《思科ASA防火墙介绍ppt课件.ppt》由会员分享,可在线阅读,更多相关《思科ASA防火墙介绍ppt课件.ppt(46页珍藏版)》请在三一办公上搜索。
1、思科ASA防火墙介绍,徐 杰英迈(IM)国际思科售前技术支持Jie.xuingrammicro-,议 程,思科防火墙产品介绍防火墙功能分析防火墙性能分析ASA快速销售指南ASA5585防火墙功能订购指南 思科高端ASA优势示例,什么是ASA?-思科多功能安全网关,提供威胁防御与安全连接,防火墙技术Cisco PIX,Anti-X 防御防范病毒、间谍软件、垃圾邮件、僵尸网络和网络诈骗,企业级防火墙阻止未经授权的用户,控制即时消息和P2P应用,威胁防范VPN将IPSec 、SSL VPN与威胁防范服务相结合,经过市场十余年验证的企业级技术,提供威胁防御与安全连接,网络智能路由,永续性,QoS,虚拟
2、化技术,Anti-X 技术Trend Micro AV,VPN 技术Cisco VPN 3000,网络技术思科网络服务,Cisco ASA 5500 系列,ASA低端UTM市场(统一威胁管理)ASA5550,ASA5540,ASA5520,ASA5510,ASA5505支持防火墙、VPN、IPS、Anti-X等功能ASA高端访问控制与威胁控制ASA5585, FWSM, ASA-FM高性能的独立IPS模块,思科防火墙定位,*单独许可的特性;其中两个 SSL 许可带有基础系统, *防火墙功能集可用* VPN 吞吐量与会话计数依据的是 ASA 设备配置和 VPN 通信量模式。在您进行功能规划时,这
3、些因素应当考虑在内,思科中低端防火墙,思科防火墙产品线中,我们将ASA5585-10以上的产品线定位为高端防火墙,共包含有:ASA5585、ASA-SM及FWSM 等三个产品系列。,思科高端防火墙,SOHO分支办公室,互联网出口,数据中心,园区网络,防火墙与VPN安全网关,性能与扩展性,为Soho级办公到数据中心应用提供集成的安全网关解决方案,思科防火墙ASA5500系列产品线,议 程,思科防火墙产品介绍防火墙功能分析防火墙性能分析ASA快速销售指南ASA5585防火墙功能订购指南 思科高端ASA优势示例,网络功能部署模式路由支持组播支持防火墙基本功能状态检查访问控制NATVPN,IPSec&
4、SSL,下一代防火墙需要具备的功能威胁控制语音安全虚拟化云技术可审计:syslog、Netflow,新一代防火墙功能,ASA能同时支持IPSEC/SSL VPN接入ASA支持多种智能手机接入(IPhone、IPAD);ASA VPN集群技术,扩展性业界领先;,Ipsec & SSL VPN,ASA支持各种IP通信协议(SCCP/SIP/RTSP/RTP)深度检测功能;ASA PhoneProxy技术支持IP电话机通过Internet安全、便捷的与企业IP电话系统集成;ASA IME技术让企业间的IP电话系统安全互联成为可能;,PhoneProxy,ASA IME,领先的语音专用防火墙,动态/静
5、态数据库BTF读取SensorBase信誉数据ASA动态更新SensorBase本地静态配置黑白名单流量识别与报表配置MPF,区别过滤流量经过BTF记录拦截日志,生成报表DNS SnoopingSensorBase以域名存储僵尸网络DNS Snooping监控记录DNS解析域名BTF匹配访问域名与SensorBase域名,对僵尸网络的防护,思科SensorBase 全球动态信誉度中心,每天承载300亿次查询每个IP超过150个以上的邮件和Web信息参数全球Cisco网络安全设备协同监控全球流量,实时采集全球30%的IP数据流量, 精准监控定位僵尸网络,思科ASA防火墙,思科 邮件 Web 安全
6、网关,Cisco SensorBase,邮件与网站流量分析CC IP/URL,通过监控 email & Web 流量显著提高侦测能力80% 的垃圾邮件包含URL钓鱼电子邮件是散布恶意软件的主要手段垃圾邮件僵尸网络又是以恶意软件为主要传播手段,思科IPS入侵防御,思科 邮件 主机托管服务,思科全球安全威胁数据中心(CSIO),Corporate Headquarters,Branch Office,Coffee Shop,Data Center,Security in Every Form Factor,Security in Every Location,Security Module,Sec
7、urity Software,Appliance,Hybrid Hosted,现有网络安全平台可以通过如下技术实现动态防护以阻止最新的安全威胁,最为全面的安全威胁数据库,安全分析与自动识别技术,自动更新与最佳实践,高性能的威胁控制,27层的威胁控制独立的IPS模块匹配的IPS性能安全事件的关联分析,虚拟防火墙,ASA防火墙,SYSTEM CONTEXT,不同的虚拟防火墙,用户接入区一,占用系统资源20,用户接入区二,占用系统资源5,用户接入区n,占用系统资源20,可以配置成二层、三层虚拟防火墙,虚拟防火墙可以定义其各自的安全策略,并可以定义占用的系统资源,云安全服务,Netflow 分析统计,
8、Netflow 统计源地址源端口目的地址目的端口流量大小,议 程,思科防火墙产品介绍防火墙功能分析防火墙性能分析ASA快速销售指南ASA5585防火墙功能订购指南 思科高端ASA优势示例,防火墙的主要性能指标,吞吐量延迟每秒包个数pps并发连接数每秒新建连接,吞吐量,大包,小包,IMIX包?HTTP 各个厂商宣传的标准不同,无法根据标称来对比,每秒包个数pps,衡量网络设备转发性能的最优指标每秒转发的包个数,通常以64字节为准(64字节该值最大)主流厂商公开公布该指标标称10G的防火墙,64字节吞吐应该多少?1Gor2G?1.6Mpps大约对应于1G的吞吐,并发连接数,由于防火墙采用状态检查机
9、制,并发连接数代表了该防火墙的容量WEB2.0/视频/P2P技术的发展,使得连接的数量猛增核算举例:如4G出口,每客户端流量为1M,并发连接100,则该防火墙的总并发连接容量至少为40万。,每秒新建连接,代表了防火墙承载突发流量,突发应用的能力WEB2.0/视频/P2P技术的发展,使得新建连接速度猛增每秒新建连接最主要考验CPU的能力网络防火墙的很多CPU过高的情况,很大一部分是由于每秒新建连接过多造成的。,其他性能指标,ACL数目VPN隧道数目VPN吞吐量组播性能。,高性能防火墙,由于防火墙是基于状态表的转发,真正的高性能防火墙是单个防火墙引擎可以实现的性能,而不是将几个防火墙引擎装在一个盒
10、子里。流量可以在不同的业务板块上转发。,业务板1,业务板2,业务板1,业务板2,伪高端防火墙,高端防火墙,应用场景举例边界,互联网边界威胁防护高并发连接高每秒新建连接NAT语音/视频 应用高PPS低延迟应用分析能力,Internet,多级架构防火墙需求边界防火墙高并发连接高每秒新建连接攻击防护应用监控防火墙高级应用监控高并发连接后端防火墙高吞吐低延迟,Web Tier,Application Tier,Database Tier,用户,应用场景举例数据中心,议 程,思科防火墙产品介绍防火墙功能分析防火墙性能分析ASA快速销售指南ASA5585防火墙功能订购指南 思科高端ASA优势示例,ASA简
11、明销售指南-销售机会,什么是ASA?,ASA所具备的优势,ASA所体现的关键价值,ASA适用的场景,保护 ASA5500通过内容安全技术阻止恶意软件通过网页浏览或邮件进入企业网络,通过安全域划分限制未授权访问受保护企业信息资源.检测ASA5500通过扫描邮件与消息中的病毒来帮助检测安全漏洞,“We need to deploy SSL VPN”,当客户计划对现有防火墙进行升级时,当客户有Internet接入需求时,当客户总部需要利用Internet连接远程分支机构时,当客户需要为外出员工提供安全的内网资源访问时,当客户需要阻止未授权用户对企业资源的访问时,当客户需要易于扩展与维护的高性能网络安
12、全设备时,ASA 是一个多功能的安全设备,它允许客户依照自身业务系统对安全的需求来灵活部署安全服务。通过ASA可以提供如下安全服务: 防火墙 (Firewall) 入侵检测/入侵阻止(IDS/IPS) 分支之间的Site-to-Site VPN 基于IPSEC VPN 的远程访问 基于SSL VPN 的远程访问 内容过滤 Content Filtering IP电话通过VPN远程连接,在同一个硬件平台上为企业提供基础安全服务(如.Firewall, VPN, IPS) 新的安全服务可以灵活增加至现有硬件平台以保护投资 针对多种安全服务同时运行在单一平台的高性能架构设计,通过如下两点充分降低总拥
13、有成本: 在单一管理界面下管理多种安全服务 (防火墙/入侵检测/VPN连接等) 减少客户需要购买备件的数量 专为适应不断变化的安全威胁而设计 单台设备的价格可提供按需的安全服务 单台设备可同时提供最高性能防火墙与VPN服务,企业是否有兴趣将各种安全服务整合到一个单一平台上来?企业当前是否计划部署VPN接入服务(IPSEC或SSL或两者同时需要?企业是否计划为分支机构部署恶意流量过滤方案? 企业是否需要性能强大的NAT设备并实现安全审计? 移动用户是否有借助互联网来安全访问内网应用程序的需求?企业是否在寻找一种既能够降低费用又减少管理复杂度的网络安全解决方案? 企业是否经历过因为病毒或者蠕虫引起
14、的业务系统中断? 企业是否在寻找升级替换企业现有的安全解决方案,或者在现有网络上增加安全服务如防火墙或者IPS系统? 企业目前是否能够及时准确检测到针对各类安全攻击并作出及时响应? 企业现有防火墙/VPN设备是否存在性能瓶颈,是否需要业界性能最强的安全设备?,销售初期需要关注的几个问题,企业互联网出口防火墙; 企业VPN接入网关; 企业数据中心安全防护; 企业远程分支接入保护; 企业语音/数据网络隔离保护; 企业IP电话系统远程电话接入;,ASA简明销售指南-把握机会,销售过程中通常客户的声音,多服务集成降低总拥有成本,客户: 我们已经有了防火墙.回答: ASA是基本功能就是一个作防火墙,同时
15、又能作为IPS,VPN接入网关及防垃圾邮件网关/防病毒网关的安全设备.客户:我不想为那些我没有使用到的功能付费客户: ASA采用模块化设计 所有功能可以集成到一个硬件平台上,但你只需要为你当前所使用到的的功能付费,未来可轻松升级.客户: 我对同一个公司提供太多的安全解决方案有所顾虑,对其专业性有所怀疑.回答: 思科有众多独立的安全专家团队来开发每一个安全方案(IPS, Firewall, VPN 等),事实上上述解决方案独立来看在业界都是处于领先的地位.,相对于其它厂商通过软件的方式来实现安全服务的多功能集成而遭遇性能瓶颈,思科ASA通过插入各种安全服务模块来满足客户所需的多种安全服务,并且不
16、牺牲性能.,竞争对手常见的声音,多业务集成的核心价值,ASA 安全服务模块,听听其它客户的声音,“在使用ASA之前,我们面临的对大挑战时管理独立的 防火墙, IPS, 病毒扫描与监控系统。ASA将所有的功能集成到单一硬件平台并提供单一的管理平台(ASDM),大大简化了管理工作。 Selim Nart, Network Architect, Vignette Corporation“ ASA是思科自防御网络策略中的重要组成部分, 因为它成功将思科多种安全设备整合到单一的硬件平台中来.” Garth Brown, President, Semaphore, Managed Network Serv
17、ices“我拥有了单一硬件平台可以为企业网络提供防火墙,VPN与IPS服务,并且拥有单一的管理界面,这真是太棒了! .” Andre Gold, Director Information Security, Continental Airlines,更多参考资源请访问:,Juniper:销售战略: 充分强调在防火墙集成SSL VPN功能的种种优势.对比思科ASA从低到高清晰的产品线相对于Juniper SSG/ISG/NS杂乱的产品线.攻击: 集成后的IOS 不稳定, 思科的服务模块策略增加了复杂度与成本回应: 强调我们在多项安全服务技术领域的市场占用率第一地位,强调集成并非另起炉灶,而是将多
18、项成熟应用的技术通过集成来降低客户的投资成本与管理成本,其稳定性是无容置疑的.,J公司攻击:思科是一家路由器/交换机厂商,不是专业的安全设备厂商.而xxx是一家专注于网络安全的厂商。,10多年前这样的说法是正确的,但经过10多年专业的安全产品研发,销售与服务经验,当前思科不仅仅能提供集成多项安全服务的路由器/交换机产品,更是当今市场占有率第一的端到端安全解决方供应商,而反观业界某些公司,由于公司的购并,人员的流失,已经面对产品Roadmap不确定,采用新架构后产品的功能缺失,新产品客户认可度等诸多问题。,ASA主页:http/ Folder:Bej-filer01bwg-security_so
19、lutionsEmail alias:prc-security-,议 程,思科防火墙产品介绍防火墙功能分析防火墙性能分析ASA快速销售指南ASA5585防火墙功能订购指南 思科高端ASA优势示例,业界最强的2U多功能安全设备-ASA5585,Cisco ASA5585-X防火墙是专门为数据中心关键业务所设计,它具备出众的灵活性和安全性。 在无边界网络安全架构中,除了要求具备高的吞吐能力(Throughput)外,连接建立速度(Connection Per Second)、总连接数(Concurrent Session)、物理空间占用及设备功耗均成为用户采购防火墙产品的重要评价指标。 ASA55
20、85-X极大的提高了VPN的会话数,吞吐量,以及连接速度和系统容量,满足了当前不断变化的企业环境中。 对于使用个人电脑与智能终端等移动平台进行移动办公的企业而言, ASA5585-X支持基于客户端(full tunnel) 与无客户端的远程访问VPN,通过集成IPS系统和Web安全防护系统与基于 Always- on特性的VPN远程访问,实现对移动办公方案的最大安全保护(Secure Mobility),员工工作效率得以大提高。 与大多数安全产品供应商强迫用户要么选择高端防火墙,要么选择独立的IPS设备所不同的是,思科把业界证明最成功的防火墙与最高效的硬件IPS系统集成于单一硬件平台,提供了强
21、大、高效的安全解决 方案,实现全面可靠的保护。,ASA5585-10订购指南,ASA5585-10 技术指标,ASA5585-20订购指南,ASA5585-20 技术指标,ASA5585-40订购指南,ASA5585-40 技术指标,ASA5585-60订购指南,ASA5585-60 技术指标,议 程,思科防火墙产品介绍防火墙功能分析防火墙性能分析ASA快速销售指南ASA5585防火墙功能订购指南 思科高端ASA优势示例,思科防火墙优势,优势之一-虚拟化技术优势之二-集成防火墙/IPSEC&SSL VPN技术优势之三-ASA5585支持高达10Gbps的IPS板卡优势之四-智能防御,动态阻断僵
22、尸、木马优势之五-业界唯一支持基于Netflow的流量/日志分析优势之六-真正为数据中心设计的产品(高集成度低能耗),优势之一-虚拟化技术,ASA虚拟防火墙可以与数据中心虚拟技术完美结合;利用虚拟防火墙技术实现应用分区隔离;每个虚拟防火墙资源可动态调整;减少安全策略部署时间、简化管理,Virtualized per Risk Level,优势之二-集成防火墙/IPSEC&SSL VPN技术,ASA能同时支持IPSEC/SSL VPN接入ASA支持多种智能手机接入(IPhone、IPAD);ASA VPN集群技术,扩展性业界领先;ASA 可以支持IP电话以VPN方式接入;,优势之三-ASA5585支持高达10Gbps的IPS板卡,优势之四-智能防御,动态阻断僵尸、木马,传统的防火墙在木马僵尸网络环境中束手无策:思科“云”火墙: ASA BTF+ IPS Global Correlation是下一代防火墙基本配置。国产防火墙:仍然停留在单纯追求防火墙性能的层面仍然停留在网络层、传输层的访问控制,无应用层面的IPS,无SSL VPN更没有僵尸网络防御、没有全球联防的云安全技术;,优势之五-业界唯一支持基于Netflow的流量/日志分析,异常流量的监测高速采样与时控网络与安全融合标准网元的管理,优势之六-真正为数据中心设计的产品,
