因應零信任時代加密流量處理，思科新防火牆提供電信級效能

在網路防火牆解決方案的供應上，思科在2017年2月發表中階次世代防火牆Firepower 2100系列，在2019年上半推出Firepower 1000系列，專攻中小企業市場，2020年將這條產品線換上新的品牌識別「Secure Firewall」，到了今年4月，他們宣布推出新款中型企業級防火牆系列3100系列，因應混合辦公、推動零信任資安實務，以及兼顧未來規模成長時的使用彈性等需求，可支援更多人員遠端辦公的應用，而且搭配多執行緒的流量處理技術，能提供3倍的效能增長。

網路吞吐量直逼電信等級設備，提供多種提升加密流量處理能力的特色

3100系列包含4款採用1U尺寸機箱的硬體設備機型，可執行ASA或Firewall Threat Defense（FTD）等兩種資安系統平臺，若搭配後者使用，無論是否個別或同時啟動應用程式能見度與控管（AVC），以及入侵防禦系統（IPS）功能，網路吞吐量均可分別達到17.0 Gbps、21.0 Gbps、38.0 Gbps、45.0 Gbps。

若搭配ASA，3100系列的防火牆網路吞吐量，可分別達到18.0 Gbps、22.0 Gbps、42.0 Gbps、49.0 Gbps，若用於IPsec VPN，網路吞吐量則為8 Gbps、10 Gbps、14 Gbps、17 Gbps，可承載的VPN端點數量為3千個、7千個、1.5萬個、2萬個。

之所以提供這樣出色的效能，思科表示，原因在於3100系列採用現代化CPU架構：企業級x86處理器，以及支援專屬用途的硬體元件，所以對防火牆、密碼學、威脅檢測等功能的執行，提供最佳化處理，而在搭配具有延展性的Firewall Threat Defense（FTD）軟體之後，可提供多個提升關鍵保護力與網路安全能見度的機制。

思科產品管理資深總監Andrew Ossipov表示，這款產品架構的許多特性都是針對加密流量處理而來，舉凡混合辦公、新型應用系統、新的存取方式，所有流量都是機密的、須維持完整性與隱私保護。他認為，裡面開創網路防火牆領域的多項先例，例如，內建線上加解密處理引擎，能將相關作業直接放到資料路徑上，而不需要搭配外部元件進行來回傳送檢視，因此，能使加密流量效能大幅提升，這主要是受益於硬體層面的改良。

而在軟體層面上，思科體認到並非所有流量應處於解密狀態，所以他們基於機器學習技術開發出內部工具，以便在加密流量當中能夠直接偵測應用程式與惡意軟體，而無需將流量進行解密之後，才能進行檢測。而在導入這樣的處理方式之後，使得網路防火牆系統獲得巨大的效能提升，因為只需要將有限的資源導引至那些呈現最大潛在威脅的網路流量。

除此之外，Secure Firewall 3100也提供自動化處理選項，以及同時涵蓋企業內部環境與雲端環境的管理體驗，用戶可透過指令碼來建立零信任的自動化作業，並將此種作法納入軟體定義基礎架構的配置。

關於網路吞吐效能的表現，Andrew Ossipov特別提到3100系列具有相當出色的加密流量處理能力，而且，對於IPsec、TLS這些常用於VPN遠端存取與應用程式傳輸的協定，均提供非常強勁的加速能力，這當中不僅處理流量的加解密，也要在VPN通道中依序進行完整的狀態檢測。

舉例來說，同時啟用防火牆、AVC、IPS防護時，3130的吞吐量可達到2130的7倍；若是IPsec VPN，3130的吞吐量可達到2130的17倍。整體而言，這系列設備雖然屬於中階產品，但其性能已達到電信等級的要求。

值得注意的是，3100系列還支援兩種用法，一種是分割成多個執行個體（Multi- Instance），提供個別防火牆完整的資源隔離，實現多租戶的服務模式，另一種則是多臺防火牆並用的叢集模式，最多可串連8臺3100系列設備，統合為一個邏輯單元，提供一個完整的分散式網路封包轉送層架構。而且，這些設定可透過新推出的Firewall Management Center進行統一操作。

採用AMD伺服器等級處理器，搭配FPGA晶片，提供強大的硬體運算效能

關於Secure Firewall 3100系列設備所用的處理器，思科雖然並未公開究竟是Intel或AMD的產品，不過，在今年6月的Cisco Live!大會介紹此項產品時，他們透露4款機型搭配的CPU核心數量，分別為24顆、32顆、48顆、64顆，而目前市面上唯一能提供64顆核心企業級x86處理器的廠商只有AMD，而該公司也在大會舉行前一週，於他們自己的社群部落格發文說明此事，強調思科的Secure Firewall 3100就是採用AMD EPYC 7002系列，而能在1U尺寸的機箱提供高密度的運算能力，答案也因此揭曉。

至於所謂的支援專屬用途硬體元件，Andrew Ossipov表示，3100系列設備搭配了全新打造的自定設計FPGA元件，並將其設置在內部交換網路與x86處理器之間。

基本上，這個元件實作了新一代的流向卸載引擎（Flow Offload engine）——亦即上述的線上加解密處理引擎，可提供超快的單流向網路吞吐能力，以及高效能運算等級的低存取延遲，同時也具備同路徑（in-path）流量加解密的加速處理能力，可支援IPsec與DTLS（Datagram TLS）這兩種協定的VPN網路連線。

而在思科調整威脅防護軟體的程式之後，負責居中處理的元件就能從硬體的層級直接對網路流向執行解密與加密，而不需仰賴主要系統匯流排來進行傳輸，或占用寶貴的x86處理器運算週期。基於這樣的架構，3100系列可處理的原始連線數量，雖然與2100系列相當，不過，若就啟用雙向IPsec 安全關聯（Security Associations）連線的單通道吞吐量而言，3100系列具有驚人的效能表現，甚至可超越任何防火牆設備。

相較之下，傳統網路防火牆的作法是以x86處理器搭配1個密碼學加速器，由其負責VPN與網路檢測所帶來的IPsec與TLS流量，此種作法往往會導致傳輸效能大降級，因為每個加密封包或解密封包的處理，需要多次穿越共用的系統匯流排，除此之外，對於從硬體層級來加速TLS連線階段建立，大部分廠商都無法做到。

產品資訊

Cisco Secure Firewall 3100系列
●原廠：Cisco
●建議售價：廠商未提供
●機型與尺寸：3110、3120、3130、3140，皆為1U
●網路埠：最多可設置24埠——8個RJ-45埠、8個SFP埠、1個網路擴充模組
3110與3120預設為8個GbE埠（RJ-45埠）加上8個10 GbE埠（SFP埠），3130與3140預設為8個GbE埠（RJ-45埠）加上8個25 GbE埠（SFP埠）
●防火牆吞吐量（啟用AVC與IPS）：3110為17 Gbps，3120為21 Gbps，3130為38 Gbps，3140為45 Gbps
●VPN吞吐量：3110為8 Gbps，3120為10 Gbps，3130為17.8 Gbps，3140為22.4 Gbps
●最大同時連線數：3110為2百萬個，3120為4百萬個，3140為6百萬個，3150為1千萬個

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商】