思科安全無邊界網絡

架構及解決方案

支撐企業業務創新的商業平臺

WindWan

BorderlessNetwork

議程思科安全無邊界網絡架構外聯業務安全——思科云火墻解決方案內網業務安全——思科攻擊定位與響應解決方案問與答攻擊威脅與防御體系的演進有邊界網絡->無邊界網絡過去現在

集中計算

云計算有邊界網絡

無邊界網絡外部入侵DDoS

內部木馬僵尸利用網絡應用

內容數據

邊界單點

全網多點固定靜態特征

移動動態變化IT行業攻擊威脅防御體系傳統的企業網絡邊界企業網絡邊界分支辦公室應用與數據總部辦公室控制策略攻擊者客戶合作伙伴一個沒有邊界的網絡已形成企業網絡邊界分支辦公室應用與數據總部辦公室控制策略攻擊者HomeOffice咖啡店客戶機場合作伙伴PlatformasaServiceInfrastructureasaServiceXasaServiceSoftwareasaService任何時間任何地點任何設備任何資源移動與協作、以及云計算——打破了企業數據中心邊界智能終端/移動用戶任何人無邊界數據中心3無邊界

Internet2無邊界

終端用戶1思科無邊界網絡安全安全控制策略企業網絡邊界分支辦公室應用與數據總部辦公室控制策略(訪問控制,合法使用,惡意軟件,數據安全)4HomeOffice攻擊者咖啡店客戶機場合作伙伴PlatformasaServiceInfrastructureasaServiceXasaServiceSoftwareasaService智能終端/移動用戶正確人員、正確終端、正確地點正確時間、正確資源無邊界網絡安全從自防御網絡SDN到安全無邊界網絡SBN自防御網絡–SDN安全無邊界訪問把壞人阻擋在外移動安全MobilityAlwaysOn安全無邊界網絡SBN策略&身份受信任訪問Trust云安全Cloud主機托管/混合托管思科安全智能運營中心CiscoSIO防火墻Firewall訪問控制侵擾防御IPS防止攻擊內容安全Content郵件&Web思科安全架構核心:

CSIO-SensorBaseSensorBase全球覆蓋:美國圣何塞,圣布魯諾,澳大利亞,北卡羅萊納和中國上海來自中國互聯網的安全數據占17%之多實時采集全球30%的IP流量主動防御:全面及時的安全防護體系聯動IPS全球入侵防御系統；ASA僵尸網絡數據流過濾器；病毒蠕蟲爆發預防過濾器；全球名譽度過濾器（IPS；郵件及Web）準確可靠:源于思科全球安全設備及第三方機構信息采集EmailURLSignatureDomainBotnet思科無邊界網絡安全-實踐有邊界內部網絡-私有網絡自防御網絡SDN：集成、自適應、協同解決方案：ASA/FWSM(virtualFirewall)+CSM/IPS+NAC…全網統一:動態防御,管理及可信網絡管控

防御：ScanSafe、SensorBase

管理：TrustSec

可信架構–彈性架構防御解決方案：動態目的檢測、智能信任報文；（云火墻Anti-Botnet、SGT）可信終端–移動接入防御解決方案：移動準入控制，接入感知；（AnyConnect+NAC）可信數據–數據保護解決方案：域內、域間信息加密及驗證、ＶPN、SSL感知；（WAAS、MACSec、VPN，Netflow）可信資源–內容防御解決方案：動態源檢測、內容合規檢測；（IPS

GlobalCorrelation、XML

Firewall）議程思科安全無邊界網絡架構外聯業務安全——思科云火墻解決方案內網業務安全——思科攻擊定位與響應解決方案問與答IPSFirewall/VPNAnti-Maleware保護每個數據包和數據流ATD自適應威脅防御實現接入突破網絡濫用端口掃描畸形數據包應用濫用停止服務/Hacking已知的攻擊被感染的流量植入應用中的攻擊外聯業務多功能防護需求下一代防火墻： 主動防御僵尸網絡，智能入侵防護.思科“云”火墻應對五大信息安全最新挑戰如何避免內部感染木馬與僵尸網絡潛伏?“云”火墻Sensorbase動態策略技術如何阻斷外部黑客攻擊?IPSGlobalCorrelation全球信譽協防技術如何劃分安全域與安全接入?虛擬防火墻技術與xVPN技術如何實現內容安全與數據防泄漏?云火墻與Ironport郵件安全、Web安全網關1245如何提高Session性能實效?

RealWorld性能，IPS硬件，SessionReputation3

一.防內部木馬僵尸潛伏Anti-BotnetInfectedClientsASA5500Series掃描流量，端口，協議，惡意“回撥”流量警示被感染客戶端，清除木馬僵尸流量MalwareCommand&ControlThreatProtection

BotnetTrafficFilteronASA5500Series監控惡意流量掃描全部流量，端口和協議通過追蹤“回撥”流量發現被感染的客戶端高準確度每周識別超過10萬惡意連接自動DNS地址查詢與CSIO實時連動InfectedClientsCiscoASACommand

andControlAnti-Malware二.防外部攻擊入侵–IPSGlobalCorrelation?2009CiscoSystems,Inc.Allrightsreserved.CiscoConfidential16EmpoweredBranchSensorBaseSIO更新協同:特征庫+全球信譽關聯

特點:鑒別新增的威脅種類增加安全團隊的工作效率Internet攻擊者不在現在數據庫中…IPS檢查

signatures–

結果是可疑攻擊威脅確認執行阻斷ReportAttacktoSIO*下載全球威脅數據最新惡意攻擊信息更新未知攻擊者關聯信息:特征數據+全球威脅數據CiscoIPSServerClientCallManager全球協防--IPSGlobalCorrelation08:00GMT一個新惡意軟件正在澳大利亞被發現一個正在俄羅斯活躍的僵尸網絡正在廣泛的發送新內容在韓國，一個病毒正在網絡上肆虐在佛羅里達，一個電腦黑客正在為主要的金融機構發送探通08:15GMT所有的CiscoIPS用戶已經被保護，免于以上威脅的攻擊

CollaborativeIPS遙感,全球一體化關聯,

先發制人的保護CiscoIPS比其他IPS技術提前兩倍的時間發現威脅入侵,收集數十億全球范圍內的數據點三.清理惡意Session，提高并發實效

RealWorld性能，IPS硬件，SessionReputationAccessControl

GranularPolicyforModernNetworksASA支持數十萬條策略能夠基于接口或全局設定策略強大的NAT引擎ProtocolInspection

PowerfulNetworkSecurityandControlsFragmentationandObscuredContentPiggybackedSessionsOverloadedSessionsSourceAddressVerificationSequenceRandomizationRetransmittedPacketsConnectionandEmbryonicLimitsSYNFloodProtectionChecksumTestingMalformedPacketsandStateChecksTCPWindowSizeAnomaliesSelectiveResetsandTimeoutsDeadConnections規避欺騙拒絕服務連接濫用Anti-EvasionAnti-SpoofingDenialofServiceProtectionAnti-ConnectionAbuse四.安全域隔離–ASA虛擬火墻MSFC

云火墻VRFVRFVRFVRFVRFVRFVFWVFWVFWVFWVFWVFW......安全區1安全區2安全區3(多個VLAN）安全區4安全區5安全區nServerInternet企業網基于身份的準入控制xVPN工程師合作伙伴ASAASASW技術部經理RBACDestinationSourceGroupsABCD策略認證中心Cut-ThroughSSLVPNSSLVPNSSLVPN互聯網SSLVPN選擇DiverseEndpoint

SupportforGreater

Flexibility安全Rich,GranularSecurity

IntegratedIntothenetwork體驗Always-onIntelligent

ConnectionforSeamless

Experienceand

PerformanceSecureMobility

WebSecuritywithNextGenerationRemoteAccessAcceptableUseAccessControlIntranetCorporateFileSharingAccessGrantedDataLossPreventionThreatPrevention解決方案:SecureMobility互聯網出口安裝ASA+WSA家庭咖啡店機場接入點INTERNET應用企業托管SaaSNewsEmailAnyConnectClient接入設備社交網絡

FlexibleDelivery

Appliance,Cloud&HybridNewsEmailSocialNetworkingEnterpriseSaaSCiscoWebSecurityApplianceInformationSharingBetweenASAandWSACorporateADASAAnyConnectAnywhere+(TransitioningtoAnyConnect)思科下一代移動安全解決方案永久在線自動尋找最優接入點自動識別設備當前所在的網絡區域應用控制單點登錄五.內容安全與數據防泄露ASA“云”火墻-URL、IP層面過濾IronPort網關–內容層面過濾ContentFilterEmail內容Email/Web策略制定ContentFilterWeb內容ASA云火墻ESA（硬件網關）-Email安全硬件網關層面的郵箱防護*防垃圾，防病毒，防攻擊郵件的政策性管理*防泄密，備份等郵件相關應用*營銷郵件，業務通知*信用卡賬單，話費賬單等郵件加密需求WSA（硬件網關）-Web安全上網行為管理上網加速緩存防毒墻思科信息安全架構

信譽度郵件及Web安全Web安全

|Email安全

|安全管理

|

加密郵件安全網關互聯網安全網關安全管理設備SensorBase安全威脅數據庫應用安全網關終端客戶阻擋來自互聯網絡的威脅保護企業信息資產與信息丟失防護集中安全管理與維護Internet郵件加密設備Internet客戶本地的設備用戶體驗思科云火墻、Web云服務企業網絡云組件Web安全Email安全IPS入侵檢測7.0具有防木馬感染的ASA防火墻ASR1000的WebEx節點ISRG2可用服務模塊SRE思科AXP彈性應用、

本地性能、安全法規遵從廣域網企業分支機構

思科WebEx協同云全球協同郵件安全應用云領先的實時安全情報中心日均50億次查詢量超過150個

Email與Web參數監控全球近30%流量思科安全云服務網絡感知的云覆蓋Anyconnect移動安全互聯Netflowv9異常流量監控ScanSafe云服務數據庫SensorbaseCiscoASAIndustry’sMostProvenFirewallTrusted15+yearsofproveninnovationBroadportfolioofdevicesVersatile,multi-serviceplatformAdaptiveGranularpolicyenforcementIn-depthdefensefortoday’shighlycollaborativeenvironmentLeaderinsecurebusinessconnectivityCiscoAdaptiveSecurityAppliancesGranularAccessControlsAdvancedThreatProtectionSecureConnectivitySecureUnifiedCommunicationsComprehensiveManagementSummary：CiscoASA5500Series

ComprehensiveSolutionsfromBranchtotheDataCenterTeleworkerBranchOfficeInternet

EdgeASA5550

(1.2Gbps,

36Kconn/s)ASA5505

(150Mbps,

4KConn/s)CiscoASA5500:

BranchtotheDataCenterDataCenterASA5540

(650Mbps,

25Kconn/s)ASA5520

(450Mbps,

12Kconn/s)ASA5510

(300Mbps,

9Kconn/s)ASA5580-20

(5-10Gbps,

90Kconn/s)ASA5580-40(10-20Gbps,150Kconn/s)CampusCiscoASA5500PlatformsFWSM*

(5Gbps)*PIXfeatureset新產品發布：CiscoASA5585為數據中心設計的下一代防火墻高性能高可部署性高安全性業界最快的連接建立速度最多的VPN數目業界最優的防火墻、入侵防御和VPN的整合云智能安全永久在線的遠程訪問部署靈活領先的性能密度領先的能耗比CiscoASA5500SeriesPortfolio

ComprehensiveSolutionsfromSOHOtotheDataCenterMulti-Service

(Firewall/VPNandIPS)PerformanceandScalabilityDataCenterCampusBranchOfficeSOHOInternetEdgeASA5585SSP-60

(35Gbps,350Kcps)ASA5585SSP-40

(20Gbps,200Kcps)ASA5585SSP-20

(10Gbps,125Kcps)ASA5585SSP-10

(4Gbps,50Kcps)ASA5540

(650Mbps,25Kcps)ASA5520

(450Mbps,12Kcps)ASA5510

(300Mbps,9Kcps)ASA5505

(150Mbps,4Kcps)ASA5550

(1.2Gbps,36Kcps)ASA5580-20

(10Gbps,90Kcps)ASA5580-40

(20Gbps,150Kcps)NEWNEWNEWNEWFirewallandVPNAppliance議程思科安全無邊界網絡架構外聯業務安全——思科云火墻解決方案內網業務安全——思科攻擊定位與響應解決方案問與答InfectedHost內部網絡的復雜性安全監控與響應的挑戰ActionSteps:AlertInvestigateMitigate網絡運營安全運營SecurityKnowledge-Base總是太遲FirewallIDS/IPSVPNVulnerability

ScannersAuthentication

ServersRouter/SwitchAntivirus10KWin,

100sUNIXCollectNetworkDiagramReadandAnalyzeTONSofData…Repeat

=LogsandAlerts真實的攻擊導致出現大量的獨立警告事件實時停止威脅傳播保護公司資產如何快速準確定位與響應

安全攻擊發生在……思科GlobalCorrelationIPS

ChangingNetworkIPStoGlobalIPS效率2倍于傳統僅基于簽名的IPS精確度信譽分析的引入大幅降低誤報率及時比傳統基于簽名的IPS快100倍以上對最新型的攻擊開始攔截HarnessingthePowerofCiscoSecurityIntelligenceOperationsResultsAveragedOverTwoWeekPeriodinPre-releaseDeploymentsCiscoSensorBaseThreatOperationsCenterDynamicUpdatesSecurityInfrastructureThatDynamicallyProtectAgainsttheLatestThreatsThrough:TheMostComprehensiveVulnerabilityandSenderReputationDatabaseAGlobalTeamofSecurityResearchers,Analysts,andSignatureDevelopersDynamicUpdatesandActionableIntelligenceCiscoSecurityIntelligenceOperations思科安全智能運營中心CSIOCiscoSensorBaseThreatOperationsCenterDynamicUpdatesPoweredbyGlobalCorrelationCiscoIntrusionPreventionSystem

更精確的實時威脅防御智能檢測技術ManagementandOperations靈活、安全的平臺動態防護應用保護CiscoSecurityIntelligenceOperations(SIO)方便的部署至現有網絡

EasyIntegrationintoanyNetworkTopologyVirtualSensorsInlineOn-A-StickFlexibledeploymentInlineorout-of-bandInline“on-a-stick”

?NorewiringofthenetworkLoweroperationalcostsVirtualsensors

?Deviceconsolidation ?PolicyflexibilityMixed-modedeployment

?Inlineandout-of-bandPreventFutureAttacksDashboardRSSfeedsinformoperatorsofwidespreadthreatsOver150customizablereporttemplateskeepoperatorsuptodateonthreatsReportsinclude“attacksprevented”and“malwarediscovered”SeetheThreatPowerfuleventfilteringandcustomizablecolorcodingreducesnetworknoiseIPS事件管理

ReportingandEventManagementHastenResponseCS-MARSreportviewIPSManagerExpress(IME)dashboardUnderstandtheThre