Cisco Firepower 2100, i firewall con una doppia architettura

FirewallSicurezza

Il controllo dei pacchetti nei Firepower 2100 è demandato a due sistemi diversi multi-core

Arriva da Cisco la nuova linea di firewall Firepower 2100. Sono progettati per portare funzioni di protezione alle aziende che gestiscono un alto volume di transazioni, come quelle dei settori banking e retail, per cui la sicurezza è quindi un elemento importante, ma che però di norma non adottano prodotti abbastanza potenti da non far “pesare” sulle prestazioni della rete l’attivazione di particolari funzioni di protezione.

La soluzione scelta da Cisco per i Firepower 2100 è quella di adottare in primo luogo processori dalle buone prestazioni, ma soprattutto una architettura a due livelli che cerca di ottimizzare la gestione dei pacchetti in transito per garantire le giuste funzioni di sicurezza quando servono.

L'architettura dei Firepower 2100
L’architettura dei Firepower 2100

L’analisi dei pacchetti è infatti delegata a due componenti elaborative del Firepower 2100. Un classico processore Intel x86 multicore si occupa delle funzioni di protezione Layer 7 (come intrusion detection, URL filtering, controllo malware e via dicendo) mentre il controllo dei pacchetti per i Layer 2-4 (stateful firewall, NAT, VPN-SSL…) viene eseguito prima, da una Network Processing Unit (NPU) anch’essa multicore.

In questo modo le minacce ai Layer inferiori vengono bloccate subito e non caricano inutilmente il processore x86, che resta libero per controlli più sofisticati. Secondo Cisco con questa architettura abilitare tutte le funzioni di intrusion prevention di un Firepower 2100 porta a una flessione del throughput solo dell’uno percento contro il 50 percento sperimentato da prodotti simili.

Una unità Firepower 2100
Una unità Firepower 2100

Dato che un fattore di rischio per le reti sta nella cattiva configurazione proprio dei firewall, Cisco ha contestualmente potenziato e semplificato i moduli relativi per i dispositivi Firepower.

La nuova serie Firepower 2100 comprende al momento quattro modelli (2110, 2120, 2130 e 2140) con throughput da 1,9 a 8,5 Gbps, adatti ad applicazioni che spaziano dal collegamento Internet delle sedi decentrate all’uso nei datacenter. Sono tutti modelli 1U con 12 o 24 porte Gigabit Ethernet più altre opzioni di connettività.

Partecipate alla nostra inchiesta: Sicurezza IT, come difendersi?


… per rispondere alle altre tre domande, clicca qui…

Read also :
Autore: Silicon
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore