思科智能安全解决方案

Cisco下一代智能安全

Cisco下一代智能安全

议程Cisco打造端到端的智能安全核心技术与方向新的安全模型Cisco下一代安全平台为用户提供安全保障下一代安全技术介绍园区网安全设计数据中心安全设计议程新一代的业务，面临新的安全挑战业务模型在发生改变我们需要保护最新的业务和平台动态的零日威胁我们的信息时刻存在风险复杂/碎片型的安全解决方案无法实现统一的整合新一代的业务，面临新的安全挑战业务模型在发生改变动态的零日威与网络设备集成,

情景感知自动化提供安全防护的准确依据高级威胁防御云安全智能减少恶意威胁造成的损失灵活开放平台,

可扩展，全面控制与管理提供统一动态的安全防护Secure

IT——打造端到端的智能安全网络终端移动虚拟化云提高可见性Visibility-Driven关注威胁Threat-Focused统一平台Platform-Based与网络设备集成,

情景感知高级威胁防御灵活开放平台,

可扩展如果你不了解你的网络，就无法做出准确的防护Network

ServersOperating

SystemsVoIPphonesFilesNetflowRoutersand

SwitchesTimeVirtual

MachinesClient

ApplicationsUsersWeb

ApplicationsApplication

ProtocolsNetworkBehaviorMalwareCommand

andControl

ServersVulnerabilitiesMobileDevicesServicesProcesses终端信息通讯信息服务器信息ISE情景感知技术下一代防火墙技术下一代入侵防御技术提高可见性如果你不了解你的网络，就无法做出准确的防护Network

威胁发生整个过程的全面响应攻击前发现执行加固攻击后定位缓解修复检测阻挡防御攻击中网络异常行为分析恶意软件防护AMP准入系统下一代防火墙功能防火墙VPN下一代入侵防御Web安全平台Email安全平台

vm

vm

vm云安全智能情景感知技术全面了解网络定制细粒度安全策略大部分攻击被定义的安全策略阻挡一部分骗过策略的攻击被云智能和攻击防御系统阻断少数攻击成功后，系统快速进行攻击定位与修复信息资产攻击企图网络终端移动虚拟化云攻击真的成功了，怎么办？关注威胁威胁发生整个过程的全面响应攻击前发现攻击后定位检测攻击中网络管理安全服务与应用安全平台网络基础架构统一平台安全架构CiscoSecurityApplications3RDPartyApplicationsCommonSecurityPolicy&Management一致的安全策略与管理流程安全管理APIsCiscoONE

APIs平台

APIs云智能APIs物理平台虚拟平台云智能Access

ControlContextAwarenessContentInspectionApplicationVisibilityThreatPreventionDeviceAPI:OnePK™,OpenFlow,CLICiscoNetworkingOperatingSystems(Enterprise,DataCenter,ServiceProvider)Route–Switch–ComputeASICDataPlaneSoftwareDataPlaneAPIsAPIs思科安全应用第三方安全应用统一平台管理安全服务与应用安全平台网络基础架构统一平台安全架构CisDirect,SecuredInterfacesSingleFramework安全开放平台pxGrid

Context

SharingCSMPNSCOpenAppID开放接口易于定制与第三方整合信息共享联动Direct,SecuredInterfacesSing议程Cisco打造端到端的智能安全核心技术与方向新的安全模型Cisco下一代安全平台为用户提供安全保障下一代安全技术介绍园区网安全设计数据中心安全设计议程思科安全技术与平台汇总攻击前攻击后攻击中网络异常行为分析恶意软件防护AMP网络/网关/终端准入与认证系统ISE/ACS下一代防火墙NGFW防火墙ASA/ASASM/ASAv/ISGVPNSSLVPN&IPSec下一代入侵防御FirePower/VirtualWeb安全平台WSA/WSAvEmail安全平台ESA/ESAv思科安全技术与平台汇总攻击前攻击后攻击中网络异常行为分析恶意业界最为完整和领先的安全技术NACSource:Gartner(December2011)Ciscoistheleaderorchallengerforallsecuritytechnologies远程接入Source:Gartner(December2011)邮件安全Source:Gartner(August2011)WEB安全Source:Gartner(May2011)企业防火墙Source:Gartner(October2011)网络准入威胁防御业界最为完整的方案组合最为领先的安全技术多种方案的深层整合业界最为完整和领先的安全技术NACSource:Gartn恶意软件防护集成于内容安全平台

WSA/ESASourcefire

入侵防御集成于

ASA整合

Sourcefire与ASA下一代安全服务恶意软件防护下一代防火墙下一代入侵防御统一管理平台下一代的安全服务Sourcefire整合后，Cisco将提供业界最好的下一代安全服务恶意软件防护集成于云安全服务OpenAPPID应用识别开放平台ISEPxGRiD信息开放矩阵MDMASAv下一代虚拟防火墙强劲的安全产品RoadmapSourceFire最高60G下一代入侵防御Sourcefire

入侵防御集成于

Router恶意软件防护Sourcefire

入侵防御整合Sourc核心区广域网外连区办公大楼-1接入区广域网汇聚区DC区办公大楼-2ASAASAASR/ISRCat6K/Nexus7/9KCASwitch攻击发生之前，全面分析网络，定制细粒度控制策略，减少攻击发生可能：ASA防火墙/下一代防火墙ISE准入控制CASwitchCASwitchCASwitchC6880C6880下一代园区网安全方案部署示例攻击发生期间，进行深层数据分析，对威胁进行检测和阻挡：Sourcefire下一代入侵防御ESA/WSA应用网关攻击发生之后，快速定位攻击范围，并进行修复Sourcefire高级恶意软件防护网关级别/网络级别/终端级别InternetISE准入控制邮件安全网关互联网安全网关核心区广域网外连区办公大楼-1接入区广域网汇聚区DC区办公大安全case1：攻击发生前，智能安全策略核心区广域网外连区办公大楼-1接入区广域网汇聚区办公大楼-2ASAASAASR/ISRCat6K/Nexus7/9KCASwitchCASwitchCASwitchCASwitchC6880C6880InternetISE准入控制用户使用自带的移动终端连接公司网络用户和设备信息传送到ISE进行验证ISE根据用户身份/设备类型/连接位置/等信息对该终端进行授权，如只有互联网访问权限。权限策略下放到用户的接入设备当中用户使用公司笔记本电脑连接公司网络用户和设备信息传送到ISE进行验证ISE根据用户身份/设备类型/连接位置/等信息对该终端进行授权，如具有完全权限。权限策略下放到用户的接入设备当中安全case1：攻击发生前，智能安全策略核心区广域网外连区办DefenseCenterCiscoAPICEnterpriseModule补救措施检测到威胁策略更新APICCampusDataCenterCampusISEpxGrid

信息共享安全case2：攻击发生中统一智能的威胁检测与响应网络中的威胁检测引擎Sourcefire下一代威胁防御体系，检测到攻击或者恶意流量的存在Sourcefire与ISE提供的情景感知信息关联分析后，通知APIC控制器APIC基于威胁的信息，生成安全策略APIC根据威胁发生的位置，将安全策略下发到指定位置，如指定的网络交换机/无线控制器/防火墙等DefenseCenterCiscoAPICEnter安全case3：攻击发生后，定位威胁，找出源头核心区广域网外连区办公大楼-1接入区广域网汇聚区办公大楼-2ASAASAASR/ISRCat6K/Nexus7/9KCASwitchCASwitchCASwitchCASwitchC6880C6880InternetISE准入控制DefenseCenter文件传输轨迹用户A在互联网上下载了一个软件由于该软件未证明为恶意软件，允许下载，并且标明为unkown。文件可能继续传播，DenfenseCenter会记录所有文件轨迹某一刻该文件被定位为恶意软件根据文件轨迹，可以快速定位该文件的影响范围和源头利用网络和终端执行，对文件进行删除和阻拦。安全case3：攻击发生后，定位威胁，找出源头核心区广域网外数据中心安全解决方案部署业务/租户

3业务/租户

t2业务/租户1虚拟防火墙Endpoints

vm

vm

vm

vm

vm

vm

vm

vm

vm虚拟交换机

vm

vm

vm防火墙集群技术攻击发生前：防火墙做出安全防护虚拟防火墙防护虚机环境攻击发生中：NGIPS做成威胁检测拦截虚拟IPS实现虚机环境下的威胁防御攻击发生后：网络级别IPS/恶意软件防护快速实现攻击定位数据中心安全解决方案部署业务/租户3业务/租户t2业数据中心安全case1：跨数据中心安全设备集群ASA5585平台支持最多16台防火墙组成集群，共同工作，可以实现跨数据中心的集群增强整体性能：8台cluster支持高达超过300G的性能投资保护：所有的节点都参与流量转发，实现按需扩展简化管理，cluster中的多台防火墙统一管理，统一配置，统一策略增加冗余度，各台防火墙之间存在备份机制，无中断升级多数据中心状态同步，允许异步流量通过数据中心安全case1：跨数据中心安全设备集群ASA5585数据中心安全case2：虚拟化环境下如何做安全防护租户1–VSG和ASA1000v做防护租户2–VSG和ASAv做防护

透过vPATH实现安全控制ASA1000v实现边界安全边界一进一出两个接口VSG实现租户内部安全适合小型租户通过vSWITCH实现安全控制ASAv实现边界安全边界支持两个接口VSG实现租户内部安全适合大型租户Sourcefire实现虚拟化的威胁防御VM1VM2VM3VM4VM1VM2VM3VM4VM5VM6VM7VM8VM5VM6VM7VM8Nexus1000VPort-ProfilesvPATHenabledServicesVSGVSGASA1000VusesvPATHASAvDGWVMVLAN30VLAN10数据中心安全case2：虚拟化环境下如何做安全防护租户1–FIX-n-LEARN（修复和学习）防御检测修复网络终端移动虚拟化云在安全建设和投资中寻找平衡点我们需要在安全建设和投资中寻找平衡点，我们可以按照下面的步骤实施安全部署：安全防护作为第一步

防火墙/准入控制安全检测可以提升防护的等级

入侵防御WEB/Email安全响应与修复可以完善安全生命周期

流量分析

恶意软件防护对于不同的平台，也可以分布实施，分步控制风险FIX-n-LEARN（修复和学习）防御检测修复网络终端移ASAFeatureSetASAv去掉集群和虚拟防火墙技术物理防火墙的特性组通过虚拟化扩展性能支持10vNICinterfaces软件加密支持SDN和传统的管理方式最大支持4vCPUsand8GBofmemory物理和虚拟防火墙统一管理新的平台ASAvHypervisor

SupportASAFeatureSetASAv去掉集群和虚拟防火墙技DataSheetMetricASAv(1vCPU)ASAv(2vCPU)ASAv(3vCPU)ASAv(4vCPU)StatefulInspectionThroughput(Maximum)1Gbps1.2Gbps1.5Gbps2GbpsStatefulInspectionThroughput(Multi-Protocol)500Mbps600Mbps750Mbps1GbpsConcurrentSessions100,000250,000350,000500,000ConnectionsPerSecond10,00015,00015,00020,000PacketsPerSecond(64

Byte)450,000500,000600,000700,000VLANS50100100200Cisco®

CloudWebSecurityUsers100250250500S2SIPSecIKEv1ClientVPNUserSessions250250250750CiscoAnyConnect®

orClientlessUserSessions250250250750新的平台ASAvDataSheetMetricASAv(1vCPU)Sourcefire产品线FireSIGHTDefenseCenter®FirePOWERAppliances集群与堆叠技术

DC1500DC3500PERFORMANCEDC7503D7010

50Mbps3D7020100Mbps3D7110500Mbps3D7120

1Gbps3D8130

4Gbps3D8120

2Gbps3D8140

6Gbps3D825010Gbps3D8260-20Gbps3D8270-30Gbps3D8290-40Gbps3D8390-60GbpsSSLAppliancesVirtualAppliances

3D7030250MbpsSourcefire产品线FireSIGHTDefensSourcefire优势分析业界认可：Gartner象限的领先者，NSSLab评测的最优产品（功能&性能）公开：基于Snort的开源架构，大量提供API接口，Signature脚本公开，众多爱好者全面可见性：了解网络真实状况，提供全面信息和报表特征码众多策略自动化：可以基于网络情况变化，自动调整安全策略行为可追溯：提供文件网络传输的整个过程性能高：吞吐率/并发连接数/每秒新建连接数Sourcefire优势分析业界认可：Gartner象限的思科安全解决方案，全面保障用户信息化进程安全使用新技术：虚拟化技术BYOD技术远程协作技术行业合规：等级保护行业合规SOX应对最新威胁：微软XP停止服务最新APT攻击零日威胁Source:NIST/OCRconferenceMay2013数据中心/云安全

Virtualization&CloudApplicationVisibility&Control应用可见可控SecureUnifiedAccess

BYOD安全边界威胁防御

ThreatDefense思科安全解决方案，全面保障用户信息化进程安全使用新技术：行业Cisco下一代智能安全

Cisco下一代智能安全

议程Cisco打造端到端的智能安全核心技术与方向新的安全模型Cisco下一代安全平台为用户提供安全保障下一代安全技术介绍园区网安全设计数据中心安全设计议程新一代的业务，面临新的安全挑战业务模型在发生改变我们需要保护最新的业务和平台动态的零日威胁我们的信息时刻存在风险复杂/碎片型的安全解决方案无法实现统一的整合新一代的业务，面临新的安全挑战业务模型在发生改变动态的零日威与网络设备集成,

情景感知自动化提供安全防护的准确依据高级威胁防御云安全智能减少恶意威胁造成的损失灵活开放平台,

可扩展，全面控制与管理提供统一动态的安全防护Secure

IT——打造端到端的智能安全网络终端移动虚拟化云提高可见性Visibility-Driven关注威胁Threat-Focused统一平台Platform-Based与网络设备集成,

情景感知高级威胁防御灵活开放平台,

可扩展如果你不了解你的网络，就无法做出准确的防护Network

ServersOperating

SystemsVoIPphonesFilesNetflowRoutersand

SwitchesTimeVirtual

MachinesClient

ApplicationsUsersWeb

ApplicationsApplication

ProtocolsNetworkBehaviorMalwareCommand

andControl

ServersVulnerabilitiesMobileDevicesServicesProcesses终端信息通讯信息服务器信息ISE情景感知技术下一代防火墙技术下一代入侵防御技术提高可见性如果你不了解你的网络，就无法做出准确的防护Network

威胁发生整个过程的全面响应攻击前发现执行加固攻击后定位缓解修复检测阻挡防御攻击中网络异常行为分析恶意软件防护AMP准入系统下一代防火墙功能防火墙VPN下一代入侵防御Web安全平台Email安全平台

vm

vm

vm云安全智能情景感知技术全面了解网络定制细粒度安全策略大部分攻击被定义的安全策略阻挡一部分骗过策略的攻击被云智能和攻击防御系统阻断少数攻击成功后，系统快速进行攻击定位与修复信息资产攻击企图网络终端移动虚拟化云攻击真的成功了，怎么办？关注威胁威胁发生整个过程的全面响应攻击前发现攻击后定位检测攻击中网络管理安全服务与应用安全平台网络基础架构统一平台安全架构CiscoSecurityApplications3RDPartyApplicationsCommonSecurityPolicy&Management一致的安全策略与管理流程安全管理APIsCiscoONE

APIs平台

APIs云智能APIs物理平台虚拟平台云智能Access

ControlContextAwarenessContentInspectionApplicationVisibilityThreatPreventionDeviceAPI:OnePK™,OpenFlow,CLICiscoNetworkingOperatingSystems(Enterprise,DataCenter,ServiceProvider)Route–Switch–ComputeASICDataPlaneSoftwareDataPlaneAPIsAPIs思科安全应用第三方安全应用统一平台管理安全服务与应用安全平台网络基础架构统一平台安全架构CisDirect,SecuredInterfacesSingleFramework安全开放平台pxGrid

Context

SharingCSMPNSCOpenAppID开放接口易于定制与第三方整合信息共享联动Direct,SecuredInterfacesSing议程Cisco打造端到端的智能安全核心技术与方向新的安全模型Cisco下一代安全平台为用户提供安全保障下一代安全技术介绍园区网安全设计数据中心安全设计议程思科安全技术与平台汇总攻击前攻击后攻击中网络异常行为分析恶意软件防护AMP网络/网关/终端准入与认证系统ISE/ACS下一代防火墙NGFW防火墙ASA/ASASM/ASAv/ISGVPNSSLVPN&IPSec下一代入侵防御FirePower/VirtualWeb安全平台WSA/WSAvEmail安全平台ESA/ESAv思科安全技术与平台汇总攻击前攻击后攻击中网络异常行为分析恶意业界最为完整和领先的安全技术NACSource:Gartner(December2011)Ciscoistheleaderorchallengerforallsecuritytechnologies远程接入Source:Gartner(December2011)邮件安全Source:Gartner(August2011)WEB安全Source:Gartner(May2011)企业防火墙Source:Gartner(October2011)网络准入威胁防御业界最为完整的方案组合最为领先的安全技术多种方案的深层整合业界最为完整和领先的安全技术NACSource:Gartn恶意软件防护集成于内容安全平台

WSA/ESASourcefire

入侵防御集成于

ASA整合

Sourcefire与ASA下一代安全服务恶意软件防护下一代防火墙下一代入侵防御统一管理平台下一代的安全服务Sourcefire整合后，Cisco将提供业界最好的下一代安全服务恶意软件防护集成于云安全服务OpenAPPID应用识别开放平台ISEPxGRiD信息开放矩阵MDMASAv下一代虚拟防火墙强劲的安全产品RoadmapSourceFire最高60G下一代入侵防御Sourcefire

入侵防御集成于

Router恶意软件防护Sourcefire

入侵防御整合Sourc核心区广域网外连区办公大楼-1接入区广域网汇聚区DC区办公大楼-2ASAASAASR/ISRCat6K/Nexus7/9KCASwitch攻击发生之前，全面分析网络，定制细粒度控制策略，减少攻击发生可能：ASA防火墙/下一代防火墙ISE准入控制CASwitchCASwitchCASwitchC6880C6880下一代园区网安全方案部署示例攻击发生期间，进行深层数据分析，对威胁进行检测和阻挡：Sourcefire下一代入侵防御ESA/WSA应用网关攻击发生之后，快速定位攻击范围，并进行修复Sourcefire高级恶意软件防护网关级别/网络级别/终端级别InternetISE准入控制邮件安全网关互联网安全网关核心区广域网外连区办公大楼-1接入区广域网汇聚区DC区办公大安全case1：攻击发生前，智能安全策略核心区广域网外连区办公大楼-1接入区广域网汇聚区办公大楼-2ASAASAASR/ISRCat6K/Nexus7/9KCASwitchCASwitchCASwitchCASwitchC6880C6880InternetISE准入控制用户使用自带的移动终端连接公司网络用户和设备信息传送到ISE进行验证ISE根据用户身份/设备类型/连接位置/等信息对该终端进行授权，如只有互联网访问权限。权限策略下放到用户的接入设备当中用户使用公司笔记本电脑连接公司网络用户和设备信息传送到ISE进行验证ISE根据用户身份/设备类型/连接位置/等信息对该终端进行授权，如具有完全权限。权限策略下放到用户的接入设备当中安全case1：攻击发生前，智能安全策略核心区广域网外连区办DefenseCenterCiscoAPICEnterpriseModule补救措施检测到威胁策略更新APICCampusDataCenterCampusISEpxGrid

信息共享安全case2：攻击发生中统一智能的威胁检测与响应网络中的威胁检测引擎Sourcefire下一代威胁防御体系，检测到攻击或者恶意流量的存在Sourcefire与ISE提供的情景感知信息关联分析后，通知APIC控制器APIC基于威胁的信息，生成安全策略APIC根据威胁发生的位置，将安全策略下发到指定位置，如指定的网络交换机/无线控制器/防火墙等DefenseCenterCiscoAPICEnter安全case3：攻击发生后，定位威胁，找出源头核心区广域网外连区办公大楼-1接入区广域网汇聚区办公大楼-2ASAASAASR/ISRCat6K/Nexus7/9KCASwitchCASwitchCASwitchCASwitchC6880C6880InternetISE准入控制DefenseCenter文件传输轨迹用户A在互联网上下载了一个软件由于该软件未证明为恶意软件，允许下载，并且标明为unkown。文件可能继续传播，DenfenseCenter会记录所有文件轨迹某一刻该文件被定位为恶意软件根据文件轨迹，可以快速定位该文件的影响范围和源头利用网络和终端执行，对文件进行删除和阻拦。安全case3：攻击发生后，定位威胁，找出源头核心区广域网外数据中心安全解决方案部署业务/租户

3业务/租户

t2业务/租户1虚拟防火墙Endpoints

vm

vm

vm

vm

vm

vm

vm

vm

vm虚拟交换机

vm

vm

vm防火墙集群技术攻击发生前：防火墙做出安全防护虚拟防火墙防护虚机环境攻击发生中：NGIPS做成威胁检测拦截虚拟IPS实现虚机环境下的威胁防御攻击发生后：网络级别IPS/恶意软件防护快速实现攻击定位数据中心安全解决方案部署业务/租户3业务/租户t2业数据中心安全case1：跨数据中心安全设备集群ASA5585平台支持最多16台防火墙组成集群，共同工作，可以实现跨数据中心的集群增强整体性能：8台cluster支持高达超过300G的性能投资保护：所有的节点都参与流量转发，实现按需扩展简化管理，cluster中的多台防火墙统一管理，统一配置，统一策略增加冗余度，各台防火墙之间存在备份机制，无中断升级多数据中心状态同步，允许异步流量通过数据中心安全case1：跨数据中心安全设备集群ASA5585数据中心安全case2：虚拟化环境下如何做安全防护租户1–VSG和ASA1000v做防护租户2–VSG和ASAv做防护

透过vPATH实现安全控制ASA1000v实现边界安全边界一进一出两个接口VSG实现租户内部安全适合小型租户通过vSWITCH实现安全控制ASAv实现边界安全边界支持两个接口VSG实现租户内部安全适合大型租户Sourcefire实现虚拟化的威胁防御VM1VM2VM3VM4VM1VM2VM3VM4VM5VM6VM7VM8VM5VM6VM7VM8Nexus1000VPort-ProfilesvPATHenabledServicesVSGVSGASA1000VusesvPATHASAvDGWVMVLAN30VLAN10数据中心安全case2：虚拟化环境下如何做安全防护租户1–FIX-n-LEARN（修复和学习）防御检测修复网络终端移动虚拟化云在安全建设和投资中寻找平衡点我们需要在安全建设和投资中寻找平衡点，我们可以按照下面的步骤实施安全部署：安全防护作为第一步

防火墙/准入控制安全检测可以提升防护的等级

入侵防御WEB/Email安全响应与修复可以完善安全生命周期

流量分析

恶意软件防护对于不同的平台，也可以分布实施，分步控制风险FIX-n-LEARN（修复和学习）防御检测修复网络终端移ASAFeatureSetASAv去掉集群和虚拟防火墙技术物理防火墙的特性组通过虚拟化扩展性能支持10vNICinterfaces软件加密支持SDN和传统的管理方式最大支持4vCPUsand8GBofmemory物理和虚拟防火墙统一管理新的平台ASAvHypervisor

SupportASAFeatureSetASAv去掉集群和虚拟防火墙技DataSheetMetricASAv(1vCPU)ASAv(2vCPU)ASAv(3vCPU)ASAv(4vCPU)StatefulInspectionThroughput(Maximum)1Gbps1