Firepower czyli firewall Next Generation Firewall
w pełni skalowalny firewall od Cisco
Masz Cisco ASA? Czas na zmiany – Firepower jak wybrać właściwą zaporę NGFW
NGFW, czyli Next Generation Firewall – absolutny must have w każdej firmie jako zabezpieczenie przed cyberzagrożeniami pochodzącymi z zewnątrz, czy znajdującymi się wewnątrz sieci firmowej (np. niezaktualizowane, stare urządzenia użytkowników).
Przez wiele lat core bezpieczeństwa, które implementowaliśmy dla naszych klientów było Cisco ASA (Cisco ASA 5500 Series Adaptive Security Appliances), wypuszczone przez Cisco w 2005, a do którego ostatnie znaczące zmiany zostały wydane w 2017 dla wersji 9,9. Przez lata Cisco ASA była pełni wystarczającym rozwiązaniem i w wielu miejscach służyła jako bardzo stabilny i dobry firewall warstw I-IV. Na przestrzeni lat technologia znacznie się zmieniła a cyberprzestępczość stała się chlebem powszednim i okazało się, że możliwości jakie dawała ASA, to za mało, aby móc zapewnić szeroko pojęte bezpieczeństwo w odpowiedzi na stale rosnące i coraz bardziej wyrafinowane zagrożenia. Ze spuścizny po ASA oraz kodu Sourcefire – swego czasu najlepszego IPSa na świecie, powstał właśnie Firepower. Rodzina Firepowerów obejmuje bardzo szeroką gamę urządzeń – od tanich rozwiązań dla niedużych kilku czy kilkunastoosobowych firm (w Network Expert korzystamy z Firepower 1010), aż po rozwiązania dla Data Center gdzie odnajdujemy firewalle z serii 9300 dedykowane dla olbrzymich wydajności wynoszących 168 Gb/s!
Co zapewnia Cisco Firepower od Cisco:
- ochronę firewall’a z pełną obsługą do warstwy 7 modelu OSI ISO,
- routing,
- switching,
- ochronę przed malware,
- kategoryzacja URL (przeglądanie niebezpiecznych stron, klikanie linków (phishing)),
- rozpoznawanie aplikacji (tunelowanie, np. reverse shell),
- budowę reguł na podstawie aplikacji (Application Visibility & Control),
- rozszywanie SSL (będziemy wiedzieć co nasi użytkownicy w sieci pobierają),
- budowanie polityk w oparciu o użytkowników (kontrola dostępu bazująca na tożsamości),
- ochronę przed atakami DDoS,
- blokowanie włamań do sieci,
- skalowalne sieci VPN,
- tworzenie oddzielnych zapór logicznych,
- grupowanie urządzeń w celu zapewnienia wydajności i wysokiej dostępności.
| 1000 Series | 2100 Series | 4100 Series | 9300 Series |
|
|
|
|
| małe firmy i niewielkie oddziały | duże firmy i oddziały, przedsiębiorstwa | data center | operatorzy telekomunikacyjni |
[br]
[br]
| Modele | 1010 | 1120 | 1140 | 1150 |
| Interfejsy | 8 x RJ45 | 8 x RJ45, 4 x SFP | 8 x RJ45, 4 x SFP | 8 x RJ45, 2 x SFP, 2 x 10G SFP+ |
| Przepustowość: zapora (FW) + widoczność i kontrola aplikacji (AVC) (1024B) | 650 Mb/s | 1,5 Gb/s | 2,2 Gb/s | 3 Gb/s |
| Przepustowość: FW + AVC + system zapobiegania włamaniom (IPS) (1024B) | 650 Mb/s | 1,5 Gb/s | 2,2 Gb/s | 3 Gb/s |
| Maksymalna liczba jednoczesnych sesji, z AVC | 100K | 200K | 400K | 600K |
| Maksymalna liczba nowych połączeń na sekundę dzięki AVC | 6K | 15K | 22K | 28K |
| Zabezpieczenia warstwy transportowej (TLS) | 150 Mb/s | 700 Mb/s | 1 Gb/s | 1,4 Gb/s |
| Wydajność: IPS (1024B) | 650 Mb/s | 1,5 Gb/s | 2,2 Gb/s | 3 Gb/s |
| Przepustowość IPSec VPN (1024B TCP z Fastpath) | 300 Mb/s | 1 Gb/s | 1,2 Gb/s | 1,4 Gb/s |
| Maksymalna liczba partnerów VPN | 75 | 150 | 400 | 800 |
[br]
| Modele | 2110 | 2120 | 2130 | 2140 |
| Interfejsy | 12 x RJ45, 4 x SFP | 12 x RJ45, 4 x SFP | 12 x RJ45, 4 x SFP+ | 12 x RJ45, 4 x SFP+ |
| Opcjonalne interfejsy | Nie dotyczy | Nie dotyczy | 10G SFP+, 1/10G FTW | 10G SFP+, 1/10G FTW |
| Wydajność: FW + AVC (1024B) | 2,3 Gb/s | 3 Gb/s | 5 Gb/s | 9 Gb/s |
| Wydajność: FW + AVC + IPS (1024B) | 2,3 Gb/s | 3 Gb/s | 5 Gb/s | 9 Gb/s |
| Maksymalna liczba jednoczesnych sesji, z AVC | 1 milion | 1.5 miliona | 2 miliony | 3 miliony |
| Maksymalna liczba nowych połączeń na sekundę dzięki AVC | 14K | 17K | 27K | 57K |
| TLS | 365 Mb/s | 475 Mb/s | 735 Mb/s | 1,4 Gb/s |
| Wydajność: IPS (1024B) | 2,3 Gb/s | 3 Gb/s | 5 Gb/s | 9 Gb/s |
| Przepustowość IPSec VPN (1024B TCP z szybką ścieżką) | 800 Mb/s | 1 Gb/s | 1,6 Gb/s | 3,2 Gb/s |
| Maksymalna liczba partnerów VPN | 1500 | 3500 | 7500 | 10 000 |
[br]
| Modele | 4110 | 4112 | 4115 | 4120 | 4125 | 4140 | 4145 | 4150 |
| Interfejsy | 8 x SFP+ on-chassis | 8 x SFP+ on-chassis | 8 x SFP+ on-chassis | 8 x SFP+ on-chassis | 8 x SFP+ on-chassis | 8 x SFP+ on-chassis | 8 x SFP+ on-chassis | 8 x SFP+ on-chassis |
| Opcjonalne interfejsy | 2 x NM’s: 1/10/40G, FTW | 2 x NM’s: 1/10/40G, FTW | 2 x NM’s: 1/10/40G, FTW | 2 x NM’s: 1/10/40G, FTW | 2 x NM’s: 1/10/40G, FTW | 2 x NM’s: 1/10/40G, FTW | 2 x NM’s: 1/10/40G, FTW | 2 x NM’s: 1/10/40G, FTW |
| Wydajność: FW + AVC (1024B) | 13 Gb/s | 14 Gb/s | 27 Gb/s | 22 Gb/s | 40 Gb/s | 32 Gb/s | 53 Gb/s | 45 Gb/s |
| Wydajność: FW + AVC + IPS (1024B) | 11 Gb/s | 12,5 Gb/s | 26 Gb/s | 19 Gb/s | 35 Gb/s | 27 Gb/s | 45 Gb/s | 39 Gb/s |
| Maksymalna liczba jednoczesnych sesji, z AVC | 10 milionów | 10 milionów | 15 milionów | 15 milionów | 25 milionów | 25 milionów | 30 milionów | 30 milionów |
| Maksymalna liczba nowych połączeń na sekundę dzięki AVC | 64K | 85K | 200K | 118K | 265K | 172K | 350K | 263K |
| TLS (odszyfrowywanie sprzętu)1 | 4,5 Gb/s | 4,5 Gb/s | 6,5 Gb/s | 7,1 Gb/s | 8 Gb/s | 7,3 Gb/s | 10 Gb/s | 7,5 Gb/s |
| Przepustowość: NGIPS (1024B) | 15 Gb/s | 15 Gb/s | 27 Gb/s | 27 Gb/s | 41 Gb/s | 38 Gb/s | 55 Gb/s | 52 Gb/s |
| Przepustowość IPSec VPN (1024B TCP z szybką ścieżką) |
6 Gb/s | 6,5 Gb/s | 8 Gb/s | 10 Gb/s | 14 Gb/s | 13 Gb/s | 18 Gb/s | 14 Gb/s |
| Maksymalna liczba partnerów VPN | 10 000 | 10 000 | 15 000 | 20 000 | 20 000 | 20 000 | 20 000 | 20 000 |
| funkcje | 4110 | 4112 | 4115 | 4120 | 4125 | 4140 | 4145 | 4150 |
| Wydajność: FW + AVC (1024B) | 13 Gb/s | 14 Gb/s | 27 Gb/s | 22 Gb/s | 40 Gb/s | 32 Gb/s | 53 Gb/s | 45 Gb/s |
| Wydajność: FW + AVC + IPS (1024B) | 11 Gb/s | 12,5 Gb/s | 26 Gb/s | 19 Gb/s | 35 Gb/s | 27 Gb/s | 45 Gb/s | 39 Gb/s |
| Maksymalna liczba jednoczesnych sesji, z AVC | 10 milionów | 10 milionów | 15 milionów | 15 milionów | 25 milionów | 25 milionów | 30 milionów | 30 milionów |
| Maksymalna liczba nowych połączeń na sekundę dzięki AVC | 64K | 85K | 200K | 118K | 265K | 172K | 350K | 263K |
| TLS (odszyfrowywanie sprzętu)1 | 4,5 Gb/s | 4,5 Gb/s | 6,5 Gb/s | 7,1 Gb/s | 8 Gb/s | 7,3 Gb/s | 10 Gb/s | 7,5 Gb/s |
| Przepustowość: NGIPS (1024B) | 15 Gb/s | 15 Gb/s | 27 Gb/s | 27 Gb/s | 41 Gb/s | 38 Gb/s | 55 Gb/s | 52 Gb/s |
| Przepustowość IPSec VPN (1024B TCP z szybką ścieżką) |
6 Gb/s | 6,5 Gb/s | 8 Gb/s | 10 Gb/s | 14 Gb/s | 13 Gb/s | 18 Gb/s | 14 Gb/s |
| Maksymalna liczba partnerów VPN | 10 000 | 10 000 | 15 000 | 20 000 | 20 000 | 20 000 | 20 000 | 20 000 |
[br]
| Modele | SM-24 | SM-36 | SM-40 | SM-44 | 3 x SM-44 | SM-48 | SM-56 | 3 x SM-56 |
| Interfejsy | 8 x SFP+ on-chassis | 8 x SFP+ on-chassis | 8 x SFP+ on-chassis | 8 x SFP+ on-chassis | 8 x SFP+ on-chassis | 8 x SFP+ on-chassis | 8 x SFP+ on-chassis | 8 x SFP+ on-chassis |
| Opcjonalne interfejsy | 2 x NM’s: 1/10/40/100G, FTW | 2 x NM’s: 1/10/40/100G, FTW | 2 x NM’s: 1/10/40/100G, FTW | 2 x NM’s: 1/10/40/100G, FTW | 2 x NM’s: 1/10/40/100G, FTW | 2 x NM’s: 1/10/40/100G, FTW | 2 x NM’s: 1/10/40/100G, FTW | 2 x NM’s: 1/10/40/100G, FTW |
| Przepustowość: zapora (FW) + widoczność i kontrola aplikacji (AVC) (1024B) | 25 Gb/s | 34 Gb/s | 54 Gb/s | 50 Gb/s | 148 Gb/s | 64 Gb/s | 70 Gb/s | 168 Gb/s |
| Przepustowość: FW + AVC + system zapobiegania włamaniom (IPS (1024B) | 21 Gb/s | 29 Gb/s | 48 Gb/s | 43 Gb/s | 132 Gb/s | 55 Gb/s | 64 Gb/s | 153 Gb/s |
| Maksymalna liczba jednoczesnych sesji, z AVC | 30 milionów | 30 milionów | 35 milionów | 30 milionów | 63 miliony | 35 milionów | 35 milionów | 60 milionów |
| Maksymalna liczba nowych połączeń na sekundę dzięki AVC | 130K | 185 tys | 380K | 295 tys | 850K | 450K | 490K | 1,1 mln |
| TLS (odszyfrowywanie sprzętu) 2 | 7,5 Gb/s | 8,5 Gb/s | 10 Gb/s | 10 Gb/s | 25 Gb/s | 11 Gb/s | 12 Gb/s | 28 Gb/s |
| Przepustowość: NGIPS (1024B) | 30 Gb/s | 37 Gb/s | 57 Gb/s | 57 Gb/s | 148 Gb/s | 66 Gb/s | 73 Gb/s | 175 Gb/s |
| Przepustowość IPSec VPN (1024B TCP/Fastpath) | 13,5 Gb/s | 16 Gb/s | 20 Gb/s | 17 Gb/s | 51 Gb/s | 25 Gb/s | 27 Gb/s | 81 Gb/s 1 |
| Maksymalna liczba partnerów VPN | 20 000 | 20 000 | 20 000 | 20 000 | 60 000 | 20 000 | 20 000 | 60 000 |
