Cisco: Frische Firewalls von 1,5 bis 400 Gbit/s Durchsatz
Cisco komplettiert das Hardwareportfolio für die Hybrid Mesh Firewalls am unteren als auch am oberen Ende der Leistungsskala. Zudem bringt der Netzwerkausrüster ab September 2025 das Live Protect Feature für Rechenzentrumsswitche, um auf Knopfdruck Sicherheitsrichtlinien auf Switches auszurollen. Das soll Verkehrsmuster blocken, die einem CVE auf einem verbundenen Server entsprechen. Eine Mesh Policy Engine soll zudem über eine Oberfläche einheitliche Richtlinien für unterschiedliche Firewalls erstellen, die sogar auf Third Party Hersteller anwendbar seien.
Mit den neuen Secure Firewalls der 6100er- und 200er-Serie komplettiert Cisco den Hardware-Refresh im Firewallumfeld vollständig. Ab Oktober 2025 sollen die Secure Firewalls 6160 und 6170 bestellbar sein. Beide kommen mit einer Höhe von zwei Höheneinheiten daher. Bei den maximalen Durchsatzraten unterscheiden sich jedoch die beiden Modelle. Die kleinere 6160 bringt bis zu 280 Gbit/s Firewall- und IPSec-, sowie 90 Gbit/s TLS-Entschlüsselungsdurchsatz. Die 6170 liefert hingegen bis 400 Gbit/s Firewall- und IPSec-, sowie 120 Gbit/s TLS-Entschlüsselungsdurchsatz. Bezüglich des IPS-Durchsatzes machte Cisco bisher noch keine Angaben.
Gleiches gilt für bereitstehende WAN/LAN-Ports. Auf Bildern der Keynote sind integriert Onboard 14 SFP(+/28)- und 4 QSFP(+/28)-Einschübe zu sehen, sowie zwei zusätzliche Einschübe, die entweder 8 SFP(+/28)- oder 4 QSFP(+/28)-Transceiver aufnehmen. Bezüglich Lastverteilung und Hochverfügbarkeit liefert Cisco Aktiv-Aktiv und N+1 Clustering Architekturen. Im Clustering können bis zu 16 6100er-Einheiten kombiniert werden, wodurch Kunden über 4 Tbit/s Durchsatz erreichen können.
Die Firewalls verfügen über eine KI-unterstützte Encrypted Visibility Engine (EVE) für die Untersuchung von verschlüsseltem Datenverkehr und selektive Entschlüsselung mit Hardware-Crypto-Beschleuniger.
Für die kleineren Ansprüche
Am unteren Ende des Leistungsspektrums soll ab Dezember 2025 für kleine Außenstellen die Cisco Secure Firewall 220 bereitstehen. Sie liefert bis zu 1,5 Gbit/s Firewall- und IPS-Durchsatz, bei IPSec nimmt er auf ein Gbit/s und bei TLS-Entschlüsselung auf 750 Mbit/s ab. Auch diese Firewalls bieten eine KI/ML-basierte Sichtbarkeit für verschlüsselten Traffic, die den Datenverkehr lokal auf der Hardware oder in der Cloud untersuchen kann. Dazu steht Snort ML auf Snort 3 bereit. Ein zentrales Management kann über Cisco Security Cloud Control (ehemals Defense Orchestrator) erfolgen und die Firewall unterstützt SD-WAN. Die Spannungsversorgung erfolgt über ein externes Netzteil. Auch hier gibt es noch keine Aussagen zu den Ports. Auf Bildern der Keynote konnten wir vier RJ45-Kupferports für LAN, einen zusätzlichen RJ45-Kupferport für WAN und einen SFP(+) Einschub für WAN erkennen.
Somit stehen nun fünf unterschiedliche Serien an Hardware-Firewalls von 1,5 bis 400 Gbit/s Durchsatz und über 20 virtualisierte Varianten für Private- und Public-Cloud zur Verfügung.
Mehr Offenheit für Drittanbieter-Firewalls
Da inzwischen auch Cisco verstanden hat, dass es noch eine Welt außerhalb des Cisco-Kosmos gibt, lassen sich über eine sogenannte Mesh Policy Engine in Ciscos Sicherheits-Management-Plattform Security Cloud Control jetzt Intent-basierende Richtlinien implementieren. Sie werden dann sowohl auf Ciscos eigenen als auch auf Firewalls von Drittanbietern angewendet. Welche Drittanbieter unterstützt werden, verriet Cisco jedoch bisher nicht.
Mit Cisco Live Protect, das ab September 2025 für NX-OS basierende Rechenzentrumsswitche bereitstehen soll, verkündet Cisco eine Art kompensierende Kontrolle auf Knopfdruck bei gemeldeten CVEs für Server, für die noch kein Patch bereitsteht. So sollen bei Bedarf entsprechende Sicherheitsrichtlinien auf den Switch eingerichtet werden, um Angriffsmuster, die dem CVE entsprechen, zu blocken, bevor sie die verwundbaren Server erreichen.
Integration von ACI in die Sicherheitsarchitektur
Die möglichen Untersuchungspunkte der Cisco Hybrid Mesh Firewall erweitert Cisco nun von klassischen Hardware- und virtuellen Firewalls auch auf die SDN-Rechenzentrums-Lösung Application Centric Infrastructure (ACI). Die Komponente Secure Workload in der Cisco Hybrid Mesh Firewall soll Mikrosegmentierungsrichtlinien generieren auf Basis der Netzwerktopologie, Workload-Metadaten, Datenflüssen und KI/ML-Integrationen.
Die Richtlinie wird dann entweder agentenlos auf den Switchen in der Cisco ACI-Fabric durchgesetzt oder indem die Cisco ACI-Fabric zusammen mit anderen Sicherheitskomponenten wie den hauseigenen Secure Firewalls, Cloud-Anbietern und Application Delivery Controllern genutzt wird. Alternativ wäre auch ein Secure Workload Agent für unterschiedliche Betriebssysteme möglich.
Aber auch im Bereich des Managements von ACI tut sich nun einiges. Die neue Unified Fabric Experience für die Nexus-Rechenzentrumsswitche im sogenannten Nexus Dashboard ist eine von Kunden lang erwartete Funktion. Sie soll es ermöglichen, den klassischen VXLAN/EVPN-Ansatz im Nexus Dashboard und ACI in einer vereinheitlichten Management-Lösung ohne Wechsel der Management-Ebene und zusätzlichen Logins zu verwalten.
Neue Router mit NGFW
Mit den neuen Secure Routern der Catalyst-8000-Serie bringt Cisco indessen auch eine Next Generation Firewall (NGFW) auf den Routern mit. Zuvor waren entweder stateless Paketfilter (ACL) oder die einfacheren zonenbasierten stateful Firewalling-Funktionen integriert. Inzwischen bringt Cisco zeitgemäß auch NGFW-Funktionen mit. Darüber hinaus verfügen sie über SD-WAN-Funktionen und einen integrierten ThousandEyes Agent für erhöhte Sichtbarkeit der Applikations- und Netzwerkperformancemetriken. Konkret handelt es sich um die 8400er- und 8500er-Router, wobei das Spitzenmodell bis zu 95 Gbit/s IPsec und bis zu 61 Gbit/s SD-WAN-Durchsatz erreichen soll.
