Cisco ASA и Cisco ISR: выбор устройства для сети

   И в межсетевых экранах Cisco ASA, и в маршрутизаторах Cisco ISR реализована основная часть используемых технологий, например:

         •   преобразование адресов NAT; 

         •   предотвращение вторжений IPS;

         •   МСЭ;

         •   создание безопасных туннелей;

         •   защищенный удаленный доступ отдельного клиента к корпоративной сети Remove Access VPN.

   Но в брандмауэре основные защитные возможности реализованы лучше, чем они же на маршрутизаторе. Кроме того, на МСЭ они заданы по умолчанию, а маршрутизатор требует дополнительных принудительных настроек. 

   При более подробном ознакомлении с Cisco ASA, можно сказать, что:

         •   Преобразование адресов NAT осуществляется во всех возможных вариантах.

         •   В отличие от предыдущих моделей, где система предотвращения вторжений IPS имела аппаратное исполнение, в новых Cisco ASA-5500 задача решается приобретением лицензии.

         •   При определенных настройках МСЭ частично теряется функционал (зависит от ОС): это происходит в прозрачном режиме, а также множественных контекстов. В последнем случае не получится настроить такую функцию как Remove Access VPN.

         •   Remove Access VPN (три варианта) и Site-to-site IPSec VPN.

         •   В ASA-CX реализована функция мониторинга используемых пользователями приложений, проверка репутации. 

         •   Из-за отсутствия в Cisco ASA интерфейсов, аналогичных VTI в маршрутизаторе число соседей на IPSec туннелях ограничено.

         •   Для увеличения производительности сети возможно объединение до восьми МСЭ ASA-5580 или 5585-Х в кластер без потерь отказоустойчивости. При этом реальный показатель достигается 128 Гбит/с, максимальный 320 Гбит/с.

   Несмотря на то, что описанных возможностей экрана зачастую бывает достаточно, есть функции, реализованные только в маршрутизаторах:

         •   интеллектуальная маршрутизация;

         •   VPN с динамической организацией туннелей;

         •   VPN-туннели без шифрования;

         •   динамическая маршрутизация;

         •   расстановка приоритетов трафика.

Подводя итог, можно сказать, что делать выбор между маршрутизатором и сетевым экраном необходимо, исходя из решаемых задач:

         •   МСЭ Cisco ASA – эффективное решение, когда нужно обеспечить для пользователей защиту выхода в интернет, также для организации удаленного доступа.

         •   Маршрутизатор Cisco ISR – целесообразно устанавливать в удаленном офисе/филиале.

         •   В условиях головного офиса оправданно использовать оба устройства, разграничив между ними функции: сетевой экран – для фильтрации трафика, а маршрутизатор – для динамической маршрутизации.