思科ASA产品介绍&技术介绍 新5585订购指南&优势说明

Presentation on theme: "思科ASA产品介绍&技术介绍 新5585订购指南&优势说明"— Presentation transcript:

1 思科ASA产品介绍&技术介绍 新5585订购指南&优势说明

2 议 程 思科防火墙产品介绍 防火墙功能分析 防火墙性能分析 ASA快速销售指南 思科ASA产品线定位 ASA5585防火墙功能订购指南
议 程 思科防火墙产品介绍 防火墙功能分析 防火墙性能分析 ASA快速销售指南 思科ASA产品线定位 ASA5585防火墙功能订购指南 思科高端ASA优势示例

3 ASA防火墙系列

4 思科防火墙定位 ASA低端－UTM市场（统一威胁管理） ASA高端－访问控制与威胁控制
ASA5550，ASA5540，ASA5520，ASA5510，ASA5505 支持防火墙、VPN、IPS、Anti-X等功能 ASA高端－访问控制与威胁控制 ASA5580,ASA5585 高性能的独立IPS模块

5 什么是ASA？-----思科多功能安全网关
经过市场十余年验证 的企业级技术 提供威胁防御与安全连接 企业级防火墙 阻止未经授权的用户，控制即 时消息和P2P应用 防火墙技术 Cisco PIX Anti-X 防御 防范病毒、间谍软件、垃圾邮件、 僵尸网络和网络诈骗 Anti-X 技术 Trend Micro AV 威胁防范VPN 将IPSec 、SSL VPN与威胁 防范服务相结合 VPN 技术 Cisco VPN 3000 Cisco ASA 5500 系列 网络智能 路由，永续性，QoS，虚拟化技术 网络技术 思科网络服务

6 多服务网关 (Firewall, IPS, VPN)
Cisco ASA防火墙产品线 ASA 5585-S60P60 (40 Gbps, 350K conn/s) ASA 5585-S40P40 (20 Gbps, 200K conn/s) ASA 5585-S20P20 (10 Gbps, 125K conn/s) ASA S10P10 (4 Gbps, 50K conn/s) ASA (10-20 Gbps, 150K conn/s) ASA (1.2 Gbps, 36K conn/s) ASA (650 Mbps, 25K conn/s) ASA (5-10 Gbps, 90K conn/s) ASA (450 Mbps, 12K conn/s) 多服务网关 (Firewall, IPS, VPN) ASA (300 Mbps, 9K conn/s) ASA (150 Mbps, 4K conn/s) Firewall and VPN Branch Office Internet Edge Teleworker Campus Data Center

7 防火墙功能分析

8 新一代防火墙的功能 网络功能 防火墙基本功能 下一代防火墙需要具备的功能 威胁控制 虚拟化 云技术 可审计：syslog、Netflow
部署模式 路由支持 组播支持 防火墙基本功能 状态检查访问控制 NAT VPN，Ipsec&SSL 下一代防火墙需要具备的功能 威胁控制 虚拟化 云技术 可审计：syslog、Netflow

9 Ipsec & SSL VPN 技术 SSL VPN 同时终结SSL和IPSec VPN SSL VPN
主要分支机构 总部 主要分支机构 数据中心 主要分支机构 主要分支机构 主要分支机构 用专线或IPSec VPN实现主要分支机构与总部的互联 用 SSL VPN实现偏远小营业网点/营业部的互联 用SSL VPN实现员工的移动办公

10 对僵尸网络的防护 动态/静态数据库 流量识别与报表 DNS Snooping 配置MPF，区别过滤流量经过BTF 记录拦截日志，生成报表
BTF读取SensorBase信誉数据 ASA动态更新SensorBase 本地静态配置黑白名单 流量识别与报表 配置MPF，区别过滤流量经过BTF 记录拦截日志，生成报表 DNS Snooping SensorBase以域名存储僵尸网络 DNS Snooping监控记录DNS解析域名 BTF匹配访问域名与SensorBase域名 10

11 高性能的威胁控制 2－7层的威胁控制 独立的IPS模块 匹配的IPS性能 安全事件的关联分析 11

12 虚拟防火墙可以定义其各自的安全策略，并可以定义占用的系统资源
ASA防火墙 可以配置成二层、三层虚拟防火墙 虚拟防火墙可以定义其各自的安全策略，并可以定义占用的系统资源 SYSTEM CONTEXT 不同的虚拟防火墙 用户接入区一 用户接入区二 用户接入区n 占用系统资源20％ 占用系统资源 5％ 占用系统资源 20％

13 云安全服务 SIO: 威胁识别、分析和自动防御 产品和服务：主动保护，出色性能 实时声誉评分 新增签名和 更新签名 编写的 动态规则集
每五分钟 自动更新 发布一次 定制报警 安全过滤器：业界最有效的安全特性 病毒爆发过滤器 防垃圾邮件过滤器 电子邮件和Web声誉 过滤器 IPS声誉和签名过滤器 防火墙Botnet流量过滤器 报警汇聚过滤器 产品和服务：主动保护，出色性能 自适应 安全设备 入侵防御 Web安全 电子邮件安全 托管电子 邮件安全 服务模块 报警服务 13 13

14 Netflow 分析统计 Netflow 统计 源地址 源端口 目的地址 目的端口 流量大小

15 防火墙性能分析

16 防火墙的主要性能指标 吞吐量 延迟 每秒包个数pps 并发连接数 每秒新建连接

17 吞吐量 大包，小包，IMIX包？HTTP 各个厂商宣传的标准不同，无法根据标称来对比

18 每秒包个数pps 衡量网络设备转发性能的最优指标 每秒转发的包个数，通常以64字节为准（64字节该值最大） 主流厂商公开公布该指标
标称10G的防火墙，64字节吞吐应该多少？1Gor2G？ 1.6Mpps大约对应于1G的吞吐

19 并发连接数 由于防火墙采用状态检查机制，并发连接数代表了该防火墙的容量 WEB2.0/视频/P2P技术的发展，使得连接的数量猛增 核算举例：
如4G出口，每客户端流量为1M,并发连接100，则该防火墙的总并发连接容量至少为40万。

20 每秒新建连接 代表了防火墙承载突发流量，突发应用的能力 WEB2.0/视频/P2P技术的发展，使得新建连接速度猛增
每秒新建连接最主要考验CPU的能力 网络防火墙的很多CPU过高的情况，很大一部分是由于每秒新建连接过多造成的。

21 其他性能指标 ACL数目 VPN隧道数目 VPN吞吐量 组播性能 。。。。

22 高性能防火墙 由于防火墙是基于状态表的转发，真正的高性能防火墙是单个防火墙引擎可以实现的性能，而不是将几个防火墙引擎装在一个盒子里。流量可以在不同的业务板块上转发。 高端防火墙 伪高端防火墙 业务板1 业务板1 业务板2 业务板2

23 应用场景举例－边界 互联网边界 威胁防护 高并发连接 高每秒新建连接 NAT 语音/视频 应用 高PPS 低延迟 应用分析能力
Internet

24 应用场景举例－数据中心 Web Tier Application Tier Database Tier 多级架构防火墙需求 用户 边界防火墙
高并发连接 高每秒新建连接 攻击防护 应用监控防火墙 高级应用监控 后端防火墙 高吞吐 低延迟 用户 Web Tier Application Tier Database Tier

25 思科ASA产品线定位

26 思科ASA 5500系列产品线 性能与扩展性 为Soho级办公到数据中心应用提供集成的安全网关解决方案 防火墙与VPN安全网关
多安全服务集成平台(防火墙/VPN & IPS) New ASA (150 Mbps, 4K cps) ASA (650 Mbps,25K cps) ASA (450 Mbps,12K cps) ASA (300 Mbps, 9K cps) ASA 5585 SSP-20 (10 Gbps,125K cps) ASA 5585 SSP-40 (20 Gbps,200K cps) ASA 5585 SSP-60 (35 Gbps, 350K cps) ASA 5585 SSP-10 (4 Gbps,50K cps) ASA (1.2 Gbps, 36K cps) ASA (10 Gbps, 90K cps) ASA (20 Gbps, 150K cps) 防火墙与VPN安全网关 性能与扩展性 SOHO　　　分支办公室 互联网出口 园区网络 数据中心

27 新产品 ASA5585 防火墙功能订购指南

28 业界最强的2U多功能安全设备----ASA5585
Cisco ASA5585-X防火墙是专门为数据中心关键业务所设计，它具备出众的灵活性和安全性。 在无边界网络安全架构中，除了要求具备高的吞吐能力(Throughput)外，连接建立速度（Connection Per Second）、总连接数（Concurrent Session）、物理空间占用及设备功耗均成为用户采购防火墙产品的重要评价指标。 ASA5585-X极大的提高了VPN的会话数，吞吐量，以及连接速度和系统容量，满足了当前不断变化的企业环境中。 对于使用个人电脑与智能终端等移动平台进行移动办公的企业而言， ASA5585-X支持基于客户端(full tunnel) 与无客户端的远程访问VPN，通过集成IPS系统和Web安全防护系统与基于 Always- on特性的VPN远程访问，实现对移动办公方案的最大安全保护(Secure Mobility)，员工工作效率得以大提高。 与大多数安全产品供应商强迫用户要么选择高端防火墙，要么选择独立的IPS设备所不同的是，思科把业界证明最成功的防火墙与最高效的硬件IPS系统集成于单一硬件平台，提供了强大、高效的安全解决 方案，实现全面可靠的保护。

29 ASA5585-10订购指南 ASA5585-10 技术指标 产品描述 产品编号 价格(CPL) 备注
Cisco ASA 5585-X防火墙版 SSP-10 组合(包含8个千兆以太网电口, 2个千兆以太网SFP接口, 2个千兆管理口(电口)。提供5000个IPsec VPN连接许可证。2个SSL VPN连接许可证证 2个Phone Proxy连接许可证，DES加密许可证。 ASA5585-S10-K8 　 2个Phone Proxy连接许可证，DES/3DES加密许可证。 ASA5585-S10-K9 Cisco ASA 5585-X 增强型防火墙版 SSP-10 组合 (包含8个千兆以太网电口, 2个万兆以太网SFP+ 2个千兆管理口(电口)。提供5000个IPsec VPN连接许可证。2个SSL VPN连接许可证证。2个Phone Proxy连接许可证，2个交流电源，DES/3DES加密许可证 。 ASA5585-S10X-K9 ASA 技术指标 接口配置 防火墙吞吐量 (Mbps) 并发连接 (最大) 新建连接 (每秒) 包转发率 (64字节) VLAN数 虚墙数 VPN吞吐量(3DES/AES Mbps) 最大VPN隧道数 (Site to Site/远程访问) 最大SSL VPN 并发用户数 IPS吞吐量 8个千兆以太网电口 2个千/万兆以太网SFP接口 2个千兆管理口(电口) 2Gbps(多协议) 4Gbps (大包) 50000 1,500,000 1024 100 1000 10000 2000

30 ASA5585-20订购指南 ASA5585-20 技术指标 产品描述 产品编号 价格(CPL) 备注
Cisco ASA 5585-X 防火墙版 SSP-20 组合 (包含8个千兆以太网电口、2个千兆以太网SFP接口、　　2个千兆管理口(电口)、提供10000个IPsec VPN连接许可证、2个SSL VPN连接许可证证、2个Phone Proxy连接许可证、DES加密许可证。 ASA5585-S20-K8 179,985.00 Cisco ASA 5585-X 防火墙版 SSP-20 组合 (包含8个千兆以太网电口、2个千兆以太网SFP接口、2个千兆管理口(电口)、提供10000个IPsec VPN连接许可证、2个SSL VPN连接许可证证、2个Phone Proxy连接许可证、DES/3DES加密许可证。 ASA5585-S20-K9 Cisco ASA 5585-X 增强型防火墙版 SSP-20 组合 (包含8个千兆以太网电口、2个万兆以太网SFP+　接口、2个千兆管理口(电口)、提供10000个IPsec VPN连接许可证、2个SSL VPN连接许可证证、2个Phone Proxy连接许可证、2个交流电源、DES/3DES加密许可证。 ASA5585-S20X-K9 279,980.00 ASA 技术指标 接口配置 防火墙吞吐量 (Mbps) 并发连接 (最大) 新建连接 (每秒) 包转发率 (64字节) VLAN数 虚墙数 VPN吞吐量(3DES/AES Mbps) 最大VPN隧道数 (Site to Site/远程访问) 最大SSL VPN 并发用户数 IPS吞吐量 8个千兆以太网电口 2个千/万兆以太网SFP接口 2个千兆管理口(电口) 5Gbps(多协议) 10Gbps (大包) 125000 3,000,000 1024 250 2000 10000 3000

31 ASA5585-40订购指南 ASA5585-40 技术指标 产品编号 价格(CPL) 备注
Cisco ASA 5585-X 防火墙版 SSP-40 组合 (包含6个千兆以太网电口、4个万兆以太网SFP+接口、　　2个千兆管理口(电口)、提供10000个IPsec VPN连接许可证、2个SSL VPN连接许可证证、2个Phone Proxy连接许可证、DES加密许可证。 ASA5585-S40-K8 Cisco ASA 5585-X 防火墙版 SSP-40 组合 (包含6个千兆以太网电口、4个万兆以太网SFP+接口、2个千兆管理口(电口)、提供10000个IPsec VPN连接许可证、2个SSL VPN连接许可证证、2个Phone Proxy连接许可证、DES/3DES加密许可证。 ASA5585-S40-K9 Cisco ASA 5585-X 防火墙版 SSP-40 组合 (包含6个千兆以太网电口, 4个万兆以太网SFP+接口, 2个千兆管理口(电口)。提供10000个IPsec VPN连接许可证。2个SSL VPN连接许可证证。2个Phone Proxy连接许可证，2个交流电源，3DES/DES加密许可证 ASA5585-S40-2A-K9 ASA 技术指标 接口配置 防火墙吞吐量 (Mbps) 并发连接 (最大) 新建连接 (每秒) 包转发率 (64字节) VLAN数 虚墙数 VPN吞吐量(3DES/AES Mbps) 最大VPN隧道数 (Site to Site/远程访问) 最大SSL VPN 并发用户数 IPS吞吐量 6个千兆以太网电口 4个千/万兆以太网SFP接口 2个千兆管理口(电口) 10Gbps(多协议) 20Gbps (大包) 200000 5,000,000 1024 250 3000 10000 5000

32 ASA5585-60订购指南 ASA5585-60 技术指标 产品编号 价格(CPL) 备注
Cisco ASA 5585-X 防火墙版 SSP-60 组合 (包含6个千兆以太网电口, 4个万兆以太网SFP+接口 2个千兆管理口(电口)。提供10000个IPsec VPN连接许可证。2个SSL VPN连接许可证证 2个Phone Proxy连接许可证，2个交流电源，DES加密许可证。 ASA5585-S60-2A-K8 674,985.00 2个Phone Proxy连接许可证，2个交流电源，3DES/DES加密许可证 ASA5585-S60-2A-K9 ASA 技术指标 接口配置 防火墙吞吐量 (Mbps) 并发连接 (最大) 新建连接 (每秒) 包转发率 (64字节) VLAN数 虚墙数 VPN吞吐量(3DES/AES Mbps) 最大VPN隧道数 (Site to Site/远程访问) 最大SSL VPN 并发用户数 IPS吞吐量 6个千兆以太网电口 4个千/万兆以太网SFP接口 2个千兆管理口(电口) 20Gbps(多协议) 35Gbps (大包) 350000 9,000,000 1024 250 5000 10000

33 思科高端ASA优势示例

34 思科防火墙优势 优势之一------虚拟化技术 优势之二------集成防火墙/IPSEC&SSL VPN技术
优势之三------ASA5585支持高达10Gbps的IPS板卡 优势之四------智能防御，动态阻断僵尸、木马 优势之五------业界唯一支持基于Netflow的流量/日志分析 优势之六------真正为数据中心设计的产品(高集成度低能耗)

35 优势之一------虚拟化技术 Virtualized per Risk Level Virtualized per Service
Web服务 风险等级A 应用服务风险等级 B 数据库服务 风险等级 C VM VM Web VM Web Application VM Web服务 应用服务 数据库服务 Equivalent Risk Levels Virtualized per Risk Level ASA虚拟防火墙可以与数据中心虚拟技术完美结合； 利用虚拟防火墙技术实现应用分区隔离； 每个虚拟防火墙资源可动态调整； 减少安全策略部署时间、简化管理

36 优势之二------集成防火墙/IPSEC&SSL VPN技术
ASA能同时支持IPSEC/SSL VPN接入 ASA支持多种智能手机接入（IPhone、IPAD); ASA VPN集群技术，扩展性业界领先； ASA 可以支持IP电话以VPN方式接入；

37 优势之三------ASA5585支持高达10Gbps的IPS板卡
IPS SSP-10 IPS SSP-20 IPS SSP-40 IPS SSP-60 Processor Yes (Dual CPU) Maximum Memory 6 GB 12 GB 24 GB 48 GB Maximum Storage 2 GB eUSB Ports 2 x SFP+ 8 x 1GbE Cu 2 x 1GbE Cu Mgmt 2 x SFP+ 4 x SFP+ 6 x 1GbE Cu 4 x SFP+ Concurrent Firewall and IPS Throughput 2 Gbps 3 Gbps 5 Gbps 10 Gbps 对于同时采购硬件防火墙与硬件IPS的用户而言，思科ASA5585＋IPS模块拥有业界领先的性价比

38 优势之四------智能防御，动态阻断僵尸、木马
传统的防火墙在木马僵尸网络环境中束手无策： 思科“云”火墙： ASA BTF+ IPS Global Correlation是下一代防火墙基本配置。 国产防火墙： 仍然停留在单纯追求防火墙性能的层面 仍然停留在网络层、传输层的访问控制，无应用层面的IPS，无SSL VPN 更没有僵尸网络防御、没有全球联防的云安全技术；

39 优势之五------业界唯一支持基于Netflow的流量/日志分析
异常流量的监测 高速采样与时控 网络与安全融合 标准网元的管理

40 优势之六------真正为数据中心设计的产品

41