了解Cisco新安全工具ASA 5500

在早些时候，Cisco在拉斯维加斯的Interop会议及展览上，公布了它的全新“自适应威胁防御的多功能设备家族”。该产品取名为ASA 5500（ASA，自适应安全设备，Adaptive Security Appliance），综合多种安全功能于一体，而这些功能以前都是仅由独立设备提供的。

实际上，Cisco的最新设备所提供的多功能其实并不新鲜；Cisco的路由器本身就是以具有指令检测和防护功能，防火墙能力，以及VPN服务而为代表的。但是，一台路由器不能同时做好这一切。实际上，这个全新的专用设备，据称总共提供了18种不同的安全和网络管理功能，不仅可以在安全方面为你带来“内心的宁静”，还能解放你的路由器，让它专心的做好自己的本职工作。

什么是统一威胁管理设备？

不过，ASA 550并不真正是一个革命性的理念。实际上，它只是统一威胁管理设备（UTM，unified threat management）长长的产品线上最新的一件罢了，而这个产品线已经存在很久了。许多设备制造商提供类似Cisco ASA 550的产品，比如Fortinet，Symantec，Secure Computing，SonicWALL，ServGate，Check Point Software，以及Juniper Networks。

这些其他生产商提供可以在某些方面与Cisco ASA 5500相竞争的产品。举例来说，Fortinet的FortiGate UTM设备已经出现了相当时间了，并且该公司声称在UTM市场空间方面占有最大的市场份额。

让FortiGate与众不同的是它的“基于ASIC”的设计。这意味着它有专用的硬件处理器来执行不同的功能（比如防火墙，IPS，VPN，AV等），同时它执行这些功能的速度要快于其他生产商的产品。

工业分析师们期望对于UTM设备的需求能在接下来的几年中出现爆发性的增长。据一个IDC的研究表明，这些设备的销售额可能在2008年达到3.5亿美金。

让我们来看看对于集成UTM设备的正反两方意见，并查看一下ASA 5500为UTM的产品桌到底带来了些什么。

使用UTM设备的优点

◆节省成本

相比较原来的购买多台设备而言，通过购买单台设备，企业可以节省大量的成本。

◆协同工作能力

如果你的公司使用了多家生产商的不同防火墙，VPN，以及IPS产品，那么这些产品的协同工作性很快（很容易）就会成为一个问题。而使用单一生产商的产品则可以提供好得多的协同工作能力。

◆改进的管理

一台集成设备一般情况下都使用一个简单的管理控制台，以及改进的管理。这意味着你可以节约出更多的管理时间，而不仅仅是在金钱方面有所节省。

UTM设备的缺点

◆一损俱损
和许多IT经理一样，我依旧对那些标称“集成”的任何产品都怀有一些戒心，因为它们立刻会让我想到“一损俱损”。换句话说，如果一个部件瘫痪了，那么所有的一切就都完蛋了。

◆缺乏“最佳选择”
当使用不同制造商的分离设备时，你可以仔细挑选选择最适合工作要求以及公司需求的最佳设备。可是，如果你选择了单一生产商的话，那你就不得不接受单台设备中的所有集成产品了。

◆性能
另一个对集成产品不利的因素是，到底它是否可以在达到高载荷的情况下，依旧可以完成所有集成任务。

为何选择ASA 5500?

Cisco提供了三种版本的ASA 5500系列设备：5510，5520，以及5540。型号的数字越大，其性能和价格也就越高。

以我的观点看，ASA 5500的最大优点就是它是Cisco的产品。当我考虑使用一台Cisco产品时，我就想到了下述的优点：

◆它能和一个现存的Cisco网络很好的协同工作

◆如果你已经很熟悉Cisco IOS的话，它可以大大降低你的学习过程

◆它意味着更多可用的训练资料，以及更多的第三方生产商支持。举例来说，Cisco Press已经宣布了今年将出版三本书，覆盖ASA 5500家族。

假以时日，ASA 5500很可能会像Cisco的其他安全产品一样，占领相关市场，比如IPS 4200系列，PIX 500系列，以及VPN 3000系列。不管怎样，我始终相信，对单台集成设备中的新功能进行巩固，无论对消费者还是对生产商而言，都是一种双赢的情况。

举例来说，想想今天的移动电话：它们可以被当成PDA，电话，寻呼机，照相机，视频播放器使用，甚至可以玩视频游戏。对消费者来说，“集所有于一身”的产品意味着更少的钱和更多的功能。那么，是否未来的某一天，我们会看到Cisco在销售这样的产品——它能够“完成一切”呢？

（责任编辑:陈毅东）