思科智能安全解决课件

1、Cisco 下一代智能安全议程Cisco打造端到端的智能安全核心技术与方向新的安全模型Cisco下一代安全平台为用户提供安全保障下一代安全技术介绍园区网安全设计数据中心安全设计新一代的业务，面临新的安全挑战业务模型在发生改变我们需要保护最新的业务和平台动态的零日威胁我们的信息时刻存在风险复杂/碎片型的安全解决方案无法实现统一的整合与网络设备集成,情景感知自动化提供安全防护的准确依据高级威胁防御云安全智能减少恶意威胁造成的损失灵活开放平台,可扩展，全面控制与管理提供统一动态的安全防护Secure IT打造端到端的智能安全网络终端移动虚拟化云提高可见性Visibility-Driven关注威胁Th

2、reat-Focused统一平台Platform-Based如果你不了解你的网络，就无法做出准确的防护Network ServersOperating SystemsVoIPphonesFilesNetflowRouters and SwitchesTimeVirtual MachinesClient ApplicationsUsersWeb ApplicationsApplication ProtocolsNetworkBehaviorMalwareCommand and Control Servers VulnerabilitiesMobileDevicesServicesProcesse

3、s终端信息通讯信息服务器信息ISE情景感知技术下一代防火墙技术下一代入侵防御技术提高可见性威胁发生整个过程的全面响应攻击前发现执行加固攻击后定位缓解修复检测阻挡防御攻击中网络异常行为分析恶意软件防护AMP准入系统下一代防火墙功能防火墙VPN下一代入侵防御Web安全平台Email 安全平台 vm vm vm云安全智能情景感知技术全面了解网络定制细粒度安全策略大部分攻击被定义的安全策略阻挡一部分骗过策略的攻击被云智能和攻击防御系统阻断少数攻击成功后，系统快速进行攻击定位与修复信息资产攻击企图网络终端移动虚拟化云攻击真的成功了，怎么办？关注威胁管理安全服务与应用安全平台网络基础架构统一平台安全架构C

4、isco Security Applications3RD Party ApplicationsCommon Security Policy & Management一致的安全策略与管理流程安全管理APIsCisco ONE APIs平台 APIs云智能APIs物理平台虚拟平台云智能Access ControlContext AwarenessContent InspectionApplication VisibilityThreat PreventionDevice API: OnePK, OpenFlow, CLICisco Networking Operating Systems (En

5、terprise, Data Center, Service Provider)RouteSwitchCompute ASIC Data PlaneSoftware Data PlaneAPIsAPIs思科安全应用第三方安全应用统一平台Direct, Secured InterfacesSingle Framework安全开放平台pxGridContextSharingCSMPNSCOpenAppID开放接口易于定制与第三方整合信息共享联动议程Cisco打造端到端的智能安全核心技术与方向新的安全模型Cisco下一代安全平台为用户提供安全保障下一代安全技术介绍园区网安全设计数据中心安全设计思科安

6、全技术与平台汇总攻击前攻击后攻击中网络异常行为分析恶意软件防护AMP网络/网关/终端准入与认证系统ISE/ACS下一代防火墙NGFW防火墙ASA/ASASM/ASAv/ISGVPNSSLVPN&IPSec下一代入侵防御FirePower/VirtualWeb安全平台WSA/WSAvEmail 安全平台ESA/ESAv业界最为完整和领先的安全技术NACSource: Gartner (December 2011)Cisco is the leader or challenger for all security technologies远程接入Source: Gartner (December

7、2011)邮件安全Source: Gartner (August 2011)WEB安全Source: Gartner (May 2011)企业防火墙Source: Gartner (October 2011)网络准入威胁防御业界最为完整的方案组合最为领先的安全技术多种方案的深层整合恶意软件防护集成于内容安全平台WSA/ESASourcefire 入侵防御集成于 ASA整合 Sourcefire 与ASA 下一代安全服务恶意软件防护下一代防火墙下一代入侵防御统一管理平台下一代的安全服务Sourcefire 整合后，Cisco将提供业界最好的下一代安全服务恶意软件防护集成于云安全服务OpenAPP

8、ID应用识别开放平台ISEPxGRiD信息开放矩阵MDMASAv下一代虚拟防火墙强劲的安全产品RoadmapSourceFire最高60G下一代入侵防御Sourcefire 入侵防御集成于 Router核心区广域网外连区办公大楼-1接入区广域网汇聚区DC区办公大楼-2ASAASAASR/ISRCat6K/Nexus7/9KCA Switch攻击发生之前，全面分析网络，定制细粒度控制策略，减少攻击发生可能：ASA防火墙/下一代防火墙ISE准入控制CA SwitchCA SwitchCA SwitchC6880C6880下一代园区网安全方案部署示例攻击发生期间，进行深层数据分析，对威胁进行检测和阻

9、挡：Sourcefire下一代入侵防御ESA/WSA 应用网关攻击发生之后，快速定位攻击范围，并进行修复Sourcefire高级恶意软件防护网关级别/网络级别/终端级别InternetISE准入控制邮件安全网关互联网安全网关安全case1：攻击发生前，智能安全策略核心区广域网外连区办公大楼-1接入区广域网汇聚区办公大楼-2ASAASAASR/ISRCat6K/Nexus7/9KCA SwitchCA SwitchCA SwitchCA SwitchC6880C6880InternetISE准入控制用户使用自带的移动终端连接公司网络用户和设备信息传送到ISE进行验证ISE根据用户身份/设备类型/

10、连接位置/等信息对该终端进行授权，如只有互联网访问权限。权限策略下放到用户的接入设备当中用户使用公司笔记本电脑连接公司网络用户和设备信息传送到ISE进行验证ISE根据用户身份/设备类型/连接位置/等信息对该终端进行授权，如具有完全权限。权限策略下放到用户的接入设备当中Defense CenterCisco APIC Enterprise Module 补救措施检测到威胁策略更新APICCampusData CenterCampusISEpxGrid信息共享安全case2：攻击发生中统一智能的威胁检测与响应网络中的威胁检测引擎Sourcefire下一代威胁防御体系，检测到攻击或者恶意流量的存在S

11、ourcefire与ISE提供的情景感知信息关联分析后，通知APIC控制器APIC基于威胁的信息，生成安全策略APIC根据威胁发生的位置，将安全策略下发到指定位置，如指定的网络交换机/无线控制器/防火墙等安全case3：攻击发生后，定位威胁，找出源头核心区广域网外连区办公大楼-1接入区广域网汇聚区办公大楼-2ASAASAASR/ISRCat6K/Nexus7/9KCA SwitchCA SwitchCA SwitchCA SwitchC6880C6880InternetISE准入控制Defense Center文件传输轨迹用户A在互联网上下载了一个软件由于该软件未证明为恶意软件，允许下载，并且

12、标明为unkown。文件可能继续传播，Denfense Center会记录所有文件轨迹某一刻该文件被定位为恶意软件根据文件轨迹，可以快速定位该文件的影响范围和源头利用网络和终端执行，对文件进行删除和阻拦。数据中心安全解决方案部署业务/租户 3业务/租户 t 2业务/租户 1虚拟防火墙Endpoints vm vm vm vm vm vm vm vm vm虚拟交换机 vm vm vm防火墙集群技术攻击发生前：防火墙做出安全防护虚拟防火墙防护虚机环境攻击发生中：NGIPS做成威胁检测拦截虚拟IPS实现虚机环境下的威胁防御攻击发生后：网络级别IPS/恶意软件防护快速实现攻击定位数据中心安全case1

13、：跨数据中心安全设备集群ASA5585平台支持最多16台防火墙组成集群，共同工作，可以实现跨数据中心的集群增强整体性能：8台cluster支持高达超过300G的性能投资保护：所有的节点都参与流量转发，实现按需扩展简化管理，cluster中的多台防火墙统一管理，统一配置，统一策略增加冗余度，各台防火墙之间存在备份机制，无中断升级多数据中心状态同步，允许异步流量通过数据中心安全case2：虚拟化环境下如何做安全防护租户1 VSG 和ASA1000v做防护租户2 VSG 和 ASAv做防护 透过vPATH实现安全控制ASA1000v实现边界安全边界一进一出两个接口VSG实现租户内部安全适合小型租户通

14、过vSWITCH实现安全控制ASAv实现边界安全边界支持两个接口VSG实现租户内部安全适合大型租户Sourcefire实现虚拟化的威胁防御VM 1VM 2VM 3VM 4VM 1VM 2VM 3VM 4VM 5VM 6VM 7VM 8VM 5VM 6VM 7VM 8Nexus 1000V Port-ProfilesvPATH enabled ServicesVSGVSGASA1000V uses vPATHASAv DGW VMVLAN 30VLAN 10FIX-n-LEARN（修复和学习）防御检测修复 网络终端移动虚拟化云在安全建设和投资中寻找平衡点我们需要在安全建设和投资中寻找平衡点，我们

15、可以按照下面的步骤实施安全部署：安全防护作为第一步 防火墙/准入控制安全检测可以提升防护的等级 入侵防御 WEB/Email安全响应与修复可以完善安全生命周期 流量分析 恶意软件防护对于不同的平台，也可以分布实施，分步控制风险ASA Feature SetASAv去掉集群和虚拟防火墙技术物理防火墙的特性组通过虚拟化扩展性能支持10 vNIC interfaces 软件加密支持SDN 和传统的管理方式最大支持4 vCPUs and 8 GB of memory物理和虚拟防火墙统一管理新的平台ASAvHypervisorSupportData Sheet MetricASAv (1 vCPU)AS

16、Av (2 vCPU)ASAv (3 vCPU)ASAv (4 vCPU)Stateful Inspection Throughput (Maximum)1 Gbps1.2 Gbps1.5 Gbps2 GbpsStateful Inspection Throughput (Multi-Protocol)500 Mbps600 Mbps750 Mbps1 GbpsConcurrent Sessions100,000250,000350,000500,000Connections Per Second10,00015,00015,00020,000Packets Per Second (64 By

17、te)450,000500,000600,000700,000VLANS50100100200Cisco Cloud Web Security Users100250250500S2S IPSec IKEv1 Client VPN User Sessions250250250750Cisco AnyConnect or Clientless User Sessions250250250750新的平台ASAvSourcefire 产品线FireSIGHT Defense CenterFirePOWER Appliances集群与堆叠技术 DC1500DC3500PERFORMANCEDC7503

18、D701050 Mbps3D7020 100 Mbps3D7110 500 Mbps3D71201 Gbps3D81304 Gbps3D81202 Gbps3D8140 6 Gbps3D8250 10 Gbps3D8260 - 20Gbps3D8270 - 30Gbps3D8290 - 40Gbps3D8390 - 60GbpsSSL Appliances Virtual Appliances3D7030 250 MbpsSourcefire 优势分析业界认可：Gartner象限的领先者，NSSLab评测的最优产品（功能&性能）公开：基于Snort的开源架构，大量提供API接口，Signature脚本公开，众多爱好者全面可见性：了解网络真实状况，提供全面信息和报表特征码众多策略自动化：可以基于网络情况变化，自