Contenu connexe
Similaire à All_Things_ASA_v3_1_20140609.pdf (20)
Plus de ssusercbaa33 (10)
All_Things_ASA_v3_1_20140609.pdf
- 1. Myung Ha Woo (mywoo@cisco.com)
Version 3.1
2014 Security VT Bootcamp Event:
SEVT 2014, All Things ASA
- 2. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 2
네트워크 보안 동향
Overview
Physical ASA
Virtual ASA
소프트웨어 로드맵
How to Win
목차
- 3. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 3
네트워크 보안 동향
- 4. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 4
안녕하세요?
정말
고맙습니다!
- 5. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 5
시스코가 2000년 5월 연례 보안 보고서 작성을 시작한 이후
전체 취약점과 위협이 최고 수준
전세계 다국적 대기업 중 표본으로 선정한 30개 기업
네트워크 모두에서 멀웨어를 호스팅하는 웹사이트에 방문한
트래픽이 발견
2013년 웹을 통해 감염되는 멀웨어 중에서 다목적
트로이목마가 27%로 가장 많이 발견
사이버 범죄자들이 가장 많이 악용하는 프로그래밍 언어는
여전히 자바
전체 모바일 멀웨어 중 99%는 안드로이드 기기를 겨냥
시스코 2014 연례 보안 보고서
시스코 2014 연례 보안 보고서 (이하 CASR2104) 주요 내용
- 6. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 6
Spyware &
Rootkits
2010
Viruses
2000
Worms
2005
APTs
Cyberware
Today +
Anti-virus
(Host)
IDS/IPS
(Network)
Anti-malware
(Host+Network)
Intelligence and Analytics
(Host+Network+Cloud)
Enterprise
Response
보안 위협 및 대응 방식의 진화 그리고…
- 7. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 7
생활속 보안 위협 사례
무인 단속 카메라 해킹 군부대 유해 서적 유입 시도
- 8. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 8
APT (Advanced Persistent Threat)
지능형 지속 가능 위협(APT)의 정의
APT는 특정한 기술 방식을 의미하는 것이 아니라,
특정 목표를 겨냥해 공격 성공률을 높이기 위한
일종의 공격 방법론
더욱 교묘해진 방법으로 은밀히 특정 대상에 공격을 전개함으로써,
정보보안 체계를 무력화 시키고, 기밀정보나 대량 개인정보를 탈취하는 것이 목적
- 9. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 9
APT 공격 프로세스
ATP 공격 프로세스, 그리고 실제 보안 사고 사례
단계 진행 과정
1 SK컴즈의 IP주소 대역에 대한 정보 확보
2 이스트소프트 알툴즈 업데이트 서버를 해킹
3 업데이트 요청시,
- IP 확인하여 SK컴즈 IP대역에서 온 것만
- 악성코드가 첨부된 업데이트 파일로 대체
4 SK컴즈 사내망의 좀비PC 확보
5 DB관리자의 계정 정보 수집
6 DB관리자 계정 획득 및 외부로 DB정보 유출
*주) 이 모든 과정은 2011년 7월 중순부터 7월말까지 단
보름만에 이루어 졌음
*출처 : 시만텍
APT 공격 프로세스 SK컴즈 (싸이월드) APT 사례
- 10. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 10
고속의 컨텐츠 인스펙션
123.45.67.89
Johnson-PC
OS: Windows 7
hostname: laptop1
User: jsmith
IP: 12.134.56.78
12.122.13.62
SQL
방화벽, IPS… 현재의 공격을 막을 수 있다?
Today’s Reality:
621 breaches
92% stemmed from external
agents
52% utilized hacking
40% incorporated malware
78% of attacks labeled
low difficulty
19% attributed to
cyberespionage
2013 Verizon Data Breach
Investigation Report
방화벽의
한계
단순 IP/Port
기반 ACL
N x N x N
식의 관리불
가한 정책
사용자/어플
리케이션 인
식불가
IPS의
한계
단순 패턴 매칭,
오탐, 무의미한
대량 이벤트
동적인 어플
리케이션 인
지 불가
사용자 식별
불가
- 11. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 11
상황 인식 기반 보안 기술
로컬
비즈니스 상황
누가
무엇을
어떻게
어디에서
언제
내부 네트워크
글로벌
상황적인 위협 정보
외부 네트워크
평판
상호 관계
APP 어플리케이션
URL 웹사이트
C
I2 I4
A
- 12. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 12
방화벽 (Firewall)
정의 : 방화벽의 기본 역할은 신뢰 수준이 다른 네트워크 구간들 사이에 놓여서 신뢰 수준이
낮은 네트워크로부터 오는 해로운 트래픽이 신뢰 수준이 높은 네트워크로 오지 못하게 막는
것이다.
분류 : 1세대 방화벽(패킷 필터), 2세대 방화벽(스테이트풀 인스펙션), 3세대
방화벽(애플리케이션 방화벽)이 있다.
기능 : 패킷필터, 프락시, NAT 등
침입 탐지/차단 시스템 (IDS/IPS)
정의 : 외부 네트워크로부터 내부 네트워크로 침입하는 네트워크 패킷을 찾아 제어하는 기능을
가진 소프트웨어 또는 하드웨어이다.
분류 : Intrusion Detection System, Intrusion Prevention/Protection System
기능 : 전통적인 방화벽이 탐지/차단할 수 없는 모든 종류의 악의적인 네트워크 트래픽 및
컴퓨터 사용을 제어하기 위해 필요하다.
FW & IPS 정의
출처 : 위키백과
- 13. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 13
NG FW & NG IPS 정의
Next-Gen IPS (NGIPS)
표준 1세대 IPS
Application awareness and
full-stack visibility
Context awareness (상황인식)
Content awareness (내용인식)
Agile engine
Next-Gen Firewall (NGFW)
표준 1세대 firewall
Application awareness and full-
stack visibility
Integrated network IPS
Extra firewall intelligence
-사용자 기반 정책, black/white list
Next-Gen IPS & Next-Gen FW by Gartner
- 14. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 14
방화벽/IPS의 진화, 그리고 통합
가트너는 1세대 방화벽이 갖는 한계로 인해 현재 가해지는 위협, 또는 새롭게 부각되는 위협에 효과적으로 대응이 어렵다고
지적하면서 차세대 방화벽의 도래를 전망했다. 가트너가 언급한 차세대 방화벽의 조건은 다음과 같다.
• 패킷 필터링
• NAT
• 상태기반 프로토콜 검사
• VPN 기능 등
[제1세대] 방화벽 표준 기능
• aaa
• 애플리케이션을 인지하고, 포트 및 프로토콜과는
독립적으로 애플리케이션 레이어에서 네트워크
보안 정책 가동
[제3세대] 애플리케이션 인지 및
전체 보안 솔루션에 대한 가시성
• 취약점을 방어하는 시그니처와 위협에 대응하는
시그니처를 함께 지원하는 등 방화벽과 IPS의 상
호작용 필요
• Ex) 악성 트래픽과 함께 IPS를 지속적으로 가동
하게 만드는 주소를 방화벽에서 차단
[제2세대] IPS 기능과의 진정한 기능 통합
• aaa
• 방화벽 이외의 소스로부터 정보를 습득해 차단에
관한 의사결정 반영
[제4세대] 방화벽 이외의 인텔리전스
- 15. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 15
차세대 보안 어플라이언스의 진화
Source: “Defining Next-Generation Network Intrusion Prevention,” Gartner, October 7, 2011.
“Defining the Next-Generation Firewall,” Gartner, October 12, 2009
“차세대 IPS는 차세대 방화벽 기능을 추가하는 방향이지만, 현존하는
대부분의 차세대방화벽은 1세대 IPS 기능을 단순 통합하는데 그치고 있다.
IPS
Firewall
NGIPS
NGFW NGFW
+
NGIPS
Traditional Presence Future(CY15~)
- 16. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 16
방화벽 시장 동향
팔로알토를 시작으로 포티넷, 체크포인트, 시스코 모두 L7 방화벽 출시
• aaa
• 기존 포트 기반 보안 정책은 한계 상황
• 애플리케이션 인지 방화벽 등장 (L7)
• 애플리케이션 제어는 DDoS 공격 방어
에 활용
• 가트너, 차세대 방화벽의 핵심으로 애
플리케이션 인지를 주목
마켓 트렌드
• 애플리케이션 인지/ 제어 방화벽 시장
참여
• CY12 Mid, ASA-CX 출시
• 사용자 상황을 자동으로 인지하여 정책
적용
시스코 대응
ASA-CX
- 17. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 17
IPS 시장 동향
UTM으로 통합, 국내 로컬 벤더의 선전, 시스코의 소스파이어 인수
• aaa
• 하이엔드 시장은 성숙기
• 미드레인지급 이하 시장은
IPS+VPN+FW 및 AV+URL필터 기능까
지 통합된 UTM이 대세임
• 전체적으로 IPS 시장은 큰 변동없이 꾸
준히 시장에 보급, 활용됨
• 클라우드/DC 성장으로 IPS 수요 증가
기대 / 10Gbps IPS 시장 기대됨
마켓 트렌드
• 하이엔드 ASA5585X IPS
(~10Gbps IPS)
• 미드레인지 ASA5500X IPS
(~1.3Gbps IPS)
• 소스파이어(Sourcefire 사) 차세대 IPS
(~40Gbps IPS)
시스코 대응
소스파이어
- 18. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 18
국내 NW 보안 시장 현황
전통적 IPS 시장 포화, 성장율 감소
DC 신규/확장에 따른 High-End 급
IPS 수요 증가
Anti-DDoS용 IPS에 대한 수요 감소
NGIPS 추가도입 또는 마이그레이
션 수요 증가
• APT공격을 방어하기에는 기존 전통적
IPS의 한계
• 전통적인 방화벽과 NGFW의 1:1 마이
그레이션 불가로 NGIPS로의 보완 움직
임
- 19. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 19
Overview
- 20. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 20
클러스터링 강화
클러스터 규모 강화
기능(feature) 지원 강화
연동 스위치 지원 강화
오픈형 플랫폼
오픈 APIs
Multi-Hypervisor
Multi-Virtual Switch
유연한 라이선스 모델
IOS 전체 기능 지원
패브릭 통합
Ent DC 시장을 위한 ACI 집중
SP 시장을 위한 *NFV 집중 (*VPE)
SourceFire 통합
위협 및 보안 중심의 접근
5585와 ASAv에 SF 접목
ASA와 SF에 SDN 연동
*Network Functional View, VPN Provider Edge
2014 FOCUS
- 21. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 21
GUI
Virtual
PIX Firewall/
VPN
Appliances
FW/IPS/VPN
Blades
FW/VPN
ASA5500
FW/IPS/VPN/Cont
ents
ASA
ASA5585-X
High-End
ASASM
Integrated Security
with C6K SW
ASA1000v / ASAv
Virtualized Edge Firewall
ASA5500-X
Mid-Range
NEW Firewall 전략
- 22. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 22
Physical 및 Virtual 형태의 보안 서비스 제공
Internet
Partners
Application
Software
Virtual
Machines
VSwitch Access
Aggregation
and Services
Core Edge
IP-NGN
Backbone
Storage
and SAN
Compute
IP-NGN
Application Control
(SLB+)
Service Control
Firewall Services
Virtual Device Contexts
Fibre Channel Forwardi
ng
Fabric Extension
Fabric-Hosted Storage
Virtualization
Storage Media
Encryption
Virtual Contexts for FW
& SLB
Port Profiles & VN-Lin
k
Port Profiles & VN-Link
Line-Rate NetFlow
Virtual Device Contexts
Secure Domain
Routing
Service Profiles
Virtual Machine Optimi
zation
Virtual Firewall
Edge and VM
Intrusion Detection
Physical
Virtual
데이터 센터 보안 서비스 노드
- 23. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 23
ASA5585-X
• ASA CX 또는 ASA IPS 모듈과 함께 배치
• 대용량 트래픽에 대한 클러스터링
• 데이터센터내 코어 또는 분산 영역의 보안 서비스 노드 구성
ASA Service Module
• IPS 4500 Series 또는 WSA와 함께 배치
• 주로 데이터 센터내의 분산 영역에 대한 보안 서비스 노드 구성
• 가상화 및 브랜치와 데이터센터간 VPN 망 구성
물리적 환경에서의 ASA 포지셔닝
- 24. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 24
가상 데이터센터 또는 VDI 환경을 위한 방화벽/VPN 기능 수행
Hypervisor
Nexus 1000V
vPath
Tenant B
Tenant A
VDC
vApp
vApp
VDC
Virtual Network Management Center (VNMC)
vCenter
VSG VSG VSG
VSG
ASA 1000V
ASA 1000V
ASA 1000v 가상방화벽
•에지 방화벽/VPN 기능
•가상데이터센터 간 트래픽에 대한 보안 정
책 적용
•브랜치와 가상데이터간 S2S IPSec VPN 망
구성
Virtual Security Gateway
•서비스 영역별 가상 보안 게이트 웨이
•가상 데이터센터내 서버팜별, 서비스영역별
및 Front-End 어플리케이션과 Back-End 어
플리케이션 간 접근 제어
가상화 환경에서의ASA포지셔닝
- 25. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 25
Physical ASA
- 26. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 26
All things ASA
SOHO부터 데이터 센터를 위한 다양한 라인업 제공
멀티 서비스 제공
(Fi멀rewall/VPN + IPS or CX)
퍼포먼스
및
확장성
Data Center
Campus
Branch Office Internet Edge
ASA 5585-X SSP-20
(10 Gbps, 125K cps)
ASA 5585-X SSP-60
(40 Gbps, 350K cps)
ASA 5585-X SSP-40
(20 Gbps, 200K cps)
ASA 5585-X SSP-10
(4 Gbps, 50K cps)
ASA 5555-X
(4 Gbps,50K cps)
NEW
ASA 5545-X
(3 Gbps,30K cps)
NEW
ASA 5525-X
(2 Gbps,20K cps)
NEW
ASA 5512-X
(1Gbps,10Kcps)
NEW
ASA 5515-X
(1.2Gbps,1Kcps)
NEW
ASA 5510
(300 Mbps, 9K cps)
ASA 5510 +
(300 Mbps, 9K cps)
ASA 5520
(450 Mbps, 12K cps)
ASA 5540
(650 Mbps, 25K cps)
ASA 5550
(1.2 Gbps, 36K cps)
Firewall/VPN Only
SOHO
ASA 5505
(150 Mbps, 4K cps)
ASA SM for C6K
(32 Gbps, 320K cps)
ASA1000v
Virtualized Edge Firewall
- 27. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 27
ASA 5500 시리즈
ASA 5540
650 Mbps Firewall Throughput
ASA 5550
1.2 Gbps Firewall Throughput
ASA 5520
450 Mbps Firewall Throughput
ASA 5510
300 Mbps Firewall Throughput
현재 EoS 상황 (5505는 예외로 계속 판매)
[세일즈 포인트!]
2005년부터 판매
EoS 상황 (2013년 9월 16일로 판매 중단)
300M ~ 1.2Gbps 성능 제공
EoS 대상은 5510, 5520, 5540, 5550 이하
4 모델에 한정됨
5505 모델은 계속 판매됨
5505 모델은 가격 경쟁력 있는 enterprise
branch 를 위한 방화벽/VPN 모델로
포지셔닝
- 28. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 28
ASA 5505 SOHO 방화벽
Branch/SOHO용 방화벽
FW 150Mbps, VPN 100Mbps 성능 제공
Branch 라우터 대신 제안 가능
FW & VPN 용도로 유용함
8x 10/100Mbps (2 x POE 포함)
Context 미지원, HA 미지원
List Price $595, $995, $1,695
※붉은 색 표기는 Security Plus 라이선스 필요
- 29. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 29
ASA 5500-X 시리즈
고성능 mid-range UTM 모델)
ASA 5512-X
1 Gbps Firewall Throughput
ASA 5515-X
1.2 Gbps Firewall Throughput
ASA 5525-X
2 Gbps Firewall Throughput
ASA 5545-X
3 Gbps Firewall Throughput
ASA 5555-X
4 Gbps Firewall Throughput
[세일즈 포인트!]
항상 신제품 위주로 셀링 권고!
성능(1G ~ 4G) 대비 매력있는 가격
기본 10/100/1000Mbps 제공 (6 ~ 8ports)
Firewall + IPS 운영시 TCO 감소
(IPS does not require extra hardware module and hence no
support cost)
멀티코어 CPU, 4X 메모리
4X Firewall 성능
소프트웨어에서 서비스 기능 제공
IPS acceleration hardware
(ASA5525-X, ASA 5545-X, ASA 5555-X)
전원부 이중화
(ASA 5545-X, ASA 5555-X)
유연한 I/O 확장 모듈 옵션
(Copper & SFP GE)
IPS/VPN throughput 향상
최대 Connections, Connections/sec 향상
1H CY2014에 클러스터링 지원 예정
- 30. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 30
ASA 5500-X 시리즈 성능
ASA5512-X ASA5515-X ASA5525-X ASA5545-X ASA5555-X
Device Type Appliance Appliance Appliance Appliance Appliance
지원 Platform N/A N/A N/A N/A N/A
성 능
최대성능 1 Gbps 1.2 Gbps 2 Gbps 3 Gbps 4 Gbps
최대 접속 세션 100,000 250,000 500,000 750,000 1,000,000
초당 커넥션
처리 수
10,000 15,000 20,000 30,000 50,000
최대 패킷
처리 성능
450,000 500,000 800,000 1,200,000 1,500,000
VPN 성능 200 Mbps 250 Mbps 300 Mbps 400 Mbps 600 Mbps
SSL VPN Peer 10,25,50,100,250 10,25,50,100,250
10,25,50,100,250,500,7
50
10,25,50,100,250,500,7
50,
1000,2500
10,25,50,100,250,500,7
50,1000,2500, 5000
Memory / Interface
Memory 4 GB 8 GB 8 GB 12 GB 16 GB
Flash Memory 4 GB 8 GB 8 GB 8 GB 8 GB
Physical
Interface (Cu)
6 + 1 6 + 1 8 + 1 8 + 1 8 + 1
확장 가능 슬롯 1 1 1 1 1
확장 물리적
포트(선택)
6 GE Copper or
6 GE SFP SX,LH,LX
6 GE Copper or
6 GE SFP SX,LH,LX
6 GE Copper or
6 GE SFP SX,LH,LX
6 GE Copper or
6 GE SFP SX,LH,LX
6 GE Copper or
6 GE SFP SX,LH,LX
- 31. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 31
ASA 5585-X 시리즈
31
Securing Internet-Edge
and Campus Networks
Scalable Data
Center Solutions
Performance,
Scalability,
Adaptivity
Data Center
Campus
Branch Office
Enhancing the Customer Experience
4 Gbps Firewall
2 Gbps IPS
1 Gbps IPSec/SSL
VPN
5000 IPSec/SSL VPN
1M F/W Concurrent
50,000 CPS
10 Gbps Firewall
5 Gbps IPS
2 Gbps IPSec/SSL
VPN
10,000 IPSec/SSL VPN
2M F/W Concurrent
125,000 CPS
20 Gbps Firewall
10 Gbps IPS
3 Gbps IPSec/SSL
VPN
10,000 IPSec/SSL VPN
4M F/W Concurrent
200,000 CPS
40 Gbps Firewall
15 Gbps IPS
5 Gbps IPSec/SSL
VPN
10,000 IPSec/SSL VPN
10M F/W Concurrent
350,000 CPS
ASA 5585-S10P10
ASA 5585-S20P20
ASA 5585-S40P40
ASA 5585-S60P60
멀티 10G 방화벽 성능 제공
[세일즈 포인트!]
ASA 5500-X 동일 기능 제공
4Gbps ~ 40Gbps 성능 제공
Clustering 제공 (5585X & 5580X만 가능)
Clustering 최대 320Gbps(8 ASA)
640Gbps(16 ASA)
기본 1G/10G 인터페이스 (10개) 제공
IPS & CX는 하드웨어 모듈로 제공
(모듈 탑재시 기본 셰시의 성능 영향 없음)
1G/10G 확장 모듈 제공
(1G 최대 50포트, 10G 최대 16포트)
전원부 이중화 (전 제품)
ASA SM(Services Module)는 최대 16G의
성능으로 C6500과 서버팜 FW 용도로 주로
판매됨
ASA SM은 VPN 기능도 제공함 (기존
FWSM은 VPN 불가)
- 32. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 32
ASA 5585-X 시리즈 성능
ASA-SM ASA5585-X S10 ASA5585-X S20 ASA5585-X S40 ASA5585-X S60
Device Type Module Appliance Appliance Appliance Appliance
지원 Platform Catalyst6500 N/A N/A N/A N/A
성 능
최대성능 20Gbps 4Gbps 10 Gbps 20 Gbps 40 Gbps
최대 접속 세션 10,000,000 1,000,000 2,000,000 4,000,000 10,000,000
초당 커넥션
처리 수
300,000 50,000 125,000 200,000 350,000
최대 패킷
처리 성능
3,000,000 1,500,000 3,000,000 5,000,000 9,000,000
VPN 성능 N/A 1 Gbps 2 Gbps 3 Gbps 5 Gbps
SSL VPN Peer N/A
2,10, 25, 50, 100, 250, 500,
750, 1000, 2500, 5000
2,10, 25, 50, 100, 250, 500,
750, 1000, 2500, 5000, and
10,000
2,10, 25, 50, 100, 250, 500,
750, 1000, 2500, 5000, and
10,000
2,10, 25, 50, 100, 250, 500,
750, 1000, 2500, 5000, and
10,000
Memory / Interface
Memory 24GB 6 GB / 12 GB 12 GB / 24 GB 12 GB / 36 GB 24 GB / 72 GB
Flash Memory 8GB 2 GB / 4 GB 2 GB / 4 GB 2 GB / 4 GB 2 GB / 4 GB
Physical
Interface
C6K의 모든
LAN 인터페이스
8-port 10/100/1000, 2-port 10
Gigabit Ethernet** (*SFP+)
8-port 10/100/1000, 2-port 10
Gigabit Ethernet** (*SFP+)
6-port 10/100/1000, 4-port 10
Gigabit Ethernet (SFP+)
6-port 10/100/1000, 4-port 10
Gigabit Ethernet (SFP+)
확장 가능 슬롯
C6K 샤시당
4*ASASM까지
1- **IPS ***SSP 1- **IPS ***SSP 1- IPS SSP 1- IPS SSP
확장 물리적
포트(선택)
C6K의 모든
LAN 인터페이스
IPS-SSP-10
CX SSP-10
ASA5585-NM-8-10GE
ASA5585-NM-4-10GE
ASA5585-NM-20-1GE
IPS-SSP-20
CX SSP-20
ASA5585-NM-8-10GE
ASA5585-NM-4-10GE
ASA5585-NM-20-1GE
IPS-SSP-40
CX SSP-40
(2013.1H)
ASA5585-NM-8-10GE
ASA5585-NM-4-10GE
ASA5585-NM-20-1GE
IPS-SSP-60
CX SSP-60
(2013.1H)
ASA5585-NM-8-10GE
ASA5585-NM-4-10GE
ASA5585-NM-20-1GE
* SFP (Small Form-Factor Pluggable)는 작은 형태의 광 포트를 의미
** IPS (Intrusion Prevention System)은 침입 탐지 시스템을 의미
*** SSP (Security Service Processor)은 ASA 의 서비스 모듈을 의미
- 33. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 33
ASA 5585-X 확장 모듈
하프슬롯 IO 모듈
ASA 5585-X 의 지원 포트수를 최대화
20x10G 포트 또는 50x1G 포트를
ASA5585-X 샤시에서 지원
확장 모듈 설명 10G/1G SFP+/SFP 1G SFP 1G RJ45
4-port 1G/10G SFP/SFP+ module 4 0 0
8-port 1G/10G SFP/SFP+ module 8 0 0
20-port 1G module 0 12 8
- 34. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 34
ASA-SM vs FWSM 비교
Metric ASA-SM FWSM
퍼포먼스 – Max 20 Gbps 5 Gbps
퍼포먼스 – Multi Protocol 16 Gbps 3 Gbps
Concurrent Sessions 10M 1M
New Connections /
Second
300K 100K
Security Contexts 250 250
VLANs 1000 1000
• ASA-SM 은 ASA
어플라이언스와 동일한
플랫폼을 공유함
• FWSM 대비 추가된 기능
제공
• ASA 어플라이언스와
동일한 관리 프로그램 사용
가능
• 5x 적은 셰시 슬롯 사용
• VPN 기능 제공
- 35. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 35
ASA5585 N대 까지 클러스터링 지원
로드밸런싱 방식
스위치의 ECLB(Ether Channel Load Balancing)
라우터의 ECMP(Equal Cost Multi-Path) 또는 시스코
PBR(Policy Based Routing)을 이용
시스코에서 개발된 ASA의 Cluster Control Protocol를 이용하여
상태 정보 및 커넥션 정보 공유
시스코 VSS 및 VPC 환경 지원
클러스터링 구성 멤버간 고가용성 지원
서비스 무중단 업그레이드 지원
One Management 로 단일 방화벽 처럼 정책관리 및
모니터링
Scale-out 방식의 방화벽 성능 확장
ASA 클러스터링 소개
- 36. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 36
Nexus 7000
Nexus 6000
Nexus 5000
CAT 3750-X
Nexus 9000
스케일링에 유리한 스위치
*주) 위 스위치는 모두 MCEC을 지원함
- 37. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 37
LACP static priority 모드
최소한 LACP 기능을 지원하는
스위치와의 연동이 필요
시스코 스위치와 연동시에만 완벽한
성능이 제공됨
연동 가능한 일반 스위치
- 38. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 38
각각의 스위치와 16개 경로를 통한
클러스터링 및 상태 동기화 가능
VPC를 통한 연동
두 스위치에서 32 포트 EC 제공
최대 640Gbps 성능
클러스터링 사이즈 및 성능 증가
- 39. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 39
Virtual ASA (a.k.a ASAv)
- 40. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 40
시스코 Virtual Security 포트폴리오
• 테넌트 내부의 VM 간 트래픽에 대한
보안
• Secure한 east-to-west간의 L2/L3
트래픽을 위한 방화벽
• 네트워크 및 VM 특성에 ACL 사용
• 최초 패킷을 룩업(lookup)한 후 vPath
사용하여 퍼포먼스 엑셀레이션
• 테넌트 종단 보안
• Default gateway; Secure한 north-to-
south 트래픽을 위한 방화벽
• 종단 방화벽 역할, 네트워크 속성
기반의 ACL, site-to-site VPN, NAT,
DHCP, inspections & IP audit 역할
• 모든 패킷은 시스코 ASA1000V를
경유함
Cisco® VSG Cisco ASA 1000V
테넌트 내부
시큐리티
테넌트 종단
시큐리티
- 41. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 41
ASA1000v 특징
Q. ASA 어플라이언스 대비 지원하는 feature 수준은?
A. The ASA 1000V feature set is optimized for the specific use case
of securing the tenant edge. Therefore, it acts as a default gateway
(Layer 3 firewall) and delivers edge firewall functionality, including
network attribute-based ACLs, site-to-site VPN, NAT, DHCP,
inspections, TCP intercept, and IP audit.
Q. 지원하는 인터페이스의 수는?
A. Cisco ASA 1000V has four interfaces: inside, outside, failover,
and management.
Q. Nexus1000v 기반으로 설치해야 하는지?
A. Yes, the ASA 1000V is tightly integrated with the Cisco Nexus
1000V Series Switch, which provides the ASA 1000V with
architectural benefits and hooks into the hypervisor. vPath is the
single intelligent data plane for all virtual services integrated with
the Cisco Nexus 1000V Series, enabling intelligent traffic steering
and service chaining between these virtual services. Some of the
key differentiators of the solution include:
Q. 성능 수준은?
A. The performance of the Cisco ASA 1000V Cloud Firewall will
depend on the physical hardware on which it is running and the
resources available.
Q. 어떤 하이퍼바이저에 설치가 가능한지?
A. The Cisco ASA 1000V, in its initial release supports VMware
vSphere hypervisor 4.1 and onwards.
Q. CSM 을 통해 관리가 가능한지?
A. No, the ASA 1000V is not managed by Cisco Security Manager.
VNMC is custom created to cater to virtualizatiuon specific
workflows. It offers a multi-tenant of structure, templatized way of
attaching policies, and integrates with vCenter to provide visibility
into VM attributes. These features are key for a virtual security
appliance manager.
Q. 어떤 버전의 OS를 지원하는지?
A. The ASA 1000V is supported on Cisco ASA Software Release
8.7, which is based on Cisco ASA Software Release 8.4.
Q. 라이센싱 방법은?
A. The Cisco ASA 1000V is licensed per CPU socket protected. The
licensing model is similar to the one used by the Cisco Nexus
1000V Series and Cisco VSG. The Cisco ASA 1000V is licensed
per CPU socket protected. (multi-context 미지원)
Q. Multi-context mode 지원하는지?
A. No, but it isn't necessary. If more contexts are needed, just clone
the ASA 1000V virtual machine and you have another fully capable
virtual firewall.
Q. L2 transparent mode 지원하는지?
A. No, only routed mode is available.
* 출처 : ASA1000V Q&A 중에서
- 42. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 42
시스코 Virtual Security 포트폴리오
NEW
• 테넌트 내부의 VM 간 트래픽에 대한 보안
• Secure한 east-to-west간의 L2/L3 트래픽을
위한 방화벽
• 네트워크 및 VM 특성에 ACL 사용
• 최초 패킷을 룩업(lookup)한 후 vPath
사용하여 퍼포먼스 엑셀레이션
• Nexus1000v 필요함
Cisco® VSG
테넌트 내부
시큐리티
Cisco Virtual ASA
전체 기능 지원
Virtual ASA
• ASA 9.x 어플라이언스의 전체 기능 지원
(Multi-Context & Clustering만 제외)
• 기존 어플라이언스와 동일
• ASA에 추가로 VXLAN & 서비스 tagging
추가
• Nexus1000v 필요 않음
• Virtual North-South & East-West 경우
모두 지원함
• Transparent/routed 모드, 모든 라우팅
프로토콜, 모든 VPN (S2S and RA), 기타.
Note: Virtual ASA는 ASA1000V의 모든 사용자 케이스를 지원함
- 43. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 43
Virtual 방화벽 비교
Virtual Security Gateway
ASA 1000V
Nexus 1000V
Ingress/Egress multi-tenant edge
deployment
Zone based intra-tenant
segmentation of VMs
Nexus 1000V
Virtual Service Nodes
Hypervisor
vPATH
Network
Admin
Security
Admin
Server
Admin
vCenter Nexus 1KV VNMC
Virtual ASA (ASAv) Full-featured ASA Firewall
implemented as VM
- 44. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 44
ASAv 소개
- 45. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 45
ASA 기능 완벽 지원
Virtual ASA 소개
Cisco® ASAv
ASA 오픈
아키텍처
유연한
라이센싱 모델
무기한, 기간 및 사용량
VCPU 라이선스 풀
멀티-하이퍼바이저
멀티-V스위치
오픈 APIS
- 46. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 46
Virtual Firewall 그리고 물리적 네트워크 연동
46
Hypervisor
vSwitch
vPath
Hypervisor
vSwitch
vPath
Hypervisor
Protected VRF
Sub Zones
10.1.1.252 10.1.1.253
10.1.2.254
Nexus 1000V
vPath
Virtual ASA
ASA 5585
Layer 3
10.1.1.254 Layer 3
10.1.3.254
Layer 3
10.1.2.254
Layer 2
Core
Aggregation
ASA 5585
Virtual ASA Virtual ASA
Virtual ASA
Virtualization with
Nexus1000v, VSG
for vE/W and Virtual
ASA for vN/S use-
cases
Virtualization without
Nexus1000v, using only
Virtual ASA for vN/S
and vE/W use-cases
- 47. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 50
라우티드 방화벽
Routed Firewall
• vNIC 간의 라우팅 트래픽
• ARP 와 라우팅 테이블 유지
• 테넌트 종단 방화벽
트렌스페어런트 방화벽
Transparent Firewall
• VLAN 또는 VxLAN 브릿징 / 스티칭(Stitching)
• MAC-어드레스 테이블 유지
• L3 디자인에 간섭 없음
서비스 테그 스위칭
Service Tag Switching
• 서비스 테그 간 검열(inspection) 적용
• 네트워크에 참여 않음 (No network participation)
• 페브릭 통합 모드 (Fabric integration mode)
ASAv 구축 모드
*참조) 스티칭: 노드를 점점이 연결해 나가는 것
- 48. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 51
192.168.1.1 192.168.1.100
10.1.1.1
172.16.1.1
192.168.100.1
HTTP (TCP/80)
HTTPS (TCP/443)
SSH (TCP/22)
SMTP (TCP/25)
ICMP
access-list OUT permit tcp host 192.168.1.1 host 10.1.1.1 eq 80
access-list OUT permit tcp host 192.179.1.1 host 10.1.1.1 eq 443
[…]
access-list OUT permit icmp host 192.168.1.100 host 192.168.100.1
30 ACL Rules
172.18.20.13
access-list OUT permit tcp host 172.18.20.13 host 10.1.1.1 eq 80
access-list OUT permit tcp host 172.18.20.13 host 10.1.1.1 eq 443
[…]
access-list OUT permit icmp host 172.18.20.13 host 192.168.100.1
15 ACL Rules
45 ACL Rules
Network Admin Security Admin
Add client
172.18.20.13, call
Security Admin to
enable access
Remove client
192.168.1.1, “no other
action necessary”
Add ASA rules for
client 172.18.20.13
Original ASA rules
never change
4
1
2
2
3
4
Servers
Clients
TRADTIONAL ASA MODEL
- 49. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 52
10.1.1.1
172.16.1.1
192.168.100.1
Servers
192.168.1.1
192.168.1.100
172.18.20.13
HTTP (TCP/80)
HTTPS (TCP/443)
SSH (TCP/22)
SMTP (TCP/25)
ICMP
Source EPG
Leaf 1, port 1 Users
Leaf 1, port 10 Users
Destination EPG
Leaf 3, port 2 Servers
Leaf 4, port 8 Servers
Leaf 5, port 12 Servers
Service Action
TCP/80 Redirect, ASA1
TCP/443 Redirect, ASA1
TCP/22 Redirect, ASA1
TCP/25 Redirect, ASA1
ICMP Redirect, ASA1
Leaf 2, port 12 Users
Port Rules
Network Admin
Add client 172.18.20.13,
use standard ASA template
Remove client
192.168.1.1
Security Admin
Create standard ASA
advanced policy
templates in APIC
Advanced policies,
limited ACL rules
Same 5 port–level
service rules and
actions
ASA1
Clients
ACI MODEL /w Service Tag Switching
[TrustSec과 STS는 유사함!]
- TrustSec : Campus
- Service Tag Switching : for DC
- 50. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 53
만기 이전까지
종신 계약
서비스 프로바이더
사용량에 따른 과금
(vCPU 들의 사용 시간)
사용후 지불
(매달 / 쿼터 단위 과금)
기간제 기반의 라이선스
1 년
엔터프라이즈
전통적 고정 지불 방식
사용전 지불
3 년 5 년
유연한 라이센싱 정책
사용량 기반의 라이선스
- 51. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 54
멀티테넌트 및
어플리케이션 인지
읽기/쓰기
SOUTHBOUND API
ACI를 위한
공개된 디바이스 관리
표준 규정 준수
모니터링 기능
하이퍼바이저
지원
오케스트레이션
프레임웍
다양햔 시큐리티 플랫폼 지원을 위한 ASA
TOP 레벨의 인더스트리 리딩 데이터 센터 플랫폼
시스템
관리
CSM
PNSC
ASA
- 52. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 55
물리적 방화벽 어플라이언스
가상화 방화벽 어플라이언스
Nexus® 1000V Third-Party Switch
vSwitch
VMware
ASA IOS 전기능 지원
통합된 다양한 라이센스 정책
API 기반의 관리
APIC
KVM Hyper-V Xen
3rd-Party CSM PNSC ASDM CLI
IOS 전기능 지원, 개방향 ASA 플랫폼
- 53. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 57
소프트웨어 로드맵
- 54. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 58
Q1
9.0.2
Q2
9.1.2
Q3
9.1.3
Windows 8 Support for clientless
SSL VPN
Clustering Feature
Enhancements
CC/FIPS-140 & DoD UC-
APL Certification
I/O Module support for 5585-
X Platforms
DC Power Supply Support
for 5585-X Platforms
NetFlow Support
Enhancements
ASA 5585-X SSP-40 & SSP-
60 Support for ASA-CX
Packet Capture
Enhancements for ASA-CX
Per-Context ASA Service
Policies for ASA-CX
Q4
Launch of ASAv and ASA
integration into Nexus 9K and
Application Policy Infrastructure
Controller (APIC)
Launched Beat-Checkpoint
Campaign (http://beat-
checkpoint-dc.cisco.com)
EoL Process Initiated for older
ASA Software Releases
릴리즈 둘러보기
- 55. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 59
가상방화벽 기능 추가
• Dynamic Routing
• VPN for Site to Site
• Mixed Mode Firewall Support
신규 시스코 클라우드 기반 웹 컨텐츠 보안 서비스 통합
IPv6 방화벽 및 VPN 기능 추가
• Integrated IPv4 and IPv6 security policy
• Network Address Translation (NAT) 66/64 and DNS 64
• Dynamic Host Configuration Protocol (DHCP) v.6 relay
• Open Shortest Path First (OSPF) v.3 (dynamic routing for IPv6)
신규 방화벽 클러스터링 기능
리모트 억세스 VPN 기능 추가
ASA1K만제외
ASA5585-X
ASA5585-X
ASA5500-X
ASA1K만제외
ASA1K만제외
ASA 9.0 주요 기능
- 56. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 60
가상방화벽 기능 추가
• Dynamic Routing
• VPN for Site to Site
• Mixed Mode Firewall Support
신규 시스코 클라우드 기반 웹 컨텐츠 보안 서비스 통합
IPv6 방화벽 및 VPN 기능 추가
• Integrated IPv4 and IPv6 security policy
• Network Address Translation (NAT) 66/64 and DNS 64
• Dynamic Host Configuration Protocol (DHCP) v.6 relay
• Open Shortest Path First (OSPF) v.3 (dynamic routing for IPv6)
신규 방화벽 클러스터링 기능
리모트 억세스 VPN 기능 추가
ASA 9.0 주요 세일즈 포인트!
• IPv6 적용시 퍼포먼스 저하 없음
• IPv6 적용시 connection은 IPv4 대비 90~95%
수준 유지 (NAT 적용시는 약 50% 수준)
• 최대 640Gbps 제공 (16 ASA5585-X 기준)
• 기존 L2 스위치와도 L2 ECLB 연동 가능
• 별도의 ADC(L4 load balancer) 필요 없음
• Enterprise에서 HQ/Branch간 VPN 수요 높음
• IPSEC/SSL VPN 동시 적용 가능 (세션수는 공유)
• AnyConnect Essential 에서 클라이언트-기반 SSL
지원, Premium에서 클라이언트리스 SSL 지원
• ASA HA 구성시 라이센스 공유(1set 만 구매)
• Mobile 라이센스 구매로 AnyConnect IKEv2
enable
• IOS 8.4 부터 64bit 운영 체제 제공
• Context 별 Transparent or Routed mode 설정
가능
- 57. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 61
ASA OS 단순화
OS 일관성 유지
Short-Lived 릴리즈를 통한 기능 개발 가속화
Long-Lived 릴리즈와 전달과 증명서(Cert)에
집중
CCO 문서들을 통한 고객의 ASA OS 라이프
사이클 이해
ASA
SOFTWARE
9.1 9.0
8.7
- 58. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 63
How We Win
- 59. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Presentation_ID 64
Nexus9500 & ACI 세일즈와 ASAv 연동
클러스터링 통한 최대 640Gbps 성능 제공
ACI 패브릭 모드와 SGT(Service Group Tag) 연동 모델
ASA1000v를 ASAv로 업그레이드
KEY TAKEAWAYS
