為了應對這些挑戰，思科 IT 部門(mén)選擇思科 Firepower 9300 安全設備作為我們的新核心防御解決方案。這種運營(yíng)商級的下一代防火墻將使我們能夠：

　　在 2017 至 2018 年期間，我們的峰值云流量增幅超過(guò) 200%。流量激增帶來(lái)的網(wǎng)絡(luò )擁塞和丟包問(wèn)題影響了客戶(hù)的工作效率。通過(guò)使用 Firepower 9300 硬件替換思科 ASA 防火墻，我們能夠快速解決這些可擴展性問(wèn)題，并為未來(lái)增長(cháng)預留空間。

　　隨著(zhù)企業(yè)網(wǎng)絡(luò )越過(guò)傳統邊界擴展到云中，在網(wǎng)絡(luò )中的新位置引入安全保護變得尤為重要。過(guò)去，執行這項操作需要在整個(gè)網(wǎng)絡(luò )中部署大量的專(zhuān)用設備，這使企業(yè)需要支付高昂的托管和管理成本。然而，通過(guò)使用下一代防火墻，我們只需部署一對設備，即可在之前未采取適當控制措施的位置提供所需的可擴展性和安全性功能。

　　傳統防御解決方案需要占用過(guò)多的機架空間，消耗大量的電力和冷卻成本；極大增加了網(wǎng)絡(luò )復雜性；并使企業(yè)在關(guān)聯(lián)安全和網(wǎng)絡(luò )事件方面遭遇到更多的挑戰。結合使用 Firepower 9300 和 Firepower 威脅防御 （FTD） 軟件將可提供所需的可擴展性和功能，將多個(gè)安全工具整合到單一平臺。這有助于減少我們的環(huán)境影響和運營(yíng)成本，簡(jiǎn)化全局策略部署，并提高端到端安全可視性。

　　我們知道我們的客戶(hù)面臨著(zhù)類(lèi)似的挑戰。作為自己的 “首位客戶(hù)”，我們可以在產(chǎn)品開(kāi)發(fā)早期向工程團隊提供實(shí)時(shí)反饋，從而影響產(chǎn)品設計。我們正是以這種方式來(lái)幫助打造客戶(hù)可放心購買(mǎi)的思科安全解決方案。

　　截至 2018 年中期，我們已在 75% 的思科 IT CloudPort 位置部署思科 Firepower 9300，用作企業(yè)防火墻。思科 IT 部門(mén)通過(guò) CloudPort 優(yōu)化了企業(yè)網(wǎng)絡(luò )與云資源的連接，并確保此連接的安全性。

　　與此同時(shí)，為了以新模式保護實(shí)驗室環(huán)境，我們還在其他四個(gè)位置上部署了這些設備。我們計劃在 2019 年中期之前，在所有主要的企業(yè)網(wǎng)絡(luò )樞紐上安裝這些設備。

　　思科 IT 企業(yè)防火墻為超過(guò) 133000 名用戶(hù)提供互聯(lián)網(wǎng)和云的連接，并保護思科企業(yè)網(wǎng)絡(luò )免遭外部網(wǎng)絡(luò )威脅，但是它對網(wǎng)絡(luò )資源的需求在不斷擴大，因此我們需要一個(gè)能跟上企業(yè)發(fā)展步伐的新防火墻。

　　“我們最重要的目標是解決性能問(wèn)題。在暫時(shí)保留 ASA 軟件的同時(shí)部署 Firepower 9300 固件，使我們能夠快速解決這些問(wèn)題，每年消除 5 到 10 個(gè)影響力相對較大的網(wǎng)絡(luò )事件。

　　以前，由于擴展的需要，我們必須跨三個(gè)不同的防火墻來(lái)執行流量管理。通過(guò)將這三個(gè)防火墻整合到一起，我們大大降低了網(wǎng)絡(luò )復雜度。”

　　更換硬件后，我們網(wǎng)絡(luò )的流量吞吐量和性能都提高到了原來(lái)的 5 倍。在不久的將來(lái)，我們將過(guò)渡到 FTD 軟件，完成過(guò)渡后我們將能夠解決與運營(yíng)開(kāi)銷(xiāo)相關(guān)的重大問(wèn)題，以前所未有的速度檢測潛在惡意活動(dòng)，并在惡意活動(dòng)造成損害之前將其消除。我們計劃盡快遷移到 FTD 軟件，以獲得上述優(yōu)勢。

　　思科位于全球各地的內部實(shí)驗室共擁有超過(guò) 210 萬(wàn)個(gè) IP 地址，用于幫助全球 600 個(gè)不同地點(diǎn)與公司網(wǎng)絡(luò )建立連接。我們的實(shí)驗室網(wǎng)絡(luò )迫切需要全新的安全功能，這要求我們能夠立即遷移到 FTD。這種方法能夠讓我們獲得直接部署 FTD 的優(yōu)勢，在企業(yè)防火墻上設置 FTD 部署的預期。

　　“實(shí)驗室在本質(zhì)上動(dòng)態(tài)性更高，而且需要高度靈活性，因此我們要為其部署不同的網(wǎng)絡(luò )安全工具。

　　通過(guò)將所有實(shí)驗室都遷移到單獨的虛擬重疊網(wǎng)絡(luò )，我們可以使互聯(lián)設備數量由 600 減少到 13。通過(guò)在這些互聯(lián)設備上部署帶 FTD 的 Firepower 9300 防火墻，我們實(shí)現了更佳的可視性，并擁有了更多的可用防御工具，這使我們能夠在一天之內檢測并防御 18000 個(gè)新安全威脅。”

　　長(cháng)久以來(lái)，我們檢測到實(shí)驗室里的安全威脅進(jìn)一步感染網(wǎng)絡(luò )，應對威脅的措施包括斷開(kāi)整個(gè)實(shí)驗室的連接或者丟棄來(lái)自特定主機的所有流量。這不僅影響了新思科產(chǎn)品和軟件的交付，而且驗證突發(fā)事件和采取應對措施通常還需要耗費長(cháng)達數小時(shí)的時(shí)間，在這段時(shí)間內，威脅將在實(shí)驗室中快速傳播，并可能感染生產(chǎn)系統。

　　新解決方案會(huì )自動(dòng)阻止特定威脅，而不會(huì )影響合法流量，并且在需要的情況下，它還可以在幾分鐘的檢測過(guò)程中推出更加復雜的防御策略。

　　我們還部署了一對高度可用的 Firepower 管理中心 （FMC） 設備，用于控制我們的 FTD 部署。FMC 使我們能夠從一個(gè)中心位置管理我們的防御策略，并立即將其推送到位于全球各地的所有 FTD 設備。

　　此外，啟用上述新功能需要專(zhuān)門(mén)的技能組來(lái)執行代碼升級，這會(huì )占用寶貴資源，且偶爾還會(huì )因人為錯誤而導致關(guān)鍵網(wǎng)絡(luò )故障。有了 FMC，我們可以一鍵部署新版本的代碼。

　　FMC 還有助于我們深入了解我們的安全設備上有哪些流量經(jīng)過(guò)。分析此類(lèi)數據將能幫助我們基于更加深刻的見(jiàn)解做出更為明智的決策，從而進(jìn)一步優(yōu)化網(wǎng)絡(luò )和安全策略。

　　在我們之前的部署中，網(wǎng)絡(luò )工程師無(wú)法訪(fǎng)問(wèn)安全設備，導致他們難以排除性能故障。如今，這些工程師借助 FMC 獲得了對這些系統的可視性，于此同時(shí)我們的安全團隊仍可繼續限制對安全敏感信息的訪(fǎng)問(wèn)。

　　盡管我們下一代防火墻仍在部署中，但我們已經(jīng)獲得了它帶來(lái)的諸多優(yōu)勢。在不久的將來(lái)，一旦企業(yè)防火墻全面遷移到 FTD，我們預計還會(huì )實(shí)現更多的價(jià)值，包括：