоритмы для шифрования данных 3DES/AES. Поэтому, для сервиса Cisco AnyConnect необходима поддержка 3DES/AES, следовательно, необходима ASA K9.
Для многих версий программного обеспечения ASA для протокола SSL по умолчанию включён только алгоритм шифрования DES. Необходимо провести настройку, вручную указать использование 3DES/AES для SSL.
Какие варианты VPN Remote Access предоставляет ASA 5500-X
МСЭ ASA 5500-Х является наиболее продвинутым с точки зрения функционала концентратором пользовательских VPN соединений (VPN Remote Access). Попробуем разобраться, как именно пользователь может удалённо подключиться к корпоративной сети, используя функционал МСЭ Cisco ASA. Подробнее.
Каковы особенности моделей Cisco ASA 5506-X, 5508-X и 5516-Х?
В апреле 2015 года компания Cisco анонсировала пять новых моделей Cisco ASA: 5506-X, 5506W-X, 5506H-X, 5508-X и 5516-X.
Отличительной особенностью всех указанных моделей является наличие встроенного SSD-диска. Это позволяет сразу запускать* FirePOWER Services или же образ Firepower Threat Defense (FTD), т.е. весь расширенный функционал – NGFW, NGIPS, URL-фильтрация, AMP и т.д. Сервисы FirePOWER могут быть настроены из встроенной консоли управления ASDM, а FTD через интерфейс Firepower Device Manager (FDM). Однако для выполнения некоторого функционала, в частности, для построении отчётов, требуется наличие внешней системы управления - Firepower Management Center (FMC). Особенности каждой модели представлены в таблице ниже:
Cisco ASA 5506-X | Cisco ASA 5506W-X | Cisco ASA 5506H-X | Cisco ASA 5508-X | Cisco ASA 5516-X |
Более производительная замена ASA 5505. Для новой модели 5506-Х, в отличие от 5505, отсутствуют лицензии на количество пользователей. | ASA 5506-X с интегрированной точкой доступа Cisco AP702i. | ASA 5506-X в защищенном исполнении для индустриальных и промышленных предприятий. Рабочие температуры -20 – 60 С, IP40. | Более производительная замена ASA 5512-X. | Более производительная замена 5512-X и 5515-Х. |
* Из-за ограничений в производительности ASA 5506 запуск сервисов FirePOWER или же FTD начиная с версии 6.3 на данной платформе невозможен.
Может ли ASA 5500-X использоваться как средство антивирусной защиты на периметре корпоративной сети?
Зависит от того, с каким типом вирусов хотим бороться. Если хотим бороться с вирусами типа «червь», то есть предотвращать распространение вирусного кода от инфицированной машины к незаражённым хостам, можно использовать ASA 5500-X с функционалом IPS. Система IPS также направлена на предотвращение других видов атак на корпоративную сеть, в том числе, на предотвращение DDOS атак.
Ранее МСЭ серии ASA5500-X предлагало два варианта IPS: традиционную систему Cisco IPS и Next Generation IPS (NG IPS), доступную в рамках функционала CX.
Начиная с августа 2014 года на межсетевых экранах ASA 5500-X стали доступны сервисы FirePOWER. Сервисы FirePOWER включают NG IPS от компании SourceFIRE, Application Visibility and Control (AVC), URL-фильтрацию и функционал Advanced Malware Protection (AMP). Функционал NG IPS от SourceFIRE является лучшим решением в области систем обнаружения и предотвращения вторжений на рынке ИБ по результатам рейтингового агентства Gartner, независимой лабораторией тестирования NSS Labs и других. Поэтому, на данный момент времени при необходимости запуска IPS на МСЭ Cisco ASA 5500-X, решение FirePOWER является предпочтительным. Более подробную информацию можно найти в вопросе «Как запустить сервисы FirePOWER на ASA 5500-X?».
IPS предполагает предотвращение вирусных атак типа «червь», то есть защищает от вирусов, проявляющих себя в сетевом взаимодействии, не даёт вирусному коду распространятся от зараженного устройства к другим компьютерам по корпоративной сети. Если же мы хотим бороться с проникновением вирусного кода на хосты за МСЭ из глобальной сети, например, в результате посещения вирусных сайтов, атак типа fishing, есть следующие варианты:
- Блокировка «подозрительных» URL посредством функционала Firepower. В рамках функциональности URL-фильтрации есть возможность блокировать доступ как по категориям сайтов, так и по значениям репутаций сайтов.
- Проверка файлов, пересылаемых через МСЭ ASA 5500-X на наличие вирусного кода, посредством функционала Firepower AMP. Более подробную информацию данному функционалу можно найти в вопросе «Что такое Advanced Malware Protection (AMP)?»
Для организации максимальной защиты корпоративной сети от внешних угроз средствами МСЭ Cisco ASA 5500-X рекомендуется использовать сервисы FirePOWER в максимальной возможной комплектации, а именно, NG IPS+URL-filtering+AMP.
В качестве альтернативного и более мощного решения для антивирусной защиты и зашиты от спама на периметре корпоративной сети рекомендуется ознакомиться с Web-шлюзом Cisco WSA (Web Security Appliance) и Email-шлюзом Cisco ESA (Email Security Appliance).
Какова схема лицензирования Cisco AnyConnect?
Схема лицензирования предусматривает четыре вида лицензий:
- Cisco AnyConnect Plus Subscription Licenses
- Cisco AnyConnect Plus Perpetual Licenses
- Cisco AnyConnect Apex Subscription Licenses
- Cisco AnyConnect VPN Only licenses
Тип лицензии определяется требуемой функциональностью решения при его внедрении.
Схема лицензирования удалённого доступа SSL VPN не привязана к устройствам VPN-концентраторам за исключением Cisco AnyConnect VPN Only. В качестве VPN-концентраторов могут выступать межсетевые экраны Cisco ASA, маршрутизаторы Cisco ISR G2 и Cisco ASR. Поддержка SSL VPN на маршрутизаторах сери ISR4K заявлена в будущих релизах операционных систем.
Лицензии вида Cisco AnyConnect VPN Only привязываются к конкретному серийному номеру устройства Cisco ASA.
Необходимо приобретать лицензии Cisco AnyConnect Plus/Apex на пользователей, а не на терминирующее VPN устройство. При приобретении лицензии Cisco AnyConnect Plus/Apex на определённое количество пользователей появляется возможность сгенерировать лицензионные ключи активации функционала удалённого доступа на неограниченное количество VPN-концентраторов.
Cisco AnyConnect Plus Subscription Licenses/Perpetual Licenses
Данный тип лицензий открывает возможность подключения удалённых сотрудников с помощью клиента Cisco AnyConnect. При этом, подключать можно как со стационарных, так и с мобильных устройств. Фактически AnyConnect Plus объединяет в себе функционал AnyConnect Essentials и AnyConnect Mobile.
Лицензия AnyConnect Plus может быть как в виде подписки на 1, 3 или 5 лет (AnyConnect Plus Subscription Licenses), так и в виде постоянной лицензии (AnyConnect Plus Perpetual Licenses). В последнем случае для обеспечения возможности скачивать новые версии клиента AnyConnect и обращаться в службу технической поддержки Cisco TAC требуется наличие сервисного контракта. Лицензии AnyConnect Plus необходимо заказывать на определённое количество пользователей. Под пользователем подразумевается реальный человек, который будет использовать сервис удалённого подключения. Минимальное количество пользователей – 25. Можно указать любое количество пользователей (26, 27, и 101 и т.д.).
Cisco AnyConnect Apex Subscription Licenses
Данный тип лицензий предоставляет все возможности, включённые в AnyConnect PLUS и открывает дополнительные возможности, а именно:
- подключение с помощью браузера (безклиентский доступ (Clientless Access)) к Cisco ASA;
- проверка устройств на соответствие политикам безопасности;
- криптография нового поколения (Suite B).
Данный тип лицензий подходит для замены SSL Premium, Advanced Endpoint Assessment, Premium Shared VPN Server & Premium Shared SSL VPN Participant.
Лицензия AnyConnect Apex может быть только в виде подписки на 1, 3 или 5 лет.
Лицензии AnyConnect Apex, также, как и AnyConnect Plus, необходимо заказывать на определённое количество пользователей.
Cisco AnyConnect VPN Only licenses
Данный тип лицензий открывает функциональность подключения по VPN:
- подключение по VPN с помощью клиента AnyConnect как для стационарных, так и для мобильных устройств;
- подключение с помощью браузера (безклиентский доступ (Clientless Access)) к Cisco ASA;
- проверка устройств на соответствие политикам безопасности, но только при подключении по VPN к Cisco ASA;
- криптография нового поколения (Suite B).
В отличие от AnyConnect Plus/Apex лицензий AnyConnect VPN-Only не предоставляет функциональность:
- Network Access Module (NAM) – сапликант 802.1Х;
- ISE Posture - проверка устройств на соответствие политикам безопасности в комплексе с решением Cisco ISE;
- Web Security Module – подключение к облаку ScanSafe для инспекции web-трафика.
Лицензии Cisco AnyConnect VPN-Only привязываются к конкретному устройству Cisco ASA по серийному номеру.
Лицензии Cisco AnyConnect VPN-Only в отличие от AnyConnect Plus/Apex приобретаются не на определённое количество пользователей, которые потенциально могут подключаться с помощью AnyConnect, а на количество одновременных сессий. Минимальное количество - 25 одновременных сессий, далее есть варианты 50, 100 и т.д.
Установка лицензионных ключей на сетевое оборудование
Как говорилось ранее, новая схема лицензирования удалённого доступа SSL VPN не привязана к устройствам VPN-концентраторам, кроме лицензий AnyConnect VPN-Only. Однако, для того, чтобы открыть функционал SSL-VPN шлюза на устройстве, в частности, на Cisco ASA, необходимо ввести лицензионный ключ.
При покупке лицензий AnyConnect Plus/Apex пользователю высылается так называемый multi-use Product Activation Key (PAK), т.е. PAK, который можно использовать много раз. С помощью данного PAK и сайта пользователь может сгенерировать лицензионные ключи на неограниченное количество устройств.
При покупке лицензий AnyConnect VPN-Only пользователю высылается Product Activation Key (PAK), который необходимо привязать к серийному номеру Cisco ASA на сайте.
Более подробную информацию по новой схеме лицензирования SSL VPN можно найти на сайте.
Каковы основные отличия Next Generation Firewall и Web-шлюза Cisco WSA (Web Security Appliance)?
В первую очередь отличие в области применения. NGFW - прежде всего межсетевой экран. Данное устройство можно использовать на периметре корпоративной сети, с помощью этого устройства можно организовать подключение к Интернет-провайдерам. Для многих компаний функционал и производительность современного NGFW позволяет обходиться без выделенного Web-шлюза.
Область применения Cisco WSA (Web Security Appliance) – корпоративный высокопроизводительный прокси сервер. Данное устройство не может быть использовано для подключения к Интернет-провайдерам, поэтому, должно использоваться только совместно с межсетевых экраном, в роли которого может выступать Cisco FPR, но без подписок на продвинутые сервисы (IPS, URL, AMP).
С точки зрения функционала выделим следующие основные отличия между WSA и NGWF:
- WSA является прокси-сервером и может кэшировать web-страницы, NGFW – не может.
- WSA умеет осуществлять антивирусные проверки (реактивная антивирусная защита) посредством IronPort Dynamic Vectoring and Streaming engine (DVS). Данный механизм использует платформы и сигнатуры антивирусов Sophos, McAfee и WebRoot для сканирования трафика на предмет наличия вредоносного кода. NGFW не может осуществлять активные антивирусные проверки.
- WSA предоставляет возможность защиты от утечки проприетарной информации. WSA имеет встроенные средства проверки исходящего трафика на наличие корпоративных данных (размер выгружаемого файла, MIME-тип файла, имя файла или шаблон имён файлов). Кроме того, WSA может быть интегрирована с DLP-системами (Data Loss Prevention) сторонних производителей. NGFW не предоставляет таковой возможности.
- WSA предоставляет сервис Layer-4 Traffic Monitor (L4TM). Данный сервис позволяет:
- просматривать TCP/UDP трафик на всех портах;
- блокировать сессии с известными сайтами, содержащими вредоносный код;
- блокировать попытки вирусного кода обойти порт 80 (а, следовательно, обойти корпоративный проки-серврер);
- блокировать попытки заражённых устройств устанавливать сессии управления с внешними компонентами Bot-сетей (блокировка malware phoning home activity);
- WSA предлагает более гибкие возможности по фильтрации скачиваемых или выгружаемых файлов (процесс upload/download).
Как устройства IronPort обеспечивают высокую доступность?
Cisco WSA
Cisco WSA не объединяются в кластер. Однако, для обеспечения высокой доступности сервисов устройства могут объединяться в отказоустойчивые группы. Для этого используется протокол CARP - Common Address Redundancy Protocol. Данный протокол обеспечивает единый IP-адрес для сервисов, предоставляемых устройствами Cisco WSA, входящими в отказоустойчивую группу. Благодаря этому отказ устройства Cisco WSA в отказоустойчивой группе проходит прозрачно для клиентов.
Для создания отказоустойчивой группы не требуется дополнительного программного, аппаратного обеспечения или приобретение дополнительных лицензий.
В отказоустойчивую группу можно объединять виртуальные и физические устройства Cisco WSA. Конфигурации устройств в отказоустойчивой группе не реплицируются автоматически. Целостность конфигураций необходимо обеспечивать вручную.
Cisco ESA
Cisco ESA могут быть объединены в кластер. Но для Cisco ESA кластер не является средством обеспечения высокой доступности. Устройства Cisco ESA не обладают средствами мониторинга состояний «соседа».
Кластер для Cisco ESA является средством централизованного конфигурирования нескольких устройств. Кластер – это набор устройств Cisco ESA с общей конфигурацией. В пределах кластера устройства разделяются на группы. В кластере всегда существует как минимум одна группа. Каждое устройство может принадлежать только единственной группе. Соответственно, конфигурация устройств может быть разделена и детализирована на трёх уровнях: на уровне кластера, группы и конкретного устройства Cisco ESA.
Для создания кластера не требуется дополнительного программного, аппаратного обеспечения или приобретение дополнительных лицензий.
В кластер можно объединять виртуальные и физические устройства Cisco ESA. При этом нужно не забыть тонкость с настройкой антиспам и антивирус обновлений.
Обеспечение отказоустойчивости для входящих Email может быть достигнуто путём создания нескольких A-записей с разными приоритетами в MX-записи компании, указывающие на разные устройства Cisco ESA.