思科Firepower®NGFW(下一代防火墙)是业界首款具有统一管理的完全集成,以威胁为重点的下一代防火墙。它独特地在攻击之前,之中和之后提供高级威胁防护。
|
阻止更多威胁
|
借助领先的思科®高级恶意软件保护(AMP)和沙箱,包含已知和未知的恶意软件。
|
|
获得更多见识
|
借助Cisco Firepower下一代IPS,获得对环境的卓越可见性。
自动化的风险排名和影响标志可确定团队的优先事项。
|
|
尽早发现,行动更快
|
思科年度安全报告确定了整个企业从感染到发现的100天中值时间。将此时间减少到少于一天。
|
|
降低复杂性
|
跨紧密集成的安全功能(包括应用程序防火墙,NGIPS和AMP)获得统一管理和自动威胁关联。
|
|
从您的网络中获取更多
|
通过与其他思科以及第三方网络和安全解决方案的可选集成,增强安全性并利用您现有的投资。
|
平台图片支持
思科Firepower NGFW包括应用程序可见性和控制(AVC),可选的下一代IPS(NGIPS),用于网络的思科®高级恶意软件保护(AMP)和URL过滤。Cisco Firepower 1000系列,2100系列,4100系列和9300设备使用Cisco Firepower威胁防御软件映像。另外,Cisco Firepower 2100系列,4100系列和9300设备可以支持Cisco自适应安全设备(ASA)软件映像。
思科Firepower 1000系列设备-详细的平台规格
思科Firepower 2100系列设备–详细的平台规格
思科Firepower 4110、4120、4140、4150-详细的平台规格
思科Firepower 4115、4125、4145-详细的平台规格
思科Firepower 9300 SM24,SM36,SM44-详细的平台规格
思科Firepower 9300 SM40,SM48,SM56-详细的平台规格
Cisco ASA 5500-FTD-X系列设备-详细的平台规格
性能测试方法–详细的性能测试信息
思科Firepower NGFW虚拟(NGFWv)设备
Cisco Firepower NGFWv在VMware,KVM,Amazon Web Services(AWS)和Microsoft Azure环境上可用,适用于虚拟,公共,私有和混合云环境。使用SDN的组织可以使用Firepower NGFWv快速提供和协调灵活的网络保护。同样,使用NFV的组织可以使用Firepower NGFWv进一步降低成本。
表1. Firepower NGFWv虚拟设备的运行要求
|
平台支援
|
VMware,KVM,AWS,Azure
|
|
最低系统要求:VMware
|
4个vCPU
8 GB内存
50 GB磁盘
|
|
最低系统要求:KVM
|
4个vCPU
8 GB内存
50 GB磁盘
|
|
受支持的AWS实例
|
c3.xlarge
|
|
支持的Azure实例
|
标准_D3
|
|
管理选项
|
火力管理中心
思科国防协调员
Firepower设备管理器(VMware)
|
管理选项
可以根据您的工作方式,环境和需求,以多种方式管理Cisco Firepower NGFW。
思科Firepower管理中心提供对Cisco Firepower NGFW,Cisco Firepower NGIPS和用于网络的Cisco AMP的集中管理。它还为网络传感器提供威胁关联,并为端点提供高级恶意软件保护(AMP)。
在思科火力设备管理器适用于1000系列,2100系列的本地管理和选择运行的Cisco火力威胁防御软件映像5500-X系列设备。
Cisco 自适应安全设备管理器可用于运行ASA软件映像的Cisco Firepower 2100系列,4100系列,Cisco Firepower 9300系列和Cisco ASA 5500-X系列设备的本地管理。
还可以使用基于云的Cisco Defense Orchestrator管理在运行ASA软件映像的Cisco安全设备之间进行一致的策略管理,从而为分布式企业提高管理效率。
思科信任锚技术
思科信任锚技术为某些思科产品提供了高度安全的基础。它们为硬件和软件的真实性保证提供了供应链的信任,并极大地缓解了软件和固件的中间人危害。
信任锚功能包括:
● 图像签名:使用密码签名的图像可确保固件,BIOS和其他软件是真实的且未经修改。在系统启动时,将检查系统的软件签名的完整性。
● 安全启动:安全启动将启动顺序信任链锚定在不可变的硬件上,从而减轻了对系统基本状态和要加载的软件的威胁,无论用户的特权级别如何。它提供了针对非法修改固件的持久性的分层保护。
● 信任锚模块:防篡改,强加密的单芯片解决方案提供硬件真实性保证,可以唯一地标识产品,以便可以向Cisco确认其来源,从而确保产品是正品。
火力DDoS缓解
思科Firepower 4100系列和9300设备上还提供了紧密集成的,全面的行为DDoS缓解功能,可同时保护网络和应用程序基础架构。这种DDoS缓解措施是Radware的Virtual DefensePro(vDP)。它可从思科获得并直接受其支持。
Firepower DDoS缓解由Virtual DefensePro(vDP)提供,可在以下Cisco Firepower 9300和4100系列设备上直接从Cisco获得和支持:
|
思科Firepower模型
|
ASA图片
|
FTD图像
|
|
9300系列–所有安全模块
|
是
|
是
|
|
4100系列–所有型号
|
是
|
是
|
Radware vDP是屡获殊荣的实时行为DDoS攻击缓解解决方案,可保护组织免受多种DDoS威胁。Firepower的DDoS缓解可以保护您的应用程序基础架构免受网络和应用程序降级以及中断的影响。
缓解DDoS:保护集
Firepower的vDP DDoS缓解措施包括受专利保护的,自适应的,基于行为的实时签名技术,该技术可实时检测和缓解零日网络和应用程序DDoS攻击。它消除了人工干预的需要,并且在受到攻击时不会阻止合法的用户流量。
检测并缓解了以下攻击:
● SYN Flood攻击
● 网络DDoS攻击,包括IP泛洪,ICMP泛洪,TCP泛洪,UDP泛洪和IGMP泛洪
● 应用程序DDoS攻击,包括HTTP泛洪和DNS查询泛洪
● 异常泛洪攻击,例如非标准和畸形的数据包攻击
性能
下表中的性能数据适用于所有Cisco Firepower 4100系列型号。
表2. Cisco Firepower 4100系列的关键DDoS性能指标
|
参数
|
值
|
|
最大缓解能力/吞吐量
|
10 Gbps
|
|
最大合法并发会话
|
每秒209,000个连接(CPS)
|
|
最大DDoS洪水攻击防范率
|
每秒180万个数据包(PPS)
|
表9中的性能数据适用于具有1至3个安全模块的Cisco Firepower 9300,与安全模块类型无关。
表3. 具有1、2或3个安全模块的Cisco Firepower 9300的关键DDoS性能指标。
|
参数
|
具有1个安全模块的Firepower 9300
|
具有2个安全模块的Firepower 9300
|
具有3个安全模块的Firepower 9300
|
|
最大缓解能力/吞吐量
|
10 Gbps
|
20 Gbps
|
30 Gbps
|
|
最大合法并发会话
|
每秒209,000个连接(CPS)
|
每秒418,000个连接(CPS)
|
每秒627,000个连接(CPS)
|
|
最大DDoS洪水攻击防范率
|
每秒180万个数据包(PPS)
|
每秒3,600,000包(PPS)
|
每秒540万个数据包(PPS)
|
订购信息
思科智能许可
思科Firepower NGFW随思科智能许可一起出售。思科了解购买,部署,管理和跟踪软件许可证很复杂。因此,我们推出了思科智能软件许可,这是一个标准化的许可平台,可以帮助客户了解如何在整个网络中使用思科软件,从而减少管理开销和运营支出。
使用智能许可,您可以从一个门户网站全面查看软件,许可和设备。许可证易于注册和激活,并且可以在类似的硬件平台之间转换。此处提供其他信息:https : //www.cisco.com/web/ordering/smart-software-licensing/index.html。有关智能许可智能帐户的相关信息,请访问:https://www.cisco.com/web/ordering/smart-software-manager/smart-accounts.html。
思科Smart Net全面维护支持:随时随地访问Cisco专业技能和资源即可快速行动
思科Smart Net Total Care™是一项屡获殊荣的技术支持服务,可让您的IT员工随时直接访问技术支持中心(TAC)工程师和Cisco.com资源。您会收到快速,专业的响应以及解决关键网络问题所需的专门责任。
Smart Net Total Care提供以下设备级别的支持:
● 一年365天,每天365天,每天24小时对Cisco TAC中的专业工程师进行全球访问
● 随时访问广泛的Cisco.com在线知识库,资源和工具
● 硬件更换选项包括2小时,4小时,下一工作日(NDB)提前更换以及返修(RFR)
● 正在进行的操作系统软件更新,包括许可功能集中的次要版本和主要版本
● 通过Smart Call Home对选定设备进行主动诊断和实时警报
此外,借助可选的Cisco Smart Net Total Care现场服务,现场工程师可以在您的位置安装替换部件,并帮助确保网络以最佳状态运行。有关Smart Net Total Care的更多信息,请访问:https : //www.cisco.com/c/en/us/services/portfolio/product-technical-support/smart-net-total-care.html。
选择零件编号
下表提供了有关Cisco Firepower NGFW解决方案的部件号的详细信息。请参考订购指南以获取其他配置选项和附件。
表4. Cisco Firepower系列捆绑包PID的
|
部件号(设备主捆绑包)
|
描述
|
|
FPR1010-BUN
|
思科Firepower 1010主捆绑包
|
|
FPR1120-BUN
|
思科Firepower 1120主捆绑包
|
|
FPR1140-BUN
|
思科Firepower 1140主捆绑包
|
|
FPR2110-BUN
|
思科Firepower 2110主捆绑包
|
|
FPR2120-BUN
|
思科Firepower 2120主捆绑包
|
|
FPR2130-BUN
|
思科Firepower 2130主捆绑包
|
|
FPR2140-BUN
|
思科Firepower 2140主捆绑包
|
|
FPR4110-BUN
|
思科Firepower 4110主捆绑包
|
|
FPR4115-BUN
|
思科Firepower 4115主捆绑包
|
|
FPR4120-BUN
|
思科Firepower 4120主捆绑包
|
|
FPR4125-BUN
|
思科Firepower 4125主捆绑包
|
|
FPR4140-BUN
|
思科Firepower 4140主捆绑包
|
|
FPR4145-BUN
|
思科Firepower 4145主捆绑包
|
|
FPR4150-BUN
|
思科Firepower 4150主捆绑包
|
|
FPR-C9300-AC
|
思科Firepower 9300设备ASA捆绑包,交流电源
|
|
FPR-C9300-DC
|
思科Firepower 9300设备ASA捆绑包,直流电源
|
|
FPR-C9300-HVDC
|
思科Firepower 9300设备ASA捆绑,HVDC耗材
|
|
FPR9K-SM24-FTD-BUN
|
思科Firepower 9300安全模块24 FTD捆绑包
|
|
FPR9K-SM36-FTD-BUN
|
思科Firepower 9300安全模块36 FTD捆绑包
|
|
FPR9K-SM44-FTD-BUN
|
思科Firepower 9300安全模块44 FTD捆绑包
|
|
FPR9K-SM40-FTD-BUN
|
思科Firepower 9300安全模块40 FTD捆绑包
|
|
FPR9K-SM48-FTD-BUN
|
思科Firepower 9300安全模块48 FTD捆绑包
|
|
FPR9K-SM56-FTD-BUN
|
思科Firepower 9300安全模块56 FTD捆绑包
|
注意:捆绑包PID提供了选择硬件,硬件选项,许可证和订阅的能力。
表5. Cisco Firepower网络模块PID的
|
部件号(设备主捆绑包)
|
描述
|
|
FPR2K-NM-8X1G
|
思科Firepower 8端口SFP 1G网络模块
|
|
FPR2K-NM-8X1G-F
|
思科Firepower 8端口1G铜缆FTW网络模块
|
|
FPR2K-NM-6X1SX-F
|
思科Firepower 6端口1G光纤FTW网络模块
|
|
FPR2K-NM-8X10G
|
思科Firepower 8端口SFP + 10G网络模块
|
|
FPR2K-NM-6X10SR-F
|
思科Firepower 6端口10G SR FTW网络模块
|
|
FPR2K-NM-6X10LR-F
|
思科Firepower 6端口10G LR FTW网络模块
|
|
FPR4K-NM-8X1G
|
思科Firepower 8端口SFP 1G网络模块
|
|
FPR4K-NM-8X1G-F
|
思科Firepower 8端口1G铜缆FTW网络模块
|
|
FPR4K-NM-6X1SX-F
|
思科Firepower 6端口1G光纤FTW网络模块
|
|
FPR4K-NM-8X10G
|
思科Firepower 8端口SFP + 10G网络模块
|
|
FPR4K-NM-6X10SR-F
|
思科Firepower 6端口10G SR FTW网络模块
|
|
FPR4K-NM-6X10LR-F
|
思科Firepower 6端口10G LR FTW网络模块
|
|
FPR4K-NM-4X40G
|
思科Firepower 4端口40G QSFP +网络模块
|
|
FPR4K-NM-2X40G-F
|
思科Firepower 4端口40G SR FTW网络模块
|
|
FPR9K-NM-6X1SX-F
|
思科Firepower 6端口1G光纤FTW网络模块
|
|
FPR9K-NM-8X10G
|
思科Firepower 8端口SFP + 10G网络模块
|
|
FPR9K-NM-6X10SR-F
|
思科Firepower 6端口10G SR FTW网络模块
|
|
FPR9K-NM-6X10LR-F
|
思科Firepower 6端口10G LR FTW网络模块
|
|
FPR9K-NM-4X40G
|
思科Firepower 4端口40G QSFP +网络模块
|
|
FPR9K-NM-2X40G-F
|
思科Firepower 4端口40G SR FTW网络模块
|
|
FPR9K-NM-2X100G
|
思科Firepower 2端口100G网络模块
|
|
FPR9K-NM-4X100G
|
思科Firepower 4端口100G网络模块
|
|
FPR9K-DNM-2X100G
|
思科Firepower 2端口100G网络模块,双倍宽度
|