Download
1 / 44
450 likes | 879 Views
思科 ASA 产品介绍 & 技术介绍 新 5585 订购指南 & 优势说明 . 议 程. 思科防火墙产品介绍 防火墙功能分析 防火墙性能分析 ASA 快速销售 指南 思科 ASA 产品线定位 ASA5585 防火墙功能 订购 指南 思科 高端 ASA 优势示例. ASA 防火墙系列. 思科防火墙定位. ASA 低端 - UTM 市场(统一威胁管理) ASA5550 , ASA5540 , ASA5520 , ASA5510 , ASA5505 支持防火墙、 VPN 、 IPS 、 Anti-X 等 功能 ASA 高端- 访问 控制与威胁 控制
E N D
思科ASA产品介绍&技术介绍新5585订购指南&优势说明 思科ASA产品介绍&技术介绍新5585订购指南&优势说明
议程 • 思科防火墙产品介绍 • 防火墙功能分析 • 防火墙性能分析 • ASA快速销售指南 • 思科ASA产品线定位 • ASA5585防火墙功能订购指南 • 思科高端ASA优势示例
思科防火墙定位 • ASA低端-UTM市场(统一威胁管理) • ASA5550,ASA5540,ASA5520,ASA5510,ASA5505 • 支持防火墙、VPN、IPS、Anti-X等功能 • ASA高端-访问控制与威胁控制 • ASA5580,ASA5585 • 高性能的独立IPS模块
什么是ASA?-----思科多功能安全网关 经过市场十余年验证的企业级技术 提供威胁防御与安全连接 企业级防火墙 阻止未经授权的用户,控制即 时消息和P2P应用 防火墙技术 Cisco PIX Anti-X 防御 防范病毒、间谍软件、垃圾邮件、 僵尸网络和网络诈骗 Anti-X 技术 Trend Micro AV 威胁防范VPN 将IPSec 、SSL VPN与威胁 防范服务相结合 VPN 技术 Cisco VPN 3000 Cisco ASA 5500 系列 网络智能 路由,永续性,QoS,虚拟化技术 网络技术 思科网络服务
Cisco ASA防火墙产品线 ASA 5585-S60P60(40 Gbps, 350K conn/s) ASA 5585-S40P40(20 Gbps, 200K conn/s) ASA 5585-S20P20 (10 Gbps, 125K conn/s) ASA 5585 -S10P10 (4 Gbps, 50K conn/s) ASA 5580-40 (10-20 Gbps, 150Kconn/s) ASA 5550 (1.2 Gbps, 36Kconn/s) ASA 5580-20 (5-10 Gbps, 90Kconn/s) ASA 5540 (650 Mbps, 25K conn/s) ASA 5520 (450 Mbps, 12K conn/s) 多服务网关(Firewall, IPS, VPN) ASA 5510 (300 Mbps, 9K conn/s) ASA 5505 (150 Mbps, 4K conn/s) Firewall and VPN Branch Office InternetEdge Teleworker Campus Data Center
新一代防火墙的功能 • 下一代防火墙需要具备的功能 • 威胁控制 • 虚拟化 • 云技术 • 可审计:syslog、Netflow • 网络功能 • 部署模式 • 路由支持 • 组播支持 • 防火墙基本功能 • 状态检查访问控制 • NAT • VPN,Ipsec&SSL
Ipsec & SSLVPN技术 SSL VPN 同时终结SSL和IPSec VPN SSL VPN 主要分支机构 总部 主要分支机构 数据中心 主要分支机构 主要分支机构 主要分支机构 用专线或IPSec VPN实现主要分支机构与总部的互联 用 SSL VPN实现偏远小营业网点/营业部的互联 用SSL VPN实现员工的移动办公
动态/静态数据库 BTF读取SensorBase信誉数据 ASA动态更新SensorBase 本地静态配置黑白名单 流量识别与报表 配置MPF,区别过滤流量经过BTF 记录拦截日志,生成报表 DNS Snooping SensorBase以域名存储僵尸网络 DNS Snooping监控记录DNS解析域名 BTF匹配访问域名与SensorBase域名 对僵尸网络的防护
高性能的威胁控制 • 2-7层的威胁控制 • 独立的IPS模块 • 匹配的IPS性能 • 安全事件的关联分析
虚拟防火墙 ASA防火墙 可以配置成二层、三层虚拟防火墙 虚拟防火墙可以定义其各自的安全策略,并可以定义占用的系统资源 SYSTEM CONTEXT 不同的虚拟防火墙 用户接入区一 用户接入区二 用户接入区n 占用系统资源20% 占用系统资源 5% 占用系统资源 20%
SIO: 威胁识别、分析和自动防御 每五分钟 发布一次 定制报警 编写的 动态规则集 实时声誉评分 每五分钟 自动更新 新增签名和 更新签名 安全过滤器:业界最有效的安全特性 电子邮件和Web声誉 过滤器 防火墙Botnet流量过滤器 IPS声誉和签名过滤器 报警汇聚过滤器 病毒爆发过滤器 防垃圾邮件过滤器 产品和服务:主动保护,出色性能 Web安全 入侵防御 自适应 安全设备 电子邮件安全 托管电子 邮件安全 服务模块 报警服务 云安全服务
Netflow分析统计 • Netflow 统计 • 源地址 • 源端口 • 目的地址 • 目的端口 • 流量大小
防火墙的主要性能指标 • 吞吐量 • 延迟 • 每秒包个数pps • 并发连接数 • 每秒新建连接
吞吐量 • 大包,小包,IMIX包?HTTP • 各个厂商宣传的标准不同,无法根据标称来对比
每秒包个数pps • 衡量网络设备转发性能的最优指标 • 每秒转发的包个数,通常以64字节为准(64字节该值最大) • 主流厂商公开公布该指标 • 标称10G的防火墙,64字节吞吐应该多少?1Gor2G? • 1.6Mpps大约对应于1G的吞吐
并发连接数 • 由于防火墙采用状态检查机制,并发连接数代表了该防火墙的容量 • WEB2.0/视频/P2P技术的发展,使得连接的数量猛增 • 核算举例: • 如4G出口,每客户端流量为1M,并发连接100,则该防火墙的总并发连接容量至少为40万。
每秒新建连接 • 代表了防火墙承载突发流量,突发应用的能力 • WEB2.0/视频/P2P技术的发展,使得新建连接速度猛增 • 每秒新建连接最主要考验CPU的能力 • 网络防火墙的很多CPU过高的情况,很大一部分是由于每秒新建连接过多造成的。
其他性能指标 • ACL数目 • VPN隧道数目 • VPN吞吐量 • 组播性能 • 。。。。
高性能防火墙 • 由于防火墙是基于状态表的转发,真正的高性能防火墙是单个防火墙引擎可以实现的性能,而不是将几个防火墙引擎装在一个盒子里。流量可以在不同的业务板块上转发。 高端防火墙 伪高端防火墙 业务板1 业务板1 业务板2 业务板2
互联网边界 威胁防护 高并发连接 高每秒新建连接 NAT 语音/视频 应用 高PPS 低延迟 应用分析能力 应用场景举例-边界 Internet
多级架构防火墙需求 边界防火墙 高并发连接 高每秒新建连接 攻击防护 应用监控防火墙 高级应用监控 高并发连接 后端防火墙 高吞吐 低延迟 应用场景举例-数据中心 用户 Web Tier Application Tier Database Tier
ASA简明销售指南---销售机会 当客户需要为外出员工提供安全的内网资源访问时 当客户需要阻止未授权用户对企业资源的访问时 当客户需要易于扩展与维护的高性能网络安全设备时 当客户有Internet接入需求时 当客户总部需要利用Internet连接远程分支机构时 当客户计划对现有防火墙进行升级时 “We need to deploy SSL VPN” ASA所具备的优势 什么是ASA? 销售初期需要关注的几个问题 • 企业是否有兴趣将各种安全服务整合到一个单一平台上来? • 企业当前是否计划部署VPN接入服务(IPSEC或SSL或两者同时需要? • 企业是否计划为分支机构部署恶意流量过滤方案? • 企业是否需要性能强大的NAT设备并实现安全审计? • 移动用户是否有借助互联网来安全访问内网应用程序的需求? • 企业是否在寻找一种既能够降低费用又减少管理复杂度的网络安全解决方案? • 企业是否经历过因为病毒或者蠕虫引起的业务系统中断? • 企业是否在寻找升级替换企业现有的安全解决方案,或者在现有网络上增加安全服务如防火墙或者IPS系统? • 企业目前是否能够及时准确检测到针对各类安全攻击并作出及时响应? • 企业现有防火墙/VPN设备是否存在性能瓶颈,是否需要业界性能最强的安全设备? • ASA 是一个多功能的安全设备,它允许客户依照自身业务系统对安全的需求来灵活部署安全服务。通过ASA可以提供如下安全服务: • 防火墙 (Firewall) • 入侵检测/入侵阻止(IDS/IPS) • 分支之间的Site-to-Site VPN • 基于IPSEC VPN 的远程访问 • 基于SSL VPN 的远程访问 • 内容过滤 Content Filtering • IP电话通过VPN远程连接 • 通过如下两点充分降低总拥有成本: • 在单一管理界面下管理多种安全服务 (防火墙/入侵检测/VPN连接等) • 减少客户需要购买备件的数量 • 专为适应不断变化的安全威胁而设计 • 单台设备的价格可提供按需的安全服务 • 单台设备可同时提供最高性能防火墙与VPN服务 ASA适用的场景 ASA所体现的关键价值 保护 ASA5500通过内容安全技术阻止恶意软件通过网页浏览或邮件进入企业网络,通过安全域划分限制未授权访问受保护企业信息资源. 检测 ASA5500通过扫描邮件与消息中的病毒来帮助检测安全漏洞 • 在同一个硬件平台上为企业提供基础安全服务(如.Firewall, VPN, IPS) • 新的安全服务可以灵活增加至现有硬件平台以保护投资 • 针对多种安全服务同时运行在单一平台的高性能架构设计 • 企业互联网出口防火墙; • 企业VPN接入网关; • 企业数据中心安全防护; • 企业远程分支接入保护; • 企业语音/数据网络隔离保护; • 企业IP电话系统远程电话接入;
ASA简明销售指南---把握机会 销售过程中通常客户的声音 多服务集成降低总拥有成本 竞争对手常见的声音 客户: 我们已经有了防火墙. 回答: ASA是基本功能就是一个作防火墙,同时又能作为IPS,VPN接入网关及防垃圾邮件网关/防病毒网关的安全设备 . 客户:我不想为那些我没有使用到的功能付费 客户: ASA采用模块化设计 – 所有功能可以集成到一个硬件平台上,但你只需要为你当前所使用到的的功能付费,未来可轻松升级. 客户: 我对同一个公司提供太多的安全解决方案有所顾虑,对其专业性有所怀疑. 回答: 思科有众多独立的安全专家团队来开发每一个安全方案(IPS, Firewall, VPN 等),事实上上述解决方案独立来看在业界都是处于领先的地位. J公司攻击: 思科是一家路由器/交换机厂商,不是专业的安全设备厂商.而xxx是一家专注于网络安全的厂商。 10多年前这样的说法是正确的,但经过10多年专业的安全产品研发,销售与服务经验,当前思科不仅仅能提供集成多项安全服务的路由器/交换机产品,更是当今市场占有率第一的端到端安全解决方供应商,而反观业界某些公司,由于公司的购并,人员的流失,已经面对产品Roadmap不确定,采用新架构后产品的功能缺失,新产品客户认可度等诸多问题。 Juniper: 销售战略:充分强调在防火墙集成SSL VPN功能的种种优势.对比思科ASA从低到高清晰的产品线相对于Juniper SSG/ISG/NS杂乱的产品线. 攻击:集成后的IOS 不稳定, 思科的服务模块策略增加了复杂度与成本 回应:强调我们在多项安全服务技术领域的市场占用率第一地位,强调集成并非另起炉灶,而是将多项成熟应用的技术通过集成来降低客户的投资成本与管理成本,其稳定性是无容置疑的. 多业务集成的核心价值 听听其它客户的声音 “在使用ASA之前,我们面临的对大挑战时管理独立的 防火墙, IPS, 病毒扫描与监控系统。ASA将所有的功能集成到单一硬件平台并提供单一的管理平台(ASDM),大大简化了管理工作。 SelimNart, Network Architect, Vignette Corporation “ ASA是思科自防御网络策略中的重要组成部分, 因为它成功将思科多种安全设备整合到单一的硬件平台中来.” Garth Brown, President, Semaphore, Managed Network Services “我拥有了单一硬件平台可以为企业网络提供防火墙,VPN与IPS服务,并且拥有单一的管理界面,这真是太棒了! .” Andre Gold, Director Information Security, Continental Airlines ASA 安全服务模块 相对于其它厂商通过软件的方式来实现安全服务的多功能集成而遭遇性能瓶颈,思科ASA通过插入各种安全服务模块来满足客户所需的多种安全服务,并且不牺牲性能. 更多参考资源请访问: ASA主页:http//www.cisco.com/go/asa Team Folder:Bej-filer01b\wg-\security_solutions Email alias:prc-security-sevt@cisco.com
New New New New 思科ASA 5500系列产品线 为Soho级办公到数据中心应用提供集成的安全网关解决方案 ASA 5585 SSP-60(35 Gbps, 350K cps) 多安全服务集成平台(防火墙/VPN & IPS) ASA 5585 SSP-40(20 Gbps,200K cps) ASA 5585 SSP-20 (10 Gbps,125K cps) ASA 5585 SSP-10 (4 Gbps,50K cps) ASA 5540 (650 Mbps,25K cps) 防火墙与VPN安全网关 ASA 5580-40 (20 Gbps, 150K cps) 性能与扩展性 ASA 5520 (450 Mbps,12K cps) ASA 5580-20 (10 Gbps, 90K cps) ASA 5510 (300 Mbps, 9K cps) ASA 5550 (1.2 Gbps, 36K cps) ASA 5505 (150 Mbps, 4K cps) 园区网络 互联网出口 SOHO 分支办公室 数据中心
新产品 ASA5585 防火墙功能订购指南
业界最强的2U多功能安全设备----ASA5585 • Cisco ASA5585-X防火墙是专门为数据中心关键业务所设计,它具备出众的灵活性和安全性。 • 在无边界网络安全架构中,除了要求具备高的吞吐能力(Throughput)外,连接建立速度(Connection Per Second)、总连接数(Concurrent Session)、物理空间占用及设备功耗均成为用户采购防火墙产品的重要评价指标。 • ASA5585-X极大的提高了VPN的会话数,吞吐量,以及连接速度和系统容量,满足了当前不断变化的企业环境中。 • 对于使用个人电脑与智能终端等移动平台进行移动办公的企业而言, ASA5585-X支持基于客户端(full tunnel) 与无客户端的远程访问VPN,通过集成IPS系统和Web安全防护系统与基于 Always- on特性的VPN远程访问,实现对移动办公方案的最大安全保护(Secure Mobility),员工工作效率得以大提高。 • 与大多数安全产品供应商强迫用户要么选择高端防火墙,要么选择独立的IPS设备所不同的是,思科把业界证明最成功的防火墙与最高效的硬件IPS系统集成于单一硬件平台,提供了强大、高效的安全解决 方案,实现全面可靠的保护。
ASA5585-10订购指南 ASA5585-10技术指标
ASA5585-20订购指南 ASA5585-20技术指标
ASA5585-40订购指南 ASA5585-40技术指标
ASA5585-60订购指南 ASA5585-60技术指标
思科防火墙优势 • 优势之一------虚拟化技术 • 优势之二------集成防火墙/IPSEC&SSL VPN技术 • 优势之三------ASA5585支持高达10Gbps的IPS板卡 • 优势之四------智能防御,动态阻断僵尸、木马 • 优势之五------业界唯一支持基于Netflow的流量/日志分析 • 优势之六------真正为数据中心设计的产品(高集成度低能耗)
优势之一------虚拟化技术 Web服务 风险等级A Virtualized per Risk Level 应用服务风险等级 B Web Web Application 数据库服务 Web服务 应用服务 Virtualized per Service Equivalent Risk Levels 数据库服务 风险等级C • ASA虚拟防火墙可以与数据中心虚拟技术完美结合; • 利用虚拟防火墙技术实现应用分区隔离; • 每个虚拟防火墙资源可动态调整; • 减少安全策略部署时间、简化管理 VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM
优势之二------集成防火墙/IPSEC&SSLVPN技术 • ASA能同时支持IPSEC/SSLVPN接入 • ASA支持多种智能手机接入(IPhone、IPAD); • ASA VPN集群技术,扩展性业界领先; • ASA 可以支持IP电话以VPN方式接入;
优势之四------智能防御,动态阻断僵尸、木马 • 传统的防火墙在木马僵尸网络环境中束手无策: • 思科“云”火墙: ASA BTF+ IPS Global Correlation是下一代防火墙基本配置。 • 国产防火墙: • 仍然停留在单纯追求防火墙性能的层面 • 仍然停留在网络层、传输层的访问控制,无应用层面的IPS,无SSLVPN • 更没有僵尸网络防御、没有全球联防的云安全技术;
优势之五------业界唯一支持基于Netflow的流量/日志分析优势之五------业界唯一支持基于Netflow的流量/日志分析 • 异常流量的监测 • 高速采样与时控 • 网络与安全融合 • 标准网元的管理
