cisco网络安全体系架构SEVT.ppt

上传人：sccc

文档编号：6191928

上传时间：2023-10-04

格式：PPT

页数：51

大小：8.32MB

《cisco网络安全体系架构SEVT.ppt》由会员分享，可在线阅读，更多相关《cisco网络安全体系架构SEVT.ppt（51页珍藏版）》请在三一办公上搜索。

1、网络安全架构的未来,议程,网络安全发展趋势网络安全体系架构思科自防御网络 SDN3.0 网络安全中国,网络安全发展趋势,2008年十大互联网安全趋势 Web2.0时代到来,1.社交网站和Web 2.0网站成为黑客攻击目标。2.“僵尸网络”将继续繁殖。3.通过IM传播的“flash”蠕虫将大规模爆发。4.在线游戏等虚拟社区将成为重要攻击目标。5.Windows Vista将成为黑客攻击目标。6.广告软件数量下滑。7.“钓鱼”式攻击将面向普通小型网站。8.寄生恶意软件明年增长20%。9.虚拟机安全问题突出。10.VoIP 攻击将直线上升。,数据安全排名第一,Data protectionVulne

2、rability securityPolicy and regulatory complianceIdentity theft and leakage of information Viruses and wormsRisk managementAccess control User education,training and awarenessWireless infrastructure securityInternal network security/insider threats,Source:CSI/FBI 2006Computer Crime and Security Surv

3、ey,威胁-攻击者,窃贼,间谍,始作俑者,初级（脚本）,中级（创造）,专家级,专才,密码破解者,造成经济利益损失最为严重,迅猛增长趋于规模化,经济/政治利益武器,数量所占比例最高,学习,攻击行为-来源,恶意URL,0Day溢出,端口,电子邮件附件,IM,文件,IP NGN Secure Platform 威胁与业务关联,运营性服务提供商分等级安全框架模型,设计,评估,审计,策略,安全运营,业务威胁可见度,业务威胁可控度l,存取身份,分解隔离,固化标准,应用感知,业务目标与客观现状,安全威胁模型,基础架构安全,清洗中心,业务控制,自适应威胁,隐私与机密,对等安全,自动化操作控制与与组合实行,安

4、全域隔离,威胁SWAT,准入与终端安全,eTOM,ITIL,运营,部属,卓越执行,可执行可度量,策略执行实施,监控与关联协同,安全实现者,数据中心安全服务架构,Data Center Connectivity SecurityLink Redundancy,DDOS,IPSec/SSL VPN,DC Network securityFirewalls,IDS/IPS,Anti-X/Host IPS/Scanner,Application Security servicesSSL offloading,XSS/SQL，XML Gateway/CCA/ACS,Data SecurityData L

5、eakage,Terminal Security/CSA,Typical adoption timeline,Management SecurityMonitor,Events analysis,Response,PCI/SOX,网络安全技术发展过程,Metro Optical Layer to Distributed Data Center,Front-End Layer,Application Layer,Storage Layer,Aggregation Layer,VSAN,Back-End Layer,Security Zones,VSAN,Internet Edge,Seconda

6、ry Data Center,SP1,Internet,SP 2,IP Network,安全区域层次,Mainframe,DC网络安全技术部署层次,Cisco ASA 5580 SeriesN-Tier Firewall Requirements,Cisco ASA for n-tier applicationsPerimeter FirewallHigh conns/second Attack ProtectionApplication Inspection FirewallAdvanced InspectionHigh concurrency Back-end FirewallHigh t

7、hroughputLow latency,Web Tier,Application Tier,Database Tier,Internet,150KConns/sec,2MConcurrentConnections,100SLatency,数据中心整体安全部属图,I,C,P,S,p,r,C,S,T,S,Cisco IOS Router,Catalyst Switch,FWSM Active/Active,Internal Network,Catalyst Switch,Cisco Guard XT,Cisco IPS/IDS,Cisco Guard XT,DNS Servers,Web,Cha

8、t,E-mail,etc./CSA,Target,ISP 2,ISP 1,Cisco Anomaly Detector XT,MARS/CSM/ACS,ACE Module,AVS,ERP/CRM,万兆防火墙ASA5580 的七个新境界,Web2.0 HTTP1.1应用相比较HTTP1.0在一个Request中并发更多的Session，当网络流量突发或受到攻击时，短时间内会产生巨大的新建连接，要求设备具有更强的抗攻击能力与业务响应能力，每秒每秒新建连接数是Web2.0应用防火墙的最关键衡量指标！-ASA5580每秒新建连接数到达业界新高度的15万。万兆实际HTTP性能吞吐能力：传统的防火墙吞吐

9、率是指UDP大包的性能，ASA5580的万兆吞吐能力是指实际的HTTP流量性能，如果按超大包计算可达到20G性能。对数据包的时延小于30ms.Any Connect VPN支持IPSec和SSLVPN的统一网关集成，适应点对点，移动用户，可管理桌面，企业网络接入，合作伙伴或者外联网接入等各种场景，将高度安全的远程接入拓展到任何地点的任何用户。IPSEC与SSLVPN各支持1万并发接入通道。,万兆防火墙ASA5580 的七个新境界(续）,统一通讯语音视频安全网关：首创加密的语音视频解决方案，增强支持广泛的语音协议SCCP,SIP,H.323,MGCP,RTP/RTCP等，并支持TLS 信令终结

10、与代理，动态SRTP 端口加密流深度检测等，是针对Web2.0时代流媒体应用的新一代专用安全系统。基于Netflow v9标准的高速审计与时间监控：这是思科提倡网络技术与安全技术融合的具体表现之一，将ASA5580高端防火墙作为标准的网元设备去管理与控制。ASA5580通过CSM集中配置系统与MARS安全速响系统实现统一与配置管理与安全事件响应，是思科自防御体系自适应实现协同的体现。绿色数据中心为代表的新系统对设备节能减排的环保要求提出了新要求，ASA5580采用新一代进化技术PCI-X架构，动态电源技术，提供了更快速的数据传输，ECC自动恢复错误与错误检测的功能，能有效提升系统的效能并大幅度

11、节省能耗,进入“绿色”运营的新时代！,Cisco High Performance Firewall Portfolio,Target Market,Firewall Characteristics,Max Firewall Perf(RW HTTP)Max Firewall Perf(1400 UDP)Max Firewall Perf(Jumbo)Max Firewall ConnectionsMax Connections/SecMax Packets/Sec(64 byte)Latency(microseconds)Max Rules(ACEs)Max Security Context

12、sMax VLANsBase I/OMax I/O,CiscoASA 5580-20,CampusSegmentation/Data Center,5 Gbps6.5 Gbps10 Gbps1,000,00090,0002.8 Million100512,000502502 Mgmt24 GE or12 10GE,CiscoASA 5580-40,CampusSegmentation/Data Center,10 Gbps14 Gbps20 Gbps2,000,000150,0005.5 Million1001,000,000502502 Mgmt24 GE or12 10GE,CiscoFW

13、SM,CampusSegmentation/Data Center,TBD5.5 Gbps5.5(50+Sup)1,000,000100,0002.8 Million5080K(160K 4.0)2501000Sup-based536 GE or28-56 10GE,Cisco MCP5G/10G/20G,WAN Edge,TBD5/10/20 Gbps5/10/20 GbpsTBD/500K/1MTBD/50K/100K2+MillionTBDTBD/50K/200KN/A40001 Mgmt120 GEor 12 10GE,Cisco ASA 5580 SeriesN-Tier Firew

14、all Requirements,Cisco ASA for n-tier applicationsPerimeter FirewallHigh conns/second Attack ProtectionApplication Inspection FirewallAdvanced InspectionHigh concurrency Back-end FirewallHigh throughputLow latency,Web Tier,Application Tier,Database Tier,Internet,150KConns/sec,2MConcurrentConnections

15、,100SLatency,Cisco ASA 5580-20 Offers Unmatched PerformanceCisco ASA 5580-20 vs.Juniper ISG 2000,The superior architecture and software engineering of the Cisco ASA 5580-20 will redefine performance,scalability,and value for high performance security.,Note:Results based on internal testing at Cisco,

16、using same methodology on both platforms(8 GE ports used on each platform Cisco ASA 5580-20 can perform higher with 10GE ports or more GE ports).HTTP testing performed with multiple Avalanche/Reflector pairs,UDP testing performed with Spirent Test Center.,Cisco Confidential INTERNAL USE ONLY,网络安全体系架

17、构,Unified Security-思科统一安全三阶段,Phase I：Unified Security Gateway:统一安全网关模块：FWSM，AGM/ADM，IDSM-你无法拒绝的畅销经典：无需改拓扑，高性能，超值!ASA：+SSLVPN,+IPS,+AV-最具发展潜力的下一代防火墙：等速IPS性能，集成SSLVPN,高新建连接!ISR：IPSEC VPN,IOS Security-最天然的分支机构VPN组网ALLinOne:集成防火墙,IPS,SSLVPN功能!Phase II：Unified Security Control：统一安全准入NAC/CCA:从网络向终端的延伸与协同,

18、未来趋势是NAC模块!CSA:思科内部广泛应用,趋势定位在防数据泄露市场!ACS:最具普适性的AAA Server-TACAS+,Radius!Phase III：Unified Security Management 统一安全管理MARS:携手思科IDS帮助客户发现网络中猜谜码,扫描,P2P,蠕虫等安全事件来源与发展趋势!CSM:集中分发配置与管理全部思科安全设备的安管系统!NCM:要安全策略审计吗?Phase Future:统一安全市场;IronPort(Email/Web)过滤,XML Firewall(WAF应用防火墙),.,思科立体网络安全架构与技术实现,物理层隔离物理端口,逻辑层

19、隔离 VLAN，VFW,策略层隔离 ACL,应用层隔离 DPI,准入层控制 NAC/CSA,思科自防御网络 SDN3.0,不断升级的安全威胁内容及网络安全的必要性,锁住了网络（层）之门,但电子邮件及网页门仍然洞开,网络安全,内容安全,端口 25,端口 80,安全创造网络价值可运营网络,系统管理策略信誉身份,思科自防御网络 SDN3.0,实现信息安全的系统方法,网络价值-易用,安全-复杂,自防御网络,思科自防御网络实现IT信息安全的系统方法,每个网络组件均可防护策略控制模块化开放标准化可重复利用,Integrated,主动防护与自动响应威胁自动流程调整自动防护实现,Adaptive,服

20、务与设备协同抵御攻击安全服务统一管理物理扁平,逻辑纵深,Collaborative,思科自防御网络 3.0信息安全的未来,为应对不断升级的安全威胁，集成了高级网络,终端,内容,和应用层安全,集成的优势,利用在全球网络中收集到的信息阻挡最新安全威胁,广泛流量检查,提供广泛安全防护性能的端到端信息安全解决方案,端到端的解决方案,系统性平滑实现 IT 安全与合规的风险管理,数据控制,合规控制,恶意软件,思科自防御网络 SDN3.0实现信息安全的系统方法,CSA,IronPort,Cisco SME,Trustsec,ASA,CSA,NAC,IPS,Web Application Firewall,M

21、ARS,IronPort,ASA,CSA,IPS,MARS,数据中心的自防御网络,Cisco ASA,ACS,Cisco Security MARS,Cisco WAAS,Web Servers,Cisco ACE,Cisco Security Agent,Cisco Security Agent,Cisco Security Agent,ApplicationServers,Database Servers,AXG(Web Applications),Cisco Security Agent,Cisco Security Agent,Cisco MDS with SME,Tier 1/2/3

22、 Storage,Tape/Offsite Backup,AXG(B2B),CSMCisco Security Agent-MCCW-LMN,数据中心边界防火墙和 IPSDoS 防护应用协议检查Web 服务安全VPN 终止邮件和Web接入控制,Cisco Catalyst 6000FWSM,Web 接入Web 安全应用安全应用隔离内容检查SSL 加解密服务器硬化,应用和数据库XML,SOAP,和AJAX 安全DoS 防护应用到应用的安全服务器硬化,存储数据加密 In motion At rest对保存的数据的接入控制分割,管理分层接入监控和分析基于角色的接入AAA接入控制,Cisco Iron

23、Port E-Mail Security,AXG(DHTML to XML),Cisco IronPort Web Security,Cisco IronPort Web Security,Data Center Security 3.0 一览表,网络安全中国,针对性-攻击手法以奥运为例,破坏服务可用性每秒数十个G的峰值流量规模高达数十万台节点botnet瘫痪奥运主服务器修改页面传播政治内容直接攻击主服务器篡改奥运的DNS解析传播恶意代码攻击奥运CDN网络本地恶意代码截获奥运页面注入攻击劫持攻击劫持奥运相关系统升级站点、服务器植入恶意代码,非针对性-攻击手法以奥运为例,移动介质（操作系统自身问

24、题+驱动程序固有缺陷）未经授权SL811HS主控芯片传播恶意代码Plug and Root非官方奥运资料页面篡改视频文件植入攻击payload钓鱼Phishing攻击（销售假门票）遏制攻击-消耗战-声东击西预先准备大量攻击代码快速消耗安全响应团队能力,北京网通,奥运安全集成，协同，自适应设计,骨干网,20G 清洗中心,ASBR 网间路由器,20 G 清洗中心,Sohu IDC,Detector,其他场馆,Detector,北京网通用户,12G清洗中心,运营商,20G 清洗中心,20G 清洗中心,12 G 清洗中心,SOC网管中心 Netflow+MDM,旁路清洗中心疏导设计vs.堵截设计,区

25、域1:WEB,区域2:DNS,区域3:E-Commerce 应用,Internet,Legitimate Traffic正常流量,攻击目标,2.启动保护(自动/手动),RemoteHealthInjection（RHI）,3.将流量转移到Guard模块,5.将正常流量重新注入,6.到其他区域的流量没有受到影响,O 192.168.3.0/24 110/2 via 100.0.0.3,2d11h,GigabitEthernet2B 192.168.3.128/32 20/0 via 20.0.0.2,00:00:01 192.168.3.128=zone,10.0.0.2=Guard Modul

26、e,20.0.0.2=MSFC,BGP announce,自适应威胁典型示例,VPN Access,Internet,CS-MARS,IDS,CSA,CSA,CSA,CSA,CSA,Collaboration Example:Cisco Security Agent(CSA)Intrusion Detection(IDS)Cisco Monitoring,Analysis,and Response System(CS-MARS),Web2.0 安全典型应用,保护M,Microsoft update下载)26 Guards(平均8Gbps正常下载流量)CNN 美国有线电视新闻网-Cable N

27、ews Network-全球最先进的新闻组织,带给您每周七天,每天二十四小时的全球直播新闻报导,选择理由:专业MVP全动态技术;标准开放接口;一键式防护解决,旁路按需检测与防护,网闸GAP 涉密系统的物理隔离,技术特征:单向数据剥离，重建技术（摆渡，蒸馏）针对问题：系统后门，协议漏洞应用场景：政府、科研型企业、院校等高涉密网络，避免重要资料通过互联网外泄警务通系统，将警务专网的各类各类数据同步到外网供交警、刑警实时查询，也可应用与税务系统，特定工业系统。根据国家电力二次安全防护要求而应运而生的产品，采用应用层单向传输，安全性极高。部署建议：只向外发布数据，不提供外部访问的系统边界点,防火墙

28、“异构“,操作系统异构:Linux vs FreeBSD vs Windows硬件架构异构:ASIC vs FPGA vs Intel CPU 检测层面异构：Packet vs Session vs Protocal vs Application vs files vs Code 策略设计异构：Interface based vs Policy Based vs Zone Based vs Route based vs System Based实现机理异构：Default deny vs Deafult permit vs Deafult Tunnel vs Default Isol

29、ate部署方式异构：In-Line vs Off-Line vs Sample,总结,网络安全发展趋势Web2.0时代的变革，攻击目的：政治，经济利益网络安全体系架构IATF纵深防御：安全域层次化，系统化，立体化思科自防御网络 SDN3.0 网络-终端的关系：集成化，协同化，自适应网络由下向上信息安全实现策略网络安全中国奥运安全的实现国内的安全需求,DCN 统一出口安全,S8508,员工与合作伙伴接入DMZ,MAN,防火墙模块,SSL VPNServer,证书Server,RSA Server,公众业务（客户门户）DMZ,网上营业厅,网上营业厅,IDS,外网交互业务DMZ,CRM接口机,网上

30、营业厅接口机,外网访问区,S2403,负载均衡模块,负载均衡模块,S2403,S2403,S3928,10000号接口机,DNS服务器,Symantec,补丁管理,ISA,内部公共访问DMZ,S8016,S8508,DCN 网内部业务系统CRM、计费等业务系统,ASA5500出口防火墙高性能，高稳定性，1G性能支持IPSEC,FWSM内部核心防火墙能隔离内部多VLAN虚拟防火墙5G性能,服务器负载均衡高性能，高稳定性，4G性能虚拟区域负载均衡,IPS/IDS 入侵检测 1G 性能虚拟Sensor，IDS/IPS切换,Guard,Guard DDOS 防护1G 性能Sniffer,MARS

31、威胁管理攻击路径响应威胁管理,防止数据泄漏自防御网络应用,数据中心,员工,网络边界,磁带,应用服务器,思科 MDS 9000,C-系列邮件安全工具,Internet,Corporate Network,思科安全代理防止终结点数据丢失防止思科IronPort网络保护旁路对内容进行检查和分类(类似于思科 IronPort)在将来发布该功能,合作伙伴,客户,远程员工,存储加密防止未授权用户接入和休眠时数据丢失与SAN结构和管理的集成安全可靠的服务,IronPort 防止数据在网络边界丢失检查和控制内容解决隐私规则利用现有的反垃圾邮件和间谍软件的基础设施,Internet,Credit CardSt

32、orage,Wireless Device,远程分支机构,英特网边界,Cisco Integrated Services Router,Cisco CatalystSwitch,Cisco Catalyst 6500 and Cisco 7600FWSM,Cisco Security MARS,Cisco Security Agent,总公司,Cisco Catalyst 6500 Switch,Cisco Security Agent,CSA,WAP,E-Commerce,ASA,Cisco 7000,NCM/CAS,WAP,POS Cash Register,Mobile POS,POS

33、Server,Store Worker PC,策略实现和规则遵从自防御网络应用,网管中心,数据中心,CSM,ACS,WAP,机密性:强认证和接入控制保证机密,数据完整性:IPsec和SSL VPNs 保护信息传输,审计/报告:跟踪安全信息,Cisco ASA SSL,NAC,可靠性:受控数据提供给授权用户,自防御网络中的高级网络安全,特征签名，基于动作和漏洞的探测在整个网络中集成安全策略优点帮助确保设备正常运行，保护资产主动应对已知和未知的威胁主动抑制病毒感染和爆发维持隐私和机密成本效益可便于部署于整个网络提高灵活性和员工生产率,思科ASA 自适应安全设备防火墙,SSL VPN,IPS,思

34、科集成多业务路由器,思科 IDSM和FWSM,思科入侵防御系统传感器,自防御网络中的安全终端控制,思科网络准入控制(NAC),思科安全代理,特征基于角色的网络准入控制和安全策略执行完整生命周期：发现、评估、执行、整治保护桌面电脑、服务器和POS设备免受攻击优点通过安全策略来保护未管理和受管理的资产减少基于漏洞的使用来保护资产和信息通过增加可见度来减小风险,自防御网络中的内容安全,思科 IronPort C系列思科 IronPort S系列,思科ASA 内容安全,特征阻止入向邮件和Web威胁控制出向内容通过基于名誉的策略控制来过滤Web和电子邮件优点通过最新技术防止入侵威胁，垃圾邮件，恶意软件

35、，病毒和蠕虫保护消息隐私遵从规则巩固功能,自防御网络中的应用安全,思科ACE XML网关(AXG),特征检查4-7层应用检查和保护Web，B2B，及应用到应用的流量AXG 支持每秒30,000 多个XML事务优点增强应用可靠性，防止应用中断部分负载均衡和应用流量鉴别和防止基于应用的攻击保护商业资产解决隐私需求,思科ACE 应用控制引擎模块,运行控制和策略管理,思科安全管理器CSM,思科安全监控、分析和响应系统MARS,特点对防火墙、IPS、VPN安全服务进行统一策略和设备管理关联安全违规和策略规则多厂商安全事件监控、关联和缓解掌握网络拓扑达到快速威胁隔离和缓解好处通过集中化分级策略配置和实时威胁监控来简化安全操作快速威胁辨别减少宕机时间在安全和网络运行之间通过流程管理达到高效率在整个系统审计中集成变更管理和突发事件分析,Q&A,