asa产品介绍技术介绍订购指南...

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Confidential 1

思科ASA产品介绍&技术介绍

新5585订购指南&优势说明

© 2010 Cisco Systems, Inc. All rights reserved. 2

议程

思科防火墙产品介绍

防火墙功能分析

防火墙性能分析

ASA快速销售指南

思科ASA产品线定位

ASA5585防火墙功能订购指南

思科高端ASA优势示例


ASA防火墙系列


思科防火墙定位

ASA低端－UTM市场（统一威胁管理）

–ASA5550，ASA5540，ASA5520，ASA5510，ASA5505

–支持防火墙、VPN、IPS、Anti-X等功能

ASA高端－访问控制与威胁控制

–ASA5580,ASA5585

–高性能的独立IPS模块


什么是ASA？-----思科多功能安全网关

防火墙技术Cisco PIX

Anti-X 防御防范病毒、间谍软件、垃圾邮件、

僵尸网络和网络诈骗

企业级防火墙阻止未经授权的用户，控制即

时消息和P2P应用

威胁防范VPN将IPSec 、SSL VPN与威胁

防范服务相结合

经过市场十余年验证的企业级技术

提供威胁防御与安全连接

网络智能路由，永续性，QoS，

虚拟化技术

Anti-X 技术Trend Micro AV

VPN 技术Cisco VPN 3000

网络技术

思科网络服务

Cisco ASA 5500 系列

http://images.google.com/imgres?imgurl=http://www.ehs.washington.edu/images/BIOSGN2.jpg&imgrefurl=http://www.ehs.washington.edu/Manuals/BSManual/AppendixA.pdf&h=1028&w=850&sz=124&tbnid=HeNi2BPYUAgJ:&tbnh=149&tbnw=124&start=14&prev=/images?q=biohazard&hl=en&lr=&safe=off


Cisco ASA防火墙产品线

TeleworkerBranch

Office

Internet

Edge

ASA 5550 (1.2 Gbps,

36K conn/s)

ASA 5580-20 (5-10 Gbps, 90K conn/s)

ASA 5580-40 (10-20 Gbps, 150K conn/s)

ASA 5505 (150 Mbps, 4K conn/s)

Data Center

ASA 5540 (650 Mbps, 25K conn/s)ASA 5520

(450 Mbps, 12K conn/s)

ASA 5510 (300 Mbps, 9K conn/s)

Campus

ASA 5585-S20P20 (10 Gbps,

125K conn/s)

ASA 5585-S40P40(20 Gbps,

200K conn/s)

ASA 5585-S60P60(40 Gbps,

350K conn/s)

多服务网关(Firewall,

IPS, VPN)

Firewall

and VPN

ASA 5585 -S10P10 (4 Gbps,

50K conn/s)


防火墙功能分析


新一代防火墙的功能

网络功能

–部署模式

–路由支持

–组播支持

防火墙基本功能

–状态检查访问控制

–NAT

–VPN，Ipsec&SSL

下一代防火墙需要具备的功能威胁控制虚拟化云技术可审计：syslog、

Netflow


Ipsec & SSL VPN 技术

主要分支机构

数据中心

主要分支机构

主要分支机构

总部

主要分支机构

主要分支机构

用专线或IPSec VPN实现主要分支机构与总部的互联

用 SSL VPN实现偏远小营业网点/营业部的互联

用SSL VPN实现员工的移动办公

SSL VPN

SSL VPN

同时终结SSL和IPSec VPN


动态/静态数据库

BTF读取SensorBase信誉数据

ASA动态更新SensorBase

本地静态配置黑白名单

流量识别与报表

配置MPF，区别过滤流量经过BTF

记录拦截日志，生成报表

DNS Snooping

SensorBase以域名存储僵尸网络

DNS Snooping监控记录DNS解析域名

BTF匹配访问域名与SensorBase域名

对僵尸网络的防护


高性能的威胁控制

2－7层的威胁控制

独立的IPS模块

匹配的IPS性能

安全事件的关联分析


虚拟防火墙

ASA防火墙

SYSTEM CONTEXT

不同的虚拟防火墙

用户接入区一

占用系统资源20％

用户接入区二


用户接入区n


可以配置成二层、三层虚拟

防火墙

虚拟防火墙可以定义其各自的安全策略，并可以定义占用的系统资源


SIO: 威胁识别、分析和自动防御

实时声誉评分

新增签名和更新签名

编写的动态规则集

每五分钟自动更新

每五分钟发布一次定制报警

安全过滤器：业界最有效的安全特性

病毒爆发过滤器

防垃圾邮件过滤器

电子邮件和Web声誉过滤器

IPS声誉和签名过滤器

防火墙Botnet

流量过滤器报警汇聚过

滤器

产品和服务：主动保护，出色性能

自适应安全设备

入侵防御 Web安全电子邮件安全托管电子邮件安全

服务模块报警服务

云安全服务


Netflow 分析统计

Netflow 统计•源地址•源端口•目的地址•目的端口•流量大小


防火墙性能分析


防火墙的主要性能指标

吞吐量

延迟

每秒包个数pps

并发连接数

每秒新建连接


吞吐量

大包，小包，IMIX包？HTTP

各个厂商宣传的标准不同，无法根据标称来对比

0

5

10

15

20

25

Th

rou

gh

pu

t in

Gb

ps 64

256

512

1518


每秒包个数pps

衡量网络设备转发性能的最优指标

每秒转发的包个数，通常以64字节为准（64字节该值最大）

主流厂商公开公布该指标

标称10G的防火墙，64字节吞吐应该多少？1Gor2G？

1.6Mpps大约对应于1G的吞吐

0

2

4

6

8

10

12

64 512 1518 9216

PPS

in M

illio

ns


并发连接数

由于防火墙采用状态检查机制，并发连接数代表了该防火墙的容量

WEB2.0/视频/P2P技术的发展，使得连接的数量猛增

核算举例：

如4G出口，每客户端流量为1M,并发连接100，则该防火墙的总并发连接容量至少为40万。


每秒新建连接

代表了防火墙承载突发流量，突发应用的能力

WEB2.0/视频/P2P技术的发展，使得新建连接速度猛增

每秒新建连接最主要考验CPU的能力

网络防火墙的很多CPU过高的情况，很大一部分是由于每秒新建连接过多造成的。


其他性能指标

ACL数目

VPN隧道数目

VPN吞吐量

组播性能

。。。。


高性能防火墙

由于防火墙是基于状态表的转发，真正的高性能防火墙是单个防火墙引擎可以实现的性能，而不是将几个防火墙引擎装在一个盒子里。流量可以在不同的业务板块上转发。

业务板1

业务板2

业务板1

业务板2

伪高端防火墙高端防火墙


应用场景举例－边界

互联网边界

威胁防护

高并发连接

高每秒新建连接

NAT

语音/视频应用

高PPS

低延迟

应用分析能力

Internet


应用场景举例－数据中心

多级架构防火墙需求

边界防火墙

高并发连接

高每秒新建连接

攻击防护

应用监控防火墙

高级应用监控

高并发连接

后端防火墙

高吞吐

低延迟

Web Tier

Application Tier

Database Tier

用户


ASA快速销售指南


ASA简明销售指南---销售机会

什么是ASA？ ASA所具备的优势

ASA所体现的关键价值 ASA适用的场景

保护ASA5500通过内容安全技术阻止恶意软件通过网页浏览或邮件进入企业网络,通过安全域划分限制未授权访问受保护企业信息资源.

检测ASA5500通过扫描邮件与消息中的病毒来帮助检测安全漏洞

“We need to deploy SSL VPN”

当客户计划对现有防火墙进行升级时

当客户有Internet接入需求时

当客户总部需要利用Internet连接远程分支机构时

当客户需要为外出员工提供安全的内网资源访问时

当客户需要阻止未授权用户对企业资源的访问时

当客户需要易于扩展与维护的高性能网络安全设备时

ASA 是一个多功能的安全设备，它允许客户依照自身业务系统对安全的需求来灵活部署安全服务。通过ASA可以提供如下安全服务:

防火墙 (Firewall)

入侵检测/入侵阻止(IDS/IPS)

分支之间的Site-to-Site VPN

基于IPSEC VPN 的远程访问

基于SSL VPN 的远程访问

内容过滤 Content Filtering

IP电话通过VPN远程连接

在同一个硬件平台上为企业提供基础安全服务(如.Firewall, VPN, IPS)

新的安全服务可以灵活增加至现有硬件平台以保护投资

针对多种安全服务同时运行在单一平台的高性能架构设计

通过如下两点充分降低总拥有成本:

在单一管理界面下管理多种安全服务 (防火墙/入侵检测/VPN连接等) 减少客户需要购买备件的数量

专为适应不断变化的安全威胁而设计

单台设备的价格可提供按需的安全服务

单台设备可同时提供最高性能防火墙与VPN服务

1. 企业是否有兴趣将各种安全服务整合到一个单一平台上来？

2. 企业当前是否计划部署VPN接入服务(IPSEC或SSL或两者同时需要？

3. 企业是否计划为分支机构部署恶意流量过滤方案？

4. 企业是否需要性能强大的NAT设备并实现安全审计？

5. 移动用户是否有借助互联网来安全访问内网应用程序的需求？

6. 企业是否在寻找一种既能够降低费用又减少管理复杂度的网络安全解决方案？

7. 企业是否经历过因为病毒或者蠕虫引起的业务系统中断？

8. 企业是否在寻找升级替换企业现有的安全解决方案，或者在现有网络上增加安全服务如防火墙或者IPS系统？

9. 企业目前是否能够及时准确检测到针对各类安全攻击并作出及时响应？

10. 企业现有防火墙/VPN设备是否存在性能瓶颈，是否需要业界性能最强的安全设备？

销售初期需要关注的几个问题

企业互联网出口防火墙；企业VPN接入网关；企业数据中心安全防护;企业远程分支接入保护;企业语音/数据网络隔离保护;企业IP电话系统远程电话接入;


ASA简明销售指南---把握机会销售过程中通常客户的声音多服务集成降低总拥有成本

客户: 我们已经有了防火墙.

回答: ASA是基本功能就是一个作防火墙，同时又能作为IPS,VPN接入网关及防垃圾邮件网关/防病毒网关的安全设备 .

客户:我不想为那些我没有使用到的功能付费

客户: ASA采用模块化设计 – 所有功能可以集成到一个硬件平台上，但你只需要为你当前所使用到的的功能付费,未来可轻松升级.

客户: 我对同一个公司提供太多的安全解决方案有所顾虑,对其专业性有所怀疑.

回答: 思科有众多独立的安全专家团队来开发每一个安全方案(IPS, Firewall, VPN 等),事实上上述解决方案独立来看在业界都是处于领先的地位.

相对于其它厂商通过软件的方式来实现安全服务的多功能集成而遭遇性能瓶颈,思科ASA通过插入各种安全服务模块来满足客户所需的多种安全服务,并且不牺牲性能.

竞争对手常见的声音

多业务集成的核心价值

ASA 安全服务模块

听听其它客户的声音

“在使用ASA之前，我们面临的对大挑战时管理独立的防火墙, IPS, 病毒扫描与监控系统。ASA将所有的功能集成到单一硬件平台并提供单一的管理平台(ASDM),大大简化了管理工作。

Selim Nart, Network Architect, Vignette Corporation

“ ASA是思科自防御网络策略中的重要组成部分, 因为它成功将思科多种安全设备整合到单一的硬件平台中来.”

Garth Brown, President, Semaphore, Managed Network Services

“我拥有了单一硬件平台可以为企业网络提供防火墙,VPN与IPS服务，并且拥有单一的管理界面,这真是太棒了! .”

Andre Gold, Director Information Security, Continental Airlines

更多参考资源请访问:

Juniper:

销售战略:充分强调在防火墙集成SSL VPN功能的种种优势.对比思科ASA从低到高清晰的产品线相对于Juniper SSG/ISG/NS杂乱的产品线.

攻击:集成后的IOS 不稳定, 思科的服务模块策略增加了复杂度与成本

回应:强调我们在多项安全服务技术领域的市场占用率第一地位,强调集成并非另起炉灶,而是将多项成熟应用的技术通过集成来降低客户的投资成本与管理成本,其稳定性是无容置疑的.

J公司攻击:

思科是一家路由器/交换机厂商,不是专业的安全设备厂商.而xxx是一家专注于网络安全的厂商。

10多年前这样的说法是正确的,但经过10多年专业的安全产品研发,销售与服务经验,当前思科不仅仅能提供集成多项安全服务的路由器/交换机产品,更是当今市场占有率第一的端到端安全解决方供应商，而反观业界某些公司，由于公司的购并，人员的流失，已经面对产品Roadmap不确定，采用新架构后产品的功能缺失，新产品客户认可度等诸多问题。

ASA主页:http//www.cisco.com/go/asaTeam Folder:Bej-filer01b\wg-\security_solutionsEmail alias:[email protected]


思科ASA产品线定位


思科ASA 5500系列产品线

SOHO 分支办公室互联网出口数据中心园区网络

性能

与扩

展性

为Soho级办公到数据中心应用提供集成的安全网关解决方案

New

New

New

New

ASA 5505 (150 Mbps, 4K cps)

ASA 5540 (650 Mbps,25K cps)

ASA 5520 (450 Mbps,12K cps)

ASA 5510 (300 Mbps, 9K cps)

ASA 5585 SSP-20(10 Gbps,125K cps)


ASA 5585 SSP-60(35 Gbps, 350K cps)


ASA 5550 (1.2 Gbps, 36K cps)

ASA 5580-20 (10 Gbps, 90K cps)

ASA 5580-40

(20 Gbps, 150K cps)


新产品 ASA5585

防火墙功能订购指南


业界最强的2U多功能安全设备----ASA5585


ASA5585-10订购指南

产品描述产品编号价格(CPL) 备注

Cisco ASA 5585-X防火墙版 SSP-10 组合(包含8个千兆以太网电口, 2个千兆以太网SFP接口,2个千兆管理口(电口)。提供5000个IPsec VPN连接许可证。2个SSL VPN连接许可证证2个Phone Proxy连接许可证，DES加密许可证。

ASA5585-S10-K8 89985.00

Cisco ASA 5585-X防火墙版 SSP-10 组合(包含8个千兆以太网电口, 2个千兆以太网SFP接口,2个千兆管理口(电口)。提供5000个IPsec VPN连接许可证。2个SSL VPN连接许可证证2个Phone Proxy连接许可证，DES/3DES加密许可证。

ASA5585-S10-K9 89985.00

Cisco ASA 5585-X 增强型防火墙版 SSP-10 组合 (包含8个千兆以太网电口, 2个万兆以太网SFP+

2个千兆管理口(电口)。提供5000个IPsec VPN连接许可证。2个SSL VPN连接许可证证。2个Phone Proxy连接许可证，2个交流电源，DES/3DES加密许可证。

ASA5585-S10X-K9 119985.00

ASA5585-10 技术指标

接口配置防火墙吞吐量

(Mbps)

并发连接

(最大)

新建连接

(每秒)

包转发率

(64字节)

VLAN数

(最大)

虚墙数

(最大)

VPN吞吐量(3DES/AES

Mbps)

最大VPN隧道

数(Site to Site/远程访问)

最大SSL VPN

并发用户数

IPS吞吐量

(Mbps)

8个千兆以太网电口2个千/万兆以太网SFP接口2个千兆管理口(电口)

2Gbps(多协议)

4Gbps (大包)

1000000 50000 1,500,000 1024 100 1000 10000 10000 2000



产品描述产品编号价格(CPL) 备注

Cisco ASA 5585-X 防火墙版 SSP-20 组合 (包含8个千兆以太网电口、2个千兆以太网SFP接口、2个千兆管理口(电口)、提供10000个IPsec VPN连接许可证、2个SSL VPN连接许可证证、2个Phone Proxy连接许可证、DES加密许可证。

ASA5585-S20-K8 179,985.00

Cisco ASA 5585-X 防火墙版 SSP-20 组合 (包含8个千兆以太网电口、2个千兆以太网SFP接口、2个千兆管理口(电口)、提供10000个IPsec VPN连接许可证、2个SSL VPN连接许可证证、2个Phone Proxy连接许可证、DES/3DES加密许可证。

ASA5585-S20-K9 179,985.00

Cisco ASA 5585-X 增强型防火墙版 SSP-20 组合 (包含8个千兆以太网电口、2个万兆以太网SFP+

接口、2个千兆管理口(电口)、提供10000个IPsec VPN连接许可证、2个SSL VPN连接许可证证、2个Phone Proxy连接许可证、2个交流电源、DES/3DES加密许可证。

ASA5585-S20X-K9 279,980.00



(Mbps)

并发连接

(最大)

新建连接

(每秒)

包转发率

(64字节)

VLAN数

(最大)

虚墙数

(最大)


Mbps)

最大VPN隧道


最大SSL VPN

并发用户数

IPS吞吐量

(Mbps)


5Gbps(多协议)

10Gbps (大包)

2000000 125000 3,000,000 1024 250 2000 10000 10000 3000



产品编号产品编号价格(CPL) 备注

Cisco ASA 5585-X 防火墙版 SSP-40 组合 (包含6个千兆以太网电口、4个万兆以太网SFP+接口、2个千兆管理口(电口)、提供10000个IPsec VPN连接许可证、2个SSL VPN连接许可证证、2个Phone Proxy连接许可证、DES加密许可证。

ASA5585-S40-K8 41985.00

Cisco ASA 5585-X 防火墙版 SSP-40 组合 (包含6个千兆以太网电口、4个万兆以太网SFP+接口、2个千兆管理口(电口)、提供10000个IPsec VPN连接许可证、2个SSL VPN连接许可证证、2个Phone Proxy连接许可证、DES/3DES加密许可证。

ASA5585-S40-K9 41985.00

Cisco ASA 5585-X 防火墙版 SSP-40 组合 (包含6个千兆以太网电口, 4个万兆以太网SFP+接口, 2个千兆管理口(电口)。提供10000个IPsec VPN连接许可证。2个SSL VPN连接许可证证。2个Phone Proxy连接许可证，2个交流电源，3DES/DES加密许可证

ASA5585-S40-2A-K9 425985.00



(Mbps)

并发连接

(最大)

新建连接

(每秒)

包转发率

(64字节)

VLAN数

(最大)

虚墙数

(最大)


Mbps)

最大VPN隧道


最大SSL VPN

并发用户数

IPS吞吐量

(Mbps)


10Gbps(多协议)

20Gbps (大包)

4000000 200000 5,000,000 1024 250 3000 10000 10000 5000




(Mbps)

并发连接

(最大)

新建连接

(每秒)

包转发率

(64字节)

VLAN数

(最大)

虚墙数

(最大)


Mbps)

最大VPN隧道


最大SSL VPN

并发用户数

IPS吞吐量

(Mbps)


20Gbps(多协议)

35Gbps (大包)

8000000 350000 9,000,000 1024 250 5000 10000 10000 10000

产品编号产品编号价格(CPL)

备注

Cisco ASA 5585-X 防火墙版 SSP-60 组合 (包含6个千兆以太网电口, 4个万兆以太网SFP+接口2个千兆管理口(电口)。提供10000个IPsec VPN连接许可证。2个SSL VPN连接许可证证2个Phone Proxy连接许可证，2个交流电源，DES加密许可证。

ASA5585-S60-2A-K8 674,985.00

Cisco ASA 5585-X 防火墙版 SSP-60 组合 (包含6个千兆以太网电口, 4个万兆以太网SFP+接口2个千兆管理口(电口)。提供10000个IPsec VPN连接许可证。2个SSL VPN连接许可证证2个Phone Proxy连接许可证，2个交流电源，3DES/DES加密许可证

ASA5585-S60-2A-K9

674,985.00



思科高端ASA优势示例


思科防火墙优势

优势之一------虚拟化技术

优势之二------集成防火墙/IPSEC&SSL VPN技术

优势之三------ASA5585支持高达10Gbps的IPS板卡

优势之四------智能防御，动态阻断僵尸、木马

优势之五------业界唯一支持基于Netflow的流量/日志分析

优势之六------真正为数据中心设计的产品(高集成度低能耗)


优势之一------虚拟化技术

ASA虚拟防火墙可以与数据中心虚拟技术完美结合；

利用虚拟防火墙技术实现应用分区隔离；

每个虚拟防火墙资源可动态调整；

减少安全策略部署时间、简化管理

VM VM VM

We

b

VM VM VM

Web

Applic

atio

n

Vir

tua

lize

d p

er

Se

rvic

e

Web服务风险等级A

应用服务风险等级 B

数据库服务风险等级 C

VM VM VM

VM VM VM

VM VM VM

VM VM VM

Web服务

应用服务

数据

库服

务

Equivalent

Risk

Levels

Vir

tua

lize

d p

er

Ris

k L

eve

l


优势之二------集成防火墙/IPSEC&SSL VPN技术

ASA能同时支持IPSEC/SSL VPN接入

ASA支持多种智能手机接入（IPhone、IPAD);

ASA VPN集群技术，扩展性业界领先；

ASA 可以支持IP电话以VPN方式接入；


优势之三------ASA5585支持高达10Gbps的IPS板卡

IPS SSP-10 IPS SSP-20 IPS SSP-40 IPS SSP-60

Processor Yes YesYes

(Dual CPU)

Yes

(Dual CPU)

Maximum Memory 6 GB 12 GB 24 GB 48 GB

Maximum Storage 2 GB eUSB 2 GB eUSB 2 GB eUSB 2 GB eUSB

Ports

2 x SFP+

8 x 1GbE Cu

2 x 1GbE Cu Mgmt

2 x SFP+

8 x 1GbE Cu

2 x 1GbE Cu Mgmt

4 x SFP+

6 x 1GbE Cu

2 x 1GbE Cu Mgmt

4 x SFP+

6 x 1GbE Cu

2 x 1GbE Cu Mgmt

Concurrent Firewall and

IPS Throughput2 Gbps 3 Gbps 5 Gbps 10 Gbps


优势之四------智能防御，动态阻断僵尸、木马

•传统的防火墙在木马僵尸网络环境中束手无策：

•思科“云”火墙： ASA BTF+ IPS Global Correlation是下一代防火墙基本配置。

国产防火墙：

•仍然停留在单纯追求防火墙性能的层面

•仍然停留在网络层、传输层的访问控制，无应用层面的IPS，无SSL VPN•更没有僵尸网络防御、没有全球联防的云安全技术；


优势之五------业界唯一支持基于Netflow的流量/日志分析

异常流量的监测

高速采样与时控

网络与安全融合

标准网元的管理


优势之六------真正为数据中心设计的产品

asa产品介绍 技术介绍 订购指南...

Documents

asa产品介绍技术介绍订购指南...