常見問題問答
Cisco ASA 5500系列內(nèi)容安全和控制安全服務(wù)模塊

一般性問題

• 問：什么是Cisco ASA 5500 系列內(nèi)容安全和控制安全服務(wù)模塊（CSC-SSM）?
• 答：Cisco ASA 5500 系列 CSC-SSM是 Cisco ASA-5500 系列設(shè)備的附加服務(wù)模塊，該產(chǎn)品系列能夠在互聯(lián)網(wǎng)邊緣提供業(yè)界領(lǐng)先的威脅防御和內(nèi)容控制功能，包括完整的防病毒、防間諜軟件、文件阻擋、防垃圾郵件、防泄密(釣魚)、URL阻擋和過濾以及內(nèi)容過濾等服務(wù)。
  
  
• 問：Cisco ASA 5500 系列 CSC-SSM有哪些優(yōu)點(diǎn)？
• 答：以前，如果想充分利用思科提供的市場(chǎng)領(lǐng)先的防火墻和VPN服務(wù)以及Trend Micro提供的業(yè)界領(lǐng)先的網(wǎng)關(guān)防病毒和內(nèi)容安全解決方案，客戶必須分別從思科和Trend Micro購(gòu)買相關(guān)的產(chǎn)品。Cisco CSC-SSM與Cisco ASA 5500系列專用設(shè)備結(jié)合，可把這些市場(chǎng)領(lǐng)先的產(chǎn)品整合成一個(gè)完整、統(tǒng)一的威脅防御解決方案，形成一個(gè)易于部署和管理的產(chǎn)品套件。
  
  
• 問：Cisco ASA 5500 系列 CSC-SSM具有哪些主要特點(diǎn)？
• 答：Cisco ASA 5500 系列 CSC -SSM 能夠提供以下功能：
  全面惡意軟件保護(hù)——包含Trend Micro開發(fā)的屢獲大獎(jiǎng)的防病毒和防間諜軟件技術(shù)。CSC-SSM幾乎可以防止所有已知惡意代碼進(jìn)入網(wǎng)絡(luò)和在網(wǎng)絡(luò)中傳播，因而能避免關(guān)鍵業(yè)務(wù)應(yīng)用和服務(wù)遭到破壞，保證關(guān)鍵系統(tǒng)和員工能夠正常工作，并減少成本高昂的感染后的清除工作。
  高級(jí)內(nèi)容過濾——將URL過濾、內(nèi)容過濾和防泄露技術(shù)集成在一起，防止企業(yè)和員工盜竊保密信息，并減少因內(nèi)容違反了網(wǎng)絡(luò)使用規(guī)定而需要承擔(dān)的法律責(zé)任。該模塊可以幫助企業(yè)遵守網(wǎng)絡(luò)內(nèi)容規(guī)范，例如醫(yī)療保險(xiǎn)便攜與責(zé)任法案（HIPAA）、Sarbanes-Oxley（SOX）和數(shù)據(jù)保護(hù)法案。
  集成消息安全——集成了防垃圾郵件技術(shù)，可以在垃圾電子郵件進(jìn)入郵件服務(wù)器之前就刪除掉其中的絕大部分，不但能提高員工的生產(chǎn)率，還能防止浪費(fèi)寶貴的網(wǎng)絡(luò)帶寬和存儲(chǔ)資源。
  定制和調(diào)試功能——使管理員能夠?qū)]件和內(nèi)容功能實(shí)施定制控制，以滿足特殊公司策略或網(wǎng)絡(luò)環(huán)境的要求。
  易于管理和自動(dòng)更新功能——為簡(jiǎn)化初始配置、部署和持續(xù)運(yùn)行，該產(chǎn)品提供智能缺省設(shè)置以及與自適應(yīng)安全設(shè)備管理器（ASDM）集成在一起的直觀界面。由于所有CSC-SSM組件都能自動(dòng)更新，包括掃描引擎和模式匹配文件，因此，只需少量管理投入就能使網(wǎng)絡(luò)免受最新威脅的入侵。
• 問：該產(chǎn)品共包含幾個(gè)型號(hào)？
• 答：共有兩個(gè)型號(hào)——CSC-SSM-10和 CSC-SSM-20。這兩個(gè)型號(hào)都可以與 Cisco ASA 5510和 5520 配合使用。CSC-SSM-10 適合支持用戶人數(shù)不超過500人的機(jī)構(gòu)，CSC-SSM-20則適合支持用戶人數(shù)低于1000人的機(jī)構(gòu)。Cisco ASA 5540平臺(tái)可以支持這兩種CSC模塊，但由于該平臺(tái)具有1000人的用戶容量，因而這種組合不是最佳配置。
• 問： Cisco ASA 5500系列 CSC-SSM包含哪些特性和服務(wù)？
• 答： Cisco ASA 5500 系列CSC-SSM提供的缺省特性集包含防病毒、防間諜軟件和文件阻擋服務(wù)。如果購(gòu)買了另行收費(fèi)的Plus許可證，還將提供很多其它功能，包括防垃圾郵件、防泄密、URL阻擋/過濾和內(nèi)容控制服務(wù)。這些可選特性許可證將對(duì)每個(gè)CSC-SSM額外收費(fèi)。另外，各機(jī)構(gòu)還可以通過另行購(gòu)買和安裝用戶許可證的方法擴(kuò)大用戶支持量。缺省情況下，CSC-SSM-10和CSC-SSM-20型號(hào)分別支持50名和500名用戶。需要增加用戶時(shí)，可以選用數(shù)目不同的許可證，CSC-SSM-10可選用100人、250人和500人的許可證，CSC-SSM-20可以選用750人和1,000人的許可證。表1列出了CSC-SSM的標(biāo)準(zhǔn)和可選許可證。
  表1 標(biāo)準(zhǔn)特性和可選特性
  

CSC-SSM 硬件	標(biāo)準(zhǔn)許可證	可選許可證
		用戶升級(jí)（總用戶數(shù)）	特性升級(jí)
CSC-SSM-10	50 名用戶 防病毒、防間諜軟件、文件阻擋	100名用戶 250名用戶 500名用戶	Plus許可證——增加了防垃圾郵件、防泄密、URL阻擋/過濾和內(nèi)容控制
CSC-SSM-20	500名用戶 防病毒、防間諜軟件、文件阻擋	750名用戶 1000名用戶	Plus 許可證——增加了防垃圾郵件、防泄密、URL阻擋/過濾和內(nèi)容控制

• 問：Cisco ASA 5500 系列CSC-SSM一般部署在什么地方？
• 答： Cisco ASA 5500 系列 CSC-SSM 和設(shè)備一般部署在各機(jī)構(gòu)或外部網(wǎng)絡(luò)之間的邊界，例如互聯(lián)網(wǎng)連接點(diǎn)。將這些設(shè)備部署在互聯(lián)網(wǎng)邊緣之后，CSC-SSM將位于用戶與互聯(lián)網(wǎng)之間，這樣，管理員就可以選擇哪些流量應(yīng)該經(jīng)過CSC-SSM掃描。
  
  
• 問：“用戶”的概念是什么？
• 答：為確定用戶數(shù)目，只有在24小時(shí)內(nèi)擁有一個(gè)唯一的IP地址的接口才算作一個(gè)用戶，但安全等級(jí)最低的接口不算。通俗地說，用戶指的是非“外部”接口（由接口的安全等級(jí)確定）上可以看到的IP地址。
• 問：Cisco ASA 5500 系列 CSC-SSM 提供哪種防病毒保護(hù)？
• 答：Cisco ASA 5500 系列 CSC-SSM 提供基于文件的防病毒保護(hù)，可以預(yù)防病毒、特洛伊木馬、惡意代碼、宏病毒及其它惡意軟件。CSC-SSM將作為透明代理，對(duì)通過ASA 5500設(shè)備的文件和分組進(jìn)行檢查，因而能夠在惡意內(nèi)容對(duì)目標(biāo)系統(tǒng)構(gòu)成危害之前就成功截獲它們。在這種運(yùn)行模式下，CSC-SSM還能向用戶通報(bào)可疑文件或內(nèi)容的刪除情況，以及采取這些措施的過程和原因。
  
  
• 問：防病毒技術(shù)是否能掃描壓縮文件？
• 答：是的，它能夠在多個(gè)層次上對(duì)壓縮文件進(jìn)行掃描，過程是先對(duì)文件進(jìn)行解壓縮，掃描內(nèi)容，然后再壓縮文件。
  
  
• 問：防病毒簽名表多長(zhǎng)時(shí)間更新一次？
• 答：Trend Micro TrendLabsSM 每個(gè)星期為Cisco ASA 5500 系列 CSC-SSM發(fā)布一或多次常規(guī)模式更新，而緊急更新則提供得更為頻繁，以防止新出現(xiàn)的威脅在客戶中傳播。
  
• 問：Cisco ASA 5500系列CSC-SSM是否獲得了ICSA或其它證書？
• 答：是的，Cisco ASA 5500 系列CSC-SSM基于Trend Micro開發(fā)的屢獲大獎(jiǎng)的互聯(lián)網(wǎng)網(wǎng)關(guān)技術(shù)，已經(jīng)獲得了很多行業(yè)證書，包括ICSA的網(wǎng)關(guān)防病毒證書、西海岸實(shí)驗(yàn)室為防間諜軟件頒發(fā)的Checkmark證書以及Veritest的防垃圾郵件證書。CSC-SSM目前正在接受ICSA的評(píng)估。
  
  
• 問：Cisco ASA 5500 系列 CSC-SSM是如何進(jìn)行管理的？
• 答：對(duì)于大多數(shù)部署，Cisco ASA 5500 系列CSC-SSM 都配有相應(yīng)的缺省設(shè)置。設(shè)置、管理和監(jiān)控都可以通過Cisco ASDM進(jìn)行，ASDM提供的設(shè)置向?qū)軌蚣せ頒SC-SSM和安全策略規(guī)則表，以便管理員確定需要CSC-SSM掃描的相關(guān)流量。
  
  
• 問：如何管理多個(gè)Cisco ASA 5500 系列 CSC-SSM？
• 答：多個(gè)CSC-SSM設(shè)備可以利用即將出臺(tái)的Trend Micro Control Manager （TMCM）新版本進(jìn)行集中管理。該軟件由Trend Micro免費(fèi)提供。 TMCM可以集中管理多個(gè)CSC-SSM模塊以及機(jī)構(gòu)內(nèi)的其它Trend Micro產(chǎn)品。對(duì)于混合部署了多種CSC-SSM和Trend Micro產(chǎn)品的大型機(jī)構(gòu)，這種方法能夠?yàn)樗蟹啦《炯捌渌嚓P(guān)功能和技術(shù)提供“一站式”管理。
  
  
• 問：Cisco ASA 5500 系列 CSC-SSM能夠阻擋哪種攻擊？
• 答： Cisco ASA 5500 系列 CSC-SSM 使用HTTP、FTP、SMTP和 POP3 產(chǎn)品檢測(cè)和防止非法內(nèi)容和惡意軟件進(jìn)入網(wǎng)絡(luò)，這其中包括基于文件的病毒、間諜軟件、目錄收獲攻擊、垃圾郵件和竊密。由于它能夠防止惡意軟件到達(dá)桌面或服務(wù)器系統(tǒng)，因而能夠?qū)⒐舳髿⒃趽u籃里。
  
  
• 問：Cisco ASA 5500 系列 CSC-SSM能阻擋互聯(lián)網(wǎng)蠕蟲嗎？
• 答：不能。如果想利用Cisco ASA 5500 系列抵御互聯(lián)網(wǎng)蠕蟲的攻擊，客戶需要購(gòu)買能夠保護(hù)服務(wù)器等關(guān)鍵資源的高級(jí)檢測(cè)和防御安全服務(wù)模塊（AIP-SSM），以及能夠快速防御新興蠕蟲攻擊的可選思科事故控制服務(wù)器（ICS）產(chǎn)品。
  
  
• 問：Cisco ASA 5500 系列 CSC-SSM 是怎樣及時(shí)發(fā)現(xiàn)新漏洞的？
  
• 答：Cisco ASA 5500 系列 CSC-SSM的背后有Trend Micro的TrendLabs的支持，這個(gè)世界上最大的安全部門之一由業(yè)界的防病毒、防間諜軟件和防垃圾郵件專家組成，能夠一天24小時(shí)保證該模塊能夠提供最新保護(hù)。威脅更新軟件將定期自動(dòng)部署到CSC-SSM 。
  
  
• 問：Cisco ASA 5500 系列 CSC-SSM 是否誤擋過合法流量？
• 答：如果配置得當(dāng)，Cisco ASA 5500 系列 CSC-SSM誤擋合法互聯(lián)網(wǎng)流量的概率極低。思科為用戶提供詳細(xì)的配置選項(xiàng)，使用戶能夠根據(jù)具體的環(huán)境要求設(shè)置模塊。
  
  
• 問：如果模塊因故出現(xiàn)故障，應(yīng)該怎么辦？
• 答：可以將Cisco ASA 5500 系列設(shè)備配置為，在 CSC-SSM發(fā)生故障時(shí)一律拒絕流量，或者允許未經(jīng)檢測(cè)的流量通過。另外，Cisco ASA 還支持CSC-SSM故障切換功能。如果設(shè)備屬于故障切換組的成員之一，CSC-SSM故障將觸發(fā)故障切換程序，切換到備用組件，故障切換時(shí)通過CSC-SSM建立和激活的流將重新建立。

支持和其它

• 問：技術(shù)支持、更新和返回是如何進(jìn)行的？
• 答：技術(shù)支持由思科技術(shù)支持中心（TAC）或授權(quán)思科合作伙伴提供。Trend Micro通過思科TAC對(duì)CSC-SSM上的應(yīng)用軟件問題提供支持。模式文件和掃描引擎更新由Trend Micro的更新服務(wù)器以透明的方式直接提供。返回由出售模塊的公司處理，與所有其它思科產(chǎn)品的處理流程相同。
• 問：怎樣購(gòu)買Cisco ASA 5500 系列 CSC-SSM？
• 答：如果想下訂單，可以訪問思科訂購(gòu)主頁(yè)，或者與思科授權(quán)經(jīng)銷商或思科銷售助理聯(lián)系。
• 問：怎樣購(gòu)買支持？ Cisco ASA 5500 系列 CSC-SSM提供哪些支持選項(xiàng)？
• 答：支持計(jì)劃包括硬件支持、軟件支持和內(nèi)容使用組件。為Cisco ASA 5500 系列 CSC-SSM提供的服務(wù)和支持合同如表2所示。購(gòu)買該模塊時(shí)，購(gòu)買價(jià)格中已經(jīng)包含了第一年的Trend Micro使用更新服務(wù)費(fèi)。第一年過后，客戶可以直接通過Trend Micro續(xù)訂軟件和使用合同，年費(fèi)從許可證注冊(cè)一年之后起算。思科提供的SMARTnet? 維護(hù)計(jì)劃包含CSC-SSM的技術(shù)支持和硬件維護(hù)，但需另付年費(fèi)。如果想增強(qiáng)對(duì) Cisco ASA 5500 系列 CSC-SSM解決方案的保護(hù)并提高性能，不但需要Trend Micro軟件和使用更新服務(wù)，還需要思科SMARTnet 服務(wù)。
• 表2 思科提供的各種支持服務(wù)

支持服務(wù)	思科SMARTnet (SNT) 服務(wù)	Trend Micro 更新服務(wù)
Cisco ASA 5500 系列設(shè)備支持
Cisco.com注冊(cè)訪問	內(nèi)含	—
24x7x365 TAC技術(shù)支持	內(nèi)含	—
操作系統(tǒng)軟件版本（維護(hù)、主要、次要）	內(nèi)含	—
硬件更換選項(xiàng)	內(nèi)含	—
Cisco ASA 5500 系列 CSC-SSM 支持
Cisco.com注冊(cè)訪問	內(nèi)含	—
24 x 7 x 365 TAC 技術(shù)支持	內(nèi)含	—
操作系統(tǒng)軟件版本（維護(hù)、主要、次要）	內(nèi)含	—
模式文件、掃描引擎和簽名更新	—	內(nèi)含
硬件更換選項(xiàng)	內(nèi)含	—

• 問：是否需要同時(shí)購(gòu)買思科SMARTnet 和Trend Micro更新服務(wù)？
• 答：如果想使Cisco ASA 5500 系列 CSC-SSM得到最佳保護(hù)，并表現(xiàn)出最佳性能，最好同時(shí)購(gòu)買這兩種服務(wù)。第一年的Trend Micro軟件和使用更新服務(wù)已經(jīng)包含在產(chǎn)品的購(gòu)買價(jià)格之中。
• 問：如果發(fā)現(xiàn)了Cisco ASA 5500 系列 CSC-SSM未發(fā)現(xiàn)的惡意軟件（或可疑惡意軟件），應(yīng)怎樣提交可疑數(shù)據(jù)？是否有跟蹤提交和答復(fù)過程的跟蹤機(jī)制（沿TAC案件流程）？
• 答：如果想提交可疑惡意軟件，可以進(jìn)入以下URL： http://subwiz.trendmicro.com/SubWiz/Default.asp。系統(tǒng)將用電子郵件向您通報(bào)提交狀態(tài)。
• 問： Cisco ASA 5500 系列 CSC-SSM是否能夠代替桌面/筆記本防病毒保護(hù)或思科安全代理？
• 答：不能。Cisco ASA 5500 系列 CSC-SSM是多層安全戰(zhàn)略的重要組成部分，包括入侵防御和桌面安全功能。桌面和筆記本安全產(chǎn)品，例如OfficeScan 和思科安全代理 ，都能夠增加保護(hù)層，防止各種病毒通過可拆除介質(zhì)（例如閃存和光盤驅(qū)動(dòng)器）或者在計(jì)算機(jī)置于企業(yè)網(wǎng)以外的非安全環(huán)境時(shí)侵入計(jì)算機(jī)。另外，OfficeScan和思科安全代理還支持思科的網(wǎng)絡(luò)準(zhǔn)入控制（NAC）計(jì)劃，以防止病毒從端點(diǎn)進(jìn)入網(wǎng)絡(luò)。
• 問：是否可以利用以前購(gòu)買的Cisco ASA 5500 系列 AIP-SSM卡運(yùn)行CSC軟件應(yīng)用？
• 答：不能。SSM硬件是不可更換的，思科不支持這種轉(zhuǎn)換。SSM硬件不能同時(shí)運(yùn)行AIP和CSC應(yīng)用。感興趣的客戶可以與經(jīng)銷商或銷售代表聯(lián)系，看有沒有可行的折衷方案。
• 問：在使用CSC-SSM功能時(shí)，能否使用 Cisco ASA 系列
• 設(shè)備的其它功能，例如防火墻和VPN？
• 答：可以。Cisco ASA 5500 系列 CSC-SSM是Cisco ASA平臺(tái)的集成式服務(wù)成員。所有其它功能都可以與CSC-SSM一同使用，而且這樣能夠增強(qiáng)保護(hù)和控制能力，更好地保護(hù)通信安全。
• 問：客戶的用戶許可證應(yīng)怎樣升級(jí)？
• 答：客戶可以購(gòu)買相應(yīng)的用戶升級(jí)許可證（例如從50人到100人），并訪問： www.cisco.com/go/license。用戶可以按照提示輸入合同信息、PAK號(hào)碼（履行訂單時(shí)獲取）和SSM的序列號(hào)。CSC-SSM上的軟件將在下次更新時(shí)獲得Trend Micro服務(wù)器的更新通知，并自動(dòng)、透明地開始支持增加的新用戶。
• 問：Cisco ASA 5500 系列 CSC-SSM與 Websense提供的功能有什么不同？
• 答：盡管CSC-SSM與 Websense URL 和內(nèi)容過濾產(chǎn)品之間存在著某種相似性，但SC-SSM 解決方案更適合中小企業(yè)（SME）使用。根據(jù)IDC的調(diào)查，Websense是企業(yè)市場(chǎng)上Web過濾和安全設(shè)備的全球領(lǐng)先廠商，市場(chǎng)份額接近30%。作為“一體化”內(nèi)容安全解決方案的一部分，CSC-SSM URL 過濾解決方案能夠?yàn)镾ME客戶提供基本的策略管理和內(nèi)容過濾功能。Websense 提供的獨(dú)立式解決方案能夠?yàn)槠髽I(yè)客戶提供更強(qiáng)大、更先進(jìn)的Web過濾和安全功能。在將Websense的Web過濾和安全解決方案與所有Cisco ASA 5500系列設(shè)備無縫集成方面，Websense與思科之間保持著密切的合作關(guān)系。無縫集成利用了專為高性能和完整特性支持合作開發(fā)的專用接口。 Websense產(chǎn)品提供的強(qiáng)大、成熟的Web 過濾和安全解決方案可以作為Cisco ASA設(shè)備和CSC-SSM解決方案的有效補(bǔ)充。
  

北京
北京市東城區(qū)東長(zhǎng)安街1號(hào)東方廣場(chǎng)東方經(jīng)貿(mào)城東一辦公樓19-21層
郵政編碼：100738
電話：(8610) 85155000
傳真：(8610) 85181881

上海
上海市淮海中路222號(hào)力寶廣場(chǎng)32-33層
郵政編碼：200021
電話：(8621) 23024000
傳真：(8621) 23024450

廣州
廣州市天河區(qū)林和西路161號(hào)中泰國(guó)際廣場(chǎng)A塔34層
郵政編碼：510620
電話：(8620) 85193000
傳真：(8620) 85193008

成都
成都市順城大街308號(hào)冠城廣場(chǎng)23層
郵政編碼：610017
電話：(8628) 86961000
傳真：(8628) 86528999

翻譯日期：2006年2月22日