Лицензирование Cisco ASA 5500
- 26.05.2017
- 21609
Автор
Борис Усков, CCNP
Системный инженер
На смену решению Cisco ASA пришли устройства Cisco Firepower. Более подробно о решениях Firepower можно почитать у нас в FAQ или посетить Демо-стенд.
Оглавление:
- Platform License
- Botnet Traffic Filter Licenses
- Unified Communications Licenses
- FirePOWER Services
- IPS SSP License
- CX Subscriptions and ScanSafe
- Content Security Feature Licenses
- Security Context Feature Licenses
- GTP Feature License
- VPN Licenses:
- Лицензирование и High Availability
- Лицензии с ограничением по времени (Time-Based Licenses)
Читайте также:
1. Cisco ASA 5500 Series Platform License
В данную группу лицензий входят позиции для моделей ASA5505, ASA5506, ASA5510, ASA5512-X и ASA5585-X. Модель ASA5505 является единственной моделью, для которой существуют ограничения на количество пользователей за МСЭ. Под пользователем подразумевается пользовательское устройство, трафик которого пропускается через ASA. Существуют модели ASA5505 с лицензией до 10 пользователей (ASA5505-SW-10), до 50 (ASA5505-SW-50), а также без ограничений на количество пользователей (ASA5505-SW-UL).
Для моделей ASA5505, ASA5506, ASA5510 и ASA5585 существуют лицензии Security Plus, которые расширяют функционал. Для ASA5505 лицензия Security Plus (ASA5505-SEC-PL):
- увеличивает максимальное число VPN сессий с 10 до 50;
- увеличивает максимальное число соединений через МСЭ с 10,000 до 25,000;
- увеличивает число поддерживаемых Vlan с 3 до 20 и включает возможность тегирования пактов (802.1q);
- включает возможность создания отказоустойчивых конфигураций (Stateless Active/Standby Failover).
Для ASA5506 лицензия Security Plus (L- ASA5506-SEC-PL):
- увеличивает максимальное число соединений через МСЭ с 20,000 до 50,000;
- увеличивает число поддерживаемых Vlan с 5 до 30;
- включает возможность создания отказоустойчивых конфигураций (Stateless Active/Standby Failover);
- увеличивает максимальное число любых VPN с 10 до 50;
- увеличивает максимальное число AnyConnect Premium Peers c 2 до 10;
- включает функционал GTP/GPRS (не требуется дополнительная лицензия);
- включает функционал Botnet Traffic Filter (не требуется дополнительная лицензия).
Для ASA5510 лицензия Security Plus (L-ASA5510-SEC-PL):
- увеличивает максимальное число соединений через МСЭ с 50,000 до 130,000;
- включает возможность использования 2-х портов на скорости 10/100/1000 Мбит/с (остальные порты 10/100 Мбит/с);
- увеличивает число поддерживаемых Vlan с 50 до 100;
- включает возможность использования нескольких контекстов безопасности (Contexts). По умолчанию – 2 контекста, при покупке Security Context Feature Licenses – до 5ти;
- включает возможность Active/Active и Active/Standby Failover;
- включает возможность VPN Clustering и Load Balancing.
Для ASA5512-X лицензия Security Plus (ASA5512-SEC-PL):
- увеличивает максимальное число соединений через МСЭ с 100,000 до 250,000;
- увеличивает число поддерживаемых Vlan с 50 до 100;
- включает возможность использования нескольких контекстов безопасности (Contexts). По умолчанию – 2 контекста, при покупке Security Context Feature Licenses – до 5ти;
- включает возможность Active/Active и Active/Standby Failover;
- включает возможность VPN Clustering и Load Balancing.
Для ASA5585-X лицензия Security Plus (ASA5585-SEC-PL) включает возможность использования 10GB SFP+ слотов.
С линейкой современных решений по безопасности Cisco FTD, которые пришли на смену Cisco ASA, Вы можете ознакомиться в нашем каталоге.
2. Cisco ASA 5500 Series Botnet Traffic Filter Licenses
Данная лицензия активирует сервис Botnet Traffic Filter, ориентированный на выявление бот сетей и предотвращение связанных с ними атак. Данный функционал позволяет выявлять среди внутренних ПК, те компьютеры, которые стали частью бот сети. Принцип работы сервиса опирается на инспекцию сессий с целью сравнения адресов и доменных имён с текущей динамической базой данных, хранящей информацию об известных бот сетях. В случае если внутренний ПК обращается к известной бот сети, ASA оповещает об этом системного администратора, а также блокирует такое подключение. Лицензия существует для каждой модели ASA кроме новой модели 5506. Для ASA5506 функционал Botnet Traffic Filter активируется лицензией Security Plus. Например, для ASA 5510 требуется ASA5510-BOT-1YR. Лицензия с ограничением времени (time-based) на 1 год.
Для активации функций данной лицензии необходимо наличие на ASA лицензии, разрешающей использование стойких криптографических алгоритмов 3DES/AES.
В современном решении по безопасности Cisco FTD защита от бот сетей реализуется средствами Security Intelligence и NG IPS. Как это работает, мы рассказываем на нашем демо-стенде.
3. Cisco ASA 5550 Series Unified Communications Licenses
Данная лицензия предоставляет возможность использования следующего функционала:
- Phone proxy;
- TLS proxy;
- Presence federation proxy.
Функция Phone proxy позволяет терминировать на ASA SRTP/TLS сессии. Данная технология предоставляет возможность IP-телефонам создавать SRTP/TLS-туннели между пользовательским телефонным аппаратом в удалённой локации и межсетевым экраном ASA, установленном в офисе компании. Технология Phone Proxy позволяет устанавливать безопасные соединения непосредственно между IP-телефоном и ASA, тем самым снимая нагрузку, связанную с шифрованием, с самой IP АТС. Также данный функционал позволяет использовать защищённые соединения между телефоном и ASA в случае, если IP АТС не поддерживает функций шифрования вообще.
Функция Phone Proxy работает совместно с IP АТС Cisco UCM. Cisco UCM может быть настроен в режиме mixed mode или nonsecure mode. Вне зависимости от режима CUCM, удалённые телефоны, поддерживающие шифрования, могут быть установлены в режим шифрования (encrypted mode). Сессии TLS (сигнализация) и SRTP (передача медиа-данных) при этом терминируются на ASA. МСЭ выполняет инспекцию сигнальных протоколов SCCP или SIP, выполняет функцию NAT для пакетов. Если CUCM работает в nonsecure mode, ASA выполняет следующие функции: конвертирует TLS в TCP, конвертирует SRTP в RTP.
Если CUCM работает в mixed mode, и телефоны внутренней инфраструктуры настроены как аутентифицируемые, ASA не конвертирует TLS в TCP, но конвертирует SRTP в RTP. Если CUCM работает в mixed mode, и телефоны внутренней инфраструктуры настроены на шифрование генерируемого трафика, TLS соединения остаются TLS, SRTP соединения остаются SRTP. TLS proxy. При использовании шифрования end-to-end, когда создаются безопасные соединения непосредственно между CUCM и IP-phone, МСЭ не может проследить медиа- и сигнальный трафик, что приводит к частичному невыполнению функций безопасности брандмауэром. Функция TLS proxy позволяет настроить МСЭ таким образом, чтобы осуществлялся перехват и дешифрация сигнального трафика с целью его инспекции. После осуществления инспекции сигнальный трафик снова шифруется и отправляется на CUCM.
Presence federation proxy. Осуществляет функции TLS proxy для сессий между Сisco Unified Presence servers и Cisco/Microsoft Presence servers. Данные сервера предназначены для сбора и предоставления информации о текущих статусах пользователей («доступен», «нет на месте» и т.д.). Использование ASA в качестве Secure Presence Federation Proxy позволяет осуществлять инспекцию трафика между соответствующими Presence-серверами и применять правила политики безопасности для SIP-сессий между ними.
Лицензии не зависят от модели ASA и различаются по количеству одновременных сессий (от 24 до 10000). Следует учитывать, что для каждой модели ASA существует ограничение по возможным одновременным TLS-сессиям. Примерами лицензий являются: ASA-UC-24, ASA-UC-50, ASA-UC-100 и т. д. Intercompany Media Engine. Существуют также лицензии типа IME (Intercompany Media Engine), являющиеся опцией для UC лицензий и позволяющие организовывать безопасную связь между компаниями или филиалами организации, использующими Cisco UCM. Реализация данной технологии подразумевает использование трёх основных компонентом – CUCM, CU-IME сервер и МСЭ ASA. Данная технология позволяет динамически открывать доступ на МСЭ для совершения звонков между двумя IP АТС через публичную сеть Интернет в случае, если предварительно данный звонок осуществлялся через ТфОП (PSTN).
Для реализации технологии IME, ASA должна выполнять две функции:
- Проверка ticket;
- Fallback to PSTN.
Проверка ticket. Технология IME использует механизм «tickets and passwords» для защиты от несанкционированных звонков. Чтобы разрешить звонки через Интернет от незнакомой компании, сначала должен быть успешно осуществлён и зарегистрирован на IME Server звонок от этой же компании, но через PSTN. При успешной регистрации IME Server создаёт описание компании – ticket, - разрешающее осуществлять звонки уже через Интернет. Ticket формируется на IME Server и передаётся на ASA. Исходя из информации в ticket ASA разрешает, либо запрещает те или иные звонки через Интернет. IME Server и ASA разделяют общий password для того, чтобы ASA получала tickets только от доверенного IME Server.
Fallback to PSTN. Технология IME осуществляет переключение звонков из Интернет обратно на PSTN в зависимости от качества обслуживания. Для реализации данной функции МСЭ ASA должен осуществлять мониторинг RTP трафика и отправлять информацию о QoS на IME Server для принятия решения о переводе звонка на PSTN. Лицензии IME существуют для каждой модели ASA и бывают типа K8 и К9. Для лицензий типа K8 нет ограничений на правила ввоза, но количество одновременных TLS-сессий ограничивается 1000. Примерами лицензий являются: ASA5505-ME-K8, ASA5505-ME-K9, ASA5510-ME-K8, ASA5510-ME-K9 и т. д.
4. Cisco ASA 5500 FirePOWER Services
Начиная с августа 2014 года сервисы SourceFire стали доступны на межсетевых экранах ASA 5500-X в виде виртуального блейда. В сентябре 2014 года согласно отчёту рейтингового агентства NSS Labs межсетевой экран Cisco ASA с сервисами FirePOWER стал лучшим межсетевым экраном нового поколения (NGFW), среди всех протестированных решений (Palo Alto, Check Point, McAfee, Fortinet и др.).
Для того, чтобы запустить сервисы FirePOWER на Cisco ASA 5500-X необходимо выполнение следующих условий:
- Наличие SSD-диска на Cisco ASA. Если в наличие уже имеется Cisco ASA, SSD-диск можно заказать отдельным партномером ASA5500X-SSD120=. Если речь идёт о новой закупке, выгоднее приобрести бандл, включающий SSD диск, например, ASA5512-SSD120-K9. Рекомендуется приобретать именно такой бандл, даже если в ближайшем времени нет планов использовать сервисы FirePOWER. Модели ASA5506, 5508 и 5516 оснащены SSD-диском по умолчанию.
- Версия программного обеспечения ASA начиная с версии 9.2.2.
- Наличие SmartNet для соответствующей модели, покрывающего сервисы FirePOWER. Например: CON-SNT-A12FPK9.
- Наличие позиции Control License (Protect/Control/AVC). Данная позиция является бесплатной, однако должна быть включена в спецификацию. Пример партномера: ASA5512-CTRL-LIC.
-
Лицензия-подписка на сервисы FirePOWER. Лицензии-подписки доступны в следующих пяти комбинациях:
Где IPS – система предотвращения вторжений;
URL - URL-фильтрация по репутации и категориям сайтов;
AMP – борьба с вредоносным кодом и угрозами нулевого дня.Пример партномера подписки: L-ASA5512-TAMC=
На данный момент подписки доступны на 1 или на 3 года. Стоимость трёхгодичной подписки на треть меньше по сравнению с покупкой трёх годичных подписок. При использовании резервных устройств на них должны приобретаться те же подписки, что и на основное. Конфигурация также должна быть абсолютно идентична основному устройству.
Для моделей ASA5506, 5508 и 5516 существуют также подписки на 5 лет.
- Системы управления сервисами FirePOWER. На данный момент для управления сервисами FirePOWER необходимо заказать систему управления Defense Center. Самый доступный вариант – в виде виртуальной машины. Виртуальная машина может быть скачана бесплатно с сайта cisco.com, однако, для её активации необходимо наличие лицензии:
- FS-VMW-2-SW-K9 на 2 устройства ASA with FirePOWER services
- FS-VMW-10-SW-K9 на 10 устройств ASA with FirePOWER services
- FS-VMW-SW-K9 на 25 устройств FirePOWER или ASA with FirePOWER services
Для моделей ASA5506, 5508 и 5516 заказ системы управления Defence Center является опциональным. Для моделей настройка сервисов FirePOWER может быть осуществлена посредством ASDM. Отдельный Defence Center необходим при некоторых требованиях, в частности, для построении отчётов.
В настоящий момент существуют бандлы для ASA55XX-FPWR-BUN для соответствующих моделей Cisco ASA. Бандл включает все вышеперечисленные условия.
Кроме того, на данный момент в состав бандла входят только ASA 5500-X K9 (кроме 5506, 5508 и 5516), то есть, содержащие в ПО алгоритмы 3DES/AES. Для упрощения процедуры ввоза устройств на территорию РФ, рекомендуется заказывать ASA 5500-X K8 с включённым SSD диском (например, ASA5512-SSD120-K8), и дозаказывать необходимые компоненты отдельно. Стоимость такого заказа не увеличивается относительно стоимости бандла.
Для моделей ASA5506, 5508 и 5516 бандл ASA55XX-FPWR-BUN включает в себя как модели K8, так и модели K9 (на выбор).
Напоминаем, что на смену Cisco ASA пришли новые высокопроизводительные устройства Cisco FTD.
5. Cisco ASA 5500 IPS SSP License
Для данного типа лицензий на настоящий момент времени (2015 год) объявлены даты окончания продаж (End-Of-Sale). При необходимости запуска функционала IPS на Cisco ASA рекомендуется использовать соответствующую лицензию на сервис FirePOWER (см. пункт 4 «Cisco ASA 5500 FirePOWER Services»).
Информация ниже приводится для исторической справки.
IPS – Intrusion Prevention System – система предотвращения вторжений. Для предыдущих моделей ASA 5505 – 5550 для получения функционала необходимо было установить соответствующий аппаратный модуль (AIP SSC-5, AIP SSM-10, AIP SSM-20, AIP SSM-40). Для новой линейки моделей ASA5500-X сервис IPS реализован программными средствами, не требует установки дополнительного аппаратного модуля.
Для того чтобы получить функционал IPS на линейке МСЭ ASA 5500-X можно приобрести соответствующий бандл (ASA5512-IPS-K8, ASA5512-IPS-K9, ASA5525-IPS-K8, ASA5525-IPS-K9 и т.д.) или установить соответствующую лицензию на ASA:
- L-ASA5512-IPS-SSP
- L-ASA5515-IPS-SSP
- L-ASA5525-IPS-SSP
- L-ASA5545-IPS-SSP
- L-ASA5555-IPS-SSP
Для работы системы IPS необходима подписка на обновления сигнатур устройств. Обновление сигнатур системы IPS осуществляется за счёт приобретения подписки на сервисную поддержку SmartNet.
Для линейки МСЭ ASA 5500-X с функционалом CX (Next Generation Firewall) может быть включена функция Next Generation IPS (NG IPS). Для этого должна быть приобретена дополнительная подписка, например ASA5512-IP3Y= (подписка на NG IPS на 3 года для ASA5512). Кроме того, подписка на NG IPS входит в бандлы подписок CX. Примеры партномеров:
- ASA5512-AWI3Y - ASA 5512-X with Cisco AVC, WSE, and IPS, 3-year;
- ASA5515-AWI3Y - ASA 5515-X AVC, WSE, and IPS, 3-year.
6. Cisco ASA 5500-X Series CX Subscriptions and ScanSafe
Для МСЭ ASA серии 5500-X, то есть нового поколения, функционал глубокой инспекции трафика на уровне приложений, а также функционал обеспечения Web-безопасности реализован частично посредством облачной технологии Scan Safe – защита от вирусов и шпионского ПО (SpyWare), частично посредством ASA CX или ASA+FirePOWER – фильтрация и блокировка URL, репутационная фильтрация, распознание приложений. Как ASA CX, так и сервисы FirePOWER являются виртуальным блейдом в межсетевых экранах ASA серии 5500-Х. На настоящий момент времени (2015 год) на лицензии ASA CX объявлены даты окончания продаж (End-Of-Sale). Рекомендуется использовать сервисы FirePOWER.
На ASA Серии 5500, то есть ASA предыдущего поколения, функционал контентной безопасности – Content Security – реализуется путём перенаправления трафика на модули CSC-SSM-10 или CSC-SSM-20. Лицензирование данного функционала описано в пункте 7 «Cisco ASA 5500 Series Content Security Feature Licenses».
ASA CX
Для данного типа лицензий на настоящий момент времени (2015 год) объявлены даты окончания продаж (End-Of-Sale). При необходимости запуска функционала IPS на Cisco ASA рекомендуется использовать соответствующую лицензию на сервис FirePOWER (см. пункт 4 «Cisco ASA 5500 FirePOWER Services»).
Информация данного раздела «ASA CX» приводится для исторической справки.
Для активации функционала ASA CX на ASA серии 5500-Х необходимо выполнение следующих условий:
- Наличие карты памяти ASA5500X-SSD120= (флэш память);
- Наличие подписки CX.
Подписка СХ дифференцируется по моделям ASA, может быть трёх видов:
- Application Visibility and Control (AVC) – распознание приложений (чтобы блокировать Bittorrent, Skype). Например ASA5515-AP1Y.
- Web Security Essentials – фильтрация и блокировка URL, репутационная фильтрация (по данным облачной базы SenderBase). Например ASA5515-WS1Y.
- AVC and Web Security Essentials – оба функционала вместе. Например ASA5515-AW1Y.
Подписка может быть на год, три года и пять лет.
Есть возможность приобрести бандл с установленным SSD для CX и предустановленной выбранной лицензией (подпиской), например ASA5515-SSD120-K9. Есть возможность «превратить» обычную ASA серии 5500-Х в ASA CX, путём замены имеющегося SSD на ASA5500X-SSD120= и установки соответствующей подписки.
Для реализации функционала CX не обязательна активация 3DES/AES. То есть, подходят ASA K8. Функционал CX не совместим с функционалом IPS. К функционалу CX может быть добавлен функционал Next Generation IPS (NG IPS). Для этого должна быть приобретена дополнительная подписка, например ASA5512-IP3Y= (подписка на NG IPS на 3 года для ASA5512). Кроме того, подписка на NG IPS входит в бандлы подписок CX. Примеры партномеров:
- ASA5512-AWI3Y - ASA 5512-X with Cisco AVC, WSE, and IPS, 3-year;
- ASA5515-AWI3Y - ASA 5515-X AVC, WSE, and IPS, 3-year.
ScanSafe
Для реализации защиты внутренней инфраструктуры корпораций от вирусов, шпионского ПО (SpyWare) для ASA5500-X необходимо настроить перенаправление трафика, подлежащего детальной инспекции в облако ScanSafe. Для активации данного функционала не требуется установки дополнительной лицензии на ASA. Единственным условием для ASA является активация 3DES/AES.
Необходима лицензия на стороне Cloud Web Security – лицензия ScanSafe. Лицензия даёт возможность получить от ScanSafe ключи аутентификации, которые необходимо будет активировать на ASA для регистрации в облаке ScanSafe.
Лицензии ScanSafe бывают трёх видов по функционалу:
- управление Web;
- безопасность Web;
- комбинированный функционал.
Каждый вид лицензии дифференцируется по количеству пользователей и по сроку действия. Возможны лицензии на год, три года и пять лет. На данный момент, ScanSafe не включён в GPL.
7. Cisco ASA 5500 Series Content Security Feature Licenses
Информация данного раздела касается исключительно моделей ASA прошлого поколения, на которые объявлен EOS. Информация данного раздела приводится для исторической справки. Актуальные функции фильтрации контента доступны на решении Cisco FTD. Как это работает в решении Cisco FTD, мы рассказываем на нашем демо-стенде.
Функционал Content Security для МСЭ ASA серии 5500, то есть ASA прошлого поколения, реализуется путём установки модуля CSC-SSM-10 или CSC-SSM-20. Сервисные модули обеспечивают функции детальной инспекции проходящего через МСЭ трафика для защиты внутренней инфраструктуры корпораций от вирусов, шпионского ПО (SpyWare), а также, для реализации функций фильтрации и блокировки URL в соответствие с политиками безопасности компании, функций антиспама, антифишинга и фильтрации контента.
Для ASA серии 5500 с установленным модулем CSC-SSM-10 или CSC-SSM-20 необходимы лицензии Contex Security. Данные лицензии бывают трёх типов:
- Базовые лицензии (Base licenses) – поставляются вместе с сервисным модулем CSC или с бандлом, включающим данный модуль (например, бандлы ASA5510-CSC10-K9, ASA5510-CSC20-K9 и т.д.). Обеспечивают функции антивирусной защиты и защиты от шпионского ПО (SpyWare). Модуль CSC-SSM-10 включает базовую лицензию для 50ти пользователей, модуль CSC-SSM-20 – для 500 пользователей.
- Опциональные лицензии (Plus licenses) – данные лицензии (L-ASA-CSC10-PLUS и L-ASA-CSC20-PLUS) добавляют функционал фильтрации и блокировки URL, фильтрации контента, антиспама и антифишинга.
- Пользовательские лицензии (User licenses) – расширяют функционал базовой лицензии или опциональной лицензии на определённое количество пользователей. Следует отметить, если уже установлена базовая или опциональная лицензия на 50 пользователей, пользовательская лицензия на 250 пользователей (например, L-ASACSC10-USR250) НЕ суммируется с предыдущей базовой. На выходе получаем функционал именно на 250 пользователей.
Cisco рекомендует для наиболее эффективной работы сервисного модуля CSC-SSM наличие двух сервисов: сервис обновления ПО (Software update service) и Cisco SMARTnet®. При покупке описанных лицензий сервис обновления ПО (Software update service) включён в стоимость лицензии и работает в течение одного года с момента активации лицензии. Сервис SMARTnet не включён в стоимость лицензии и может быть приобретён дополнительно. Следует отметить, что для работы модуля CSC-SSM наличие SmartNet (в отличие от Software update service) не является необходимым условием.
Для продления работоспособности лицензии существуют варианты обновлений на 1 и на 2 года для любых комбинаций базовых, опциональных и пользовательских лицензий.
8. Cisco ASA 5500 Series Security Context Feature Licenses
Устройство ASA может быть разделено по функционалу на несколько виртуальных устройств, называемых контекстами безопасности (Contexts). Каждый контекст представляется независимым МСЭ, реализующим собственные сервисы политики безопасности.
ASA 5505 и 5506 не поддерживают контексты безопасности. Для остальных моделей в базовой комплектации (Base License или Security Plus License для ASA5510 и ASA5512-X) предусмотрено 2 контекста безопасности. При необходимости можно купить лицензию, увеличивающую количество возможных контекстов. Примерами лицензий являются: ASA5500-SC-5, ASA5500-SC-10, ASA5500-SC-20 и т. д. При этом следует обратить внимание на максимально возможное количество контекстов для конкретной модели:
- ASA 5510, ASA5508-X, ASA 5512-X, ASA 5515-X, ASA5516-X – 5 контекстов;
- ASA 5520, ASA 5525-X – 20 контекстов;
- ASA 5540, ASA 5545-X – 50 контекстов;
- ASA 5550, ASA 5555-X – 100 контекстов;
- ASA 5550, ASA 5555-X, ASA 5585-X SSP-10 – 100 контекстов;
- ASA 5580, ASA 5585-X SSP-20/-40/-60 – 250 контекстов;
На решениях Cisco FTD контексты безопасности поддерживаются на устройствах FPR 2100 и старше.
9. Cisco ASA 5500 Series GTP Feature License
Если через МСЭ необходимо пропускать GPRS-трафик, необходимо настроить соответствующую инспекцию. Для того чтобы команды настройки GTP были доступны, необходимо наличие лицензии ASA5500-GTP (одинаковая для всех моделей, кроме ASA5506. Для ASA5506 функционал открывается лицензией Security Plus для версии ios 9.3, для версии ios 9.4 данный функционал может быть не доступен).
10. Cisco ASA 5500 Series VPN Licenses
МСЭ поддерживает следующие VPN:
- SSL VPN;
- Clientless SSL VPN;
- IPSec remote access VPN using IKEv1/IKEv2;
- IPsec site-to-site VPN using IKEv1/IKEv2.
Следующие три типа VPN включены в базовую лицензию (Base License или Security Plus License) для соответствующих моделей:
- IPSec remote access VPN using IKEv1
- IPsec site-to-site VPN using IKEv1/IKEv2
Для IPSec remote access VPN using IKEv2 необходимо наличие лицензии либо AnyConnect Premium, либо AnyConnect Essentials (устаревшие лицензии, объявлен End-Of-Sale), либо AnyConnect Plus или Apex.
Количество IPSec сессий для каждой модели можно уточнить в configuration guide, в разделе Licensing for IPsec VPNs.
В конце 2014 года компания Cisco Systems полностью поменяла схему лицензирования функционала удалённого доступа (remote access). На данный момент времени (2015 год) на все лицензии типа SSL VPN объявлены даты окончания продаж (End-Of-Sale). К таковым лицензиям относятся:
- SSL Premium User Licenses
- Advanced Endpoint Assessment Licenses
- AnyConnect Essentials VPN Licenses
- AnyConnect Mobile VPN Licenses
- Premium Shared VPN Server Licenses & Premium Shared SSL VPN Participant Licenses
- FIPS Compliant VPN Licenses
- VPN Phone Licenses
Новая схема лицензирования предусматривает три вида лицензий:
- Cisco AnyConnect Plus Subscription Licenses
- Cisco AnyConnect Plus Perpetual Licenses
- Cisco AnyConnect Apex Subscription Licenses
Кроме того, существуют специальные партномера лицензий, обеспечивающих миграцию старых видов лицензий на новые. Новая схема лицензирования удалённого доступа SSL VPN не привязана к устройствам Cisco ASA. Необходимо приобретать лицензии на пользователей, а не на терминирующее VPN устройство. Поэтому, новая схема лицензирования SSL VPN - Cisco AnyConnect – рассматривается в отдельном вопросе, с которым можно ознакомиться по ссылке.
В связи с изменением схемы лицензирования функционала удалённого доступа (remote access) вся информация ниже приводится для исторической справки. При необходимости запуска функционала удалённого доступа рекомендуется приобретать лицензии Cisco AnyConnect Plus/Apex в соответствии с новой схемой лицензирования.
10.1. Cisco ASA 5500 Series SSL VPN Licenses
В данную группу лицензий входят SSL Premium User Licenses и Advanced Endpoint Assessment Licenses.
SSL Premium User Licenses
SSL VPN может быть двух типов: Essential и Premium. Лицензии типа Essential сравнительно недорогие и необходимы для организации удалённых подключений с помощью клиента AnyConnect VPN Client. Данные лицензии активизируют возможность организации VPN каналов для удалённых подключений, при этом число конкурентных VPN соединений ограничивается только возможностями конкретной модели ASA (например, 250 сессий для ASA5510).
Основное преимущество использования SSL AnyConnect VPN, по сравнению с IPSec remote-access в том, что соответствующее клиентское программное обеспечение Cisco AnyConnect VPN Client может быть скачано и автоматически установлено непосредственно с VPN-концентратора (VPN-gateway), в качестве которого как раз может выступать МСЭ ASA. Также для работы SSL AnyConnect VPN используются протокол TCP порт 443.
Лицензии типа Premium стоят значительно дороже. Основное отличие от Essential – лицензии данного типа позволяют устанавливать clientless SSL VPN, то есть VPN туннели для удалённого подключения без использования специального программного обеспечения – клиента. Туннель в данном случае устанавливается просто с помощью браузера. При этом доступ к ресурсам сети по такому туннелю ограничен. Доступ может быть настроен к web-ресурсам, file-sharing и web-based email).
Clientless VPN может быть расширен режимом Thin-Client (тонкий клиент), называемый также TCP Port Forwarding (проброс портов TCP). Данный режим позволяет использовать приложения, требующие клиент-серверные соединения к известным портам. В режиме Thin-Client загружается и устанавливается небольшой Java-аплет на пользовательский компьютер, который выполняет функции TCP-proxy. Приложения, поддерживающиеся в режиме Thin Client, в основном e-mail-based (SMTP, POP3, and Internet Map Access Protocol version 4 [IMAP4]). Кроме того, при установке соответствующих plug-ins для браузера активизируется возможность использования таких TCP-приложений, как Citrix Client (rca), Terminal Servers (rdp), Terminal Servers Vista (rdp2), ssh, telnet, VNC Client. Многие plug-ins могут быть загружены на удалённое устройство непосредственно с МСЭ ASA. Альтернативой использования plug-ins является технология SSL VPN Smart Tunnels, являющаяся дополнительной настраиваемой опцией для режима Thin-Client. Данная технология показывает более высокую производительность по сравнению с использованием plug-ins и не требует наличия прав администратора.
Лицензии Premium не дифференцируются по моделям ASA и различаются только по количеству пользователей: L-ASA-SSL-10, L-ASA-SSL-25, L-ASA-SSL-50 и т. д.
Некоторые дополнительные функции и надстроечные лицензии доступны к использованию только при установленной лицензии Premium. К ним относятся:
- AnyConnect for Cisco VPN Phone;
- AnyConnect Premium Shared;
- Cisco Secure Desktop;
- Advanced Endpoint Assessment.
AnyConnect for Cisco VPN Phone описываются в пункте 10.6, AnyConnect Premium Shared – 10.4. Cisco Secure Desktop – технология, осуществляющая определённые проверки компьютеров, с которых производятся попытки установки удалённого подключения по SSL VPN. ASA загружает специальное сканирующее ПО HostScan на удалённый хост с целью сбора такой информации об устройстве, как:
- используемая ОС;
- наличие или отсутствие определённых файлов;
- для ОС Windows – наличие или отсутствие определённых ключей в системном реестре;
- наличие определённых цифровых сертификатов;
- проверка принадлежности IP-адреса хоста к определённому диапазону.
На основании проведённых проверок принимается решение, разрешать ли сканируемому хосту удалённое подключение.
Advanced Endpoint Assessment Licenses
Данные лицензии используются для расширения функций технологии Cisco Secure Desktop. Позволяют организовать обновления посредством HostScan антивирусного ПО, программного брандмауэра или систем защиты от шпионского ПО (SpyWare) на удалённом устройстве. Лицензии ASA-ADV-END-SEC одинаковые для всех моделей ASA.
10.2. AnyConnect Essentials VPN Licenses
Данные лицензии описаны в пункте 10.1. Дифференцируются только по модели ASA: ASA-AC-E-5505, ASA-AC-E-5510, ASA-AC-E-5520 и т. д.
10.3. AnyConnect Mobile VPN Licenses
Данные лицензии являются надстройкой над SSL Premium User Licenses, а также AnyConnect Essentials VPN Licenses. Разрешают удалённые подключения, используя клиент AnyConnect для мобильных устройств с ОС Windows, Android, iOS. Дифференцируются только по модели ASA: ASA-AC-M-5505, ASA-AC-M-5510, ASA-AC-M-5520 и т. д.
10.4. Premium Shared VPN Server Licenses & Premium Shared SSL VPN Participant Licenses
Разделяемые (shared) лицензии позволяют заказывать большое количество сессий AnyConnect Premium и распределять эти сессии среди группы МСЭ ASA по мере необходимости. При этом один (или несколько, для обеспечения отказоустойчивости) МСЭ ASA используется в качестве сервера лицензий, остальные МСЭ ASA являются лицензируемыми участниками.
Лицензии Premium Shared VPN Server Licenses дифференцируются по количеству SSL VPN сессий: ASA-VPNS-500, ASA-VPNS-1000, ASA-VPNS-2500 и т. д.
Лицензии Premium Shared SSL VPN Participant Licenses дифференцируются по модели ASA: ASA-VPNP-5510, ASA-VPNP-5520, ASA-VPNP-5540 и т. д.
10.5. FIPS Compliant VPN Licenses
FIPS - Federal Information Processing Standard. Стандарт FIPS 140-2 является государственным стандартом США для определённых требований к криптографическим модулям. Если фирме необходимо соответствие этому стандарту используется определённый релиз VPN client (IPsec). Для возможности установки удалённого подключения к ASA с помощью данного клиента, на МСЭ необходимо активизировать соответствующую лицензию. Лицензии дифференцируются по модели ASA: ASA-FPS-CL-5505, ASA-FPS-CL-5510, ASA-FPS-CL-5520 и т.д.
10.6. VPN Phone Licenses
В совокупности с AnyConnect Premium license, данная лицензия позволяет IP-телефонам со встроенной AnyConnect совместимостью устанавливать соединения по SSL VPN. Лицензии дифференцируются по модели ASA: ASA-AC-PH-5505, ASA-AC-PH-5510, ASA-AC-PH-5520 и т. д.
11. Лицензирование и High Availability
При применении программного обеспечения до ASA software v8.3 для организации HA-пары необходимым условием было точное совпадение установленных лицензий на обоих устройствах. Начиная с релиза v8.3 большинство лицензий дублируется между устройствами и дополняет друг друга. Для моделей ASA5505 и 5510 на обоих устройствах необходимо наличие лицензии Security Plus, так как эта лицензия включает возможность организации HA. Лицензии SSL Essentials и Premium копируются между устройствами.
В HA-паре Active/Active количественные лицензии суммируются. Например, если имеем два устройства ASA5510 с установленными лицензиями SSL Premium на 100 пользователей, при объединении в HA-пару Active/Active имеем на выходе разрешение на 200 одновременных VPN сессий. Суммируемое значение не должно превышать ограничение для конкретной модели. Если суммарное значение превышает лимит (например, для ASA5510 доступны 250 SSL VPN соединений), к использованию будет доступно число соединений, равное лимиту платформы.
При использовании решений FirePOWER на резервные устройства должны приобретаться те же подписки FirePOWER, что и на основное. Конфигурация резервных устройств также должна быть абсолютно идентична основному устройству.
12. Лицензии с ограничением по времени (Time-Based Licenses)
В дополнение к постоянным лицензиям существует возможность заказать лицензии с ограничением по времени (time-based). Например, есть возможность приобретения лицензии с ограничением по времени AnyConnect Premium для удовлетворения потребности в определённом количестве VPN сессий в краткосрочном периоде.
Кроме того, таки лицензии как Botnet Traffic Filter бывают только с ограничением по времени, могут быть заказаны на 1 год и продлеваться на 1 или 2 года.
Список литературы- Cisco ASA: All-in-one Next-Generation Firewall, IPS, and VPN Services