随着混合办公环境的到来，企业防火墙应该如何演进——思科新一代防火墙 Secure Firewall 3100 系列发布

1 混合办公带来的 IT 痛点

根据全球著名管理咨询公司盖洛普的最新数据，因为疫情和供应链的影响，我们的工作环境和模式正在发生根本性的变化。根据受调查企业机构的期望，未来只有 23% 的员工需要完全在现场办公，24% 的员工可以完全远程办公，53% 的员工将在居家工作和办公室工作之间自由分配时间。

这种混合化的劳动力模型为雇主和雇员都带来了好处——包括更大的灵活性和生产力。但是，新的 IT 建设挑战也应运而生，例如，因为增加视频和音频会议而催生的高性能远程访问能力的需求，以及远程接入办公产生的安全验证和合规审计的需求。

目前，企业防火墙作为网络安全的基石，在大中小企业机构中广泛部署。但是许多现存的设备并非专门为混合办公所需的性能和功能而设计。许多设备无法确保提供完整的下一代防火墙功能栈，也无法在解密和安全过滤功能开启时，提供低延时高性能的 Internet 吞吐能力。

随着安全接入的混合化和碎片化，企业安全防火墙正在面临前所未有的压力，一方面需要提升员工接入访问的网络体验，一方面又需要确保完整的安全合规性，而这两点诉求通常难以统筹兼顾。在现实场景中，顾此失彼的情况不断出现，许多人在进行视频通话时会遇到音频质量很差，或者视频连接中断的情况。卡顿的视频会议、复杂到令人抓狂的身份验证、层出不穷的数据泄露、网络攻击等问题早已屡见不鲜。

2 满足混合场景需求的防火墙平台

企业机构现在可以借助思科全新的 Secure Firewall 3100 系列提高性能和安全性，并获得更大的灵活性以适应业务增长，应对混合办公带来的挑战。

▲ 图1：思科 Secure Firewall 3100 系列

思科 Secure Firewall 3100 系列利用自动化和集成实现低接触配置，简化 IT 管理员的管理并让他们了解防火墙性能和安全性。此外，该设备旨在通过其集群功能提供快速的 ROI 和可扩展性。思科高级产品营销经理 Nazmul Rajib 表示：“思科 Secure Firewall 3100 系列平台最多支持八个防火墙设备添加到集群中。您可以从一两个防火墙设备开始，随着企业业务的增长，只需将更多设备添加进来。”

重要的是，新的防火墙系列在不降低网络流量性能的情况下提高了安全性。思科 Secure Firewall 3100 系列默认搭载的是下一代 IPS 引擎 Snort 3，Snort 软件系统通过全新的多线程架构和发布/订阅的事件模型，能够同时提高威胁处理的效率和检测能力。

企业更新面向新型混合架构的防火墙，优异的性能扩容空间和性价比是基础。在下图 2 的对比中，我们可以看见 3100 系列对比传统的思科 2100 中端系列和 4100 高端系列，安全和加密处理性能均有大幅度提升，而图中选择对应的型号，价格均保持在同一区间。3100 系列作为新一代产品系列，无疑是 2100、4100 产品档次序列的坚实补充和升级。

▲ 图2：思科 Secure Firewall 3100 与 2100，4100 防火墙的对比

Secure Firewall 3100 系列带来的革新优势不仅于此。在传统的交换矩阵和 x86 CPU 之间，思科添加了全新定制的 FPGA 芯片。它不仅实现了下一代（并且是获得专利的行业首创！）流卸载引擎，可实现快速的单流吞吐量和高性能计算级延迟，而且它还提供了另一个行业首创的跨 IPsec 和 TLS（DTLS）安全专用通道加密加速能力。3100 系列可以在 FGPA 硬件中直接解密和加密隧道流量，而不必依赖主系统总线或消耗宝贵的 x86 CPU 计算周期。在混合办公浪潮中，通过这款革命性的产品，数倍地提升了中端防火墙网关的安全专用通道吞吐能力，顺应了企业分支全互联和远程移动接入的要求。

3 通过强化的硬件，带来更好的体验

硬件平台的提升，本质是为了支撑上层更加丰富的应用场景。

思科 Secure Firewall 3100 搭载的是全新的 FTD 7.X 操作系统，以及业界领先的下一代 IPS 引擎 Snort 3.0，通过上百余项新功能和特性优化的引入，确保混合场景下，不同用户对网络和安全不同的接入要求。

▲ 图3：思科 Secure Firewall 3100 使用场景

如图 3 所示，思科 Secure Firewall 3100 系列平台和新的软件系统，将显著帮助以下的使用场景：

1. 1 互联网边界防火墙 —— Talos 威胁情报提供信誉检测，和集成用户身份验证的访问策略。
   
2. 2 数据中心 —— 最大 8 个设备组成的高弹性处理集群，以及租户逻辑隔离的多实例特性。
   
3. 3 多分支 —— 低接触集中快速上线，站到站安全专用通道自动部署。
   
4. 4 混合云 —— 支持对接混合云平台，支持云组件原生集成和云平台 API 动态对接，实现智能安全联动和南北东西全向检查。
   
5. 5 下一代 IPS —— 全新检测架构的 IPS 系统，文件深度安全分析功能，TLS 解密加速卸载。
   
6. 6 远程接入访问 —— 安全专用通道接入负载，动态身份验证，态势合规监测和 CoA，基于应用的隧道分离。
   

混合办公，正在逐渐成为企业数字化成熟度的重要标尺。企业 IT 的网络承载和安全防护能力将会成为重中之重，思科在这样的时代背景下发布 Secure Firewall 3100，为用户提供了面向未来的新一代防火墙安全平台。