思科智能安全解決課件

1、Cisco 下一代智能安全議程Cisco打造端到端的智能安全核心技術(shù)與方向新的安全模型Cisco下一代安全平臺(tái)為用戶提供安全保障下一代安全技術(shù)介紹園區(qū)網(wǎng)安全設(shè)計(jì)數(shù)據(jù)中心安全設(shè)計(jì)新一代的業(yè)務(wù)，面臨新的安全挑戰(zhàn)業(yè)務(wù)模型在發(fā)生改變我們需要保護(hù)最新的業(yè)務(wù)和平臺(tái)動(dòng)態(tài)的零日威脅我們的信息時(shí)刻存在風(fēng)險(xiǎn)復(fù)雜/碎片型的安全解決方案無(wú)法實(shí)現(xiàn)統(tǒng)一的整合與網(wǎng)絡(luò)設(shè)備集成,情景感知自動(dòng)化提供安全防護(hù)的準(zhǔn)確依據(jù)高級(jí)威脅防御云安全智能減少惡意威脅造成的損失靈活開(kāi)放平臺(tái),可擴(kuò)展，全面控制與管理提供統(tǒng)一動(dòng)態(tài)的安全防護(hù)Secure IT打造端到端的智能安全網(wǎng)絡(luò)終端移動(dòng)虛擬化云提高可見(jiàn)性Visibility-Driven關(guān)注威脅Th

2、reat-Focused統(tǒng)一平臺(tái)Platform-Based如果你不了解你的網(wǎng)絡(luò)，就無(wú)法做出準(zhǔn)確的防護(hù)Network ServersOperating SystemsVoIPphonesFilesNetflowRouters and SwitchesTimeVirtual MachinesClient ApplicationsUsersWeb ApplicationsApplication ProtocolsNetworkBehaviorMalwareCommand and Control Servers VulnerabilitiesMobileDevicesServicesProcesse

3、s終端信息通訊信息服務(wù)器信息ISE情景感知技術(shù)下一代防火墻技術(shù)下一代入侵防御技術(shù)提高可見(jiàn)性威脅發(fā)生整個(gè)過(guò)程的全面響應(yīng)攻擊前發(fā)現(xiàn)執(zhí)行加固攻擊后定位緩解修復(fù)檢測(cè)阻擋防御攻擊中網(wǎng)絡(luò)異常行為分析惡意軟件防護(hù)AMP準(zhǔn)入系統(tǒng)下一代防火墻功能防火墻VPN下一代入侵防御Web安全平臺(tái)Email 安全平臺(tái) vm vm vm云安全智能情景感知技術(shù)全面了解網(wǎng)絡(luò)定制細(xì)粒度安全策略大部分攻擊被定義的安全策略阻擋一部分騙過(guò)策略的攻擊被云智能和攻擊防御系統(tǒng)阻斷少數(shù)攻擊成功后，系統(tǒng)快速進(jìn)行攻擊定位與修復(fù)信息資產(chǎn)攻擊企圖網(wǎng)絡(luò)終端移動(dòng)虛擬化云攻擊真的成功了，怎么辦？關(guān)注威脅管理安全服務(wù)與應(yīng)用安全平臺(tái)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)統(tǒng)一平臺(tái)安全架構(gòu)C

4、isco Security Applications3RD Party ApplicationsCommon Security Policy & Management一致的安全策略與管理流程安全管理APIsCisco ONE APIs平臺(tái) APIs云智能APIs物理平臺(tái)虛擬平臺(tái)云智能Access ControlContext AwarenessContent InspectionApplication VisibilityThreat PreventionDevice API: OnePK, OpenFlow, CLICisco Networking Operating Systems (En

5、terprise, Data Center, Service Provider)RouteSwitchCompute ASIC Data PlaneSoftware Data PlaneAPIsAPIs思科安全應(yīng)用第三方安全應(yīng)用統(tǒng)一平臺(tái)Direct, Secured InterfacesSingle Framework安全開(kāi)放平臺(tái)pxGridContextSharingCSMPNSCOpenAppID開(kāi)放接口易于定制與第三方整合信息共享聯(lián)動(dòng)議程Cisco打造端到端的智能安全核心技術(shù)與方向新的安全模型Cisco下一代安全平臺(tái)為用戶提供安全保障下一代安全技術(shù)介紹園區(qū)網(wǎng)安全設(shè)計(jì)數(shù)據(jù)中心安全設(shè)計(jì)思科安

6、全技術(shù)與平臺(tái)匯總攻擊前攻擊后攻擊中網(wǎng)絡(luò)異常行為分析惡意軟件防護(hù)AMP網(wǎng)絡(luò)/網(wǎng)關(guān)/終端準(zhǔn)入與認(rèn)證系統(tǒng)ISE/ACS下一代防火墻NGFW防火墻ASA/ASASM/ASAv/ISGVPNSSLVPN&IPSec下一代入侵防御FirePower/VirtualWeb安全平臺(tái)WSA/WSAvEmail 安全平臺(tái)ESA/ESAv業(yè)界最為完整和領(lǐng)先的安全技術(shù)NACSource: Gartner (December 2011)Cisco is the leader or challenger for all security technologies遠(yuǎn)程接入Source: Gartner (December

7、2011)郵件安全Source: Gartner (August 2011)WEB安全Source: Gartner (May 2011)企業(yè)防火墻Source: Gartner (October 2011)網(wǎng)絡(luò)準(zhǔn)入威脅防御業(yè)界最為完整的方案組合最為領(lǐng)先的安全技術(shù)多種方案的深層整合惡意軟件防護(hù)集成于內(nèi)容安全平臺(tái)WSA/ESASourcefire 入侵防御集成于 ASA整合 Sourcefire 與ASA 下一代安全服務(wù)惡意軟件防護(hù)下一代防火墻下一代入侵防御統(tǒng)一管理平臺(tái)下一代的安全服務(wù)Sourcefire 整合后，Cisco將提供業(yè)界最好的下一代安全服務(wù)惡意軟件防護(hù)集成于云安全服務(wù)OpenAPP

8、ID應(yīng)用識(shí)別開(kāi)放平臺(tái)ISEPxGRiD信息開(kāi)放矩陣MDMASAv下一代虛擬防火墻強(qiáng)勁的安全產(chǎn)品RoadmapSourceFire最高60G下一代入侵防御Sourcefire 入侵防御集成于 Router核心區(qū)廣域網(wǎng)外連區(qū)辦公大樓-1接入?yún)^(qū)廣域網(wǎng)匯聚區(qū)DC區(qū)辦公大樓-2ASAASAASR/ISRCat6K/Nexus7/9KCA Switch攻擊發(fā)生之前，全面分析網(wǎng)絡(luò)，定制細(xì)粒度控制策略，減少攻擊發(fā)生可能：ASA防火墻/下一代防火墻ISE準(zhǔn)入控制CA SwitchCA SwitchCA SwitchC6880C6880下一代園區(qū)網(wǎng)安全方案部署示例攻擊發(fā)生期間，進(jìn)行深層數(shù)據(jù)分析，對(duì)威脅進(jìn)行檢測(cè)和阻

9、擋：Sourcefire下一代入侵防御ESA/WSA 應(yīng)用網(wǎng)關(guān)攻擊發(fā)生之后，快速定位攻擊范圍，并進(jìn)行修復(fù)Sourcefire高級(jí)惡意軟件防護(hù)網(wǎng)關(guān)級(jí)別/網(wǎng)絡(luò)級(jí)別/終端級(jí)別InternetISE準(zhǔn)入控制郵件安全網(wǎng)關(guān)互聯(lián)網(wǎng)安全網(wǎng)關(guān)安全case1：攻擊發(fā)生前，智能安全策略核心區(qū)廣域網(wǎng)外連區(qū)辦公大樓-1接入?yún)^(qū)廣域網(wǎng)匯聚區(qū)辦公大樓-2ASAASAASR/ISRCat6K/Nexus7/9KCA SwitchCA SwitchCA SwitchCA SwitchC6880C6880InternetISE準(zhǔn)入控制用戶使用自帶的移動(dòng)終端連接公司網(wǎng)絡(luò)用戶和設(shè)備信息傳送到ISE進(jìn)行驗(yàn)證ISE根據(jù)用戶身份/設(shè)備類型/

10、連接位置/等信息對(duì)該終端進(jìn)行授權(quán)，如只有互聯(lián)網(wǎng)訪問(wèn)權(quán)限。權(quán)限策略下放到用戶的接入設(shè)備當(dāng)中用戶使用公司筆記本電腦連接公司網(wǎng)絡(luò)用戶和設(shè)備信息傳送到ISE進(jìn)行驗(yàn)證ISE根據(jù)用戶身份/設(shè)備類型/連接位置/等信息對(duì)該終端進(jìn)行授權(quán)，如具有完全權(quán)限。權(quán)限策略下放到用戶的接入設(shè)備當(dāng)中Defense CenterCisco APIC Enterprise Module 補(bǔ)救措施檢測(cè)到威脅策略更新APICCampusData CenterCampusISEpxGrid信息共享安全case2：攻擊發(fā)生中統(tǒng)一智能的威脅檢測(cè)與響應(yīng)網(wǎng)絡(luò)中的威脅檢測(cè)引擎Sourcefire下一代威脅防御體系，檢測(cè)到攻擊或者惡意流量的存在S

11、ourcefire與ISE提供的情景感知信息關(guān)聯(lián)分析后，通知APIC控制器APIC基于威脅的信息，生成安全策略APIC根據(jù)威脅發(fā)生的位置，將安全策略下發(fā)到指定位置，如指定的網(wǎng)絡(luò)交換機(jī)/無(wú)線控制器/防火墻等安全case3：攻擊發(fā)生后，定位威脅，找出源頭核心區(qū)廣域網(wǎng)外連區(qū)辦公大樓-1接入?yún)^(qū)廣域網(wǎng)匯聚區(qū)辦公大樓-2ASAASAASR/ISRCat6K/Nexus7/9KCA SwitchCA SwitchCA SwitchCA SwitchC6880C6880InternetISE準(zhǔn)入控制Defense Center文件傳輸軌跡用戶A在互聯(lián)網(wǎng)上下載了一個(gè)軟件由于該軟件未證明為惡意軟件，允許下載，并且

12、標(biāo)明為unkown。文件可能繼續(xù)傳播，Denfense Center會(huì)記錄所有文件軌跡某一刻該文件被定位為惡意軟件根據(jù)文件軌跡，可以快速定位該文件的影響范圍和源頭利用網(wǎng)絡(luò)和終端執(zhí)行，對(duì)文件進(jìn)行刪除和阻攔。數(shù)據(jù)中心安全解決方案部署業(yè)務(wù)/租戶 3業(yè)務(wù)/租戶 t 2業(yè)務(wù)/租戶 1虛擬防火墻Endpoints vm vm vm vm vm vm vm vm vm虛擬交換機(jī) vm vm vm防火墻集群技術(shù)攻擊發(fā)生前：防火墻做出安全防護(hù)虛擬防火墻防護(hù)虛機(jī)環(huán)境攻擊發(fā)生中：NGIPS做成威脅檢測(cè)攔截虛擬IPS實(shí)現(xiàn)虛機(jī)環(huán)境下的威脅防御攻擊發(fā)生后：網(wǎng)絡(luò)級(jí)別IPS/惡意軟件防護(hù)快速實(shí)現(xiàn)攻擊定位數(shù)據(jù)中心安全case1

13、：跨數(shù)據(jù)中心安全設(shè)備集群ASA5585平臺(tái)支持最多16臺(tái)防火墻組成集群，共同工作，可以實(shí)現(xiàn)跨數(shù)據(jù)中心的集群增強(qiáng)整體性能：8臺(tái)cluster支持高達(dá)超過(guò)300G的性能投資保護(hù)：所有的節(jié)點(diǎn)都參與流量轉(zhuǎn)發(fā)，實(shí)現(xiàn)按需擴(kuò)展簡(jiǎn)化管理，cluster中的多臺(tái)防火墻統(tǒng)一管理，統(tǒng)一配置，統(tǒng)一策略增加冗余度，各臺(tái)防火墻之間存在備份機(jī)制，無(wú)中斷升級(jí)多數(shù)據(jù)中心狀態(tài)同步，允許異步流量通過(guò)數(shù)據(jù)中心安全case2：虛擬化環(huán)境下如何做安全防護(hù)租戶1 VSG 和ASA1000v做防護(hù)租戶2 VSG 和 ASAv做防護(hù) 透過(guò)vPATH實(shí)現(xiàn)安全控制ASA1000v實(shí)現(xiàn)邊界安全邊界一進(jìn)一出兩個(gè)接口VSG實(shí)現(xiàn)租戶內(nèi)部安全適合小型租戶通

14、過(guò)vSWITCH實(shí)現(xiàn)安全控制ASAv實(shí)現(xiàn)邊界安全邊界支持兩個(gè)接口VSG實(shí)現(xiàn)租戶內(nèi)部安全適合大型租戶Sourcefire實(shí)現(xiàn)虛擬化的威脅防御VM 1VM 2VM 3VM 4VM 1VM 2VM 3VM 4VM 5VM 6VM 7VM 8VM 5VM 6VM 7VM 8Nexus 1000V Port-ProfilesvPATH enabled ServicesVSGVSGASA1000V uses vPATHASAv DGW VMVLAN 30VLAN 10FIX-n-LEARN（修復(fù)和學(xué)習(xí)）防御檢測(cè)修復(fù) 網(wǎng)絡(luò)終端移動(dòng)虛擬化云在安全建設(shè)和投資中尋找平衡點(diǎn)我們需要在安全建設(shè)和投資中尋找平衡點(diǎn)，我們

15、可以按照下面的步驟實(shí)施安全部署：安全防護(hù)作為第一步 防火墻/準(zhǔn)入控制安全檢測(cè)可以提升防護(hù)的等級(jí) 入侵防御 WEB/Email安全響應(yīng)與修復(fù)可以完善安全生命周期 流量分析 惡意軟件防護(hù)對(duì)于不同的平臺(tái)，也可以分布實(shí)施，分步控制風(fēng)險(xiǎn)ASA Feature SetASAv去掉集群和虛擬防火墻技術(shù)物理防火墻的特性組通過(guò)虛擬化擴(kuò)展性能支持10 vNIC interfaces 軟件加密支持SDN 和傳統(tǒng)的管理方式最大支持4 vCPUs and 8 GB of memory物理和虛擬防火墻統(tǒng)一管理新的平臺(tái)ASAvHypervisorSupportData Sheet MetricASAv (1 vCPU)AS

16、Av (2 vCPU)ASAv (3 vCPU)ASAv (4 vCPU)Stateful Inspection Throughput (Maximum)1 Gbps1.2 Gbps1.5 Gbps2 GbpsStateful Inspection Throughput (Multi-Protocol)500 Mbps600 Mbps750 Mbps1 GbpsConcurrent Sessions100,000250,000350,000500,000Connections Per Second10,00015,00015,00020,000Packets Per Second (64 By

17、te)450,000500,000600,000700,000VLANS50100100200Cisco Cloud Web Security Users100250250500S2S IPSec IKEv1 Client VPN User Sessions250250250750Cisco AnyConnect or Clientless User Sessions250250250750新的平臺(tái)ASAvSourcefire 產(chǎn)品線FireSIGHT Defense CenterFirePOWER Appliances集群與堆疊技術(shù) DC1500DC3500PERFORMANCEDC7503

18、D701050 Mbps3D7020 100 Mbps3D7110 500 Mbps3D71201 Gbps3D81304 Gbps3D81202 Gbps3D8140 6 Gbps3D8250 10 Gbps3D8260 - 20Gbps3D8270 - 30Gbps3D8290 - 40Gbps3D8390 - 60GbpsSSL Appliances Virtual Appliances3D7030 250 MbpsSourcefire 優(yōu)勢(shì)分析業(yè)界認(rèn)可：Gartner象限的領(lǐng)先者，NSSLab評(píng)測(cè)的最優(yōu)產(chǎn)品（功能&性能）公開(kāi)：基于Snort的開(kāi)源架構(gòu)，大量提供API接口，Signature腳本公開(kāi)，眾多愛(ài)好者全面可見(jiàn)性：了解網(wǎng)絡(luò)真實(shí)狀況，提供全面信息和報(bào)表特征碼眾多策略自動(dòng)化：可以基于網(wǎng)絡(luò)情況變化，自