一年多前,思科發表中型企業級防火牆系列Secure Firewall 3100系列,到了今年6月初舉行的全球用戶大會,他們再度宣布推出新產品,硬體設備機型增設Secure Firewall 4200系列,而搭配的系統軟體平臺Cisco Secure Firewall Threat Defense(FTD),也將發布7.4新版,將強化密碼學處理的加速、叢集架構支援、模組化等層面的功能,提升整體運作效能與使用彈性。他們預告9月推出搭配FTD 7.4的Secure Firewall 4200系列,至於用於其他機型的FTD 7.4,則是12月開始供應。

結合新版作業系統的Secure Firewall 4200系列,思科表示,可提供3大特色

首先,針對藏匿在加密連線的資安威脅與應用程式,思科提供的網路加密透視引擎(Encrypted Visibility Engine,EVE)升級至2.0版,能借助人工智慧與機器學習技術,而能在不需解密的狀態下,也能予以偵測、阻擋。過去必須先進行加密流量的解密,再執行檢測的複雜處理,現在透過新功能,可解決拖垮防火牆效能與隱私保護難題。

  

第二是大幅提升零信任網路存取功能(ZTNA),能針對個別的應用程式執行完整的威脅檢測處理,以及政策控管。現在思科防火牆系統能在安全堆疊的基礎上,增加具備零信任應用程式存取能力的安全使用方式,因為相較於長年沿用的「通過身分認證之後就完全放任」這類簡易防護,ZTNA模型的使用將大幅提升資安要求,因為當中會增添使用者流量與應用程式行為檢測,以提供更安全的存取。

  

第三是簡化分支據點環境的路由功能,對於混合資料中心環境下的遠端辦公室應用存取,可提供網路流量的安全防護、控管,以及透視連線活動的能力。企業可透過思科防火牆的新功能,集中處理應用程式流量的識別、監控、路由,進而改善網路效能與存取安全性。

除了上述功能的進化,思科此時也初步透露4200系列機型的基本規格,例如,相較於既有的Firepower 4100 系列,Secure Firewall 4200系列同樣採用1U尺寸的機箱,號稱可提供兩倍的吞吐量;而在產品定位上,Secure Firewall 4200系列具備優異的處理效能、安全防護,以及豐富的連線介面,可用於資料中心與大型園區網路的環境。

到了9月初,思科資安事業群傑出工程師Andrew Ossipov在思科部落格發文,闡述Secure Firewall 4200系列與FTD 7.4目前提供的特色。在零信任方面的強化,他提到FTD 7.4提供原生的無用戶端零信任網路存取(Clientless ZTNA),此功能隸屬於遠端應用程式連線階段,實際應用時,會如同處理其他流量,一樣能持續執行資安威脅檢測的作業。

提供零信任應用程式存取

一般而言,在細緻的零信任應用程式存取(ZTAA)政策當中,通常可定義個別或不同群組的應用程式,並允許它們使用專屬的入侵防禦系統(IPS)與檔案政策,而對於線上的使用者身分認證與授權功能而言,也需要與每一個網站應用程式與支援SAML語言的身分供應系統(IdP),進行互通若使用者通過身分認證、被授予權限,而得以經由公開的完整網域名稱(FQDN)存取位於內部網路的受保護系統,此時FTD可扮演反向代理的角色,提供完整的TLS加密流量解密處理、有狀態防火牆(stateful firewall)、入侵防禦系統、惡意軟體檢測的一系列處理流程,採行這樣的作法之後,網路流量就不需解密兩次,以及區隔傳統ZTNA存取方式與線上檢查功能的所有版本,可大大改善網路整體效能與使用者連網體驗。

搭配64核心或128顆核心CPU,以及FPGA晶片可分攤加密流量處理工作

關於加密網路流量的解密處理,Secure Firewall 4200系列與思科去年4月推出的Secure Firewall 3100系列一樣,均採用自行設計的FPGA晶片,可針對資料層(Data Plane)內部執行的網路流量狀態檢測,以及密碼學運算相關功能,提供線上加速處理能力。

基於這樣的運算卸載設計,思科防火牆處理網路封包時,不再需要為了上述作業,而被迫在硬體設備的系統匯流排介面穿梭,並且在面對日益精密複雜的威脅檢測工作時,能透過這樣的分攤處理架構大大減輕CPU負擔。

中央處理器的部分,若參照Cisco Live! 2023 Las Vegas大會相關場次演講內容,我們可看到裡面提到搭配的CPU核心數量相當多——4215、4225均採用單顆x86架構處理器,分別內建64顆核心與128顆核心,4245採用2顆x86架構處理器,均內建128顆核心,若是如此,有可能搭配的是AMD今年6月發表的伺服器級CPU產品EPYC 97X4系列(代號Bergamo),最多可內建128顆Zen 4c核心。密碼學運算加速器的部分,思科在此提到搭配的晶片是Nitrox V,4215、4225、4245分別搭配1顆、2顆、4顆。

在此同時,Secure Firewall 4200系列的機箱維持使用1U尺寸的緊緻外形,能串聯多臺設備成為叢集系統(最初公布規格最多可連接16臺機箱,7月下修為8臺機箱),將資安威脅檢測的吞吐量效能擴展至1.5 Tbps以上。針對重要的多租戶環境使用需求,這系列設備的建置,也支援邏輯分割,最多可區隔34臺執行個體,均可做到硬體層級隔離、提供完整功能的狀態。

改良TLS加密流量處理設定

對於網路安全管理人員而言,若要在Secure Firewall使用TLS加密流量解密功能,現在可透過直覺的方式操作,因為思科在近期版本的Firewall Management Center,提供重新設計的TLS加密流量解密政策設定流程,能將傳入內部網路的流量(外部使用者連入公司內網的應用程式),以及對外發送的流量(內部使用者存取網際網路的應用程式)解密組態設定,予以區隔,可針對每種類型的設定提供必要的步驟指引,若是進階的使用者,可保留完整的TLS連線控制存取權,包含過濾未遵循控管要求的通訊協定版本,以及阻擋特定憑證的使用。

搭配Snort 3威脅預防技術、能以機器學習推論流向,搭配自家威脅情資,並能精準啟用需要的特定IPS特徵,提升處理效率

相較於市面上其他網路防火牆產品,Cisco Secure Firewall配備Snort 3威脅預防引擎,用戶能在不需解開加密流量封包的狀態下,就能偵測應用程式與潛藏的惡意網路流向。Snort是知名的開放原始碼入侵防禦系統(IPS)軟體,由Sourcefire公司開發與維護,2013年思科買下這家廠商之後,仍持續推動次世代IPS技術的發展,2021年Snort 3正式推出,2020年底Cisco Firepower 6.7平臺開始支援Snort 3,而在FTD 7.0版以後,有不少必備功能都仰賴Snort 3,像是EVE網路加密透視引擎,思科表示,這是業界第一個以機器學習技術驅動網路流向推論(flow inference)的實作,目的是在資料層內部進行即時防護,他們後續持續訓練這個引擎,導入多達數PB資料量規模的即時應用程式流量,以及源於自家資安惡意軟體分析雲(Secure Malware Analytics cloud)的大量樣本(每天提供幾萬個),從而產生獨特的應用程式與惡意軟體指紋,供FTD軟體平臺用於分類各種網路流向,過程中,僅需檢查TLS協定交握的外部範圍。

面對匿名代理伺服器跳板這類迴避偵測的應用程式,EVE具有特別優異的識別能力,思科表示,相較於傳統特徵比對的應用程式識別方式,這種技術更有效。而在FTD 7.4版當中,EVE增加自動阻擋惡意軟體連線的功能——系統分類在高度可能是惡意軟體的網路連線,會予以自動阻擋,後續更新版本將會結合這些功能,針對高風險的網路流向,啟用指定解密與深度封包檢測(DPI)的機制,可真正做到基於風險程度高低的威脅檢測處理。

而在Snort 3引擎判斷精準度的提升方式上,思科透過自家的Talos網路威脅情資產生的推薦機制Cisco Recommendations,能夠有效運用上萬個IPS特徵而不會拖垮整體效能,過程中,系統會基於實際監測到的主機作業系統與應用程式來啟動特定的IPS特徵。

除此之外,網路防火牆過往只能透過被動觀測流量或主動連接端點等方式,來探查網路活動狀態,可搭配原名為Tetration的Cisco Secure Workload系統來幫忙遙測,而在今年釋出的Secure Workload 3.8,大幅提升這方面的能力,可持續將特定受保護的應用程式漏洞資訊餵送至Firewall Management Center,之後可允許思科的推薦機制Cisco Recommendations在控管政策當中,建立對象更為精準的IPS特徵清單,獲得成效改善、消除效能瓶頸等優點。

思科強調,他們提供的這些整合,可藉由提升應用程式洞察分析能力,增益網路層級的資安威脅能見度,目前無其他防火牆產品能在深度封包檢測實作這些機制。

  

產品資訊

Cisco Secure Firewall 4200系列
●原廠:Cisco
●建議售價:廠商未提供
●機型與尺寸:4215、4225、4245,皆為1U
●網路埠:固定搭配8個25GbE埠(SFP28),最多可設置24埠——
24個10GbE埠(SFP+),
或8個25GbE埠搭配2個網路擴充模組,
或8個40GbE埠(QSFP+)搭配2個網路擴充模組,
或24個GbE埠(SFP)搭配2個網路擴充模組與多個固定埠,
或8個100GbE埠搭配2個網路擴充模組
●防火牆吞吐量(啟用AVC與IPS):4215為65 Gbps,4225為80 Gbps,4245為140 Gbps
●VPN吞吐量:4215為45 Gbps,4225為80 Gbps,4245為140 Gbps
●最大同時連線數:4215為1千5百萬個,4225為3千5百萬個,4245為6千萬個
●硬碟儲存:2臺1.8 TB NVMe固態硬碟
●電源供應器:2臺1200瓦(110 AC)或2臺1900瓦(220 AC)

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】

熱門新聞

Advertisement