在網路防火牆的產品線當中,Cisco於2017年2月底推出Firepower 2100系列,可用於大量、高度敏感的網路交易環境,例如銀行與零售業,在維持網路順暢的同時,也能保護重要的業務功能運作與資料安全。

就產品定位而言,這系列機型雖然屬於入門級次世代防火牆,但即便同時啟用多種功能,例如,防火牆、應用程式透視與控制,以及次世代IPS,吞吐量仍可達到2 Gbps,號稱能比同價位的其他廠牌產品,提供200倍的效能。若在網路防火牆的防護應用下,不需要如此龐大的吞吐量,可以改用Cisco ASA 5500-FTD-X,這些機型的效能範圍是125 Mbps到1250 Mbps。

而根據吞吐量差異來看,Firepower 2100系列區分為4組機型,最高可提供8.5 Gbps(2140),然而它們所需的機架空間很小,全都是採用1U尺寸的機箱。

圖中是Cisco網路防火牆設備的三種產品形式,我們這次介紹的Firepower 2100系列,對應的類型屬於Firepower Threat Defense,有別於Firepower Appliance,以及ASA with Firepower Services,不過,它們都可以納入Firepower Management Center管理。

若從網路吞吐量來區分,Cisco對於自家的網路防火牆設備,也能分成三種層次,而Firepower 2100系列可涵蓋的流量範圍是2Gbps到8GbpS。

儘管體型有限,但Firepower 2100系列提供的網路介面數量非常大方,可用來提升連線備援能力,達到網路的高可用性。

Cisco在低階的2110和2120身上,內建了12個RJ-45接頭的GbE埠,以及4個SFP規格的GbE埠(總共16埠)。

對於較高階的2130和2140,Cisco則是預設提供了12個GbE埠,以及4個SFP+接頭的10GbE埠,還可額外擴充8個SFP+接頭的10GbE埠(總共24埠)。

值得一提的是,Firepower 2100系列的吞吐量之所以如此出色,主要是因為,Cisco首次引進基於兩顆多核心處理器而成的複合運算架構,而能夠大幅加速金鑰加解密,以及防火牆與威脅防禦等功能。

高吞吐量是Firepower 2100系列的最大亮點,原因在於Cisco在這批產品當中,導入多核心處理器架構與軟體最佳化,而相較於採用ASIC架構的產品,這種作法可提供網路安全設備擴增防護與功能的彈性。同時,在傳輸路徑的設計上,Cisco也在針對無關威脅檢測的網路流向處理,提供加速機制,而提升了網路整體效能。

而就實際的運算配置而言,Firepower 2100系列運用英特爾的多核心處理器,執行網路第7層流量的威脅檢測,像是應用程式活動辨識、入侵偵測、網址過濾、惡意軟體與檔案檢測、使用者身分管理,另外,也搭配了網路處理器(NPU),專門處理網路第2到4層的流量,例如防火牆、NAT、VPN與SSL加解密處理等。

而在系統平臺的部份,Firepower 2100系列採用的軟體映像是Firepower Threat Defense(FTD),因此,在本機管理功能的部分,是由FTD內含的Cisco Firepower Device Manager(FDM)提供,而透過當中的導引式設定精靈的協助,用戶可在幾分鐘之內完成設備的部署設定。

企業若需要集中管理多臺Firepower 2100系列設備,可建置Cisco Firepower Management Center(FMC)的系統,獲得操作更為簡易、控管層面更為全面的能力,而在2017新推出的硬體設備機型當中,可同時管理的網路感測器數量更多,甚至比前一代增加50%(FMC 4500是750臺)。

而對於網路環境的掌握,FMC可透視更多活動,除了與網路入侵防禦系統與次世代IPS,能夠針對威脅、使用者、網站應用程式、應用層協定、檔案傳輸,還能額外監督多達13種類型的活動,像是印表機、VoIP網路電話、虛擬機器、行動裝置、路由器與交換器等。

同時,FMC還可以分析企業既有網路環境的弱點,並自動推薦適合的安全政策,若發現新的攻擊事件,也能自動與現存的網路弱點建立關聯,及早提出警示。

此外,FMC在12月初發布的6.2.2版系統軟體裡面,Cisco也開始提供威脅情報維運系統,名為Threat Intelligence Director(TID),能夠自定與匯聚第三方提供的資料,以及經由安全感測器分析到的現有環境威脅,自動相互關聯,從而設定防禦動作。

如果企業想要透過雲端服務的形式,將Firepower 2100系列設備納入整體網路安全的管理機制,可搭配另一套解決方案Cisco Defense Orchestrator(CDO),達到易於使用、基於雲端服務的管理。資安團隊可運用這套雲端服務,簡化企業整體環境資安政策的設計、部署與管理。

而在Cisco現行網路安全系統的整合支援,CDO的涵蓋範圍更為廣泛,除了針對Firepower系列次世代防火牆,以及Adaptive Security Appliances(ASA)系列的UTM設備,也包括網頁安全閘道設備Web Security Appliance(WSA),以及雲端安全閘道服務Cisco Umbrella。而在CDO這樣的管理平臺當中,系統可偵測政策的不連貫,予以解決,也能分析政策的變更、找出模式,並驗證所帶來的影響,此外,還可調度指揮政策的異動,使其能夠達到與維持企業安全的狀態。

想要管理Firepower 2100系列設備,Cisco提供了三種平臺,分別是Firepower Device Manager、Firepower Management Center、Cisco Defense Orchestrator,可分別對應單一設備、內部網路的多臺設備,以及跨內外網路的大量設備。

產品資訊

Cisco Firepower 2100系列
●原廠:Cisco(02)8758-7100
●建議售價:廠商未提供
●機型與吞吐量:2110(2.0 Gbps)、2120(3 Gbps)、2130(4.75 Gbps)、2140(8.5 Gbps)
●外型:1U
●網路埠:2110與2120內建16個GbE埠(12個RJ-45埠、4個SFP埠),2130與2140內建12個GbE埠(RJ-45埠)與4個10GbE埠(SFP+埠)
●資安防護功能:防火牆、IPS、沙箱檢測、網址過濾

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容