我打算购买思科ASA 5510,但是我想知道是否应该能够使用典型的防火墙(或者如果知道的话,特别是上述的型号)在问题标题中提到的内容。以及诸如阻止特定的HTTP用户代理,限制HTTP请求体的大小,设置更复杂的限制规则,如每分钟请求突发限制等。
我知道这些东西可以通过我的networking服务器来处理,但是宁愿能够卸载我的防火墙上的工作,也不需要让我的networking服务器处理这些与安全相关的项目。
一般来说,你会发现Cisco ASA是一个很棒的防火墙,你可以用它做很多事情。 也就是说,将ASA集成到思科的其他产品之一时,许多高级function要么更容易configuration,要么只有可用。 你的两个场景是其中的一个:
通过使用stream量监pipe和stream量整形,ASA可以在不使用任何附加许可证或模块的情况下对每IP进行限制。 在这里看到stream量监pipe和整形示例configuration。 这些设置是通过QoS值或URL来设置的,而不是IP地址,但是转换到IP地址是微不足道的。 https://supportforums.cisco.com/docs/DOC-1230
对于更高级的深度数据包检测,例如基于用户代理的阻塞或限制,您需要在ASA 5510中使用AIP SSM模块。这也使得防火墙能够与Cisco IPS一起使用相当先进的IPSfunction。 要根据主机和策略规则configurationIPS样式阻止和回避,请参阅此处: http : //www.cisco.com/en/US/products/hw/vpndevc/ps4077/products_configuration_example09186a0080afe111.shtml
这真的取决于你购买的防火墙的types。 防火墙的function范围取决于价格和品牌。 我对思科ASA 5510不是很熟悉,但是基于我在网上看到的价格,如果不能这样做,我会感到惊讶。 在我的公司,我们使用Palo Alto防火墙,这些防火墙有点贵,但它们允许我们限制请求,阻止HTTP用户代理以及许多其他function。
您最好的select是联系您当地的思科经销商,并与他们讨论ASA 5510的function。他们应该对产品非常了解,如果它不提供您想要的function,他们可能能够向您展示其他型号,甚至是其他符合您需求的品牌。