技術丨隨著混合辦公環境的到來,企業防火牆應該如何演進——思科新一代防火牆 Secure Firewall 3100 系列發布

原創 思科聯天下 思科聯天下

混合辦公帶來的 IT 痛點

根據全球著名管理諮詢公司蓋洛普的最新數據,因為疫情和供應鏈的影響,我們的工作環境和模式正在發生根本性的變化。根據受調查企業機構的期望,未來只有 23% 的員工需要完全在現場辦公,24% 的員工可以完全遠程辦公,53% 的員工將在居家工作和辦公室工作之間自由分配時間。

這種混合化的勞動力模型為雇主和僱員都帶來了好處——包括更大的靈活性和生產力。但是,新的 IT 建設挑戰也應運而生,例如,因為增加視頻和音頻會議而催生的高性能遠程訪問能力的需求,以及遠程接入辦公產生的安全驗證和合規審計的需求。

目前,企業防火牆作為網絡安全的基石,在大中小企業機構中廣泛部署。但是許多現存的設備並非專門為混合辦公所需的性能和功能而設計。許多設備無法確保提供完整的下一代防火牆功能棧,也無法在解密和安全過濾功能開啟時,提供低延時高性能的 Internet 吞吐能力。

隨著安全接入的混合化和碎片化,企業安全防火牆正在面臨前所未有的壓力,一方面需要提升員工接入訪問的網絡體驗,一方面又需要確保完整的安全合規性,而這兩點訴求通常難以統籌兼顧。在現實場景中,顧此失彼的情況不斷出現,許多人在進行視頻通話時會遇到音頻質量很差,或者視頻連接中斷的情況。卡頓的視頻會議、複雜到令人抓狂的身份驗證、層出不窮的數據洩露、網絡攻擊等問題早已屢見不鮮。

滿足混合場景需求的防火牆平台

企業機構現在可以藉助思科全新的 Secure Firewall 3100 系列提高性能和安全性,並獲得更大的靈活性以適應業務增長,應對混合辦公帶來的挑戰。

▲ 图1:思科 Secure Firewall 3100 系列

思科 Secure Firewall 3100 系列利用自動化和集成實現低接觸配置,簡化 IT 管理員的管理並讓他們了解防火牆性能和安全性。此外,該設備旨在通過其集群功能提供快速的 ROI 和可擴展性。思科高級產品營銷經理 Nazmul Rajib 表示:“思科 Secure Firewall 3100 系列平台最多支持八個防火牆設備添加到集群中。您可以從一兩個防火牆設備開始,隨著企業業務的增長,只需將更多設備添加進來。”

重要的是,新的防火牆系列在不降低網絡流量性能的情況下提高了安全性。思科 Secure Firewall 3100 系列默認搭載的是下一代 IPS 引擎 Snort 3,Snort 軟件系統通過全新的多線程架構和發布/訂閱的事件模型,能夠同時提高威脅處理的效率和檢測能力。

企業更新面向新型混合架構的防火牆,優異的性能擴容空間和性價比是基礎。在下圖 2 的對比中,我們可以看見 3100 系列對比傳統的思科 2100 中端系列和 4100 高端系列,安全和加密處理性能均有大幅度提升,而圖中選擇對應的型號,價格均保持在同一區間。 3100 系列作為新一代產品系列,無疑是 2100、4100 產品檔次序列的堅實補充和升級。

▲ 图2:思科 Secure Firewall 3100 与 2100,4100 防火墙的对比

Secure Firewall 3100 系列帶來的革新優勢不僅於此。

在傳統的交換矩陣和 x86 CPU 之間,思科添加了全新定制的 FPGA 芯片。它不僅實現了下一代(並且是獲得專利的行業首創!)流卸載引擎,可實現快速的單流吞吐量和高性能計算級延遲,而且它還提供了另一個行業首創的跨 IPsec 和 TLS(DTLS)安全專用通道加密加速能力。 3100 系列可以在 FGPA 硬件中直接解密和加密隧道流量,而不必依賴主系統總線或消耗寶貴的 x86 CPU 計算週期。在混合辦公浪潮中,通過這款革命性的產品,數倍地提升了中端防火牆網關的安全專用通道吞吐能力,順應了企業分支全互聯和遠程移動接入的要求。

通過強化的硬件,帶來更好的體驗

硬件平台的提升,本質是為了支撐上層更加豐富的應用場景。

思科 Secure Firewall 3100 搭載的是全新的 FTD 7.X 操作系統,以及業界領先的下一代 IPS 引擎 Snort 3.0,通過上百餘項新功能和特性優化的引入,確保混合場景下,不同用戶對網絡和安全不同的接入要求。

▲ 圖3:思科 Secure Firewall 3100 使用場景

如圖 3 所示,思科 Secure Firewall 3100 系列平台和新的軟件系統,將顯著幫助以下的使用場景:

互聯網邊界防火牆 —— Talos 威脅情報提供信譽檢測,和集成用戶身份驗證的訪問策略。

數據中心 —— 最大 8 個設備組成的高彈性處理集群,以及租戶邏輯隔離的多實例特性。

多分支 —— 低接觸集中快速上線,站到站安全專用通道自動部署。

混合雲 —— 支持對接混合雲平台,支持雲組件原生集成和雲平台 API 動態對接,實現智能安全聯動和南北東西全向檢查。

下一代 IPS —— 全新檢測架構的 IPS 系統,文件深度安全分析功能,TLS 解密加速卸載。

遠程接入訪問 —— 安全專用通道接入負載,動態身份驗證,態勢合規監測和 CoA,基於應用的隧道分離。

混合辦公,正在逐漸成為企業數字化成熟度的重要標尺。企業 IT 的網絡承載和安全防護能力將會成為重中之重,思科在這樣的時代背景下發布 Secure Firewall 3100,為用戶提供了面向未來的新一代防火牆安全平台。