防火墙介绍 v1
吞吐量 (最大) 最大并发连接数 每秒新建连接数 虚拟防火墙个数
ASA-SM 20 Gbps 10 Million 300,000 250
每机箱最大可支持模块数 4/8(VSS)
名称der PPStream RayFile Xunlei Kankan Youku PPTV Weibo Yahoo Box Tudou
Upload/Post
说明 基于HTTP协议的QQ相关应用的登陆。 基于P2P的流媒体播放应用 互联网TV应用 基于P2P的文件共享应用,下载和分发 基于P2P的文件共享应用,下载和上载 基于P2P的流媒体播放应用 提供文件共享,上载和下载的服务网站 中文视频共享网站并提供桌面应用 中文视频门户网站 中文视频和电视频道视频分享网站 中文最大微博网站 中文视频分享网站 中文视频分享网站 云服务存储服务 中文视频共享网站
ASA下一代防火墙概览
Page:18
Cisco Plus Greater China 2012
Complete Context Awareness. Proven Cisco Technology.
Appliance
Distributed
Integrated
Cisco ASA CX
Context-Aware
全面的用户识别与控制
WHO
NTLM Kerberos
用户认证
•Auth-Aware Apps •Mac, Windows, Linux •AD/LDAP user credential
TRUSTSEC*
Network Identity
Group information Any tagged traffic
None -> Any HTTP Deny 日志:David 在2011/12/26 12点整访问了
www.cisco .com
企业分支
WSA
网站
ASA5585
S Sii
S Sii
Internet接入区
ISP1 ISP2
远程接入 SSL VPN Ipsec
统一的 Anyconnect解 决方案
AD Email
Firewall & IPS
ASA5500-X:下一代情感感知防火墙
ASA5500X-SSD120= ASA5512-AW1Y
200 Mbps NGFW 100K Connections 10,000 CPS
350 Mbps NGFW 250K Connections 15,000 CPS
ASA 5515-X
ASA CPU Complex
NonAccelerated Inspections
…
…
…
…
…
FTP
Slow path
Fast path
Load Balancer NIC Driver
Feature/Inspect Modules
HTTP
……
Crypto
ASA Services Module (ASA SM)
ASA 5585-S40P40
ASA 5585-S60P60
Scalable Data Center Solutions
A
Branch
Campus
Data Center
Enhancing the Customer Experience
高性能多业务 Cisco ASA 5585-X Series
2 RU 机框
CPU 0
QPI
CPU 1
PCIe 1.0 QPI
PCIe 1.0
PCIe 1.0
QPI
I/O Hub
PCIe 1.0
PCIe 2.0 PCIe 2.0
40Gbps Uplink Trunk
MAC
Fabric Switch
MAC
Crypto Crypto Crypto Crypto MAC MAC
GbE Mgmt
类型 Authentication Media Media File Sharing File Sharing Media File Sharing Media Media Media Social Network Media Media File Sharing Media
控制动作 Login P2P P2P Download/Chat Download/Upload P2P Download/Upload Upload/Post Upload/Post Upload/Post Upload/Post Upload/Post Upload/Post
2 x全尺寸扩展槽
1 x 全尺寸扩展槽 + 2 x 半槽
•电源冗余可以热插拔
•风扇由前至后送风
端口配置 最大8 x 10G SFP+光口 最大16 x 1GbE 电口 SFP/SFP+ slots on all modules
安全业务处理引擎
多业务处理能力 独立的 64bit 多核处理器 先进的硬件架构
• Six port 1GE SFP I/O Module • Available on all new appliances • Supports short and long reach optics
• GLC-SX-MM, GLC-SX-MMD • GLC-LH-SM, GLC-LH-SMD
ASA 5500-X 的IPS服务
GbE Mgmt
200G的交换矩阵,通过4跟10G接口与其他组件实现通讯和数据包调度。 特殊硬件芯片加速数据加密解密速度。 2x2.4G HZ多核CPU / 24G 内存 MAC通过对数据包按照源目的IP地址和源目的端口号信息进行负载均衡,均匀分配至 接收队列。
Multi-Threaded Single Thread
o 2 x 2.4Ghz Intel Hexa-Core processors with HyperThreading
o 48 GB of 1066 DDR3 RAM
o 2 x Hardware Regex Accelerator Daughter Cards
ASA 5585启用IPS功能
ASA 5585 Chassis
CLI 命令
Users=NONE 将会自动切换到
Cut-through proxy模式
access-list mypolicy permit ip user IDFW\administrator object amazon access-list mypolicy permit ip user-group IDFW\SJC.WEB_MARKETING.M, IDFW\\stsales object eq 80 access-list mypolicy deny ip any object access-list mypolicy permit ip user NONE any any access-list mypolicy deny ip any any access-group mypolicy global
• 5500-X 不再需要单 独的SSM or SSP 硬件模块来做IPS服 务。IPS作为一个软 件模块,运行在ASA 软件当中,需要购买 单独的IPS许可
CPU
ASA
IPS
ASA和IPS分享CPU和内存的资源,这些资源的分 配是静态分配好的。
ASA-SSP-60
硬件逻辑表示图
DDR3 DDR3
650 Mbps NGFW 500K Connections 20,000 CPS
1 Gbps NGFW 750K Connections 30,000 CPS
ASA 5545-X
1.4 Gbps NGFW 1 MM Connections 50,000 CPS
ASA 5555-X
ASA 5525-X
Virtual
Threat Aware
ASA Stateful Inspection
Apps, Users
ASA CX “solution” CX capabilities
URL Filtering
Web Reputation (SIO)
Industry’s most widely deployed stateful inspection FW & remote access solution
ASA 5500-X H/W 特性
64Bit Multi-Core 处理器 最大16GB内存 内置多核加密解密芯片 独立的IPS硬件加速卡 最多14 1GE Ports Copper & Fiber I/O 接口卡 Firewall, VPN & IPS 业务 独立的带外管理口
I/O 扩展模块
• Six port copper 10/100/1000 RJ45 module • Available on all new appliances
IPS-SSP Module
Regex Accelerator
CPU Complex
PORTS
Fabric Switch
ASA-SSP Module
Mezzanine Slot
CPU Complex
Fabric Switch
PORTS
ASA基于策略将指定的流量转给IPS模块 可以通过设定将重要流量转给IPS,来减少IPS模块的压力 IPS模块失效,可以直接通过防火墙转发流量 竞争的时候必须要求独立的硬件IPS模块
ASA 系列防火墙简介
ASA 5585-X TDM
© 2010 Cisco Systems, Inc. All rights reserved. Cisco Confidential
