Tweet
ASA 5505 là dòng sản phẩm thấp nhất về mặt cấu hình cũng như hiệu suất. Nó được thiết kế dành cho văn phòng nhỏ. Trong doanh nghiệp vừa, nó thường hỗ trợ người dùng truy cập từ xa.
Có 8 cổng FastEthernet dùng để nối vào switch, và 2 cồng PoE, ASA không được cấp nguồn qua PoE. Mặc định, 8 cổng được kết nối với switch cùng 1 VLANs để cho phép các thiết bị có thể giao tiếp trực tiếp với nhau ở tầng 2.
Các cổng có thể được chia thành nhiều VLANs nhằm phân chia văn phòng nhỏ thành các khu vực hay các chức năng khác nhau. ASA kết với với mỗi VLANs thông qua cổng logic riêng biệt. Tất cả các traffic qua VLANs phải đi qua firewall với chính sách bảo mật của nó.
ASA 5505 một khe cắm SSC cho phép cắm AIP-SSC-5 IPS module để có thêm tính năng IPS.
ASA 5510, 5520, và 5540 có khung và cổng kết nối giống nhau nhưng có hiệu suất khác nhau.
ASA 5510 dành cho doanh nghiệp vừa và nhỏ, hỗ trợ làm việc từ xa cho doanh nghiệp vừa.
ASA 5520 dành cho doanh nghiệp vừa, ASA 5540 dành cho doanh nghiệp vừa và lớn và các nhà cung cấp dịch vụ mạng.
ASA 5520 và 5540 có 4 cổng FastEthernet 10/100/1000 dùng để kết nối với hạ tầng mạng. Mặc định ASA 5510 có tốc độ 10/100. Nếu mua giấy phép security plus license, sẽ có 2 cổng được kích hoạt thành cổng GigabitEthernet 10/100/1000 và 2 cổng còn lại vẫn là FastEthernet. Cổng management cũng được kích hoạt để sử dụng.
ASA 5510, 5520, 5540 có 1 khe SSM có thể cắm 1 trong 3 thiết bị sau:
Four-port Gigabit Ethernet SSM: module này cho phép thêm 4 cổng interface có tốc độ 10/100/1000 với chuẩn RJ45 hay cổng SFP.
Advanced Inspection and Prevention (AIP) SSM: module này cho phép thêm tính năng IPS.
Content Security and Control (CSC) SSM: Module này thêm tính năng kiểm soát nội dung và dịch vụ antivus.
ASA 5510, 5520, 5540 có 1 cổng AUX có thể được dủng như cổng out-of-band management thông qua kết nối serial hay modem. Ngoài ra, có 1 cổng FastEthernet dủng để quản lý nhưng có thể cấu hình lại nếu cần.
ASA 5550 dành cho doanh nghiệp lớn và nhà cung cấp dịch vụ mạng. ASA 5550 nhìn giống ASA 5510, 5520, và 5540. Sự khác biệt của ASA 5550 là có thêm module (4GE-SSM) không tháo rời được.
ASA 5550 có các interface vật lý được chia thành 2 nhóm, mỗi nhóm tương ứng với slot 0 và slot 1, mỗi slot tương tứng với bus 0 và bus 1. Slot 0 gồm (4GE-SSM)
Slot 1 gồm (4GE-SSM) và 4 cổng gigabit ethernet SFP mặc dù chỉ có 4 trong 8 cổng có thể dùng được ở bất cứ thời điểm nào.
ASA 5550 có hiêu suất cao, ASA có thể chuyển tiếp traffic hiệu quả hơn từ bus này sang bus khác bằng cách cho traffic đi từ cổng bus 0 đến bus 1.
ASA 5580 là dòng có hiệu suất cao dành cho doanh nghiệp lớn, data center và các nhà cung cấp dịch vụ quy mô lớn. Nó hỗ trợ đến 24 cổng Gigabit Ehternet, đây là một trong hai dòng có khung lớn hơn các rack tiêu chuẩn.
ASA 5580 có 2 dòng: ASA 5580-20 (thông lượng 5 Gbps) và 5580-40 (thông lượng 10 Gbps) đều được tích hợp 2 cổng interface Gigabit Ethernet có tốc độ 10/100/1000 thường dủng cho việc quản lý, và có 2 bộ nguồn để dự phòng.
ASA 5580 có tổng cộng 9 khe cắm PCI Express. Khe cắm số 1 để dành cắm cryptographic accelerator module hổ trợ kết nối VPNs với hiệu suất cao. Khe cắm số 2 và số 9 để dành, còn lại 6 khe cắm dành cho các card mạng sau:
4 cổng gigabit ethernet 10/100/1000 BASE-T dùng cho cáp đồng.
4 cổng gigabit ethernet 1000 BASE-SX dùng cho cáp quang.
2 cổng gigabit ethernet quang 10G BASE-SR
ASA 5580 có 2 I/O bridge cung cấp kết nối cho các khe cắm mở rộng,, khác với ASA 5550, chỉ có 1 I/O bridge. Các cổng của ASA 5580 của khe cắm số 7 và 8 được điều khiển bởi I/O bridge 1 và các cổng ở khe cắm số 3,4,5 và 6 được điều khiển bởi I/O bridge 2.
Các cổng ethernet có tốc độ 10 Gigabit nên được cắm vào khe cắm số 5,7,hoặc 8 vì các khe cắm này hỗ trợ chuẩn cắm PCIe-x8.
Security services modules
Các dòng ASA đều hỗ trợ một module SSM. SSM cho phép cắm thêm có phần cứng chuyên dùng giúp giảm tải công việc cho bộ vi xử lý.
Cisco cung cấp module AIP-SSM, CSC-SSM, và 4GE-SSM.
Module AIP-SSM và CSC-SSM có bề ngoài giống nhau nhưng được cài chương trình khác nhau.
AIP-SSM
AIP-SSM được cài CISCO IPS và thực hiện chức năng phát hiện ngăn chặn xâm nhập. AIP-SSM có thể cấu hình ở inline mode cho phép traffic được chuyển hướng đến module xử lý trước khi gói tin được chuyển đi, AIP-SSM còn được cấu hình ở promiscuous mode cho phép traffic được sao lưu đến module khi chuyển tiếp gói tin.
Để IPS hoạt động hiều quả, AIP-SSM phải kịp thời được cập nhật chữ ký trong cơ sở dữ liệu, và phải đăng ký dịch vụ IPS mới có thể cập nhật chữ ký qua SIO với hơn 25000 chữ ký trong cơ sở dữ liệu, khi mối đe dọa mới được phát hiện, chữ ký mới sẽ được thêm vào và được tải về cho AIP-SSM.
CSC-SSM
CSC-SSM thực hiện tính năng antivirus, chống spyware, chống phishing, ngăn chặn file, lọc và ngăn chặn URL, lọc nội dung với hợp với ASA. ASA chuyển hướng traffic qua CSC-SSM với chương trình Trend Micro Interscan trên hệ điều hành Cisco CSC-SSM. Vì được tích hợp nhiều tính năng ngăn chặn phần mềm độc hại nên còn được gọi là Anti-X module, các traffic có giao thức HTTP, FTP, SMTP, và POP3 được bảo vệ bởi CSC-SSM.
Có 8 cổng FastEthernet dùng để nối vào switch, và 2 cồng PoE, ASA không được cấp nguồn qua PoE. Mặc định, 8 cổng được kết nối với switch cùng 1 VLANs để cho phép các thiết bị có thể giao tiếp trực tiếp với nhau ở tầng 2.
Các cổng có thể được chia thành nhiều VLANs nhằm phân chia văn phòng nhỏ thành các khu vực hay các chức năng khác nhau. ASA kết với với mỗi VLANs thông qua cổng logic riêng biệt. Tất cả các traffic qua VLANs phải đi qua firewall với chính sách bảo mật của nó.
ASA 5505 một khe cắm SSC cho phép cắm AIP-SSC-5 IPS module để có thêm tính năng IPS.
ASA 5510, 5520, và 5540 có khung và cổng kết nối giống nhau nhưng có hiệu suất khác nhau.
ASA 5510 dành cho doanh nghiệp vừa và nhỏ, hỗ trợ làm việc từ xa cho doanh nghiệp vừa.
ASA 5520 dành cho doanh nghiệp vừa, ASA 5540 dành cho doanh nghiệp vừa và lớn và các nhà cung cấp dịch vụ mạng.
ASA 5520 và 5540 có 4 cổng FastEthernet 10/100/1000 dùng để kết nối với hạ tầng mạng. Mặc định ASA 5510 có tốc độ 10/100. Nếu mua giấy phép security plus license, sẽ có 2 cổng được kích hoạt thành cổng GigabitEthernet 10/100/1000 và 2 cổng còn lại vẫn là FastEthernet. Cổng management cũng được kích hoạt để sử dụng.
ASA 5510, 5520, 5540 có 1 khe SSM có thể cắm 1 trong 3 thiết bị sau:
Four-port Gigabit Ethernet SSM: module này cho phép thêm 4 cổng interface có tốc độ 10/100/1000 với chuẩn RJ45 hay cổng SFP.
Advanced Inspection and Prevention (AIP) SSM: module này cho phép thêm tính năng IPS.
Content Security and Control (CSC) SSM: Module này thêm tính năng kiểm soát nội dung và dịch vụ antivus.
ASA 5510, 5520, 5540 có 1 cổng AUX có thể được dủng như cổng out-of-band management thông qua kết nối serial hay modem. Ngoài ra, có 1 cổng FastEthernet dủng để quản lý nhưng có thể cấu hình lại nếu cần.
ASA 5550 dành cho doanh nghiệp lớn và nhà cung cấp dịch vụ mạng. ASA 5550 nhìn giống ASA 5510, 5520, và 5540. Sự khác biệt của ASA 5550 là có thêm module (4GE-SSM) không tháo rời được.
ASA 5550 có các interface vật lý được chia thành 2 nhóm, mỗi nhóm tương ứng với slot 0 và slot 1, mỗi slot tương tứng với bus 0 và bus 1. Slot 0 gồm (4GE-SSM)
Slot 1 gồm (4GE-SSM) và 4 cổng gigabit ethernet SFP mặc dù chỉ có 4 trong 8 cổng có thể dùng được ở bất cứ thời điểm nào.
ASA 5550 có hiêu suất cao, ASA có thể chuyển tiếp traffic hiệu quả hơn từ bus này sang bus khác bằng cách cho traffic đi từ cổng bus 0 đến bus 1.
ASA 5580 là dòng có hiệu suất cao dành cho doanh nghiệp lớn, data center và các nhà cung cấp dịch vụ quy mô lớn. Nó hỗ trợ đến 24 cổng Gigabit Ehternet, đây là một trong hai dòng có khung lớn hơn các rack tiêu chuẩn.
ASA 5580 có 2 dòng: ASA 5580-20 (thông lượng 5 Gbps) và 5580-40 (thông lượng 10 Gbps) đều được tích hợp 2 cổng interface Gigabit Ethernet có tốc độ 10/100/1000 thường dủng cho việc quản lý, và có 2 bộ nguồn để dự phòng.
ASA 5580 có tổng cộng 9 khe cắm PCI Express. Khe cắm số 1 để dành cắm cryptographic accelerator module hổ trợ kết nối VPNs với hiệu suất cao. Khe cắm số 2 và số 9 để dành, còn lại 6 khe cắm dành cho các card mạng sau:
4 cổng gigabit ethernet 10/100/1000 BASE-T dùng cho cáp đồng.
4 cổng gigabit ethernet 1000 BASE-SX dùng cho cáp quang.
2 cổng gigabit ethernet quang 10G BASE-SR
ASA 5580 có 2 I/O bridge cung cấp kết nối cho các khe cắm mở rộng,, khác với ASA 5550, chỉ có 1 I/O bridge. Các cổng của ASA 5580 của khe cắm số 7 và 8 được điều khiển bởi I/O bridge 1 và các cổng ở khe cắm số 3,4,5 và 6 được điều khiển bởi I/O bridge 2.
Các cổng ethernet có tốc độ 10 Gigabit nên được cắm vào khe cắm số 5,7,hoặc 8 vì các khe cắm này hỗ trợ chuẩn cắm PCIe-x8.
Security services modules
Các dòng ASA đều hỗ trợ một module SSM. SSM cho phép cắm thêm có phần cứng chuyên dùng giúp giảm tải công việc cho bộ vi xử lý.
Cisco cung cấp module AIP-SSM, CSC-SSM, và 4GE-SSM.
Module AIP-SSM và CSC-SSM có bề ngoài giống nhau nhưng được cài chương trình khác nhau.
AIP-SSM
AIP-SSM được cài CISCO IPS và thực hiện chức năng phát hiện ngăn chặn xâm nhập. AIP-SSM có thể cấu hình ở inline mode cho phép traffic được chuyển hướng đến module xử lý trước khi gói tin được chuyển đi, AIP-SSM còn được cấu hình ở promiscuous mode cho phép traffic được sao lưu đến module khi chuyển tiếp gói tin.
Để IPS hoạt động hiều quả, AIP-SSM phải kịp thời được cập nhật chữ ký trong cơ sở dữ liệu, và phải đăng ký dịch vụ IPS mới có thể cập nhật chữ ký qua SIO với hơn 25000 chữ ký trong cơ sở dữ liệu, khi mối đe dọa mới được phát hiện, chữ ký mới sẽ được thêm vào và được tải về cho AIP-SSM.
CSC-SSM
CSC-SSM thực hiện tính năng antivirus, chống spyware, chống phishing, ngăn chặn file, lọc và ngăn chặn URL, lọc nội dung với hợp với ASA. ASA chuyển hướng traffic qua CSC-SSM với chương trình Trend Micro Interscan trên hệ điều hành Cisco CSC-SSM. Vì được tích hợp nhiều tính năng ngăn chặn phần mềm độc hại nên còn được gọi là Anti-X module, các traffic có giao thức HTTP, FTP, SMTP, và POP3 được bảo vệ bởi CSC-SSM.