cisco思科安全產(chǎn)品ASA產(chǎn)品技術

思科ASA產(chǎn)品介紹&技術介紹

新5585訂購指南&優(yōu)勢說明

議

程思科防火墻產(chǎn)品介紹防火墻功能分析防火墻性能分析ASA快速銷售指南思科ASA產(chǎn)品線定位ASA5585防火墻功能訂購指南思科高端ASA優(yōu)勢示例ASA防火墻系列思科防火墻定位ASA低端－UTM市場（統(tǒng)一威脅管理）ASA5550，ASA5540，ASA5520，ASA5510，ASA5505支持防火墻、VPN、IPS、Anti-X等功能ASA高端－訪問控制與威脅控制ASA5580,ASA5585高性能的獨立IPS模塊什么是ASA？-----思科多功能安全網(wǎng)關防火墻技術CiscoPIXAnti-X防御防范病毒、間諜軟件、垃圾郵件、僵尸網(wǎng)絡和網(wǎng)絡詐騙企業(yè)級防火墻阻止未經(jīng)授權的用戶，控制即

時消息和P2P應用威脅防范VPN將IPSec、SSLVPN與威脅防范服務相結合經(jīng)過市場十余年驗證

的企業(yè)級技術提供威脅防御與安全連接網(wǎng)絡智能路由，永續(xù)性，QoS，虛擬化技術Anti-X技術TrendMicroAVVPN技術CiscoVPN3000網(wǎng)絡技術思科網(wǎng)絡服務CiscoASA5500系列CiscoASA防火墻產(chǎn)品線TeleworkerBranchOfficeInternet

EdgeASA5550

(1.2Gbps,

36Kconn/s)ASA5580-20

(5-10Gbps,

90Kconn/s)ASA5580-40(10-20Gbps,150Kconn/s)ASA5505

(150Mbps,

4Kconn/s)DataCenterASA5540

(650Mbps,

25Kconn/s)ASA5520

(450Mbps,

12Kconn/s)ASA5510

(300Mbps,

9Kconn/s)CampusASA5585-S20P20(10Gbps,

125Kconn/s)ASA5585-S40P40

(20Gbps,

200Kconn/s)ASA5585-S60P60

(40Gbps,

350Kconn/s)多服務網(wǎng)關

(Firewall,IPS,VPN)FirewallandVPNASA5585-S10P10(4Gbps,

50Kconn/s)防火墻功能分析新一代防火墻的功能網(wǎng)絡功能部署模式路由支持組播支持防火墻基本功能狀態(tài)檢查訪問控制NATVPN，Ipsec&SSL下一代防火墻需要具備的功能威脅控制虛擬化云技術可審計：syslog、NetflowIpsec&SSLVPN技術

主要分支機構數(shù)據(jù)中心主要分支機構主要分支機構總部主要分支機構主要分支機構用專線或IPSecVPN實現(xiàn)主要分支機構與總部的互聯(lián)用SSLVPN實現(xiàn)偏遠小營業(yè)網(wǎng)點/營業(yè)部的互聯(lián)用SSLVPN實現(xiàn)員工的移動辦公SSLVPNSSLVPN同時終結SSL和IPSecVPN動態(tài)/靜態(tài)數(shù)據(jù)庫BTF讀取SensorBase信譽數(shù)據(jù)ASA動態(tài)更新SensorBase本地靜態(tài)配置黑白名單流量識別與報表配置MPF，區(qū)別過濾流量經(jīng)過BTF記錄攔截日志，生成報表DNSSnoopingSensorBase以域名存儲僵尸網(wǎng)絡DNSSnooping監(jiān)控記錄DNS解析域名BTF匹配訪問域名與SensorBase域名對僵尸網(wǎng)絡的防護高性能的威脅控制2－7層的威脅控制獨立的IPS模塊匹配的IPS性能安全事件的關聯(lián)分析虛擬防火墻ASA防火墻SYSTEMCONTEXT不同的虛擬防火墻用戶接入?yún)^(qū)一占用系統(tǒng)資源20％用戶接入?yún)^(qū)二占用系統(tǒng)資源5％用戶接入?yún)^(qū)n占用系統(tǒng)資源20％可以配置成二層、三層虛擬防火墻虛擬防火墻可以定義其各自的安全策略，并可以定義占用的系統(tǒng)資源

SIO:威脅識別、分析和自動防御實時聲譽評分新增簽名和更新簽名編寫的動態(tài)規(guī)則集每五分鐘自動更新每五分鐘發(fā)布一次定制報警安全過濾器：業(yè)界最有效的安全特性病毒爆發(fā)過濾器防垃圾郵件過濾器電子郵件和Web聲譽過濾器IPS聲譽和簽名過濾器防火墻Botnet流量過濾器報警匯聚過濾器產(chǎn)品和服務：主動保護，出色性能自適應安全設備入侵防御Web安全電子郵件安全托管電子郵件安全服務模塊報警服務

云安全服務Netflow分析統(tǒng)計Netflow統(tǒng)計源地址源端口目的地址目的端口流量大小防火墻性能分析防火墻的主要性能指標吞吐量延遲每秒包個數(shù)pps并發(fā)連接數(shù)每秒新建連接吞吐量大包，小包，IMIX包？HTTP各個廠商宣傳的標準不同，無法根據(jù)標稱來對比每秒包個數(shù)pps衡量網(wǎng)絡設備轉發(fā)性能的最優(yōu)指標每秒轉發(fā)的包個數(shù)，通常以64字節(jié)為準（64字節(jié)該值最大）主流廠商公開公布該指標標稱10G的防火墻，64字節(jié)吞吐應該多少？1Gor2G？1.6Mpps大約對應于1G的吞吐并發(fā)連接數(shù)由于防火墻采用狀態(tài)檢查機制，并發(fā)連接數(shù)代表了該防火墻的容量WEB2.0/視頻/P2P技術的發(fā)展，使得連接的數(shù)量猛增核算舉例：如4G出口，每客戶端流量為1M,并發(fā)連接100，則該防火墻的總并發(fā)連接容量至少為40萬。每秒新建連接代表了防火墻承載突發(fā)流量，突發(fā)應用的能力WEB2.0/視頻/P2P技術的發(fā)展，使得新建連接速度猛增每秒新建連接最主要考驗CPU的能力網(wǎng)絡防火墻的很多CPU過高的情況，很大一部分是由于每秒新建連接過多造成的。其他性能指標ACL數(shù)目VPN隧道數(shù)目VPN吞吐量組播性能。。。。高性能防火墻由于防火墻是基于狀態(tài)表的轉發(fā)，真正的高性能防火墻是單個防火墻引擎可以實現(xiàn)的性能，而不是將幾個防火墻引擎裝在一個盒子里。流量可以在不同的業(yè)務板塊上轉發(fā)。業(yè)務板1業(yè)務板2業(yè)務板1業(yè)務板2偽高端防火墻

高端防火墻應用場景舉例－邊界

互聯(lián)網(wǎng)邊界

威脅防護

高并發(fā)連接

高每秒新建連接 NAT語音/視頻應用

高PPS

低延遲

應用分析能力

Internet應用場景舉例－數(shù)據(jù)中心

多級架構防火墻需求邊界防火墻

高并發(fā)連接高每秒新建連接

攻擊防護應用監(jiān)控防火墻

高級應用監(jiān)控

高并發(fā)連接

后端防火墻

高吞吐

低延遲WebTierApplicationTierDatabaseTier用戶思科ASA產(chǎn)品線定位思科ASA5500系列產(chǎn)品線SOHO

分支辦公室互聯(lián)網(wǎng)出口數(shù)據(jù)中心園區(qū)網(wǎng)絡防火墻與VPN安全網(wǎng)關性能與擴展性為Soho級辦公到數(shù)據(jù)中心應用提供集成的安全網(wǎng)關解決方案多安全服務集成平臺(防火墻/VPN&IPS)NewNewNewNewASA5505

(150Mbps,4Kcps)ASA5540

(650Mbps,25Kcps)ASA5520

(450Mbps,12Kcps)ASA5510

(300Mbps,9Kcps)ASA5585SSP-20

(10Gbps,125Kcps)ASA5585SSP-40

(20Gbps,200Kcps)ASA5585SSP-60

(35Gbps,350Kcps)ASA5585SSP-10(4Gbps,50Kcps)ASA5550

(1.2Gbps,36Kcps)ASA5580-20

(10Gbps,90Kcps)ASA5580-40(20Gbps,150Kcps)新產(chǎn)品ASA5585防火墻功能訂購指南業(yè)界最強的2U多功能安全設備----ASA5585

CiscoASA5585-X防火墻是專門為數(shù)據(jù)中心關鍵業(yè)務所設計，它具備出眾的靈活性和安全性。

在無邊界網(wǎng)絡安全架構中，除了要求具備高的吞吐能力(Throughput)外，連接建立速度（ConnectionPerSecond）、總連接數(shù)（ConcurrentSession）、物理空間占用及設備功耗均成為用戶采購防火墻產(chǎn)品的重要評價指標。

ASA5585-X極大的提高了VPN的會話數(shù)，吞吐量，以及連接速度和系統(tǒng)容量，滿足了當前不斷變化的企業(yè)環(huán)境中。

對于使用個人電腦與智能終端等移動平臺進行移動辦公的企業(yè)而言，ASA5585-X支持基于客戶端(fulltunnel)與無客戶端的遠程訪問VPN，通過集成IPS系統(tǒng)和Web安全防護系統(tǒng)與基于Always-on特性的VPN遠程訪問，實現(xiàn)對移動辦公方案的最大安全保護(SecureMobility)，員工工作效率得以大提高。

與大多數(shù)安全產(chǎn)品供應商強迫用戶要么選擇高端防火墻，要么選擇獨立的IPS設備所不同的是，思科把業(yè)界證明最成功的防火墻與最高效的硬件IPS系統(tǒng)集成于單一硬件平臺，提供了強大、高效的安全解決方案，實現(xiàn)全面可靠的保護。ASA5585-10訂購指南產(chǎn)品描述產(chǎn)品編號價格(CPL)

備注CiscoASA5585-X防火墻版SSP-10組合(包含8個千兆以太網(wǎng)電口,2個千兆以太網(wǎng)SFP接口,2個千兆管理口(電口)。提供5000個IPsecVPN連接許可證。2個SSLVPN連接許可證證2個PhoneProxy連接許可證，DES加密許可證。ASA5585-S10-K8

89985.00CiscoASA5585-X防火墻版SSP-10組合(包含8個千兆以太網(wǎng)電口,2個千兆以太網(wǎng)SFP接口,2個千兆管理口(電口)。提供5000個IPsecVPN連接許可證。2個SSLVPN連接許可證證2個PhoneProxy連接許可證，DES/3DES加密許可證。ASA5585-S10-K9

89985.00CiscoASA5585-X增強型防火墻版SSP-10組合(包含8個千兆以太網(wǎng)電口,2個萬兆以太網(wǎng)SFP+2個千兆管理口(電口)。提供5000個IPsecVPN連接許可證。2個SSLVPN連接許可證證。2個PhoneProxy連接許可證，2個交流電源，DES/3DES加密許可證。ASA5585-S10X-K9119985.00ASA5585-10

技術指標接口配置防火墻吞吐量(Mbps)并發(fā)連接(最大)新建連接(每秒)包轉發(fā)率(64字節(jié))VLAN數(shù)(最大)虛墻數(shù)(最大)VPN吞吐量(3DES/AESMbps)

最大VPN隧道數(shù)(SitetoSite/遠程訪問)最大SSLVPN并發(fā)用戶數(shù)IPS吞吐量(Mbps)8個千兆以太網(wǎng)電口2個千/萬兆以太網(wǎng)SFP接口2個千兆管理口(電口)2Gbps(多協(xié)議)

4Gbps(大包)

1000000500001,500,0001024100100010000

10000

2000ASA5585-20訂購指南產(chǎn)品描述產(chǎn)品編號價格(CPL)

備注CiscoASA5585-X防火墻版SSP-20組合(包含8個千兆以太網(wǎng)電口、2個千兆以太網(wǎng)SFP接口、

2個千兆管理口(電口)、提供10000個IPsecVPN連接許可證、2個SSLVPN連接許可證證、2個PhoneProxy連接許可證、DES加密許可證。ASA5585-S20-K8179,985.00

CiscoASA5585-X防火墻版SSP-20組合(包含8個千兆以太網(wǎng)電口、2個千兆以太網(wǎng)SFP接口、2個千兆管理口(電口)、提供10000個IPsecVPN連接許可證、2個SSLVPN連接許可證證、2個PhoneProxy連接許可證、DES/3DES加密許可證。ASA5585-S20-K9

179,985.00

CiscoASA5585-X增強型防火墻版SSP-20組合(包含8個千兆以太網(wǎng)電口、2個萬兆以太網(wǎng)SFP+

接口、2個千兆管理口(電口)、提供10000個IPsecVPN連接許可證、2個SSLVPN連接許可證證、2個PhoneProxy連接許可證、2個交流電源、DES/3DES加密許可證。ASA5585-S20X-K9

279,980.00

ASA5585-20

技術指標接口配置防火墻吞吐量(Mbps)并發(fā)連接(最大)新建連接(每秒)包轉發(fā)率(64字節(jié))VLAN數(shù)(最大)虛墻數(shù)(最大)VPN吞吐量(3DES/AESMbps)

最大VPN隧道數(shù)(SitetoSite/遠程訪問)最大SSLVPN并發(fā)用戶數(shù)IPS吞吐量(Mbps)8個千兆以太網(wǎng)電口2個千/萬兆以太網(wǎng)SFP接口2個千兆管理口(電口)5Gbps(多協(xié)議)

10Gbps(大包)

20000001250003,000,0001024250200010000

10000

3000ASA5585-40訂購指南產(chǎn)品編號產(chǎn)品編號價格(CPL)

備注CiscoASA5585-X防火墻版SSP-40組合(包含6個千兆以太網(wǎng)電口、4個萬兆以太網(wǎng)SFP+接口、

2個千兆管理口(電口)、提供10000個IPsecVPN連接許可證、2個SSLVPN連接許可證證、2個PhoneProxy連接許可證、DES加密許可證。ASA5585-S40-K841985.00CiscoASA5585-X防火墻版SSP-40組合(包含6個千兆以太網(wǎng)電口、4個萬兆以太網(wǎng)SFP+接口、2個千兆管理口(電口)、提供10000個IPsecVPN連接許可證、2個SSLVPN連接許可證證、2個PhoneProxy連接許可證、DES/3DES加密許可證。ASA5585-S40-K941985.00CiscoASA5585-X防火墻版SSP-40組合(包含6個千兆以太網(wǎng)電口,4個萬兆以太網(wǎng)SFP+接口,2個千兆管理口(電口)。提供10000個IPsecVPN連接許可證。2個SSLVPN連接許可證證。2個PhoneProxy連接許可證，2個交流電源，3DES/DES加密許可證ASA5585-S40-2A-K9425985.00ASA5585-40

技術指標接口配置防火墻吞吐量(Mbps)并發(fā)連接(最大)新建連接(每秒)包轉發(fā)率(64字節(jié))VLAN數(shù)(最大)虛墻數(shù)(最大)VPN吞吐量(3DES/AESMbps)

最大VPN隧道數(shù)(SitetoSite/遠程訪問)最大SSLVPN并發(fā)用戶數(shù)IPS吞吐量(Mbps)6個千兆以太網(wǎng)電口4個千/萬兆以太網(wǎng)SFP接口2個千兆管理口(電口)10Gbps(多協(xié)議)

20Gbps(大包)

40000002000005,000,0001024250300010000

10000

5000ASA5585-60訂購指南接口配置防火墻吞吐量(Mbps)并發(fā)連接(最大)新建連接(每秒)包轉發(fā)率(64字節(jié))VLAN數(shù)(最大)虛墻數(shù)(最大)VPN吞吐量(3DES/AESMbps)

最大VPN隧道數(shù)(SitetoSite/遠程訪問)最大SSLVPN并發(fā)用戶數(shù)IPS吞吐量(Mbps)6個千兆以太網(wǎng)電口4個千/萬兆以太網(wǎng)SFP接口2個千兆管理口(電口)20Gbps(多協(xié)議)

35Gbps(大包)

80000003500009,000,0001024250500010000

10000

10000產(chǎn)品編號產(chǎn)品編號價格(CPL)

備注CiscoASA5585-X防火墻版SSP-60組合(包含6個千兆以太網(wǎng)電口,4個萬兆以太網(wǎng)SFP+接口2個千兆管理口(電口)。提供10000個IPsecVPN連接許可證。2個SSLVPN連接許可證證2個PhoneProxy連接許可證，2個交流電源，DES加密許可證。ASA5585-S60-2A-K8674,985.00CiscoASA5585-X防火墻版SSP-60組合(包含6個千兆以太網(wǎng)電口,4個萬兆以太網(wǎng)SFP+接口2個千兆管理口(電口)。提供10000個IPsecVPN連接許可證。2個SSLVPN連接許可證證2個PhoneProxy連接許可證，2個交流電源，3DES/DES加密許可證ASA5585-S60-2A-K9674,985.00ASA5585-60

技術指標思科高端ASA優(yōu)勢示例思科防火墻優(yōu)勢優(yōu)勢之一------虛擬化技術優(yōu)勢之二------集成防火墻/IPSEC&SSLVPN技術優(yōu)勢之三------ASA5585支持高達10Gbps的IPS板卡優(yōu)勢之四------智能防御，動態(tài)阻斷僵尸、木馬優(yōu)勢之五------業(yè)界唯一支持基于Netflow的流量/日志分析優(yōu)勢之六------真正為數(shù)據(jù)中心設計的產(chǎn)品(高集成度低能耗)優(yōu)勢之一------虛擬化技術ASA虛擬防火墻可以與數(shù)據(jù)中心虛擬技術完美結合；利用虛擬防火墻技術實現(xiàn)應用分區(qū)隔離；每個虛擬防火墻資源可動態(tài)調(diào)整；減少安全策略部署時間、簡化管理VMVMVMWebVMVMVMWebApplicationVirtualizedperServiceWeb服務風險等級A應用服務風險等級B數(shù)據(jù)庫服務風險等級

CVMVMVMVMVMVMVMVMVMVMVMVMWeb服務應用服務數(shù)據(jù)庫服務Equivalen