网络安全 频道

火力全开 思科FirePOWER下一代防火墙

  【IT168 技术】思科于2014年9月推出了自适应/关注威胁的下一代防火墙,ASA本身是思科的传统防火墙系列,但随着其竞争对手在下一代防火墙市场的走强,已经渐渐威胁到了其在防火墙市场的份额和地位。于是,思科在2013年9月以27亿美金收购了Sourcefire,以应对以Poloalto为代表的众多下一代防火墙厂商的竞争。这一收购很快在2014年开花结果,为其ASA5500系列防火墙加载了FirePOWER服务的软件和硬件板卡。

  思科称FirePOWER服务适用于ASA全线产品,在ASA 5500系列中,ASA5500-X支持FirePOWER软件服务,ASA5585-X支持FirePOWER服务的硬件板卡。整合后的防火墙,思科集成了应用控制功能,下一代IPS和高性能恶意软件防护功能,宣称能够在攻击的前、中、后期为企业提供威胁防御支持。与大多数下一代防火墙偏重策略和应用控制不同,ASA 5500系列立足可见性、专注威胁防御,可应对零日攻击。

火力全开 思科FirePOWER下一代防火墙
▲思科下一代防火墙系列产品

  威胁防护

  该系列下一代防火墙最为抢眼的一面就是,能够提供针对已知的高级威胁提供防护。如下一代IPS,支持超过3000项基于应用层和风险的控制,FireSIGHT管理中心的集中管控和分析,对80个种类超过数亿个URL执行策略等等。引入下一代入侵防御NGIPS来全面防御已知和高级威胁,同时采用恶意软件防护(AMP)来抵御零日和持久型攻击。结合最新的大数据分析、连续分析和思科安全智能一起提供检测、拦截、跟踪、分析和修复功能,以防御各种已知和未知攻击。

火力全开 思科FirePOWER下一代防火墙
▲图:具备FirePOWER服务的Cisco ASA防火墙多层防护

火力全开 思科FirePOWER下一代防火墙
▲图:针对攻击不同阶段提供防护

    网络可视性

  思科ASA下一代防火墙,提供了针对用户、移动设备、客户端应用、虚拟机、通信、漏洞、威胁等完整的情景感知功能。其企业级管理功能可针对发现的主机、应用、威胁和被攻击指标(IoC)等为用户提供仪表板和详细报告,让用户获得全面的可见性和事件处理的有效依据。

  具备FirePOWER服务的思科ASA由FireSIGHT管理中心进行集中管理,为安全团队提供对网络中活动的全面可视性与可控性,包括事件监控、分析、事件优先排序及报告等。FireSIGHT管理中心支持两种部署模式,第一种可在VMware基础设施内部进行虚拟部署,FireSIGHT FS-VMW-SW虚拟设备可在VMware ESX和ESXi上托管,最多可管理25个物理或虚拟设备;第二种是硬件部署方式,目前FireSIGHT管理中心硬件平台,主要有3款型号,规格不凡的FireSIGHT FS3500可管理150台ASA防火墙,事件存储超过400G。

火力全开 思科FirePOWER下一代防火墙
▲图:思科FireSIGHT管理中心界面

火力全开 思科FirePOWER下一代防火墙
▲图:思科FireSIGHT管理中心设备型号对比

  降低成本和复杂性

  采用FirePOWER服务的思科ASA,对多层次威胁防护的融合,可有效降低成本和管理复杂度;采用FireSIGHT管理中心,管理员不但可以简化流程以关联威胁, 还可以评估威胁的影响,自动调节安全策略,轻松对安全事件找到相关的用户身份,协助在威胁环境下仍能加快修复速度。

  获得NSS Lab安全效率最高评分

  2014年,NSS Lab测试实验室,针对下一代防火墙提出了全新的安全评估标准:安全效率。这个安全效率值,结合了参测产品的多个功能特性,如防火墙策略执行,应用识别与控制,用户分组与授权,入侵事件的阻挡率,防攻击逃逸等,也包括了系统自身的稳定可靠性等因素,对下一代防火墙的安全能力提出了一个整体的考量。思科有三款产品都以99.2%的成绩在安全效率中脱颖而出。

火力全开 思科FirePOWER下一代防火墙
▲图:NSS实验设定的下一代防火墙新标准:安全效率

6
相关文章