Vous êtes sur la page 1sur 6

LIVRE BLANC

CLES POUR UN DEPLOIEMENT : COMPARAISON ENTRE LES SERVEURS DE SECURITE UNIFIES ET DEDIES

CISCO ASA 5500, CISCO PIX, CISCO IPS 4200 OU CONCENTRATEUR CISCO VPN 3000 ? COMMENT CHOISIR ? Cisco Systems propose des solutions de scurit personnalisables qui rpondent aux exigences de nimporte quel environnement de dploiement. Avec sa nouvelle gamme ASA 5500, Cisco largit encore ce choix grce des serveurs de scurit adaptatifs capables de fournir sur une mme plate-forme matrielle des services de scurit et de connectivit VPN convergents. Leur ventail diversifi de services convergents pare-feu, prvention des intrusions (IPS) et anti-virus de rseau donne lutilisateur les moyens de dployer une solution largie de Dfense adaptative contre les menaces. Conue pour les services VPN, la gamme Cisco ASA 5500 met votre disposition des technologies souples qui ralisent des solutions sur mesure parfaitement adaptes aux besoins des connexions accs distant et de site site. Chaque serveur de la gamme Cisco ASA 5500 est dot de ces services VPN et de scurit, et une mme unit peut remplir plusieurs fonctions. Sur le site central, elle peut tre dploye en tant quunit convergente de prvention contre les menaces grce ses multiples technologies de contrle daccs, dinspection des applications et de dfense contre les vers, les virus et autres logiciels malveillants. Avec ses fonctionnalits VPN IPSec (IP Security) et SSL (Secure Sockets Layer), elle devient un serveur ddi daccs distant. Sur le rseau interne, elle joue le rle de passerelle de contrle daccs entre les services et assure une protection contre les vers, les virus et les logiciels malveillants que vos utilisateurs pourraient introduire leur insu. Dans les environnements des petites socits ou des agences dentreprise, les serveurs ddis de la gamme Cisco ASA 5500 ralisent une solution tout en un de services VPN et de prvention complte contre les menaces et sadaptent aux budgets et aux modles oprationnels de ces dploiements. Quels sont les facteurs de dploiement qui privilgient une unit multifonction de type Cisco ASA 5500 par rapport aux serveurs de scurit ddis comme Cisco PIX, les units de la gamme Cisco IPS 4200 ou les concentrateurs de la gamme Cisco VPN 3000 ? Dans ce livre blanc, nous explorons les raisons fonctionnelles, oprationnelles et conomiques qui justifient le choix dun serveur de scurit multifonction par rapport un serveur ddi. Le choix du dploiement entre un serveur convergent scurit / VPN et un routeur Cisco sort du cadre du prsent article, mais le lecteur trouvera une analyse dtaille de ce sujet dans le livre blanc Positioning Integrated Router Security and Dedicated Security Appliances disponible sur Cisco.com. LES FAMILLES DE SERVEURS DE SECURITE DEDIES CISCO Pour protger les rseaux de ses clients, Cisco propose des solutions serveurs dclines en quatre gammes : Cisco PIX, les serveurs Cisco IPS 4200, les concentrateurs Cisco VPN 3000 et les serveurs de scurit Cisco ASA 5500. Chacun de ces produits offre une solution adapte un large ventail de dploiements et dentreprises, depuis les petits bureaux jusquau site du sige social de lentreprise, et des PME/PMI jusquaux gants multinationaux. De plus, les serveurs de scurit Cisco PIX offrent des solutions qui sadaptent parfaitement aux environnement des petits bureaux et des bureaux domicile, ce que nous appelons SOHO (Small Office and Home Office). Voici un descriptif rapide des fonctionnalits de chaque produit et de leurs scnarios de dploiement. Serveur de scurit ddi Cisco PIX Leader de son march, la gamme des serveurs de scurit ddis Cisco PIX offre, grce ses solutions conomiques et faciles dployer, des services robustes de pare-feu sensible aux applications et de connectivit VPN, la protection multi-niveaux contre les attaques et des services scuriss de connexion de site site. Sondes de scurit Cisco IPS 4200 Les sondes de la gamme Cisco IPS 4200 protgent le rseau contre les attaques, les vers et les virus avant quils puissent affecter vos donnes et vos ressources. Les sondes Cisco IPS ralisent une protection efficace de votre rseau en contribuant la dtection, lvaluation et au blocage des logiciels dangereux vers, logiciels espions ou publicitaires, virus de rseau, etc. et lutilisation abusive des applications.

Cisco Systems, Inc. All contents are Copyright 19922005 Cisco Systems, Inc. All rights reserved. Important Notices and Privacy Statement. Page 1 of 6

Concentrateurs de la gamme Cisco VPN 3000 Les concentrateurs de la gamme Cisco VPN 3000 sont des solutions de VPN accs distant SSL et IPSec parmi les meilleures du march. Intgrant un client VPN normalis et facile utiliser ainsi que des units volutives de raccordement des tunnels VPN, ils possdent un systme de gestion qui permet lentreprise dinstaller, de configurer et de surveiller en toute simplicit ses VPN accs distant. Serveurs de scurit adaptatifs Cisco ASA 5500 La gamme Cisco ASA 5500 runit les plus rcentes avances en matire de technologies de scurit et notamment les solutions prouves de Cisco en matire de pare-feu, de prvention des intrusions, dantivirus rseau et de VPN. Equips dun progiciel de gestion unifie et conus pour des performances exceptionnelles, les serveurs de la gamme Cisco ASA 5500 sont faciles administrer et fournissent aux grandes entreprises comme aux PME/PMI des services simultans haut dbit. COMPARAISON DES CARACTERISTIQUES ET DES FONCTIONS La gamme Cisco ASA 5500 runit, sur une mme unit et dans une mme architecture de gestion, les ensembles de fonctionnalits rputs des plates-formes Cisco PIX, IPS 4200 et VPN 3000 ainsi que les solutions antivirus de Trend Micro. La convergence ainsi ralise offre des possibilits nouvelles comme la capacit de protger les connexions VPN distance contre les vers, les virus et les logiciels malveillants, une large protection contre ces mmes menaces sur lensemble du primtre et de lintrieur de rseau, sans oublier des fonctions volues dinspection et de contrle des applications. En fait, et grce lventail hautement convergent de ses services coordonns, la gamme Cisco ASA 5500 offre souvent un sur-ensemble des fonctionnalits proposes par les autres serveurs de scurit et VPN ddis de Cisco. Lampleur des fonctions de limitation des menaces offertes par une seule unit de la gamme Cisco ASA 5500 assure galement une plus grande protection contre les attaques, quel que soit lendroit o elle est dploye dans un bureau distant, sur la zone dmilitarise du sige social ou lintrieur mme du rseau. La protection contre les vers, les virus et les logiciels malveillants de mme que la scurit des applications sapplique ainsi dans des zones comme les sites distants ou lintrieur du rseau qui, pour des raisons conomiques ou de faisabilit sont gnralement ngliges. De ce point de vue, la gamme Cisco ASA 5500 amliore les dfenses gnrales du rseau et renforce du mme coup lensemble de la chane de scurit. En ce qui concerne lintgration avec les dploiements existants, la gamme Cisco ASA 5500 est pleinement compatible avec toutes les installations Cisco PIX, IPS 4200 et VPN 3000 dont peut disposer lentreprise. Comme nous lavons mentionn plus haut, tous ces serveurs ont t construits autour des mmes technologies prouves, avec pour consquence de faire pratiquement disparatre les disparits fonctionnelles entre les units de la gamme ASA 5500 et les autres produits ddis. Mieux encore, le personnel charg du dploiement de la gamme ASA 5500 peut sappuyer sur la formation dont il dispose dj et sur sa connaissance des produits PIX, IPS 4200 et VPN 3000. Le Tableau 1 dcrit lenvironnement et les fonctionnalits applicatives de chaque plate-forme :

Tableau 1. Comparaison fonctionnelle

Application Cisco ASA 5500 et Cisco PIX Serveur ASA destin aux environnements PIX 515E et 525 classiques Complte les PIX 501, 506E et 535 pour les SOHO et les siges sociaux des grandes entreprises

Services complmentaires propres ASA Services complets de prvention des intrusions Prvention des vers et des virus Antivirus de rseau Inspection approfondie des applications Groupement des VPN Emplacement modulaire pour les services

Cisco ASA 5500 et IPS 4200

Serveur ASA orient pare-feu convergent et prvention des intrusions (IPS) IPS 4200 est optimis et particulirement conomique pour les dploiements IPS seuls

Pare-feu complet Services VPN complets Emplacement modulaire pour les services Dbit trois fois suprieur Reprise des VPN avec inspection dtat QOS et OSPF pour les VPN de site site VPN propres avec protection contre les vers, les virus et les logiciels malveillants

Cisco ASA 5500 et Cisco VPN 3000

Serveur ASA destin aux services VPN IPSec accs distant et de site site pour tous les sites Serveur ASA interoprable avec les groupements VPN 3000 VPN 3000 optimis pour les dploiements VPN SSL

Cisco Systems, Inc. All contents are Copyright 19922005 Cisco Systems, Inc. All rights reserved. Important Notices and Privacy Statement. Page 2 of 6

LARCHITECTURE DE SECURITE ET LORGANISATION DU SERVICE INFORMATIQUE La taille, le modle oprationnel et la segmentation du rseau ont une influence sur le choix dune plate-forme de scurit et de connectivit VPN. Dans certains scnarios, la consolidation de multiples fonctions de scurit et de connectivit VPN sur un mme quipement rpond trs exactement aux besoins, alors que dans dautres, il est prfrable de ddier un quipement une tche spcifique. Si lon considre leur taille, les rseaux des grandes entreprises acheminent un trafic si volumineux et si complexe quils exigent souvent le dploiement d quipements ddis. Une infrastructure de scurit et de connectivit VPN appuye sur des quipements qui excutent des fonctions spcialises, voire uniques, permet une volutivit optimale, simplifie le choix des versions logicielles et les cycles de mise niveau, et permet un ajustement prcis des configurations ainsi quune meilleure segmentation du rseau. Dun point de vue oprationnel, le dploiement d quipements ddis autorise galement la rpartition des responsabilits de scurit sur le rseau entre les diffrentes quipes informatiques. Voici quelques exemples classiques de segmentations fonctionnelles qui exigent des quipements ddis de scurit et de connectivit VPN : le dploiement d quipements ddis de VPN accs distant, le dploiement d quipements ddis de prvention des intrusions pour faciliter les audits des politiques de scurit et la conformit la rglementation, ou encore la rpartition des responsabilits informatiques organisationnelles, les dploiements haute vitesse des centres de calcul pour la protection des fermes de serveurs Web et de serveurs dapplications, les pare-feu de priphrie de rseau pour linspection du trafic et le contrle daccs rsilients et haute vitesse. Pour les organisations et les rseaux de plus petite taille, le contraire est gnralement vrai. Sur les petits rseaux, comme ceux des petites socits et des bureaux distants, ainsi que dans les petites organisations informatiques, on a tendance regrouper autant de fonctions de scurit et de connectivit VPN quil est possible sur le plus petit nombre d quipements. La limitation du nombre dquipement rduit la complexit du rseau et la somme des connaissances que lquipe informatique doit matriser pour grer un systme compos de plusieurs plates-formes uniques. En soi et de manire gnrale, la consolidation des units simplifie les oprations des sites qui ne disposent que dune petite quipe informatique, souvent moins spcialise dans le domaine de la scurit. Les grandes qualits de flexibilit de la gamme Cisco ASA 5500 en font une solution idalement adapte la plupart des scnarios qui exigent des fonctions ddies ou consolides. Avec son vaste ventail de services VPN et de scurit, elle permet de runir sur un mme appareil de multiples solutions. Les serveurs de la gamme Cisco ASA 5500 peuvent tre dploys sur le site central en tant quunits convergentes de prvention contre les menaces grce leurs multiples technologies de contrle daccs, dinspection des applications et de dfense contre les vers, les virus et autres logiciels malveillants. Vous pouvez les installer en priphrie de rseau comme des pare-feu classiques ou comme des units ddies daccs distants en exploitant leurs fonctionnalits VPN. Dans les environnements des petites socits ou des agences dentreprise, ils ralisent une solution tout en un de services VPN et de prvention complte contre les menaces et sadaptent aux budgets et aux modles oprationnels de ces dploiements. Dans les dploiements de prvention des intrusions, comme les environnements o le systme IPS doit fournir des donnes pour laudit des politiques de scurit et la conformit aux rglementations, les plates-formes de la gamme Cisco IPS 4200 demeurent le choix idal. Cette infrastructure daudit offre une vision de type contrle et quilibrage pour la scurisation et la validation de ltat du rseau tout en assurant une protection polyvalente contre les attaques, les vers, les virus et les logiciels publicitaires ou malveillants, qui se superpose aux quipement dapplication des politiques. De plus, et comme il est courant de dissocier les quipes informatiques qui grent les systmes IPS et celles charges des autres fonctions de scurit les pare-feu, notamment lorganisation qui gre linfrastructure IPS prfre gnralement disposer d quipements ddis. Pour le dploiement de VPN SSL, les concentrateurs de la gamme Cisco VPN 3000 offrent les fonctions les plus volues comme Cisco Secure Desktop pour la scurit des points dextrmit, Clientless Citrix et la tunnellisation des VPN SSL pour un accs complet au rseau et aux applications. Dans les environnements o les VPN SSL sont la principale application, le concentrateur VPN 3000 demeure la plate-forme de prdilection.

Cisco Systems, Inc. All contents are Copyright 19922005 Cisco Systems, Inc. All rights reserved. Important Notices and Privacy Statement. Page 3 of 6

LE COUT DES PLATES-FORMES ET DE LEUR EXPLOITATION Cot des plates-formes Dans la plupart des cas, les fonctionnalits convergentes de la gamme Cisco ASA 5500 cotent autant, voire moins quun serveur ddi analogue des gammes Cisco PIX ou VPN 3000. Le prix de lappareil na donc pas dincidence particulire sur le choix dune solution convergente du type Cisco ASA 5500, ou ddie, du type Cisco PIX ou VPN 3000. La dcision doit sappuyer sur la comparaison des fonctionnalits offertes par les produits ainsi que sur larchitecture de scurit et le modle oprationnel de lorganisation, comme nous lavons fait ci-dessus. Pour les dploiements IPS purs, les serveurs de la gamme Cisco IPS 4200 offrent un rapport cot / performances plus intressant que ceux de la gamme Cisco ASA 5500. Cette dernire est optimise pour de larges fonctions de protection contre les menaces et de scurit des applications offertes par la convergence de son pare-feu, de son systme IPS et de son antivirus de rseau, tandis que la gamme IPS 4200 est spcifiquement conue pour les environnements IPS spcialiss. Pour les petits bureaux et les tltravailleurs (SOHO), les pare-feu des grandes socits ou encore le dploiement de VPN de site site, les serveurs de scurit Cisco PIX 501, PIX 506E et PIX 535 sont incontestablement les plates-formes les plus conomiques. La gamme Cisco ASA 5500 est conue pour les applications de services convergents sur les sites de petite taille. Si vous avez besoin dune partie des fonctions de protection contre les menaces ou encore dune connectivit VPN pure, les serveurs Cisco PIX 501 et PIX 506E sont plus conomiques pour les sites de type SOHO. Le serveur de scurit haut de gamme Cisco PIX 535 offre quant lui des performances particulirement leves 1,7 Gbits/s, et offre le meilleur rapport cots / performances de la gamme Cisco ASA 5500. De plus, comme nous lavons dj dit, les fonctionnalits des produits Cisco ASA 5500 et Cisco PIX sont pleinement compatibles, car ces appareils sont prvus pour travailler ensemble, en fonction des besoins de larchitecture de rseau. Frais dexploitation Un seul quipement, des utilisations multiples : telle est la caractristique de la gamme Cisco ASA 5500 qui lui confre des avantages tous particuliers en matire de cots, tant pour la scurit que pour la connectivit VPN (Figure 1). Le vaste ventail des services offerts par la gamme Cisco ASA 5500 et notamment le pare-feu, la prvention des intrusions, les VPN et lantivirus de rseau permet le dploiement de la plate-forme dans des environnements trs varis aux multiples exigences fonctionnelles. Ces services proviennent tous des serveurs de scurit et de connectivit VPN ddis de Cisco ce qui permet le dploiement de la gamme Cisco ASA 5500 sans avoir transiger sur les fonctions, les performances ou la simplicit de gestion. Ce concept limite le nombre de plates-formes dployer et grer tout en ralisant un environnement commun dexploitation et de gestion sur lensemble de ces dploiements, avec une simplification vidente des tches de configuration, de surveillance, de dpannage et de formation du personnel de scurit.

Cisco Systems, Inc. All contents are Copyright 19922005 Cisco Systems, Inc. All rights reserved. Important Notices and Privacy Statement. Page 4 of 6

Figure 1. Une seule unit, des utilisations multiples

Voici quelques exemples de scnarios de dploiement courants qui utilisent les plates-formes uniques et normalises de la gamme Cisco ASA 5500 : les solutions convergentes de contrle daccs, dinspection du trafic et des applications, et la protection contre les vers, les virus et les logiciels malveillants en priphrie du rseau ou sur la zone dmilitarise, les solutions convergentes de contrle daccs, dinspection du trafic et des applications, et la protection contre les vers, les virus et les logiciels malveillants lintrieur du rseau, les solutions de pare-feu classique et dinspection des applications en priphrie du rseau ou sur la zone dmilitarise, les solutions de pare-feu classique et dinspection des applications lintrieur du rseau, la connectivit VPN propre accs distant avec inspection convergente du trafic et des applications, et protection contre les vers, les virus et les logiciels malveillants, le raccordement autonome classique des VPN accs distant, les services de VPN de site site les solutions tout en un de contrle daccs, dinspection du trafic et des applications, de protection contre les vers, les virus et les logiciels malveillants et la connectivit VPN accs distant ou de site site en tous lieux.

Cisco Systems, Inc. All contents are Copyright 19922005 Cisco Systems, Inc. All rights reserved. Important Notices and Privacy Statement. Page 5 of 6

CONCLUSION Quel que soit le type de serveur convergent ou ddi choisir le dploiement de fonctions de scurit et de connectivit VPN est indispensable la protection des rseaux modernes. Le choix repose essentiellement sur la taille du rseau, larchitecture qui en dcoule, lemplacement sur le rseau et le modle dassistance informatique. Les serveurs de la gamme Cisco ASA 5500 et leur vaste ventail de services de scurit et de connectivit VPN sont particulirement adaptables et peuvent tre dploys aussi bien en tant quunits convergentes que ddies. En uniformisant la diversit des environnements de dploiement et des fonctions de scurit du rseau, la gamme Cisco ASA 5500 simplifie larchitecture du rseau et rduit du mme coup les frais de dploiement et dexploitation. La gamme Cisco ASA 5500 est une solution de remplacement avantageuse dans les scnarios de dploiement classiques des serveurs de scurit ddis Cisco PIX 515E et PIX 525 ainsi que pour les services VPN IPSec fournis par les concentrateurs de la gamme Cisco VPN 3000. Toutefois, la gamme Cisco ASA 5500 reprend les technologies propres aux gammes Cisco PIX et VPN 3000 et offre donc une compatibilit complte en termes de fonctions et de fonctionnalits avec les dploiements actuels de Cisco PIX et VPN 3000. Pour les solutions IPS et VPN SSL autonomes, les serveurs ddis de la gamme Cisco IPS 4200 et les concentrateurs Cisco VPN 3000 sont respectivement le meilleur choix possible. Pour les petits bureaux et les bureaux domicile (SOHO), les pare-feu des grandes socits ou encore le dploiement de VPN de site site, les serveurs de scurit Cisco PIX 501, PIX 506E et PIX 535 sont incontestablement les platesformes les plus conomiques et peuvent renforcer toutes les installations multisites de la gamme Cisco ASA 5500.

Sige social Mondial Cisco Systems, Inc. 170 West Tasman Drive San Jose, CA 95134-1706 Etats-Unis www.cisco.com Tl. : 408 526-4000 800 553 NETS (6387) Fax : 408 526-4100

Sige social France Cisco Systems France 11 rue Camilles Desmoulins 92782 Issy Les Moulineaux Cdex 9 France www.cisco.fr Tl. : 33 1 58 04 6000 Fax : 33 1 58 04 6100

Sige social Amrique Cisco Systems, Inc. 170 West Tasman Drive San Jose, CA 95134-1706 Etats-Unis www.cisco.com Tl. : 408 526-7660 Fax : 408 527-0883

Sige social Asie Pacifique Cisco Systems, Inc. Capital Tower 168 Robinson Road #22-01 to #29-01 Singapour 068912 www.cisco.com Tl. : +65 317 7777 Fax : +65 317 7799

Cisco Systems possde plus de 200 bureaux dans les pays et les rgions suivantes. Vous trouverez les adresses, les numros de tlphone et de tlcopie ladresse suivante :

www.cisco.com/go/offices
Afrique du Sud Allemagne Arabie saoudite Argentine Australie Autriche Belgique Brsil Bulgarie Canada Chili Colombie Core Costa Rica Croatie Danemark Duba, Emirats arabes unis Ecosse Espagne Etats-Unis Finlande France Grce Hong Kong SAR Hongrie Inde Indonsie Irlande Isral Italie Japon Luxembourg Malaisie Mexique Nouvelle Zlande Norvge Pays-Bas Prou Philippines Pologne Portugal Porto Rico Rpublique tchque Roumanie Royaume-Uni Rpublique populaire de Chine Russie Singapour Slovaquie Slovnie Sude Suisse Taiwan Thalande Turquie Ukraine Venezuela Vietnam Zimbabwe
Copyright 2005, Cisco Systems, Inc. Tous droits rservs. CCIP, le logo Cisco Arrow, la marque Cisco Powered Network, le logo Cisco Systems Verified, Cisco Unity, Follow Me Browsing, FormShare, iQ Breakthrough, iQ Expertise, iQ FastTrack, le logo iQ, iQ Net Readiness Scorecard, Networking Academy, ScriptShare, SMARTnet, TransPath et Voice LAN sont des marques commerciales de Cisco Systems, Inc.; Changing the Way We Work, Live, Play, and Learn, Discover All Thats Possible, The Fastest Way to Increase Your Internet Quotient et iQuick Study sont des marques de service de Cisco Systems, Inc.; et Aironet, ASIST, BPX, Catalyst, CCDA, CCDP, CCIE, CCNA, CCNP, Cisco, le logo Cisco Certified Internetwork Expert, Cisco IOS, le logo Cisco IOS, Cisco Press, Cisco Systems, Cisco Systems Capital, le logo Cisco Systems, Empowering the Internet Generation, Enterprise/Solver, EtherChannel, EtherSwitch, Fast Step, GigaStack, Internet Quotient, IOS, IP/TV, LightStream, MGX, MICA, le logo Networkers, Network Registrar, Packet, PIX, Post-Routing, Pre-Routing, RateMUX, Registrar, SlideCast, StrataView Plus, Stratm, SwitchProbe, TeleRouter et VCO sont des marques dposes de Cisco Systems, Inc. ou de ses filiales aux Etats-Unis et dans certains autres pays. Toutes les autres marques commerciales mentionnes dans ce document ou sur le site Web appartiennent leurs propritaires respectifs. Lutilisation du mot partenaire ne traduit pas une relation de partenariat dentreprises entre Cisco et toute autre socit. (0502R) 205226.s_ETMG_KM_4.05