為了應對這些挑戰(zhàn)，思科 IT 部門選擇思科 Firepower 9300 安全設備作為我們的新核心防御解決方案。這種運營商級的下一代防火墻將使我們能夠：

　　在 2017 至 2018 年期間，我們的峰值云流量增幅超過 200%。流量激增帶來的網(wǎng)絡擁塞和丟包問題影響了客戶的工作效率。通過使用 Firepower 9300 硬件替換思科 ASA 防火墻，我們能夠快速解決這些可擴展性問題，并為未來增長預留空間。

　　隨著企業(yè)網(wǎng)絡越過傳統(tǒng)邊界擴展到云中，在網(wǎng)絡中的新位置引入安全保護變得尤為重要。過去，執(zhí)行這項操作需要在整個網(wǎng)絡中部署大量的專用設備，這使企業(yè)需要支付高昂的托管和管理成本。然而，通過使用下一代防火墻，我們只需部署一對設備，即可在之前未采取適當控制措施的位置提供所需的可擴展性和安全性功能。

　　傳統(tǒng)防御解決方案需要占用過多的機架空間，消耗大量的電力和冷卻成本；極大增加了網(wǎng)絡復雜性；并使企業(yè)在關聯(lián)安全和網(wǎng)絡事件方面遭遇到更多的挑戰(zhàn)。結(jié)合使用 Firepower 9300 和 Firepower 威脅防御 （FTD） 軟件將可提供所需的可擴展性和功能，將多個安全工具整合到單一平臺。這有助于減少我們的環(huán)境影響和運營成本，簡化全局策略部署，并提高端到端安全可視性。

　　我們知道我們的客戶面臨著類似的挑戰(zhàn)。作為自己的 “首位客戶”，我們可以在產(chǎn)品開發(fā)早期向工程團隊提供實時反饋，從而影響產(chǎn)品設計。我們正是以這種方式來幫助打造客戶可放心購買的思科安全解決方案。

　　截至 2018 年中期，我們已在 75% 的思科 IT CloudPort 位置部署思科 Firepower 9300，用作企業(yè)防火墻。思科 IT 部門通過 CloudPort 優(yōu)化了企業(yè)網(wǎng)絡與云資源的連接，并確保此連接的安全性。

　　與此同時，為了以新模式保護實驗室環(huán)境，我們還在其他四個位置上部署了這些設備。我們計劃在 2019 年中期之前，在所有主要的企業(yè)網(wǎng)絡樞紐上安裝這些設備。

　　思科 IT 企業(yè)防火墻為超過 133000 名用戶提供互聯(lián)網(wǎng)和云的連接，并保護思科企業(yè)網(wǎng)絡免遭外部網(wǎng)絡威脅，但是它對網(wǎng)絡資源的需求在不斷擴大，因此我們需要一個能跟上企業(yè)發(fā)展步伐的新防火墻。

　　“我們最重要的目標是解決性能問題。在暫時保留 ASA 軟件的同時部署 Firepower 9300 固件，使我們能夠快速解決這些問題，每年消除 5 到 10 個影響力相對較大的網(wǎng)絡事件。

　　以前，由于擴展的需要，我們必須跨三個不同的防火墻來執(zhí)行流量管理。通過將這三個防火墻整合到一起，我們大大降低了網(wǎng)絡復雜度。”

　　更換硬件后，我們網(wǎng)絡的流量吞吐量和性能都提高到了原來的 5 倍。在不久的將來，我們將過渡到 FTD 軟件，完成過渡后我們將能夠解決與運營開銷相關的重大問題，以前所未有的速度檢測潛在惡意活動，并在惡意活動造成損害之前將其消除。我們計劃盡快遷移到 FTD 軟件，以獲得上述優(yōu)勢。

　　思科位于全球各地的內(nèi)部實驗室共擁有超過 210 萬個 IP 地址，用于幫助全球 600 個不同地點與公司網(wǎng)絡建立連接。我們的實驗室網(wǎng)絡迫切需要全新的安全功能，這要求我們能夠立即遷移到 FTD。這種方法能夠讓我們獲得直接部署 FTD 的優(yōu)勢，在企業(yè)防火墻上設置 FTD 部署的預期。

　　“實驗室在本質(zhì)上動態(tài)性更高，而且需要高度靈活性，因此我們要為其部署不同的網(wǎng)絡安全工具。

　　通過將所有實驗室都遷移到單獨的虛擬重疊網(wǎng)絡，我們可以使互聯(lián)設備數(shù)量由 600 減少到 13。通過在這些互聯(lián)設備上部署帶 FTD 的 Firepower 9300 防火墻，我們實現(xiàn)了更佳的可視性，并擁有了更多的可用防御工具，這使我們能夠在一天之內(nèi)檢測并防御 18000 個新安全威脅。”

　　長久以來，我們檢測到實驗室里的安全威脅進一步感染網(wǎng)絡，應對威脅的措施包括斷開整個實驗室的連接或者丟棄來自特定主機的所有流量。這不僅影響了新思科產(chǎn)品和軟件的交付，而且驗證突發(fā)事件和采取應對措施通常還需要耗費長達數(shù)小時的時間，在這段時間內(nèi)，威脅將在實驗室中快速傳播，并可能感染生產(chǎn)系統(tǒng)。

　　新解決方案會自動阻止特定威脅，而不會影響合法流量，并且在需要的情況下，它還可以在幾分鐘的檢測過程中推出更加復雜的防御策略。

　　我們還部署了一對高度可用的 Firepower 管理中心 （FMC） 設備，用于控制我們的 FTD 部署。FMC 使我們能夠從一個中心位置管理我們的防御策略，并立即將其推送到位于全球各地的所有 FTD 設備。

　　此外，啟用上述新功能需要專門的技能組來執(zhí)行代碼升級，這會占用寶貴資源，且偶爾還會因人為錯誤而導致關鍵網(wǎng)絡故障。有了 FMC，我們可以一鍵部署新版本的代碼。

　　FMC 還有助于我們深入了解我們的安全設備上有哪些流量經(jīng)過。分析此類數(shù)據(jù)將能幫助我們基于更加深刻的見解做出更為明智的決策，從而進一步優(yōu)化網(wǎng)絡和安全策略。

　　在我們之前的部署中，網(wǎng)絡工程師無法訪問安全設備，導致他們難以排除性能故障。如今，這些工程師借助 FMC 獲得了對這些系統(tǒng)的可視性，于此同時我們的安全團隊仍可繼續(xù)限制對安全敏感信息的訪問。

　　盡管我們下一代防火墻仍在部署中，但我們已經(jīng)獲得了它帶來的諸多優(yōu)勢。在不久的將來，一旦企業(yè)防火墻全面遷移到 FTD，我們預計還會實現(xiàn)更多的價值，包括：