我打算购买 Cisco ASA 5510,但想知道我是否应该期望能够使用典型的防火墙(或者特别是使用前面提到的型号,如果你知道的话)执行问题标题中提到的事情,以及阻止特定的 HTTP 用户代理,限制 HTTP 请求体的大小,设置更复杂的限制规则,如每分钟请求数和突发限额等。
我知道这些事情可以由我的网络服务器来处理,但我希望能够卸载我的防火墙上的工作,同时也消除了由我的网络服务器来处理这些与安全相关的项目的必要性。
答案1
总体而言,您会发现 Cisco ASA 是一款出色的防火墙,您可以用它做很多事情。话虽如此,许多高级功能要么更容易配置,要么只有将 ASA 集成到 Cisco 的其他产品中时才可用。您的两种情况是其中之一:
ASA 可以使用流量监管和流量整形对每个 IP 进行限制,无需任何额外的许可证或模块。请参阅此处了解流量监管和整形示例配置。这些配置设置为通过 QoS 值或 URL 进行整形,而不是通过 IP 地址进行整形,但更改为 IP 地址很简单。 https://supportforums.cisco.com/docs/DOC-1230
对于更高级的深度数据包检测功能(例如基于用户代理的阻止或限制),您需要在 ASA 5510 中安装 AIP SSM 模块。这还使防火墙与 Cisco IPS 结合具有相当先进的 IPS 功能。要根据主机和策略规则配置 IPS 样式的阻止和避开,请参见此处: http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/products_configuration_example09186a0080afe111.shtml
答案2
这实际上取决于您购买的防火墙类型。防火墙的功能范围取决于价格和品牌。我对 Cisco ASA 5510 不太熟悉,但根据我在网上看到的价格,如果它不能做到这一点,我会感到惊讶。在我的公司,我们使用 Palo Alto 防火墙,价格稍贵一些,但它们允许我们限制请求、阻止 HTTP 用户代理以及许多其他功能。
最好的办法是联系您当地的思科经销商,并与他们讨论 ASA 5510 的功能。他们应该对产品非常了解,如果它没有提供您想要的功能,他们可能会向您展示其他型号甚至满足您需求的其他品牌。