Cisco Firepower

Essentials

Introducción a FTD
Versión 3.1
Oscar Antonio Gerometta
CCSI
Junio 2019
• ¿Qué es un NGFW?
• Plataformas
• Firewall y AVC
• Threat Defense
• Opciones para la gestión
• Integración en la arquitectura
• Migración
• Licenciamiento
• Casos de uso
¿Qué es un NGFW?
 Completamente Focalizado en amenazas Gestión unificada
integrado
• FW / aplicaciones / IPS • Visibilidad de toda la red • A lo largo de todo el ataque
• Cisco® AMP – network / • La major protección de • Gestión, control e
endpoint
amenazas de la industria investigación
• Análisis y remediación
• Cisco security solutions • Amenazas conocidas y • Priorización automática
• Atento a DDoS de desconocidas • Protección automática
aplicaciones • Seguir / Contener /
Recuperar
“Se puede proteger lo que se puede ver”
Aplicaciones cliente

Sistemas operativos

Comandos y
control de
Transferencia servidores Dispositivos móviles
de archivos
Amenazas
Routers y switches
Usuarios Protocolos
de aplicación
Aplicaciones web Impresoras
IPS típico Malware

Servidores de red
NGFW típico
Teléfonos VoIP

Cisco Firepower™ NGFW & GFWv

Plataformas
 PyME Rango medio Enterprise

Firepower 1000 ASA 5525-X/ ASA 5545-X/

ASA 5555-X ASA 5585-X

Firepower Firepower
ASA 5506-X / 5506W-X / 5506H-X / 2110/2120 2130/2140 Firepower Firepower 9300
5508-X / 5516-X 4110/4120/4140/4150

NGFWs para SMBs y empresas Seguridad de nivel corporativo para el Para seguridad carrier grade en el borde de
distribuidas, con un bajo TCO, y gestion de borde de Internet, con threat defense, Internet para data centers y otras
seguridad simplificada. buena performance, y gestión simplificada. configuraciones de alta performance, con
seguridad multiservicio, arquitectura flexible
y gestión unificada.
Firepower Threat Defense Firepower 1000 Series Firepower 4100 Series
para ASA 5500-X y Firepower 2100 Series y Firepower 9000

250 Mb -> 1,75 Gb 2 Gb -> 8 GB 41xx = 10 Gb -> 24 Gb

(NGFW + IPS Throughput) (NGFW + IPS Throughput) 93xx = 24 Gb -> 53Gb

Capacidad de NGFW gestionable con Firepower Management Center

 5506 / 5508 / 5516 5525 / 5545 / 5555
Gestión unificada
Performance Performance
• Interfaces de 1-Gbp • Interfaces de 1-Gbp • Adaptive Security Device Manager
• Hasta 450 Mbps de throughput • Hasta 1,2 Gbps de throughput (ASDM)

• Wireless opcional 5506-X • 5545 / 5555 Fuente de • Firepower Management Center

• Capacidades de conmutación por alimentación redundante y SSD (Gestión corporativa)
software opcional
• Firepower Device Manager
• Software Firepower Threat • Software Firepower Threat (Gestión en el dispositivo)
Defense o ASA Defense o ASA
• Cisco Defense Orchestrator
(Gestión en la nube)
 Optimización de Diseñado como
rendimiento y densidad
Gestión unificada
NGFW

• Interfaces de 1 Gbp • Motores de inspección • Firepower Management Center

• Hasta 2,2-Gbps throughput integrados para FW, NGIPS, (Gestión corporativa)
Application Visibility and Control
• Formato escritorio o 1 RU
(AVC), URL filtering, Cisco • Firepower Device Manager
• 2 ranuras SSD Advanced Malware Protection (Gestión en el dispositivo)
• 8 x puertos RJ45, hasta 4xSFP (AMP)
• Cisco Defense Orchestrator
(Gestión en la nube)
 FPR 1010 FPR 1120 FPR 1140

Throughput NGFW 0,650 Gbps 1,5 Gbps 2,2 Gbps

No sufre caída de
rendimiento
Throughput NGFW +
IPS
0,650 Gbps 1,5 Gbps 2,2 Gbps

Sesiones concurrentes
máximas
100.000 200.000 400.000

Cantidad de nuevas
conexiones por 6.000 15.000 22.000
segundo máximas
 Optimización de Diseñado como
rendimiento y densidad
Gestión unificada
NGFW

• Interfaces de 1 Gbp y 10 Gbps • Motores de inspección • Firepower Management Center

• Hasta 8,5-Gbps throughput integrados para FW, NGIPS, (Gestión corporativa)
Application Visibility and Control
• Formato 1 RU
(AVC), URL filtering , Cisco • Firepower Device Manager
• 2 ranuras SSD Advanced Malware Protection (Gestión en el dispositivo)
• 12x puertos RJ45, 4xSFP(+) (AMP)
• Cisco Defense Orchestrator
(Gestión en la nube)
 FPR 2110 FPR 2120 FPR 2130 FPR 2140
Throughput
NGFW
1,9 Gbps 3 Gbps 4,75 Gbps 8,5 Gbps
No sufre caída de
rendimiento
Throughput
NGFW + IPS
1,9 Gbps 3 Gbps 4,75 Gbps 8,5 Gbps

Sesiones
concurrentes 1M 1,2 M 2M 3,5 M
máximas

Cantidad de
nuevas
conexiones por
12.000 16.000 24.000 40.000
segundo máximas
 Optimización de Múltiples servicios
rendimiento y densidad
Gestión unificada
de seguridad
• Interfaces de 10 Gb y 40 Gb • Motores de inspección • Firepower Management Center
integrados para FW, NGIPS, (Gestión corporativa)
• Hasta 24-Gbps de throughput
Application Visibility and Control
• Formato 1 RU (AVC), URLfiltering, Cisco • Firepower Device Manager
Advanced Malware Protection (Gestión en el dispositivo)
• Baja latencia (AMP)
• Radware DefensePro DDoS • Cisco Defense Orchestrator
(Gestión en la nube)
• ASA y otras terceras partes a
futuro
 Múltiples servicios
Modular de seguridad
Carrier Class
Beneficios Beneficios Features
• Standards e interoperable • Integración de la mejor • Formato compacto de, 3RU
• Arquitectura flexible seguridad en su clase
• 10-Gbps / 40-Gbps / 100-Gbps
Features Features ready
• Seguridad basada en plantillas • Opción de un contenedor ASA • Backplane de terabit
• Contención segura para • Firepower™ Threat Defense: • Baja latencia, ruta inteligente
aplicaciones de clientes • NGIPS, AMP, URL, AVC
• Network Equipment-Building
• RESTful/JSON API • Contenedores de terceras
• Orquestación y gestion de partes: System (NEBS) ready
terceros • Radware DDoS
Features FPR 1000 FPR 2100 FPR 4100 FPR 9300
Rango de throughput
0,650 a 2,2 Gbps 2 a 8 Gbps 12 a 30 Gbps 30 a 54 Gbps
Firewall + AVC

Rango de throughput 2 to 8 Gbps

0,650 a 2,2 Gbps 10 to 24 Gbps 24 to 53 Gbps
Firewall + AVC+IPS

Velocidad de 1 / 10 / 40 / 100
1 Gbps 1 / 10 Gbps 1 / 10 / 40 Gbps
interfaces Gbps
Formato Desktop / 1 RU 1 RU 1 RU 3 RU
Clustering Si Si Si (v.6.2) Si (v.6.2)
Si (Radware Si (Radware
Otras aplicaciones Si Si
DDoS) DDoS)

Gestión del chasis Si Si Si Si

 Seguridad Postura de seguridad Arquitectura APIs y Modelo de
consistente consolidada abierta automatización licenciamiento flexible

Firepower NGFWv
Un NGFW para entornos virtuales y cloud
Firewall y AVC
SSL decryption engine

SSL Ejecución de
NGIPS AVC http://www.%$*#$@#$.com 
decryption engine decisiones
http://www.%$*#$@#$.com 

http://www.%$*#$@#$.com 
http://www.%$&^*#$@#$.com 
http://www.%$*#$@#$.com

http://www.%$*#$@#$.com 

http://www.%$*#$@#$.com 
gambling
http://www.%$*#$@#$.com 

http://www.%$*#$@#$.com 

http://www.%$&^*#$@#$.com elicit
http://www.%$*#$@#$.com 

http://www.%$*#$@#$.com 

Tráfico encriptado Log

Descifra 3,5 Gbps de tráfico sobre Hace seguimiento y registra todas las
Inspecciona los paquetes descifrados
cinco millones de flujos simultáneos sesiones SSL
Web controls

Campos seguros

00100101101
01001010100
Cisco URL Database
URL | IP | DNS

NGFW
Filtrado Búsqueda segura

apuestas

Allow Block
 

Allow Block

DNS Sinkhole Creación de políticas

basadas en categorías Administrador

Gestión simple de listas Bloqueo de las últimas

280M+ URLs clasificadas 80+ categorías de sitios “allow / block” URLs maliciosas
Application Visibility & Control


Cisco database
• +4000 apps 

• +180000

Micro-apps Redes y usuarios

 1 OpenAppID



2
Prioriza tráfico

Aplica un control de acceso Crea detectores para

Ver y comprender los riesgos Prioriza tráfico y limita recursos
granular aplicaciones propias
OpenAppID

Autoservicio Open-Source

Fácil adaptación de detectors de Detecta aplicaciones propietarios y

Comparte los detectores con otros usuarios
aplicaciones adaptadas
Prestaciones adicionales del firewall

Identidad integrada Portal Cautivo Políticas True-IP

• ISE • Active/Passive • X-Forwarded-For
• pxGrid • NTLM • True-Client-IP
• VDI • Kerberos • Custom Headers

Ajusta el objetivo de amenazas Aplica autenticación Analiza encabez. IP profundam

Límite de tasa Políticas de Túnnel

• Límite basado en reglas • Pre-filtrado
• Reportes • Política de priorización
• Reglas QoS • Migración de políticas

Control del uso de apps. Bloquea tráfico no deseado

Modos de implementación del firewall

Inline o Pasivo NetMods falla de cable Opciones adicionales

Inline Ruteado

NetMod
101110

Inline Tap Transparente

101110

Passive
Virtual o Físico
Firewall Clustering

Link Scalability Plan distribuido Cluster Inter-sitios

Aumenta el Maneja más

throughput conexiones Combina hasta

16
unidades Location A: Location B:
Austin Boston
Threat Defense
Next-Generation Intrusion Prevention System (NGIPS)

ISE
App & Device Data

Amenazas mezcladas
Priorización Políticas
de respuestas automáticas
010111010010 1
10 010001101 Block
010010 10 10
2
Paquetes de datos
• Perfilado de red 3
Comunicaciones • Ataques de fishing Accept
• Payload inocuo
• Llamadas infrecuentes

Escanea el tráfico de la red Correlaciona datos Detecta amenazas ocultas Responde basado en prioridades
 Toda detección es inferior al 100%

Firmas Huellas Machine Analítica Análisis

One-to-One Difusas Learning Avanzada Dinámico

Filtrado por reputación y sandboxing de archivos

Advanced Malware Protection (AMP)

c
Reputación Trayectoria de archivos
de archivos y dispositivos AMP for AMP for
Endpoint Log Network Log


?

Threat Grid Sandboxing Disposición de amenazas

• Firmas conocidas
• Analítica avanzada
• Huellas difusas • Análisis dinámico
Incierto Seguro Riesgoso
Aplicación a través de
• Indicadores de compromiso • Inteligencia de amenazas
Sandbox de análisis todos los endpoints

Investiga archivos
Bloquea malware conocido Detecta nuevas amenazas Responde a alertas
de modo seguro
Talos

Threat Intelligence Cobertura de Seguridad Equipo de Respuesta

muestras diarias de Endpoints

1,5 millones
malware
WWW
250+
Web
Ingenieros
600000 mensajes de correo Redes
Jan
millones electrónico diarios
NGIPS
24 x 7 x 365
Operación
16000 solicitudes web
diarias Dispositivos
millones

Mantenerse protegido con

Identificar amenazas avanzadas Utilizar inteligencia específica Detectar amenzas ocultas
actualizaciones
Opciones para la gestión
 On-box, gestion basada Gestión centralizada Orquestador de políticas
en web para multiples dispositivos para multiples sitios, basado en la nube

Firepower Device Manager Firepower Management Center Cisco Defense Orchestrator

Gestión Control Fácil Visión Gestión Automatización Interfaz Gestión Esperiencia de

consolidada mejorado configuración unificada escalable inteligente sencilla eficiente usuario optimizada
Firepower Device Manager Funciones mejoradas
Gestión consolidada

Gestione las capacidades básicas del firewall

y las soluciones Firepower (NGIPS, AMP, etc.)
con una interfaz unificada.

Control mejorado
Investigue incidentes, priorice respuestas,
y establezca control de acceso basado en roles
para incrementar para incrementar la seguridad
de la red.

Fácil configuración

Configure seguridad, control de acceso y

políticas con facilidad, con una interfaz on-box
simple.
Firepower Management Center Las mismas funciones confiables
Visión unificada
Tenga visibilidad de la red y los endpoints
con visión completa de la red, firewalls,
aplicaciones y amenazas en un solo lugar.

Gestión escalable
Utilice políticas heredadas y gestión basada
en roles para expandir fácilmente.

Automatización inteligente
Aproveche recomendaciones de reglas, APIs
de remediación y evaluaciones de impacto
para minimizar la carga de gestión.

New integration features

Threat Grid ISE AMP for Endpoints

 Máximo de Capacidad de
Modelo Formato
dispositivos eventos del IPS
Incrementa un 50% los dispositivos
gestionados
FMC 1000 1RU 50 30 millones

FMC 2500 1RU 300 60 millones Gestión centralizada para todas las
plataformas de amenazas
FMC 4500 1RU 750 300 millones (NGFW, ASA-FirePOWER Services, NGIPS,
FTD for ISR, AMP for Networks)
FMC virtual n.a. 2, 10, or 25 10 millones

Eficiencia de IT mejorada a través de

FMCv en AWS BYOL 2, 10, or 25 10 millones
la automatización

Plataforma de análisis abierta

(OpenAppID, Threat Intelligence Director,
pxGrid, eStreamer)
https://www.cisco.com/c/en/us/products/collateral/security/firesight-management-center/datasheet-c78-736775.html
Consola FMC

Base de Datos
Procesamient de Eventos
oy
Herramientas
correlación
de Analítica
de eventos en
tiempo real Base de Datos
de Configurac.
Cisco Defense Orchestrator Simplifica sin sacrificar
Interfaz sencilla
Gestiona protección de última generación para
múltiples dispositivos con facilidad a través de
una única interfaz.

Gestión eficiente
Gestiona políticas de seguridad desde un
único lugar y diseña e implementa políticas
uniformemente.

Experiencia de usuario optimizada

Configurar seguridad en una nueva sucursal
es tan fácil como copiar y pegar.
Integración en la
arquitectura
Cisco Defense Orchestrator

Gestión de Gestión basada en

Políticas de Seguridad búsquedas simples

Incorporación de dispositivos
• Importación offline
• Descubrimiento de dispositivos
Análisis de Objetos Gestion de aplicaciones, Modelado del Plantillas de
y Políticas URL, Malware & impacto del cambio seguridad
políticas de amenazas

Reportes
Notificaciones

Simplifica la gestion de políticas de seguridad en la nube con Cisco Defense Orchestrator Security

Reciba notificaciones de cambios no

Planifique y modele cambios en las políticas Implemente cambios en entornos virtuales
planeados a las políticas de seguridad y
de seguridad antes de aplicarlos en tiempo real u offline
objetos
Identity Services Engine (ISE)

ISE pxGrid TrustSec

BYOD Employee Tag Guest Tag
Supplier Tag Quarantine Tag ISE
Guest Access Server Tag Suspicious Tag

Propagar
Segmentación
• Contexto de usuario
• Contexto de disposit.
Firepower • Políticas de acceso
Management Center

Automatización de políticas

Configurar políticas Remediar brechas

Propagar reglas y contexto Establecer una red segura
de control de acceso automáticamente
REST APIs e integración con terceras partes

Funcionalidades personalizadas Firepower Management Center

• Tokens de autenticación API Explorer

• Control de acceso
• Virtual switch

APIs
Soluciones de terceras partes
• Radware DDoS
• VDI identity
• Capacidades de VPN

Prestaciones aumentadas con soluciones de terceras partes Prestaciones creadas por el usuario integradas
Firepower Mitigación de DDoS
Actualmente disponible en Firepower 9300 and 4100 series appliances.
Próximamente en Firepower 2100 series.

Cloud scrubber

Ataque SYN flood

Inundación Ataque DDoS
de tráfico
Ataque con paquetes no estándar
110101010101000101011011101010010010101010101001010101011101010
Tráfico Red y
010101101010101010001010110111010100100101010101010010101010111
legítimo 010101001010100101010111010101010100010101101110101001001010101 aplicaciones

Mantener hasta 42 Gbps Maneja 627000 Bloquea 5400000 paquetes

de capacidad de mitigación total conexiones por segundo de tráfico inundado por segundo

Detener ataques en segundos desde

Bloquear o permitir tráfico automáticamente
la detección
Virtual Desktop Infrastructure (VDI) Identity

www Agente de Terminal Services Firepower Management Center

10110110
10101111

User IPs User 1

VDI 192.068.0.23
123.018.6.53
135.036.5.49 APIs User 2

User 3

User 1 User 2 User 3

Enrutar información del usuario a los

Captura información utilizando APIs Identifica conductas de riesgo
terminal servers
Cisco Umbrella

Enfoque de vanguardia
100.000.000.000 • Teoría de grafos
Solicitudes diarias de DNS • Machine learning
• Inteligencia artificial
• Visualización 3D
+160
Países Equipos experimentados
• Científicos de datos
• Ingenieros
85.000.000 • Matemáticos
• Investigadores de
Usuarios activos diariamente
seguridad

Mayor visibilidad de amenazas

Obtener inteligencia de una gran base de datos
con la investigación líder de la industria
Remote and site-to-site VPN

AnyConnect

IKEv2 support

VPNs de terceros

Mantiene la performance
Extiende el acceso remoto Protege datos importantes Soporta múltiples sitios
de las aplicaciones
Cisco Intelligence Manager

Fuentes de terceros Elementos analíticos

• Crowdstrike • Threat Intelligence
• Flashpoint Platforms (TIPs)
• Soltra Edge • SIEM
Cisco Intelligence • Gestión IR
• EclecticIQ
Manager • Gestión de casos
• Lookingglass
STIX

CSV files
Abastece Comunica
Fuentes de Cisco Cisco Appliances
• Talos • NGFW
• ThreatGRID • ESA
• WSA

Análisis de Genera reportes de

Correlaciona información Refina seguridad en postura
información de seguridad incidentes enriquecidos
 Enfocados en amenazas Completamente integrados

Detiene más Logra más Detecta antes, Reduce la Brinda más

amenazas conocimiento actúa más rápido complejidad de su red

… protección superior y visibilidad para responder a nuevas necesidades, y más requerimientos.

3,5 horas
Tiempo promedio de
detección de Cisco

100 días
Tiempo promedio de
detección de la industria
Fuente: Cisco Annual Security Report 2016
Migración
Herramienta: asistente para la migración

Antes ASA appliance Firepower NGFW

Policies Settings Groups Policies Settings Groups

 Actualiza con Firepower 2100 Avanza hacia Firepower 4100

Si Ud. If you
tiene have
ASA 5525-X/ ASA 5545-X/ ASA 5585-X
ASA 5555-X

Firepower 2100 series Firepower 4100 Series

Actualice Refresh
con it with
Firepower Firepower Firepower Firepower
2110/2120 2130/2140 4110/4120 4140/4150

2100 Series disponible con 4100 Series disponible con

imagen de software Firepower Threat Defense. imagen de software ASA o Firepower Threat Defense.
 PyMES Rango medio Enterprise

Firepower 1000 ASA 5525-X/ ASA 5545-X/

ASA 5555-X ASA 5585-X

Firepower Firepower
ASA 5506-X / 5506W-X / 5506H-X / 2110/2120 2130/2140 Firepower Firepower 9300
5508-X / 5516-X 4110/4120/4140/4150

Seguridad de nivel corporativo para el Desde el borde de Internet hasta seguridad

NGFWs para SMBs y empresas borde de Internet, con defensa de nivel de Carrier para data centers y
distribuidas, con un bajo TCO, y gestion de amenazas superior, performance sostenida configuraciones de alta performance, con
seguridad simplificada. y gestión simple. seguridad multiservicio, arquitectura flexible
y gestión unificada.
 ASA 5585-X Opción de migración sugerida
con servicios FP Considerar requerimientos actuals y futuros

Si Ud. 5585-X S10 F40 Firepower 4110*

tiene * Mayor performance.
ASA 5585-X

5585-X S20 F20 Firepower 4120*

* Mayor performance
Firepower 4100 Series

5585-x S40 F40 Firepower 4140*

Reemplace Firepower 4110 Firepower 4120
* Mayor performance
con

5585-X S60 F60 Firepower 4140 o Firepower 4150*

Firepower 4140/4150
* Mayor performance.

Firepower 9300 Series para hasta 1,2 Tbps de

performance en el cluster
4100 Series disponible con imagen de software
ASA o Firepower Threat Defense.
https://www.cisco.com/c/en/us/products/collateral/security/firepower-ngfw/datasheet-c78-736661.html
https://communities.cisco.com/docs/DOC-70837
https://communities.cisco.com/docs/DOC-69840
https://communities.cisco.com/docs/DOC-69629
Conversión del Exportar la Importar la
Descargue el archivo
Archivo de configuración de ASA configuración de ASA
Configuración convertido
(cfg o txt) en la herramienta

Importación
Importar el archivo Crear o mapear Migrar la configuración
en
FMC en el FMC interfaces a zonas a políticas
 Importado como políticas de
control de acceso o prefiltrado

FMC
FMC
( Managing
Archivo .sfo
FTD Device )
Migration
Tool

Reporte Aplica
de
Migración Registro políticas de
ASA migración
Archivo
.cfg o .txt

Firepower
ASA
• Sólo se migra la configuración de ASA (no el modulo Firepower)
• Hay límites para la migración de ACLs y ACEs
• Sólo se migran las reglas y objetos aplicados
• Hay configuraciones de ACLs y NAT no soportados

• Network Objects • Network Objects

• Network Groups • Network Groups
• Object Groups anidados • Object Groups anidados

• Service Objects • Port Objects

• Service Groups • Port Groups
• Object Groups anidados • Object Groups planos

• Pre-Filter
• Access Policy o
• Access Policy
Cisco ASA to Firepower Threat Defense Migration Guide, Version 6.2
https://www.cisco.com/c/en/us/td/docs/security/firepower/620/asa2ftd-
migration/asa2ftd-migration-guide-620/asa2ftd_intro.html

ASA to FTD Migration Tool (Partner Community)

https://communities.cisco.com/docs/DOC-69629#comment-27781
Licenciamiento
• Management Center appliances físicos 1000, 2000, y 4000 o Management Center virtual.
• Verificar la Network Security Ordering Guide en la Security Partner Community para información
sobre la orden de FMCv https://communities.cisco.com/docs/DOC-70838
• El hardware del Management Center se selecciona sobre la base del despliegue de firewalls y el
número de appliances y eventos a monitorear.
• El SMARTnet se ordena por separado.
Hardware Software Licencias

(IPS / SI / DNS)

URL Filtering
(AMP / TG)
Malware
Firepower Threat

Threat
Defense (FTD)

Inspección Inspección
L2-L4 avanzada
(ASA) (FirePOWER)

Base (NGFW)
Azul = Temporales (1, 3, 5 años)
Verde = Permanentes (incluída)
• Licencia Base Permanente.
Provista junto con el appliance, comprende

(IPS / SI / DNS)

URL Filtering
networking, firewall y AVC.

(AMP / TG)
Malware
Threat
• Licencias Temporales para protección avanzada
(Threat, Malware y URL Filtering).
• Licencias temporales por 1, 3 y 5 años.
• El SMARTnet se ordena por separado.
• No se requieren las licencias tradicionales de ASA. Base (NGFW)
• Se requieren licencias para el par de HA. Azul = Temporales (1, 3, 5 años)
Verde = Permanentes (incluída)
 • Smart Licensing Reporte

Software

Servicios

Dispositivos

Visibiliza software, servicios y

Activa el software Extiende las licencias Seguimiento del uso del software
dispositivos en un solo portal fácil
automáticamente automáticamente con reportes regulares a Cisco
de usar
Casos de uso
NGFW de campus Internet Edge Cloud Data Center Edge Local Data Center Edge

Rápida contención de
Uso aceptable Integración con ACI Acceso remoto complejo amenazas
Deseo… Campos a
asegurar:
• URL Inspección de archivos AMP
• IP • NAT estático y dinámico AMP Threat Grid

• DNS • Alta disponibilidad DNS

0110110010101001010100 • Alto ancho de banda www

0010010110100101101101
@
SSL AVC NGIPS
Decryption
Engine

Allow DMZ
%*
$#
Block

Detener las amenazas en

el borde, encontrar y
resolver brechas, e Internet Firewall Red Privada
incrementar el throughput
Deseo… Preparar Asegurar Definir políticas Descubrir amenazas Responder Remediar

Campos
• Alta disponibilidad
URL | IP | DNS
0110110010101001010100
• Alto ancho de banda
Inspección de archivos AMP
0010010110100101101101 AMP Threat Grid

SSL AVC NGIPS

HR Decryption
TrustSec Engine
Datos financ

Finanzas Allow
%*
$# Datos HR
Block

DevOps
App alojadas
Extender mi seguridad
on- premises a la nube.
Data Center Edge Virtual Firewall Cloud Data Center
Deseo… Preparar Asegurar Definir políticas Descubrir amenazas Responder Remediar

Campos Inspección de archivos AMP

URL | IP | DNS • Alta disponibilidad
AMP Threat Grid

0110110010101001010100
0010010110100101101101 • Alto ancho de banda • Clustering
• Soporte para tráfico que
atraviesa en todo
SSL AVC NGIPS
HR Decryption sentido
TrustSec Engine Datos
financieros

Finanzas Allow
%* Datos HR
$#
Block
App
DevOps
Reducir la superficie de alojadas
ataque de la empresa y
detector amenazas al
data center. Data Center Edge Firewall Data Center Network
Deseo… Firewall

SSL NGIPS Inspección de archivos AMP

Campos AVC
Decryption AMP Threat Grid
URL | IP | DNS Engine Allow
0110110010101001010100
0010010110100101101101 %* Block
$# Apps www Database

TrustSec

Apps www Database

Proteger de amenazas al
mismo tiempo que
responder a los
requerimientos de ancho Core Distribución Capa de Acceso
Data Center
de banda del campus. del Campus
Edge
Deseo…
Reputación
SSL Decryption Engine
www Filtrado de Descifra
www URLs %* www tráfico
$#
no deseadas oculto
+4000 aplicaciones
web y alojadas
Identidad de
usuario

Partial
Block
1
Allow
2

Prioriza
Block
tráfico
… pueden agregarse
aplicaciones propias Define
Detener el tráfico web control de Firewall Red
riesgoso, controlar el uso acceso
de aplicaciones y asignar Aplicación de apuestas
ancho de banda.
Deseo…
Campos

00100101101
01001010100
URL | IP | DNS

Firewall
• Alto ancho de banda
VPN
• Alta disponibilidad
Empresa
Distribuida
• Opciones de hardware y virtual

VPN SSL AVC NGIPS

Decryption
Firewall Firewall Engine
Sucursales
Allow
%*
VPN $#
Block

Detener las amenazas Firewall

Usuario remoto
Casa Cental

extendiendo el acceso
seguro a todos los WAN de sucursales
Internet Firewall Highlights
usuarios. y usuarios remotos
Deseo…
Gestión integrada
Application Policy Infrastructure Firepower Management Detecte amenazas con
Controller (APIC) Center
NGIPS utilizando la visibilidad
AVC NGIPS de infraestructura de ACI
Políticas de listas blancas
Allow
Segmentación
APIC APIs
Block Establezca políticas con
Multi-tenancy herramientas de gestión
integradas

Backbone
Redefina políticas a través del
Leaf tiempo mediante el análisis de
actividad
Host 1 Host 2 Host 3
Proteger el data center
con políticas de seguridad Aplicación 1 Aplicación 2
VM VM VM
(Física) (Física) Nodos
consistentes y orientadas
Deseo…
www
Firepower ISE
Management Center

pxGrid Recibe alertas de pxGrid

intrusiones

Alertas Alertas
Genera comandos
de cuarentena

TrustSec
Aislar rápidamente Quarantine Tag Employee Tag Guest Tag
recursos comprometidos Supplier Tag Quarantine Tag
antes de que el problema
escale Aislamiento automático
Muchas gracias.