思科云安全解决方案-课件

思科安全无边界网络架构及解决方案支撑企业业务创新的商业平台Wind Wan Borderless Network 议程议程思科安全无边界网络架构外联业务安全思科云火墙解决方案内网业务安全思科攻击定位与响应解决方案问与答攻击威胁与防御体系的演进攻击威胁与防御体系的演进有边界网络有边界网络-无边界网络无边界网络过去现在集中计算集中计算云计算云计算有边界网络有边界网络无边界网络无边界网络外部入侵外部入侵DDoSDDoS内部木马僵尸利用内部木马僵尸利用网络应用网络应用内容数据内容数据边界单点边界单点全网多点全网多点固定静态特征固定静态特征移动动态变化移动动态变化IT行业攻击威胁防御体系一个没有边界的网络已形成一个没有边界的网络已形成企业网络边界分支办公室应用与数据总部办公室控制策略攻击者Home Office咖啡店客户机场合作伙伴Platformas a ServiceInfrastructureas a ServiceXas a ServiceSoftwareas a Service任何时间任何时间任何地点任何地点任何设备任何设备任何资源任何资源移动与协作、以及云计算打破了企业数据中心边界 智能终端/移动用户任何任何人人无边界无边界数据中心数据中心3 3无边界无边界InternetInternet2 2无边界无边界终端用户终端用户1 1思科无边界网络安全安全控制策略安全控制策略企业网络边界企业网络边界分支办公室分支办公室 应用与数据应用与数据总部办公室总部办公室控制策略控制策略(访问控制访问控制,合法使用合法使用,恶意软件恶意软件,数据安全数据安全)4 4Home Home OfficeOffice攻击者攻击者咖啡店咖啡店客户客户机场机场合作伙伴合作伙伴PlatformPlatformas a Serviceas a ServiceInfrastructureInfrastructureas a Serviceas a ServiceX Xas a Serviceas a ServiceSoftwareSoftwareas a Serviceas a Service智能终端智能终端/移动用户移动用户正确人员、正确终端、正确地点正确时间、正确资源无边界网络安全从自防御网络从自防御网络SDN到安全无边界网络到安全无边界网络SBN自防御网络 SDN安全无边界访问把坏人阻挡在外移动安全 MobilityAlways On安全无边界网络 SBN策略&身份受信任访问 Trust云安全 Cloud主机托管/混合托管思科安全智能运营中心思科安全智能运营中心 Cisco SIO防火墙 Firewall访问控制侵扰防御 IPS防止攻击内容安全 Content邮件&Web思科安全架构核心:CSIO-Sensor BaseSensorBase 全球覆盖:美国圣何塞,圣布鲁诺,澳大利亚,北卡罗莱纳和中国上海来自中国互联网的安全数据占17%之多实时采集全球30%的IP流量主动防御:全面及时的安全防护体系联动IPS全球入侵防御系统；全球入侵防御系统；ASA僵尸网络数据流过滤器；僵尸网络数据流过滤器；病毒蠕虫爆发预防过滤器；病毒蠕虫爆发预防过滤器；全球名誉度过滤器（全球名誉度过滤器（IPS；邮件及；邮件及Web）准确可靠:源于思科全球安全设备及第三方机构信息采集EmailURLSignatureDomainBotnet大家有疑问的，可以询问和交流大家有疑问的，可以询问和交流可以互相讨论下，但要小声点可以互相讨论下，但要小声点可以互相讨论下，但要小声点可以互相讨论下，但要小声点思科无边界网络安全-实践有边界内部网络-私有网络自防御网络SDN：集成、自适应、协同解决方案：ASA/FWSM(virtualFirewall)+CSM/IPS+NAC全网统一:动态防御,管理及可信网络管控防御：ScanSafe、SensorBase管理：TrustSec可信架构弹性架构防御解决方案：动态目的检测、智能信任报文；（云火墙Anti-Botnet、SGT）可信终端移动接入防御解决方案：移动准入控制，接入感知；（AnyConnect+NAC）可信数据数据保护解决方案：域内、域间信息加密及验证、PN、SSL感知；（WAAS、MACSec、VPN，Netflow）可信资源内容防御解决方案：动态源检测、内容合规检测；（IPSGlobalCorrelation、XMLFirewall）议程议程思科安全无边界网络架构外联业务安全思科云火墙解决方案内网业务安全思科攻击定位与响应解决方案问与答IPSIPSIPSIPSFirewall/VPNFirewall/VPNFirewall/VPNFirewall/VPNAnti-MalewareAnti-MalewareAnti-MalewareAnti-Maleware保护每个数据包和数据流保护每个数据包和数据流ATDATD自适应威胁防御实现自适应威胁防御实现接入接入突破突破网络滥用网络滥用端口扫描端口扫描畸形数据包畸形数据包应用滥用应用滥用停止服务停止服务/Hacking/Hacking已知的攻击已知的攻击被感染的流量被感染的流量植入应用中的攻击植入应用中的攻击外联业务多功能防护需求外联业务多功能防护需求下一代防火墙：主动防御僵尸网络，智能入侵防护.思科“云”火墙应对五大信息安全最新挑战如何避免内部感染木马与僵尸网络潜伏?“云”火墙Sensorbase动态策略技术如何阻断外部黑客攻击?IPSGlobalCorrelation全球信誉协防技术如何划分安全域与安全接入?虚拟防火墙技术与xVPN技术如何实现内容安全与数据防泄漏?云火墙与Ironport邮件安全、Web安全网关1245如何提高Session性能实效?RealWorld性能，IPS硬件，SessionReputation3 一.防内部木马僵尸潜伏Anti-BotnetInfected ClientsASA 5500 Series 扫描流量，端口，协议，恶意“回拨”流量警示被感染客户端，清除木马僵尸流量Malware Command&ControlThreat ProtectionBotnet Traffic Filter on ASA 5500 Series监控恶意流量扫描全部流量，端口和协议通过追踪“回拨”流量发现被感染的客户端高准确度每周识别超过10万恶意连接自动DNS地址查询与CSIO实时连动Infected ClientsCisco ASA Command and ControlAnti-Malware二.防外部攻击入侵IPSGlobalCorrelation 2009 Cisco Systems,Inc.All rights reserved.Cisco Confidential17Empowered BranchSensor BaseSIO更新协同协同:特征库特征库+全球信誉关联全球信誉关联 特点特点:鉴别新增的威胁种类增加安全团队的工作效率Internet攻击者不在现在数据库中IPS 检查 signatures 结果是可疑攻击威胁确认执行阻断Report Attack to SIO*下载全球威胁数据最新恶意攻击信息更新未知攻击者关联信息:特征数据+全球威胁数据CiscoIPSServerClientCall Manager全球协防-IPSGlobalCorrelation08:00GMT一个新恶意软件正在澳大利亚被发现一个正在俄罗斯活跃的僵尸网络正在广泛的发送新内容在韩国，一个病毒正在网络上肆虐在佛罗里达，一个电脑黑客正在为主要的金融机构发送探通08:15GMT所有的CiscoIPS用户已经被保护，免于以上威胁的攻击CollaborativeIPS遥感,全球一体化关联,先发制人的保护CiscoIPS比其他IPS技术提前两倍的时间发现威胁入侵,收集数十亿全球范围内的数据点三.清理恶意 Session，提高并发实效RealWorld性能，IPS硬件，SessionReputationAccess ControlGranular Policy for Modern NetworksASA 支持数十万条策略能够基于接口或全局设定策略强大的NAT引擎Protocol InspectionPowerful Network Security and ControlsFragmentation and Obscured ContentPiggybacked SessionsOverloaded SessionsSource Address VerificationSequence RandomizationRetransmitted PacketsConnection and Embryonic LimitsSYN Flood ProtectionChecksum TestingMalformed Packets and State ChecksTCP Window Size AnomaliesSelective Resets and TimeoutsDead Connections规避避欺欺骗拒拒绝服服务连接接滥用用Anti-EvasionAnti-SpoofingDenial of Service ProtectionAnti-Connection Abuse四.安全域隔离ASA虚拟火墙MSFC云火墙VRF VRFVRFVRFVRFVRFVFWVFWVFWVFWVFWVFW.安全区1安全区2安全区3(多个VLAN）安全区4安全区5安全区nServerInternet企业网基于身份的准入控制xVPN工程师合作伙伴ASAASASW技术部经理ABC D策略认证中心Cut-Through SSL VPN SSL VPN SSL VPN 互联网SSL VPN 选择Diverse EndpointSupport for Greater Flexibility安全安全Rich,Granular SecurityIntegrated Into the network体体验Always-on IntelligentConnection for SeamlessExperience andPerformanceSecure Mobility Web Security with Next Generation Remote AccessAcceptable Use Access Control IntranetCorporate File SharingAccess GrantedData Loss PreventionThreat Prevention 解决方案解决方案:Secure Mobility互联网出口安装互联网出口安装ASA+WSAASA+WSA家庭咖啡店机场接入点接入点INTERNET应用用企业托管SaaSNewsEmailAnyConnect Client接入设备接入设备社交网络 Flexible DeliveryAppliance,Cloud&HybridNewsEmailSocial NetworkingEnterprise SaaSCisco Web Security Appliance Information Sharing Between ASA and WSACorporate ADASAAnyConnectAnywhere+(Transitioning to AnyConnect)思科下一代移动安全解决方案永久在线自动寻找最优接入点自动识别设备当前所在的网络区域应用控制单点登录五.内容安全与数据防泄露ASA“云”火墙-URL、IP层面过滤IronPort网关内容层面过滤Email内容Email/Web策略制定Web内容ASA云火墙ESA（硬件网关）-Email安全硬件网关层面的邮箱防护*防垃圾，防病毒，防攻击邮件的政策性管理*防泄密，备份等邮件相关应用*营销邮件，业务通知*信用卡账单，话费账单等邮件加密需求WSA（硬件网关）-Web安全上网行为管理上网加速缓存防毒墙客户本地的设备客户本地的设备用户体验用户体验思科云火墙、Web云服务企业网络云组件企业网络云组件Web Web 安全安全Email Email 安全安全IPSIPS入侵检测入侵检测 7.07.0具有防木马感染具有防木马感染的的ASAASA防火墙防火墙ASR1000ASR1000的的WebExWebEx节点节点ISR G2 ISR G2 可用服务模块可用服务模块SRESRE思科思科 AXPAXP弹性应用、弹性应用、本地性能、本地性能、安全法规遵从安全法规遵从广域网广域网企业企业分支机构分支机构 思科思科WebEx WebEx 协同云协同云全球协同邮全球协同邮件安全件安全应用云应用云领先的实时安全情报中心领先的实时安全情报中心日均日均5050亿次查询量亿次查询量超过超过150150个个 Email与Web参数监控全球近监控全球近30%30%流量流量思科安全云服务思科安全云服务网络感知的云覆盖网络感知的云覆盖AnyconnectAnyconnect移动安全互联移动安全互联Netflow v9Netflow v9异常流量监控异常流量监控Summary：Cisco ASA 5500 SeriesComprehensive Solutions from Branch to the Data CenterTeleworkerBranch OfficeInternetEdgeASA 5550(1.2 Gbps,36K conn/s)ASA 5505(150 Mbps,4K Conn/s)Cisco ASA 5500:Branch to the Data CenterData CenterASA 5540(650 Mbps,25K conn/s)ASA 5520(450 Mbps,12K conn/s)ASA 5510(300 Mbps,9K conn/s)ASA 5580-20(5-10 Gbps,90K conn/s)ASA 5580-40(10-20 Gbps,150K conn/s)CampusCisco ASA 5500 PlatformsFWSM*(5 Gbps)*PIX feature set新产品发布：新产品发布：Cisco ASA 5585为数据中心设计的下一代防火墙高性能高可部署性高安全性业界最快的连接建立速度最多的VPN数目业界最优的防火墙、入侵防御和VPN的整合云智能安全永久在线的远程访问部署灵活领先的性能密度先的性能密度领先的能耗比先的能耗比Cisco ASA 5500 Series Portfolio Comprehensive Solutions from SOHO to the Data CenterMulti-Service(Firewall/VPN and IPS)Performance and ScalabilityData CenterCampusBranch OfficeSOHOInternet EdgeASA 5585 SSP-60(35 Gbps,350K cps)ASA 5585 SSP-40(20 Gbps,200K cps)ASA 5585 SSP-20(10 Gbps,125K cps)ASA 5585 SSP-10(4 Gbps,50K cps)ASA 5540(650 Mbps,25K cps)ASA 5520(450 Mbps,12K cps)ASA 5510(300 Mbps,9K cps)ASA 5505(150 Mbps,4K cps)ASA 5550(1.2 Gbps,36K cps)ASA 5580-20(10 Gbps,90K cps)ASA 5580-40(20 Gbps,150K cps)NEWNEWNEWNEWFirewall and VPN Appliance议程议程思科安全无边界网络架构外联业务安全思科云火墙解决方案内网业务安全思科攻击定位与响应解决方案问与答Infected Host内部网络的复杂性内部网络的复杂性安全监控与响应的挑战安全监控与响应的挑战Action Steps:AlertInvestigate1.Mitigate网络运营网络运营安全运营安全运营Security Knowledge-BaseFirewallIDS/IPSVPNVulnerabilityScannersAuthenticationServersRouter/SwitchAntivirus10K Win,100s UNIXCollect Network DiagramRead and AnalyzeTONS of DataRepeat =Logs and Alerts真真实的攻的攻击导致出致出现大量的独立警告事件大量的独立警告事件实时停止威停止威胁传播播保保护公司公司资产如何快速准确定位与响应如何快速准确定位与响应安全攻击发生在安全攻击发生在思科思科Global Correlation IPS Changing Network IPS to Global IPS效率效率2倍于传统仅基于签名的IPS精确度精确度信誉分析的引入大幅降低误报率及时及时比传统基于签名的IPS快100倍以上对最新型的攻击开始拦截Harnessing the Power of Cisco Security Intelligence OperationsResults Averaged Over Two Week Period in Pre-release DeploymentsCisco SensorBaseThreat Operations CenterDynamicUpdatesSecurity Infrastructure That Dynamically Protect Against the Latest Threats Through:The Most Comprehensive Vulnerability and Sender Reputation DatabaseA Global Team of Security Researchers,Analysts,and Signature DevelopersDynamic Updates and Actionable IntelligenceCisco Security Intelligence Operations思科安全智能运营中心思科安全智能运营中心CSIOCisco SensorBaseThreat Operations CenterDynamic UpdatesPowered by Global CorrelationCisco Intrusion Prevention System更精确的实时威胁防御更精确的实时威胁防御智能检测技术Management and Operations灵活、安全的平台动态防护应用保护Cisco Security Intelligence Operations(SIO)方便的部署至现有网络方便的部署至现有网络Easy Integration into any Network TopologyVirtual SensorsInline On-A-StickFlexible deploymentInline or out-of-bandInline“on-a-stick”No rewiring of the networkLower operational costsVirtual sensors Device consolidation Policy flexibilityMixed-mode deployment Inline and out-of-bandPrevent Future AttacksDashboard RSS feeds inform operators of widespread threatsOver 150 customizable report templates keep operators up to date on threatsReports include“attacks prevented”and“malware discovered”See the ThreatPowerful event filtering and customizable color coding reduces network noiseIPS 事件管理事件管理Reporting and Event Management Hasten ResponseCS-MARS report viewIPS Manager Express(IME)dashboardUnderstand the ThreatEasily link directly to Cisco IntelliShield to find vulnerability patchesPerformanceCisco Security Management-CSMCapabilities to Match Your Network DemandsIPS Device Manager Single Device Manager Event ManagementEvent Management ConfigurationConfiguration Health and PerformanceHealth and Performance License ManagementLicense Management$27$55$95$150$125/$50IPS Manager ExpressSMB Multi-Device Manager ReportingReporting Event StoreEvent Store Event Management Event Management ConfigurationConfiguration Health and PerformanceHealth and Performance License ManagementLicense ManagementCS-ManagerEnterprise SDN Management Threat ID and ResolutionThreat ID and Resolution ReportingReporting Event StoreEvent Store Event ManagementEvent Management ConfigurationConfiguration Health and PerformanceHealth and Performance License ManagementLicense ManagementSummarySummary：威胁防御与响应系统先知先觉，主动防御先知先觉，主动防御快速获知安全攻击事件清晰描绘攻击路径准确定位攻击源头直接提供安全修复方案安全知识安全知识Security knowledge base统一的安全信息预警中心统一的安全信息预警中心风险评估风险评估Risk Assessment网络运营网络运营安全运营安全运营Cisco IPS Product PortfolioIOS IPSIPS AIM and NMESmallMediumLargeOrganization SizeASA5510-AIP10ASA5520-AIP10ISRASA5510-AIP20ASA5520-AIP20ASA5540-AIP20IPS 4240IPS 4255IPS 4260ASA 5500 SeriesIPS 4200 SeriesCatalyst 6500ApplianceSwitch-IntegratedBranchMulti-ServiceIPS 4270IDSM2Catalyst 6500 IDSM2 bundleASA5540-AIP40ASA5540-AIP40