Cisco SA 520 Security Appliance

Z jednej strony urządzenie bezpieczeństwa sieciowego Cisco SA 520 oferuje solidny zestaw funkcji: przepustowość 65 Mb/s dla IPSec VPN, całkowitą przepustowość 100 Mb/s, zintegrowany firewall (ograniczony do 100 reguł), wbudowane filtrowanie popularnych usług (takich jak IM czy P2P), SSL VPN, IPS, DDNS i obsługę dwóch łączy WAN. Z drugiej strony - niemal nie ma związku z resztą rozwiązań bezpieczeństwa Cisco.

Fizycznie SA 520 przypomina starsze urządzenie Cisco PIX 501 i oferuje podobną podstawową funkcjonalność. Ale na tym podobieństwa się kończą. O ile PIX 501 działa z systemem PIXOS, o tyle SA 520 wykorzystuje system oparty na Linuksie. Dlatego PIX 501 jest - podobnie jak "więksi bracia" z oferty Cisco - łatwe w zarządzaniu, a SA 520 - z innym systemem operacyjnym - nie ma portu konsoli ani interfejsu CLI. Jest administrowane przez interfejs oparty na przeglądarce.

Dla małych firm, poszukujących zapory oferującej do pewnego stopnia zaawansowane funkcje, Cisco SA 520 jest odpowiednim produktem. Dla specjalisty sieciowego potrzebującego końcowego urządzenia z VPN dla zdalnej lokalizacji - już nie do końca. Spełnia ono wymagania w zakresie wydajności i funkcjonalności, ale jeśli chodzi o zarządzanie, zapowiada pewne problemy. Rozpatrzmy dokładnie oba scenariusze wdrożenia.

Mała firma

Cisco SA 520 (cena od ok. 1100 zł) to przyzwoite urządzenie bezpieczeństwa sieciowego dla MSP. Ma wszystkiego po trosze: podstawowe funkcje zapory, obsługę SSL VPN (w tym portali SSL VPN), integruje się z i usługami uwierzytelniania opartymi na LDAP, pozwalając na logowanie użytkowników przez VPN z ich domenowymi loginami i hasłami.

Jednakże w standardzie SA 520 oferuje tylko dwie licencje SSL VPN z możliwością dokupienia do 25. Dziwi to w zestawieniu z faktem, że urządzenie wprost "z pudełka" umożliwia zestawienie aż 50 tuneli IPSec.

Znajdziemy w nim także obsługę dwóch interfejsów WAN z równoważeniem obciążeń, więc można znacząco zwiększyć w ten sposób niezawodność połączenia internetowego. Ponadto można tworzyć reguły obejmujące cały ruch przechodzący przez poszczególne łącza, co przydaje się, gdy dostawca internetu zakłada jakieś limity, których nie można przekroczyć.

Mamy do dyspozycji podstawowe reguły QoS, oparte na portach TCP bądź UDP, adresach źródłowych, VLAN, a nawet portach fizycznych.

Ruch może mieć priorytet: wysoki, średni i niski. SA 520 obsługuje także priorytetyzację opartą na 802.1p, co daje więcej możliwości.

Można także użyć dość zaawansowanych funkcji, w tym filtrowania adresów URL, reguł opartych na liście klientów oraz ochrony przed spamem i malware, wykorzystującej opcjonalne, licencjonowane rozwiązanie . Inną oddzielnie licencjonowaną usługą jest ochrona przed intruzami - IPS (Intrusion Prevention System), która zapewnia dodatkowy poziom bezpieczeństwa, filtrując ruch z użyciem sygnatur pobranych ze źródeł zewnętrznych.

Dodając do tego wbudowany 4-portowy przełącznik i obsługę pojedynczej DMZ, można stwierdzić, że SA 520 dobrze wpasowuje się w infrastrukturę informatyczną małego biznesu.