Cisco ACE Module Technical Sales Guide v 1

Cisco ACE Module 소개 - Technical Sales Guide v 1. 0 - Cisco Systems Korea Solution S. E Team S. E 최 우 형 (whchoi@cisco. com) “Cisco ACE Module’ A ACE 1

Agenda Contents Delivery Challenges ACE 소개 ACE 상세 소개 Why ACE ? Case Study “Cisco ACE Module 소개 “ 2

Contents Delivery Challenges “Cisco ACE Module 소개 “ 3

Cisco ACE 소개 “Cisco ACE Module 소개 “ 5

ACE Overview q 성능 v 16 Gbps/8 Gbps/4 Gbps (Fabric Enabled) Content Switching Security v 6. 5 Mpps / 4 M 동시접속 / 348 K CPS SSL Offload v Virtual Context 250개(기본 5개 포함) v 4000개 Vlan/Probe 지원 v ACL 256 K / NAT 1 M q 주요 기능 v Role Based Access Control 지원 v Reflexive ACL, TCP/IP normalization, protocol fixup v HTTP Deep Inspection v SSL Offload v Modular Policy CLI ACE (Application Control Engine) “Cisco ACE Module 소개 “ v TCP Connection State Tracking v u. RPF Check 7

최적의 Application 제어관리 기술 가상 파티셔닝 기술을 통한 다양한 Contents 구성 Bridge Mode or Routed Mode Context Admin Mgmt Console Context A Web Zone Context B App Zone Context C DB Zone Gold Service Resour ce 15% Silver Service Resour ce 10% Bronze Service Resour ce 5% Context D New App Zone Silver Service Resour ce 10% ANM 확장성 / 투자보호 “Cisco ACE Module 소개 “ 효과적인 자원 관리 통합 콘솔 관리 10

최적의 Application 제어관리 기술 최적화된 구성 기법 제공 Legacy N-tire SLB Network Cisco Virtual N-tire SLB Network Cat 650 0 Cat 6 K Cat 650 0 ACE Module Legacy L 4 Switch Server Web App DB Cisco ACE Module을 통한 네트워크 최적화 및 SLB 가상화 서비스 “Cisco ACE Module 소개 “ 11

최적의 Application 제어관리 기술 Role Based Access Control “N etw ork 추가 요“ 해 주세 “SLB 기법 변경해 주세요” “ 지금 접속자 수가 ? ? ” ” … 세요 주 g해 i f n Co 안 “보 Cat 6 K Cat 650 0 ACE Module Server Web App DB Contents 네트워크 관리 비효율성 / SLB Network Mgmt Overhead “Cisco ACE Module 소개 “ 12

최적의 Application 제어관리 기술 Role Based Access Control Bridge Mode or Routed Mode Context Admin Mgmt Console Context A Web Domain 1, 2 Zone Domain 1, 2 Domain 1 Network. Domain 1 Admin Server Admin Monitor VIP 1 Role Admin VIP 2 VIP 3 Domain 2 Network Server Monitor Admin Domain 2 ANM 관리 효율성 극대화 - 도메인 VIP별 관리자에 따른 권한 별도 부여 가 “Cisco ACE Module 소개 “ 13

ACE 상세 소개 - 고성능 Application 응답속도 - “Cisco ACE Module 소개 “ 14

고성능 Application 응답 속도 High Performance / 확장성 높은 성능 - 16 Gbps/ 6. 5 Mpps / 345 K L 4 CPS/ 동시접속 4 M Session 높은 확장성 -Chassis 당 최대 4장 까지 추가 / 6500 Chassis 의 모든 Port 사용 가능 -4000개 Vlan 제공 , 256 K ACL , 1 M NAT 성능 제공 -Virtual Context 최대 250개 제공 (기본 5개 제공) “Cisco ACE Module 소개 “ 15

고성능 Application 응답 속도 높은 가용성 기술 제공 다양한 물리적 가용성 디자인 Inter Chassis Failover 기술 구현 Intra Chassis Failover 기술 구현 다양한 논리적 가용성 디자인 q 시스템 효율성 극대화 가상 SLB S. W 별 Active/Standby 별도 구성 q다양한 Failover Tracking HSRP, Interface Up/Down 다중 Probe Priority 지정 가능 A A “Cisco ACE Module 소개 “ S S A A q Fully Stateful Failover 지원 16

고성능 Application 응답 속도 다양한 SLB 기술 제공 L 4 SLB 기술 1 7 4 2 5 8 3 Src/Dst Address hashing 6 9 Round Robin “Cisco ACE Module 소개 “ Least connection Address Hashing 17

고성능 Application 응답 속도 다양한 SLB 기술 제공 L 7 SLB 기술 Cookie Loadbalanci ng Client Src IP Loadbalanci ng “Cisco ACE Module 소개 “ HTTP URL Loadbalancing HTTP Header Loadbalancing Netsting Loadbalanci ng 18

고성능 Application 응답 속도 다양한 SLB 기술 제공 One Arm Mode 1 4 5 2 3 Directed Server Return 1 “Cisco ACE Module 소개 “ 3 2 19

ACE 상세 소개 - 강력한 Application 보안 기술 - “Cisco ACE Module 소개 “ 20

강력한 Application 보안 기술 Popular Protocol Inspection 기능 제공 FTP Inspection DNS Inspection q FTP / FTP Strict Mode 지원 q Cisco 방화벽의 DNS Guard와 같은 동작 q. L 7 Lever의 FTP Commande 별 제어 가능 q DNS Qurey ID와 Reply ID 오류 탐지 v Truncated cmd, Incorrect cmd v Cmd Spoofing, Reply Spoofing v Invaild Port nego RTSP Inspection q 정상적인 DNS Request Connection 이 아닌 경우 DNS 보호를 위해 강제 종료 q Maximum DNS Packet length 점검 ICMP/Error Inspection q Real. Audio, Real. Player, Apple Quick. Time q ICMP Sequence Number Checking q. Cisco IP/TV connection 분석 기능 제공 q. Crafted ICMP Error Message q Connection Reset Attack q Throughput reduction Attack “Cisco ACE Module 소개 “ 22

강력한 Application 보안 기술 HTTP Inspection 기능 제공 RFC Compliance q HTTP Methods 유효성 점검 q HTTP Extension Methods 유효성 점검 q Methods 형태에 따른 Filtering 기법 제공 q Non-Compliant 강제 허용 가능 MIME Type 점검 q 원치 않는 MIME Type에 대한 Filtering Lenghth/Encoding 점검 q URL Header Length 에 따른 제어 기능 q Transfer Encoding Check Regular Expression Filter Port 80 Misuse q 정규식 표현(Reg-Ex)에 의한 HTTP Mesg q OWASP 에서 정의한 Web 취약점 XSS - ex> Yahoo Messanger 필터 가능 - Cross Site Scripting 에 대표적인 q 파일 공유 프로그램 제어 Regular Expression 90 가지 필터 가능 - P 2 P, Tunneling App, Instant Mesg. 웹서버 보안 강화를 위한 HTTP Inspection 기능 구현 가능 !!! “Cisco ACE Module 소개 “ 23

구성의 최적화 기법 제공 ANM 기반의 ACE 통합 관리 기능 제공 Contents “A” HTTPS ANM Server HTTPS Syslog SNMP Contents “A” ANM 1. 1 ACE 통합관리솔루 션 “Cisco ACE Module 소개 “ Contents “A” 25

구성의 최적화 기법 제공 TCP Optimize 기능 TCP Reuse TCP Connection 1 Req-C 1 Res-C 1 Req-C 3 Res-C 3 Req Client 1 Req Client 2 Req Client 3 Cisco ACE TCP Connection Req-C 2 2 Res-C 2 Server q TCP Reuse 기능을 통해 Server는 TCP Overhead 감소효과를 통해 TCP Offload 구현 q Client는 TCP Reuse 를 통해 최적의 Connection에 접속하여 빠른 응답속도를 얻어 낼 수 있음. “Cisco ACE Module 소개 “ 27

구성의 최적화 기법 제공 SSL Termination 기능 구성 복잡도 증가 Cost 증가 “Cisco ACE Module 소개 “ SLB Optimize Single TCP Termination, Multiple Operations Security Failover 시나리오 복잡도 증가 SSL TCP Termination 증가로 속도 저하 확장성, 성능, 관리측면 매우 우수 SSL 가속 기능 추가 28

Why Cisco ACE? “Cisco ACE Module 소개 “ 29

Case Study “Cisco ACE Module 소개 “ 31

Case A 일반기업, 쇼핑몰, 중소 포털사이트 Internet Router BB Switch ACE SLB Switch Contents-A Contents-B Contents-C q. Mgmt Overhed -구성의 복잡도 증가 q투자보호 문제 / 확장성 제약 문제 “Cisco ACE Module 소개 “ Contents-A Contents-B Contents-C q 16 Gbps / 4 M 동시접속의 높은 성능과 확장 성 q관리의 편리성 및 구성 최적화 32

Case B 대기업 IDC / Server Farm Context #1 Context #2 Context #3 Context #4 Context #5 Front network N-Tire App Web App DB q. Mgmt Overhed -구성의 복잡도 증가 q가상화 파티셔닝 기술을 통한 최적화 구성 q투자보호 문제 / 확장성 제약 문제 q가상화 별 Resource Limitation “Cisco ACE Module 소개 “ 33

“Cisco ACE Module 소개 “ 35

Feature-by-Feature Application Delivery Features CSS CSM ACE Per-VIP or Per-box Per-context Connection Persistence (HTTP 1. 1) Pipelining (HTTP 1. 1) L 4 to L 7 SLB Stateful Redundancy Limited TCP Termination For Generic Protocols X X Inband Health Checking X TCP re-use (aka multiplexing) X X “Cisco ACE Module 소개 “ Fully supported X (Future phase) 36

Feature-by-Feature Application Delivery Features CSS CSM ACE L 7 RDP-aware Balancing Windows Terminal Services X X L 7 SIP-aware LB X Scriptable Health Checks (Future phase) X (Future phase) Proprietary TCL Routing on CSS HTTP Compression X Kal-AP reporting load to GSS Route Health Injection “Cisco ACE Module 소개 “ VRF-aware X Future daughtercard X (Future phase) 37

Feature-by-Feature Security Features CSS CSM ACE TCP and IP Normalization X X HTTP, FTP, RTSP, ICMP, DNS Fixups and Inspection X X u. RPF check X X Scaleable Reflexive ACL’s X X Reverse sticky in X FWLB SYN cookies “Cisco ACE Module 소개 “ CSM recommended X (300 K SYNs/sec) future phase expected 3 -5 M SYNs/sec in future phase 38

Feature-by-Feature Network Management Command Line Interface XML Interface Graceful Service Shutdown Object Name Completion Embedded Device Manager (On-board GUI) Multi Device Manager Server-based GUI “Cisco ACE Module 소개 “ CSS CSM ACE X X Web. NS Supervisor IOS On-board IOS-like CVDM (Future phase) ANM HSE (post-FCS release) 39

Feature-by-Feature SSL Feature Set CSS SSLM CSM-S ACE Export cipher-suites (SSLM 3. 1) AES cipher-suites X X Client Authentication SSL Session re-user URL Rewrite HREF http: // to https: // X X SSL Termination Back-end SSL “Cisco ACE Module 소개 “ X (Future phase) 40