Flagowy firewall Cisco – Cisco ASA (Adaptive Security Appliance) i technologia Cisco FirePOWER (w wyniku przejęcia firmy Source Fire przez Cisco w 2013 roku) dały podstawę do powstania linii produktów „zapory nowej generacji” w portfolio Cisco: ASA Usługi FirePOWER. Ta zapora ogniowa nowej generacji składa się z powszechnie znanego systemu operacyjnego ASA-OS i modułu oprogramowania (SFR), który obsługuje główne funkcje „nowej generacji”, takie jak kontrola aplikacji, ochrona przed włamaniami, ochrona przed złośliwym oprogramowaniem i filtrowanie adresów URL.
W połączeniu z funkcjami nowej generacji, Cisco oferuje odpowiednie licencje, w rzeczywistości podobne do innych dostawców, gdzie licencjonowanie odbywa się w oparciu o funkcjonalność zapory ogniowej (więcej informacji na temat licencji innych dostawców można przeczytać tutaj). W ASA FirePOWER dostępne są następujące licencje:
Oprócz licencji opisanych powyżej sam ASA OS jest również licencjonowany na dotychczasowym poziomie. To znaczy
Na czerwono widać przepływ ruchu produkcyjnego. Ruch przepływa normalnie od urządzenia do urządzenia pomiędzy zwykłymi interfejsami ASA w oparciu o tablicę routingu (lub PBR). Jednakże wewnętrzne przekierowanie ruchu ASA, które jest realizowane przez Modular Policy Framework (MPF), jest odpowiedzialne za kierowanie ruchu produkcyjnego do modułów FirePOWER (znanych również jako moduł SFR), co jest z założenia opcjonalne, ale oczywiście niezbędne, aby funkcje zapory nowej generacji mogły przejąć efekt.
To przekierowanie ruchu odbywa się w obrębie wewnętrznego interfejsu ASA łączącego płaszczyznę danych ASA i płaszczyznę modułu SFR. Ruch kierowany do modułu SFR jest sprawdzany w różnych warunkach i podejmowane są działania zgodnie ze skonfigurowanymi politykami. Te zasady, zwane zasadami kontroli dostępu, są z kolei konfigurowane ze stacji zarządzania zwanej Centrum zarządzania siłą ognia (FMC), z którą synchronizowane są wszystkie moduły. FMC może być zarówno maszyną wirtualną, jak i urządzeniem fizycznym. Czarne linie przedstawiają ruch związany z zarządzaniem siłą ognia z FMC do czujników i od czujników do FMC. Ta czarna linia to zazwyczaj jakiś segment zarządzania w sieci. Projektując FirePOWER w swojej sieci, musisz pamiętać, że czujniki używają segmentu mgmt do logowania do FMC, a FMC używa mgmt do monitorowania czujników, pobierania danych i konfiguracji push. Oznacza to, że tę część sieci można by w jakiś sposób wykorzystać, zwłaszcza do rejestrowania ruchu.