常見問題問答
Cisco ASA 5500系列內(nèi)容安全和控制安全服務(wù)模塊

一般性問題

• 問：什么是Cisco ASA 5500 系列內(nèi)容安全和控制安全服務(wù)模塊（CSC-SSM）?
• 答：Cisco ASA 5500 系列 CSC-SSM是 Cisco ASA-5500 系列設(shè)備的附加服務(wù)模塊，該產(chǎn)品系列能夠在互聯(lián)網(wǎng)邊緣提供業(yè)界領(lǐng)先的威脅防御和內(nèi)容控制功能，包括完整的防病毒、防間諜軟件、文件阻擋、防垃圾郵件、防泄密(釣魚)、URL阻擋和過濾以及內(nèi)容過濾等服務(wù)。
  
  
• 問：Cisco ASA 5500 系列 CSC-SSM有哪些優(yōu)點？
• 答：以前，如果想充分利用思科提供的市場領(lǐng)先的防火墻和VPN服務(wù)以及Trend Micro提供的業(yè)界領(lǐng)先的網(wǎng)關(guān)防病毒和內(nèi)容安全解決方案，客戶必須分別從思科和Trend Micro購買相關(guān)的產(chǎn)品。Cisco CSC-SSM與Cisco ASA 5500系列專用設(shè)備結(jié)合，可把這些市場領(lǐng)先的產(chǎn)品整合成一個完整、統(tǒng)一的威脅防御解決方案，形成一個易于部署和管理的產(chǎn)品套件。
  
  
• 問：Cisco ASA 5500 系列 CSC-SSM具有哪些主要特點？
• 答：Cisco ASA 5500 系列 CSC -SSM 能夠提供以下功能：
  全面惡意軟件保護——包含Trend Micro開發(fā)的屢獲大獎的防病毒和防間諜軟件技術(shù)。CSC-SSM幾乎可以防止所有已知惡意代碼進入網(wǎng)絡(luò)和在網(wǎng)絡(luò)中傳播，因而能避免關(guān)鍵業(yè)務(wù)應(yīng)用和服務(wù)遭到破壞，保證關(guān)鍵系統(tǒng)和員工能夠正常工作，并減少成本高昂的感染后的清除工作。
  高級內(nèi)容過濾——將URL過濾、內(nèi)容過濾和防泄露技術(shù)集成在一起，防止企業(yè)和員工盜竊保密信息，并減少因內(nèi)容違反了網(wǎng)絡(luò)使用規(guī)定而需要承擔(dān)的法律責(zé)任。該模塊可以幫助企業(yè)遵守網(wǎng)絡(luò)內(nèi)容規(guī)范，例如醫(yī)療保險便攜與責(zé)任法案（HIPAA）、Sarbanes-Oxley（SOX）和數(shù)據(jù)保護法案。
  集成消息安全——集成了防垃圾郵件技術(shù)，可以在垃圾電子郵件進入郵件服務(wù)器之前就刪除掉其中的絕大部分，不但能提高員工的生產(chǎn)率，還能防止浪費寶貴的網(wǎng)絡(luò)帶寬和存儲資源。
  定制和調(diào)試功能——使管理員能夠?qū)]件和內(nèi)容功能實施定制控制，以滿足特殊公司策略或網(wǎng)絡(luò)環(huán)境的要求。
  易于管理和自動更新功能——為簡化初始配置、部署和持續(xù)運行，該產(chǎn)品提供智能缺省設(shè)置以及與自適應(yīng)安全設(shè)備管理器（ASDM）集成在一起的直觀界面。由于所有CSC-SSM組件都能自動更新，包括掃描引擎和模式匹配文件，因此，只需少量管理投入就能使網(wǎng)絡(luò)免受最新威脅的入侵。
• 問：該產(chǎn)品共包含幾個型號？
• 答：共有兩個型號——CSC-SSM-10和 CSC-SSM-20。這兩個型號都可以與 Cisco ASA 5510和 5520 配合使用。CSC-SSM-10 適合支持用戶人數(shù)不超過500人的機構(gòu)，CSC-SSM-20則適合支持用戶人數(shù)低于1000人的機構(gòu)。Cisco ASA 5540平臺可以支持這兩種CSC模塊，但由于該平臺具有1000人的用戶容量，因而這種組合不是最佳配置。
• 問： Cisco ASA 5500系列 CSC-SSM包含哪些特性和服務(wù)？
• 答： Cisco ASA 5500 系列CSC-SSM提供的缺省特性集包含防病毒、防間諜軟件和文件阻擋服務(wù)。如果購買了另行收費的Plus許可證，還將提供很多其它功能，包括防垃圾郵件、防泄密、URL阻擋/過濾和內(nèi)容控制服務(wù)。這些可選特性許可證將對每個CSC-SSM額外收費。另外，各機構(gòu)還可以通過另行購買和安裝用戶許可證的方法擴大用戶支持量。缺省情況下，CSC-SSM-10和CSC-SSM-20型號分別支持50名和500名用戶。需要增加用戶時，可以選用數(shù)目不同的許可證，CSC-SSM-10可選用100人、250人和500人的許可證，CSC-SSM-20可以選用750人和1,000人的許可證。表1列出了CSC-SSM的標準和可選許可證。
  表1 標準特性和可選特性
  

CSC-SSM 硬件	標準許可證	可選許可證
		用戶升級（總用戶數(shù)）	特性升級
CSC-SSM-10	50 名用戶 防病毒、防間諜軟件、文件阻擋	100名用戶 250名用戶 500名用戶	Plus許可證——增加了防垃圾郵件、防泄密、URL阻擋/過濾和內(nèi)容控制
CSC-SSM-20	500名用戶 防病毒、防間諜軟件、文件阻擋	750名用戶 1000名用戶	Plus 許可證——增加了防垃圾郵件、防泄密、URL阻擋/過濾和內(nèi)容控制

• 問：Cisco ASA 5500 系列CSC-SSM一般部署在什么地方？
• 答： Cisco ASA 5500 系列 CSC-SSM 和設(shè)備一般部署在各機構(gòu)或外部網(wǎng)絡(luò)之間的邊界，例如互聯(lián)網(wǎng)連接點。將這些設(shè)備部署在互聯(lián)網(wǎng)邊緣之后，CSC-SSM將位于用戶與互聯(lián)網(wǎng)之間，這樣，管理員就可以選擇哪些流量應(yīng)該經(jīng)過CSC-SSM掃描。
  
  
• 問：“用戶”的概念是什么？
• 答：為確定用戶數(shù)目，只有在24小時內(nèi)擁有一個唯一的IP地址的接口才算作一個用戶，但安全等級最低的接口不算。通俗地說，用戶指的是非“外部”接口（由接口的安全等級確定）上可以看到的IP地址。
• 問：Cisco ASA 5500 系列 CSC-SSM 提供哪種防病毒保護？
• 答：Cisco ASA 5500 系列 CSC-SSM 提供基于文件的防病毒保護，可以預(yù)防病毒、特洛伊木馬、惡意代碼、宏病毒及其它惡意軟件。CSC-SSM將作為透明代理，對通過ASA 5500設(shè)備的文件和分組進行檢查，因而能夠在惡意內(nèi)容對目標系統(tǒng)構(gòu)成危害之前就成功截獲它們。在這種運行模式下，CSC-SSM還能向用戶通報可疑文件或內(nèi)容的刪除情況，以及采取這些措施的過程和原因。
  
  
• 問：防病毒技術(shù)是否能掃描壓縮文件？
• 答：是的，它能夠在多個層次上對壓縮文件進行掃描，過程是先對文件進行解壓縮，掃描內(nèi)容，然后再壓縮文件。
  
  
• 問：防病毒簽名表多長時間更新一次？
• 答：Trend Micro TrendLabsSM 每個星期為Cisco ASA 5500 系列 CSC-SSM發(fā)布一或多次常規(guī)模式更新，而緊急更新則提供得更為頻繁，以防止新出現(xiàn)的威脅在客戶中傳播。
  
• 問：Cisco ASA 5500系列CSC-SSM是否獲得了ICSA或其它證書？
• 答：是的，Cisco ASA 5500 系列CSC-SSM基于Trend Micro開發(fā)的屢獲大獎的互聯(lián)網(wǎng)網(wǎng)關(guān)技術(shù)，已經(jīng)獲得了很多行業(yè)證書，包括ICSA的網(wǎng)關(guān)防病毒證書、西海岸實驗室為防間諜軟件頒發(fā)的Checkmark證書以及Veritest的防垃圾郵件證書。CSC-SSM目前正在接受ICSA的評估。
  
  
• 問：Cisco ASA 5500 系列 CSC-SSM是如何進行管理的？
• 答：對于大多數(shù)部署，Cisco ASA 5500 系列CSC-SSM 都配有相應(yīng)的缺省設(shè)置。設(shè)置、管理和監(jiān)控都可以通過Cisco ASDM進行，ASDM提供的設(shè)置向?qū)軌蚣せ頒SC-SSM和安全策略規(guī)則表，以便管理員確定需要CSC-SSM掃描的相關(guān)流量。
  
  
• 問：如何管理多個Cisco ASA 5500 系列 CSC-SSM？
• 答：多個CSC-SSM設(shè)備可以利用即將出臺的Trend Micro Control Manager （TMCM）新版本進行集中管理。該軟件由Trend Micro免費提供。 TMCM可以集中管理多個CSC-SSM模塊以及機構(gòu)內(nèi)的其它Trend Micro產(chǎn)品。對于混合部署了多種CSC-SSM和Trend Micro產(chǎn)品的大型機構(gòu)，這種方法能夠為所有防病毒及其它相關(guān)功能和技術(shù)提供“一站式”管理。
  
  
• 問：Cisco ASA 5500 系列 CSC-SSM能夠阻擋哪種攻擊？
• 答： Cisco ASA 5500 系列 CSC-SSM 使用HTTP、FTP、SMTP和 POP3 產(chǎn)品檢測和防止非法內(nèi)容和惡意軟件進入網(wǎng)絡(luò)，這其中包括基于文件的病毒、間諜軟件、目錄收獲攻擊、垃圾郵件和竊密。由于它能夠防止惡意軟件到達桌面或服務(wù)器系統(tǒng)，因而能夠?qū)⒐舳髿⒃趽u籃里。
  
  
• 問：Cisco ASA 5500 系列 CSC-SSM能阻擋互聯(lián)網(wǎng)蠕蟲嗎？
• 答：不能。如果想利用Cisco ASA 5500 系列抵御互聯(lián)網(wǎng)蠕蟲的攻擊，客戶需要購買能夠保護服務(wù)器等關(guān)鍵資源的高級檢測和防御安全服務(wù)模塊（AIP-SSM），以及能夠快速防御新興蠕蟲攻擊的可選思科事故控制服務(wù)器（ICS）產(chǎn)品。
  
  
• 問：Cisco ASA 5500 系列 CSC-SSM 是怎樣及時發(fā)現(xiàn)新漏洞的？
  
• 答：Cisco ASA 5500 系列 CSC-SSM的背后有Trend Micro的TrendLabs的支持，這個世界上最大的安全部門之一由業(yè)界的防病毒、防間諜軟件和防垃圾郵件專家組成，能夠一天24小時保證該模塊能夠提供最新保護。威脅更新軟件將定期自動部署到CSC-SSM 。
  
  
• 問：Cisco ASA 5500 系列 CSC-SSM 是否誤擋過合法流量？
• 答：如果配置得當(dāng)，Cisco ASA 5500 系列 CSC-SSM誤擋合法互聯(lián)網(wǎng)流量的概率極低。思科為用戶提供詳細的配置選項，使用戶能夠根據(jù)具體的環(huán)境要求設(shè)置模塊。
  
  
• 問：如果模塊因故出現(xiàn)故障，應(yīng)該怎么辦？
• 答：可以將Cisco ASA 5500 系列設(shè)備配置為，在 CSC-SSM發(fā)生故障時一律拒絕流量，或者允許未經(jīng)檢測的流量通過。另外，Cisco ASA 還支持CSC-SSM故障切換功能。如果設(shè)備屬于故障切換組的成員之一，CSC-SSM故障將觸發(fā)故障切換程序，切換到備用組件，故障切換時通過CSC-SSM建立和激活的流將重新建立。

支持和其它

• 問：技術(shù)支持、更新和返回是如何進行的？
• 答：技術(shù)支持由思科技術(shù)支持中心（TAC）或授權(quán)思科合作伙伴提供。Trend Micro通過思科TAC對CSC-SSM上的應(yīng)用軟件問題提供支持。模式文件和掃描引擎更新由Trend Micro的更新服務(wù)器以透明的方式直接提供。返回由出售模塊的公司處理，與所有其它思科產(chǎn)品的處理流程相同。
• 問：怎樣購買Cisco ASA 5500 系列 CSC-SSM？
• 答：如果想下訂單，可以訪問思科訂購主頁，或者與思科授權(quán)經(jīng)銷商或思科銷售助理聯(lián)系。
• 問：怎樣購買支持？ Cisco ASA 5500 系列 CSC-SSM提供哪些支持選項？
• 答：支持計劃包括硬件支持、軟件支持和內(nèi)容使用組件。為Cisco ASA 5500 系列 CSC-SSM提供的服務(wù)和支持合同如表2所示。購買該模塊時，購買價格中已經(jīng)包含了第一年的Trend Micro使用更新服務(wù)費。第一年過后，客戶可以直接通過Trend Micro續(xù)訂軟件和使用合同，年費從許可證注冊一年之后起算。思科提供的SMARTnet? 維護計劃包含CSC-SSM的技術(shù)支持和硬件維護，但需另付年費。如果想增強對 Cisco ASA 5500 系列 CSC-SSM解決方案的保護并提高性能，不但需要Trend Micro軟件和使用更新服務(wù)，還需要思科SMARTnet 服務(wù)。
• 表2 思科提供的各種支持服務(wù)

支持服務(wù)	思科SMARTnet (SNT) 服務(wù)	Trend Micro 更新服務(wù)
Cisco ASA 5500 系列設(shè)備支持
Cisco.com注冊訪問	內(nèi)含	—
24x7x365 TAC技術(shù)支持	內(nèi)含	—
操作系統(tǒng)軟件版本（維護、主要、次要）	內(nèi)含	—
硬件更換選項	內(nèi)含	—
Cisco ASA 5500 系列 CSC-SSM 支持
Cisco.com注冊訪問	內(nèi)含	—
24 x 7 x 365 TAC 技術(shù)支持	內(nèi)含	—
操作系統(tǒng)軟件版本（維護、主要、次要）	內(nèi)含	—
模式文件、掃描引擎和簽名更新	—	內(nèi)含
硬件更換選項	內(nèi)含	—

• 問：是否需要同時購買思科SMARTnet 和Trend Micro更新服務(wù)？
• 答：如果想使Cisco ASA 5500 系列 CSC-SSM得到最佳保護，并表現(xiàn)出最佳性能，最好同時購買這兩種服務(wù)。第一年的Trend Micro軟件和使用更新服務(wù)已經(jīng)包含在產(chǎn)品的購買價格之中。
• 問：如果發(fā)現(xiàn)了Cisco ASA 5500 系列 CSC-SSM未發(fā)現(xiàn)的惡意軟件（或可疑惡意軟件），應(yīng)怎樣提交可疑數(shù)據(jù)？是否有跟蹤提交和答復(fù)過程的跟蹤機制（沿TAC案件流程）？
• 答：如果想提交可疑惡意軟件，可以進入以下URL： http://subwiz.trendmicro.com/SubWiz/Default.asp。系統(tǒng)將用電子郵件向您通報提交狀態(tài)。
• 問： Cisco ASA 5500 系列 CSC-SSM是否能夠代替桌面/筆記本防病毒保護或思科安全代理？
• 答：不能。Cisco ASA 5500 系列 CSC-SSM是多層安全戰(zhàn)略的重要組成部分，包括入侵防御和桌面安全功能。桌面和筆記本安全產(chǎn)品，例如OfficeScan 和思科安全代理 ，都能夠增加保護層，防止各種病毒通過可拆除介質(zhì)（例如閃存和光盤驅(qū)動器）或者在計算機置于企業(yè)網(wǎng)以外的非安全環(huán)境時侵入計算機。另外，OfficeScan和思科安全代理還支持思科的網(wǎng)絡(luò)準入控制（NAC）計劃，以防止病毒從端點進入網(wǎng)絡(luò)。
• 問：是否可以利用以前購買的Cisco ASA 5500 系列 AIP-SSM卡運行CSC軟件應(yīng)用？
• 答：不能。SSM硬件是不可更換的，思科不支持這種轉(zhuǎn)換。SSM硬件不能同時運行AIP和CSC應(yīng)用。感興趣的客戶可以與經(jīng)銷商或銷售代表聯(lián)系，看有沒有可行的折衷方案。
• 問：在使用CSC-SSM功能時，能否使用 Cisco ASA 系列
• 設(shè)備的其它功能，例如防火墻和VPN？
• 答：可以。Cisco ASA 5500 系列 CSC-SSM是Cisco ASA平臺的集成式服務(wù)成員。所有其它功能都可以與CSC-SSM一同使用，而且這樣能夠增強保護和控制能力，更好地保護通信安全。
• 問：客戶的用戶許可證應(yīng)怎樣升級？
• 答：客戶可以購買相應(yīng)的用戶升級許可證（例如從50人到100人），并訪問： www.cisco.com/go/license。用戶可以按照提示輸入合同信息、PAK號碼（履行訂單時獲取）和SSM的序列號。CSC-SSM上的軟件將在下次更新時獲得Trend Micro服務(wù)器的更新通知，并自動、透明地開始支持增加的新用戶。
• 問：Cisco ASA 5500 系列 CSC-SSM與 Websense提供的功能有什么不同？
• 答：盡管CSC-SSM與 Websense URL 和內(nèi)容過濾產(chǎn)品之間存在著某種相似性，但SC-SSM 解決方案更適合中小企業(yè)（SME）使用。根據(jù)IDC的調(diào)查，Websense是企業(yè)市場上Web過濾和安全設(shè)備的全球領(lǐng)先廠商，市場份額接近30%。作為“一體化”內(nèi)容安全解決方案的一部分，CSC-SSM URL 過濾解決方案能夠為SME客戶提供基本的策略管理和內(nèi)容過濾功能。Websense 提供的獨立式解決方案能夠為企業(yè)客戶提供更強大、更先進的Web過濾和安全功能。在將Websense的Web過濾和安全解決方案與所有Cisco ASA 5500系列設(shè)備無縫集成方面，Websense與思科之間保持著密切的合作關(guān)系。無縫集成利用了專為高性能和完整特性支持合作開發(fā)的專用接口。 Websense產(chǎn)品提供的強大、成熟的Web 過濾和安全解決方案可以作為Cisco ASA設(shè)備和CSC-SSM解決方案的有效補充。
  

北京
北京市東城區(qū)東長安街1號東方廣場東方經(jīng)貿(mào)城東一辦公樓19-21層
郵政編碼：100738
電話：(8610) 85155000
傳真：(8610) 85181881

上海
上海市淮海中路222號力寶廣場32-33層
郵政編碼：200021
電話：(8621) 23024000
傳真：(8621) 23024450

廣州
廣州市天河區(qū)林和西路161號中泰國際廣場A塔34層
郵政編碼：510620
電話：(8620) 85193000
傳真：(8620) 85193008

成都
成都市順城大街308號冠城廣場23層
郵政編碼：610017
電話：(8628) 86961000
傳真：(8628) 86528999

翻譯日期：2006年2月22日