具备 FirePOWER 服务的 Cisco ASA 防火墙
了解业内首款注重威胁防护的自适应下一代防火墙 (NGFW)。该款产品专为威胁和高级
恶意软件防护的新纪元而设计。具备 FirePOWER 服务的 Cisco ® ASA 防火墙可在攻击
前、攻击中和攻击后的整个攻击过程中提供集成的威胁防御。为什么呢？ 将 Cisco
ASA 防火墙经验证的安全功能与业界领先的 Sourcefire ® 威胁和高级恶意软件防护
(AMP) 功能结合到单个设备中。该解决方案独创性地扩展了 Cisco ASA 5500-X 系列下
一代防火墙的功能，远非目前其他 NGFW 解决方案所能企及。无论是小型或中型企
业，还是分布式企业或单个数据中心需要保护，具备 FirePOWER 服务的 Cisco ® ASA
可以在 NGFW 解决方案中提供所需的规模和环境。
一流的多层防护
具备 FirePOWER 服务的 Cisco ASA 将独特的、注重威胁防护的下一代安全服务带到 Cisco ASA 5500-X 系列下一
代防火墙及 Cisco ASA 5585-X 自适应安全设备防火墙之中。它可针对已知的高级威胁提供综合防护，包括对针对性
恶意软件攻击与持续性恶意软件攻击的防护（图 1）。Cisco ASA 是全世界部署广泛的企业级状态防火墙。具备
FirePOWER 服务的 Cisco ASA 具有以下综合功能：
●  站点到站点和远程接入 VPN 以及高级群集可提供高安全性、高性能访问和高可用性，以确保业务连续性。
●  精细的应用可视性与可控性 (AVC) 支持超过 3000 项基于应用层和风险的控制，这些控制可调用定制的入侵
防御系统 (IPS) 威胁检测策略，从而优化安全效力。
●  业内领先的具备 FirePOWER 下一代 IPS (NGIPS) 的 Cisco ASA 可提供高效的威胁防护以及对用户、基础设
施、应用及内容的完全情景感知，从而能够检测多途径威胁并实现防御响应的自动化。
●  基于信誉和类别的 URL 过滤功能可提供针对可疑网络流量的综合报警和控制功能，并可对超过 80 个种类中
的数亿个 URL 执行策略。
●  AMP 可提供业内领先的漏洞检测效力、低总拥有成本及一流的保护价值，从而帮助您发现、了解并制止其他
安全层遗漏的恶意软件和新兴威胁。
图 1. 具备 FirePOWER 服务的 Cisco ASA ：关键安全功能

 

前所未有的网络可视性
具备 FirePOWER 服务的 Cisco ASA 防火墙可通过 Cisco FireSIGHT 管理中心进行集中管理，可为安全团队提供对
网络中活动的全面可视性与可控性。此类可视性包括用户、设备、虚拟机之间的通信、漏洞、威胁、客户端应用、
文件和网站。整体的可执行危害表现 (IoC) 与详细的网络和终端设备事件信息相关联，可提供针对恶意软件感染的进
一步可视性。通过对整个 NGFW 部署无可匹敌的可视性与可控性，思科的企业级管理工具可帮助管理员降低复杂
性。Cisco FireSIGHT 管理中心还可提供包含恶意软件文件轨迹的内容感知功能，可帮助确定感染范围并确定根本原
因，从而加快补救速度。
思科安全管理器可提供可扩展的集中网络运营工作流管理。在使用 Cisco FireSIGHT 管理中心时，该管理器集成了
一整套强大的功能，包括策略和对象管理、事件管理、报告以及针对 Cisco ASA 防火墙功能的故障排除。
对于包括中小型企业部署的本地 On-Device 管理，思科自适应安全设备管理器 (ASDM) 7.3.x 提供访问控制和高级威
胁防御管理。ASDM V 7.3.x 提供了增强型用户界面，可快速查看相关趋势并可细分以进行进一步分析。
图 2.

 更低的成本和复杂性
具备 FirePOWER 服务的 Cisco ASA 采用集成的防范进行威胁防御，从而降低了资本和运营成本以及管理复杂性。
它可以流畅地与现有 IT 环境、工作流和网络交换矩阵相集成。该设备系列具有高度可扩展性，速度可达多千
兆，并能在物理和虚拟环境中的分支机构、互联网边缘和数据中心之间实现统一、强劲的安全防护。
借助 Cisco FireSIGHT 管理中心，管理员可简化运营，以关联威胁、评估其影响、自动化调整安全策略并轻松地将
用户身份归于安全事件。Cisco FireSIGHT 管理中心可持续监控网络的实时变化。它能够自动评估新威胁，以确定哪
些威胁会对您的企业造成影响。然后，它能够重点围绕补救做出响应，并根据威胁变化的状况改变网络防御措施。
它还能自动执行策略调整等关键安全活动，为您节省时间和精力，并确保防御和应对措施始终处于优化状态。

Cisco FireSIGHT 管理中心可通过 eStreamer API 轻松地与第三方安全解决方案相集成，从而简化运营工作流并匹配
现有的网络交换矩阵。
表 1 重点说明了具备 FirePOWER 服务的 Cisco ASA 的一流功能和优势。
     具备 FirePOWER 服务的 Cisco ASA 的功能和优势

 产品性能和规格
 

表2详细说明了用于 Cisco ASA 5500-X 系列的具备 FirePOWER 服务的 Cisco ASA 的 NGFW 功能和容量。
具备 FirePOWER 服务的 Cisco ASA 5500-X

 

表 3 比较了不同的 ASA 5500-X 系列下一代防火墙（适合在小型办公场所、分支机构场所和互联网边缘进行部署）
的特性和功能。
Cisco ASA 5500-X 系列下一代防火墙 

2 多协议 = 主要包含基于 TCP 的协议/应用（如 HTTP、SMTP、FTP、IMAPv4、BitTorrent 和 DNS）的流量配置文件。
3 PN 吞吐量和会话数取决于 ASA 设备配置和 VPN 流量模式。在进行容量规划时，这些因素应当考虑在内。
4 单独许可的特性；其中两个 SSL 许可证带有基础系统。
5 更高的规范与 Security Plus 许可证相关联。
6 可用空间取决于系统软件。
7 海拔每上升 1000 英尺，高操作温度降低 1.5°C。
硬件产品性能和规格
表 4 对比了具备 Cisco FirePOWER 安全服务处理器 (SSP) 10、20、40 和 60 硬件刀片的 Cisco ASA。
具备 FirePOWER 服务硬件刀片的 Cisco ASA 5585-X 的功能和容量

 

 

 平台支持/兼容性
具备 FirePOWER 服务的 Cisco ASA 包括 Cisco ASA 防火墙、AVC、URL 过滤、NGIPS 和 AMP。这一独特的功能
集可在以下 Cisco ASA 5500-X 系列 NGFW 平台上使用：Cisco ASA 5506-X、5506W-X、5506H-X、5508-X、
5516-X、5512-X、5515-X、5525-X、5545-X、5555-X 以及带有安全服务处理器 SSP-10、SSP-20、SSP-40 和
SSP-60 的 5585-X。
Cisco ASA 5585-X 平台支持 Cisco ASA 5585-X FirePOWER 服务 SSP-10、SSP-20、SSP-40 和 SSP-60 硬件刀
片。Cisco ASA 5585-X SSP-10、SSP-20、SSP-40 和 SSP-60 防火墙需要 Cisco ASA 9.2.2 版及更高版本。运行
Cisco ASA 9.2.2 版及更高版本的 Cisco ASA 5500-X 系列下一代中型安全设备支持具备 FirePOWER 服务的 Cisco
ASA 防火墙。要求使用 Cisco FireSIGHT 管理中心和思科安全管理器管理具备 FirePOWER 服务的 Cisco ASA：
ASA 5512-X、5515-X、5525-X、5545-X、5555-X 以及带有安全服务处理器 SSP-10、SSP-20、SSP-40 和 SSP-
60 的 5585-X。ASDM V 7.3.x 可用于设备上对具备 FirePOWER 服务的 Cisco ASA 5506-X、5506W-X、5506H-
X、5508-X 和 5516-X 的单个实例部署进行管理。
订购信息
要下订单，请访问思科订购主页。表 5 提供了具备 FirePOWER 服务的 Cisco ASA 的订购信息。
具备 FirePOWER 服务的 Cisco ASA 的订购信息
下表包含 Cisco ASA FirePOWER 服务捆绑包 SKU（包括硬件和订用），可提供便利的机制，以在单个 SKU 配置
中订购设备和软件订用。这是推荐的针对订购的配置模式。独立的 AMP 许可证和订用还可用于 升级现有的 TA 或
TAC 订用许可证。请参阅“具备 FirePOWER 服务的 ASA 订购指南”，了解详细信息。

 

详情参考官网：www.cisco.com.cn