Menu

Region US

Grandmetric LLC
Lewes DE 19958
16192 Coastal Hwy USA
EIN: 98-1615498
+1 302 691 94 10
info@grandmetric.com

Region EMEA

GRANDMETRIC Sp. z o.o.
ul. Metalowa 5, 60-118 Poznań, Poland
NIP 7792433527
+48 61 271 04 43
info@grandmetric.com

UK

Grandmetric LTD
Office 584b
182-184 High Street North
London
E6 2JA
+44 20 3321 5276
info@grandmetric.com

  • en
  • pl
  • Co to jest Cisco FirePOWER?

    Projektowanie i konfigurowanie

    Co to jest Cisco FirePOWER?

    Co to jest Cisco FirePOWER?

    Flagowy firewall Cisco – Cisco ASA (Adaptive Security Appliance) i technologia Cisco FirePOWER (w wyniku przejęcia firmy Source Fire przez Cisco w 2013 roku) dały podstawę do powstania linii produktów „zapory nowej generacji” w portfolio Cisco: ASA Usługi FirePOWER. Ta zapora ogniowa nowej generacji składa się z powszechnie znanego systemu operacyjnego ASA-OS i modułu oprogramowania (SFR), który obsługuje główne funkcje „nowej generacji”, takie jak kontrola aplikacji, ochrona przed włamaniami, ochrona przed złośliwym oprogramowaniem i filtrowanie adresów URL.

     

    Licencja ASA FirePOWER

    W połączeniu z funkcjami nowej generacji, Cisco oferuje odpowiednie licencje, w rzeczywistości podobne do innych dostawców, gdzie licencjonowanie odbywa się w oparciu o funkcjonalność zapory ogniowej (więcej informacji na temat licencji innych dostawców można przeczytać tutaj). W ASA FirePOWER dostępne są następujące licencje:

    • Licencja Kontrolna — umożliwia kontrolę użytkowników i aplikacji poprzez dodanie warunków aplikacji i użytkownika do reguł kontroli dostępu. Aby włączyć kontrolę, musisz także włączyć ochronę. Nie wygasa.
    • Licencja na ochronę — obejmuje wykrywanie włamań i zapobieganie im, kontrolę plików i filtrowanie Security Intelligence. Nie wygasa.
    • Licencja Advanced Malware Protection (AMP) – wykrywa i blokuje kod złośliwego oprogramowania przesyłanego przez sieć. Licencja jest czasowa.
    • Licencja na filtrowanie adresów URL – używana w regułach kontroli dostępu, które określają ruch, który może przechodzić przez sieć na podstawie adresów URL i kategorii stron internetowych żądanych przez monitorowane hosty. Kategorie są korelowane z informacjami o tych stronach, które pobierane są z chmury Cisco przez moduł ASA FirePOWER. Licencja jest czasowa.

    Oprócz licencji opisanych powyżej sam ASA OS jest również licencjonowany na dotychczasowym poziomie. To znaczy

    • Licencja Security Plus dla małych platform (5506 X, 5508 X, 5512X) umożliwia:
      • Więcej sieci VLAN
      • Klaster w trybie aktywnym w trybie gotowości
      • Wyższa wydajność
      • Platformy low-end nie obsługują kontekstów

     

    • VPN — licencja Anyconnect
      • Plus
        • podstawowa łączność klienta VPN
        • Klienci IPsec IKEv2 RA innych firm
        • Na aplikację VPN
        • Bezpieczeństwo sieciowe w chmurze i WSA
        • Moduł NAM (802.1x)
        • Umożliwia AMP dla punktów końcowych (AMP jest osobno licencjonowany)
      • Apex
        • Wszystko powyżej
        • Moduł widoczności sieci (od 4.2)
        • Postawa (zgodność i naprawa z ISE, wymagany Apex dla ISE)
        • Szyfrowanie pakietu B lub NG
        • Bezkliencka sieć VPN
        • Zdalny dostęp w trybie wielokontekstowym ASA

     

    Centrum zarządzania firewallem (FMC) i architektura sieci

    Na czerwono widać przepływ ruchu produkcyjnego. Ruch przepływa normalnie od urządzenia do urządzenia pomiędzy zwykłymi interfejsami ASA w oparciu o tablicę routingu (lub PBR). Jednakże wewnętrzne przekierowanie ruchu ASA, które jest realizowane przez Modular Policy Framework (MPF), jest odpowiedzialne za kierowanie ruchu produkcyjnego do modułów FirePOWER (znanych również jako moduł SFR), co jest z założenia opcjonalne, ale oczywiście niezbędne, aby funkcje zapory nowej generacji mogły przejąć efekt.

    To przekierowanie ruchu odbywa się w obrębie wewnętrznego interfejsu ASA łączącego płaszczyznę danych ASA i płaszczyznę modułu SFR. Ruch kierowany do modułu SFR jest sprawdzany w różnych warunkach i podejmowane są działania zgodnie ze skonfigurowanymi politykami. Te zasady, zwane zasadami kontroli dostępu, są z kolei konfigurowane ze stacji zarządzania zwanej Centrum zarządzania siłą ognia (FMC), z którą synchronizowane są wszystkie moduły. FMC może być zarówno maszyną wirtualną, jak i urządzeniem fizycznym. Czarne linie przedstawiają ruch związany z zarządzaniem siłą ognia z FMC do czujników i od czujników do FMC. Ta czarna linia to zazwyczaj jakiś segment zarządzania w sieci. Projektując FirePOWER w swojej sieci, musisz pamiętać, że czujniki używają segmentu mgmt do logowania do FMC, a FMC używa mgmt do monitorowania czujników, pobierania danych i konfiguracji push. Oznacza to, że tę część sieci można by w jakiś sposób wykorzystać, zwłaszcza do rejestrowania ruchu.
    Cisco ASA FirePOWER

     

    Więcej informacji znajdziesz w szkoleniu online Cisco Firepower
    Pozwól nam przeprowadzić Cię przez technologię Cisco Firepower Threat Defense (FTD) wraz z Firepower Management Center (FMC) jako środowiskiem zarządzania bezpieczeństwem i raportowania.

     

    Autor: Marcin Bialy
     
    Poprzedni Następny
    Grandmetric: Network & Security