Firepower 2100 新世代防火牆 Cisco DDoS NGFW NPU

思科推出新世代防火牆 強調兼顧效能與安全性

2017-05-03
以自家UCS伺服器為基礎,思科新推出多核心處理器架構的新世代防火牆(NGFW)Firepower 2100系列。思科台灣技術長馮志良指出,Firepower 2100系列機種的吞吐量,1U設備即能提供最小1.9 Gbps、最大8.5 Gbps,同時在啟用入侵偵測防禦(IPS)、深度封包檢測(DPI)等機制後,也不致影響整體運行效能,底層即是仰賴x86處理器架構的UCS伺服器。
思科除了稱霸路由器、交換器等網路設備以外,在資安領域耕耘也已累積多年。從1995年推出PIX防火牆開始,發展到2007年,為協助企業抵抗數量龐大的垃圾郵件,因此收購IronPort取得相關技術;2013年併購在IPS領域知名的Sourcefire;2014年收購取得ThreatGRID沙箱技術;2015年收購Lancope與網域名稱服務供應商OpenDNS;2016年再併購雲端安全服務供應商Cloudlock。

會如此大動作地持續發展資安相關解決方案,主要著眼點即在於企業轉型數位化商業模式已是勢在必行,但外部攻擊在非法利益驅動下也已蓬勃發展,企業不得不正視資安風險。然而,在單一設備上持續增添多種防禦措施,通常會影響執行效能,例如傳統NGFW在啟動IPS功能之後,效能往往隨之降低一半。「對此,Cisco Firepower 2100系列設計以多核心處理器架構來解決,不論是NGFW、NGIPS功能啟用後,都不致影響效能,可說是此系列機種最大的強項。」馮志良強調。

至於安全性方面,為了因應新型態攻擊威脅,Firepower 2100系列可依據滲透入侵跡象(Indications of Compromise,IOC)自動調整控管政策、攻擊事件與內部弱點資料之間的事件關聯分析、DDoS等安全機制。其中特別是DDoS攻擊,未來頻率與攻擊量只會增加不會被消弭,閘道端設備勢必要有因應機制,Cisco Firepower 2100系列也基於Radware Virtual DefensePro(vDP)內建抗DDoS機制,主要是由Firepower 4100、9300較高階的機種來提供,以免影響效能表現。

另外,Firepower 2100系列除了具備應用程式與使用者辨識能力,亦須掌握像是Malware(惡意軟體)、中繼站連線、行動裝置類型、用戶系統環境等資訊,才得以建立可視性。進而分析應用程式、裝置、使用者行為的弱點,累積成為資料庫,並且建立攻擊事件與弱點之間的關聯性。

掌握內部連網行為資訊與弱點之後,即可建立入侵偵測規則的自動化執行,而非每次出現最新漏洞攻擊威脅時,IT人員就必須修改防禦政策,或是調整網路配置。此外,從攻擊事件關聯性取得IOC之後,只要出現例如終端電腦系統偵測到攻擊工具,並且對外連線執行檔案下載的位址為中繼站等狀況,即可判定為攻擊活動,在Firepower平台上直接阻斷,以免釀成更大的災情。

▲Cisco Firepower 2100系列設計以多核心處理器架構所設計,可偵測處理Layer 7的應用威脅,例如:URL Filtering、惡意軟體、身分驗證等;搭配NPU (Network Processing Unit)處理Layer 2-4流量,提供NAT、SSL加解密等機制,不同分工以提升整體運行效能。

追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!