(竞争分析篇之FWSM）实现安全域划分 思科对应产品解决方案 设计思想分析

network

(竞争分析篇之FWSM）实现安全域划分 思科对应产品解决方案 设计思想分析


安全域划分度身定做的产品FWSM：

战略理念：安全域隔离系统之五层划分法：
1、物理上隔离： 即支持足够种类与数量的物理端口划开Zone（SPF，GE，FE,GBIC )；   Sup Engine
2、逻辑上隔离： 即支持Virtuall Firewall 功能 ，同一物理口上可逻辑上划开Zone；           FWSM
3、策略上隔离： 即支持足够的策略数在不同的安全Zone 之间，策略上划开服务Zone；    FWSM
4、应用上隔离： 即支持应用的DPI，能够区分出流量内容，控制Zone之间的业务；           IDSM
5、准入上隔离： 即支持网络准入控制，系统能够根据接入端点的系统安全状况，接入不同等级的Zone； NAC实现策略：

  策略一： 安全域核心隔离系统 (  Cat6K ＋ FWSM ＋ IDSM ＋ NAC )   首推客户核心隔离，集中控管
  策略二:    安全域透明隔离系统  （ASA5500 + AIP-SSM   ＋MARS）   L2即插即用无需改变配置

售前分析 思科防火墙模块架构及优势！！！
FWSM 竞争分析：

战略定位：领导高端防火墙发展趋势
1．        协作式安全、槽位化、模块化趋势
5年前，网络的安全边界是防火墙。遇到安全需求，放一个防火墙在那里。但今天网络安全已没有边界。有来自外部的安全威胁，有来自内部的安全威胁。你无法定义边界，办法是通过不同层次的协作式安全解决方案。也就是能够整合交换技术、防火墙技术、VPN技术、防DDoS攻击技术、IPS/IDS技术、防病毒技术于一体，使用多层次的协作式防护来保证网络的安全。基于这个设计思路，思科很早就推出了6500高端防火墙产品，它不仅支持强大的防火墙功能，还可以通过模块化技术集成VPN、防DDoS攻击和IDS等技术，真正体现了高端安全产品的发展趋势。
其它厂商也看到了这个趋势，但它们不具备向思科一样的网络端到端的产品和强大的产品创新能力，无法推出令用户满意的产品，没有受到市场的追捧。如Netscreen没有二层交换技术，而在有高端防火墙需求的地方必然有高端交换机的存在，所以高端防火墙呈现高吞吐量，高端口密度，与核心交换网络紧密结合，并应具备足够的可扩展性和灵活性的特点。这就使Netscreen始终无法做到将安全与网络完美的融合，所以只能局限于单纯防火墙市场的定位。另外一个厂家Crossbeam跟从了这个趋势，学习了思科的设计思路，推出了模块化协作式的安全产品，它是建立在刀片式服务器模块上运行不同厂家的软件来实现的，如Checkpoint防火墙软件，Enterasys的IDS软件，TrendMicro的防病毒软件等，但它的每个模块是一个计算机服务器，而且没有自己的核心技术，在产品的持续发展和技术支持方面，存在很大隐患。
所以只有思科可以做到整合自己的优势资源，利用思科各个方面的领先技术，持续的创新，为用户提供各种技术融合的专业化的高端防火墙产品，领导网络安全发展的趋势。

2．多NP处理架构
防火墙的硬件实现技术主要有三种：Intel X86架构工控机、ASIC硬件加速技术和NP加速技术。
Intel X86
由于基于X86 体系结构的防火墙受CPU处理能力和PCI总线速度的制约，很难满足千兆防火墙高吞吐量、低时延的要求。在实际应用中，尤其在小包情况下，这种结构的千兆 防火墙达不到千兆的转发速度，难以满足千兆骨干网络的应用要求。
ASIC
采用ASIC技术可以为防火墙应用设计专门的数据包处理流水线，优化存储器等资源的利用，满足千兆环境骨干级应用的技术方案。但ASIC技术开发成本高、开发周期长且难度大，而且对新功能的实施周期长，典型设计周期18个，很不灵活。纯硬件的ASIC防火墙缺乏可编程性，这就使得它缺乏灵活性，跟不上当今防火墙功能的快速发展。Netscreen是采用该技术的代表厂家。AISC应用级检测能力局限大：标准功能无法进行深层检测，无法识别攻击变种。深度检测技术对性能影响太大，如Netscreen 5400标称性能为防火墙吞吐量12G, 深度检测性能为375M。
NP
NP（网络处理器）采用微码编程，是专门为进行网络分组处理而开发的，具有优化的体系结构和指令集，所以比X86 CPU和ASIC具备更高的处理性能。而且NP有专门的指令集和配套的软件开发系统，具有很强的编程能力，能够方便地开发各种应用，支持可扩展的服务，因而也比ASIC更具灵活性，是未来高端防火墙的发展趋势。
基于NP网络处理器架构的防火墙与基于通用CPU架构的防火墙相比，在性能上可以得到很大的提高。网络处理器能弥补通用CPU架构性能的不足，同时又 不需要具备开发基于ASIC技术的防火墙所需要的大量资金和技术积累，目前各个国内外厂家为了保证其产品的开发更新成本，已经越来越多考虑NP体系结构。成为实现高端千兆防火墙的最优选择。思科公司的6500高端千兆防火墙就采用NP加速技术，单板性能高达5.5G，可扩展到4个板20G。

思科6500高端防火墙优势
1．Cisco的 6500高端防火墙可以说是业界性能最高的防火墙产品，它的所有模块都直接与交换矩阵直接相连，彻底突破了传统防火墙需要通过GE/FE链路互连的带宽瓶颈。每一个安全模块的吞吐量可以达到 5GB。在一个机箱当中可以承载多达四个安全模块，总体的处理带宽最高可达 20GB。
2．Cisco 的 6500高端防火墙优势还在于其具有充足的物理接口数量和类型，对各种流量进行物理的隔离以及为端口划分不同的安全等级，真正满足用户需求。
3．多NP处理架构在保证高性能的同时，新功能的支持和改进周期很短，如对多种语音和视频服务的支持，完全符合市场的需求，使您的网络成为一个安全的多服务网络。
4．通常防火墙可以通过加大内存的方式来保存连接状态，从而获得较高的最大连接数。但实际更重要的是每秒新建连接数，这个参数越高说明设备整体处理能力越强。高端产品位于网络核心，当受到DDoS攻击时，短时间内会有大量的新建连接，此项参数高的设备将具有更强的抗攻击能力。Cisco的 6500高端防火墙支持高达10万每秒的新连接处理能力。
5．防火墙的重要功能是实施安全策略，Cisco 的 6500高端防火墙支持高达8万个安全策略。
6．Cisco 的 6500高端防火墙可以采用虚拟防火墙以及透明防火墙的技术，从而更加有效地支持用户的安全需求。

因此， 思科公司的6500高端防火墙一经面世，就得到用户的信赖，在高端防火墙市场迅速崛起，占据了大量基于ASIC芯片技术的防火墙的市场，而且其发展趋势是越来越好。

wasp