Cisco ASA با سرویس‌ های FirePower ، اولین Firewall سازگار و با رویکرد تهدید محورِ نسل بعدی (NGFW)، در صنعت می‌باشد که برای دوره‌ی جدیدی از تهدیدها و همچنین محافظت پیشرفته در مقابل بدافزارها (Malware) طراحی شده است. توسط این تکنولوژی، یک فرآیند دفاع یکپارچه در مقابل دامنه‌ای از حملات، در حین بروز حمله و همچنین قبل و بعد از آن ارائه می‌گردد. این کار از طریق ترکیب قابلیت‌های امنیتی تایید شده‌ Firewall Cisco ASA، با تهدید Sourcefire پیشرو در صنعت و Advanced Malware Protection یا AMP انجام می‌پذیرد که در یک دستگاه واحد، جمع می‌شوند.

این راهکار به طور انحصاری قابلیت‌های Firewall نسل بعدی Cisco سری ASA 5500-X را فراتر از قابلیت‌های مربوط به راهکارهای فعلی NGFW پیش می‌برد. Cisco ASA با سرویس‌های FirePower، به ارائه مقیاس و زمینه مورد نیاز در یک راهکار NFGW جهت محافظت از یک کسب‌ و‌ کار کوچک یا متوسط، یک شرکت توزیع‌کننده یا Datacenter مجزا می‌پردازد.

محافظت چند لایه‌ای مطلوب Cisco ASA با سرویس‌ های FirePOWER

این تکنولوژی، نسل جدیدی از سرویس‌های متمایز امنیتی با تمرکز بر تهدیدات را برای Firewall‌های نسل بعدی Cisco سری ASA 5500-X  و محصولات امنیتی Cisco سری ASA 5585-X ارائه می‌نماید. این سرویس می‌تواند یک محافظت فراگیر از تهدیدهای شناخته شده و پیشرفته را به عمل ‌آورد که محافظت در برابر حملات بدافزاری مداوم و هدفمند را نیز در بر می‌گیرد (شکل 1). Cisco ASA، یک Firewall Stateful از نوع Enterprise می‌باشد که در سطح وسیع در سراسر جهان پیاده‌سازی می‌شود. Cisco ASA با سرویس‌های FirePower از قابلیت‌های فراگیر زیر برخوردار می‌باشد:

• کلاستربندی پیشرفته، دسترسی Remote با VPN و Site-to-Site که یک دسترسی کاملا ایمن با عملکرد و دسترس‌پذیری بالا را با هدف تضمین تداوم در کسب‌ و کار ارائه می‌نماید.
• Granular AVC یا قابلیت دید و کنترل برنامه Granular، که می‌تواند بیش از 4000 کنترل‌ مبتنی بر ریسک و برنامه-لایه (Application-Layer) را که Policyهای شناسایی تهدیدات IPS (سیستم جلوگیری از نفوذ) را فعال می‌کنند، به منظور بهینه‌ نمودن اثر‌بخشی امنیتی پشتیبانی نماید.
• IPS نسل بعدی Cisco ASA یا به اختصار (NGIPS) می‌تواند روند پیشگیری بسیار موثری را در مورد تهدیدات ارائه نموده و اطلاعات زمینه‌ای جامعی در مورد کاربران، زیرساخت، برنامه‌ها و محتوا فراهم نماید که در نتیجه این امر، تهدیدات Multivector شناسایی شده و واکنش دفاعی به صورت خودکار صورت می‌گیرد.
• فیلترینگ URL بر اساس دسته‌بندی و اعتبار این قابلیت را ایجاد می‌کند که فرآیند اعلان هشدار و کنترل جامع بر روی ترافیک مشکوک وب اجرا شده و Policyها نیز بر روی صدها میلیون URL در بیش از80 دسته‌بندی اجرا گردند.
• AMP نیز قابلیت اثربخشی در روند شناسایی نقض‌ها، Sandboxing، هزینه پائین مالکیت و محافظت مطلوب را ارائه می‌نماید که به شناسایی، درک و همچنین توقف بدافزارها و تهدیدهایی که در سایر لایه‌های امنیتی از بین نرفته اند، کمک می‌کند.

شکل 1- ویژگی‌های مهم امنیتی  Cisco ASA با سرویس‌های  FirePower

قابلیت دید استثنایی در شبکه

Cisco ASA با سرویس‌‌ های FirePower، به صورت متمرکز و از طریق Cisco Firepower Management Center (که قبلا با نام مرکز مدیریت Cisco FireSight) مدیریت شده و قابلیت کنترل و همچنین یک دید جامع نسبت به عملکرد را در شبکه ایجاد می‌نماید. این قابلیت دید، شامل کاربران، تجهیزات، ارتباطات بین ماشین‌های مجازی، آسیب‌پذیری‌ها، تهدیدها، برنامه‌های  Client-Side، فایل‌ها و وب‌سایت‌ها می‌شود. نشانه‌های عملی و کلی خطر و تهدیدات می‌تواند اطلاعات مربوط به شبکه و وقایع Endpoint را مرتبط ساخته و دید بهتر و کامل‌تری را نسبت به آلودگی‌های بدافزاری ایجاد نماید. ابزارهای مدیریتی Cisco در سطح Enterprise به مدیران کمک می‌کند تا پیچیدگی‌های مربوط به قابلیت دید و کنترل ناسازگار در پیاده‌سازی NGFW را کاهش دهند. همچنین Cisco Firepower Management Center، اطلاعاتی را در مورد مسیر فایل بدافزار ارائه می‌کند که در شناسایی آلودگی و تعیین دلیل اصلی آن موثر بوده و بنابراین زمان اصلاح و ترمیم مشکل را تسریع می‌نماید.

یک روند مدیریت متمرکز و مقیاس‌پذیر برای جریان‌کاری در عملیات‌های شبکه، توسط سیستم مدیریت امنیت Cisco ارائه می‌گردد. لازم به ذکر است که این سیستم مجموعه‌ای از قابلیت‌های مهم را ترکیب می‌نماید که برخی از آنها عبارتند از: مدیریت اشیاء و Policy‌‌ها، مدیریت رویداد، گزارش دهی و عیب‌یابی برای Firewall Cisco ASA در هنگام استفاده از Cisco FirePower Management Center .

Cisco Adaptive Security Device Manager یا به اختصار  ASDM 7.3.x، برای مدیریت Local و On-Device جهت پیاده‌سازی در کسب‌ و‌ کارهای کوچک و متوسط، این قابلیت را داراست که کنترل دسترسی و مدیریت فرآیند دفاع در مقابل تهدیدات پیشرفته را میسر سازد. ASDM 7.3.x با ارائه یک واسط کاربری پیشرفته، دیدگاهی در مورد روندها و توانایی حرکت سریع در مسیرهای مختلف جهت تحلیل و بررسی بیشتر را ایجاد می‌کند.

شکل 2- Cisco FirePower Management Center : داشبوردهای جامع و سطح بالای با قابلیت حرکت و بررسی دقیق

 

کاهش هزینه‌‌ و پیچیدگی‌ها با استفاده از Cisco ASA با سرویس‌ های FirePower

با ادغام یک رویکرد یکپارچه با فرآیند دفاع از تهدیدات توسط Firewall Cisco ASA با سرویس‌های FirePower از هزینه سرمایه، هزینه‌های عملیاتی و همچنین پیچیدگی‌های اجرایی کاسته می‌شود. این تکنولوژی به راحتی با محیط‌های IT، جریان کاری و ساختار شبکه ادغام می‌شود. مجموعه این تجهیزات کاملا مقیاس‌پذیر بوده و با سرعت‌های بیش از چندین گیگابایت نیز اجراء می‌گردد؛ علاوه بر موارد فوق، امنیت خوبی را در شعب، Edge یا لبه Internet و Datacenterها در هر دو فضای فیزیکی و مجازی ایجاد می‌نماید.

مدیران IT سازمان‌ها، با استفاده از Cisco FirePower Management Center، از این قابلیت برخوردار خواهند بود که عملیات‌ها را تسهیل و تهدیدها را به یکدیگر مرتبط نموده و تاثیر آنها را ارزیابی کنند، ضمن اینکه سیاست‌های امنیتی را به صورت خودکار تنظیم و هویت کاربران را به راحتی با رویدادهای امنیتی مرتبط نمایند. همچنین Cisco FirePower Management Center قادر است به طور مداوم چگونگی بروز تغییرات در شبکه را در طول زمان مانیتور کند. همچنین ارزیابی تهدیدات جدید به صورت خودکار صورت می‌گیرد تا مشخص گردد که کدام یک از آنها بر کسب‌ و‌ کار موردنظر تاثیر‌گذار می‌باشند. سپس روند پاسخگویی بر اصلاحات متمرکز شده و فرآیندهای دفاعی شبکه با شرایط در حال تغییر تهدیدات مطابقت می‌یابند. علاوه بر آن فعالیت‌های امنیتی مهم و حیاتی مانند تنظیم Policyها به صورت خودکار انجام می‌پذیرد که در نتیجه این امر علاوه بر صرفه‌جویی در زمان و میزان تلاش‌های صورت‌گرفته در این زمینه، محافظت و اقدامات متقابل نیز در یک وضعیت مطلوب نگه داشته می‌شود.

در واقع Cisco FirePower Management Center از طریق eStreamer API با راهکارهای امنیتی Third Party ادغام می‌گردد تا جریان‌های کاری عملیات را تسهیل نموده و با ساختارهای شبکه کنونی مطابقت یابد.

مزایای استفاده از Firewall Cisco ASA  با سرویس‌های FirePower

در ادامه این مقاله، به ارائه جدولی می پردازیم که در آن بهترین ویژگی‌ها و مزایای Firewall Cisco ASA با سرویس‌های FirePower معرفی شده است:

ویژگی	مزایای ویژگی مورد نظر
Firewall نسل بعدی یا Next-Generation Firewall	اولین NGFW در صنعت با تمرکز ویژه بر تهدیدات که قابلیت‌ عملکرد Firewall ASA، محافظت پیشرفته در مقابل تهدیدات، شناسایی و اصلاح پیشرفته‌ی نقض‌ها را به صورت ترکیبی در یک دستگاه واحد ارائه می‌نماید.
Firewall ASA  مورد تائید	مسیریابی دقیق، Firewall Stateful، تبدیل آدرس شبکه و کلاستربندی پویا جهت دستیابی به عملکرد مطلوب و دسترسی کاملا ایمن و قابل اطمینان با Cisco AnyConnect VPN
NGIPS  منحصر بفرد	پیشگیری از تهدیدات و کاهش تهدیدات شناخته شده و شناخته نشده
محافظت پیشرفته در مقابل بدافزارها  (Malware)	قابلیت انجام عملیات شناسایی،Block  نمودن، ردیابی، آنالیز و اصلاح؛ جهت محافظت سازمان ها در مقابل حملات هدفمند و مداوم بدافزارها
هوشمندی کامل	اجرایPolicyها بر اساس دید کاملِ کاربران، تجهیزات سیار (Mobile)، برنامه‌های سمت Client، ارتباط بین ماشین‌های مجازی، آسیب‌پذیری‌ها، تهدیدها و URLها
کنترل برنامه و فیلترینگ  URL	کنترل لایه-برنامه یا Application-Layer (نسبت به برنامه‌ها، موقعیت‌های جغرافیایی، کاربران، وب‌ سایت‌ها) و توانایی اعمالPolicyهای شناسایی و کاربرد بر اساس URLها و برنامه‌های سفارشی
مدیریت در سطح سازمان	داشبوردها و گزارشات مربوط به بررسی دقیق Hostها، برنامه‌ها، تهدیدات و شاخص‌های خطر شناسایی شده برای قابلیت دید جامع و فراگیر
تسهیل خودکار‌سازی عملیات	کاهش هزینه‌های عملیاتی و پیچیدگی‌‌های اجرایی با همبستگی و ارتباط تهدیدات، ارزیابی تاثیر، تنظیم خودکار Policyهای امنیتی و شناسایی کاربران
هدفمند و مقیاس‌پذیر	معماری کاملا مقیاس‌پذیر که در سرعت‌های چند گیگابایتی اجرا می‌شود، ایجاد امنیت مطلوب در شرکت‌های کوچک، دفاتر شعب، لبه Internet و Datacenterها در فضاهای فیزیکی و مجازی
مدیریت On-Device	تسهیل روند مدیریت نمودن فرآیندهای دفاعی پیشرفته برای کسب‌ و ‌کارهای کوچک و متوسط با پیاده‌سازی در مقیاس کوچک
دسترسی Remote با VPN	دسترسی ایمن به شبکه را فراتر از لپ‌تاپ‌های سازمان برده و صرف‌نظر از موقعیت فیزیکی، آن را به تجهیزات سیار شخصی گسترش می‌دهد، برای راهکار Cisco AnyConnect Secure Mobility  و با قابلیت VPN به صورت  Granular در سطح برنامه و همچنین Clientهای Apple iOS و Android VPN  پشتیبانی می‌شود.
Site-to-Site VPN	از ترافیک شامل VoIP و داده‌های برنامه Client-Server در سازمان‌ها و دفاتر شعب پشتیبانی می‌نماید.
دسترسی یکپارچه Wireless	Wi-Fi یکپارچه در (Desktop Form Factor (ASA 5506W-X برای پیاده‌سازی ساده و فشرده در دفاتر کوچک در دسترس می‌باشد.
Form Factor  مقاوم	این مدل (ASA 5506H-X) که به طور خاص برای شرایط محیطی ویژه طراحی شده است، برای برنامه‌های کنترل و زیرساخت‌های حیاتی در دسترس می‌باشد.
اکوسیستم تکنولوژی Third-Party	ادغام امنیت متن باز با Snort و OpenApplID جهت دسترسی به منابع و توانایی سفارشی‌سازی امنیت برای توضیح سریع برنامه‌ها و تهدیدات جدید و خاص
Collective Security Intelligence  یا CSI	هوشمندی بی نظیر Reputation برای وب و امنیت می‌تواند آگاهی از تهدیدات Real-Time و محافظت امنیتی را ارائه ‌نماید.