在介绍AIP和CSC的时候,基本上都用到了抵御病毒、木马等字眼,想问一下,CSC应该是基于内容的检测把?是不是可以把它理解成为一个病毒网关?那么CSC也就是先把客户机的请求内容(如网页内容等)先存储在自身的存储器,在与自身的病毒数据库进行特征匹配,如发现符合特征的病毒文件就将其删除,是不是依靠这样的方式来实现抵御病毒、木马、间谍软件等呢?
而AIP模块的介绍中也提到了抵御病毒、木马等,它的实现方式是不是根据数据流的目标特证--如针对某个特殊端口的数据流,一旦该数据流的目标特征符合自身的IPS特征库,便对其实施阻断。
AIP模块 更多注重与基于网络传播的病毒即蠕虫的控制,类似与IPS,采用cisco IPS引擎,CSC 更多侧重在应用层的保护即深入检测,采用与趋势合作外置的管理界面,实现,尤其对于HTTP/SMTP/POP3/FTP 这四种协议得深层监控!
但是要无法完全实现UTM的功能 即ASA现在不能完全支持AIP+CSC混插,anti virus ,anti spyware ,文件过滤是basic授权,而URL控制,anti span,内容过滤等深度过滤等需要额外的plus授权。
如果应用很特殊很灵活的话建议用juniper---支持LAN WAN接口,支持复杂的透明模式应用,支持VPN冗余,支持多种动态路由协议,支持安全ZONE的管理
如果需要用到广域网接口的时候只能选juniper(不光是支持广域网接口,还支持BGP协议),ASA只支持LAN接口,juniper SSG支持外置接口模块,但是不支持服务模块。ASA不支持接口模块,支持服务模块。
如果需要同时使用IPSEC VPN和SSL VPN只能选cisco,---juniper SSG不支持 如果需要在不影响性能的情况下使用防病毒功能的话建议选cisco,ASA采用外置的AIP和CSC服务模块,来减少对机体资源的消耗。SSG 不支持外置服务模块
如果是入侵防御的话建议选juniper(限ISG1000以上),juniper的SSG ISG SRX在高端产品的确领先于ASA产品。
如果客户只是希望有这些功能但并不需要很深的话可以选择juniper。SSG包含all-in class功能,只需购买license即可,ASA需要对应plus许可,才能满足ALL功能,现在 不支持All-in CLASS功能.
平台比较:
1. juniper的产品仅限NS系列和ISG1000以上才是ASIC架构,SSG系列基本属于x86
架构,cisco的ASA也属于x86架构的。
因为SSG系列是UTM设备,所以只能做成x86架构,这样的话效率和稳定性是没有原来NS系列的高,但SSG系列也用采用ASIC设计的部分。
2. Juniper的防火墙的策略数和VIP(虚拟IP)是有数量限制的(确实存在),在需要很
多的虚拟IP的情况下只能选择ASA。
ASA的虽然没上限,但是在ACL的处理上是非常消耗CPU的,这相较于juniper的使用ASIC芯片来做的话稳定性和处理速度就慢很多了。
3. 在入侵检测IDP方面,juniper的IDP要比cisco的AIP更强劲,特征库在5500条以
上,而cisco的大概在2500条左右。
4. 在中低端的juniper的SSG系列可以满足同时有入侵防御,防病毒,防垃圾邮件,网
页过滤需要的用户群,但每种功能都是需要购买许可的,而且不支持以加模块的形式支持,也就是说,所有的功能都使用设备本身的cpu和memory,在140以下级别不建议全开,在520以上可以全开,ns5GT这种设备虽然支持3种额外功能,但是根据其内存大小会影响到具体能够开启的数量,另外,所有需要以后购买许可的设备,都要选择高内存配置版,低内存配置版除非升级内存,否则不支持这些功能;而cisco的ASA目前只支持入侵防御或内容过滤(防病毒、防垃圾邮件等)其中一者,同样需要购买许可,但是是以加模块的形式出现,对设备性能影响不大。另外,下一代AIP和CSC就会做成小卡,ASA就可以同时支持这2个了,没准还会有新的模块,那时ASA的好处应该就显露出来了。
所以,在客户的防病毒的需求较大并且资金赋予的情况下建议选ASA+CSC模块。
5. 还有一点SSG140这款防火墙在硬件参数和软件参数上来看是性价比最好的,但是购
买的时候最好确认下是否是双OS的新架构,老架构会有可能出现掉电后OS丢失的现象出现。
juniper的UTM系列的产品SSG520,550的平台还是很稳定的,在往上ISG1000以上的性能我感觉要比ASA有优势,无论是稳定性还是参数。
下面是一个比较图,未必正确
所以在选择上,基本上是从低到高:
SSG140-----ASA5510-----SSG320-----ASA5520-----SSG350-----SSG520-----ASA5540-----SSG550-----ASA5550----ISG1000/2000-----ASA5580-20-----NS5200-----ASA5580-40-----NS5400-----SRX5600-----SRX5800
SRX5600和SRX5800是juniper新出的产品,看参数真是壮观……