احمد یزدانی

معرفی Adaptive Security Appliance (ASA)

امنیت شبکه برای سازمان هایی که قادر نیستند تجهیزات مجزا نظیر Firewall , IPS , antivirus و سرویس های VPN را خریداری کنند یک چالش جدی است.
سری Cisco ASA 5500 وسیله ای با توان عملیاتی بسیار بالا و وسیله ای با قابلیت های امنیتی مختلف نظیر Firewall , IPS , Network antivirus و سرویس های VPN است که پیاده سازی امنیت در شبکه ها را راحت تر و قوی تر از گذشته کرده است.
PIX در حدود 10 سال عنوان Firewall های Cisco را به خود اختصاص داده بود.اما با آمدن ASA یک طراحی جدیدی در Firewall های این شرکت ایجاد شد.این طراحی باعث ایجاد Performance (کارایی ) بسیار بالایی نسبت به نسل قبلی یعنی PIX شد.
Performance تنها تفاوت ASA و PIX نبود !
ASA از Site-To-site VPN و Remote host VPN و SSL VPN پشتیبانی می کند . تا قبل از اینکه ASA ساخته شود VPN 3000 concentrator محصولی بود که به عنوان VPN Terminator در سازمان ها استفاده می شد.همانطور که قبلآ اشاره کردیم ASA علاوه بر داشتن قابلیت های PIX می تواند قابلیت های یک VPN concentrator را هم به شبکه ما اضافه کند.

ASA Module

ASA قادر است یک سری ویژگی ها در قالب Module به خود اضافه کند.این Module ها شامل IPS module , content security module , Gigabit Ethernet module می باشد .
AIP/SSM (Adaptive Inspection and Prevention / Security Service Module) :
این Module کار یک سنسور IPS را برای ASA انجام می دهد.این Module می تواند در هر دو حالت IPS وIDS کار کند (تنها و یا در کنار هم).

AIP-SSM 2.jpg
CSC/SSM (Content Security and Control Security Service Module)
این Module سرویس های مخلفی را با خود به همراه می آورد .این سرویس ها می تواند شامل Antivirus , Antispyware , Anti Phishing و URL Filtering باشد .ASA دارای متد های مختلفی برای هدایت ترافک خاص به سمت این Module می باشد و در نتیجه Module می تواند ترافیک دریافت شده را بررسی کند.

Gigabit Ethernet Module :
با این Module می توانیم پورت های فیریکی ASA را افزایش دهیم .
Cisco ASA مدل های مختلفی را برای شبکه های مختلف ارائه می کند . که در ادامه به اختصار با آنها آشنا می شویم .

Cisco ASA Products

Cisco ASA 5505 Model :

ASA 5505 برای شبکه های کوچک و یا دفاتر و بخش های مختلف یک شبکه بزرگ که به شبکه اصلی متصل هستند طراحی شده است.
با داشتن سایز بسیار کوچک, این وسیله دارای قابلیت های Firewall , SSL VPN , IPsec VPN می باشد به علاوه سرویس های شبکه ای بسیار زیادی که مورد نیاز یک شبکه است توسط این مدل پشتیبانی می شود.

cisco_asa_5505.jpg
ASA 5505 دارای 8 اینترفیس 100/10 است . از این 8 اینترفیس 2 اینترفیس قابلیت POE یا Power Over Ethernet را دارند (برای اتصال IP Phone ).
پورت RJ-45 console ما را قادر می سازد تا به صورت فیزیکی به دستگاه متصل شویم و از طریق محیط CLI به پیکربندی مقدماتی دستگاه بپردازیم.
نمای جلویی ASA 5505 دارای Component هایی است که به توضیح بعضی از آنها می پردازیم .

ww.PNG


USB Port : رزرو برای استفاده در آینده .
Speed and Link Activity LED : این مدل برای هر 8 پورت خود دو LED دارد که یکی بیانگر Speed (سرعت پورت) و دیگری بیانگر Activity (فعالیت پورت ) است . هنگامیگه Speed LED خاموش است پورت با سرعت 10 Mbps کار می کند و زمانیکه این LED به رنگ سبز است یعنی با سرعت 100 Mbps کار می کند.هنگامیکه چراغ Link Activity به صورت سبز ثابت باشد نشان دهنده این است که ارتباط فیزیکی بر قرار است و زمانیکه سبز چشمک زن باشد نشان دهنده فعالیت در ان Link می باشد.
Power LED : رنگ سبز ثابت نشان دهنده این است که دستگاه روشن است.
Status LED : سبز چشمک زن نشان دهنده این است که سیستم در حال Boot شدن است و Powerup-test در حال اجراست.اگر چراغ به رنگ سبز ثابت در آمد یعنی عملیات تست سیستم به پایان رسیده و سیستم مشکلی نداشته.رنگ نارنجی نشان دهنده این است که این تست با مشکل مواجه شده است.
Active LED : رنگ سبز به معنی قرار گرفتن سیستم در حالت Active است زمانیکه برای Failover پیکر بندی شده است.
VPN LED :رنگ سبز ثابت نشان دهنده فعال بودن یک یا چند VPN Tunnel است.
Security Service Card (SSC) LED : رنگ سبز نشان دهنده این است که یک SSC Card بر روی دستگاه نصب شده است. SSC Card برای اضافه کردن ویژگی های امنیت ی اضافه به 5505 در آینده است.