從邊界防護到端點安全,CISCO Firepower 與AMP for Endpoint完美結合

CISCO(思科) Firepower NGFW(新世代防火牆)系列,是思科推出的次世代防火牆安全解決方案,它整合了業界知名NG-IPS Solution「Sourcefire」並且可和端點資安防護AMP系統同步,達到匝道與用戶端一條龍式防護。企業可以根據特定需求定購不同版本,做到逐步購買、按需部署,靈活方便地實現安全功能的擴展。

為了確保網路安全,以往企業通常購入一系列專用型安全設備,造成投入成本大、部署繁複、管理複雜的局面。而融合多種安全功能於一身的CISCO Firepower,具備保護企業投資、降低總體安全運行成本、方便部署、易於管理的巨大優勢。CISCO Firepower NGFW是業界首個完全整合以威脅為主的NGFW。它提供全面統一的防火牆功能策略管理,應用程序控制,威脅預防和高度惡意軟體保護從網絡到終端。

 
多核心處理器架構提供強大運算效能

CISCO Firepower 2100系列NGFW作為業界首款採用兩顆多核心CPU的複合式架構,Firepower 2100系列能夠加速金鑰加密、防火牆和威脅防禦的功能。Firepower 2100系列專為滿足客戶對防護和效能的需求所設計。高吞吐量是Firepower 2100系列的最大亮點,因導入多核心處理器架構與軟體最佳化,而相較於採用ASIC架構的產品,多核心CPU複合式架構可提供網路安全設備擴增防護與功能的彈性。同時在傳輸路徑的設計上,CISCO也針對無關威脅檢測的網路流向處理,提供加速機制,而提升了網路整體效能。

Firepower 2100系列運用英特爾的多核心處理器(x86 CPU),執行網路第7層流量的威脅檢測(包含應用程式活動辨識、入侵偵測、網址過濾、惡意軟體與檔案檢測、使用者身分管理等),同時也搭配了網路處理器(NPU),專門處理網路第2到4層的流量,例如防火牆、NAT、VPN與SSL加解密處理等。

 
Firepower NGFW(新世代防火牆)可以為客戶做些什麼?
  • 自動防止資料外洩,維持企業運作

    您是否享有 24 小時全年無休的防護?思科TALOS威脅情報雲持續分析威脅資料並建立安全防護,交由CISCO新世代防火牆將此安全防護機制用於自動防範漏洞。我們將攻擊遏止於萌芽階段,以便您的業務不會遭受任何干擾。

  • 可快速偵測和遏止威脅的能見度

    您是否能全盤掌握?面對威脅,唯有知己知彼,才能百戰百勝。利用 NGIPS 和進階惡意軟體防護等內建的進階安全功能,取得最深入的網路和資安可見性,迅速偵測最先進的威脅並加以遏止。

  • 自動化作業,可節省時間並降低複雜性

    因應威脅不再頭痛醫頭、腳痛醫腳。讓CISCO新世代防火牆讓您資安無虞。自動化的原則應用程式和強制執行可釋出時間,讓您能專注於高優先順序的項目。CISCO防火牆與CISCO其他整合式安全設備搭配使用,能迅速找出威脅並加以遏止。

  • Firepower 提供更深層的威脅透視

Firepower NGFW功能特點
  • 完整的儀表板

    簡易明瞭的Dashboards,針對不同的流量不同的App作業系統….分門別類的在同一畫面以最簡單的圖表呈現出做完整的資料,管理者不需要雜亂無章的尋找所需的資料表,在此儀表板中也可以自訂自己想要看到的資料。

    • 網路狀況主控台
    • 威脅狀況主控台
    • 入侵偵測主控台
  • 單一Policy設定

    在傳統的防火牆要設防火牆規則時必須不斷的切換畫面來設定所需要的功能,但在Firepower裡只需要單一條Policy設定就可以完成大部分的配置,除了可以精簡配置外,也減少管理者的複雜學習時間。

  • 資產管理及弱點掃描

    Firepower設計是以入侵防禦為出發點,所以在入侵防禦的領域有著其他友商所無法提供的效果通常在企業內部會安裝所謂的網管軟體,來管理內部的設備,但是讓使用者得花費額外的預算採購相關軟體,在Firepower裡內建系統管理功能可以針對內部設備進行相關設備資訊監測例如哪個使用者登入、作業系統資訊、那些補丁還未安裝、弱點分析….實現在防火牆達到資產管理的目的。

    任何流量經過Firpower,可以透由封包表頭先關資訊分析內部的主機資訊, 主機IP、MAC、作業系統、及目前使用的Application均可以在Firepower內實現統一管理。

    主機所開放的Port,及目前所偵測到該主機的弱點

    進一步的弱點分析及協助使用者放便下載各種不同的修正檔

  • 自動學習應用程式行為

    在企業環境內部有著不同的應用程式,但可能因為企業政策關係讓管理者更換相關的應用平台,例如原本資料庫是使用Oracle卻改成MySQL,原本是Web是IIS後來卻變更為Apache,在應用程式變更後防火牆既使套用原本的規則其實無法有效的規避攻擊,雖然原先有防禦IIS的規則,但是該規則卻不適用Apache,在Firepower可經由自動學習改變IPS的規則,讓企業能有更完善的保護。

  • 檔案軌跡追蹤

    無論是在傳統防火牆或是次世代防火牆,針對未知的威脅都無法立即的防禦,雖然其他友商號稱有沙箱雲端檢測,但惡意檔案一旦流入企業內部,既使雲端沙箱判定為惡意,對已經流入企業內部的惡意檔案也束手無策,思科的Firepowe結合Treat Grid雲端沙箱及AMP端點防護機制,既使惡意檔案已經流入企業內部,只要Treat Grid判定為惡意檔案,就會通知給AMP進行端點防護進而實現統一聯防的架構,並且管理者也能透由File Trajectory得知該惡意檔案流經那些主機、惡意檔案是否有被執行。

強大的Firepower Management Center網管系統

Firepower管理中心(Firepower Management Center, FMC):為Firepower NGFW提供簡易且全面的安全管理方式,可為安全團隊提供對網路中活動的全面可視性與可控性。此類可視性包括使用者、設備、虛擬機器之間的通信、漏洞、威脅、用戶端應用、網站。整體的可執行危害表現(ioc)與詳細的網路和終端設備事件資訊相關聯,可提供針對惡意軟體感染的進一步可視性。 通過對整個NGFW部署無可匹敵的可視性與可控性,思科的企業級管理工具可降低管理複雜度。思科FMC還可提供包含惡意軟體檔軌跡的內容感知功能,可説明確定感染範圍並確定根本原因,從而加快補救速度。

資安艦隊「NGFW版」提供Firepower Management Center網管軟體乙套,可同時管理兩台Firepower NGFW。FMC建議安裝環境:4-8個虛擬CPU,記憶體4-8GB,硬碟空間250GB。

 
Firepower 2110/2120規格介紹

Firepower 2110/2120內建12個RJ-45接頭的GbE埠,以及4個SFP規格的GbE埠(總共16埠)。內建100GB SSD乙顆。

 
Firepower 2130規格介紹

Firepower 2130預設提供了12個GbE埠,以及4個SFP+接頭的10GbE埠(miniGBIC需另購),還有一個擴充槽,可額外擴充8個SFP+接頭的10GbE埠(總共24埠)。內建200GB SSD乙顆。

 
Firepower 2100-Series產品規格表
特性 Firepower 2110 Firepower 2120 Firepower 2130
防火牆狀態檢視

(Stateful inspectionfirewall)效能

3 Gbps 6 Gbps 10 Gbps
效能: FW + AVC + NGIPS

(1024 bytes)

2.0 Gbps 3.0 Gbps 4.75 Gbps
防火牆狀態檢視

(Stateful inspectionfirewall)效能(不同協定)

1.5 Gbps 3 Gbps 5 Gbps
最高同時連線數 1 million 1.5 million 2 million
每秒新建連線數 18000 28000 40000
開啟AVC時,最高連線數量 1 million 1.2 million 2 million
開啟AVC時,最高每秒新建連線數 12,000 16,000 24,000
TLS 硬體解密 350 Mbps 450 Mbps 700 Mbps
IPSec VPN 效能

(1024 bytes TCP w/Fastpath)

750 Mbps 1 Gbps 1.5 Gbps
IPsec / Cisco AnyConnect(需購買授權) / Apex site-to-site VPN 數量 1500 3500 7500
IPsec VPN 效能

(450 bytes UDP L2L test)

500 Mbps 700 Mbps 1 Gbps
思科情報資訊 Standard, with IP, URL, and DNS threat intelligence
URL 過濾 More than 80 categories / More than 280 million URLs categorized
尺寸(H x W x D) 1.73 x 16.90 x 19.76 in. (4.4 x 42.9 x 50.2 cm)
I/O 擴充模組 NA 1 NM slot
I/O 介面 12 x 10M/100M/1GBASE-T Ethernet interfaces (RJ-45), 4 x 1 Gigabit (SFP) Ethernet interfaces 12 x 10M/100M/1GBASE-T Ethernet interfaces (RJ-45), 4 x 10 Gigabit (SFP+) Ethernet interfaces
最多支援介面數量 Up to 16 total Ethernet ports(12x1G RJ-45, 4x1G SFP) Up to 24 total Ethernet ports (12x1G RJ-45, 4x10G SFP+, and network module with 8x10G SFP+)
儲存空間 1x 100 GB, 1x spare slot (for MSP) 1x 200 GB, 1x spare slot (for MSP)
 
Firepower NGFW產品資訊
 
NGFW效能比較表
廠牌/產品型號 CISCO Firepower 2110 Palo Alto Networks PA-820 Palo Alto Network PA-850
NGFW防火牆效能 2Gbps 1Gbps 2Gbps
IPS入侵防護(Threat Prevention) 2Gbps 620Mbps 780Mbps
IPsec VPN效能 750 Mbps 400Mbps 500Mbps
每秒新連線數 12,000 8,300 13,000
總連線數 1,000,000 128,000 192,000
10/100/1000Base-T介面(Base/Max) 12/12 16/16 4/4
1000Base-F SFP介面(Base/Max) 4/4 8/8 4/4
10GBase-F SFP+介面(Base/Max) 未提供 未提供 4/4
 
廠牌/產品型號 CISCOFirepower 2120 Palo Alto NetworksPA-850 Check Point 5100
NGFW防火牆效能 3Gbps 2Gbps 2.1Gbps
IPS入侵防護(Threat Prevention) 3 Gbps 780Mbps 700Mbps
IPsec VPN效能 1 Gbps 500Mbps 1.6Gbps
每秒新連線數 16,000 13,000 110,000
總連線數 1,200,000 192,000 3,200,000
10/100/1000Base-T介面(Base/Max) 12/12 4/4 6/14
1000Base-F SFP介面(Base/Max) 4/4 4/4 0/4
10GBase-F SFP+介面(Base/Max) 未提供 4/4 未提供
 
廠牌/產品型號 CISCO Firepower 2130 Palo Alto Networks PA-3220 Check Point 5400
NGFW防火牆效能 4.75 Gbps 4.6 Gbps 3.4 Gbps
IPS入侵防護(Threat Prevention) 4.75 Gbps 2.6 Gbps 980Mbps
IPsec VPN效能 1.5G bps 2.5 Gbps 2.16 Gbps
每秒新連線數 24,000 57000 150,000
總連線數 2,000,000 1,000,000 3,200,000
10/100/1000Base-T介面(Base/Max) 12/12 12/12 10/18
1000Base-F SFP介面(Base/Max) 未提供 4/4 0/4
10GBase-F SFP+介面(Base/Max) 4/12 4/4 未提供