IPS SSP License

Intrusion Prevention System (IPS) - система предотвращения вторжений. В предыдущих моделях ASA 5505 – 5550, что бы получить функционал IPS, необходимо было устанавливать аппаратный модуль (AIP SSC-5, 10, 20, 40). Для новых моделей ASA5500-X нет потребности в установки дополнительного модуля, сервис IPS осуществлен программными средствами.

Чтобы получить IPS функционал на линейке МСЭ ASA 5500-X нужно приобрести соответствующий бандл (ASA5512-IPS-K8 или K9, ASA5525-IPS-K8 или K9 и т.д.) или всего навсего установить соответствующую лицензию на ASA:

  • L-ASA5512-IPS-SSP
  • L-ASA5515-IPS-SSP
  • L-ASA5525-IPS-SSP
  • L-ASA5545-IPS-SSP
  • L-ASA5555-IPS-SSP

Для корректной работы системы предотвращения вторжений нужна подписка на обновление сигнатур устройств. Обновление производится за счёт получения подписки на сервисную поддержку SmartNet.

Для семейства МСЭ ASA 5500-Х c функционалом СХ (Next Generation Firewall) может быть включена функция NG IPS (Next Generation IPS). Для этого нужна дополнительная подписка, например ASA5512-IP3Y= (подписка на NG IPS для ASA5512 на 3 года) и подписка на NG IPS входит в бандлы подписок СХ:

  • ASA5512-AWI3Y - ASA 5512-X with Cisco AVC, WSE, and IPS, 3-year;
  • ASA5515-AWI3Y - ASA 5515-X AVC, WSE, and IPS, 3-year.

Cisco ASA 5500-X Series CX Subscriptions and ScanSafe

Для МСЭ ASA серии 5500-X, функционал обеспечения Web-безопасности, а также функционал глубокой инспекции трафика на уровне приложений реализован частично, с помощью облачной технологии Scan Safe - защита от шпионского ПО и вирусов (SpyWare). Частично посредством ASA+FirePOWER или ASA CX – блокировка и фильтрация URL, распознание приложений, репутационная фильтрация. Как FirePOWER, так и сервисы ASA CX представляются виртуальным блейдом в межсетевых экранах ASA серии 5500-Х. На настоящий момент времени рекомендуется использовать сервисы FirePOWER.

На ASA Серии 5500, функционал контентной безопасности (Content Security) - производится путём перенаправления трафика на модули CSC-SSM-10 или 20. Данный функционал описан ниже.

ASA CX

Чтобы активировать функционал ASA СХ на ASA 5500-Х необходимо выполнить следующие шаги:

  • Наличие карты памяти ASA5500X-SSD120=;
  • Наличие подписки СХ.

Подписка СХ различается по моделям ASA и может быть трёх видов:

  • Application Visibility and Control (AVC) – для распознание приложений (может блокировать VK, Facebook, Skype, Bittorrent). ASA5515-AP1Y.
  • Web Security Essentials – блокировка URL и фильтрация, репутационная фильтрация (по данным облачной базы SenderBase). ASA5515-WS1Y.
  • AVC and Web Security Essentials – оба функционала вместе. ASA5515-AW1Y.

Подписка может быть от 1-го до 5-ти лет.

Также есть возможность приобрести бандл c уже установленным SSD для СХ и предустановленной выбранной подпиской, например ASA5515-SSD120-K9. Есть также способ превратить обычную ASA 5500-Х в ASA CX, с помощью замены имеющегося SSD на ASA5500X-SSD120= и установки соответствующей подписки.

Для внедрения функционала CX не обязательна активация 3DES/AES. Функционал CX не совместим с функционалом IPS. К функционалу CX может быть добавлен функционал Next Generation IPS (NG IPS). Для этого должна быть приобретена дополнительная подписка, например ASA5512-IP3Y= (подписка на NG IPS на 3 года для ASA5512). Кроме того, подписка на NG IPS входит в бандлы подписок CX. Примеры партномеров:

  • ASA5512-AWI3Y - ASA 5512-X with Cisco AVC, WSE, and IPS, 3-year;
  • ASA5515-AWI3Y - ASA 5515-X AVC, WSE, and IPS, 3-year.

ScanSafe

Для осуществления защиты внутренней инфраструктуры компании от шпионского ПО (SpyWare) и вирусов для ASA5500-X необходимо настроить перенаправление трафика, подлежащего детальной инспекции в облако ScanSafe. Для активации данного функционала не требуется установки дополнительной лицензии на ASA. Единственное условие для активации данного функционала является активация 3DES/AES.

Необходима лицензия на стороне Cloud Web Security – лицензия ScanSafe. Лицензия даёт возможность получить от ScanSafe ключи аутентификации, которые необходимо будет активировать на ASA для регистрации в облаке ScanSafe.

Лицензии ScanSafe бывают трёх видов по функционалу:

  1. управление Web;
  2. безопасность Web;
  3. комбинированный функционал.

Каждый вид лицензии дифференцируется по количеству пользователей и по сроку действия. Возможны лицензии на год, три года и пять лет. На данный момент, ScanSafe не включён в GPL.


Добавлено: Январь 10, 2018
|
Категории: FAQ