基于网络安全的思智防火墙产品与支持服务方案概述

思智团队十分注重客户平台及系统的威胁防护问题，帮助用户可以有效地降低风险，而传统的统一威胁管理 (例如UTM) 和单点解决方案都无法做到全面的威胁防护。大量研究中都突出证明了这一点，其中包括来自全球领先的网络安全公司“思科”的一项研究在该报告中，每个组织都应承认被黑客攻击过。威胁研究人员发现，在他们所观察的所有企业网络中都会发现恶意流量。有证据表明，网络攻击者曾渗透到这些网络中，而且其操作可能在很长一段时间内都未被发现。

当今世界，存在多方位的持续威胁、不安定的 IT 环境和不断增加的用户移动性，这些因素促使更多的组织寻求能够提供经济高效的分层威胁防护的网络安全产品和支持服务。虽然有许多解决方案也力求满足这一需求，但目前能提供有效安全性所需的全部功能的防火墙仍寥寥无几。 不是只有大型组织，任何组织，无论规模大小，都面临着严峻的安全挑战。据美国国家网络安全联盟在 2004 年的报道，41% 的定向网络攻击都集中攻击员工人数少于 500 人的组织。此外，《纽约时报》在 2014 年报道，越来越多的中小企业被他们较大型的合作伙伴要求采用更强大的威胁防卸计划。高级威胁防御成为热门议题并不奇怪，因为任何规模的企业都力求更好地保护他们的客户数据、员工信息、知识产权和企业机密内容。

因此，很明显小型企业目前迫切需要使用包括防火墙在内的高级威胁防卸功能，更有重点企业需求专业技术团队的安全协作支持。

核心网络安全解决方案的评估标准

您评估我们的方案时，对确定以下三个关键的成功因素非常重要。

● 专党政军的安全防护系统定制解决方案

● 专为中小企业和分布式企业而定制

● 专注于威胁，可以提供有效的信息安全和高级恶意软件防护

● 降低复杂性和成本

专为中小企业和分布式企业而定制

“适合”在这里至关重要，不仅涉及到采购成本和吞吐量，还涉及到可管理性。大多数中小企业的资源有限。比如，除了许多其他的工作职责外，很多 IT 人员还要分担信息安全职责，这种情况很常见。中小企业需要能够有效管理的安全解决方案。

大型企业通常能够提供资源，来负责安全事件和事故管理 (SEIM)。而对许多小型企业而言，SEIM 可能不切实际。

负责安全事务的 IT 经理通常只想了解最高优先级的威胁，以便团队能够迅速调查和解决。

管理灵活性也非常重要。随着组织的发展（例如增加远程办公室时），原始投资能保持它的价值。通常，机上管理适合单实例部署，而多实例部署受益于集中管理。

专注于威胁防护

通常，传统的防火墙使用多种安全功能，但所提供的安全功效欠佳，而且也不能提供下一代 IPS (NGIPS) 功能和高级恶意软件防护。要真正地专注于威胁防护，安全解决方案必须包括状态防火墙、NGIPS 和高级恶意软件防护，以便提供网络可视性并且能够识别和修复恶意软件活动。

除了识别威胁外，我们的方案还应该能够基于已知行为因素和可疑行为因素的关联情况，报告攻陷指数 (IoC)并监控用户活动以确定异常行为。这些工具应与 URL 信誉过滤、应用可视性和访问控制相集成，从而降低威胁暴露，并满足合规性和内部使用政策的要求。

该解决方案还必须能通过访问策略、虚拟网络分段，以及安全的站点到站点和远程访问 VPN 连接，降低常见（但非常重要）的网络风险。这个基准对于您做出购买决策，是一个非常有用的起点。例如，并非所有的第 7 层应用控制解决方案都包括一流的状态防火墙和 VPN 功能。

最后（可能也是最重要的）一点，即使同时启用多种安全服务，我们必须提供通告性能。在这里，联系我们的技术支持团队，能够与您合作，适当地评估解决方案规模，来满足您的环境和安全要求并选择一个能满足今后需求的平台。

降低复杂性和成本

很少有组织配备专用的安全运营中心 (SOC) 或专用的安全人员。请在评估安全解决方案时提出以下问题：

● IT 专家可以使用这个解决方案吗？

● 它能减少员工花在非常耗时的活动上的时间吗，如恶意软件修复？

● 它能把分析师从识别哪些事件有意义和可行的沉闷工作中解放出来吗？

● 它能通过根据不断变化的环境自动定制策略来提供安全自动化，以帮助不断调整防御吗？

● 它能提供相关的事件视图来简化并加快事件分类和分析吗？

配合思智安全技术支持的下一代网络安全产品

满足中小企业的需求：具备 FirePOWER 服务的 Cisco ASA

具备 FirePOWER? 服务型号 5506-X、5508-X 和 5516-X 的 Cisco ASA，以及加强型的 5506H-X 和无线 5506W-X 变体，都能满足对卓越的威胁防范、较低的总拥有成本和管理灵活性的需求。状态防火墙、VPN 以及所有的 NGFW 功能，都组合到一个机上管理器中，即思科自适应安全设备管理器 (ASDM) 增强版，它非常适合单实例和独立部署。

如果集中管理是首选项，具备 FirePOWER 服务的 ASA 由 Cisco Security Manager (CSM) 和 Cisco FireSIGHT? 管理中心进行管理。如果使用集中管理，仅有 NGFW 解决方案才能在整个攻击过程中提供集成的威胁防御：攻击前、攻击中和攻击后（参见图 1）。

图 1. 具备 FirePOWER 服务的 Cisco ASA 防火墙

具备 FirePOWER 服务的 Cisco ASA 是第一个专注于威胁防护的 NGFW，开创了威胁防卸和高级恶意软件防护的新纪元。其动态控制措施可提供无与伦比的可视性和实时威胁防范。NGFW 解决方案结合使用了思科自适应安全设备 (ASA) 和 FirePOWER 服务的成熟的安全功能。

Cisco ASA

Cisco ASA 是全世界部署最为广泛的企业级状态化防火墙，具有远程接入 VPN 及高级群集功能，可实现高度安全性、高性能接入及高可用性，确保业务连续性。此外，该解决方案与 Cisco AnyConnect® 移动客户端版本 4 紧密集成，除了其他功能外，该版本还支持逐个应用的 VPN 拆分隧道。Cisco AnyConnect VPN 客户端是世界上部署最广泛的 VPN 客户端，超过 1.3 亿个客户端都在使用它。对于想使用本地 VPN 客户端的组织，许多客户端都受 Cisco ASA 支持，包括本地 Apple iOS 和 Android Samsung 客户端。

Cisco FirePOWER 服务

单个平台上的一流多层威胁防护功能 Cisco FirePOWER 服务是行业领先的威胁防护和高级恶意软件防护功能，根据 NSS Labs 独立测试得出的结果，其在威胁防御有效性方面的排名位居第一。

如图 1 所示，具备 FirePOWER 服务的 Cisco ASA 可以提供：

● 卓越的多层威胁防范，对已知威胁和未知威胁均可防御，包括有目标的持续恶意软件攻击。

● 高级恶意软件防护 (AMP)，提供行业领先的漏洞检测效能、较低的总拥有成本以及优异的防护价值。它使用大数据来检测、了解和阻止高级恶意软件爆发。AMP 提供必要的可视性与可控性，帮助阻止其他安全层未检测到的威胁。

下一代入侵防御系统 (NGIPS) 提供高效的威胁防御以及对用户、基础设施、应用及内容的完全情景感知，从而能够检测多途径威胁并实现防御响应的自动化。对恶意软件文件轨迹的情景感知有助于确定感染范围和根本原因，从而缩短采取补救措施的时间。竞争对手的 UTM 和 NGFW 解决方案提供基本的 IPS 功能，但并不是 Gartner Group 所规定的完整的 NGIPS 功能。

● 精细的应用可视性与可控性 (AVC) 通过 3000 个应用层和基于风险的控件优化安全有效性，从而可以调用定制的 IPS 威胁检测策略。

● VPN 功能足够强健，不仅能提供传统的站点到站点和远程访问 VPN 功能，还能提供用于移动设备的强大的 VPN 功能，其中包括面向关键企业应用的分离隧道选项，而不是面向满足个人需求的用户应用。

灵活的管理选项

具备 FirePOWER 服务的 Cisco ASA 提供多种管理解决方案，包括集中和机上管理器。思科自适应安全设备管理器 (ASDM) 7.3 及更高版本是推荐用于单实例部署的机上管理器。ASDM 对所有的 NGFW 功能进行整合管理，并可缩短员工专门用来管理 NGFW 的时间。对于多实例部署，具备 FirePOWER 服务的 Cisco ASA 可由 Cisco FireSIGHT 管理中心进行集中管理。它提供无与伦比的网络可视性与自动化，可以应对不断变化的情况和新出现的攻击。借助 FireSIGHT 管理中心，安全团队可以随时网络上发生的情况：用户、设备、虚拟机间的通信、漏洞、威胁、客户端应用、文件和网站。

核心网络安全解决方案的评估标准

您评估我们的方案时，对确定以下三个关键的成功因素非常重要。

● 专党政军的安全防护系统定制解决方案

● 专为中小企业和分布式企业而定制

● 专注于威胁，可以提供有效的信息安全和高级恶意软件防护

● 降低复杂性和成本

专为中小企业和分布式企业而定制

“适合”在这里至关重要，不仅涉及到采购成本和吞吐量，还涉及到可管理性。大多数中小企业的资源有限。比如，除了许多其他的工作职责外，很多 IT 人员还要分担信息安全职责，这种情况很常见。中小企业需要能够有效管理的安全解决方案。

大型企业通常能够提供资源，来负责安全事件和事故管理 (SEIM)。而对许多小型企业而言，SEIM 可能不切实际。

负责安全事务的 IT 经理通常只想了解最高优先级的威胁，以便团队能够迅速调查和解决。

管理灵活性也非常重要。随着组织的发展（例如增加远程办公室时），原始投资能保持它的价值。通常，机上管理适合单实例部署，而多实例部署受益于集中管理。

专注于威胁防护

通常，传统的防火墙使用多种安全功能，但所提供的安全功效欠佳，而且也不能提供下一代 IPS (NGIPS) 功能和高级恶意软件防护。要真正地专注于威胁防护，安全解决方案必须包括状态防火墙、NGIPS 和高级恶意软件防护，以便提供网络可视性并且能够识别和修复恶意软件活动。

除了识别威胁外，我们的方案还应该能够基于已知行为因素和可疑行为因素的关联情况，报告攻陷指数 (IoC)并监控用户活动以确定异常行为。这些工具应与 URL 信誉过滤、应用可视性和访问控制相集成，从而降低威胁暴露，并满足合规性和内部使用政策的要求。

该解决方案还必须能通过访问策略、虚拟网络分段，以及安全的站点到站点和远程访问 VPN 连接，降低常见（但非常重要）的网络风险。这个基准对于您做出购买决策，是一个非常有用的起点。例如，并非所有的第 7 层应用控制解决方案都包括一流的状态防火墙和 VPN 功能。

最后（可能也是最重要的）一点，即使同时启用多种安全服务，我们必须提供通告性能。在这里，联系我们的技术支持团队，能够与您合作，适当地评估解决方案规模，来满足您的环境和安全要求并选择一个能满足今后需求的平台。

降低复杂性和成本

很少有组织配备专用的安全运营中心 (SOC) 或专用的安全人员。请在评估安全解决方案时提出以下问题：

● IT 专家可以使用这个解决方案吗？

● 它能减少员工花在非常耗时的活动上的时间吗，如恶意软件修复？

● 它能把分析师从识别哪些事件有意义和可行的沉闷工作中解放出来吗？

● 它能通过根据不断变化的环境自动定制策略来提供安全自动化，以帮助不断调整防御吗？

● 它能提供相关的事件视图来简化并加快事件分类和分析吗？

配合思智安全技术支持的下一代网络安全产品

满足中小企业的需求：具备 FirePOWER 服务的 Cisco ASA

具备 FirePOWER? 服务型号 5506-X、5508-X 和 5516-X 的 Cisco ASA，以及加强型的 5506H-X 和无线 5506W-X 变体，都能满足对卓越的威胁防范、较低的总拥有成本和管理灵活性的需求。状态防火墙、VPN 以及所有的 NGFW 功能，都组合到一个机上管理器中，即思科自适应安全设备管理器 (ASDM) 增强版，它非常适合单实例和独立部署。

如果集中管理是首选项，具备 FirePOWER 服务的 ASA 由 Cisco Security Manager (CSM) 和 Cisco FireSIGHT? 管理中心进行管理。如果使用集中管理，仅有 NGFW 解决方案才能在整个攻击过程中提供集成的威胁防御：攻击前、攻击中和攻击后（参见图 1）。

图 1. 具备 FirePOWER 服务的 Cisco ASA 防火墙

具备 FirePOWER 服务的 Cisco ASA 是第一个专注于威胁防护的 NGFW，开创了威胁防卸和高级恶意软件防护的新纪元。其动态控制措施可提供无与伦比的可视性和实时威胁防范。NGFW 解决方案结合使用了思科自适应安全设备 (ASA) 和 FirePOWER 服务的成熟的安全功能。

Cisco ASA

Cisco ASA 是全世界部署最为广泛的企业级状态化防火墙，具有远程接入 VPN 及高级群集功能，可实现高度安全性、高性能接入及高可用性，确保业务连续性。此外，该解决方案与 Cisco AnyConnect® 移动客户端版本 4 紧密集成，除了其他功能外，该版本还支持逐个应用的 VPN 拆分隧道。Cisco AnyConnect VPN 客户端是世界上部署最广泛的 VPN 客户端，超过 1.3 亿个客户端都在使用它。对于想使用本地 VPN 客户端的组织，许多客户端都受 Cisco ASA 支持，包括本地 Apple iOS 和 Android Samsung 客户端。

Cisco FirePOWER 服务

单个平台上的一流多层威胁防护功能 Cisco FirePOWER 服务是行业领先的威胁防护和高级恶意软件防护功能，根据 NSS Labs 独立测试得出的结果，其在威胁防御有效性方面的排名位居第一。

如图 1 所示，具备 FirePOWER 服务的 Cisco ASA 可以提供：

● 卓越的多层威胁防范，对已知威胁和未知威胁均可防御，包括有目标的持续恶意软件攻击。

● 高级恶意软件防护 (AMP)，提供行业领先的漏洞检测效能、较低的总拥有成本以及优异的防护价值。它使用大数据来检测、了解和阻止高级恶意软件爆发。AMP 提供必要的可视性与可控性，帮助阻止其他安全层未检测到的威胁。

下一代入侵防御系统 (NGIPS) 提供高效的威胁防御以及对用户、基础设施、应用及内容的完全情景感知，从而能够检测多途径威胁并实现防御响应的自动化。对恶意软件文件轨迹的情景感知有助于确定感染范围和根本原因，从而缩短采取补救措施的时间。竞争对手的 UTM 和 NGFW 解决方案提供基本的 IPS 功能，但并不是 Gartner Group 所规定的完整的 NGIPS 功能。

● 精细的应用可视性与可控性 (AVC) 通过 3000 个应用层和基于风险的控件优化安全有效性，从而可以调用定制的 IPS 威胁检测策略。

● VPN 功能足够强健，不仅能提供传统的站点到站点和远程访问 VPN 功能，还能提供用于移动设备的强大的 VPN 功能，其中包括面向关键企业应用的分离隧道选项，而不是面向满足个人需求的用户应用。

灵活的管理选项

具备 FirePOWER 服务的 Cisco ASA 提供多种管理解决方案，包括集中和机上管理器。思科自适应安全设备管理器 (ASDM) 7.3 及更高版本是推荐用于单实例部署的机上管理器。ASDM 对所有的 NGFW 功能进行整合管理，并可缩短员工专门用来管理 NGFW 的时间。对于多实例部署，具备 FirePOWER 服务的 Cisco ASA 可由 Cisco FireSIGHT 管理中心进行集中管理。它提供无与伦比的网络可视性与自动化，可以应对不断变化的情况和新出现的攻击。借助 FireSIGHT 管理中心，安全团队可以随时网络上发生的情况：用户、设备、虚拟机间的通信、漏洞、威胁、客户端应用、文件和网站。

配合思智安全技术支持的下一代网络安全产品

满足中小企业的需求：具备 FirePOWER 服务的 Cisco ASA

具备 FirePOWER? 服务型号 5506-X、5508-X 和 5516-X 的 Cisco ASA，以及加强型的 5506H-X 和无线 5506W-X 变体，都能满足对卓越的威胁防范、较低的总拥有成本和管理灵活性的需求。状态防火墙、VPN 以及所有的 NGFW 功能，都组合到一个机上管理器中，即思科自适应安全设备管理器 (ASDM) 增强版，它非常适合单实例和独立部署。

如果集中管理是首选项，具备 FirePOWER 服务的 ASA 由 Cisco Security Manager (CSM) 和 Cisco FireSIGHT? 管理中心进行管理。如果使用集中管理，仅有 NGFW 解决方案才能在整个攻击过程中提供集成的威胁防御：攻击前、攻击中和攻击后（参见图 1）。

图 1. 具备 FirePOWER 服务的 Cisco ASA 防火墙

具备 FirePOWER 服务的 Cisco ASA 是第一个专注于威胁防护的 NGFW，开创了威胁防卸和高级恶意软件防护的新纪元。其动态控制措施可提供无与伦比的可视性和实时威胁防范。NGFW 解决方案结合使用了思科自适应安全设备 (ASA) 和 FirePOWER 服务的成熟的安全功能。

Cisco ASA

Cisco ASA 是全世界部署最为广泛的企业级状态化防火墙，具有远程接入 VPN 及高级群集功能，可实现高度安全性、高性能接入及高可用性，确保业务连续性。此外，该解决方案与 Cisco AnyConnect® 移动客户端版本 4 紧密集成，除了其他功能外，该版本还支持逐个应用的 VPN 拆分隧道。Cisco AnyConnect VPN 客户端是世界上部署最广泛的 VPN 客户端，超过 1.3 亿个客户端都在使用它。对于想使用本地 VPN 客户端的组织，许多客户端都受 Cisco ASA 支持，包括本地 Apple iOS 和 Android Samsung 客户端。

Cisco FirePOWER 服务

单个平台上的一流多层威胁防护功能 Cisco FirePOWER 服务是行业领先的威胁防护和高级恶意软件防护功能，根据 NSS Labs 独立测试得出的结果，其在威胁防御有效性方面的排名位居第一。

如图 1 所示，具备 FirePOWER 服务的 Cisco ASA 可以提供：

● 卓越的多层威胁防范，对已知威胁和未知威胁均可防御，包括有目标的持续恶意软件攻击。

● 高级恶意软件防护 (AMP)，提供行业领先的漏洞检测效能、较低的总拥有成本以及优异的防护价值。它使用大数据来检测、了解和阻止高级恶意软件爆发。AMP 提供必要的可视性与可控性，帮助阻止其他安全层未检测到的威胁。

下一代入侵防御系统 (NGIPS) 提供高效的威胁防御以及对用户、基础设施、应用及内容的完全情景感知，从而能够检测多途径威胁并实现防御响应的自动化。对恶意软件文件轨迹的情景感知有助于确定感染范围和根本原因，从而缩短采取补救措施的时间。竞争对手的 UTM 和 NGFW 解决方案提供基本的 IPS 功能，但并不是 Gartner Group 所规定的完整的 NGIPS 功能。

● 精细的应用可视性与可控性 (AVC) 通过 3000 个应用层和基于风险的控件优化安全有效性，从而可以调用定制的 IPS 威胁检测策略。

● VPN 功能足够强健，不仅能提供传统的站点到站点和远程访问 VPN 功能，还能提供用于移动设备的强大的 VPN 功能，其中包括面向关键企业应用的分离隧道选项，而不是面向满足个人需求的用户应用。

灵活的管理选项

具备 FirePOWER 服务的 Cisco ASA 提供多种管理解决方案，包括集中和机上管理器。思科自适应安全设备管理器 (ASDM) 7.3 及更高版本是推荐用于单实例部署的机上管理器。ASDM 对所有的 NGFW 功能进行整合管理，并可缩短员工专门用来管理 NGFW 的时间。对于多实例部署，具备 FirePOWER 服务的 Cisco ASA 可由 Cisco FireSIGHT 管理中心进行集中管理。它提供无与伦比的网络可视性与自动化，可以应对不断变化的情况和新出现的攻击。借助 FireSIGHT 管理中心，安全团队可以随时网络上发生的情况：用户、设备、虚拟机间的通信、漏洞、威胁、客户端应用、文件和网站。