高穩定度及值得信賴的作業系統



MKT-CISCO_ASA5500系列-06規範書-機密(Issue 01)

1. 須提供專為安全目的而整合多種功能之模組式硬體。

2. 可提供無限人版的防火牆使用者授權。

3. 可提供防火牆每秒傳輸速度300Mbps。

4. 可提供VPN（3DES/AES）每秒傳輸速度170 Mbps；並提供支援50個IPSec VPN peers或WebVPN（SSL VPN） peers；最多可擴充至150個IPSec VPN peers或WebVPN（SSL VPN）peers。

5. 可提供3個10/100 Fast Ethernet介面，一個管理介面，最多可擴充至5個10/100 Fast Ethernet介面。

6. 可提供每秒32,000個連結（Concurrent connections），最多可擴充至每秒64,000個連結；並提供每秒新增連結6,000個。

7. 可支援10個VLAN。

Application防火牆功能

8. 可提供下列多種應用程式之檢測與控管： HTTP、FTP、Extended Simple Mail Transfer Protocol (ESMTP)、DNS、SNMP、ICMP、SQL*Net、Network File System (NFS)、H.323 Versions 1–4、SIP、Cisco Skinny Client Control Protocol (SCCP)、Media Gateway Control Protocol (MGCP)、Real-Time Streaming Protocol (RTSP)、Telephony Application Programming Interface (TAPI)、Java Telephony Application Programming Interface (JTAPI) over Computer Telephony Interface Quick Buffer Encoding (CTIQBE) protocol、GPRS Tunneling Protocol (GTP)、Lightweight Directory Access Protocol (LDAP)、Internet Locator Service (ILS)、Sun Remote Procedure Call (RPC)、NetBIOS、RSH、XDCMP。

9. 可提供檢查HTTP指令是否符合RFC所定義（可針對每個session檢測）、MIME內容、以及URI的長度，有效阻擋web-based的攻擊。

10. 可提供偵測出隱藏在port 80中的其他非HTTP流量，包括：AOL Instant Messenger、Microsoft Messenger、Yahoo Messenger等instant messaging應用程式；以及KaZaA、Gnutella等peer-to-peer file sharing應用程式；以及GoToMyPC等Thwarts tunneling應用程式。

11. 可提供FTP防護功能，僅允許特定的FTP指令存取FTP伺服器。

12. 可提供進階郵件防護功能，僅允許RFC1869中所定義之Enhanced SMTP（ESMTP）指令，包括：AUTH、DATA、EHLO、 ETRN、HELO、HELP、MAIL、NOOP、QUIT、RCPT、RSET、SAML、SEND、SOML與VRFY，存取郵件伺服器。

13. 可支援檢測多媒體資料及H.323 version1~4規格之視訊會議應用程序：NAT/PAT support for H.323、Direct Call Signaling（DCS）、Gatekeeper Routed Call Signaling (GKRCS)、Apple QuickTime、Microsoft NetMeeting、RealNetworks RealAudio/RealVideo等。

14. 可提供SIP-based或SCCP-based網路電話的NAT與PAT功能，讓語音流量可以在多協定並存的VoIP環境中順暢的穿越NAT與PAT的機制。

15. 可提供下列VoIP與多媒體協定之應用支援與控管：NAT/PAT support MGCP、NAT support for the Real Time Streaming Protocol (RTSP)。

16. 可支援GPRS Tunneling Protocol（GTP）。（需選購GTP License）

Anti-X功能

17. 可透過選購擴充模組具備應用程式偵測能力，能夠偵測出已知與未知的攻擊，包括DoS攻擊、malware、worms、network viruses、Trojan horses、Spyware、Adware等application的流量，並加以阻斷。

18. 可透過選購擴充模組具備Stateful pattern recognition、Protocol analysis、Traffic anomaly detection與Protocol anomaly detection入侵偵測技術。並具備Layer 2分析能力，能偵測出man-in-the-middle攻擊。

19. 可透過選購擴充模組具備針對駭客「迴避偵測技術」的檢測能力包括：IP fragmentation reassembly/normalization、TCP stream reassembly/normalization、TCP evasion control、IP antispoofing與deobfuscation services，以防止偽裝或仿冒之封包通過。

20. 可提供將數個事件（events）進行即時交叉分析（correlation），整合辨識出一個安全威脅更高 event 以偵測出更複雜的攻擊行為的功能，提高攻擊辨識的準確度，並降低警示的數量。

21. 可透過選購擴充模組具備同時提供IDS與IPS（inline）防護，並支援Layer 2 Transparent Bridging模式。

22. 可透過選購擴充模組具備使用者自行定義專屬的偵測規則設定方式。

23. 可提供廣泛的攻擊保護功能，DNSGuard、FloodGuard、FragGuard、MailGuard、IPVerify, 與TCP intercept。

24. 可提供TCP stream重組與流量標準化功能，偵測隱藏的惡意程式。

25. 可搭配支援軟體擴充網際網路網站過濾（URL Filtering）功能，限制內部使用者對色情、暴力等不當網站的存取限制。

26. 可提供ActiveX、Java過濾功能，檢查ActiveX與Java applets。

網路控管功能

27. 可提供使用者設定inbound與outbound的Access Control List只在特定的時間範圍內執行。

28. 提供Dynamic, Static與Policy-based的NAT（Network Address Translation）以及PAT（Port Address Translation）功能，可將非法IP以一對一或多對一的方式轉換成合法IP連上網際網路，解決IP不足之問題。

VPN功能

29. 可提供在VPN clients要求VPN連線時，會先檢查VPN clients的種類、版本、作業系統版本、以及是否有安裝並啟動主機型IPS，如果不符合安全政策，VPN連線要求會被拒絕，或只能有專為不符安全的VPN clients群組的存取權限，並會自動供新VPN clients的設定與軟體，以防止VPN成為安全漏洞。

30. 可支援IETF UDP wrapper機制與NAT traversal功能，VPN連線可以安全的進出有NAT與PAT的環境。

31. 可提供無限人版的VPN clients軟體。

32. 可支援遠端存取的VPN叢集（Clustering）與Load Balancing功能，多台ASA 5500系列與Cisco VPN 3000系列可形成叢集。

33. 可支援OSPF路由協定經由VPN，向其他使用OSPF路由協定的網路設備更新routing table。

34. 可支援Simple Certificate Enrollment Protocol (SCEP)，並支援Baltimore、Cisco、Entrust、iPlanet/Netscape、Microsoft、RSA與 VeriSign的X.509。

35. 可支援X.509 certificates在多層次CA認證架構環境中的應用，並支援4096-bit RSA keys與1024 bits DSA。

HA功能

36. 可支援兩台設備透過內建機制達到Active/Standby備援（Failover）功能，並可支援stateful VPN備援，兩台設備在進行備援時，VPN連線不會斷線。

網路整合功能

37. 可提供Security Contexts（Virtual Firewall）虛擬防火牆功能，讓多個防火牆可以整合至一個實體防火牆中。（需選購Security Context License）

38. 可提供Transparent Firewall（bridging）模式，不需要改變原有網路的IP位址，連接防火牆不同介面的不同網路可以是同一網段，方便防火牆的部署；並提供針對非IP的流量設定Access Control List加以控管的功能。

39. 可支援IPv6，並對IPv6流量進行 深層檢測、控制與管理。

40. 可支援PIM Sparse mode，強化對IGMP的multicast支援。

41. 可支援QoS功能，包括Low Latency Queuing（LLQ）與Traffic Policing。

管理功能

42. 需內建GUI之設定管理介面，管理者僅需準備瀏覽器（Web Browser）即可管理設定，並可透過此介面即時監控記憶體使用量。

43. 對設備進行遠端管理時，設備與管理者電腦之間傳輸的資料都經過SSHv2加密。

44. 內建認證服務，不需外部RADIUS伺服器，便可直接與Microsoft Active Directory、Microsoft Windows Domains、Kerberos、LDAP以及RSA SecurID整合，方便對VPN clients的認證管理。

45. 可支援標準的TACACS+/RADIUS，提供使用者進出網路之認證，並可產生TACACS+ AAA報告，追蹤人員的認證紀錄，以及設定被修改的紀錄。

46. 可在防火牆偵測駭客攻擊時提供即時的警告訊號(Alert)，傳至螢幕或是E-mail。

................
................

In order to avoid copyright disputes, this page is only a partial summary.

Google Online Preview   Download