Vor kurzem wurde von Cisco eine neue Firewall-Hardwareplattform vorgestellt, die Firepower 2100 Serie!
Die neue Firewall der Firepower-Klasse ist für den Enterprise-Sektor gedacht und soll die bisherigen ASAs von 5525-5555 ablösen.
Die Geräte haben eine komplett neue Hardware-Architektur, die einen Performance-Verlust von nur mehr 1% bei maximaler Threat Inspection (IPS, SSL-Decryption,…) aufweisen sollen. Aktuell typische Werte sind ein Verlust von über 50%!
Zusätzlich anzumerken ist, dass die neuen Boxen nur mehr mit dem Firepower Threat Defense Betriebssystem ausgeliefert werden.
Bernhard Hörl 
„Die Geräte haben eine komplett neue Hardware-Architektur, die einen Performance-Verlust von nur mehr 1% bei maximaler Threat Inspection (IPS, SSL-Decryption,…) “
Bitte nicht derartige Marketing Statements verbreiten, die nicht der Wahrheit entsprechen. Der Performance Verlust bei besagten Features ist und wird niemals 1% sein. Laut Cisco NGFW Sizing Guide verursacht SSL Decryption einen Performance Impact von 80% (da die Decryption im Moment in Software passiert verständlich… ab Sommer werden die Cryptochips endlich verwendet aber selbst dann sind es nicht 1%… AMP verursacht ebenfalls einen Performance Impact von ca. 30%… je nach verwendeten Optionen).
Nicht falsch verstehen… Die 2100er Appliances sind ein Schritt in die richtige Richtung, aber 2x Xeon Prozessoren in eine adaptierte UCS Pizzabox zu schmeißen und zu behaupten, alles ist neu und total innovativ, halte ich nicht für zielführend… da hat gleich jeder die falsche Erwartungshaltung.
LikeLike
Danke für deinen Kommentar!
Die 80% sind der Horror, ich weiß! Aber das bezieht sich auf die ASA-Hardwareplattform nicht die Firepower-Hardware. Hier zur Ergänzung das Datasheet: http://www.cisco.com/c/dam/en/us/products/collateral/security/firepower-4100-series/datasheet-c78-736661.pdf
LikeLike
Da muss ich leider wiedersprechen. Die 80% sind ein genereller Wert. Egal ob ASA mit Firepower Services oder FTD, in beiden Fällen ist der Performance Impact so hoch. Im Datasheet ist das derzeit nicht gelistet (so wie viele andere Performance Metriken) daher empfehle ich generell in den NGW Sizing Guide, der im Security Partner Portal zum Download bereit steht für die *echten* Performance Metriken… Eine gewisse Investment Protection hat man natürlich, da die Cryptochips schon verbaut sind, wir müssen uns aber noch etwas gedulden bis diese dann wirklich verwendet werden.
Ich bin generell kein großer Freund von dem ganzen Marketing Bla, der einfach falsche Erwartungshaltungen schürt, deswegen würde ich mit solchen Aussagen ala „1% Performance Impact“ aufpassen. Die Boxen bieten für den Preis vergleichweise gute Werte deswegen verstehe ich solche Sales Pitches nicht die technisch falsch sind. 😉
LikeLike