
آشنایی با انواع لایسنس های فایروال سیسکو Cisco ASA FIREPOWER
درک قابلیتهای مدلهای مختلف Cisco ASA، كاربران را قادر ميسازد تا در انتخاب و استقرار مناسبترین ابزار منطبق با نیازها بهترين انتخاب را داشته باشند؛ جدول زیر ماکزیمم AVC و خروجی NGIPS را به ازای مدلهای مختلف Cisco ASA نشان میدهد.
ماکزیمم AVC و خروجی NGIPS براي مدلهای مختلف Cisco ASA
مدل ASA | ماکزیمم اتصال های همزمان | ماکزیمم خروجی AVC و NDIPS |
(ASA 5506-X (with Security Plus license | ۵۰,۰۰۰ | ۱۲۵ Mbps |
(ASA 5506W-X (with Security Plus license | ۵۰,۰۰۰ | ۱۲۵ Mbps |
(ASA 5506H-X (with Security Plus license | ۵۰,۰۰۰ | ۱۲۵ Mbps |
ASA 5508-X | ۱۰۰,۰۰۰ | ۲۵۰ Mbps |
(ASA 5512-X (with Security Plus license | ۱۰۰,۰۰۰ | ۱۵۰ Mbps |
ASA 5515-X | ۲۵۰,۰۰۰ | ۲۵۰ Mbps |
ASA 5516-X | ۲۵۰,۰۰۰ | ۴۵۰ Mbps |
ASA 5525-X | ۵۰۰,۰۰۰ | ۶۵۰ Mbps |
ASA 5545-X | ۷۵۰,۰۰۰ | ۱,۰۰۰ Mbps |
ASA 5555-X | ۱,۰۰۰,۰۰۰ | ۱,۲۵۰ Mbps |
ASA 5585-X with SSP10 | ۵۰۰,۰۰۰ | ۲ Gbps |
ASA 5585-X with SSP20 | ۱,۰۰۰,۰۰۰ | ۳٫۵ Gbps |
ASA 5585-X with SSP40 | ۱,۸۰۰,۰۰۰ | ۶ Gbps |
ASA 5585-X with SSP60 | ۴,۰۰۰,۰۰۰ | ۱۰ Gbps |
انواع لایسنس های فایروال سیسکو فایرپاور Cisco ASA FirePOWER
تا اینجا به بحث در خصوص امکان مدیریت ماژول Cisco ASA FirePOWER از طریقFirepower Management Center و یا ADSM پرداخته شد؛ ماژول Cisco ASA FirePOWER وFirepower Management Center لایسنس های متفاوتی نیاز دارند که بر روی هر یک جداگانه نصب میشود، شایان ذکر است سیسکو ASA تنها به این دو لایسنس نیاز داشته و به لایسنس دیگری نیاز ندارد.
انواع لایسنس های سرویس های متفاوت Cisco ASA FirePOWER به شرح ذیل مي باشند:
حفاظت، کنترل، بدافزار و فیلترینگ URL
جدول زیر شرح کلی از عملکرد هر یک از لایسنس ها ارائه میدهد.
جدول – طبقه بندی لایسنس سرویس های Cisco ASA FirePOWER
لایسنس | عملکرد |
حفاظت Protect | شناسایی و حفاظت در مقابل نفوذ، فیلترینگ هوشمند امنيتی، File Control |
کنترل Control | کنترل کاربران و نرم افزارهای کاربردی |
بدافزار AMP | حفاظت پیشرفته در مقابل بدافزارها (شناسایی و مسدود کردن بدافزارهای شبکه محور) |
فیلترینگ URL | فیلترینگ URL براساس اعتبار و نوع وبسایت ها |
آشنایی با لایسنس Protect حفاظت در فایروال سیسکو فایر پاور
از طریق لایسنس حفاظت مدیران شبکه قادر به شناسایی و کنترل پیشرفته در مقابل نفوذ، File control و فیلترینگ هوشمند امنیتی خواهد بود؛ شناسایی و کنترل پیشرفته نفوذ با بررسی و تحلیل ترافیک شبکه، به جستجوی حفرههای امنیتی شبکه و احتمالات نفوذ پرداخته و سپس به مدیران شبکه هشدارهای لازم را ارائه داده و امکان مسدود کردن ترافیک مخرب را در اختیارشان قرار میدهند. File Control امکان کنترل دسترسی کاربران از ارسال و دریافت فایلهایی با فرمت های مشخص و یا از طریق پروتکل های معینی، را در اختیار مدیران شبکه ها قرار میدهد. فیلترینگ هوشمند امنیتی قابلیت ایجاد یک لیست سیاه از آدرسهای IP پيش از اعمال قوانین دسترسی را در اختيار دارد. همچنین شرکت سیسکو امکان به روزرسانی این لیست سیاه براساس Talos و امکان تنظیمات جهت مانیتورینگ را در اختیار مدیران شبکه قرار داده است.
- نکته
امکان استفاده از قابلیت سیاستگذاری کنترل دسترسیها بدون استفاده از لایسنس وجود دارد ليكن ميبايست توجه داشت در این صورت امکان اعمال سیاست گذاری ها بدون فعالسازی لایسنس حفاظت در ماژول Cisco ASA FirePOWER وجود ندارد؛ چنانچه به هر دلیلی لایسنس مورد بحث حذف شده باشد ماژول Cisco ASA FirePOWER قابليت شناسایی نفوذ، ثبت وقایع و دسترسی به اینترنت جهت بهره گیری از اطلاعات تهیه شده توسط شرکت سیسکو و یا نرم افزارهای Third party را از دست خواهد داد، در واقع این لایسنس پیشنیاز سایر لایسنس های (حفاظت، کنترل، بدافزار و فیلترینگ URL) است و تاثیر مستقیم بر سایر لایسنس های نصب شده دارد.
آشنایی با لایسنس Control کنترل در فایروال سیسکو فایر پاور
لایسنس کنترل قابلیت نظارت بر کاربران و نرم افزارها را از طریق افزودن آنها به قوانین کنترل دسترسی، در اختیار مدیران شبکه ها قرار میدهد. از طریق لایسنس حفاظت حتی بدون داشتن لایسنس کنترل امکان اضافه کردن شروط کاربران و نرم افزارها به لیست کنترل دسترسی وجود دارد، ليكن امکان اعمال این سیاست ها تا نصب و فعالسازی لایسنس کنترل بر روی ماژول Cisco ASA FirePOWER وجود ندارد.
آشنایی با لایسنس URL در فایروال سیسکو فایر پاور
این لایسنس قابلیت تصمیم گیری در ارتباط با ترافیک مجاز به عبور از فایروال براساس آدرس های URL مورد نیاز کاربران را در اختیار مدیران شبکه قرار میدهد. مطابق شکل زیر ماژول Cisco ASA FirePOWER اطلاعات مرتبط با آدرس های URL را از Cisco Cloud به دست می آورد.
شکل- اطلاعات فیلترینگ URL به دست آمده از Cisco Cloud
بدون داشتن لایسنس فیلترینگ URL تنها قادر به فیلترینگ یک و یا چند گروه URL خواهید بود و جهت استفاده از قابلیتهایی از قبيل دسته بندی URL و داده های معتبر براي فيلتر نمودن ترافیک شبکه ملزم به در اختیار داشتن لایسنس فیلترینگ URL در ماژول خود هستید.
شکل بالا ماژول مدیریت شده توسط ASDM را نشان میدهد چنانچه ماژول توسط FMC مدیریت شود اطلاعات دستهبندی و اعتبار URL از طریق FMC از سیسکو دریافت و به ابزارهای مدیریتی ارسال میشود(شامل ماژول Cisco ASA FirePOWER، NGIPS، FTD و …).
- نکته
جهت استفاده از این لایسنس ملزم به خریداری اشتراک آن هستید.
آشنایی با لایسنس AMP بد افزار در فایروال سیسکو فایر پاور
از طریق این لایسنس بدافزار قابلیت AMP در ماژول فعال میشود، که توانایی هايي از جمله شناسایی و بلوکه سازی بدافزار منتشر شده در شبکه را دارا ميباشد، در ضمن از طریق بخشی از سیاست گذاری های فایلها به همراه قوانین کنترل دسترسی اعمال میشود.
لایسنسهای نصب شده ماژول Cisco ASA FirePOWER
لایسنس های نصب شده ماژول Cisco ASA FirePOWER در بخش System >Licenses مرکز مدیریت ماژول قابل مشاهده است، مطابق شکل زیر این صفحه شامل لیست تمامی لایسنس های موجود در بخش مدیریت ماژول را نمایش میدهد.
شکل – بخش لایسنس مرکز مدیریت Cisco ASA FirePOWER
شکل بالا، Cisco ASA 5515-X را که توسط مرکز مدیریت سیسکو Firepower مدیریت و لایسنس های حفاظت، کنترل، بدافزار و فیلترینگ URL بر روی آن فعال هستند، نشان میدهد.
روش دیگر مشاهده لایسنس های ماژول Cisco ASA FirePOWER مطابق شکل ۱۱-۲ و از مسير Devices> Device Management در مرکز مدیریت Cisco Firepower است.
شکل – بخش مدیریت تجهیزات مرکز مدیریت Cisco ASA FirePOWER
روش اضافه کردن لایسنس به ماژول Cisco ASA FirePOWER
در این بخش به بررسی نحوه افزودن کلید فعالسازی دریافت شده از شرکت سیسکو پس از خرید یک لایسنس پرداخته میشود. گام های افزودن لایسنس به شرح زیر ميباشد:
گام اول: مطابق شکل زیر در مرکز مدیریت Cisco Firepower بخش System> Licenses
شکل – افزودن لایسنس جدید در FMC
گام دوم: بر روی گزینه Add New License کلیک کنید.
گام سوم: لایسنس مورد نظر را در بخش License کپی کرده و گزینه Submit License کلیک کنید. چنانچه لایسنسی خریداری نکردهاید از دستورالعملهای نمایش داده شده بر روی صفحه جهت دریافت لایسنس پیروی کنید.
اگر از ASDM برای پیکربندی ماژول استفاده میکنید مطابق شکل ۱۳-۲ از بخش Configuration > ASA FirePOWER Configuration > License جهت مدیریت و نصب لایسنس بهره گیرید.
شکل ۱۳-۲: افزودن لایسنس جدید در ASDM
سازگاری Cisco ASA FirePOWER با سایر قابلیتهای سیسکو ASA
Cisco ASA FirePOWER قابلیت نظارت پیشرفته بر HTTP و سایر برنامههای کاربردی دارد، جهت بهرهگیری از آن پیکربندی به شکل قدیمی در سیسکو ASA در نظر گرفته شده است. علاوه بر این MUS [۴] با ماژول Cisco ASA FirePOWER سازگاری نداشته و میبایست غیرفعال شود.