拓展任务44-2思科自防御安全解决方案综述课件

国家高等职业教育网络技术专业教学资源库计算机网络安全技术与实施学习情境4：拓展任务思科自防御安全解决方案综述培训国家高等职业教育计算机网络安全技术与实施学习情境4：拓展任务严密的边界防护:应用防火墙,入侵检测与防护,内容安全以及VPN接入纵深化的概念:安全域FWM强大的内部控制:用户身份与系统安全的控制–AAA/NAC终端的防护与安全策略控制-CSA灵活的统一指挥:基于全局的定位:MARS快速有效的响应:CSM/MARS严密的边界防护:互联网局域网无线接入数据中心远程机构企业园区客户的安全需求DMZ安全攻击入侵的防护利用IPS以及CSA进行网络与主机的安全防护关键应用系统的防护利用防火墙，入侵防护以及认证授权系统完成关键应用系统的防护与控制企业互联网的业务安全利用ASA,Ironport,VPN,CSA以及NAC技术保证终端用户以及网络系统在接入互联网的安全安全事件监控与日常维护利用CS-MARS以及CS-Manager进行系统级的策略操作以及威胁监控响应互联网局域网无线接入数据中心远程机构企业园区客户的安全需求DBusiness

Partner

AccessExtranet

Connections企业网络互联网远程接入系统远程分支机构数据中心管理网段内部局域网Internet

Connections企业互联网的业务安全STOPGOSTOPGOGOSTOPGO互联网边界安全控制应用级别的安全防护防火墙入侵防护系统内容级别的安全防护Web/AVSPAM防护统一VPN接入系统企业网络安全接入控制LAN/WLAN/VPN的接入控制评估终端的安全防护状态控制终端接入的安全策略主动终端防护系统主动适应型终端防护,确保终端访问互联网时的安全，抵御互联网蠕虫以及网页木马病毒的攻击企业安全策略控制,防止内部用户的恶意行为终端与网络入侵防护及监控系统的联动Business

Partner

AccessExtrane互联网边界安全控制应用级别的安全防护：下一代防火墙防火墙入侵防护系统内容级别的安全防护：IronportWeb/AVSPAM防护统一VPN接入系统：IPSec/SSLVPN互联网边界安全控制应用级别的安全防护：下一代防火墙纵深化的安全架构是系统稳固的基础主机接入CIP路由器ESCONDirectorCouplingFacility快速以太网或令牌环交换机DLSW+路由器IBM主机ESCON/FICONCisco7507Catalyst6509Catalyst5509Cisco7507FC交换核心Catalyst6513SNA/IP网关IP业务服务器SNAswDLSW业务服务器群Catalyst6513开发测试网区域主机系统Cisco5350/Cisco5400外围网关IPPBXIP自动语音应答客户关系管理数据库应用网关CTI服务器AW管理工作站传真系统IP录音系统普通业务咨询专长理财n*E1客户专职业务代表语音接入PSTNVoIP网关ICMPGIPIVRCTI客服中心核心系统Catalyst6509外联网区域PIX535Catalyst4000CiscoIDSPIX535Cisco7200拨号访问服务器Cisco3600Cisco7200DNS应用服务器CiscoIDS4-7层分析CiscoIDS4-7层分析WEB协同服务器电子邮件服务器内容交换机CSS11500电子邮件管理服务器PIX535GSS全局网站定位器GSS全局网站定位器CiscoWorks2000IDS管理CiscoInfoServerVPNSolutionCenterCICReporter运行管理网络区域网元管理事件管理中心事件统计汇报SNA管理安全管理话音管理广域接入网区域Catalyst6513Catalyst4500Catalyst3550服务器群(均衡负载）VoIP关守HSRPCDM4650CE560/CE590无线以太网访问点E-LearningLMS服务器WEB服务器其它服务器IP/TV内容管理器Cisco3660VoIP网关AS5350MCS办公网络区域内容分发管理器CDM内容路由器CR互联网连接区域访问管理控制服务器外层防火墙DNS服务器InternetISPA内层防火墙邮件服务器邮件网关(防毒)CiscoVPN集中器CiscoIDS4-7层分析AAA认证服务器外网交换机Cisco7200拨号访问服务器Cisco3600PSTNCisco7200PIX535PIX535Catalyst4507InternetISPBCatalyst6509Catalyst4500客户服务中心区域生产/应用区域分公司合作伙伴分公司安全管理中心安全认证中心入侵监测中心防病毒服务器边界防火墙入侵防范安全VPN路由器集成安全防护边界防火墙边界防火墙入侵监测防范入侵监测防范安全交换机网络准入控制路由器集成安全防护VPN安全接入垃圾邮件防护内容安全控制防DDoS攻击边界防火墙认证服务器入侵监测拨号接入无线安全接入动态密码语音安全服务器安全加固入侵监测边界防火墙网络病毒过滤漏洞扫描网络准入控制终端安全防护防DDoS攻击入侵监测反向地址验证边界防火墙二级防火墙二级防火墙流量监测服务器安全加固垃圾邮件防范入侵监测网络准入控制防火墙语音安全应用安全流量监控设备加固反向地址验证防火墙入侵监测入侵监测设备加固应用安全保护防DDoS攻击纵深化的安全架构是系统稳固的基础主机接入CIP路由器ESCO专门的防火墙硬件支持250个虚拟防火墙高达5Gbps/模块的吞吐能力每机箱4个模块支持2000个逻辑网络接口提供Layer-2透明防火墙功能互联网Catalyst6500/7600AFWSMBCVFWVFWVFWMSFC业务虚网利用高性能防火墙模块构架多层次的安全域安全问题:

企业内部应用和外部应用在同一个网络上运行，不同部门之间连接在同一个网络上，需要安全隔离，又担心性能瓶颈方案:

采用集成于交换机的高性能防火墙模块办公虚网客人虚网专门的防火墙硬件互联网Catalyst6500/7600A拓展任务44-2思科自防御安全解决方案综述课件CiscoASA5500

综合安全防护产品FirewallTechnologyCiscoPIXIPSTechnologyCiscoIPSContentSecurityTrendMicroVPNTechnologyCiscoVPN3000NetworkIntelligenceCiscoNetworkServicesAppInspection,UseEnforcement,WebControlApplicationSecurityMalware/ContentDefense,AnomalyDetectionIPS&Anti-XDefensesTraffic/AdmissionControl,ProactiveResponseNetworkContainment

andControlSecureConnectivityIPSec&SSLVPNMarket-ProvenTechnologiesAdaptiveThreatDefense,SecureConnectivityCiscoASA5500综合安全防护产品FirewalCiscoASA5500提供内容级别的安全防护THREATTYPESPROTECTIONVirusesSpywareMalwarePhishingSpamInappropriateURLsIdentityTheftOffensiveContentUnauthorizedAccessIntrusions&AttacksInsecureComms.NEWAnti-XServiceExtensionsResource&InformationAccessProtectionHackerProtectionClientProtectionDDoSProtectionProtectedEmailCommunicationProtectedWebBrowsingProtectedFileExchangeUnwantedVisitorControlAudit&RegulatoryAssistanceNon-workRelatedWebSitesIdentityProtectionGranularPolicyControlsComprehensiveMalwareProtectionAdvancedContentFilteringIntegratedMessageSecurityEasytoUseASA5500withCSC-SSMCiscoASA5500提供内容级别的安全防护THREInternet内部用户FireWallPort80Web服务Web应用IM流量多媒体互联网访问43%43%55%43%98%采用应用级防火墙进行深入的攻击防护

“…75%针对Web服务器的攻击是基于应用层，而不是网络层次80–HTTPJohnPescatore,VPandResearchDirector,Gartner,June2002.Source:Aug2002InfoWorld/NetworkComputingsurveyofITProfessionals64%的企业用户在防火墙上开放80端口，用于满足其内部基于Web的各类应用服务流量的需要Internet内部用户FireWallPort80Web基于网络行为特征的攻击判别InternetInternalZone2InternalZone3利用AD（Anomalydetectionalgorithms）检测并阻止零日攻击（Day-Zero）自动学习网络流量特征基于网络行为特征的攻击判别InternetInternalTeleworkerBranchOfficeInternet

EdgeASA5550ASA5500的产品一览ASA5580-20ASA5580-40ASA5505集成化的安全平台符合下一代防火墙标准的硬件架构标准统一的安全管理界面符合业界高标准的安全认证还有更多…DataCenterASA5540ASA5520ASA5510CiscoASA5500PlatformsNewNewCampus

SegmentationCiscoConfidential–NDAUseOnlyTeleworkerBranchOfficeInterne下一代防火墙ASA5500的优势体现下一代防火墙必须同时高性能地处理应用级别的防火墙以及入侵检测防护功能下一代防火墙必须在硬件架构中考虑未来安全防护需求的扩展能力，采用多核CPU以及多总线的处理模式，兼顾性能与功能的需求Cisco

ASA5520Vendor“A”Vendor“B”Vendor“C”FirewallPerformance(Mbps)withAllAttack/Virus

SignaturesEnabled,16-KbyteHTTPObjectSizeConnectionsperSecondPerformanceCisco

ASA5520Vendor“A”Vendor“B”Vendor“C”Source:Miercom,October2005UTMProductComparison下一代防火墙ASA5500的优势体现Cisco

ASA55如何发挥ASA5500的安全防护效能？Corporate

Network远程分支机构

本地互联网访问数据中心Extranet:商业

合作伙伴接入远程VPN接入DMZ:对外

互联网服务内部LAN接入普通终端的

互联网访问WLAN接入InternalSegmentationCisco

ASA5500

IPS

EditionCisco

ASA5500

SSL&IPSec

VPNEditionCisco

ASA5500Anti-XEditionCisco

ASA5500

IPS

EditionCisco

ASA5500

Firewall

EditionCisco

ASA5500

Firewall

Edition如何发挥ASA5500的安全防护效能？Corporate怎么定位不同的ASA5500产品？互联网接入：ASA5510/5520/5540FW/IPS版本VPN接入：ASA55x0FW或VPN版本内部WLAN接入：ASA5510/5520/5540IPS版本远程分支机构接入：ASA55x0FW或CSC版本内部应用系统防护：ASA55x0IPS或5550/5580FW版本怎么定位不同的ASA5500产品？互联网接入：ASA5510互联网边界安全控制应用级别的安全防护：下一代防火墙防火墙入侵防护系统内容级别的安全防护：IronportWeb/AVSPAM防护统一VPN接入系统：IPSec/SSLVPN互联网边界安全控制应用级别的安全防护：下一代防火墙IronPort：企业级内容安全产品InternetC-SeriesEMAIL安全网关S-SeriesWEB安全网关M-Series安全管理设备IronPort

SenderBaseIronPort：企业级内容安全产品InternetC-IRONPORT基于消息的安全解决方案IRONPORTSERVICESSender-BaseReputationalFilteringIRONPORTPLATFORMSAnti-SpamVirusOutbreakFilteringContentFilteringC-SeriesEmailSecurityApplianceS-SeriesWebSecurityAppliancePARTNERSERVICESAnti-VirusAnti-SpywareURLFilteringInstantMessaging&Peer-to-PeerControlDataLeakageEncryptionIRONPORT基于消息的安全解决方案IRONPORTSe互联网边界安全控制应用级别的安全防护：下一代防火墙防火墙入侵防护系统内容级别的安全防护：IronportWeb/AVSPAM防护统一VPN接入系统：IPSec/SSLVPN互联网边界安全控制应用级别的安全防护：下一代防火墙使用统一VPN接入系统满足各种客户需求Public

InternetASA5500VPNEdition网页定制化的SSLVPN接入网页定制化SSLVPN接入隧道模式的SSL或IPSecVPNLAN接入商业合作伙伴的VPN接入Requires“locked-down”accesstospecificextranetresourcesandapplications出差员工的远程接入服务Remoteaccessusersrequireseamless,easytouse,accesstocorporatenetworkresources第三方平台临时接入服务Remoteusersmayrequirelightweightaccesstoe-mailandweb-basedapplicationsfromapublicmachine远程分支机构以及SOHU型用户的LAN接入DayextendersandmobileemployeesrequireconsistentLAN-like,full-networkaccess,tocorporateresourcesandapplications隧道模式的SSL或

IPSecVPN客户端接入使用统一VPN接入系统满足各种客户需求Public

IntBusiness

Partner

AccessExtranet

Connections企业网络互联网远程接入系统远程分支机构数据中心管理网段内部局域网Internet

Connections企业互联网的业务安全STOPGOSTOPGOGOSTOPGO互联网边界安全控制应用级别的安全防护防火墙入侵防护系统内容级别的安全防护Web/AVSPAM防护统一VPN接入系统企业网络安全接入控制LAN/WLAN/VPN的接入控制评估终端的安全防护状态控制终端接入的安全策略主动终端防护系统主动适应型终端防护,确保终端访问互联网时的安全，抵御互联网蠕虫以及网页木马病毒的攻击企业安全策略控制,防止内部用户的恶意行为终端与网络入侵防护及监控系统的联动Business

Partner

AccessExtrane主动终端防护系统–CiscoSecurityAgent主动适应型终端防护,确保终端访问互联网时的安全，抵御互联网蠕虫以及网页木马病毒的攻击企业安全策略控制,防止内部用户的恶意行为终端与网络入侵防护及监控系统的联动主动终端防护系统–CiscoSecurityAgen新一代的主机安全解决方案服务器和桌面系统的威胁防范机制在恶意行为之前识别和防止独特的行为检测手段分析已知或未知威胁防范:•Mydoom •W32.Blaster•Fizzer •Bugbear•Sobig.E •SQLSlammer•Sircam.A •CodeRed•Nimda •W32.Netsky更多,不需要签名更新!Cisco安全代理新一代的主机安全解决方案Cisco安全代理CSA逻辑结构集中式安全管理器SNMPTraps客户程序本地文件策略/更新报警基于浏览器的管理界面配置报告，事件桌面代理桌面代理桌面代理服务器代理服务器代理CSA逻辑结构集中式安全管理器SNMP客户程序本地文件策略恶意代码的共性-攻击流程分析被攻击的目标12345探测渗透寄生传播发作地址探测端口扫描密码猜测邮件用户猜测恶意邮件缓冲区溢出恶意ActiveX控件自动软件安装利用已有后门创建新文件修改已有文件修改注册表安装新的网络服务建立系统后门邮件传播Web传播IRC传播FTP传播文件传播删除文件修改文件使计算机瘫痪拒绝服务攻击准备攻击实施攻击后续恶意代码的共性-攻击流程分析被攻击12345探测渗透寄生利用CSA防止终端用户的数据泄漏限制移动介质的数据复制USB,floppydisk,CDBurner限制通过非授权接口的进行数据传送Modem,Bluetooth,IRDA限制通过webmail,p2p或IM发送关键数据限制系统的cut&pasteclipboard误操作EMAILSecurityApplianceWEBSecurityAppliance企业级别的安全

内容识别与数据保护利用CSA防止终端用户的数据泄漏限制移动介质的数据复制EMA终端与网络IPS的联合防御系统1.Hacker尝试攻击内部主机2.CSA向管理中心汇报攻击的特征情况4.CSA管理中心与网络入侵防护系统沟通相关Hacker的入侵特征，利用网络IPS进行攻击阻断3.管理中心调整每个安全终端的防护策略，阻止Hacker的进一步攻击终端与网络IPS的联合防御系统1.Hacker尝试攻击企业网络安全接入控制LAN/WLAN/VPN的接入控制评估终端的安全防护状态控制终端接入的安全策略企业网络安全接入控制LAN/WLAN/VPN的接入控制无线网络下的网络准入控制无线网络下的网络准入控制什么是网络准入控制？?Pleaseenterusername:设备安全网络安全使用网络准入安全策略，确保进入网络的设备符合策略。身份识别用户是谁?

用户是否得到了授权?

用户的角色是什么?NACMS是否进行了修补?

是否存在A/V或A/S?

是否正在运行?

是否提供服务?

所需文件是否存在?以及是否建立了策略?

不符合策略的设备是否被隔离?

是否需要修复?

是否提供修复?以及什么是网络准入控制？?PleaseenterusernaNACAppliance的工作重点认证与授权EnforcesauthorizationpoliciesandprivilegesSupportsmultipleuserroles评估Agentscanforrequiredversionsofhotfixes,AV,andothersoftwareNetworkscanforvirusandworminfectionsandportvulnerabilities隔离Isolatenon-compliantdevicesfromrestofnetworkMACandIP-basedquarantineeffectiveataper-userlevel更新与升级Network-basedtoolsforvulnerabilityandthreatremediationHelp-deskintegrationAll-in-OnePolicyCompliance

andRemediationSolutionNACAppliance的工作重点认证与授权隔离All-NACL3OOBACLImplementation…互联网互联网出口区域L3核心

交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域…L3链路L2链路逻辑链路网络准入

服务器群TUTNACL3OOBACLImplementation…NACL3OOBACLImplementation…互联网互联网出口区域L3核心

交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域…L3链路L2链路逻辑链路网络准入

服务器群用户接入交换机端口,端口处于认证VLANTUTNACL3OOBACLImplementation…NACL3OOBACLImplementation…互联网互联网出口区域L3核心

交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域…L3链路L2链路逻辑链路在认证VLAN的接口上通过ACL控制用户仅可以访问开放服务器区域以及CAS服务器的控制服务IPTUT网络准入

服务器群NACL3OOBACLImplementation…NACL3OOBACLImplementation…互联网互联网出口区域L3核心

交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域…L3链路L2链路逻辑链路网络准入

服务器群TUT客户端完成DHCP以及DNS请求,从而获得本机IP地址以及相应CAS服务器的控制服务IP地址(由域名解析而来)NACL3OOBACLImplementation…NACL3OOBACLImplementation…互联网互联网出口区域L3核心

交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域…L3链路L2链路逻辑链路网络准入

服务器群TUT在此前后,客户端完成AD域的登陆以及脚本执行等工作NACL3OOBACLImplementation…NACL3OOBACLImplementation…互联网互联网出口区域L3核心

交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域…L3链路L2链路逻辑链路网络准入

服务器群TUT客户端向CAS服务器的服务IP地址发送UDP8905数据包,可以由C6K完成自动负载均衡转发,并获得CAS服务器的响应,从而激活认证以及策略检查过程NACL3OOBACLImplementation…NACL3OOBACLImplementation…互联网互联网出口区域L3核心

交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域…L3链路L2链路逻辑链路网络准入

服务器群TUT客户设备需要进行系统补丁或AV软件升级等工作流量,可以直接访问开放服务器区域NACL3OOBACLImplementation…NACL3OOBACLImplementation…互联网互联网出口区域L3核心

交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域…L3链路L2链路逻辑链路网络准入

服务器群TUTCAS服务器通知CAM该客户端已经符合所有安全检查策略,可以接入网络NACL3OOBACLImplementation…NACL3OOBACLImplementation…互联网互联网出口区域L3核心

交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域…L3链路L2链路逻辑链路网络准入

服务器群TUTCAM服务器将相关接入交换机的端口按照用户认证的身份转入相关VLANNACL3OOBACLImplementation…NACL3OOBACLImplementation…互联网互联网出口区域L3核心

交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域…L3链路L2链路逻辑链路网络准入

服务器群TUT系统在特定VLAN接口上面通过ACL方式,预设相关的安全访问控制策略NACL3OOBACLImplementation…关键应用系统的防护：纵深化防御体系的构架主机接入CIP路由器ESCONDirectorCouplingFacility快速以太网或令牌环交换机DLSW+路由器IBM主机ESCON/FICONCisco7507Catalyst6509Catalyst5509Cisco7507FC交换核心Catalyst6513SNA/IP网关IP业务服务器SNAswDLSW业务服务器群Catalyst6513开发测试网区域主机系统Cisco5350/Cisco5400外围网关IPPBXIP自动语音应答客户关系管理数据库应用网关CTI服务器AW管理工作站传真系统IP录音系统普通业务咨询专长理财n*E1客户专职业务代表语音接入PSTNVoIP网关ICMPGIPIVRCTI客服中心核心系统Catalyst6509外联网区域PIX535Catalyst4000CiscoIDSPIX535Cisco7200拨号访问服务器Cisco3600Cisco7200DNS应用服务器CiscoIDS4-7层分析CiscoIDS4-7层分析WEB协同服务器电子邮件服务器内容交换机CSS11500电子邮件管理服务器PIX535GSS全局网站定位器GSS全局网站定位器CiscoWorks2000IDS管理CiscoInfoServerVPNSolutionCenterCICReporter运行管理网络区域网元管理事件管理中心事件统计汇报SNA管理安全管理话音管理广域接入网区域Catalyst6513Catalyst4500Catalyst3550服务器群(均衡负载）VoIP关守HSRPCDM4650CE560/CE590无线以太网访问点E-LearningLMS服务器WEB服务器其它服务器IP/TV内容管理器Cisco3660VoIP网关AS5350MCS办公网络区域内容分发管理器CDM内容路由器CR互联网连接区域访问管理控制服务器外层防火墙DNS服务器InternetISPA内层防火墙邮件服务器邮件网关(防毒)CiscoVPN集中器CiscoIDS4-7层分析AAA认证服务器外网交换机Cisco7200拨号访问服务器Cisco3600PSTNCisco7200PIX535PIX535Catalyst4507InternetISPBCatalyst6509Catalyst4500客户服务中心区域生产/应用区域分公司合作伙伴分公司安全管理中心安全认证中心入侵监测中心防病毒服务器边界防火墙入侵防范安全VPN路由器集成安全防护边界防火墙边界防火墙入侵监测防范入侵监测防范安全交换机网络准入控制路由器集成安全防护VPN安全接入垃圾邮件防护内容安全控制防DDoS攻击边界防火墙认证服务器入侵监测拨号接入无线安全接入动态密码语音安全服务器安全加固入侵监测边界防火墙网络病毒过滤漏洞扫描网络准入控制终端安全防护防DDoS攻击入侵监测反向地址验证边界防火墙二级防火墙二级防火墙流量监测服务器安全加固垃圾邮件防范入侵监测网络准入控制防火墙语音安全应用安全流量监控设备加固反向地址验证防火墙入侵监测入侵监测设备加固应用安全保护防DDoS攻击关键应用系统的防护：纵深化防御体系的构架主机接入CIP路由器行业应用系统定制化每个行业都会有自己的安全标准,可以加以利用我们需要根据各个行业进行应用系统防护用户认证与授权:ACS/NAC应用系统防护:FW/IPS应用系统的安全监控:MARS行业应用系统定制化每个行业都会有自己的安全标准,可以加以利Business

Partner

AccessExtranet

Connections企业网络互联网RemoteAccessSystemsRemote/BranchOfficeDataCenterManagementNetworkCorporateLANInternet

Connections网络入侵防护、监控与响应服务器的防护恶意攻击防护异常行为监护入侵防护系统异常检测特征判别风险评估攻击确认与响应攻击确认与定位整体攻击分析与报告Business

Partner

AccessExtrane思科IPS产品线分布CiscoIPS4200SeriesSensorsIPS4215-80MbpsCatalystIDSM-2Bundle-2GbpsCiscoASA5500SeriesIPSEditionsandAIPModulesCiscoIOSIPSCatalyst6500ServiceModulesCiscoISRIDS/IPSModuleIPS4240-300MbpsIPS4255-600MbpsIPS4260–2GbpsIDSM2-600MbpsNativeIOSIPSfortheCiscoISRAvarietyofperformancepointsfortheBranchOfficeEnvironmentNM-CIDS-45MbpsIDSASA5510–

Upto150MbpsAIPSSM-10ASA5520–

Upto375MbpsASA5540–

Upto450MbpsAIPSSM-20IPS4270–4GbpsIPSAIM–Upto45Mbps思科IPS产品线分布CiscoIPS4200Seri基于网络行为特征的攻击判别InternetInternalZone2InternalZone3利用AD（Anomalydetectionalgorithms）检测并阻止零日攻击（Day-Zero）自动学习网络流量特征基于网络行为特征的攻击判别InternetInternal虚拟化的入侵防护系统FlexibleContextDefinitions:AbilitytodefinevirtualizedcontextsbasedonphysicalinterfaceandVLANgroupingsAssignmentofCustomSignature/PolicySettings

&responseactionstoeachvirtualizedcontextCustomizedpolicyonVirtualContextsbasedonVLANgroupingsVLAN1VLAN2VLAN3VLAN4VirtualizedContext1VirtualizedContext2虚拟化的入侵防护系统FlexibleContextDef统一灵活的指挥统一灵活的指挥思科安全管理套件FirewallManagementVPNManagementMonitoringIDS/IPSManagementFullLifecycleSupportIntegratedMulti-TechnologySecurityManagementCustomerOperationsIntegrationImproveOperationalEfficienciesMaintainUptimeCSManager+CS-MARS思科安全管理套件FirewallVPNMonitoringCSM:适合大量安全设备的部署管理Managementisaboutre-usingobjects,policiesandsettingsTakeanydevicepolicy/settingandshareitsoitcanbe

re-usedCopy,inheritance,andassignmentCSM:适合大量安全设备的部署管理ManagementiCS-MARS从大量未经处理的网络与安全设备报警信息中过滤出真正的安全攻击事件，从而确保系统的安全策略得以实施基于网络的智能化关联攻击事件的确认攻击的可视化主动的调查全面的防护功能策略管理高性能让人心动的总体拥有成本思科安全监控、分析与响应系统(CS-MARS)CS-MARS从大量未经处理的网络与安全设备报警信息中过滤利用集中日志处理方式，拥有有限的事件关联与过滤功能不具备网络拓扑的感知能力，只有分离的设备报警事件信息初级的报警、工作流及分析报告，缺少及时的反应能力在系统中集成了网络的感知能力，可以提高极强的事件聚合、过滤以及关联能力系统产生可视化的拓扑报告,明确无误的攻击事件报警;攻击路径的详细细节披露，同时提供网络安全设备的防护建议相关事件可以通过网络拓扑的感知，利用NAT加以动态关联、纠正、分类及确认CS-MARS企业攻击防御管理购置、部署与维护的成本较高最低的总体拥有成本;直接的防护效果,简单的使用与部署的选择普通的SIM产品企业安全信息管理性能较低，可以通过集群或高性能的硬件平台进行提升关联性能超过10,000事件/秒，同时达到300,000流/秒CS-MARS是企业安全管理的新式武器利用集中日志处理方式，拥有有限的事件关联与过滤功能不具备网络国家高等职业教育网络技术专业教学资源库计算机网络安全技术与实施学习情境4：拓展任务思科自防御安全解决方案综述培训国家高等职业教育计算机网络安全技术与实施学习情境4：拓展任务严密的边界防护:应用防火墙,入侵检测与防护,内容安全以及VPN接入纵深化的概念:安全域FWM强大的内部控制:用户身份与系统安全的控制–AAA/NAC终端的防护与安全策略控制-CSA灵活的统一指挥:基于全局的定位:MARS快速有效的响应:CSM/MARS严密的边界防护:互联网局域网无线接入数据中心远程机构企业园区客户的安全需求DMZ安全攻击入侵的防护利用IPS以及CSA进行网络与主机的安全防护关键应用系统的防护利用防火墙，入侵防护以及认证授权系统完成关键应用系统的防护与控制企业互联网的业务安全利用ASA,Ironport,VPN,CSA以及NAC技术保证终端用户以及网络系统在接入互联网的安全安全事件监控与日常维护利用CS-MARS以及CS-Manager进行系统级的策略操作以及威胁监控响应互联网局域网无线接入数据中心远程机构企业园区客户的安全需求DBusiness

Partner

AccessExtranet

Connections企业网络互联网远程接入系统远程分支机构数据中心管理网段内部局域网Internet

Connections企业互联网的业务安全STOPGOSTOPGOGOSTOPGO互联网边界安全控制应用级别的安全防护防火墙入侵防护系统内容级别的安全防护Web/AVSPAM防护统一VPN接入系统企业网络安全接入控制LAN/WLAN/VPN的接入控制评估终端的安全防护状态控制终端接入的安全策略主动终端防护系统主动适应型终端防护,确保终端访问互联网时的安全，抵御互联网蠕虫以及网页木马病毒的攻击企业安全策略控制,防止内部用户的恶意行为终端与网络入侵防护及监控系统的联动Business

Partner

AccessExtrane互联网边界安全控制应用级别的安全防护：下一代防火墙防火墙入侵防护系统内容级别的安全防护：IronportWeb/AVSPAM防护统一VPN接入系统：IPSec/SSLVPN互联网边界安全控制应用级别的安全防护：下一代防火墙纵深化的安全架构是系统稳固的基础主机接入CIP路由器ESCONDirectorCouplingFacility快速以太网或令牌环交换机DLSW+路由器IBM主机ESCON/FICONCisco7507Catalyst6509Catalyst5509Cisco7507FC交换核心Catalyst6513SNA/IP网关IP业务服务器SNAswDLSW业务服务器群Catalyst6513开发测试网区域主机系统Cisco5350/Cisco5400外围网关IPPBXIP自动语音应答客户关系管理数据库应用网关CTI服务器AW管理工作站传真系统IP录音系统普通业务咨询专长理财n*E1客户专职业务代表语音接入PSTNVoIP网关ICMPGIPIVRCTI客服中心核心系统Catalyst6509外联网区域PIX535Catalyst4000CiscoIDSPIX535Cisco7200拨号访问服务器Cisco3600Cisco7200DNS应用服务器CiscoIDS4-7层分析CiscoIDS4-7层分析WEB协同服务器电子邮件服务器内容交换机CSS11500电子邮件管理服务器PIX535GSS全局网站定位器GSS全局网站定位器CiscoWorks2000IDS管理CiscoInfoServerVPNSolutionCenterCICReporter运行管理网络区域网元管理事件管理中心事件统计汇报SNA管理安全管理话音管理广域接入网区域Catalyst6513Catalyst4500Catalyst3550服务器群(均衡负载）VoIP关守HSRPCDM4650CE560/CE590无线以太网访问点E-LearningLMS服务器WEB服务器其它服务器IP/TV内容管理器Cisco3660VoIP网关AS5350MCS办公网络区域内容分发管理器CDM内容路由器CR互联网连接区域访问管理控制服务器外层防火墙DNS服务器InternetISPA内层防火墙邮件服务器邮件网关(防毒)CiscoVPN集中器CiscoIDS4-7层分析AAA认证服务器外网交换机Cisco7200拨号访问服务器Cisco3600PSTNCisco7200PIX535PIX535Catalyst4507InternetISPBCatalyst6509Catalyst4500客户服务中心区域生产/应用区域分公司合作伙伴分公司安全管理中心安全认证中心入侵监测中心防病毒服务器边界防火墙入侵防范安全VPN路由器集成安全防护边界防火墙边界防火墙入侵监测防范入侵监测防范安全交换机网络准入控制路由器集成安全防护VPN安全接入垃圾邮件防护内容安全控制防DDoS攻击边界防火墙认证服务器入侵监测拨号接入无线安全接入动态密码语音安全服务器安全加固入侵监测边界防火墙网络病毒过滤漏洞扫描网络准入控制终端安全防护防DDoS攻击入侵监测反向地址验证边界防火墙二级防火墙二级防火墙流量监测服务器安全加固垃圾邮件防范入侵监测网络准入控制防火墙语音安全应用安全流量监控设备加固反向地址验证防火墙入侵监测入侵监测设备加固应用安全保护防DDoS攻击纵深化的安全架构是系统稳固的基础主机接入CIP路由器ESCO专门的防火墙硬件支持250个虚拟防火墙高达5Gbps/模块的吞吐能力每机箱4个模块支持2000个逻辑网络接口提供Layer-2透明防火墙功能互联网Catalyst6500/7600AFWSMBCVFWVFWVFWMSFC业务虚网利用高性能防火墙模块构架多层次的安全域安全问题:

企业内部应用和外部应用在同一个网络上运行，不同部门之间连接在同一个网络上，需要安全隔离，又担心性能瓶颈方案:

采用集成于交换机的高性能防火墙模块办公虚网客人虚网专门的防火墙硬件互联网Catalyst6500/7600A拓展任务44-2思科自防御安全解决方案综述课件CiscoASA5500

综合安全防护产品FirewallTechnologyCiscoPIXIPSTechnologyCiscoIPSContentSecurityTrendMicroVPNTechnologyCiscoVPN3000NetworkIntelligenceCiscoNetworkServicesAppInspection,UseEnforcement,WebControlApplicationSecurityMalware/ContentDefense,AnomalyDetectionIPS&Anti-XDefensesTraffic/AdmissionControl,ProactiveResponseNetworkContainment

andControlSecureConnectivityIPSec&SSLVPNMarket-ProvenTechnologiesAdaptiveThreatDefense,SecureConnectivityCiscoASA5500综合安全防护产品FirewalCiscoASA5500提供内容级别的安全防护THREATTYPESPROTECTIONVirusesSpywareMalwarePhishingSpamInappropriateURLsIdentityTheftOffensiveContentUnauthorizedAccessIntrusions&AttacksInsecureComms.NEWAnti-XServiceExtensionsResource&InformationAccessProtectionHackerProtectionClientProtectionDDoSProtectionProtectedEmailCommunicationProtectedWebBrowsingProtectedFileExchangeUnwantedVisitorControlAudit&RegulatoryAssistanceNon-workRelatedWebSitesIdentityProtectionGranularPolicyControlsComprehensiveMalwareProtectionAdvancedContentFilteringIntegratedMessageSecurityEasytoUseASA5500withCSC-SSMCiscoASA5500提供内容级别的安全防护THREInternet内部用户FireWallPort80Web服务Web应用IM流量多媒体互联网访问43%43%55%43%98%采用应用级防火墙进行深入的攻击防护

“…75%针对Web服务器的攻击是基于应用层，而不是网络层次80–HTTPJohnPescatore,VPandResearchDirector,Gartner,June2002.Source:Aug2002InfoWorld/NetworkComputingsurveyofITProfessionals64%的企业用户在防火墙上开放80端口，用于满足其内部基于Web的各类应用服务流量的需要Internet内部用户FireWallPort80Web基于网络行为特征的攻击判别InternetInternalZone2InternalZone3利用AD（Anomalydetectionalgorithms）检测并阻止零日攻击（Day-Zero）自动学习网络流量特征基于网络行为特征的攻击判别InternetInternalTeleworkerBranchOfficeInternet

EdgeASA5550ASA5500的产品一览ASA5580-20ASA5580-40ASA5505集成化的安全平台符合下一代防火墙标准的硬件架构标准统一的安全管理界面符合业界高标准的安全认证还有更多…DataCenterASA5540ASA5520ASA5510CiscoASA5500PlatformsNewNewCampus

SegmentationCiscoConfidential–NDAUseOnlyTeleworkerBranchOfficeInterne下一代防火墙ASA5500的优势体现下一代防火墙必须同时高性能地处理应用级别的防火墙以及入侵检测防护功能下一代防火墙必须在硬件架构中考虑未来安全防护需求的扩展能力，采用多核CPU以及多总线的处理模式，兼顾性能与功能的需求Cisco

ASA5520Vendor“A”Vendor“B”Vendor“C”FirewallPerformance(Mbps)withAllAttack/Virus

SignaturesEnabled,16-KbyteHTTPObjectSizeConnectionsperSecondPerformanceCisco

ASA5520Vendor“A”Vendor“B”Vendor“C”Source:Miercom,October2005UTMProductComparison下一代防火墙ASA5500的优势体现Cisco

ASA55如何发挥ASA5500的安全防护效能？Corporate

Network远程分支机构

本地互联网访问数据中心Extranet:商业

合作伙伴接入远程VPN接入DMZ:对外

互联网服务内部LAN接入普通终端的

互联网访问WLAN接入InternalSegmentationCisco

ASA5500

IPS

EditionCisco

ASA5500

SSL&IPSec

VPNEditionCisco

ASA5500Anti-XEditionCisco

ASA5500

IPS

EditionCisco

ASA5500

Firewall

EditionCisco

ASA5500

Firewall

Edition如何发挥ASA5500的安全防护效能？Corporate怎么定位不同的ASA5500产品？互联网接入：ASA5510/5520/5540FW/IPS版本VPN接入：ASA55x0FW或VPN版本内部WLAN接入：ASA5510/5520/5540IPS版本远程分支机构接入：ASA55x0FW或CSC版本内部应用系统防护：ASA55x0IPS或5550/5580FW版本怎么定位不同的ASA5500产品？互联网接入：ASA5510互联网边界安全控制应用级别的安全防护：下一代防火墙防火墙入侵防护系统内容级别的安全防护：IronportWeb/AVSPAM防护统一VPN接入系统：IPSec/SSLVPN互联网边界安全控制应用级别的安全防护：下一代防火墙IronPort：企业级内容安全产品InternetC-SeriesEMAIL安全网关S-SeriesWEB安全网关M-Series安全管理设备IronPort

SenderBaseIronPort：企业级内容安全产品InternetC-IRONPORT基于消息的安全解决方案IRONPORTSERVICESSender-BaseReputationalFilteringIRONPORTPLATFORMSAnti-SpamVirusOutbreakFilteringContentFilteringC-SeriesEmailSecurityApplianceS-SeriesWebSecurityAppliancePARTNERSERVICESAnti-VirusAnti-SpywareURLFilteringInstantMessaging&Peer-to-PeerControlDataLeakageEncryptionIRONPORT基于消息的安全解决方案IRONPORTSe互联网边界安全控制应用级别的安全防护：下一代防火墙防火墙入侵防护系统内容级别的安全防护：IronportWeb/AVSPAM防护统一VPN接入系统：IPSec/SSLVPN互联网边界安全控制应用级别的安全防护：下一代防火墙使用统一VPN接入系统满足各种客户需求Public

InternetASA5500VPNEdition网页定制化的SSLVPN接入网页定制化SSLVPN接入隧道模式的SSL或IPSecVPNLAN接入商业合作伙伴的VPN接入Requires“locked-down”accesstospecificextranetresourcesandapplications出差员工的远程接入服务Remoteaccessusersrequireseamless,easytouse,accesstocorporatenetworkresources第三方平台临时接入服务Remoteusersmayrequirelightweightaccesstoe-mailandweb-basedapplicationsfromapublicmachine远程分支机构以及SOHU型用户的LAN接入DayextendersandmobileemployeesrequireconsistentLAN-like,full-networkaccess,tocorporateresourcesandapplications隧道模式的SSL或

IPSecVPN客户端接入使用统一VPN接入系统满足各种客户需求Public

IntBusiness

Partner

AccessExtranet

Connections企业网络互联网远程接入系统远程分支机构数据中心管理网段内部局域网Internet

Connections企业互联网的业务安全STOPGOSTOPGOGOSTOPGO互联网边界安全控制应用级别的安全防护防火墙入侵防护系统内容级别的安全防护Web/AVSPAM防护统一VPN接入系统企业网络安全接入控制LAN/WLAN/VPN的接入控制评估终端的安全防护状态控制终端接入的安全策略主动终端防护系统主动适应型终端防护,确保终端访问互联网时的安全，抵御互联网蠕虫以及网页木马病毒的攻击企业安全策略控制,防止内部用户的恶意行为终端与网络入侵防护及监控系统的联动Business

Partner

AccessExtrane主动终端防护系统–CiscoSecurityAgent主动适应型终端防护,确保终端访问互联网时的安全，抵御互联网蠕虫以及网页木马病毒的攻击企业安全策略控制,防止内部用户的恶意行为终端与网络入侵防护及监控系统的联动主动终端防护系统–CiscoSecurityAgen新一代的主机安全解决方案服务器和桌面系统的威胁防范机制在恶意行为之前识别和防止独特的行为检测手段分析已知或未知威胁防范:•Mydoom •W32.Blaster•Fizzer •Bugbear•Sobig.E •SQLSlammer•Sircam.A •CodeRed•Nimda •W32.Netsky更多,不需要签名更新!Cisco安全代理新一代的主机安全解决方案Cisco安全代理CSA逻辑结构集中式安全管理器SNMPTraps客户程序本地文件策略/更新报警基于浏览器的管理界面配置报告，事件桌面代理桌面代理桌面代理服务器代理服务器代理CSA逻辑结构集中式安全管理器SNMP客户程序本地文件策略恶意代码的共性-攻击流程分析被攻击的目标12345探测渗透寄生传播发作地址探测端口扫描密码猜测邮件用户猜测恶意邮件缓冲区溢出恶意ActiveX控件自动软件安装利用已有后门创建新文件修改已有文件修改注册表安装新的网络服务建立系统后门邮件传播Web传播IRC传播FTP传播文件传播删除文件修改文件使计算机瘫痪拒绝服务攻击准备攻击实施攻击后续恶意代码的共性-攻击流程分析被攻击12345探测渗透寄生利用CSA防止终端用户的数据泄漏限制移动介质的数据复制USB,floppydisk,CDBurner限制通过非授权接口的进行数据传送Modem,Bluetooth,IRDA限制通过webmail,p2p或IM发送关键数据限制系统的cut&pasteclipboard误操作EMAILSecurityApplianceWEBSecurityAppliance企业级别的安全

内容识别与数据保护利用CSA防止终端用户的数据泄漏限制移动介质的数据复制EMA终端与网络IPS的联合防御系统1.Hacker尝试攻击内部主机2.CSA向管理中心汇报攻击的特征情况4.CSA管理中心与网络入侵防护系统沟通相关Hacker的入侵特征，利用网络IPS进行攻击阻断3.管理中心调整每个安全终端的防护策略，阻止Hacker的进一步攻击终端与网络IPS的联合防御系统1.Hacker尝试攻击企业网络安全接入控制LAN/WLAN/VPN的接入控制评估终端的安全防护状态控制终端接入的安全策略企业网络安全接入控制LAN/WLAN/VPN的接入控制无线网络下的网络准入控制无线网络下的网络准入控制什么是网络准入控制？?Pleaseenterusername:设备安全网络安全使用网络准入安全策略，确保进入网络的设备符合策略。身份识别用户是谁?

用户是否得到了授权?

用户的角色是什么?NACMS是否进行了修补?

是否存在A/V或A/S?

是否正在运行?

是否提供服务?

所需文件是否存在?以及是否建立了策略?

不符合策略的设备是否被隔离?

是否需要修复?

是否提供修复?以及什么是网络准入控制？?PleaseenterusernaNACAppliance的工作重点认证与授权EnforcesauthorizationpoliciesandprivilegesSupportsmultipleuserroles评估Agentscanforrequiredversionsofhotfixes,AV,andothersoftwareNetworkscanforvirusandworminfectionsandportvulnerabilities隔离Isolatenon-compliantdevicesfromrestofnetworkMACandIP-basedquarantineeffectiveataper-userlevel更新与升级Network-basedtoolsforvulnerabilityandthreatremediationHelp-deskintegrationAll-in-OnePolicyCompliance

andRemediationSolutionNACAppliance的工作重点认证与授权隔离All-NACL3OOBACLImplementation…互联网互联网出口区域L3核心

交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域…L3链路L2链路逻辑链路网络准入

服务器群TUTNACL3OOBACLImplementation…NACL3OOBACLImplementation…互联网互联网出口区域L3核心

交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域…L3链路L2链路逻辑链路网络准入

服务器群用户接入交换机端口,端口处于认证VLANTUTNACL3OOBACLImplementation…NACL3OOBACLImplementation…互联网互联网出口区域L3核心

交换区域DNS/DHCP服务器AD域服务器WSUS/A