思科智能安全解决方案为您的企业转型保驾护航

思科智能安全解决方案为您的企业转型保驾护航议题以威胁防御为核心的安全模型思科整体安全解决方案核心产品：ASA下一代防火墙网络攻击无处不在2015白帽子峰会演示如何吃饭不花钱如何打开专车上的手机摄像头如何获得某人的联系方方式，如何用别人的号码打电话。如何控制别人的飞行器。。。。。万物皆成为黑客破解的对象黑客经济链使一切变得简单。。4互联网已不再安全。。5rmationisbeautiful.ne6来源：《2012年Verizo数据泄露调查报告》秒分钟小时天周月年初始攻击至防御瘫痪防御瘫痪至数据外泄防御瘫痪至发现问题发现问题至修复漏洞和恢复运行面对对网络攻击，我们显得很无奈？我们需要涵盖整个攻击周期的动态防御体系攻击前发现执行加固攻击后定位缓解修复覆盖整个攻击周期NetworkEndpointMobileVirtualCloud检测阻挡防御攻击中单个时间点的持续性的议题以威胁防御为核心的安全模型思科整体安全解决方案核心产品：ASA下一代防火墙Cisco是网络安全市场的领先者Source:Infonetics,June2nd2015全面的网络安全解决方案领先的市场占有率真正理解网络和网络安全安全威胁已经超越传统企业边界安全已无边界威胁已经渗透您的网络错误的网络配置和部署暴露企业漏洞安全事件导致的经济和社会损失日趋加剧持续更新的高级攻击手段垃圾邮件和恶意URL链接数据拦截被植入的

AndroidappPingsweep,PortScan,OSIDCompromise,EscalatePrivilegesCompromise,EscalatePrivilegesCommand+ControlExfiltratedata如何考虑应对普通杀毒软件无法识别植入代码?传统防火墙识别不了应用层数据?IPS也未发现来自外部的异常?威胁已然进入您的内网知己知彼更全面的掌控HRZoneITZoneSalesZoneNetworkZoneDCZoneInternetZoneMobileZone漏洞修复并关闭共计识别数据泄露攻击受阻攻击识别漏洞关闭并修复预警CrisisRegionStagingRegionImpacttoBusiness($)TimeMTTK70%的安全事件响应时间花费在MeanTimetoKnow更快速的行动

Network

ServersOperating

SystemsRouters

and

SwitchesMobile

DevicesPrintersVoIP

PhonesVirtual

MachinesClient

ApplicationsFilesUsersWeb

ApplicationsApplication

ProtocolsServicesMalwareCommand

andControl

ServersVulnerabilitiesNetFlowNetworkBehaviorProcessesTheNetworkSeesEverything

网络即大数据平台

NetworkasaSensor检测

异常的数据流e.g.CommunicationwithMaliciousHosts,InternalMalwarePropagation,DataExfiltration检测

违规的用户访问e.g.MaintenanceContractorAccessingFinancialDataDetect恶意设备、AP等e.g.MaintenanceContractorConnectinganUnauthorizedAPinBankBranchtoBreach网络如何提供大数据

NetworkasSensorStealthWatchNFNFNFNFNFNFNetFlow+NBAR遥测技术大数据威胁分析事件关联分析网络如何提供大数据

NetworkasSensor交换网络数据中心网络防火墙网络路由网络NetFlowTelemetryNBARTelemetryNSELTelemetry网络如何提供大数据

全网可见性网络如何提供大数据

StealthWatchFlowCollectorFCFlow收集Flow处理交换网络数据中心网络防火墙网络路由网络网络如何提供大数据

StealthWatchManagementConsoleFC告警监控威胁数据关联大数据分析及报表SMCCiscoISE交换网络数据中心网络防火墙网络路由网络那些是您网络中的高风险点

（APTs）？哪些事件告警最多?网络中何种应用最多?主机信誉评分InsideHostPotentiallyCompromised防DDOS

共计SYNHalfOpen;ICMP/UDP/PortFloodNaaS能提供僵尸网络检测WhenInsideHostTalkstoOutsideC&CServer防碎片交错共计HostSendingAbnormal#MalformedFragments防止蠕虫病毒传播WormInfectedHostScans,etc.LargeOutboundFileTransferVS.Baseline防数据泄露网络扫描TCP,UDP,PortScanningAcrossMultipleHosts网络即执法者

NetworkasanEnforcerNaaE能做什么?

NetworkasanEnforcer阻隔

各个网络分区来抑制攻击TrustSec-SecureGroupTagging,VRF,ISEandMore加密

流量来保护数据不被篡改和泄露MACsecforWired,DTLSforWireless,IPSec/SSLforWANandMore管控

分支站点的直接互联网访问IWAN,CloudWebSecurityandMoreNetworkasanEnforcerIdentityServicesEngineSGTSGTSGTSGACLSGTSGTSGACLSGACL动态分区基于策略同时支持物理机和虚拟环境NetworkasanEnforcer

PolicyDefinition(ISE)SRC/DSTHRSalesContractorAdminDataCenterInternetHRpermitallpermitshare❌❌permitSRV-1permitallSalespermitsharepermitall❌❌permitSRV-2permitallContractor❌❌❌❌permitSRV-3permitsomeAdminpermit

allpermitallpermitallpermitallpermitallpermitsomeIdentityServicesEngineNetworkasanEnforcer

基于身份的访问控制IdentityServicesEngineOracleADSAPWhatareyouaccessing?TabletLaptopDesktopWhatareyou?Mitsue(sales)Shree(HR)Santoso(IT)Whoareyou?JapanIndiaIndiaWhereareyouconnecting?19:3016:0016:00Whenareyouconnecting?VPNWiFiWiredHowareyouconnecting?NetworkasanEnforcer

安全组标记SecurityGroupTagging(SGT)IdentityServicesEngineOracleADSAP88151TabletLaptopDesktopNetworkasanEnforcer

基于SecurityGroup的访问控制列表(SGACL)OracleADSAP88151❌❌88151❌88151❌❌88151TabletLaptopDesktopSalesNoaccesstoSAPoverVPNafter18:00NoaccesstoOracleNoaccesstoADHRFullaccesstoOracleoverWirelessNoaccesstoSAPoverWirelessNoaccesstoADITFullaccessoverWiredandWirelessNaaE-安全集成ASA+FirePowerSGTSGTSGTFirePower+AMPISEAPIDataCenter

InternetIntranetSGTASArulesbasedonSGTSimplifiesrulecreationandmanagementISEQuarantinethroughISEAutomatesandspeedsremediation知己—对内网情况了如指掌操作系统主机流量应用分析主机漏洞区域分类应用流量知彼—对威胁运筹帷幄决胜千里之外攻击目标地图定位攻击详细攻击源头攻击时间攻击轨迹议题以威胁防御为核心的安全模型思科整体安全解决方案核心产品：ASA下一代防火墙思科全线安全产品分支/远程站点数据中心分支/广域网汇聚/总部远程办公用户ASA5585-10/20/40/60ASA防火墙模块VirtualSecurity

Gateway(VSG)CiscoASAv虚拟防火墙Anyconnect一体化客户端ASA下一代防火墙ASA5512-X/5515-XASA5505/5506/5508ASA5585-10/20沙盒分析系统AMPThreatGridASA下一代防火墙ASA5525-X5545-X/5555-XESAC380/680ESAC170WSAS380/680ESAX1070统一身份认证平台ISEAppliance安全访问控制系统

(ACS)

Powerful,Visible,Simple下一代防火墙邮件安全和上网行为管理准入控制和安全管理入侵检测和威胁防御Firepower9300WSAS170下一代入侵防御Sourcefire恶意代码检测AMP(网络和终端)沙盒分析系统AMPThreatGrid下一代入侵防御Sourcefire恶意代码检测AMP(网络和终端)下一代入侵防御Sourcefire安全设备管理平台CiscoSecurityManagerWeb安全云服务邮件安全云服务基于云的企业级移动管理MerakiEMMCiscoTalos是业界最领先安全专家团队维护众多的开源系统（Snort，ClamAV等）研究最新安全威胁思科安全的核心：Talos安全智能小组分析全球最多的安全大数据动态更新最新安全策略到思科的安全平台验证思科安全优势：Talos公布大量最新威胁EndpointDataCenterEdgeCampusOperationalTechnologyBranchCloud终端：AnyconnectAMP恶意软件防护分支节点：ISR：IWANFirepower网络边界：ISR:firepowerASA:firepowerESA/WSA邮件/Web安全云环境：虚拟化安全ASAvNGIPSv数据中心：ASA/Firepower园区网：FirepowerNaaSISE工控网络：ASA5506HCisco能够给用户提供无处不在的网络安全每个环节都需要安全！每个环节，Cisco都可以提供安全防护!利用ISE整合无线和交换机的接入基于Who/What/How/When/Where的访问控制灵活的BYOD与访客控制策略有效区别公司设备/个人设备/VIP用户与前期的有线/VPN设备兼容园区网安全案例：XX新大楼无线项目边界威胁防御案例：XX集团电子商务平台FirePower知己知彼，百战不殆快速找出问题主机全面了解网络状况PerformanceandScalabilityASA5512-XASA5515-XASA5525-XASA5545-XASA5555-XASA5585-SSP10ASA5585-SSP20ASA5585-SSP40ASA5585-SSP60ASA5500-X支持FirePOWER服务

(软件)ASA5585-X支持FirePOWER服务

(板卡)ASA/FirePOWER下一代防火墙产品线Firepower9300ASA5506ASA5508ASA5516FirewallVPNIPSAMPASA下一代防火墙SMB、企业分支桌面型集成无线AP高性能加固设计全功能NGFW-

自带AVC功能无线AP支持胖AP和瘦AP的部署方式1RU高度;集成DefenseCenter,高性价比

NGFW适用工控环境和关键业务5506-X5506W-X5508-X5516-X5506H-XPerfectforCisco®

ASA5505Refreshes桌面型ASA5506-X7.92x8.92x1.73in.参数数值CPUMulticoreRAM4GBAcceleratorYesPorts8xGEdataports,1ManagementPortwith10/100/1000BASE-TConsolePortRJ-45,MiniUSBUSBPortType‘A’supports2.0Memory64-GBmSataCoolingConvectionPowerACexternal,NoDC机架式

ASA5508-X和ASA5516-X参数数值CPUMulticoreRAM8GBAcceleratorYesPorts8xGEdataports,oneManagementPortwith10/100/1000BASE-TConsolePortRJ-45,MiniUSBUSBPortType‘A’supports2.0Memory120-GBSSDCoolingFanPowerACinternal,noDC17.2x11.11x1.72in.全面支持多层威胁防护URLFiltering(Subscription)Advanced

Malware

Protection(AMP)(Subscription)Application

VisibilityandControl(AVC)NetworkFirewallRouting|SwitchingWWWVPNNext-GenerationIntrusionPrevention(NGIPS)(Subscription)具备与现有ASAFirePOWER防火墙相同的功能防火墙,AVC和VPN功能都已经包含支持工业控制需要的SCADA协议集中式管理中心FireSIGHTManagementCenter（FSMC）结合

CiscoSecurityManager(CSM)设备自带管理中心ASDM管理ASA防火墙和FirePOWER模块的主要功能灵活的管理方式集中式管理中心FireSIGHTManagementCenter（FSMC）结合

CiscoSecurityManager(CSM)设备自带管理中心ASDM