提供2倍吞吐量，思科次世代防火牆推出新一代中高階機型

一年多前，思科發表中型企業級防火牆系列Secure Firewall 3100系列，到了今年6月初舉行的全球用戶大會，他們再度宣布推出新產品，硬體設備機型增設Secure Firewall 4200系列，而搭配的系統軟體平臺Cisco Secure Firewall Threat Defense（FTD），也將發布7.4新版，將強化密碼學處理的加速、叢集架構支援、模組化等層面的功能，提升整體運作效能與使用彈性。他們預告9月推出搭配FTD 7.4的Secure Firewall 4200系列，至於用於其他機型的FTD 7.4，則是12月開始供應。

結合新版作業系統的Secure Firewall 4200系列，思科表示，可提供3大特色

。

首先，針對藏匿在加密連線的資安威脅與應用程式，思科提供的網路加密透視引擎（Encrypted Visibility Engine，EVE）升級至2.0版，能借助人工智慧與機器學習技術，而能在不需解密的狀態下，也能予以偵測、阻擋。過去必須先進行加密流量的解密，再執行檢測的複雜處理，現在透過新功能，可解決拖垮防火牆效能與隱私保護難題。

第二是大幅提升零信任網路存取功能（ZTNA），能針對個別的應用程式執行完整的威脅檢測處理，以及政策控管。現在思科防火牆系統能在安全堆疊的基礎上，增加具備零信任應用程式存取能力的安全使用方式，因為相較於長年沿用的「通過身分認證之後就完全放任」這類簡易防護，ZTNA模型的使用將大幅提升資安要求，因為當中會增添使用者流量與應用程式行為檢測，以提供更安全的存取。

第三是簡化分支據點環境的路由功能，對於混合資料中心環境下的遠端辦公室應用存取，可提供網路流量的安全防護、控管，以及透視連線活動的能力。企業可透過思科防火牆的新功能，集中處理應用程式流量的識別、監控、路由，進而改善網路效能與存取安全性。

除了上述功能的進化，思科此時也初步透露4200系列機型的基本規格，例如，相較於既有的Firepower 4100 系列，Secure Firewall 4200系列同樣採用1U尺寸的機箱，號稱可提供兩倍的吞吐量；而在產品定位上，Secure Firewall 4200系列具備優異的處理效能、安全防護，以及豐富的連線介面，可用於資料中心與大型園區網路的環境。

到了9月初，思科資安事業群傑出工程師Andrew Ossipov在思科部落格發文，闡述Secure Firewall 4200系列與FTD 7.4目前提供的特色。在零信任方面的強化，他提到FTD 7.4提供原生的無用戶端零信任網路存取（Clientless ZTNA），此功能隸屬於遠端應用程式連線階段，實際應用時，會如同處理其他流量，一樣能持續執行資安威脅檢測的作業。

提供零信任應用程式存取

一般而言，在細緻的零信任應用程式存取（ZTAA）政策當中，通常可定義個別或不同群組的應用程式，並允許它們使用專屬的入侵防禦系統（IPS）與檔案政策，而對於線上的使用者身分認證與授權功能而言，也需要與每一個網站應用程式與支援SAML語言的身分供應系統（IdP），進行互通若使用者通過身分認證、被授予權限，而得以經由公開的完整網域名稱（FQDN）存取位於內部網路的受保護系統，此時FTD可扮演反向代理的角色，提供完整的TLS加密流量解密處理、有狀態防火牆（stateful firewall）、入侵防禦系統、惡意軟體檢測的一系列處理流程，採行這樣的作法之後，網路流量就不需解密兩次，以及區隔傳統ZTNA存取方式與線上檢查功能的所有版本，可大大改善網路整體效能與使用者連網體驗。

搭配64核心或128顆核心CPU，以及FPGA晶片可分攤加密流量處理工作

關於加密網路流量的解密處理，Secure Firewall 4200系列與思科去年4月推出的Secure Firewall 3100系列一樣，均採用自行設計的FPGA晶片，可針對資料層（Data Plane）內部執行的網路流量狀態檢測，以及密碼學運算相關功能，提供線上加速處理能力。

基於這樣的運算卸載設計，思科防火牆處理網路封包時，不再需要為了上述作業，而被迫在硬體設備的系統匯流排介面穿梭，並且在面對日益精密複雜的威脅檢測工作時，能透過這樣的分攤處理架構大大減輕CPU負擔。

中央處理器的部分，若參照Cisco Live! 2023 Las Vegas大會相關場次演講內容，我們可看到裡面提到搭配的CPU核心數量相當多——4215、4225均採用單顆x86架構處理器，分別內建64顆核心與128顆核心，4245採用2顆x86架構處理器，均內建128顆核心，若是如此，有可能搭配的是AMD今年6月發表的伺服器級CPU產品EPYC 97X4系列（代號Bergamo），最多可內建128顆Zen 4c核心。密碼學運算加速器的部分，思科在此提到搭配的晶片是Nitrox V，4215、4225、4245分別搭配1顆、2顆、4顆。

在此同時，Secure Firewall 4200系列的機箱維持使用1U尺寸的緊緻外形，能串聯多臺設備成為叢集系統（最初公布規格最多可連接16臺機箱，7月下修為8臺機箱），將資安威脅檢測的吞吐量效能擴展至1.5 Tbps以上。針對重要的多租戶環境使用需求，這系列設備的建置，也支援邏輯分割，最多可區隔34臺執行個體，均可做到硬體層級隔離、提供完整功能的狀態。

改良TLS加密流量處理設定

對於網路安全管理人員而言，若要在Secure Firewall使用TLS加密流量解密功能，現在可透過直覺的方式操作，因為思科在近期版本的Firewall Management Center，提供重新設計的TLS加密流量解密政策設定流程，能將傳入內部網路的流量（外部使用者連入公司內網的應用程式），以及對外發送的流量（內部使用者存取網際網路的應用程式）解密組態設定，予以區隔，可針對每種類型的設定提供必要的步驟指引，若是進階的使用者，可保留完整的TLS連線控制存取權，包含過濾未遵循控管要求的通訊協定版本，以及阻擋特定憑證的使用。

搭配Snort 3威脅預防技術、能以機器學習推論流向，搭配自家威脅情資，並能精準啟用需要的特定IPS特徵，提升處理效率

相較於市面上其他網路防火牆產品，Cisco Secure Firewall配備Snort 3威脅預防引擎，用戶能在不需解開加密流量封包的狀態下，就能偵測應用程式與潛藏的惡意網路流向。Snort是知名的開放原始碼入侵防禦系統（IPS）軟體，由Sourcefire公司開發與維護，2013年思科買下這家廠商之後，仍持續推動次世代IPS技術的發展，2021年Snort 3正式推出，2020年底Cisco Firepower 6.7平臺開始支援Snort 3，而在FTD 7.0版以後，有不少必備功能都仰賴Snort 3，像是EVE網路加密透視引擎，思科表示，這是業界第一個以機器學習技術驅動網路流向推論（flow inference）的實作，目的是在資料層內部進行即時防護，他們後續持續訓練這個引擎，導入多達數PB資料量規模的即時應用程式流量，以及源於自家資安惡意軟體分析雲（Secure Malware Analytics cloud）的大量樣本（每天提供幾萬個），從而產生獨特的應用程式與惡意軟體指紋，供FTD軟體平臺用於分類各種網路流向，過程中，僅需檢查TLS協定交握的外部範圍。

面對匿名代理伺服器跳板這類迴避偵測的應用程式，EVE具有特別優異的識別能力，思科表示，相較於傳統特徵比對的應用程式識別方式，這種技術更有效。而在FTD 7.4版當中，EVE增加自動阻擋惡意軟體連線的功能——系統分類在高度可能是惡意軟體的網路連線，會予以自動阻擋，後續更新版本將會結合這些功能，針對高風險的網路流向，啟用指定解密與深度封包檢測（DPI）的機制，可真正做到基於風險程度高低的威脅檢測處理。

而在Snort 3引擎判斷精準度的提升方式上，思科透過自家的Talos網路威脅情資產生的推薦機制Cisco Recommendations，能夠有效運用上萬個IPS特徵而不會拖垮整體效能，過程中，系統會基於實際監測到的主機作業系統與應用程式來啟動特定的IPS特徵。

除此之外，網路防火牆過往只能透過被動觀測流量或主動連接端點等方式，來探查網路活動狀態，可搭配原名為Tetration的Cisco Secure Workload系統來幫忙遙測，而在今年釋出的Secure Workload 3.8，大幅提升這方面的能力，可持續將特定受保護的應用程式漏洞資訊餵送至Firewall Management Center，之後可允許思科的推薦機制Cisco Recommendations在控管政策當中，建立對象更為精準的IPS特徵清單，獲得成效改善、消除效能瓶頸等優點。

思科強調，他們提供的這些整合，可藉由提升應用程式洞察分析能力，增益網路層級的資安威脅能見度，目前無其他防火牆產品能在深度封包檢測實作這些機制。

產品資訊

Cisco Secure Firewall 4200系列
●原廠：Cisco
●建議售價：廠商未提供
●機型與尺寸：4215、4225、4245，皆為1U
●網路埠：固定搭配8個25GbE埠（SFP28），最多可設置24埠——
24個10GbE埠（SFP+），
或8個25GbE埠搭配2個網路擴充模組，
或8個40GbE埠（QSFP+）搭配2個網路擴充模組，
或24個GbE埠（SFP）搭配2個網路擴充模組與多個固定埠，
或8個100GbE埠搭配2個網路擴充模組
●防火牆吞吐量（啟用AVC與IPS）：4215為65 Gbps，4225為80 Gbps，4245為140 Gbps
●VPN吞吐量：4215為45 Gbps，4225為80 Gbps，4245為140 Gbps
●最大同時連線數：4215為1千5百萬個，4225為3千5百萬個，4245為6千萬個
●硬碟儲存：2臺1.8 TB NVMe固態硬碟
●電源供應器：2臺1200瓦（110 AC）或2臺1900瓦（220 AC）

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商】