Vorteile der Migration Cisco PIX auf Cisco ASA
März 2008
Cisco ASA 5500 AppliancesRealisierung von marktführenden Abwehrstrategien und VPN-Services
Bietet konvergente Gefahrenabwehr, flexible und sichere Konnektivität, Minimierung der Betriebskosten und einzigartiges adaptives Design zur Bekämpfung zukünftiger Bedrohungen
Marktführende Firewall-Services
Integriert und erweitert die am häufigsten eingesetzte Firewall-Technologie mit Cisco PIX Security Appliances
Basierend auf der Erfahrung von über einer Million weltweit eingesetzter PIXen und über 10 Jahren Innovation
Marktführende VPN-Services
Integriert und erweitert die am häufigsten eingesetzte Remote-Access VPN-Technologie der Cisco VPN 3000 Konzentratoren und Cisco PIX Security Appliances, bietet SSL- und IPsec VPN-Verschlüsselung
Marktführende IPS-Services
Integriert und erweitert die am häufigsten eingesetzte IPS- und IDS- Technologie mit der Cisco IPS 4200 Serie
Bietet umfassenden Schutz gegen gezielte Angriffe und viele andere Bedrohungen
Marktführende Content-Sicherheit
Integriert und erweitert die am häufigsten eingesetzte Gateway-Content-Security-Technologie zum Schutz gegen Viren, Spyware, Spam, Phishing und Websites, die sich negativ auf die Mitarbeiter-Produktivität auswirken
Marktführende Unified Communications-Sicherheit
Umfassende Zugangskontrolle, Schutz vor Bedrohungen, Netzwerk-Sicherheitsrichtlinien, Absicherung der Services und vertrauliche Übermittlung von Sprache/Video für Unified Communications in Echtzeit
Cisco ASA 5500: Vorteile der Migration für die Kunden
Adaptive Security bietet besseren, flexibleren Schutz
• Hervorragender Netzwerk-schutz vor sich ständig verändernden Bedrohungen durch IPS, CSC, usw.
• Gleichbleibende oder verbesserte Preisgestaltung reduziert TCO
• Bessere Performance und Skalierbarkeit, Skalierung von Lösungen auf 10+ GBit/s
• Flexible VPN-Lösung mit marktführendem SSL
Ausgereifte Sicherheitslösung der nächsten Generation
• Aufbauend auf mehr als 10 Jahren Innovation in Cisco PIX, VPN 3000 und IPS 4200
Lösungen• Mehrere hunderttausend
Cisco ASA 5500-Geräte weltweit im Einsatz
• Software in GD-Qualität verfügbar (v7.0.7 und höher)
• Common Criteria-, FIPS-, ICSA- und NEBS-zertifiziert
Nutzung der bereits vom Kunden in die PIX getätigten Investitionen
• Cisco PIX Know-how direkt übertragbar auf Cisco ASA 5500 Serie
• Gleiche GUI- und CLI-Oberflächen wie bei den Cisco PIX Security Appliances
• Einheitliches syslog und SNMP-Monitoring
• Management durchden Cisco Security Manager, MARS und viele Third-Party-Produkte
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 4
Vergleich der Features Cisco ASA 5500Serie und Cisco PIX Security Appliances
Cisco PIX Cisco ASA Vorteile der Cisco ASA 5500
Flexible Zugangskontrolle, IP- und Benutzer-basiert Cisco ASA 5500 unterstützt dank erhöhter
Speicherkapazität mehr ACLs
Fortschrittliche Firewall-Services in der Applikationsebene für über 30 gebräuchliche Protokolle
Cisco ASA 5500 bietet bessere Deep Packet Inspection-Performance
Security Services für verschlüsselte Sprach-/Video- Übertragung
Nur die Cisco ASA 5500 ermöglicht sichere durchgängige verschlüsselte Sprach/Videoübertragung
Cisco Easy VPN und Site-to-Site IPsec VPN Cisco ASA 5500 bietet hervorragende
VPN-Performance
Clientless SSL VPN und Cisco AnyConnect SSL VPN Cisco ASA 5500 bietet erstklassigen
flexiblen SSL VPN-Zugang
Unterstützung von VPN Clustering und Load Balancing Cisco ASA 5500 bietet VPN-Skalierbarkeit
in großem Maßstab
Hochfunktionale IPS-Services mit Hardware-Beschleunigung Cisco ASA 5500 bietet hervorragenden
Schutz vor Angriffen
Virenschutz, Spam-Schutz, Phishing-Schutz und URL-Filterung von Trend Micro
Cisco ASA 5500 schützt vor Malware, trägt zur Verbesserung der Mitarbeiter-Produktivität bei
Einheitliches Management and Monitoring Nutzung von Cisco PIX Know-how und
Tools mit der Cisco ASA 5500 Serie
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 5
Cisco ASA 5505 bietet zahlreiche Firewall-Features, die bei den Cisco PIX 501 / 506E Plattformen nicht enthalten sind
Cisco PIX501/506E
Cisco ASA5505
Vorteile von Cisco ASA 5505
Modulare Rahmenstruktur für Sicherheitsrichtlinien
Cisco ASA 5505 unterstützt feiner ab- gestufte Richtlinien, mit Möglichkeit für Sicherheitseinstellungen pro Flow
Fortschrittliche Firewall-Services auf der Applikationsebene
Cisco ASA 5505 bietet fortschrittliche Firewall-Features zur Kontrolle der Nutzung von HTTP, IM, P2P, SMTP und anderen Protokollen
Sicherheit für Unified Communications (Voice / Video)
Cisco ASA 5505 bietet fortschrittliche UC-Sicherheit, z. B. verschlüsselte UC-Übertragung, SIP-Richtlinien, usw.
Transparentes Firewalling
auf Layer 2 Cisco ASA 5505 bietet flexiblere Ein- satzmöglichkeiten für Unternehmen
Quality of Service (QoS) Cisco ASA 5505 unterstützt LLQ, Rate-Limiting und Traffic Shaping zur Steigerung der Performance von Applikationen
Dynamisches Routing mit EIGRP und OSPF
Cisco ASA 5505 bietet hervorragende Fehlertoleranz und Performance des Netzwerks
Unterstützung von VLANs- und VLAN-Trunking
Cisco ASA 5505 unterstützt bis zu 20 VLANs und 8 VLAN- Trunks (PIX 501/506E unterstützt 0/2 VLANs)
Aktiv/Standby-Failover und Unterstützung redundanter ISPs Cisco ASA 5505 bietet Fehlertoleranz auf
Geräte- und Netzwerkebene
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 6
Empfohlener Migrationspfad für Anwender der Cisco PIX Security Appliance
Cisco PIX 515ESerie
Cisco PIX 525Serie
CiscoPIX 506E
Serie
CiscoPIX 501
Serie
Cisco PIX 535Serie
Hauptvorteile der Migration• 1,6 - 2,4facher Firewall-Durchsatz• 2,3 - 3fache Skalierbarkeit (Verb./s)• Unterstützung von Gigabit Ethernet• A/A-Lösung kostet 30 % weniger• VPN Clustering/Load Balancing• Unterstützt IPS, CSC, SSL VPN
Hauptvorteile der Migration• 1,5 - 2facher Firewall-Durchsatz• 1,3 - 2fache Skalierbarkeit• Unterstützt 3fache GigE-Dichte• A/A-Lösung kostet 30 % weniger• VPN Clustering/Load Balancing• Unterstützt IPS, CSC, SSL VPN
Hauptvorteile der Migration• 2 - 20facher „echter“ FW-Durchsatz• 2 - 8fache Skalierbarkeit (Verb./s)• Unterstützt SSL VPN, inkl. Clus/LB• Unterstützung von 10GE I/O (5580)• Unterstützt 2,5fache GE-Dichte (5580)• A/A-Lösung kostet 35 % weniger
Cisco ASA 5510 / 5520Serie
Cisco ASA 5505Serie
Cisco ASA 5520 / 5540Serie
Cisco ASA 5550 / 5580Serie
Cisco Confidential – Internal Use Only
Hauptvorteile der Migration• 1,5 - 2,5facher Firewall-Durchsatz• 3 - 33facher VPN-Durchsatz • Switch mit 8 Ports mit 2 PoE-Ports• VLAN-Unterstützung (20 mit Sec+)• Unterstützt SSL VPN• Modular für künftige Upgrades
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 7
Cisco ASA 5505 Serie bietet viele Vorteile gegenüber der PIX 501 Serie
PIX 501 ASA 5505 Vorteil des Cisco ASA 5505
Listenpreis $595 - 995 $595 – 995 Besseres Preis-Leistungs-Verhältnis
Firewall-Durchsatz 60 MBit/s 150 MBit/s 2,5facher Firewall-Durchsatz
VPN-Durchsatz 3 MBit/s 100 MBit/s 33facher VPN-Durchsatz!
Verbindungen 7500 10.000 1,3fache Verbindungskapazität
Verbindungen/Sekunde 650 4.000 6,2 mal höhere Skalierbarkeit
IPsec VPN-Sessions 10 10 Gleich viele IPsec-Verbindungen
SSL VPN-Sessions Nicht verfügbar Bis zu 25 Unterstützt SSL VPN
Schnittstellen 4-Port FE Switch 8-Port FE Switch 2fache Schnittstellendichte
Power over Ethernet Keine Ja, 2 Ports Stromversorgung für IP-Telefone, WLAN Access Points usw.
VLANs 0 3 Supports VLANs for TrafficSegmentation
Modularer Aufbau Nein Ja Erweiterbar
Hochverfügbarkeit Nein Stateless A/S, Redundanter ISP
Verfügbar über Upgrade auf Security Plus- Lizenz
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 8
Cisco ASA 5510 Serie bietet viele Vorteilegegenüber der PIX 515E Serie
PIX 515E UR/AA ASA 5510 Sec Pl. Vorteil des Cisco ASA 5510
Listenpreis $7.495 $4.495 Besseres Preis-Leistungs-Verhältnis
Hochverfügbarkeit Listenpreis $12.995 $8.990 30 % niedrigerer Preis für A/A-Lösung
Firewall-Durchsatz 190 MBit/s 300 MBit/s 1,6facher Firewall-Durchsatz
VPN-Durchsatz 130 MBit/s 170 MBit/s 1,3facher VPN-Durchsatz
Verbindungen 130.000 130.000 Gleiche Verbindungskapazität
Verbindungen/Sekunde 4.000 9.000 2,3 mal höhere Skalierbarkeit
Pakete/Sekunde (64 Byte) 48.000 190.000 4 mal bessere Performance bei kl. Paketen
IPsec VPN-Sessions 2.000 250 515E unterstützt mehr Sessions
SSL VPN-Sessions Nicht verfügbar Bis zu 250 Unterstützt SSL VPN
Schnittstellen 6 FE (bis zu 6 FE) 2 GE + 3 FE (bis zu 6 GE+3 FE) GE Unterstützung, 1,5fache Portdichte
VLANs 25 100 4fache VLAN-Dichte
Hochverfügbarkeit A/A, A/S A/A, A/S, VPN Clustering/LB Unterstützt VPN-Clustering & LB
Zusätzliche UTM- Services Keine IPS, Content Sec. Erweiterbar für erweiterten Schutz gegen
viele unterschiedliche Arten der Gefährdung
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 9
Cisco ASA 5520 Serie bietet viele Vorteile gegenüber der PIX 525 Serie
PIX 525 ASA 5520 Vorteile des Cisco ASA 5520
Listenpreis $13.995 $7.995 Wesentlich niedrigerer Preis
Hochverfügbarkeit Listenpreis
$23.495 $15.990 30 % niedrigerer Preis für A/A-Lösung
Firewall-Durchsatz 330 MBit/s 450 MBit/s 1,4facher Firewall-Durchsatz
VPN-Durchsatz 145 MBit/s 225 MBit/s 1,6facher VPN-Durchsatz
Verbindungen 280.000 280.000 Gleiche Verbindungskapazität
Verbindungen/Sekunde
9.500 12.000 1,3 mal höhere Skalierbarkeit
Pakete/Sekunde (64 Byte)
234.000 320.000 1,4 mal bessere Perf. bei kl. Paketen
IPsec VPN-Sessions 2.000 750 Unterstützt VPN-Clustering & LB
SSL VPN-Sessions Nicht verfügbar Bis zu 750 Unterstützt SSL-VPN
Schnittstellen 2 GE + 2 FE (Up to 3 GE+2 FE)
4 GE + 1 FE (bis zu 8 GE+1 FE)
2,7fache GE-Portdichte
VLANs 100 150 1,5fache VLAN-Dichte
Hochverfügbarkeit A/A, A/S A/A, A/S, VPN Clustering/LB
Unterstützt VPN-Clustering & LB
Zusätzliche UTM- Services
Keine IPS, Content Sec. Erweiterbar für erweiterten Schutz gegen viele unterschiedliche Arten der Gefährdung
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 10
Empfohlener Migrationspfad für Cisco PIX Software-Versionen
Cisco PIX Software-Version Empfohlener Migrationspfad
Legende für Attribute der Software-VersionGeneral Deployment (GD) – Qualitätskennzeichen für die Stabilität der Software
Nach Common Criteria beurteilt – Strikter internationaler Sicherheitsstandard für Sicherheitsprodukte
Nach Federal Information Processing Standard beurteilt – Kryptografische Standardbeurteilung der US-Bundesregierung
Beurteilung/Validierung nach Common Criteria/FIPS in Arbeit
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 11
Beispiele für die Migration von PIX auf ASASzenario Nr. 1: 501 – 506
Wenige Cisco PIX 501s oder 506/506Es
Kopieren der Konfig. von PIX 501/506E auf ASA 5505
mit 7.2.4 (Konfig. wird automatisch konvertiert)
Szenario Nr. 2: 515 – 535
Wenige Cisco PIX 515/515Es, 525s oder 535s
Upgrade PIX von 6.3 auf 7.0 (Konfig. wird
automatisch konvertiert)
Konfigurieren der ASA I/O-Schnittstellen-
bezeichnungen
Kopieren der resultierenden
Konfiguration auf ASA
Szenario Nr. 3: CSM
Zahlreiche Cisco PIX Security Appliances
Migration mit dem Cisco Security Manager
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 12
Zahlreiche Vertriebsinstrumente zur Förderung des Verkaufs des Cisco ASA 5500 und für das Upselling auf die fortschrittlichen Sicherheitsservices der Cisco ASA 5500 Serie verfügbar
Inklusive Flash-Video, Präsentationen, Übersichten, Poster, Top-10-Liste, Vorlagen für E-Mails / Postkarten und mehr
http://www.cisco.com/go/pixplus
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 13