思科首次攻破新一代防火墙，给人留下深刻印象

去年5月，当我们测试下一代防火墙时，至少有一家重要的安全供应商不在那里:思科(Cisco)，因为他们还没有准备好接受测试。现在ASA CX下一代防火墙已经有一年的时间成熟了，我们对产品进行了测试，使用的方法与上次的NGFW测试相同。

当我们去年5月测试了下一代防火墙，至少有一家重要的安全厂商不在现场:思科，因为他们还没有准备好接受测试。现在ASA CX下一代防火墙已经有一年的时间成熟了，我们对产品进行了测试，使用的方法与上次的NGFW测试相同。

我们发现思科有一个出色的产品，具有良好的覆盖范围和强大的应用识别和控制功能。已升级到ASA防火墙的“-X”版本的企业安全经理(在RSA宣布)可以在他们的数据中心和分支机构的硬件上添加下一代特性，并获得直接的好处。2020欧洲杯预赛

还没有升级硬件或正在考虑从其他供应商更换硬件的网络管理人员应该在决定是否使用思科ASA之前进行一次竞争性扫描。我们发现ASA CX是一个可靠的“版本1”努力，但思科在改进管理、集成、威胁缓解和应用程序控制方面仍有大量工作要做，ASA CX的工作仍在进行中。

介绍ASA CX

当思科决定为其ASA防火墙添加下一代功能时，它一定面临着一项艰巨的任务:如何采用成熟的防火墙架构并添加下一代功能，特别是应用程序识别和控制，这是安全经理们所要求的。所谓下一代功能，我们指的是应用程序识别和控制。思科在2009年尝试了这一点，当时它添加了模块化策略框架，为ASA带来了许多应用层控制。强积金不是在现有的安全策略之上，而是在现有的安全策略之上，而不是精细构造的NAT和现有ASA防火墙的策略规则。

ASA 5515-X是一个标准的ASA防火墙，带有一个额外的处理模块，称为“CX”(用于“上下文”)，用于处理应用程序标识和控制。在ASA 5512-X到5555-X之间，CX下一代防火墙作为一个软件模块运行。在高端ASA 5585-X中，思科目前有两款硬件加速器(SSP10和SSP20)，另外两款型号(SSP40和SSP60)计划在年底发布，旨在将ASA吞吐量提高到10Gbps或更高。

运行CX确实会带来性能损失。例如，我们测试的ASA 5515-X的原始防火墙吞吐量为1.2Gbps，但下一代吞吐量仅为350Mbps。与其他下一代防火墙相比，5515-X的标价为5600美元，提供了非常有竞争力的价格/性能。

对于思科的工程师来说，添加CX下一代功能意味着要么回到ASA的绘图板上，要么在不造成太大破坏的情况下插入下一代功能。思科对每一种选择都做了一点:下一代功能被粘贴在ASA的侧面，使核心防火墙完全不受干扰。这是思科在向ASA添加其他安全功能时所采用的方法，如IPS和反恶意软件扫描，并将继续采用，随着网络安全等附加功能进入ASA。

但思科也向我们承诺，在2013年底之前，它会认真考虑一个统一的管理系统，将ASA和下一代功能整合到一个单一的GUI中。即使安全特性是由非常独立的策略引擎运行的，好的策略管理工具也可以为构建防火墙策略的安全管理人员提供统一的体验。

但在我们当前测试的9.1版本中，网络管理员将非常清楚有两种不同的策略引擎在工作。ASA的下一代特性甚至不与基础ASA防火墙共享IP地址-下一代策略使用思科Prime安全管理器(PRSM)配置，这是一个完全不同于ASA防火墙的自适应安全设备管理器(ASDM)的管理系统。

基本的ASA防火墙仍然在处理访问控制、NAT和VPN。为了启用下一代特性，服务规则(模块化策略框架的一部分)中有一个条目，它定义了哪些流量被发送到防火墙的CX部分。这意味着任何流量都必须首先通过正常的访问控制规则，然后接受基于应用程序和用户标识信息的额外检查和控制。

当每个连接通过CX引擎时，将使用三种不同的策略。首先，CX引擎对SSL进行解码。接下来，它将用户身份验证信息绑定到连接。最后，应用访问控制策略，根据用户标识和应用层信息(包括应用id、应用类型、URL分类)和用户标识来阻止或允许连接。

虽然大多数应用程序标识和控件都在新的CX策略集中，但它们并不是全部——在CX之前作为模块化策略框架的一部分添加到ASA中的所有内容仍然在核心ASA中。这将导致一些重叠和混淆，因为您必须在两个地方查找非常相似的应用程序控件。

在某些地方，CX和ASA强积金完全重叠;在其他领域，劳动分工更为直观。思科告诉我们，他们的工程师正在制定一份为期18个月的路线图，将应用层功能推进到CX代码中，并将通用服务(如基于身份的访问控制)转移到ASA基础中，预计每一次发布都会有进展。

目前发布的ASA 5515-X硬件可以选择运行IPS或下一代防火墙(CX)，但不能同时运行两者。思科告诉我们，IPS将在2013年底与CX代码集成，并通过一个单独的许可来启用IPS功能集。至于反恶意软件，思科没有给我们一个明确的答复。像许多安全公司一样，他们回避传统的反病毒扫描仪，因为对许多新的威胁无效。由于声誉服务完美地整合到ASA CX政策中，再加上ASA级别的僵尸网络检测，思科认为它可以坐下来，寻找提供反恶意软件保护的替代方法，而不是急着进入另一个反病毒引擎。

防火墙怎么样了?

我们通过检查ASA CX的基本防火墙功能开始了我们的测试。作为。的曾孙思科的PIX和VPN集中器3000系列在美国，ASA仍然在许多企业中占有重要地位。当我们测试ASA作为一个终端用户VPN集中器AnyConnect安全移动解决方案v3.0两年前，我们就知道企业网络经理们会很高兴的——思科提供了跨多个平台的可靠客户端支持、端点姿态评估、与他们的WSA web安全网关的集成以及可靠的性能。

虽然我们没有深入研究ASA的这一部分，但情况并没有改变，ASA作为远程访问的VPN集中器看起来仍然很不错。

在这篇综述中，我们测试了10个领域的防火墙特性，发现了一个混合包，有很强的优点，也有一些缺点。

不幸的是，我们最大的抱怨是在基本防火墙中最重要的部分:策略管理。在进入下一代应用程序控制之前，核心的ASA防火墙必须对流量进行过滤，因此策略管理非常重要。我们发现ASA策略的这一部分，即acl(访问控制列表)，存在问题。

ASA在企业防火墙中并不常见，因为它不是基于区域的(尽管Cisco IOS防火墙是基于区域的)，这意味着任何具有两个以上接口(或安全区域)的部署都可能很快变得非常复杂。例如，为了构建区分三种类型的可信用户、服务器和Internet的策略，我们必须编写比基于区域的防火墙中使用的更多的规则，在某些情况下，在不同的接口上定义两个不同方向的规则，以覆盖相同的流量。这些规则涵盖了进入一个接口的流量和离开同一接口的流量——这是一种奇怪的思维方式，需要一段时间才能适应，更重要的是，它导致了更大的规则集。

规则集越大，出错的可能性就越大，理解起来也就越困难。由于核心防火墙的默认行为是“删除所有内容”，而下一代防火墙是“允许所有内容”，所以您不希望任何内容渗透到您感到不舒服的下一代部分。

ASA缺乏VPN访问控制与其他acl的集成也是一个复杂的因素，在VPN和标准防火墙都使用同一个ASA的网络中，这可能导致人为错误。我们的建议是:不要这样做，至少不要在任何复杂的网络中。这些设备非常便宜，你可以买一个用于远程访问，另一个用于防火墙，以非常低的成本避免潜在的安全问题。

我们认为理所当然的基本防火墙领域，如NAT、VLAN支持、动态路由、联合二层/三层支持和IPv6能力，都在ASA中做得很好。

我们很失望Cisco仍然没有将BGP路由引入ASA，特别是他们已经在ASA内部的路由协议(OSPF, OSPFv3, EIGRP, RIP和一些组播路由协议)上做了令人难以置信的工作。我们都知道和喜爱的优秀路由功能集从IOS移植到ASA花了一段时间，但这是值得等待的，网络经理寻找ASA成为一个强大的参与者在他们的动态路由将会很高兴的功能。

由于我们无法使用标准的NGFW测试方法来测试BGP，所以我们改用OSPFv3将ASA集成到我们现有的IPv4和IPv6网络中，这是一个非常轻松的体验。ASA也缺少VPN和动态路由的完全集成。网络管理人员希望使用动态路由来构建基于vpn的大型广域网，他们的点对点隧道需要坚持使用IOS。我们没有测试高可用性，但是Cisco告诉我们ASA CX目前支持主动/被动故障转移，并将在明年支持主动/主动集群。

除了防火墙acl之外，我们发现了另外两个缺乏的领域:QoS强制和集中管理。我们将单独讨论集中管理，但是我们对QoS实施的测试发现ASA的特性集非常弱。大多数防火墙都有一些在拥塞期间帮助区分优先级和控制流量的能力，但ASA没有。我们发现ASA只有简单的监管(限制特定应用程序的带宽，即使有足够的可用带宽)和排队，而没有任何管理流量的尝试。QoS是一个很大的领域，ASA可以从Cisco IOS中获得很多很棒的特性。

我们认为，在其他防火墙环境中成长起来的安全管理人员，不习惯ASA的怪癖，会发现将其集成到复杂的网络中更加困难。然而，在更简单的拓扑结构中，特别是在有大量远程访问VPN的环境中，ASA适合于基本防火墙市场的其余部分，并且仍然是一个有竞争力的解决方案。

下一代应用识别和控制

如果有什么能定义下一代防火墙的话，那就是应用程序识别和控制，而ASA CX下一代特性正好瞄准了这个目标。为了评估ASA CX识别和控制应用程序的能力，我们在9个类别中使用了与去年在下一代防火墙测试中相同的41个测试场景。

在ASA CX中，应用程序控制是直接和简单的:“阻塞”或“允许”。没有其他选项，比如重定向到警告页面或发送警告(尽管这可以通过扫描日志来完成)。考虑到这一点，我们开始测试ASA CX深入应用程序的能力。

与我们一年前对其他NGFW设备进行的测试相比，ASA CX表现得出奇的好，识别率和拦截率达到了60%，基本上与我们的最佳表现(SonicWALL)持平，并勉强超过了第二好的表现Check Point。

ASA CX对许多应用程序具有很好的粒度。例如，在领英上，ASA CX允许你允许大部分领英，但屏蔽工作搜索或帖子。在某些情况下，ASA CX将应用程序分为多个类别——例如，LinkedIn有5个应用程序，Facebook有10个应用程序。在流行的应用程序中，ASA CX让我们专注于更具体的应用程序行为，如发布vs.阅读或上传vs.下载。从安全管理人员的角度来看，该设计是经过深思熟虑的，试图将安全策略映射到防火墙规则集。