思科云安全解决方案讲述

思科安全无边界网络

架构及解决方案

支撑企业业务创新的商业平台

WindWan

BorderlessNetwork

议程思科安全无边界网络架构外联业务安全——思科云火墙解决方案内网业务安全——思科攻击定位与响应解决方案问与答攻击威胁与防御体系的演进有边界网络->无边界网络过去现在

集中计算

云计算有边界网络

无边界网络外部入侵DDoS

内部木马僵尸利用网络应用

内容数据

边界单点

全网多点固定静态特征

移动动态变化IT行业攻击威胁防御体系传统的企业网络边界企业网络边界分支办公室应用与数据总部办公室控制策略攻击者客户合作伙伴一个没有边界的网络已形成企业网络边界分支办公室应用与数据总部办公室控制策略攻击者HomeOffice咖啡店客户机场合作伙伴PlatformasaServiceInfrastructureasaServiceXasaServiceSoftwareasaService任何时间任何地点任何设备任何资源移动与协作、以及云计算——打破了企业数据中心边界智能终端/移动用户任何人无边界数据中心3无边界

Internet2无边界

终端用户1思科无边界网络安全安全控制策略企业网络边界分支办公室应用与数据总部办公室控制策略(访问控制,合法使用,恶意软件,数据安全)4HomeOffice攻击者咖啡店客户机场合作伙伴PlatformasaServiceInfrastructureasaServiceXasaServiceSoftwareasaService智能终端/移动用户正确人员、正确终端、正确地点正确时间、正确资源无边界网络安全从自防御网络SDN到安全无边界网络SBN自防御网络–SDN安全无边界访问把坏人阻挡在外移动安全MobilityAlwaysOn安全无边界网络SBN策略&身份受信任访问Trust云安全Cloud主机托管/混合托管思科安全智能运营中心CiscoSIO防火墙Firewall访问控制侵扰防御IPS防止攻击内容安全Content邮件&Web思科安全架构核心:

CSIO-SensorBaseSensorBase全球覆盖:美国圣何塞,圣布鲁诺,澳大利亚,北卡罗莱纳和中国上海来自中国互联网的安全数据占17%之多实时采集全球30%的IP流量主动防御:全面及时的安全防护体系联动IPS全球入侵防御系统；ASA僵尸网络数据流过滤器；病毒蠕虫爆发预防过滤器；全球名誉度过滤器（IPS；邮件及Web）准确可靠:源于思科全球安全设备及第三方机构信息采集EmailURLSignatureDomainBotnet思科无边界网络安全-实践有边界内部网络-私有网络自防御网络SDN：集成、自适应、协同解决方案：ASA/FWSM(virtualFirewall)+CSM/IPS+NAC…全网统一:动态防御,管理及可信网络管控

防御：ScanSafe、SensorBase

管理：TrustSec

可信架构–弹性架构防御解决方案：动态目的检测、智能信任报文；（云火墙Anti-Botnet、SGT）可信终端–移动接入防御解决方案：移动准入控制，接入感知；（AnyConnect+NAC）可信数据–数据保护解决方案：域内、域间信息加密及验证、ＶPN、SSL感知；（WAAS、MACSec、VPN，Netflow）可信资源–内容防御解决方案：动态源检测、内容合规检测；（IPS

GlobalCorrelation、XML

Firewall）议程思科安全无边界网络架构外联业务安全——思科云火墙解决方案内网业务安全——思科攻击定位与响应解决方案问与答IPSFirewall/VPNAnti-Maleware保护每个数据包和数据流ATD自适应威胁防御实现接入突破网络滥用端口扫描畸形数据包应用滥用停止服务/Hacking已知的攻击被感染的流量植入应用中的攻击外联业务多功能防护需求下一代防火墙： 主动防御僵尸网络，智能入侵防护.思科“云”火墙应对五大信息安全最新挑战如何避免内部感染木马与僵尸网络潜伏?“云”火墙Sensorbase动态策略技术如何阻断外部黑客攻击?IPSGlobalCorrelation全球信誉协防技术如何划分安全域与安全接入?虚拟防火墙技术与xVPN技术如何实现内容安全与数据防泄漏?云火墙与Ironport邮件安全、Web安全网关1245如何提高Session性能实效?

RealWorld性能，IPS硬件，SessionReputation3

一.防内部木马僵尸潜伏Anti-BotnetInfectedClientsASA5500Series扫描流量，端口，协议，恶意“回拨”流量警示被感染客户端，清除木马僵尸流量MalwareCommand&ControlThreatProtection

BotnetTrafficFilteronASA5500Series监控恶意流量扫描全部流量，端口和协议通过追踪“回拨”流量发现被感染的客户端高准确度每周识别超过10万恶意连接自动DNS地址查询与CSIO实时连动InfectedClientsCiscoASACommand

andControlAnti-Malware二.防外部攻击入侵–IPSGlobalCorrelation©2009CiscoSystems,Inc.Allrightsreserved.CiscoConfidential16EmpoweredBranchSensorBaseSIO更新协同:特征库+全球信誉关联

特点:鉴别新增的威胁种类增加安全团队的工作效率Internet攻击者不在现在数据库中…IPS检查

signatures–

结果是可疑攻击威胁确认执行阻断ReportAttacktoSIO*下载全球威胁数据最新恶意攻击信息更新未知攻击者关联信息:特征数据+全球威胁数据CiscoIPSServerClientCallManager全球协防--IPSGlobalCorrelation08:00GMT一个新恶意软件正在澳大利亚被发现一个正在俄罗斯活跃的僵尸网络正在广泛的发送新内容在韩国，一个病毒正在网络上肆虐在佛罗里达，一个电脑黑客正在为主要的金融机构发送探通08:15GMT所有的CiscoIPS用户已经被保护，免于以上威胁的攻击

CollaborativeIPS遥感,全球一体化关联,

先发制人的保护CiscoIPS比其他IPS技术提前两倍的时间发现威胁入侵,收集数十亿全球范围内的数据点三.清理恶意Session，提高并发实效

RealWorld性能，IPS硬件，SessionReputationAccessControl

GranularPolicyforModernNetworksASA支持数十万条策略能够基于接口或全局设定策略强大的NAT引擎ProtocolInspection

PowerfulNetworkSecurityandControlsFragmentationandObscuredContentPiggybackedSessionsOverloadedSessionsSourceAddressVerificationSequenceRandomizationRetransmittedPacketsConnectionandEmbryonicLimitsSYNFloodProtectionChecksumTestingMalformedPacketsandStateChecksTCPWindowSizeAnomaliesSelectiveResetsandTimeoutsDeadConnections规避欺骗拒绝服务连接滥用Anti-EvasionAnti-SpoofingDenialofServiceProtectionAnti-ConnectionAbuse四.安全域隔离–ASA虚拟火墙MSFC

云火墙VRFVRFVRFVRFVRFVRFVFWVFWVFWVFWVFWVFW......安全区1安全区2安全区3(多个VLAN）安全区4安全区5安全区nServerInternet企业网基于身份的准入控制xVPN工程师合作伙伴ASAASASW技术部经理RBACDestinationSourceGroupsABCD策略认证中心Cut-ThroughSSLVPNSSLVPNSSLVPN互联网SSLVPN选择DiverseEndpoint

SupportforGreater

Flexibility安全Rich,GranularSecurity

IntegratedIntothenetwork体验Always-onIntelligent

ConnectionforSeamless

Experienceand

PerformanceSecureMobility

WebSecuritywithNextGenerationRemoteAccessAcceptableUseAccessControlIntranetCorporateFileSharingAccessGrantedDataLossPreventionThreatPrevention解决方案:SecureMobility互联网出口安装ASA+WSA家庭咖啡店机场接入点INTERNET应用企业托管SaaSNewsEmailAnyConnectClient接入设备社交网络

FlexibleDelivery

Appliance,Cloud&HybridNewsEmailSocialNetworkingEnterpriseSaaSCiscoWebSecurityApplianceInformationSharingBetweenASAandWSACorporateADASAAnyConnectAnywhere+(TransitioningtoAnyConnect)思科下一代移动安全解决方案永久在线自动寻找最优接入点自动识别设备当前所在的网络区域应用控制单点登录五.内容安全与数据防泄露ASA“云”火墙-URL、IP层面过滤IronPort网关–内容层面过滤ContentFilterEmail内容Email/Web策略制定ContentFilterWeb内容ASA云火墙ESA（硬件网关）-Email安全硬件网关层面的邮箱防护*防垃圾，防病毒，防攻击邮件的政策性管理*防泄密，备份等邮件相关应用*营销邮件，业务通知*信用卡账单，话费账单等邮件加密需求WSA（硬件网关）-Web安全上网行为管理上网加速缓存防毒墙思科信息安全架构

信誉度邮件及Web安全Web安全

|Email安全

|安全管理

|

加密邮件安全网关互联网安全网关安全管理设备SensorBase安全威胁数据库应用安全网关终端客户阻挡来自互联网络的威胁保护企业信息资产与信息丢失防护集中安全管理与维护Internet邮件加密设备Internet客户本地的设备用户体验思科云火墙、Web云服务企业网络云组件Web安全Email安全IPS入侵检测7.0具有防木马感染的ASA防火墙ASR1000的WebEx节点ISRG2可用服务模块SRE思科AXP弹性应用、

本地性能、安全法规遵从广域网企业分支机构

思科WebEx协同云全球协同邮件安全应用云领先的实时安全情报中心日均50亿次查询量超过150个

Email与Web参数监控全球近30%流量思科安全云服务网络感知的云覆盖Anyconnect移动安全互联Netflowv9异常流量监控ScanSafe云服务数据库SensorbaseCiscoASAIndustry’sMostProvenFirewallTrusted15+yearsofproveninnovationBroadportfolioofdevicesVersatile,multi-serviceplatformAdaptiveGranularpolicyenforcementIn-depthdefensefortoday’shighlycollaborativeenvironmentLeaderinsecurebusinessconnectivityCiscoAdaptiveSecurityAppliancesGranularAccessControlsAdvancedThreatProtectionSecureConnectivitySecureUnifiedCommunicationsComprehensiveManagementSummary：CiscoASA5500Series

ComprehensiveSolutionsfromBranchtotheDataCenterTeleworkerBranchOfficeInternet

EdgeASA5550

(1.2Gbps,

36Kconn/s)ASA5505

(150Mbps,

4KConn/s)CiscoASA5500:

BranchtotheDataCenterDataCenterASA5540

(650Mbps,

25Kconn/s)ASA5520

(450Mbps,

12Kconn/s)ASA5510

(300Mbps,

9Kconn/s)ASA5580-20

(5-10Gbps,

90Kconn/s)ASA5580-40(10-20Gbps,150Kconn/s)CampusCiscoASA5500PlatformsFWSM*

(5Gbps)*PIXfeatureset新产品发布：CiscoASA5585为数据中心设计的下一代防火墙高性能高可部署性高安全性业界最快的连接建立速度最多的VPN数目业界最优的防火墙、入侵防御和VPN的整合云智能安全永久在线的远程访问部署灵活领先的性能密度领先的能耗比CiscoASA5500SeriesPortfolio

ComprehensiveSolutionsfromSOHOtotheDataCenterMulti-Service

(Firewall/VPNandIPS)PerformanceandScalabilityDataCenterCampusBranchOfficeSOHOInternetEdgeASA5585SSP-60

(35Gbps,350Kcps)ASA5585SSP-40

(20Gbps,200Kcps)ASA5585SSP-20

(10Gbps,125Kcps)ASA5585SSP-10

(4Gbps,50Kcps)ASA5540

(650Mbps,25Kcps)ASA5520

(450Mbps,12Kcps)ASA5510

(300Mbps,9Kcps)ASA5505

(150Mbps,4Kcps)ASA5550

(1.2Gbps,36Kcps)ASA5580-20

(10Gbps,90Kcps)ASA5580-40

(20Gbps,150Kcps)NEWNEWNEWNEWFirewallandVPNAppliance议程思科安全无边界网络架构外联业务安全——思科云火墙解决方案内网业务安全——思科攻击定位与响应解决方案问与答InfectedHost内部网络的复杂性安全监控与响应的挑战ActionSteps:AlertInvestigateMitigate网络运营安全运营SecurityKnowledge-Base总是太迟FirewallIDS/IPSVPNVulnerability

ScannersAuthentication

ServersRouter/SwitchAntivirus10KWin,

100sUNIXCollectNetworkDiagramReadandAnalyzeTONSofData…Repeat

=LogsandAlerts真实的攻击导致出现大量的独立警告事件实时停止威胁传播保护公司资产如何快速准确定位与响应

安全攻击发生在……思科GlobalCorrelationIPS

ChangingNetworkIPStoGlobalIPS效率2倍于传统仅基于签名的IPS精确度信誉分析的引入大幅降低误报率及时比传统基于签名的IPS快100倍以上对最新型的攻击开始拦截HarnessingthePowerofCiscoSecurityIntelligenceOperationsResultsAveragedOverTwoWeekPeriodinPre-releaseDeploymentsCiscoSensorBaseThreatOperationsCenterDynamicUpdatesSecurityInfrastructureThatDynamicallyProtectAgainsttheLatestThreatsThrough:TheMostComprehensiveVulnerabilityandSenderReputationDatabaseAGlobalTeamofSecurityResearchers,Analysts,andSignatureDevelopersDynamicUpdatesandActionableIntelligenceCiscoSecurityIntelligenceOperations思科安全智能运营中心CSIOCiscoSensorBaseThreatOperationsCenterDynamicUpdatesPoweredbyGlobalCorrelationCiscoIntrusionPreventionSystem

更精确的实时威胁防御智能检测技术ManagementandOperations灵活、安全的平台动态防护应用保护CiscoSecurityIntelligenceOperations(SIO)方便的部署至现有网络

EasyIntegrationintoanyNetworkTopologyVirtualSensorsInlineOn-A-StickFlexibledeploymentInlineorout-of-bandInline“on-a-stick”

−NorewiringofthenetworkLoweroperationalcostsVirtualsensors

−Deviceconsolidation −PolicyflexibilityMixed-modedeployment

−Inlineandout-of-bandPreventFutureAttacksDashboardRSSfeedsinformoperatorsofwidespreadthreatsOver150customizablereporttemplateskeepoperatorsuptodateonthreatsReportsinclude“attacksprevented”and“malwarediscovered”SeetheThreatPowerfuleventfilteringandcustomizablecolorcodingreducesnetworknoiseIPS事件管理

ReportingandEventManagementHastenResponseCS-MARSreportviewIPSManagerExpress(IME)dashboardUnderstandtheThre