Blog

Új Cisco NGFW termékcsalád – Firepower 2100

A 2017-es berlini Cisco Live konferencián mutatták be a Cisco next-generation tűzfal családjának új tagját, a Firepower 2100-as sorozatot. A bemutatott eszközök főbb tulajdonságai a következők:

Firepower-2110

Firepower 2110

  • max. 1.9 Gbit/s teljesítmény
  • 12 x 1 GE fix port,
    4 SFP (1 GE) port
  • 1RU méret
Firepower-2120

Firepower 2120

  • max. 3 Gbit/s teljesítmény
  • 12 x 1 GE fix port,
    4 SFP (1 GE) port
  • 1RU méret
Firepower-2130

Firepower 2130

  • max. 5 Gbit/s teljesítmény
  • max. 24 x 1 GE port, vagy
    12 x 1 GE + 12 x 10 GE port
  • 1RU méret
Firepower-2140

Firepower 2140

  • max. 8.5 Gbit/s teljesítmény
  • max. 24 x 1 GE port, vagy
    12 x 1 GE + 12 x 10 GE port
  • 1RU méret

Az 1.9–8.5 Gbit/s teljesítményt 1 unitos méretbe sűrítve valósította meg a Cisco. A legerősebb modell akár 40000 új kapcsolatot is tud kezelni másodpercenként.

A Firepower 2100 újdonsága, hogy az UTM funkciók bekapcsolásával sem esik vissza az áteresztőképességük. Ez annak köszönhető, hogy innovatív módon kétfajta többmagos CPU-ból (dual multicore) felépülő architektúrát valósítottak meg, amely optimalizálja az egyidejű tűzfalas, kriptográfiai és UTM műveleteket. A Firepower 2100 termékekkel így nem a teljesítmény rovására történik a biztonsági szint növelése. A feltüntetett értékek tehát Application Visibility and Control (AVC) + IPS funkciók egyidejű bekapcsolásával is érvényesek.

A layer 7 vizsgálatokat (alkalmazásfelismerés, IPS, URL szűrés, malware és file elemzés, felhasználóazonosítás stb.) többmagos Intel x86 processzorok végzik, a layer 2-4-beli forgalomkezelést (stateful firewall, NAT, VPN-SSL titkosítás stb.) pedig merchant silicon alapú Network Processing Unit (NPU), amely szintén többmagos processzorokat jelent. A forgalom először az NPU-n halad keresztül, ahol az egyszerűbb szűrések megtörténnek. Az összetettebb vizsgálatot igénylő forgalom az x86 alapú gépezetbe kerül. A megbízhatónak besorolt folyamok ezen kívül dinamikusan átterelhetők egy fast path-nak nevezett útra.

A Firepower termékcsaláddal összhangban ezek az eszközök is megvalósítják az alábbi next-generation tűzfal (NGFW) funkciókat:

  • IPS (behatolásvédelem). A korábbi Sourcefire technológiából táplálkozó védelem, amely az adott környezetre szabható szabályrendszerrel és biztonsági szintekkel valósítja meg a támadási minták felismerését. A működés a Snort IDS motoron alapul, ezáltal akár saját minták is hozzáadhatók. Automatikus kockázati besorolás és a hatás (impact) szintek használata segít a prioritások azonosításában.
  • Alkalmazásfelismerés és -szűrés (AVC). Főleg a HTTP-ben, de egyéb forgalomban is létfontosságú az alkalmazások és webes mikroalkalmazások felismerése. Mind az adatszivárgás elkerülése, mind a munkaidő hatékony kihasználása indokolhatja az alkalmazásszűrés bevezetését.
  • Web security / URL filtering. Mind kategória alapú, mind reputáció alapú URL adatbázisok felhasználhatók, amelyekkel szűrhető a webes forgalom.
  • Advanced Malware Protection (AMP) és sandboxing. A korábbi antivírus gateway-ek kiterjesztésével lehetővé vált az egyéb malware-ek (trójai, phishing, worm, spyware stb.) beáramlásának megakadályozása. Lehetőség nyílik mind az ismert, mind az ismeretlen malware kódok felismerésére.
  • LAN-to-LAN és Remote Access VPN

Mindezen funkciókat már nem a hagyományos ASA szoftver kód, hanem az ASA és Sourcefire funkciókat ötvöző, ún. FTD (Firepower Threat Defense) szoftvert futtatva valósítja meg a Firepower 2100.

Az eszközök központosított menedzsmentjét a Firepower Management Center biztosítja. Kisebb telepítések esetében lehetőség van magán az eszközön levő (on-box) Firepower Device Managert is használni menedzselésre, bár ez kevesebb funkciót nyújt. A harmadik lehetőség a felhő alapú Cisco Defense Orchestrator, amely a Firepoweren kívül többféle Cisco security terméket is támogat.

Ár/teljesítmény értékben a Firepower 2100 eszközök lekörözi a korábbi ASA 5500-X sorozatot. A legkisebb 2110-es modell 1.9 Gbit/s-os AVC+IPS teljesítménye is meghaladja az ASA 5555-X Firepower teljesítményét. Az árakat nézve viszont az FPR2110 az ASA5525-FPWR-rel, az FPR2130 az ASA5555-FPWR-rel állítható egy kategóriába.

További információt az új termékről az alábbi linken olvashat: http://www.cisco.com/go/firepower2100

Kérdéseket intézhet, észrevételeket küldhet az S&T szakértőinek, kérem vegye fel velünk a kapcsolatot!

Költl Péter Költl Péter • Rendszermérnök, vállalati hálózati és security tapasztalattal. A Budapesti Műszaki Egyetemen szerzett okleveles villamosmérnöki diplomát. 2016-ban csatlakozott az S&T-hez, ahol Cisco biztonsági termékekkel foglalkozik.

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.