标准提供市场领先的保护。支持的VoIP和多媒体标准包括H.323 版本4、会话发起协议（SIP）、思科瘦客户端控制协议（SCCP）、实时流协议（RTSP）和媒体网关控制协议（MGCP），这些协议能够帮助企业安全地部署多种当前及新一代VoIP和多媒体应用。

    为简化配置和提高永续性，Cisco ASA 5500 系列还具有网络拓扑敏感性。由于ASA 5500系列支持VPN隧道上首先打开的最短路径（OSPF）路由，因而能沿用网络可到达性知识，保证流量的有效传输。不仅如此，子网自动识别特性还能简化配置，因为它能够识别每个VPN网关背后的所有主机。

    思科远程接入VPN解决方案

    对X.509 数字证书的广泛支持包括：为具有多层证书权威结构的环境提供N层证书链，允许利用简单证书登记协议（SCEP）自动完成证书登记，以及脱机证书权威机构部署人工登记等。RSA证书支持的密钥尺寸可长达4096位，基于数字签名算法（DSA）的X.509证书的密钥尺寸可长达1024位。另外，用户也可以联机登记到Cisco IOS Software证书机构。轻量X.509证书机构有助于简化公共密钥基础设施（PKI）型站点到站点VPN的推广。

    VPN连接的威胁防御

    威胁防御：蠕虫、病毒、间谍软件、广告软件、特洛伊木马、DoS攻击

    蠕虫、病毒、应用嵌入式攻击和应用滥用是当今网络面临的重大安全问题。由于当今的VPN设计具有漏洞，因此，远程接入和远程机构VPN连接是这些威胁的通用切入点。目前，很多VPN部署都没有在总部位置的通道终点采取适当的检测和威胁防御措施，因而使坏件很容易从远程机构或用户感染到网络并伺机传播。

    利用Cisco ASA 5500 系列，不需要增加成本，不需要增加设计、部署或运作的复杂性，就能够使检测和威胁防御作为VPN解决方案的一部分。利用ASA 5500 系列的融合型威胁防御功能，客户可以在坏件进入网络内部并传播之前就及时发现并阻止。对于应用嵌入式攻击，例如通过文件共享对等网络传播的间谍软件或广告软件，ASA 5500 系列能够深入检测应用流量，以便在坏件瞄准目标并造成危害之前就及时发现危险负载并丢弃其内容。

    Cisco ASA 5500 系列安全设备的应用层检测功能能够防止VPN部署遭受拒绝服务（DoS）攻击，例如SYN 泛滥、互联网控制消息协议（ICMP）泛滥、"teardrops"、端口扫描、"pings of death"以及很多其它常见攻击。

    应用滥用与访问控制

    适当的VPN安全设计不但要阻止威胁，还要了解哪些VPN流量正在使用网络资源和带宽，并控制对网络资源的访问。HTTP 端口80最初是为Web流量设计的，现在主要用于即时消息传送、Kazaa等对等程序以及其它应用。Cisco ASA 5500 系列能够识别、检查和控制隐蔽端口80应用的各个方面。它能够全面阻止某些流量或文件类型，也可以细致地限制某些行为，例如来自即时消息传送应用的文件传输。

    应用敏感型检测引擎提供丰富的状态化检测服务，能够跟踪所有合法网络通信的状态，并防止非法访问接入。这些集成功能能够为当今不断变化的网络环境提供一道坚实的多层防线。将详细的安全策略应用到VPN流量之后，个人和小组将能够访问他们有权访问的服务和资源。所有VPN流量都将解密和检测，以保证只有合法内容才能通过设备。

    网络管理员能够定义用来协调远程机构和员工的安全性和连接性的策略。这个策略既能提供无与伦比的安全性，又能保持可访问的网络环境。Cisco ASA 5500 系列安全设备提供集成式安全方法，使各机构既能充分利用互联网的连接和成本优势，又不会降低公司安全策略的完整性（见图2）。

   

      图2 Cisco ASA 5500 系列将威胁防御与VPN功能结合在一起，提供安全的VPN连接

    永续性

    Cisco ASA 5500 系列安全设备支持多种永续性，以保证VPN部署能够实现最高的可靠性和性能。

    由于永续性集群功能能够将VPN会话均匀地分布到所有Cisco ASA