《思科ASA产品介绍&技术介绍新5585订购指南&优势说明.ppt》由会员分享,可在线阅读,更多相关《思科ASA产品介绍&技术介绍新5585订购指南&优势说明.ppt(41页珍藏版)》请在三一办公上搜索。
1、思科ASA产品介绍&技术介绍新5585订购指南&优势说明,议 程,思科防火墙产品介绍防火墙功能分析防火墙性能分析ASA快速销售指南思科ASA产品线定位ASA5585防火墙功能订购指南 思科高端ASA优势示例,ASA防火墙系列,思科防火墙定位,ASA低端UTM市场(统一威胁管理)ASA5550,ASA5540,ASA5520,ASA5510,ASA5505支持防火墙、VPN、IPS、Anti-X等功能ASA高端访问控制与威胁控制ASA5580,ASA5585高性能的独立IPS模块,什么是ASA?-思科多功能安全网关,防火墙技术Cisco PIX,Anti-X 防御防范病毒、间谍软件、垃圾邮件、僵
2、尸网络和网络诈骗,企业级防火墙阻止未经授权的用户,控制即时消息和P2P应用,威胁防范VPN将IPSec、SSL VPN与威胁防范服务相结合,经过市场十余年验证的企业级技术,提供威胁防御与安全连接,网络智能路由,永续性,QoS,虚拟化技术,Anti-X 技术Trend Micro AV,VPN 技术Cisco VPN 3000,网络技术思科网络服务,Cisco ASA 5500 系列,Cisco ASA防火墙产品线,Teleworker,Branch Office,InternetEdge,ASA 5550(1.2 Gbps,36K conn/s),ASA 5580-20(5-10 Gbps,9
3、0K conn/s),ASA 5580-40(10-20 Gbps,150K conn/s),ASA 5505(150 Mbps,4K conn/s),Data Center,ASA 5540(650 Mbps,25K conn/s),ASA 5520(450 Mbps,12K conn/s),ASA 5510(300 Mbps,9K conn/s),Campus,ASA 5585-S20P20(10 Gbps,125K conn/s),ASA 5585-S40P40(20 Gbps,200K conn/s),ASA 5585-S60P60(40 Gbps,350K conn/s),多服务网关
4、(Firewall,IPS,VPN),Firewall and VPN,ASA 5585-S10P10(4 Gbps,50K conn/s),防火墙功能分析,新一代防火墙的功能,网络功能部署模式路由支持组播支持防火墙基本功能状态检查访问控制NATVPN,Ipsec&SSL,下一代防火墙需要具备的功能威胁控制虚拟化云技术可审计:syslog、Netflow,Ipsec&SSL VPN 技术,主要分支机构,数据中心,主要分支机构,主要分支机构,总部,主要分支机构,主要分支机构,用专线或IPSec VPN实现主要分支机构与总部的互联用 SSL VPN实现偏远小营业网点/营业部的互联用SSL VPN实
5、现员工的移动办公,SSL VPN,SSL VPN,同时终结SSL和IPSec VPN,动态/静态数据库BTF读取SensorBase信誉数据ASA动态更新SensorBase本地静态配置黑白名单流量识别与报表配置MPF,区别过滤流量经过BTF记录拦截日志,生成报表DNS SnoopingSensorBase以域名存储僵尸网络DNS Snooping监控记录DNS解析域名BTF匹配访问域名与SensorBase域名,对僵尸网络的防护,高性能的威胁控制,27层的威胁控制独立的IPS模块匹配的IPS性能安全事件的关联分析,虚拟防火墙,ASA防火墙,SYSTEM CONTEXT,不同的虚拟防火墙,用户
6、接入区一,占用系统资源20,用户接入区二,占用系统资源5,用户接入区n,占用系统资源20,可以配置成二层、三层虚拟防火墙,虚拟防火墙可以定义其各自的安全策略,并可以定义占用的系统资源,云安全服务,Netflow 分析统计,Netflow 统计源地址源端口目的地址目的端口流量大小,防火墙性能分析,防火墙的主要性能指标,吞吐量延迟每秒包个数pps并发连接数每秒新建连接,吞吐量,大包,小包,IMIX包?HTTP 各个厂商宣传的标准不同,无法根据标称来对比,每秒包个数pps,衡量网络设备转发性能的最优指标每秒转发的包个数,通常以64字节为准(64字节该值最大)主流厂商公开公布该指标标称10G的防火墙,
7、64字节吞吐应该多少?1Gor2G?1.6Mpps大约对应于1G的吞吐,并发连接数,由于防火墙采用状态检查机制,并发连接数代表了该防火墙的容量WEB2.0/视频/P2P技术的发展,使得连接的数量猛增核算举例:如4G出口,每客户端流量为1M,并发连接100,则该防火墙的总并发连接容量至少为40万。,每秒新建连接,代表了防火墙承载突发流量,突发应用的能力WEB2.0/视频/P2P技术的发展,使得新建连接速度猛增每秒新建连接最主要考验CPU的能力网络防火墙的很多CPU过高的情况,很大一部分是由于每秒新建连接过多造成的。,其他性能指标,ACL数目VPN隧道数目VPN吞吐量组播性能。,高性能防火墙,由于
8、防火墙是基于状态表的转发,真正的高性能防火墙是单个防火墙引擎可以实现的性能,而不是将几个防火墙引擎装在一个盒子里。流量可以在不同的业务板块上转发。,业务板1,业务板2,业务板1,业务板2,伪高端防火墙,高端防火墙,应用场景举例边界,互联网边界威胁防护高并发连接高每秒新建连接NAT语音/视频 应用高PPS低延迟应用分析能力,Internet,应用场景举例数据中心,多级架构防火墙需求边界防火墙高并发连接高每秒新建连接攻击防护应用监控防火墙高级应用监控高并发连接 后端防火墙高吞吐低延迟,Web Tier,Application Tier,Database Tier,用户,思科ASA产品线定位,思科A
9、SA 5500系列产品线,SOHO分支办公室,互联网出口,数据中心,园区网络,防火墙与VPN安全网关,性能与扩展性,为Soho级办公到数据中心应用提供集成的安全网关解决方案,新产品 ASA5585防火墙功能订购指南,业界最强的2U多功能安全设备-ASA5585,Cisco ASA5585-X防火墙是专门为数据中心关键业务所设计,它具备出众的灵活性和安全性。在无边界网络安全架构中,除了要求具备高的吞吐能力(Throughput)外,连接建立速度(Connection Per Second)、总连接数(Concurrent Session)、物理空间占用及设备功耗均成为用户采购防火墙产品的重要评价
10、指标。ASA5585-X极大的提高了VPN的会话数,吞吐量,以及连接速度和系统容量,满足了当前不断变化的企业环境中。对于使用个人电脑与智能终端等移动平台进行移动办公的企业而言,ASA5585-X支持基于客户端(full tunnel)与无客户端的远程访问VPN,通过集成IPS系统和Web安全防护系统与基于 Always-on特性的VPN远程访问,实现对移动办公方案的最大安全保护(Secure Mobility),员工工作效率得以大提高。与大多数安全产品供应商强迫用户要么选择高端防火墙,要么选择独立的IPS设备所不同的是,思科把业界证明最成功的防火墙与最高效的硬件IPS系统集成于单一硬件平台,提
11、供了强大、高效的安全解决 方案,实现全面可靠的保护。,ASA5585-10订购指南,ASA5585-10 技术指标,ASA5585-20订购指南,ASA5585-20 技术指标,ASA5585-40订购指南,ASA5585-40 技术指标,ASA5585-60订购指南,ASA5585-60 技术指标,思科高端ASA优势示例,思科防火墙优势,优势之一-虚拟化技术优势之二-集成防火墙/IPSEC&SSL VPN技术优势之三-ASA5585支持高达10Gbps的IPS板卡优势之四-智能防御,动态阻断僵尸、木马优势之五-业界唯一支持基于Netflow的流量/日志分析优势之六-真正为数据中心设计的产品(
12、高集成度低能耗),优势之一-虚拟化技术,ASA虚拟防火墙可以与数据中心虚拟技术完美结合;利用虚拟防火墙技术实现应用分区隔离;每个虚拟防火墙资源可动态调整;减少安全策略部署时间、简化管理,Virtualized per Risk Level,优势之二-集成防火墙/IPSEC&SSL VPN技术,ASA能同时支持IPSEC/SSL VPN接入ASA支持多种智能手机接入(IPhone、IPAD);ASA VPN集群技术,扩展性业界领先;ASA 可以支持IP电话以VPN方式接入;,优势之三-ASA5585支持高达10Gbps的IPS板卡,优势之四-智能防御,动态阻断僵尸、木马,传统的防火墙在木马僵尸网络环境中束手无策:思科“云”火墙:ASA BTF+IPS Global Correlation是下一代防火墙基本配置。国产防火墙:仍然停留在单纯追求防火墙性能的层面仍然停留在网络层、传输层的访问控制,无应用层面的IPS,无SSL VPN更没有僵尸网络防御、没有全球联防的云安全技术;,优势之五-业界唯一支持基于Netflow的流量/日志分析,异常流量的监测高速采样与时控网络与安全融合标准网元的管理,优势之六-真正为数据中心设计的产品,
