思科自防御安全解决方案综述.ppt

思科安全解决方案综述,Version:20070113,Shen Qi2023/2/9,内容安排,我们需要改变安全销售的观念?目前客户的安全需求重点是什么?面向客户需求的安全主题销售方案如何把握安全销售项目的规模与节奏?,我们需要改变安全销售的观念,完美的安全防御包括什么?,严密的边界防护,强大的内部控制,灵活的统一指挥,知己知彼,百战不殆,严密的边界防护:应用防火墙,入侵检测与防护,内容安全以及VPN接入纵深化的概念:安全域FWM强大的内部控制:用户身份与系统安全的控制 AAA/NAC终端的防护与安全策略控制-CSA灵活的统一指挥:基于全局的定位:MARS快速有效的响应:CSM/MARS,内容安排,我们需要改变安全销售的观念?目前客户的安全需求重点是什么?面向客户需求的安全主题销售方案如何把握安全销售项目的规模与节奏?,互联网,局域网,无线接入,数据中心,远程机构,企业园区,我们需要抓住客户的安全需求,DMZ,内容安排,我们需要改变安全销售的观念?目前客户的安全需求重点是什么?面向客户需求的安全主题销售方案如何把握安全销售项目的规模与节奏?,面向客户需求的安全主题销售方案,企业互联网的业务安全关键应用系统的防护网络入侵防护、监控与响应系统,BusinessPartnerAccess,Extranet Connections,企业网络,互联网,远程接入系统,远程分支机构,数据中心,管理网段,内部局域网,Internet Connections,企业互联网的业务安全,互联网边界安全控制,应用级别的安全防护防火墙入侵防护系统内容级别的安全防护Web/AVSPAM防护统一VPN接入系统,企业网络安全接入控制,LAN/WLAN/VPN的接入控制评估终端的安全防护状态控制终端接入的安全策略,主动终端防护系统,主动适应型终端防护,确保终端访问互联网时的安全，抵御互联网蠕虫以及网页木马病毒的攻击企业安全策略控制,防止内部用户的恶意行为终端与网络入侵防护及监控系统的联动,互联网边界安全控制,应用级别的安全防护：下一代防火墙防火墙入侵防护系统内容级别的安全防护：Iron portWeb/AVSPAM防护统一VPN接入系统：IPSec/SSL VPN,严密的边界防护,南京中华门城堡 纵深防御体系的典型,纵深化的安全架构是系统稳固的基础,主机接入,CIP路由器,ESCON Director,Coupling Facility,快速以太网或令牌环交换机,DLSW+路由器,IBM主机,ESCON/FICON,Cisco7507,Catalyst6509Catalyst5509,Cisco7507,FC,交换核心,Catalyst6513,SNA/IP网关,IP业务服务器,SNAswDLSW,业务服务器群,Catalyst6513,开发测试网区域,Cisco 5350/Cisco5400,外围网关,IP PBX,IP自动语音应答,客户关系管理数据库,应用网关,CTI服务器,AW管理工作站,传真系统,IP录音系统,普通业务咨询,专长理财,n*E1,客户,专职业务代表,语音接入,PSTN,VoIP网关,ICM,PG,IP IVR,CTI,客服中心核心系统,Catalyst6509,外联网区域,PIX535,Catalyst 4000,Cisco IDS,PIX 535,Cisco 7200,拨号访问服务器Cisco 3600,Cisco 7200,DNS,应用服务器,Cisco IDS4-7层分析,Cisco IDS4-7层分析,WEB协同服务器,电子邮件服务器,内容交换机CSS11500,电子邮件管理服务器,PIX 535,GSS全局网站定位器,GSS全局网站定位器,CiscoWorks 2000,IDS 管理,Cisco Info Server,VPN Solution Center,CIC Reporter,运行管理网络区域,网元管理,事件管理中心,事件统计汇报,SNA管理,安全管理,话音管理,广域接入网区域,Catalyst 6513,Catalyst 4500Catalyst 3550,服务器群(均衡负载）,VoIP关守,HSRP,CDM4650,CE560/CE590,无线以太网访问点,E-LearningLMS服务器,WEB服务器,其它服务器,IP/TV内容管理器,Cisco 3660,VoIP网关,AS5350,MCS,办公网络区域,内容分发管理器CDM,内容路由器CR,互联网连接区域,访问管理控制服务器,外层防火墙,DNS服务器,InternetISPA,内层防火墙,邮件服务器,邮件网关(防毒),Cisco VPN集中器,Cisco IDS4-7层分析,AAA认证服务器,外网交换机,Cisco 7200,拨号访问服务器Cisco 3600,PSTN,Cisco 7200,PIX 535,PIX 535,Catalyst4507,InternetISPB,Catalyst 6509Catalyst 4500,客户服务中心区域,生产/应用区域,分公司,合作伙伴,分公司,专门的防火墙硬件支持 250 个虚拟防火墙高达 5Gbps/模块 的吞吐能力每机箱4个模块支持 2000 个逻辑网络接口提供 Layer-2 透明防火墙功能,互联网,Catalyst 6500/7600,A,FW SM,B,C,VFW,VFW,VFW,MSFC,业务虚网,利用高性能防火墙模块构架多层次的安全域,安全问题:企业内部应用和外部应用在同一个网络上运行，不同部门之间连接在同一个网络上，需要安全隔离，又担心性能瓶颈方案:采用集成于交换机的高性能防火墙模块,办公虚网,客人虚网,Cisco ASA 5500 综合安全防护产品,Firewall TechnologyCisco PIX,IPS TechnologyCisco IPS,Content SecurityTrend Micro,VPN TechnologyCisco VPN 3000,Network IntelligenceCisco Network Services,App Inspection,Use Enforcement,Web ControlApplication Security,Malware/Content Defense,Anomaly DetectionIPS&Anti-X Defenses,Traffic/Admission Control,Proactive ResponseNetwork Containment and Control,Secure ConnectivityIPSec&SSL VPN,Market-ProvenTechnologies,Adaptive Threat Defense,Secure Connectivity,Cisco ASA 5500 提供内容级别的安全防护,THREAT TYPES,PROTECTION,Viruses,Spyware,Malware,Phishing,Spam,Inappropriate URLs,Identity Theft,Offensive Content,Unauthorized Access,Intrusions&Attacks,Insecure Comms.,NEW Anti-X Service Extensions,Resource&Information Access ProtectionHacker ProtectionClient ProtectionDDoS ProtectionProtected Email CommunicationProtected Web Browsing Protected File ExchangeUnwanted Visitor ControlAudit&Regulatory AssistanceNon-work Related Web SitesIdentity Protection,Granular Policy Controls,Comprehensive Malware Protection,Advanced Content Filtering,Integrated Message Security,Easy to Use,ASA 5500 with CSC-SSM,Internet,内部用户,FireWall,Port 80,Web 服务,Web 应用,IM 流量,多媒体,互联网访问,43%,43%,55%,43%,98%,采用应用级防火墙进行深入的攻击防护,“75%针对 Web 服务器的攻击是基于应用层，而不是网络层次,80 HTTP,John Pescatore,VP and Research Director,Gartner,June 2002.,Source:Aug 2002 InfoWorld/Network Computing survey of IT Professionals,64%的企业用户在防火墙上开放80端口，用于满足其内部基于Web的各类应用服务流量的需要,基于网络行为特征的攻击判别,Internet,Internal Zone 2,Internal Zone 3,利用AD（Anomaly detection algorithms）检测并阻止零日攻击（Day-Zero）自动学习网络流量特征,Teleworker,Branch Office,InternetEdge,ASA 5550,ASA5500的产品一览,ASA 5580-20,ASA 5580-40,ASA 5505,集成化的安全平台 符合下一代防火墙标准的硬件架构标准 统一的安全管理界面 符合业界高标准的安全认证 还有更多,Data Center,ASA 5540,ASA 5520,ASA 5510,Cisco ASA 5500 Platforms,CampusSegmentation,Cisco Confidential NDA Use Only,为什么要升级到ASA5500？,更加灵活的部署方式：ASA5500可以按照防火墙、入侵防护、VPN以及内容安全等不同方式进行部署更加低廉的部署以及维护成本：因为ASA5500包括了多种安全防护技术，以统一的平台完成更多的防护任务更加先进的设计架构：将思科传统的安全产品，包括PIX500、IDS4200、VPN3000集成于一个全新的多CPU、多总线的硬件架构，在确保系统的稳定基础上提升整体的性能指标更加强大的防火墙以及VPN性能：相对传统的PIX产品而言，ASA5500的防火墙与VPN性能更加优化硬件实现的入侵防护以及内容安全功能，在启动多重防护体系时确保系统性能不受影响,下一代防火墙ASA5500的优势体现,下一代防火墙必须同时高性能地处理应用级别的防火墙以及入侵检测防护功能下一代防火墙必须在硬件架构中考虑未来安全防护需求的扩展能力，采用多核CPU以及多总线的处理模式，兼顾性能与功能的需求,Cisco ASA5520,Vendor“A”,Vendor“B”,Vendor“C”,Firewall Performance(Mbps)with All Attack/Virus Signatures Enabled,16-Kbyte HTTP Object Size,Connections per Second Performance,Cisco ASA5520,Vendor“A”,Vendor“B”,Vendor“C”,Source:Miercom,October 2005 UTM Product Comparison,如何发挥ASA 5500 的安全防护效能？,Corporate Network,远程分支机构本地互联网访问,数据中心,Extranet:商业合作伙伴接入,远程VPN接入,DMZ:对外互联网服务,内部LAN接入,普通终端的互联网访问,WLAN接入,Internal Segmentation,怎么定位不同的ASA5500产品？,互联网接入：ASA5510/5520/5540 FW/IPS版本VPN接入：ASA55x0 FW或VPN版本内部WLAN接入：ASA5510/5520/5540 IPS版本远程分支机构接入：ASA55x0 FW或CSC版本内部应用系统防护：ASA55x0 IPS或 5550/5580 FW版本,互联网边界安全控制,应用级别的安全防护：下一代防火墙防火墙入侵防护系统内容级别的安全防护：Iron portWeb/AVSPAM防护统一VPN接入系统：IPSec/SSL VPN,Iron Port：企业级内容安全产品,Internet,C-SeriesEMAIL安全网关,S-SeriesWEB安全网关,M-Series安全 管理设备,IronPortSenderBase,IRONPORT 基于消息的安全解决方案,IRONPORTSERVICES,Sender-BaseReputational Filtering,IRONPORTPLATFORMS,Anti-Spam,Virus Outbreak Filtering,Content Filtering,C-SeriesEmail Security Appliance,S-SeriesWeb Security Appliance,PARTNERSERVICES,Anti-Virus,Anti-Spyware,URL Filtering,Instant Messaging&Peer-to-Peer Control,Data Leakage,Encryption,互联网边界安全控制,应用级别的安全防护：下一代防火墙防火墙入侵防护系统内容级别的安全防护：Iron portWeb/AVSPAM防护统一VPN接入系统：IPSec/SSL VPN,使用统一VPN接入系统满足各种客户需求,Public Internet,ASA 5500 VPN Edition,网页定制化的SSL VPN接入,网页定制化SSL VPN接入,隧道模式的SSL或IPSec VPN LAN接入,商业合作伙伴的VPN接入,Requires“locked-down”access to specific extranet resources and applications,出差员工的远程接入服务,Remote access users require seamless,easy to use,access to corporate network resources,第三方平台临时接入服务,Remote users may require lightweight access to e-mail and web-based applications from a public machine,远程分支机构以及SOHU型用户的LAN接入,Day extenders and mobile employees require consistent LAN-like,full-network access,to corporate resources and applications,隧道模式的SSL或IPSec VPN客户端接入,隧道模式VPN接入:IPSec and SSL VPN,Customizable access and streamlined management comprehensive IPSec and SSL VPN solutions on one platformEase of administration dynamically downloadable SSL VPN client is centrally configured and easy to update Fast initiation and operation multiple delivery methods and small download size ensures broad compatibility and rapid download,ASA 5500,WEB模式:Clientless Access,Fully clientless web-based network access allows anywhere access to network resourcesWeb content transformation provides excellent compatibility with web pages containing Java,ActiveX,complex HTML and JavaScriptMultiple browser support ensures broad connection compatibilityUniform and efficient application delivery via fully clientless Citrix supportCustomizable user portal for ease of use and enhanced user experience,ASA 5500,思科AnyConnect客户端支持各种平台的接入,Next generation VPN client,available on many platforms including:Windows Vista 32-and 64-bitt,Windows XP 32-and 64-bit,and Windows 2000Mac OS X 10.4(Intel and PPC)Intel-based LinuxWindows Mobile 5 Pocket PC EditionStand-alone,Web Launch,and Portal Connection ModesStart before Login(SBL)and DTLS supportWindows 2000 and XP only,Cisco Secure Desktop:针对SSL VPN的虚拟安全平台,Comprehensive Session Protection:Data sandbox and encryption protects every aspect of sessionMalware detection with hooks to Microsoft free anti-spyware software,Post-Session Clean-Up:Encrypted partition overwrite(not just deletion)using DoD algorithmCache,history and cookie overwriteFile download and email attachment overwriteAuto-complete password overwrite,Complete Pre-Connect Assessment:Location assessment managed or unmanaged desktop?Security posture assessment AV operational/up-to-date,personal firewall operational,malware present?,Works with Desktop Guest PermissionsNo Admin Privileges Required,BusinessPartnerAccess,Extranet Connections,企业网络,互联网,远程接入系统,远程分支机构,数据中心,管理网段,内部局域网,Internet Connections,企业互联网的业务安全,互联网边界安全控制,应用级别的安全防护防火墙入侵防护系统内容级别的安全防护Web/AVSPAM防护统一VPN接入系统,企业网络安全接入控制,LAN/WLAN/VPN的接入控制评估终端的安全防护状态控制终端接入的安全策略,主动终端防护系统,主动适应型终端防护,确保终端访问互联网时的安全，抵御互联网蠕虫以及网页木马病毒的攻击企业安全策略控制,防止内部用户的恶意行为终端与网络入侵防护及监控系统的联动,主动终端防护系统 Cisco Security Agent,主动适应型终端防护,确保终端访问互联网时的安全，抵御互联网蠕虫以及网页木马病毒的攻击企业安全策略控制,防止内部用户的恶意行为终端与网络入侵防护及监控系统的联动,新一代的主机安全解决方案服务器和桌面系统的威胁防范机制在恶意行为之前识别和防止独特的行为检测手段分析已知或未知威胁防范:Mydoom W32.Blaster Fizzer Bugbear Sobig.E SQL Slammer Sircam.A CodeRed Nimda W32.Netsky更多,不需要签名更新!,Cisco安全代理,CSA 逻辑结构,集中式安全管理器,SNMPTraps,客户程序,本地文件,策略/更新,报警,基于浏览器的管理界面,配置,报告，事件,桌面代理,桌面代理,桌面代理,服务器代理,服务器代理,恶意代码的共性-攻击流程分析,地址探测端口扫描密码猜测邮件用户猜测,恶意邮件缓冲区溢出恶意ActiveX 控件自动软件安装利用已有后门,创建新文件修改已有文件修改注册表安装新的网络服务建立系统后门,邮件传播Web传播IRC 传播FTP传播文件传播,删除文件修改文件使计算机瘫痪拒绝服务,攻击准备,攻击实施,攻击后续,August 2005，Zotob 蠕虫爆发从微软公布漏洞到病毒爆发只有短短5天的时间 思科内部IT紧急发布Patch，但是仍有大约18000台终端没有进行更新升级，在此期间全部依赖CSA完成终端的防护在整个事件中，全球58000台IT管理的桌面终端中，仅有319位用户受到影响，其原因在于关闭了CSA的防护功能或者是采取了错误操作这319名员工的系统在2天内得到了全面的恢复,Cisco 安全代理思科 实际案例分析,利用CSA防止终端用户的数据泄漏,限制移动介质的数据复制USB,floppy disk,CD Burner限制通过非授权接口的进行数据传送Modem,Bluetooth,IRDA限制通过webmail,p2p或IM发送关键数据限制系统的cut&paste clipboard误操作,EMAILSecurity Appliance,WEBSecurityAppliance,企业级别的安全内容识别与数据保护,终端与网络IPS的联合防御系统,1.Hacker 尝试攻击内部主机,2.CSA向管理中心汇报攻击的特征情况,4.CSA 管理中心与网络入侵防护系统沟通相关Hacker的入侵特征，利用网络IPS进行攻击阻断,3.管理中心调整每个安全终端的防护策略，阻止Hacker的进一步攻击,Network Scanner,A,Windows Server,Linux Server,Not VulnerableFilter Event,VulnerableIncrease Risk Rating,Event/Action FilteringMonitoring Console:Non-relevant events filtered,Attacker initiates IIS attack destined for servers,Contextual information on attack target used to refine security responseContextual information gathered through:Passive OS fingerprinting Static OS mapping for exception handlingDynamic Risk Rating adjustment based on attack relevanceResult:More appropriate and effective security response actions,针对终端防护的关联评估,CSA应用案例二:Unmanaged Agent,Unmanaged Network,Ships standalone CSA on 50K+ATM devices per yearNew enhancements added to 5.2:Local IP address configurationLocal registry protection configuration,CSA Team Focus:Contact Phuong Nguyen(pvnguyen)with standalone opportunities,企业网络安全接入控制,LAN/WLAN/VPN的接入控制评估终端的安全防护状态控制终端接入的安全策略,无线网络下的网络准入控制,访客控制的说明,NETWORK ENFORCEMENT DEVICE,Web re-direction,authentication and provides access.Wireless LAN Controller or NAC Appliance,Guest,Sponsor,Internet,Wired or Wireless,NAC Appliance,Cisco GuestServer,Sponsor accessesCisco Guest Server,such as http:/Sponsor authenticates using corporate credentialsSponsor Creates Account on the Cisco Guest ServerSponsor gives guest account details(email/print/sms)Guest Server Provisions Account on the Cisco NAC Appliance,Active Directory,1.,2.,3.,4.,5.,访客控制的说明:内部员工预先创建帐号,访客接入并接受检查与授权,Guest,Sponsor,Internet,Wired or Wireless,Guest opens Web browserWeb traffic is intercepted by Network Enforcement Device and redirected to login page(captive portal)Guest logs in with details provided by sponsorGuest can now access the internetGuest Access RecordedGuest removed when session time expires,Active Directory,2.,4.,6.,5.,Cisco GuestServer,NAC Appliance,1.3.,强大的内部控制,什么是网络准入控制？?,设备安全,网络安全,使用网络准入安全策略，确保进入网络的设备符合策略。,身份识别,用户是谁?用户是否得到了授权?用户的角色是什么?,NAC,全球客户 NAC 需求的演进,Governance,2003,2008,2004:$92m,2006:$207m,Secure Guest,UserIdentity,DeviceProfiling,Whoareyou?,Whatson yourdevice?,What otherdevices areconnected?,Who else isconnecting?,What are theconditionsof access?,2005:$131m,2007:$354m,2008:$570m,Market Size(source:IDC,June 2007),Value-Add,PostureAssessment,我们可以提供更丰富的NAC服务,Guest Portal Services,Guest&Registration PortalOS Detection&RestrictionRole based AUPProvisioning&Reporting,Profiling Services,Device ProfilingBehavioral MonitoringDevice Reporting,Posture Services,Managed Device PostureUnmanaged Device ScanningRemediation,Operational Services,Help Page/Desk WorkflowWeb,MAC,IP backup AuthenticationRADIUS Accounting Proxy,Cisco NAC Appliance Server,Integrated NAC Services reduce ongoing operational costs,什么情况下适合销售NAC系统,用户使用AD系统进行认证用户使用思科桌面交换机用户使用WSUS/SMS以及网络AV/AS系统非常适合局域网络环境应用,也可以应用于WLAN/VPN一般在销售初期可以考虑WLAN或VPN的试用,然后扩展到LAN环境同时还可以销售ACS认证系统,NAC Appliance 的工作重点,认证与授权Enforces authorization policies and privilegesSupports multiple user roles评估Agent scan for required versions of hotfixes,AV,and other softwareNetwork scan for virus and worm infections and port vulnerabilities,隔离Isolate non-compliant devices from rest of network MAC and IP-based quarantine effective at a per-user level更新与升级Network-based tools for vulnerability and threat remediationHelp-desk integration,All-in-One Policy Complianceand Remediation Solution,Cisco Clean Access ServerServes as an in-band or out-of-band device for network access controlCisco Clean Access ManagerCentralizes management for administrators,support personnel,and operatorsCisco Clean Access AgentOptional lightweight client for device-based registry scans in unmanaged environmentsRule-set UpdatesScheduled automatic updates for anti-virus,critical hot-fixes and other applications,NAC Appliance 的组成部分,不同的客户端选择,Clean Access posture validation is a hierarchical process with either pre-loaded or custom profiles,NAC检查策略的架构,NAC Appliance 的应用规模,Users=online,concurrent,NAC Appliance 支持丰富的第三方平台,Critical Windows UpdatesWindows XP,Windows 2000,Windows 98,Windows ME,Anti-Virus Updates,Anti-Spyware UpdatesOther 3rd Party Checks,Cisco SecurityAgent,Customers can easily add customized checks,NAC L3 OOB ACL Implementation,互联网,互联网出口区域,L3核心交换区域,DNS/DHCP服务器,AD域服务器,WSUS/AV服务器,开放服务器区域,冗余的CAM,带外/带内网管区域,网络准入服务器群,T,UT,NAC L3 OOB ACL Implementation,互联网,互联网出口区域,L3核心交换区域,DNS/DHCP服务器,AD域服务器,WSUS/AV服务器,开放服务器区域,冗余的CAM,带外/带内网管区域,网络准入服务器群,用户接入交换机端口,端口处于认证VLAN,T,UT,NAC L3 OOB ACL Implementation,互联网,互联网出口区域,L3核心交换区域,DNS/DHCP服务器,AD域服务器,WSUS/AV服务器,开放服务器区域,冗余的CAM,带外/带内网管区域,在认证VLAN的接口上通过ACL控制用户仅可以访问开放服务器区域以及CAS服务器的控制服务IP,T,UT,网络准入服务器群,NAC L3 OOB ACL Implementation,互联网,互联网出口区域,L3核心交换区域,DNS/DHCP服务器,AD域服务器,WSUS/AV服务器,开放服务器区域,冗余的CAM,带外/带内网管区域,网络准入服务器群,T,UT,客户端完成DHCP以及DNS请求,从而获得本机IP地址以及相应CAS服务器的控制服务IP地址(由域名解析而来),NAC L3 OOB ACL Implementation,互联网,互联网出口区域,L3核心交换区域,DNS/DHCP服务器,AD域服务器,WSUS/AV服务器,开放服务器区域,冗余的CAM,带外/带内网管区域,网络准入服务器群,T,UT,在此前后,客户端完成AD域的登陆以及脚本执行等工作,NAC L3 OOB ACL Implementation,互联网,互联网出口区域,L3核心交换区域,DNS/DHCP服务器,AD域服务器,WSUS/AV服务器,开放服务器区域,冗余的CAM,带外/带内网管区域,网络准入服务器群,T,UT,客户端向CAS服务器的服务IP地址发送UDP 8905数据包,可以由C6K完成自动负载均衡转发,并获得CAS服务器的响应,从而激活认证以及策略检查过程,NAC L3 OOB ACL Implementation,互联网,互联网出口区域,L3核心交换区域,DNS/DHCP服务器,AD域服务器,WSUS/AV服务器,开放服务器区域,冗余的CAM,带外/带内网管区域,网络准入服务器群,T,UT,客户设备需要进行系统补丁或AV软件升级等工作流量,可以直接访问开放服务器区域,NAC L3 OOB ACL Implementation,互联网,互联网出口区域,L3核心交换区域,DNS/DHCP服务器,AD域服务器,WSUS/AV服务器,开放服务器区域,冗余的CAM,带外/带内网管区域,网络准入服务器群,T,UT,CAS服务器通知CAM该客户端已经符合所有安全检查策略,可以接入网络,NAC L3 OOB ACL Implementation,互联网,互联网出口区域,L3核心交换区域,DNS/DHCP服务器,AD域服务器,WSUS/AV服务器,开放服务器区域,冗余的CAM,带外/带内网管区域,网络准入服务器群,T,UT,CAM服务器将相关接入交换机的