思科comodo防火墙

产品手册思科Firepower下一代防火墙思科Firepower下一代防火墙(NGFW)是业内首款专注于威胁防御的下一代防火墙,它将多种功能完全集于一身,采用统一管理,可在攻击前、攻击中和攻击后提供独一无二的高级威胁防护.
阻止更多威胁使用行业领先的思科高级恶意软件防护(AMP)和沙盒技术遏制各种已知和未知恶意软件.
获得更高可视性思科Firepower下一代IPS可对您的环境提供卓越的可视性.
它能自动确定风险评级和影响标记,从而帮助您的团队确定事务优先级.

加快检测和响应速度思科年度安全报告确定各企业的从感染到检测的中值时间为100天.
而思科能够将检测时间缩短至不到一天.
降低复杂性通过紧密集成应用防火墙、NGIPS和AMP等安全功能实现统一管理和自动威胁关联.
让您的网络发挥更多价值选择性地集成其他的思科和第三方网络和安全解决方案,提高安全性和利用现有投资.

性能亮点表1概括列出思科FirepowerNGFW4100系列和9300安全设备及特定思科ASA5500-X设备的性能亮点.
表1.
性能亮点功能思科Firepower型号思科ASA5500-FTD-X型号4110412041404150带1个SM-24模块的9300带1个SM-36模块的9300带1个SM-44模块的9300带3个SM-44模块的93005506-FTD-X5506W-FTD-X5506H-FTD-X5508-FTD-X5516-FTD-X5525-FTD-X5545-FTD-X5555-FTD-X防火墙吞吐量(ASA)35Gbps60Gbps70Gbps75Gbps75Gbps80Gbps80Gbps234Gbps750Mbps750Mbps750Mbps1Gbps1.
8Gbps2Gbps3Gbps4Gbps吞吐量:防火墙+AVC(Firepower威胁防御)112Gbps20Gbps25Gbps30Gbps30Gbps42Gbps54Gbps135Gbps250Mbps250Mbps250Mbps450Mbps850Mbps1100Mbps1500Mbps1750Mbps吞吐量:防火墙+AVC+NGIPS(Firepower威胁防御)110Gbps15Gbps20Gbps24Gbps24Gbps34Gbps53Gbps133Gbps125Mbps125Mbps125Mbps250Mbps450Mbps650Mbps1000Mbps1250Mbps1吞吐量计算基于数据包平均大小为1024字节的HTTP会话.
注:NGFW性能根据网络和流量特性而异.
如在确定合适的产品方面需要帮助,请咨询您的思科代表.
性能可能会随软件更新而发生变化.
2016思科和/或其附属公司.
版权所有.
本文档所含内容为思科公开信息.
第1页,共12页思科Firepower4100系列:业内首款具备40Gbps接口的1RUNGFW思科Firepower9300:超高性能NGFW,可随需求增长而扩展思科ASA5500-X系列:适合分支机构、行业应用和互联网边缘的型号平台支持思科FirepowerNGFW包括应用可视性与可控性(AVC)、可选的Firepower下一代入侵防御系统(NGIPS)、面向网络的思科高级恶意软件防护(AMP),以及URL过滤功能.
思科Firepower4100系列和思科Firepower9300NGFW设备运行思科Firepower威胁防御软件映像.
这些设备还可以支持思科自适应安全设备(ASA)软件映像.
利用思科Firepower管理中心(前身为FireSIGHT),FirepowerNGFW、思科FirepowerNGIPS和面向网络的思科AMP可以实现统一管理.
此外,某些思科Firepower设备上还提供思科自主研发的RadwareVirtualDefensePro(vDP)分布式拒绝服务(DDoS)缓解功能.
思科Firepower4100系列设备思科Firepower4100系列包括4个专注于威胁防御的NGFW安全平台.
它们的最大吞吐量从35Gbps到75Gbps不等,可应对从互联网边缘到数据中心等各种使用案例.
它们可提供卓越的威胁防御能力以及更快的响应速度,同时占用空间却更小.
思科Firepower9300安全设备思科Firepower9300是可扩展的运营商级模块化平台(在集群模式下吞吐量可达1Tbps以上),专用于需要低延迟(负载分流不超过5微秒)和超大吞吐量的环境,例如运营商、高性能计算中心、数据中心、园区、高频交易环境等等.
思科Firepower9300通过RESTfulAPI实现负载分流、编程协调和安全服务管理.
此产品包括兼容网络设备构建标准(NEBS)的型号.
思科ASA5500-FTD-X系列设备思科ASA5500-FTD-X系列包括8个专注于威胁防御的NGFW安全平台.
它们的最大吞吐量从750Mbps到4Gbps不等,可应对从小型办公室或分支机构到互联网边缘等各种使用案例.
这些平台将卓越的威胁防御能力与经济的空间利用率集于一身.
2016思科和/或其附属公司.
版权所有.
本文档所含内容为思科公开信息.
第2页,共12页性能规范和功能亮点表2概括列出思科FirepowerNGFW4100系列和9300设备以及思科ASA5500-FTD-X设备在运行思科Firepower威胁防御软件映像时提供的功能.
表2.
性能2规格以及通过Firepower威胁防御软件映像实现的主要功能功能思科Firepower型号思科ASA5500-FTD-X型号4110412041404150带1个SM-24模块的9300带1个SM-36模块的9300带1个SM-44模块的9300带3个集群SM-44模块的93005506-FTD-X5506W-FTD-X5506H-FTD-X5508-FTD-X5516-FTD-X5525-FTD-X5545-FTD-X5555-FTD-X吞吐量:防火墙+AVC112Gbps20Gbps25Gbps30Gbps30Gbps42Gbps54Gbps135Gbps250Mbps250Mbps250Mbps450Mbps850Mbps1100Mbps1500Mbps1750Mbps吞吐量:AVC+IPS110Gbps15Gbps20Gbps24Gbps24Gbps34Gbps53Gbps90Gbps125Mbps125Mbps125Mbps250Mbps450Mbps650Mbps1000Mbps1250Mbps最大并发会话,带AVC900万1500万2500万3000万3000万3000万3000万6000万500005000050000100000250,000500,000750,0001,000,000每秒最大新连接数,带AVC68,000120,000160,000200,000120,000160,000300,000900,0005,0005,0005,00010,00020,00020,0003000050,000应用可视性与可控性(AVC)标准,支持4000多个应用,以及地理定位、用户和网站AVC:为自定义开放源码应用检测器提供OpenAppID支持标准思科安全情报标准,具有IP、URL和DNS威胁情报思科FirepowerNGIPS适用;可以被动检测终端和基础设施以获得威胁关联和危害表现(IoC)情报面向网络的思科AMP适用;可以检测、阻止、跟踪、分析和遏制有针对性和持续性的恶意软件,轻松应对攻击中和攻击后整个攻击过程.
也可以选择将威胁关联与面向终端的思科AMP集成思科AMPThreatGrid沙盒可用URL过滤:类别数量超过80种URL过滤:分类URL数量2.
8亿以上自动化威胁源和IPS签名更新支持:基于思科Talos团队(http://www.
cisco.
com/c/en/us/products/security/talos.
html)提供的业内领先的综合安全情报(CSI)第三方和开放源生态系统与第三方产品集成的开放式API;面向新威胁和特定威胁的Snort和OpenAppID社区资源集中管理Firepower管理中心执行集中配置、日志记录、监控和报告2016思科和/或其附属公司.
版权所有.
本文档所含内容为思科公开信息.
第3页,共12页功能思科Firepower型号思科ASA5500-FTD-X型号4110412041404150带1个SM-24模块的9300带1个SM-36模块的9300带1个SM-44模块的9300带3个集群SM-44模块的93005506-FTD-X5506W-FTD-X5506H-FTD-X5508-FTD-X5516-FTD-X5525-FTD-X5545-FTD-X5555-FTD-X高可用性和集群主用/备用;思科Firepower9300还支持机箱内集群功能VLAN-最大数量1024思科信任锚技术ASA5506-X、5508-X和5516-X设备,以及Firepower4100系列和9300平台支持信任锚技术,可确保供应链和软件映像的可靠性.
有关更多详情,请见后文.

1吞吐量计算基于数据包平均大小为1024字节的HTTP会话.
2性能将根据激活的功能、网络流量协议组合,以及数据包大小特征而异.
性能可能会随软件更新而发生变化.
如在确定合适的产品方面需要帮助,请咨询您的思科代表.
表3概括列出思科Firepower4100系列和9300设备运行ASA软件映像时的性能和功能.
有关采用ASA映像映像的思科ASA5500-X系列的性能规格,请访问具备FirePOWER服务的思科ASA产品手册.
表3.
ASA性能和功能功能思科Firepower型号4110412041404150带1个SM-24模块的9300带1个SM-36模块的9300带1个SM-44模块的9300带3个SM-44模块的9300状态检测防火墙吞吐量135Gbps60Gbps70Gbps75Gbps75Gbps80Gbps80Gbps234Gbps状态检测防火墙吞吐量(多协议)215Gbps30Gbps40Gbps50Gbps50Gbps60Gbps60Gbps130Gbps并发防火墙连接数1000万1500万2500万3500万5500万6000万6000万7000万防火墙延迟(UDP64b,微秒)3.
53.
53.
53.
53.
53.
53.
53.
5每秒新连接数150,000250,000350,000800,000800,000120万180万400万安全情景数3250250250250250250250250虚拟接口数10241024102410241024102410241024IPsecVPN吞吐量8Gbps10Gbps14Gbps15Gbps15Gbps18Gbps20Gbps60Gbps42016思科和/或其附属公司.
版权所有.
本文档所含内容为思科公开信息.
第4页,共12页功能思科Firepower型号4110412041404150带1个SM-24模块的9300带1个SM-36模块的9300带1个SM-44模块的9300带3个SM-44模块的9300IPsec/思科AnyConnect/Apex站点间VPN对等点数量10,00015,00020,00020,00020,00020,00020,00060,0004VLAN的最大数量10241024102410241024102410241024安全情景(包括;最大值)10;25010;25010;25010;25010;25010;25010;25010;250高可用性主用/主用和主用/备用主用/主用和主用/备用主用/主用和主用/备用主用/主用和主用/备用主用/主用和主用/备用主用/主用和主用/备用主用/主用和主用/备用主用/主用和主用/备用集群最多16个设备最多16个设备最多16个设备最多16个设备最多5个设备,每个设备有3个安全模块最多5个设备,每个设备有3个安全模块最多5个设备,每个设备有3个安全模块最多5个设备,每个设备有3个安全模块可扩展性VPN集群和负载均衡、机箱间集群VPN集群和负载均衡、机箱间集群VPN集群和负载均衡、机箱间集群VPN集群和负载均衡、机箱间集群VPN集群和负载均衡、机箱内部集群、机箱间集群VPN集群和负载均衡、机箱内部集群、机箱间集群VPN集群和负载均衡、机箱间集群VPN集群和负载均衡、机箱内部集群、机箱间集群1吞吐量计算基于理想测试条件下的用户数据报协议(UDP)流量测量结果.
2"多协议"是指主要包含基于TCP协议和应用(如HTTP、SMTP、FTP、IMAPv4、BitTorrent和DNS)的流量配置文件.
3可供防火墙功能集使用.
4在非集群配置下.
硬件规格表4和表5分别概述4100系列9300的硬件规格.
表6概述监管标准合规性.
有关思科ASA5500-X系列的硬件规格,请访问具备FirePOWER服务的思科ASA产品手册.
表4.
思科Firepower4100系列硬件规格功能思科Firepower型号4110412041404150尺寸(长x宽x高)1.
75x16.
89x29.
7英寸(4.
4x42.
9x75.
4厘米)外形(机架单元)1RU安全模块插槽数-I/O模块插槽数2管理引擎思科Firepower4000管理引擎,包含8个万兆以太网端口和2个用于I/O扩展的网络模块(NM)插槽2016思科和/或其附属公司.
版权所有.
本文档所含内容为思科公开信息.
第5页,共12页功能思科Firepower型号4110412041404150网络模块数8个万兆以太网增强型小型封装热插拨(SFP+)网络模块4个40千兆以太网四通道SFP+网络模块注:利用连线故障网络模块,FirePOWER4100系列设备还可以作为专用威胁传感器部署.
有关详细信息,请联系您的思科代表.
最大接口数最多24个万兆以太网(SFP+)接口;最多8个40千兆位以太网接口(QSFP+)接口,带2个网络模块集成网络管理端口数1个千兆以太网铜缆端口串行端口1个RJ-45控制台USB1个USB2.
0存储200GB200GB400GB400GB电源配置单1100WAC电源,可选双1100WAC电源.
可选单/双950WDC电源1,2单1100WAC电源,可选双1100WAC电源.
可选单/双950WDC电源1,2双1100WAC电源1双1100WAC电源1交流输入电压100至240V交流电源最大输入交流电流13A交流最大输出功率1100W交流频率50至60Hz交流效率>92%(50%负载时)直流输入电压-40V至-60VDC直流最大输入电流27A直流最大输出功率950W直流效率>92.
5%(50%负载时)冗余1+1风扇6个热插拔风扇噪音78dBA可否安装机架可以,随附安装导轨(4端口EIA-310-D机架)重量36磅(16千克):2个电源,2个NM,6个风扇;30磅(13.
6千克):无电源,无NM,无风扇温度:工作32至104°F(0至40°C)32至104°F(0至40°C)32至95°F(0至35°C)(海平面)32至95°F(0至35°C)(海平面)温度:非工作-40至149°F(-40至65°C)湿度:工作5%至95%,非冷凝湿度:非工作湿度5%至95%,非冷凝海拔:工作10,000英尺(最大)10,000英尺(最大)海拔:非工作40,000英尺(最大)1双电源支持热插拔.
2预计在2016年下半年,思科Firepower4110和4120将能够支持DC电源选项.
表5.
思科Firepower9300硬件规格规格说明尺寸(长x宽x高)5.
25x17.
5x32英寸(13.
3x44.
5x81.
3厘米)外形3个支架单元(3RU),适用于标准的19英寸(48.
3厘米)方孔机架2016思科和/或其附属公司.
版权所有.
本文档所含内容为思科公开信息.
第6页,共12页规格说明安全模块插槽数3网络模块插槽数2个(在管理引擎内)管理引擎思科Firepower9000管理引擎,包含8个万兆以太网端口和2个用于I/O扩展的网络模块插槽安全模块数在RAID-1配置下,思科Firepower9000具有24个安全模块和2个SSD在RAID-1配置下,思科Firepower9000具有36个安全模块和2个SSD网络模块数8个万兆以太网增强型小型封装热插拨(SFP+)网络模块4个40千兆以太网四通道SFP+网络模块2个100千兆以太网四通道SFP28网络模块(双宽,占用两个网络模块槽位)注:利用连线故障网络模块,FirePOWER9300还可以作为专用威胁传感器部署.
有关详细信息,请联系您的思科代表.
最大接口数最多24个万兆以太网(SFP+)接口;最多8个40千兆位以太网接口(QSFP+)接口,带2个网络模块集成网络管理端口数1个千兆以太网铜缆端口(在管理引擎中)串行端口1个RJ-45控制台USB1个USB2.
0存储每个机箱最多2.
4TB(在RAID-1配置中,每个安全模块800GB)电源交流电源-48V直流电源输入电压200至240V交流电源-40V至-60VDC*最大输入电流15.
5A-12.
9A69A-42A最大输出功率2500W2500W频率50至60Hz-效率(50%负载)92%92%冗余1+1风扇4个热插拔风扇噪音在最大风扇速度下为75.
5dBA可否安装机架可以,随附安装导轨(4端口EIA-310-D机架)重量带一个安全模块时重量为105磅(47.
7千克);完全配置时重量为135磅(61.
2千克)温度:标准工作SM-24模块:10,000英尺(3000米)以下-32至104°F(0至40°C)SM-36模块:海平面-32至88°F(0至35°C)海拔调整注意事项:对于SM-36,最高温度为35C,每高于海平面1000英尺,减去1C温度:NEBS工作温度长期工作:6000英尺(1829米)以下-0到45°C长期工作:6000-13000英尺(1829-3964米)-0到35°C短期工作:6000英尺(1829米)以下--5至55°C注:Firepower9300NEBS合规性仅适用于SM-24配置温度:非工作-40至149°F(-40至65°C);最高海拔为40,000英尺湿度:工作5%至95%,非冷凝湿度:非工作湿度5%至95%,非冷凝海拔:工作SM-24:0至13,000英尺(3962米)SM-36:0至10,000英尺(3048米);有关海拔高度对工作温度的影响,请参阅上文的"工作温度"部分海拔:非工作40,000英尺(12,192米)*最低开启电压为-44VDC2016思科和/或其附属公司.
版权所有.
本文档所含内容为思科公开信息.
第7页,共12页表6.
思科Firepower4100系列和思科Firepower9300的NEBS、法规、安全和EMC合规性规格说明NEBS采用SM-24安全模块的思科Firepower9300符合NEBS合规性根据2004/108/EC和2006/108/EC指令,产品应符合CE标记安全性UL60950-1CAN/CSA-C22.
2No.
60950-1EN60950-1IEC60950-1AS/NZS60950-1GB4943EMC:排放47CFR第15部分(CFR47)A类(FCCA类)AS/NZSCISPR22A类CISPR22A类EN55022A类ICES003A类VCCIA类EN61000-3-2EN61000-3-3KN22A类CNS13438A类EN300386TCVN7189EMC:抗扰性EN55024CISPR24EN300386KN24TVCN7317思科信任锚技术思科信任锚技术为某些思科产品提供高度安全的基础.
此技术可保障硬件和软件的真实性,有助于建立供应链信任,并大幅缓解软件和固件中间人攻击.
信任锚功能包括:映像签名:密码签名的映像可确保固件、BIOS及其他软件真实可靠、未经修改.
在系统启动时,此功能会检查系统软件签名的完整性.
安全启动:无论用户的权限级别为何,安全启动会将启动顺序信任链锚定到不变的硬件上,从而缓解对系统基本状态和所要加载的软件的威胁.
此功能可针对持续的非法固件修改提供分层防护.

信任锚模块:这是一项采用防篡改和强加密技术的单一芯片解决方案,可提供硬件真实性保证,实现产品的唯一标识,以便思科能够确认其来源,确保该产品真实可靠.
2016思科和/或其附属公司.
版权所有.
本文档所含内容为思科公开信息.
第8页,共12页RadwareVirtualDefenseProDDoS攻击缓解功能运行ASA软件映像的思科Firepower4120、4140、4150和9300可提供由思科研发和支持的RadwareVirtualDefensePro(vDP)DDoS攻击缓解功能.
我们计划今后在运行Firepower威胁防御软件映像的上述平台上也提供此功能.
Radware的DefenseProDDoS攻击缓解功能是一项屡获殊荣的实时边界攻击缓解解决方案,旨在保护组织免受新型网络和应用威胁攻击.
它可以保护应用基础设施不会发生网络和应用中断(或者减速),帮助组织防范可用性攻击,持续打赢安全保卫战.
RadwareDDoS攻击缓解:保护集RadwareDDoS攻击缓解包含受专利保护的、基于行为的自适应实时签名技术,该技术实时检测和缓解零日网络和应用DDoS攻击.
它消除了人为干预的需求,在受到攻击时不阻止合法用户流量.
系统检测并缓解了以下攻击:SYN泛洪攻击网络DDoS攻击,包括IP泛洪、ICMP泛洪、TCP泛洪、UDP泛洪和IGMP泛洪应用DDoS攻击,包括HTTP泛洪和DNS查询泛洪异常泛洪攻击,例如非标准和畸形数据包攻击性能表7提供配备单个(SM-24或SM-36)安全模块的思科Firepower9300的性能数据.
表7.
思科Firepower9300的主要DDoS性能指标参数值最大攻击缓解容量/吞吐量10Gbps(具备三个安全模块时为30Gbps)最大合法并发会话数每秒140,000个连接(CPS)最大DDoS泛洪攻击防御率1,200,000个数据包/每秒(PPS)订购信息思科智能许可思科FirePOWERNGFW随思科智能许可一同销售.
思科了解,购买、部署、管理和跟踪软件许可证很复杂.

因此,我们推出了思科智能软件许可,它是一款标准化的许可平台,可以帮助客户了解如何在整个网络中使用思科软件,从而降低管理开销和运营支出.
使用智能许可,您可以通过一个统一门户全面查看软件、许可证和设备.
您可以在诸如硬件平台之间轻松注册和激活以及转换许可证.
有关更多信息,请参阅:http://www.
cisco.
com/web/ordering/smart-software-licensing/index.
html.
有关智能许可智能帐户的信息,请参阅:http://www.
cisco.
com/web/ordering/smart-software-manager/smart-accounts.
html.
2016思科和/或其附属公司.
版权所有.
本文档所含内容为思科公开信息.
第9页,共12页思科智能网络支持服务:通过随时获取思科专业知识和思科资源快速解决问题思科智能网络支持服务是屡获殊荣的技术支持服务,IT员工可以随时直接联系技术支持中心(TAC)工程师并访问Cisco.
com资源.
您可以收到快速、专业的答复以及解决严重网络问题所需的特别说明.