cisco网络安全体系架构-SEVT

2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview网络平安架构的未来网络平安架构的未来2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview2议程议程网络平安开展趋势网络平安开展趋势网络平安体系架构网络平安体系架构思科自防御网络思科自防御网络 SDN3.0 SDN3.0 网络平安网络平安 中国中国2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview3网络平安开展趋势网络平安开展趋势2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview420212021年十大互联网平安趋势年十大互联网平安趋势 Web2.0 Web2.0时代到来时代到来 1.1.社交网站和社交网站和Web 2.0Web 2.0网站成为黑客攻击目标。网站成为黑客攻击目标。2.“2.“僵尸网络将继续繁殖。僵尸网络将继续繁殖。3.3.通过通过IMIM传播的传播的“flash“flash蠕虫将大规模爆发。蠕虫将大规模爆发。4.4.在线游戏等虚拟社区将成为重要攻击目标。在线游戏等虚拟社区将成为重要攻击目标。5.Windows Vista 5.Windows Vista将成为黑客攻击目标。将成为黑客攻击目标。6.6.广告软件数量下滑。广告软件数量下滑。7.“7.“钓鱼式攻击将面向普通小型网站。钓鱼式攻击将面向普通小型网站。8.8.寄生恶意软件明年增长寄生恶意软件明年增长20%20%。9.9.虚拟机平安问题突出。虚拟机平安问题突出。10.VoIP 10.VoIP 攻击将直线上升。攻击将直线上升。2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview5数据平安排名第一数据平安排名第一1.1.DataData protection protection2.Vulnerability security3.3.Policy and regulatory compliancePolicy and regulatory compliance4.4.Identity theft and leakage of informationIdentity theft and leakage of information 5.Viruses and worms6.Risk management7.Access control 8.User education,training and awareness9.Wireless infrastructure security10.Internal network security/insider threatsSource:CSI/FBI 2006Computer Crime and Security SurveyAccording to IDC,increasing sophistication of attacks and complexity of security management will drive need for more integrated/proactive security solutions.2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview6威胁威胁-攻击者攻击者窃贼窃贼间谍间谍始作俑者始作俑者集团利益集团利益个人牟利个人牟利个人虚荣心个人虚荣心好奇心好奇心初级脚本初级脚本 中级创造中级创造专家级专家级专才专才密码破解者密码破解者造成经济利益造成经济利益损失最为严重损失最为严重迅猛增长迅猛增长趋于规模化趋于规模化经济经济/政治利益政治利益武器武器数量所占数量所占比例最高比例最高学习学习2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview7攻击行为攻击行为-来源来源恶意URL0Day溢出端口电子邮件附件IM文件2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview8安全实现要点描述两个主要的安全策略实施与运营的要点安全实际行动描述实际的行动来增强可见度与可控度安全部署方法论描述安全策略与运营的监控与改善方法论安全角色任务转化安全系统与解决方案 为安全实际行动安全业务相关性 描述客户特定的业务目标与威胁对业务目标实现造成的风险与影响程度IP NGN Secure Platform IP NGN Secure Platform 威胁与业务关威胁与业务关联联运营性效劳提供商分等级平安框架模型设计评估审计策略平安运营业务威胁可见度 业务威胁可控度l存取身份分解隔离固化标准应用感知业务目标与客观 现状平安威胁模型根底架构平安清洗中心业务控制自适应威胁隐私与机密对等平安自动化操作控制与与组合实行平安域隔离威胁SWAT准入与终端平安 eTOM,ITIL运营部属卓越执行可执行可度量策略执行实施监控与关联协同平安实现者2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview9数据中心平安效劳架构数据中心平安效劳架构DataCenterConnectivitySecurityLinkRedundancy,DDOS,IPSec/SSL VPNDCNetworksecurityFirewalls,IDS/IPS,Anti-X/Host IPS/ScannerApplicationSecurityservicesSSL offloading,XSS/SQL，XML Gateway/CCA/ACSDataSecurityData Leakage,Terminal Security/CSATypicaladoptiontimelineManagementSecurityMonitor,Events analysis,Response,PCI/SOX2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview10网络平安技术开展过程网络平安技术开展过程技术原理技术原理优势与限制优势与限制趋势趋势ACLACL策略控制策略控制 三层 端口控制无状态，易欺骗集成防火墙防火墙防火墙 四层状态检测默认情况不通，匹配策略控制层面不高UTM Anti X（AV）入侵检测入侵检测Signature 检测默认都通，匹配特征漏报，误报，升级不断IDS vs.IPSIPSEC/SSL IPSEC/SSL VPNVPN加密机加密机秘钥（连通）加密认证的数据传输应用的支持VPN All in One网闸网闸GAPGAP物理隔离，摆渡,蒸馏，协议剥离和重建技术安全交换数据，协议层，连通性涉密系统网络准入网络准入NACNAC端点控制（IP ID）客户端管理与网络的集成流量清洗流量清洗旁路牵引特殊流量Anti-DDOS 安全服务中心2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview11Metro Optical Layer to Metro Optical Layer to Distributed Data CenterDistributed Data CenterFront-End LayerFront-End LayerApplication LayerApplication LayerStorage LayerStorage LayerAggregation LayerAggregation LayerVSANBack-End LayerBack-End LayerSecurity ZonesVSANInternet EdgeInternet EdgeSecondary Data CenterSP1InternetSP 2IP Network平安区域层次平安区域层次Mainframe2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview12DCDC网络平安技术部署层次网络平安技术部署层次技术原理技术原理优势与限制优势与限制趋势趋势ACLACL策略控制策略控制 三层 端口控制无状态，易欺骗集成防火墙流量清洗流量清洗旁路牵引特殊流量Anti-DDOS 安全服务中心防火墙防火墙 四层状态检测默认情况不通，匹配策略控制层面不高UTM Anti X（AV）入侵检测入侵检测Signature 检测默认都通，匹配特征漏报，误报，升级不断IDS vs.IPSIPSEC/SSL IPSEC/SSL VPNVPN加密机加密机秘钥（连通）加密认证的数据传输应用的支持VPN All in One网闸网闸GAPGAP物理隔离，摆渡,蒸馏，协议剥离和重建技术安全交换数据，协议层，连通性涉密系统网络准入网络准入NACNAC端点控制（IP ID）客户端管理与网络的集成2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview13Cisco ASA 5580 SeriesN-Tier Firewall RequirementsCiscoASAforn-tierapplicationsPerimeter FirewallHighconns/secondAttackProtectionApplication Inspection FirewallAdvancedInspectionHighconcurrency Back-end FirewallHighthroughputLowlatencyWebTierApplicationTierDatabaseTierInternet150KConns/sec2MConcurrentConnections100SLatency2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview14数据中心整体平安部属图数据中心整体平安部属图I IC CP PS S p pr rC C S ST TS SCisco IOS RouterCisco IOS RouterCatalyst SwitchCatalyst SwitchFWSM Active/ActiveFWSM Active/ActiveInternal NetworkInternal NetworkCatalyst SwitchCatalyst SwitchCisco Guard XTCisco Guard XTCisco IPS/IDSCisco IPS/IDSCisco Guard XTCisco Guard XTDNS ServersDNS ServersWeb,Chat,Web,Chat,E-mail,etc./E-mail,etc./CSACSATargetTargetISP 2ISP 2ISP 1ISP 1Cisco Anomaly Cisco Anomaly Detector XTDetector XTMARS/CSM/ACSMARS/CSM/ACSACE ModuleACE ModuleAVSAVSERP/CRMERP/CRM2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview15万兆防火墙万兆防火墙ASA5580 的七个新境界的七个新境界 Web2.0HTTP1.1应用相比较HTTP1.0在一个Request中并发更多的Session，当网络流量突发或受到攻击时，短时间内会产生巨大的新建连接，要求设备具有更强的抗攻击能力与业务响应能力，每秒每秒新建连接数是Web2.0应用防火墙的最关键衡量指标！-ASA5580每秒新建连接数到达业界新高度的15万。万兆实际HTTP性能吞吐能力：传统的防火墙吞吐率是指UDP大包的性能，ASA5580的万兆吞吐能力是指实际的HTTP流量性能，如果按超大包计算可到达20G性能。对数据包的时延小于30ms.AnyConnectVPN支持IPSec和SSLVPN的统一网关集成，适应点对点，移动用户，可管理桌面，企业网络接入，合作伙伴或者外联网接入等各种场景，将高度平安的远程接入拓展到任何地点的任何用户。IPSEC与SSLVPN各支持1万并发接入通道。2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview16万兆防火墙万兆防火墙ASA5580 的七个新境界的七个新境界(续续统一通讯语音视频平安网关：首创加密的语音视频解决方案，增强支持广泛的语音协议SCCP,SIP,H.323,MGCP,RTP/RTCP等，并支持TLS信令终结与代理，动态SRTP端口加密流深度检测等，是针对Web2.0时代流媒体应用的新一代专用平安系统。基于Netflowv9标准的高速审计与时间监控：这是思科提倡网络技术与平安技术融合的具体表现之一，将ASA5580高端防火墙作为标准的网元设备去管理与控制。ASA5580通过CSM集中配置系统与MARS平安速响系统实现统一与配置管理与平安事件响应，是思科自防御体系自适应实现协同的表达。绿色数据中心为代表的新系统对设备节能减排的环保要求提出了新要求，ASA5580采用新一代进化技术PCI-X架构，动态电源技术，提供了更快速的数据传输，ECC自动恢复错误与错误检测的功能，能有效提升系统的效能并大幅度节省能耗,进入“绿色运营的新时代！2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview17Cisco High Performance Firewall PortfolioTarget MarketFirewall CharacteristicsMax Firewall Perf(RW HTTP)Max Firewall Perf(1400 UDP)Max Firewall Perf(Jumbo)Max Firewall ConnectionsMax Connections/SecMax Packets/Sec(64 byte)Latency(microseconds)Max Rules(ACEs)Max Security ContextsMax VLANsBase I/OMax I/OCiscoASA 5580-20CampusSegmentation/Data Center5 Gbps6.5 Gbps10 Gbps1,000,00090,0002.8 Million100512,000502502 Mgmt24 GE or12 10GENewCiscoASA 5580-40CampusSegmentation/Data Center10 Gbps14 Gbps20 Gbps2,000,000150,0005.5 Million1001,000,000502502 Mgmt24 GE or12 10GECiscoFWSMCampusSegmentation/Data CenterTBD5.5 Gbps5.5(50+Sup)1,000,000100,0002.8 Million5080K(160K 4.0)2501000Sup-based536 GE or28-56 10GENewCisco MCP5G/10G/20GWAN EdgeTBD5/10/20 Gbps5/10/20 GbpsTBD/500K/1MTBD/50K/100K2+MillionTBDTBD/50K/200KN/A40001 Mgmt120 GEor 12 10GENew2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview18Cisco ASA 5580 SeriesN-Tier Firewall RequirementsCiscoASAforn-tierapplicationsPerimeter FirewallHighconns/secondAttackProtectionApplication Inspection FirewallAdvancedInspectionHighconcurrency Back-end FirewallHighthroughputLowlatencyWebTierApplicationTierDatabaseTierInternet150KConns/sec2MConcurrentConnections100SLatency2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview19Cisco ASA 5580-20 Offers Unmatched PerformanceCisco ASA 5580-20 vs.Juniper ISG 2000ThesuperiorarchitectureandsoftwareengineeringoftheCiscoASA5580-20willredefineperformance,scalability,andvalueforhighperformancesecurity.Performance MetricCisco ASA 5580-20 v8.1Juniper ISG 2000 v6.0Cisco ASA 5580-20 AdvantageTCP Real World(HTTP)3.9 Gbps1.2 Gbps3x Real World PerformanceUDP Throughput(1400)7.8 Gbps3.9 Gbps2x Large Packet PerformanceConnections/Second110,00012,000Nearly 10 x More ScalabilityLatency48 Sec62 Sec23%Lower LatencyNote:Results based on internal testing at Cisco,using same methodology on both platforms(8 GE ports used on each platform Cisco ASA 5580-20 can perform higher with 10GE ports or more GE ports).HTTP testing performed with multiple Avalanche/Reflector pairs,UDP testing performed with Spirent Test Center.Cisco Confidential INTERNAL USE ONLY2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview20网络平安体系架构网络平安体系架构2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview21Unified Security-Unified Security-思科统一平安三阶段思科统一平安三阶段 Phase IPhase I：Unified Security Gateway:Unified Security Gateway:统一平安网关统一平安网关模块：模块：FWSM FWSM，AGM/ADMAGM/ADM，IDSM-IDSM-你无法拒绝的畅销经典：无需改拓扑，高性能，超值你无法拒绝的畅销经典：无需改拓扑，高性能，超值!ASAASA：+SSLVPN,+IPS,+AV-+SSLVPN,+IPS,+AV-最具开展潜力的下一代防火墙：等速最具开展潜力的下一代防火墙：等速IPSIPS性能，集成性能，集成SSLVPN,SSLVPN,高新建连接高新建连接!ISR ISR：IPSEC VPN,IOS Security-IPSEC VPN,IOS Security-最天然的分支机构最天然的分支机构VPNVPN组网组网ALLinOne:ALLinOne:集成防火集成防火墙墙,IPS,SSLVPN,IPS,SSLVPN功能功能!Phase IIPhase II：Unified Security Control Unified Security Control：统一平安准入：统一平安准入NAC/CCA:NAC/CCA:从网络向终端的延伸与协同从网络向终端的延伸与协同,未来趋势是未来趋势是NACNAC模块模块!CSA:CSA:思科内部广泛应用思科内部广泛应用,趋势定位在防数据泄露市场趋势定位在防数据泄露市场!ACS:ACS:最具普适性的最具普适性的AAA Server-TACAS+,Radius!AAA Server-TACAS+,Radius!Phase IIIPhase III：Unified Security Management Unified Security Management 统一平安管理统一平安管理MARS:MARS:携手思科携手思科IDSIDS帮助客户发现网络中猜谜码帮助客户发现网络中猜谜码,扫描扫描,P2P,P2P,蠕虫等平安事件来源与开展趋势蠕虫等平安事件来源与开展趋势!CSM:CSM:集中分发配置与管理全部思科平安设备的安管系统集中分发配置与管理全部思科平安设备的安管系统!NCM:NCM:要平安策略审计吗要平安策略审计吗?Phase Future:Phase Future:统一平安市场统一平安市场;IronPort(Email/Web);IronPort(Email/Web)过滤过滤,XML Firewall(WAF,XML Firewall(WAF应用防火墙应用防火墙),.,.2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview22思科立体网络平安架构与技术实现思科立体网络平安架构与技术实现物物理理层层隔隔离离 物物理理端端口口逻逻辑辑层层隔隔离离 V VL LA AN N，V VF FW W 策策略略层层隔隔离离 A AC CL L应应用用层层隔隔离离 D DP PI I 准准入入层层控控制制 N NA AC C/C CS SA A流量清洗流量清洗-Guard-Guard（DDOS/SPAMDDOS/SPAM）安全通道安全通道 IPSEC/SSL VPNIPSEC/SSL VPN威胁控制威胁控制 ASA/IPSASA/IPS（Anti-XAnti-X）应用控制应用控制 -IronPortIronPort用户用户AAAAAAAA管理管理-ACSACS安全事件管理安全事件管理-MARSMARS集中配置管理集中配置管理-CSM/NCMCSM/NCM2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview23思科自防御网络思科自防御网络 SDN3.0SDN3.02007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview24不断升级的平安威胁不断升级的平安威胁 内容及网络平安的必要性内容及网络平安的必要性锁住了网络层之门锁住了网络层之门,但电子邮件及网页门仍然洞开但电子邮件及网页门仍然洞开网络平安网络平安内容安全内容安全端口端口 2525端口端口 80802007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview25平安创造网络价值平安创造网络价值 可运营网络可运营网络网络安全网络安全终端安全终端安全内容安全内容安全应用安全应用安全系统管理系统管理 策略策略信誉信誉身份身份思科自防御网络思科自防御网络 SDN3.0 SDN3.0实现信息平安的系统方法实现信息平安的系统方法网络价值网络价值-易用易用平安平安-复杂复杂自防御网络自防御网络2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview26思科自防御网络思科自防御网络实现实现IT信息平安的系统方法信息平安的系统方法每个网络组件均可防护每个网络组件均可防护策略控制策略控制模块化模块化开放标准化开放标准化可重复利用可重复利用Integrated主动主动防护与自动响应威胁防护与自动响应威胁 自动流程调整自动流程调整 自动防护实现自动防护实现Adaptive效劳与设备协同抵御攻击效劳与设备协同抵御攻击平安效劳统一管理平安效劳统一管理物理扁平物理扁平,逻辑纵深逻辑纵深Collaborative2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview27思科自防御网络思科自防御网络 3.0 3.0信息平安的未来信息平安的未来 为应对不断升级的平安威胁，集成了高级网络,终端,内容,和应用层平安集成的优势集成的优势利用在全球网络中收集到的信息阻挡最新平安威胁广泛流量检查广泛流量检查提供广泛平安防护性能的端到端信息平安解决方案端到端的解决方案端到端的解决方案2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview28系统性平滑实现系统性平滑实现 IT IT 平安与合规的风险管理平安与合规的风险管理数据控制数据控制合规控制合规控制恶意软件恶意软件思科自防御网络思科自防御网络 SDN3.0 SDN3.0实现信息平安的系统方法实现信息平安的系统方法CSA,IronPort,CiscoSME,TrustsecASA,CSA,NAC,IPS,WebApplicationFirewall,MARSIronPort,ASA,CSA,IPS,MARS2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview29数据中心的自防御网络数据中心的自防御网络Cisco ASAACSCisco Security MARSCisco WAASWeb ServersCisco ACECisco Security AgentCisco Security AgentCisco Security AgentApplicationServersDatabase ServersAXG(Web Applications)Cisco Security AgentCisco Security AgentCisco MDS with SMETier 1/2/3 StorageTape/Offsite BackupAXG(B2B)CSMCisco Security Agent-MCCW-LMN数据中心边界数据中心边界防火墙和防火墙和 IPS IPSDoS DoS 防护防护应用协议检查应用协议检查Web Web 效劳平安效劳平安VPN VPN 终止终止邮件和邮件和WebWeb接入控制接入控制Cisco Catalyst 6000FWSMWeb Web 接入接入Web Web 平安平安应用平安应用平安应用隔离应用隔离内容检查内容检查SSL SSL 加解密加解密效劳器硬化效劳器硬化应用和数据库应用和数据库XML,SOAP,XML,SOAP,和和AJAX AJAX 平安平安DoS DoS 防护防护应用到应用的平安应用到应用的平安效劳器硬化效劳器硬化存储存储数据加密o In motiono At rest对保存的数据的接入控制分割管理管理分层接入监控和分析基于角色的接入AAA接入控制Cisco IronPort E-Mail SecurityAXG(DHTML to XML)Cisco IronPort Web SecurityCisco IronPort Web Security2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview30Data Center Security 3.0 Data Center Security 3.0 一览表一览表安全威胁安全威胁CiscoCisco产品定位与部署产品定位与部署优势优势DDOSDDOS等异常流量等异常流量Guard 模块部署在DC出口Detector 模块部署在内部交换机专利专利MVPMVP全动态策略全动态策略DDOSDDOS过滤技术过滤技术内外部服务器隔离内外部服务器隔离 FWSM 模块部署在核心交换机业界最高每秒业界最高每秒1010万新建连接万新建连接服务器负载均衡服务器负载均衡ACE 模块部署在服务器集群前业界性能最高业界性能最高16G,16G,支持虚拟区域支持虚拟区域ARPARP，蠕虫病毒，蠕虫病毒MARS部署在内网网管区IPS独立设备旁路部署在各VLAN业界最直观的图形化安全网管体系主机病毒入侵主机病毒入侵CSA+MC 软件安装服务器主机基于行为零日攻击防护跨脚本，跨脚本，SQLSQL注入注入AVS+AXG（ACE XML Firewall）部署在DB前端专业应用层攻击防护PCIPCI，SOX SOX 合规合规NCM 软件安装在网管服务器支持思科所有设备邮件过滤与加密邮件过滤与加密Iron Port 部署在邮件服务器旁业界性能最强每秒1万邮件并发处理2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview31网络平安网络平安 中国中国2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview32针对性针对性-攻击手法攻击手法以奥运为例以奥运为例破坏效劳可用性每秒数十个G的峰值流量规模高达数十万台节点botnet瘫痪奥运主效劳器修改页面传播政治内容直接攻击主效劳器篡改奥运的DNS解析传播恶意代码攻击奥运CDN网络本地恶意代码截获奥运页面注入攻击劫持攻击劫持奥运相关系统升级站点、效劳器植入恶意代码2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview33非针对性非针对性-攻击手法攻击手法以奥运为例以奥运为例移动介质操作系统自身问题+驱动程序固有缺陷未经授权SL811HS主控芯片传播恶意代码Plug and Root非官方奥运资料页面篡改视频文件植入攻击payload钓鱼Phishing攻击销售假门票遏制攻击-消耗战-声东击西预先准备大量攻击代码快速消耗平安响应团队能力2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview34北京网通北京网通 奥运平安集成，协同，自适应设计奥运平安集成，协同，自适应设计 骨干网骨干网 20G 清洗中心ASBR 网间路由器20 G 清洗中心Sohu IDCSohu IDCDetectorDetector其他场馆其他场馆DetectorDetector北京网通用户北京网通用户 12G清洗中心运营商20G 清洗中心20G 清洗中心12 G 清洗中心SOCSOC网管中心网管中心 Netflow+MDMNetflow+MDM2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview35旁路清洗中心旁路清洗中心 疏导设计疏导设计vs.堵截设计堵截设计区域区域1:WEB区域区域2:DNS区域区域3:E-Commerce 应用用InternetLegitimate Traffic正正常常流流量量攻攻击目目标1.检测非正常流量非正常流量2.启启动保保护 (自自动/手手动)RemoteHealthInjection RHI 3.将流量转移到将流量转移到Guard模块模块5.将正常流量重新注入将正常流量重新注入6.到其他区域的流到其他区域的流量没有受到影响量没有受到影响BGP PeerO 192.168.3.0/24 110/2 via 100.0.0.3,2d11h,GigabitEthernet2B 192.168.3.128/32 20/0 via 20.0.0.2,00:00:01 192.168.3.128=zone,10.0.0.2=Guard Module,20.0.0.2=MSFCBGP announce 4.攻攻击缓解解(清清洁)2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview36自适应威胁典型例如自适应威胁典型例如VPN AccessInternetCS-MARSIDSCSACSACSACSACSACollaboration Example:Collaboration Example:Cisco Security Agent(Cisco Security Agent(CSACSA)Intrusion Detection(Intrusion Detection(IDSIDS)Cisco Monitoring,Analysis,and Response System(Cisco Monitoring,Analysis,and Response System(CS-MARSCS-MARS)2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview37Web2.0 Web2.0 平安平安 典型应用典型应用保护Microsoft ,Microsoft update下载)26 Guards(平均8Gbps正常下载流量)CNN 美国有线电视新闻网-Cable News Network-全球最先进的新闻组织,带给您每周七天,每天二十四小时的全球直播新闻报导选择理由选择理由:专业专业MVPMVP全动态技术全动态技术;标准开放接口标准开放接口;一键式防护解决一键式防护解决,旁路按需检测与防旁路按需检测与防护护2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview38网闸网闸GAP GAP 涉密系统的物理隔离涉密系统的物理隔离技术特征:单向数据剥离，重建技术 摆渡，蒸馏 针对问题：系统后门，协议漏洞 应用场景：政府、科研型企业、院校等高涉密网络，防止重要资料通过互联网外泄 警务通系统，将警务专网的各类各类数据同步到外网供交警、刑警实时查询，也可应用与税务系统，特定工业系统。根据国家电力二次平安防护要求而应运而生的产品，采用应用层单向传输，平安性极高。部署建议：只向外发布数据，不提供外部访问的系统边界点2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview39防火墙防火墙“异构异构“操作系统 异构:Linux vs FreeBSD vs Windows硬件架构 异构:ASIC vs FPGA vs Intel CPU 检测层面 异构：Packet vs Session vs Protocal vs Application vs files vs Code 策略设计 异构：Interface based vs Policy Based vs Zone Based vs Route based vs System Based实现机理 异构：Default deny vs Deafult permit vs Deafult Tunnel vs Default Isolate部署方式 异构：In-Line vs Off-Line vs Sample2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview40总结总结网络平安开展趋势网络平安开展趋势Web2.0Web2.0时代的变革，攻击目的：政治，经济利益时代的变革，攻击目的：政治，经济利益网络平安体系架构网络平安体系架构IATFIATF纵深防御：平安域层次化，系统化，立体化纵深防御：平安域层次化，系统化，立体化思科自防御网络思科自防御网络 SDN3.0 SDN3.0 网络网络-终端的关系：集成化，协同化，自适应终端的关系：集成化，协同化，自适应网络由下向上信息平安实现策略网络由下向上信息平安实现策略网络平安网络平安 中国中国奥运平安的实现奥运平安的实现国内的平安需求国内的平安需求2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview412007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview42DCN 统一出口平安S8508S8508员工与合作伙伴接入DMZMANMAN防火墙模块防火墙模块SSL VPNSSL VPNServerServer证书证书ServerServerRSA ServerRSA Server公众业务客户门户DMZ网上营业厅网上营业厅网上营业厅网上营业厅IDSIDS外网交互业务DMZCRM接口机网上营业厅接口机外网访问区S2403S2403负载均衡模块负载均衡模块S2403S2403S2403S2403S3928S392810000号接口机DNS效劳器Symantec补丁管理ISA内部公共访问内部公共访问DMZDMZS8016S8508DCN DCN 网内部业务系统网内部业务系统CRM、计费等业务系统ASA5500ASA5500出口防火墙出口防火墙 高性能，高稳定性，1G性能支持IPSECFWSMFWSM内部核心防火墙内部核心防火墙 能隔离内部多VLAN虚拟防火墙5G性能效劳器负载均衡效劳器负载均衡高性能，高稳定性，高性能，高稳定性，4G4G性能性能虚拟区域负载均衡虚拟区域负载均衡IPS/IDS IPS/IDS 入侵检测入侵检测 1G 性能虚拟Sensor，IDS/IPS切换GuardGuardGuard DDOS Guard DDOS 防护防护1G 性能Sniffer MARS MARS 威胁管理威胁管理攻击路径响应威胁管理2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview43防止数据泄漏防止数据泄漏 自防御网络应用自防御网络应用数据中心数据中心员工员工网络边界网络边界磁带磁带应用效劳器应用效劳器思科思科 MDS 9000C-系列邮件平系列邮件平安工具安工具InternetCorporate Network思科平安代理思科平安代理防止防止终结点数据点数据丧失失防止思科防止思科IronPort网网络保保护旁路旁路对内容内容进行行检查和分和分类(类似于思科似于思科 IronPort)在将来在将来发布布该功能功能合作伙伴合作伙伴客户客户远程员工远程员工存存储加密加密防止未授防止未授权用用户接入和休眠接入和休眠时数据数据丧失失与与SAN结构和管理的集成构和管理的集成平安可靠的效平安可靠的效劳IronPort 防止数据在网防止数据在网络边界界丧失失检查和控制内容和控制内容解决解决隐私私规那么那么利用利用现有的反垃圾有的反垃圾邮件和件和间谍软件的根底件的根底设施施2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview44InternetCreditCardStorageWireless Device远程分支机构远程分支机构英特网边界英特网边界Cisco Integrated Services RouterCisco CatalystSwitchCisco Catalyst 6500 and Cisco 7600FWSMCisco Security MARSCisco Security Agent总公司总公司Cisco Catalyst 6500 SwitchCisco Security AgentCSAWAPE-CommerceASACisco 7000NCM/CASWAPPOS Cash RegisterMobile POSPOS ServerStore Worker PC策略实现和规那么遵从策略实现和规那么遵从自防御网络应用自防御网络应用网管中心网管中心数据中心数据中心CSMACSWAP机密性:强认证和接入控制保证机密数据完整性:IPsec和SSLVPNs保护信息传输审计/报告:跟踪平安信息Cisco ASA SSLNAC可靠性:受控数据提供给授权用户2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview45自防御网络中的高级网络平安自防御网络中的高级网络平安特征特征签名，基于动作和漏洞的探测签名，基于动作和漏洞的探测在整个网络中集成平安策略在整个网络中集成平安策略优点优点帮助确保设备正常运行，保护资产帮助确保设备正常运行，保护资产主动应对和未知的威胁主动应对和未知的威胁主动抑制病毒感染和爆发主动抑制病毒感染和爆发维持隐私和机密维持隐私和机密 本钱效益可便于部署于整个网络本钱效益可便于部署于整个网络提高灵活性和员工生产率提高灵活性和员工生产率思科ASA自适应平安设备防火墙,SSLVPN,IPS思科集成多业务路由器思科IDSM和FWSM思科入侵防御系统传感器2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview46自防御网络中的平安终端控制自防御网络中的平安终端控制思科网络准入控制(NAC)思科平安代理特征特征基于角色的网络准入控制和平基于角色的网络准入控制和平安策略执行安策略执行完整生命周期：发现、评估、完整生命周期：发现、评估、执行、整治执行、整治保护桌面电脑、效劳器和保护桌面电脑、效劳器和POS设备免受攻击设备免受攻击优点优点通过平安策略来保护未管理和通过平安策略来保护未管理和受管理的资产受管理的资产 减少基于漏洞的使用来保护资减少基于漏洞的使用来保护资产和信息产和信息通过增加可见度来减小风险通过增加可见度来减小风险2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview47自防御网络中的内容平安自防御网络中的内容平安思科思科 IronPort C系列系列思科思科 IronPort S系列系列思科思科ASA 内容平安内容平安 特征阻止入向邮件和Web威胁控制出向内容通过基于名誉的策略控制来过滤Web和电子邮件优点通过最新技术防止入侵威胁，垃圾邮件，恶意软件，病毒和蠕虫保护消息隐私遵从规那么稳固功能2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview48自防御网络中的应用平安自防御网络中的应用平安思科ACEXML网关(AXG)特征特征检查检查4-7层应用层应用检查和保护检查和保护Web，B2B，及应，及应用到应用的流量用到应用的流量AXG 支持支持 每秒每秒30,000 多个多个XML事务事务优点优点增强应用可靠性，防止应用中断增强应用可靠性，防止应用中断局部负载均衡和应用流量局部负载均衡和应用流量鉴别和防止基于应用的攻击鉴别和防止基于应用的攻击 保护商业资产保护商业资产解决隐私需求解决隐私需求思科ACE应用控制引擎模块2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview49运行控制和策略管理运行控制和策略管理思科平安管理器CSM思科平安监控、分析和响应系统MARS特点特点对防火墙、对防火墙、IPS、VPN平安效劳进行统一策略平安效劳进行统一策略和设备管理和设备管理关联平安违规和策略规那么关联平安违规和策略规那么多厂商平安事件监控、关联和缓解多厂商平安事件监控、关联和缓解掌握网络拓扑到达快速威胁隔离和缓解掌握网络拓扑到达快速威胁隔离和缓解好处好处通过集中化分级策略配置和实时威胁监控来通过集中化分级策略配置和实时威胁监控来简化平安操作简化平安操作快速威胁区分减少宕机时间快速威胁区分减少宕机时间在平安和网络运行之间通过流程管理到达高在平安和网络运行之间通过流程管理到达高效率效率在整个系统审计中集成变更管理和突发事件在整个系统审计中集成变更管理和突发事件分析分析2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverviewQ&AQ&A2007CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSDNOverview51