對于VPN服務，由于Cisco ASA 5500 系列提供靈活的技術，因而能根據遠程接入和站點到站點連接要求，提供定制的解決方案。Cisco ASA 5500 系列提供易于管理的IP Security(IPsec)和安全套接字層(SSL)VPN遠程和網絡敏感型站點到站點VPN連接，使企業能夠通過公共網絡為移動用戶、遠程站點和業務合作伙伴創建安全連接。利用Cisco ASA 5500 系列，各機構不需要降低公司安全策略的完整性，就能夠獲得互聯網的連接和成本優勢。Cisco ASA 5500 系列將VPN服務與全面威脅消除服務有機地結合在一起，提供安全的VPN連接和通信。集成式自適應威脅防御功能提供統一保護，保證VPN部署不會成為網絡攻擊的導體，例如蠕蟲、病毒、壞件或黑客等。不僅如此，還可以為VPN流量應用詳細的應用和訪問控制策略，使個人和用戶組能夠訪問到他們有權訪問的應用、網絡服務和資源(見圖1)。

針對任意部署方案的VPN服務：帶有威脅防御的增強型IPsec和SSL VPN服務

遠程接入

Cisco ASA 5500 系列提供支持多種連接方式的完整遠程接入VPN解決方案，包括WebVPN(SSL VPN)、Cisco VPN Client(IPSec VPN)以及從Windows 移動設備建立的Nokia Symbian 移動無線和無客戶端接入。利用思科的遠程接入技術，各企業只需部署一個集成式平臺，就能廣泛支持各種核心企業應用，簡化管理，并提高部署靈活性。

安全的遠程連接可以通過SSL 型Web瀏覽器或VPN客戶端建立，因此，不需要部署和管理獨立的設備就能夠獲得最高的靈活性和應用接入。利用Cisco ASA 5500 系列安全設備，各企業可以為每個用戶組選用最適當的技術，而不需要同時部署多種解決方案。利用安全遠程接入，由于企業不再需要同時為SSL和IPSec VPN 分別建立獨立的平臺，因而提高了效率，降低了成本。

基于IPSec的遠程接入

利用IPSec 提供遠程接入能夠建立最增強型的可定制連接。利用IPSec，用戶幾乎可以訪問任何應用，就好像自己與總部局域網建立了實際連接一樣。思科IPSec 遠程接入具有高度可定制性，利用提供的API，管理員可以編寫執行程序及其它定制程序。

Cisco ASA 5500 系列是思科系統?公司提供的功能最豐富的基于IPSec 的遠程接入解決方案。對于IPSec 部署，由于ASA 5500 系列充分利用了Cisco VPN 3000 系列集中器平臺的特性和功能，因而能提供幾乎相同的功能，但每用戶吞吐量更高。不僅如此，ASA 5500 系列還能無縫地與現有VPN 3000集中器集群集成在一起，使兩個平臺同時為相同的用戶群服務。

另外，Cisco ASA 5500 系列還提供其它思科安全解決方案也提供的新型Cisco Easy VPN遠程接入功能，例如Cisco PIX? 安全設備、Cisco IOS? 路由器和Cisco VPN 3000系列集中器。Cisco Easy VPN 提供可以擴展、經濟高效、易于管理的獨特遠程接入VPN架構，并能夠降低傳統VPN解決方案維護遠程設備配置所需要的運作成本。Cisco ASA 5500 系列設備能夠將最新的VPN安全策略動態推廣到遠程VPN設備和客戶端，以保證這些遠程端點在建立連接之前先實施最新策略，從而實現最高的靈活性、可擴展性和易于使用性。

Cisco ASA 5500 系列安全設備支持VPN客戶端安全策略實施，在試圖建立VPN連接時執行安全檢查，包括安全策略執行情況、版本號以及公司管理的主機安全產品(例如Cisco Security Agent 或個人防火墻軟件)，然后再允許遠程用戶接入公司網絡。另外，Cisco VPN Client 還可以根據客戶端的類型、安裝的操作系統以及Cisco VPN Client 軟件的版本限制網絡連接，以防非法VPN客戶端接入公司網絡。

Cisco VPN Client 和 Cisco VPN 3002 Hardware Client 可以自動執行軟件更新，即能夠在建立VPN連接時觸發更新，或者根據需要更新當前連接的VPN客戶端。這種方法使企業能夠輕松地更新遠程用戶的客戶端軟件。

遠程接入用戶可以依據設備本身的內部用戶數據庫進行認證，也可以利用RADIUS或TACACS+ 通過外部源完成認證。由于與主流認證服務，包括Microsoft Active Directory、Microsoft Windows Domains、Kerberos、輕量目錄訪問協議(LDAP)和RSA SecurID，集成在一起，因此，不需要通過獨立的RADIUS/TACACS+ 服務器就能完成用戶認證。

SSL VPN

Cisco ASA 5500 系列能夠同時為無客戶端和完全網絡接入部署提供核心SSL VPN功能。無客戶端接入適用于非公司管理的桌面，例如外部網系統和公共接入點。完全網絡接入適用于需要一致"局域網型"用戶體驗，并需要訪問所有應用或網絡資源的遠程接入用戶?；赟SL的完全網絡接入通過Cisco SSL VPN Client for WebVPN提供，這種網絡接入與IPSec VPN客戶端相似，但不需要預裝VPN Client 軟件。

SSL VPN 只使用Web瀏覽器及其本地SSL加密，不需要預裝VPN 客戶端軟件就幾乎能夠從可以接入互聯網的任何位置遠程訪問網絡資源。利用Cisco ASA 5500 系列上支持的WebVPN，能夠容易地訪問多種企業應用，包括Web資源、Web型應用、NT/Active Directory 文件共享(Web型)、電子郵件以及基于TCP的其它應用，例如來自與互聯網相連、可以到達HTTP互聯網站點的任何計算機的Telnet 或 Windows 終端服務。WebVPN 使用SSL及其后續產品Transport Layer Security(TLS)在遠程用戶與中央站點的特殊內部資源之間建立安全連接。使用WebVPN建立安全連接之后，不需要安裝其它桌面軟件就可以從任何系統接入網絡。

站點到站點

利用Cisco ASA 5500 系列安全設備提供的網絡敏感型IPSec 站點到站點 VPN 功能，企業可以利用低成本的互聯網連接，安全地將其網絡擴展到商業合作伙伴以及世界各地的遠程和衛星辦公室。ASA 5500 系列是思科推出的功能最豐富的基于設備的站點到站點VPN解決方案。通過無與倫比的網絡特性集成，Cisco IOS 路由器能夠提供業內最先進、最靈活的站點到站點VPN連接。

分支機構和遠程機構能夠將公司的范圍擴展到主要市場和位置。基于Cisco ASA 5500 系列的VPN解決方案能夠在多個位置之間建立安全的高速通信，提供企業通信所需要的性能、可靠性和可用性。VPN連接可以使用數字證書和預共享加密等多種方法認證。

Cisco ASA 5500 系列安全設備提供的VPN基礎設施支持當今的各種應用，并能夠通過安全的IPSec 網絡傳輸語音、視頻和數據。增強型的站點到站點VPN服務與豐富的檢測功能和服務質量(QoS)特性結合在一起，使企業能夠利用融合型網絡的諸多優勢。由于企業能夠利用Cisco ASA 5500 系列設備，并能夠將VPN與QoS特性和豐富的檢測功能結合在一起，因而能安全地將語音和多媒體服務擴展到遠程機構環境，充分利用融合型網絡具有的諸多優勢，包括提高生產率、降低運作成本和增強競爭優勢等。

延遲、抖動和包損失都會降低語音和視頻質量。Cisco ASA 5500 系列低延遲隊列(LLQ)和流量偵聽特性支持QoS要求很高的應用，例如語音或視頻，以保證端到端網絡QoS策略。延遲敏感型流量的傳輸可以優先于文件傳輸以及能夠容忍延遲的其它流量。隊列性能可以通過一系列配置參數優化。

通過VPN 部署語音和視頻時，應該用狀態化方式檢測流經網絡的所有多服務流量。Cisco ASA 5500 系列安全設備能夠為多種IP語音(VoIP)和其它多媒體標準提供市場領先的保護。支持的VoIP和多媒體標準包括H.323 版本4、會話發起協議(SIP)、思科瘦客戶端控制協議(SCCP)、實時流協議(RTSP)和媒體網關控制協議(MGCP)，這些協議能夠幫助企業安全地部署多種當前及新一代VoIP和多媒體應用。

為簡化配置和提高永續性，Cisco ASA 5500 系列還具有網絡拓撲敏感性。由于ASA 5500系列支持VPN隧道上首先打開的最短路徑(OSPF)路由，因而能沿用網絡可到達性知識，保證流量的有效傳輸。不僅如此，子網自動識別特性還能簡化配置，因為它能夠識別每個VPN網關背后的所有主機。

思科遠程接入VPN解決方案

對X.509 數字證書的廣泛支持包括：為具有多層證書權威結構的環境提供N層證書鏈，允許利用簡單證書登記協議(SCEP)自動完成證書登記，以及脫機證書權威機構部署人工登記等。RSA證書支持的密鑰尺寸可長達4096位，基于數字簽名算法(DSA)的X.509證書的密鑰尺寸可長達1024位。另外，用戶也可以聯機登記到Cisco IOS Software證書機構。輕量X.509證書機構有助于簡化公共密鑰基礎設施(PKI)型站點到站點VPN的推廣。

VPN連接的威脅防御

威脅防御：蠕蟲、病毒、間諜軟件、廣告軟件、特洛伊木馬、DoS攻擊

蠕蟲、病毒、應用嵌入式攻擊和應用濫用是當今網絡面臨的重大安全問題。由于當今的VPN設計具有漏洞，因此，遠程接入和遠程機構VPN連接是這些威脅的通用切入點。目前，很多VPN部署都沒有在總部位置的通道終點采取適當的檢測和威脅防御措施，因而使壞件很容易從遠程機構或用戶感染到網絡并伺機傳播。

利用Cisco ASA 5500 系列，不需要增加成本，不需要增加設計、部署或運作的復雜性，就能夠使檢測和威脅防御作為VPN解決方案的一部分。利用ASA 5500 系列的融合型威脅防御功能，客戶可以在壞件進入網絡內部并傳播之前就及時發現并阻止。對于應用嵌入式攻擊，例如通過文件共享對等網絡傳播的間諜軟件或廣告軟件，ASA 5500 系列能夠深入檢測應用流量，以便在壞件瞄準目標并造成危害之前就及時發現危險負載并丟棄其內容。

Cisco ASA 5500 系列安全設備的應用層檢測功能能夠防止VPN部署遭受拒絕服務(DoS)攻擊，例如SYN 泛濫、互聯網控制消息協議(ICMP)泛濫、"teardrops"、端口掃描、"pings of death"以及很多其它常見攻擊。

應用濫用與訪問控制

適當的VPN安全設計不但要阻止威脅，還要了解哪些VPN流量正在使用網絡資源和帶寬，并控制對網絡資源的訪問。HTTP 端口80最初是為Web流量設計的，現在主要用于即時消息傳送、Kazaa等對等程序以及其它應用。Cisco ASA 5500 系列能夠識別、檢查和控制隱蔽端口80應用的各個方面。它能夠全面阻止某些流量或文件類型，也可以細致地限制某些行為，例如來自即時消息傳送應用的文件傳輸。

應用敏感型檢測引擎提供豐富的狀態化檢測服務，能夠跟蹤所有合法網絡通信的狀態，并防止非法訪問接入。這些集成功能能夠為當今不斷變化的網絡環境提供一道堅實的多層防線。將詳細的安全策略應用到VPN流量之后，個人和小組將能夠訪問他們有權訪問的服務和資源。所有VPN流量都將解密和檢測，以保證只有合法內容才能通過設備。

網絡管理員能夠定義用來協調遠程機構和員工的安全性和連接性的策略。這個策略既能提供無與倫比的安全性，又能保持可訪問的網絡環境。Cisco ASA 5500 系列安全設備提供集成式安全方法，使各機構既能充分利用互聯網的連接和成本優勢，又不會降低公司安全策略的完整性(見圖2)。

Cisco ASA 5500 系列將威脅防御與VPN功能結合在一起，提供安全的VPN連接

永續性

Cisco ASA 5500 系列安全設備支持多種永續性，以保證VPN部署能夠實現最高的可靠性和性能。

由于永續性集群功能能夠將VPN會話均勻地分布到所有Cisco ASA 5500 系列和VPN 3000 系列設備，因而能經濟高效地擴展遠程接入部署。集群提供的集成式負載均衡不需要用戶干預，也不需要外部負載分布，就能夠分布遠程接入。Cisco ASA 5500 系列和VPN 3000 系列集中器的不同型號可以共存于同一個集群中，并按照每臺設備的容量分布負載。這種高度靈活的容量不僅消除了單故障點，還能保護客戶的投資，因為利用一個解決方案就能滿足整個機構的需求。

由于VPN 狀態化故障切換能夠延長VPN正常連接時間，因而能保證網絡的永續性和冗余性。利用Cisco ASA 5500 系列安全設備的狀態化故障切換功能，所有VPN安全關聯狀態信息和會話關鍵材料，都能在故障切換對列的成員之間自動同步，從而建立永續性極高的VPN解決方案。配置為故障切換對列的設備能夠實現連接狀態和設備配置數據的連續同步。同步可以通過高性能局域網連接實現。利用地理位置不同的故障切換對列，可以增加一道防線。當系統或網絡發生故障時，網絡通話可以自動從主用設備轉移到備用設備上。而且整個過程對用戶是透明的。

OSPF動態路由服務支持IPSec VPN隧道鄰居，能夠提高VPN連接網絡的可靠性。網絡停頓在幾秒鐘之內就可以被檢測到，并能夠及時轉移流量。另外，為提高網絡性能和可靠性，還支持反向路徑注入(RRI)。

集成式管理

集成式Cisco Adaptive Security Device Manager 提供基于Web的世界級管理界面，能夠大大簡化單臺Cisco ASA 5500 系列安全設備的部署、后續配置和監控，而且不需要在管理員的計算機上安裝任何軟件(需要標準的Web瀏覽器和Java插接件)。VPN和智能設置向導能夠容易地集成到任何網絡環境中，信息監控特性，包括儀表盤和實時系統日志瀏覽器，則能夠提供重要的設備/網絡運行狀態和事件監控。

這種集成式Web管理提供易于使用的簡單界面，以便配置和監控所有VPN服務，在IPSec 和SSL VPN 用戶環境中提供易于管理性?；诮巧墓芾硎构芾韱T能夠為每個遠程接入用戶/用戶組配置所有訪問控制、安全策略和認證方法。Cisco ASA 5500 系列安全設備總共提供16個可定制管理角色，使企業能夠向管理員和操作員授予對每種設備的不同訪問等級(例如：只允許執行VPN服務配置、只允許執行防火墻服務配置、只允許監控或者只提供對配置的只讀訪問等)。

另外，Cisco Adaptive Security Device Manager 還能全面管理所有威脅防御特性，通過同一個控制臺配置和保護VPN連接的各個方面。

Cisco ASA 5500系列平臺概述

Cisco ASA 5500 系列共包括五個型號：5505、5510、5520、5540和5550(見圖3)，能夠為從小型辦公室到企業總部的各種位置提供站點可擴展性。每種型號都使用相同的機箱，而且都提供服務可擴展性、投資保護和未來技術可擴展性。

Cisco ASA 5500系列

每臺設備都采用了帶嵌入式VPN加密加速的1-RU設計、高可靠性的無磁盤架構、配有四個10/100/1000銅線以太網端口的可擴展I/O、一個帶外管理端口、用于證書或未來擴展的USB端口以及用于增加I/O或服務模塊的擴展槽。

從性能的角度看，Cisco ASA 5500 系列能夠提供425Mbps的VPN性能，可同時支持5000 路會話。各型號的最高性能如表1所示。

表1 Cisco ASA 5500系列自適應安全設備的性能 ASA 5505ASA 5510ASA 5520ASA 5540ASA 5550

最高吞吐量 100Mbps170Mbps225Mbps325Mbps425Mbps

IPSec會話數 2525075050005000

SSL VPN會話數*2525075025005000

需要購買VPN許可證才能達到最高會話數。

總結

Cisco ASA 5500 系列為VPN部署提供了一個靈活的全特性平臺。安全的遠程接入會話可以從SSL型Web瀏覽器建立，也可以從VPN客戶端建立，因而實現了最高的靈活性和應用連接。強大的站點到站點VPN服務、豐富的檢查功能和QoS特性，為當今的應用提供了一種能夠通過安全IPSec網絡傳輸語音、視頻和數據的VPN基礎設施。

利用Cisco ASA 5500系列，不需要增加成本，也不需要提高設計、部署或運作的復雜性，就能夠將訪問控制、應用檢測和威脅防御作為VPN解決方案的一部分。管理員只需制定一個網絡策略，就可以既提高安全性，又保持網絡環境的可訪問性。

利用思科在VPN方面的豐富專業知識，企業只需部署一個集成式平臺，就可以一方面支持核心企業應用，一方面提高易于管理性和部署靈活性。

【編輯推薦】

1. 14.3.3 配置VPN、Easy VPN和DMVPN連接
2. VPN連接速度下降 禍起端口模式
3. Windows XP下實現高效安全的VPN連接