信息安全解決方案-思科自防御安全解決方案綜述

思科平安解決方案綜述Version:20070113ShenQi2023/9/19內(nèi)容安排我們需要改變平安銷售的觀念?目前客戶的平安需求重點是什么?面向客戶需求的平安主題銷售方案如何把握平安銷售工程的規(guī)模與節(jié)奏?我們需要改變平安銷售的觀念以產(chǎn)品為中心的方式

以需求為中心的方式

客戶自己發(fā)現(xiàn)問題，提出需求，我們銷售特定產(chǎn)品挖掘用戶需求，整合自身產(chǎn)品提出行業(yè)定制化的解決方案客戶需要什么我們做什么,沒有話語權(quán)，比較被動針對用戶特定階段的特定需求，分步驟引導(dǎo)用戶的項目很難把握項目的規(guī)模與走向，競爭激烈主動把握項目的規(guī)模與進展，為競爭對手設(shè)置障礙單個項目的安全份額比較小，特定情況下需要平衡客戶的內(nèi)部關(guān)系提升單一客戶項目的安全份額，解決用戶的Burning

Issue困惑在于產(chǎn)品太多，不知道怎么去賣,很難做到方案級別的銷售規(guī)模以方案為主體，弱化單一產(chǎn)品的指標(biāo),強化Reference的作用完美的平安防御包括什么?嚴(yán)密的邊界防護強大的內(nèi)部控制靈活的

統(tǒng)一指揮知己知彼,百戰(zhàn)不殆嚴(yán)密的邊界防護:應(yīng)用防火墻,入侵檢測與防護,內(nèi)容平安以及VPN接入縱深化的概念:平安域FWM強大的內(nèi)部控制:用戶身份與系統(tǒng)平安的控制–AAA/NAC終端的防護與平安策略控制-CSA靈活的統(tǒng)一指揮:基于全局的定位:MARS快速有效的響應(yīng):CSM/MARS內(nèi)容安排我們需要改變平安銷售的觀念?目前客戶的平安需求重點是什么?面向客戶需求的平安主題銷售方案如何把握平安銷售工程的規(guī)模與節(jié)奏?互聯(lián)網(wǎng)局域網(wǎng)無線接入數(shù)據(jù)中心遠(yuǎn)程機構(gòu)企業(yè)園區(qū)我們需要抓住客戶的平安需求DMZ安全攻擊入侵的防護利用IPS以及CSA進行網(wǎng)絡(luò)與主機的安全防護關(guān)鍵應(yīng)用系統(tǒng)的防護利用防火墻，入侵防護以及認(rèn)證授權(quán)系統(tǒng)完成關(guān)鍵應(yīng)用系統(tǒng)的防護與控制企業(yè)互聯(lián)網(wǎng)的業(yè)務(wù)安全利用ASA,Ironport,VPN,CSA以及NAC技術(shù)保證終端用戶以及網(wǎng)絡(luò)系統(tǒng)在接入互聯(lián)網(wǎng)的安全安全事件監(jiān)控與日常維護利用CS-MARS以及CS-Manager進行系統(tǒng)級的策略操作以及威脅監(jiān)控響應(yīng)內(nèi)容安排我們需要改變平安銷售的觀念?目前客戶的平安需求重點是什么?面向客戶需求的平安主題銷售方案如何把握平安銷售工程的規(guī)模與節(jié)奏?面向客戶需求的平安主題銷售方案企業(yè)互聯(lián)網(wǎng)的業(yè)務(wù)平安關(guān)鍵應(yīng)用系統(tǒng)的防護網(wǎng)絡(luò)入侵防護、監(jiān)控與響應(yīng)系統(tǒng)Business

Partner

AccessExtranet

Connections企業(yè)網(wǎng)絡(luò)互聯(lián)網(wǎng)遠(yuǎn)程接入系統(tǒng)遠(yuǎn)程分支機構(gòu)數(shù)據(jù)中心管理網(wǎng)段內(nèi)部局域網(wǎng)Internet

Connections企業(yè)互聯(lián)網(wǎng)的業(yè)務(wù)平安STOPGOSTOPGOGOSTOPGO互聯(lián)網(wǎng)邊界平安控制應(yīng)用級別的平安防護防火墻入侵防護系統(tǒng)內(nèi)容級別的平安防護Web/AVSPAM防護統(tǒng)一VPN接入系統(tǒng)企業(yè)網(wǎng)絡(luò)平安接入控制LAN/WLAN/VPN的接入控制評估終端的平安防護狀態(tài)控制終端接入的平安策略主動終端防護系統(tǒng)主動適應(yīng)型終端防護,確保終端訪問互聯(lián)網(wǎng)時的平安，抵御互聯(lián)網(wǎng)蠕蟲以及網(wǎng)頁木馬病毒的攻擊企業(yè)平安策略控制,防止內(nèi)部用戶的惡意行為終端與網(wǎng)絡(luò)入侵防護及監(jiān)控系統(tǒng)的聯(lián)動互聯(lián)網(wǎng)邊界平安控制應(yīng)用級別的平安防護：下一代防火墻防火墻入侵防護系統(tǒng)內(nèi)容級別的平安防護：IronportWeb/AVSPAM防護統(tǒng)一VPN接入系統(tǒng)：IPSec/SSLVPN嚴(yán)密的邊界防護南京中華門城堡–縱深防御體系的典型縱深化的平安架構(gòu)是系統(tǒng)穩(wěn)固的根底主機接入CIP路由器ESCONDirectorCouplingFacility快速以太網(wǎng)或令牌環(huán)交換機DLSW+路由器IBM主機ESCON/FICONCisco7507Catalyst6509Catalyst5509Cisco7507FC交換核心Catalyst6513SNA/IP網(wǎng)關(guān)IP業(yè)務(wù)效勞器SNAswDLSW業(yè)務(wù)效勞器群Catalyst6513開發(fā)測試網(wǎng)區(qū)域主機系統(tǒng)Cisco5350/Cisco5400外圍網(wǎng)關(guān)IPPBXIP自動語音應(yīng)答客戶關(guān)系管理數(shù)據(jù)庫應(yīng)用網(wǎng)關(guān)CTI效勞器AW管理工作站系統(tǒng)IP錄音系統(tǒng)普通業(yè)務(wù)咨詢專長理財n*E1客戶專職業(yè)務(wù)代表語音接入PSTNVoIP網(wǎng)關(guān)ICMPGIPIVRCTI客服中心核心系統(tǒng)Catalyst6509外聯(lián)網(wǎng)區(qū)域PIX535Catalyst4000CiscoIDSPIX535Cisco7200撥號訪問效勞器Cisco3600Cisco7200DNS應(yīng)用效勞器CiscoIDS4-7層分析CiscoIDS4-7層分析WEB協(xié)同效勞器電子郵件效勞器內(nèi)容交換機CSS11500電子郵件管理效勞器PIX535GSS全局網(wǎng)站定位器GSS全局網(wǎng)站定位器CiscoWorks2000IDS管理CiscoInfoServerVPNSolutionCenterCICReporter運行管理網(wǎng)絡(luò)區(qū)域網(wǎng)元管理事件管理中心事件統(tǒng)計匯報SNA管理平安管理話音管理廣域接入網(wǎng)區(qū)域Catalyst6513Catalyst4500Catalyst3550效勞器群(均衡負(fù)載〕VoIP關(guān)守HSRPCDM4650CE560/CE590無線以太網(wǎng)訪問點E-LearningLMS效勞器WEB效勞器其它效勞器IP/TV內(nèi)容管理器Cisco3660VoIP網(wǎng)關(guān)AS5350MCS辦公網(wǎng)絡(luò)區(qū)域內(nèi)容分發(fā)管理器CDM內(nèi)容路由器CR互聯(lián)網(wǎng)連接區(qū)域訪問管理控制效勞器外層防火墻DNS效勞器InternetISPA內(nèi)層防火墻郵件效勞器郵件網(wǎng)關(guān)(防毒)CiscoVPN集中器CiscoIDS4-7層分析AAA認(rèn)證效勞器外網(wǎng)交換機Cisco7200撥號訪問效勞器Cisco3600PSTNCisco7200PIX535PIX535Catalyst4507InternetISPBCatalyst6509Catalyst4500客戶效勞中心區(qū)域生產(chǎn)/應(yīng)用區(qū)域分公司合作伙伴分公司安全管理中心安全認(rèn)證中心入侵監(jiān)測中心防病毒服務(wù)器邊界防火墻入侵防范安全VPN路由器集成安全防護邊界防火墻邊界防火墻入侵監(jiān)測防范入侵監(jiān)測防范安全交換機網(wǎng)絡(luò)準(zhǔn)入控制路由器集成安全防護VPN安全接入垃圾郵件防護內(nèi)容安全控制防DDoS攻擊邊界防火墻認(rèn)證服務(wù)器入侵監(jiān)測撥號接入無線安全接入動態(tài)密碼語音安全服務(wù)器安全加固入侵監(jiān)測邊界防火墻網(wǎng)絡(luò)病毒過濾漏洞掃描網(wǎng)絡(luò)準(zhǔn)入控制終端安全防護防DDoS攻擊入侵監(jiān)測反向地址驗證邊界防火墻二級防火墻二級防火墻流量監(jiān)測服務(wù)器安全加固垃圾郵件防范入侵監(jiān)測網(wǎng)絡(luò)準(zhǔn)入控制防火墻語音安全應(yīng)用安全流量監(jiān)控設(shè)備加固反向地址驗證防火墻入侵監(jiān)測入侵監(jiān)測設(shè)備加固應(yīng)用安全保護防DDoS攻擊專門的防火墻硬件支持250個虛擬防火墻高達(dá)5Gbps/模塊的吞吐能力每機箱4個模塊支持2000個邏輯網(wǎng)絡(luò)接口提供Layer-2透明防火墻功能互聯(lián)網(wǎng)Catalyst6500/7600AFWSMBCVFWVFWVFWMSFC業(yè)務(wù)虛網(wǎng)利用高性能防火墻模塊構(gòu)架多層次的平安域平安問題:企業(yè)內(nèi)部應(yīng)用和外部應(yīng)用在同一個網(wǎng)絡(luò)上運行，不同部門之間連接在同一個網(wǎng)絡(luò)上，需要平安隔離，又擔(dān)憂性能瓶頸方案:采用集成于交換機的高性能防火墻模塊辦公虛網(wǎng)客人虛網(wǎng)CiscoASA5500綜合平安防護產(chǎn)品FirewallTechnologyCiscoPIXIPSTechnologyCiscoIPSContentSecurityTrendMicroVPNTechnologyCiscoVPN3000NetworkIntelligenceCiscoNetworkServicesAppInspection,UseEnforcement,WebControlApplicationSecurityMalware/ContentDefense,AnomalyDetectionIPS&Anti-XDefensesTraffic/AdmissionControl,ProactiveResponseNetworkContainment

andControlSecureConnectivityIPSec&SSLVPNMarket-ProvenTechnologiesAdaptiveThreatDefense,SecureConnectivityCiscoASA5500提供內(nèi)容級別的平安防護THREATTYPESPROTECTIONVirusesSpywareMalwarePhishingSpamInappropriateURLsIdentityTheftOffensiveContentUnauthorizedAccessIntrusions&AttacksInsecureComms.NEWAnti-XServiceExtensionsResource&InformationAccessProtectionHackerProtectionClientProtectionDDoSProtectionProtectedEmailCommunicationProtectedWebBrowsingProtectedFileExchangeUnwantedVisitorControlAudit&RegulatoryAssistanceNon-workRelatedWebSitesIdentityProtectionGranularPolicyControlsComprehensiveMalwareProtectionAdvancedContentFilteringIntegratedMessageSecurityEasytoUseASA5500withCSC-SSMInternet內(nèi)部用戶FireWallPort80Web效勞Web應(yīng)用IM流量多媒體互聯(lián)網(wǎng)訪問43%43%55%43%98%采用應(yīng)用級防火墻進行深入的攻擊防護 “…75%針對Web效勞器的攻擊是基于應(yīng)用層，而不是網(wǎng)絡(luò)層次80–HTTPJohnPescatore,VPandResearchDirector,Gartner,June2002.Source:Aug2002InfoWorld/NetworkComputingsurveyofITProfessionals64%的企業(yè)用戶在防火墻上開放80端口，用于滿足其內(nèi)部基于Web的各類應(yīng)用效勞流量的需要基于網(wǎng)絡(luò)行為特征的攻擊判別InternetInternalZone2InternalZone3利用AD〔Anomalydetectionalgorithms〕檢測并阻止零日攻擊〔Day-Zero〕自動學(xué)習(xí)網(wǎng)絡(luò)流量特征TeleworkerBranchOfficeInternet

EdgeASA5550ASA5500的產(chǎn)品一覽ASA5580-20ASA5580-40ASA5505集成化的平安平臺符合下一代防火墻標(biāo)準(zhǔn)的硬件架構(gòu)標(biāo)準(zhǔn)統(tǒng)一的平安管理界面符合業(yè)界高標(biāo)準(zhǔn)的平安認(rèn)證還有更多…DataCenterASA5540ASA5520ASA5510CiscoASA5500PlatformsNewNewCampus

SegmentationCiscoConfidential–NDAUseOnly為什么要升級到ASA5500？更加靈活的部署方式：ASA5500可以按照防火墻、入侵防護、VPN以及內(nèi)容平安等不同方式進行部署更加低廉的部署以及維護本錢：因為ASA5500包括了多種平安防護技術(shù)，以統(tǒng)一的平臺完成更多的防護任務(wù)更加先進的設(shè)計架構(gòu)：將思科傳統(tǒng)的平安產(chǎn)品，包括PIX500、IDS4200、VPN3000集成于一個全新的多CPU、多總線的硬件架構(gòu)，在確保系統(tǒng)的穩(wěn)定根底上提升整體的性能指標(biāo)更加強大的防火墻以及VPN性能：相對傳統(tǒng)的PIX產(chǎn)品而言，ASA5500的防火墻與VPN性能更加優(yōu)化硬件實現(xiàn)的入侵防護以及內(nèi)容平安功能，在啟動多重防護體系時確保系統(tǒng)性能不受影響下一代防火墻ASA5500的優(yōu)勢表達(dá)下一代防火墻必須同時高性能地處理應(yīng)用級別的防火墻以及入侵檢測防護功能下一代防火墻必須在硬件架構(gòu)中考慮未來平安防護需求的擴展能力，采用多核CPU以及多總線的處理模式，兼顧性能與功能的需求Cisco

ASA5520Vendor“A〞Vendor“B〞Vendor“C〞FirewallPerformance(Mbps)withAllAttack/Virus

SignaturesEnabled,16-KbyteHTTPObjectSizeConnectionsperSecondPerformanceCisco

ASA5520Vendor“A〞Vendor“B〞Vendor“C〞Source:Miercom,October2005UTMProductComparison如何發(fā)揮ASA5500的平安防護效能？Corporate

Network遠(yuǎn)程分支機構(gòu)

本地互聯(lián)網(wǎng)訪問數(shù)據(jù)中心Extranet:商業(yè)

合作伙伴接入遠(yuǎn)程VPN接入DMZ:對外

互聯(lián)網(wǎng)服務(wù)

內(nèi)部LAN接入普通終端的

互聯(lián)網(wǎng)訪問WLAN接入InternalSegmentationCisco

ASA5500

IPS

EditionCisco

ASA5500

SSL&IPSec

VPNEditionCisco

ASA5500Anti-XEditionCisco

ASA5500

IPS

EditionCisco

ASA5500

Firewall

EditionCisco

ASA5500

Firewall

Edition怎么定位不同的ASA5500產(chǎn)品？互聯(lián)網(wǎng)接入：ASA5510/5520/5540FW/IPS版本VPN接入：ASA55x0FW或VPN版本內(nèi)部WLAN接入：ASA5510/5520/5540IPS版本遠(yuǎn)程分支機構(gòu)接入：ASA55x0FW或CSC版本內(nèi)部應(yīng)用系統(tǒng)防護：ASA55x0IPS或5550/5580FW版本互聯(lián)網(wǎng)邊界平安控制應(yīng)用級別的平安防護：下一代防火墻防火墻入侵防護系統(tǒng)內(nèi)容級別的平安防護：IronportWeb/AVSPAM防護統(tǒng)一VPN接入系統(tǒng)：IPSec/SSLVPNIronPort：企業(yè)級內(nèi)容平安產(chǎn)品InternetC-SeriesEMAIL平安網(wǎng)關(guān)S-SeriesWEB平安網(wǎng)關(guān)M-Series平安管理設(shè)備IronPort

SenderBaseIRONPORT基于消息的平安解決方案IRONPORTSERVICESSender-BaseReputationalFilteringIRONPORTPLATFORMSAnti-SpamVirusOutbreakFilteringContentFilteringC-SeriesEmailSecurityApplianceS-SeriesWebSecurityAppliancePARTNERSERVICESAnti-VirusAnti-SpywareURLFilteringInstantMessaging&Peer-to-PeerControlDataLeakageEncryption互聯(lián)網(wǎng)邊界平安控制應(yīng)用級別的平安防護：下一代防火墻防火墻入侵防護系統(tǒng)內(nèi)容級別的平安防護：IronportWeb/AVSPAM防護統(tǒng)一VPN接入系統(tǒng)：IPSec/SSLVPN使用統(tǒng)一VPN接入系統(tǒng)滿足各種客戶需求Public

InternetASA5500VPNEdition網(wǎng)頁定制化的SSLVPN接入網(wǎng)頁定制化SSLVPN接入隧道模式的SSL或IPSecVPNLAN接入商業(yè)合作伙伴的VPN接入Requires“l(fā)ocked-down〞accesstospecificextranetresourcesandapplications出差員工的遠(yuǎn)程接入效勞Remoteaccessusersrequireseamless,easytouse,accesstocorporatenetworkresources第三方平臺臨時接入效勞Remoteusersmayrequirelightweightaccesstoe-mailandweb-basedapplicationsfromapublicmachine遠(yuǎn)程分支機構(gòu)以及SOHU型用戶的LAN接入DayextendersandmobileemployeesrequireconsistentLAN-like,full-networkaccess,tocorporateresourcesandapplications隧道模式的SSL或

IPSecVPN客戶端接入隧道模式VPN接入:IPSecandSSLVPNCustomizableaccessandstreamlinedmanagement–comprehensiveIPSecandSSLVPNsolutionsononeplatformEaseofadministration–dynamicallydownloadableSSLVPNclientiscentrallyconfiguredandeasytoupdateFastinitiationandoperation–multipledeliverymethodsandsmalldownloadsizeensuresbroadcompatibilityandrapiddownloadASA5500WEB模式:ClientlessAccessFullyclientlessweb-basednetworkaccessallowsanywhereaccesstonetworkresourcesWebcontenttransformationprovidesexcellentcompatibilitywithwebpagescontainingJava,ActiveX,complexHTMLandJavaScriptMultiplebrowsersupportensuresbroadconnectioncompatibilityUniformandefficientapplicationdeliveryviafullyclientlessCitrixsupportCustomizableuserportalforeaseofuseandenhanceduserexperienceASA5500思科AnyConnect客戶端支持各種平臺的接入NextgenerationVPNclient,availableonmanyplatformsincluding:WindowsVista32-and64-bitt,WindowsXP32-and64-bit,andWindows2000MacOSX10.4(IntelandPPC)Intel-basedLinuxWindowsMobile5PocketPCEditionStand-alone,WebLaunch,andPortalConnectionModesStartbeforeLogin(SBL)andDTLSsupportWindows2000andXPonlyNew!CiscoSecureDesktop:針對SSLVPN的虛擬平安平臺ComprehensiveSessionProtection:DatasandboxandencryptionprotectseveryaspectofsessionMalwaredetectionwithhookstoMicrosoftfreeanti-spywaresoftwarePost-SessionClean-Up:Encryptedpartitionoverwrite(notjustdeletion)usingDoDalgorithmCache,historyandcookieoverwriteFiledownloadandemailattachmentoverwriteAuto-completepasswordoverwriteCompletePre-ConnectAssessment:Locationassessment–managedorunmanageddesktop?Securitypostureassessment–AVoperational/up-to-date,personalfirewalloperational,malwarepresent?CiscoSecureDesktopWindows2000orXPOriginalUserDesktopTemporaryCSDDesktopWorkswithDesktopGuestPermissions

NoAdminPrivilegesRequiredBusiness

Partner

AccessExtranet

Connections企業(yè)網(wǎng)絡(luò)互聯(lián)網(wǎng)遠(yuǎn)程接入系統(tǒng)遠(yuǎn)程分支機構(gòu)數(shù)據(jù)中心管理網(wǎng)段內(nèi)部局域網(wǎng)Internet

Connections企業(yè)互聯(lián)網(wǎng)的業(yè)務(wù)平安STOPGOSTOPGOGOSTOPGO互聯(lián)網(wǎng)邊界平安控制應(yīng)用級別的平安防護防火墻入侵防護系統(tǒng)內(nèi)容級別的平安防護Web/AVSPAM防護統(tǒng)一VPN接入系統(tǒng)企業(yè)網(wǎng)絡(luò)平安接入控制LAN/WLAN/VPN的接入控制評估終端的平安防護狀態(tài)控制終端接入的平安策略主動終端防護系統(tǒng)主動適應(yīng)型終端防護,確保終端訪問互聯(lián)網(wǎng)時的平安，抵御互聯(lián)網(wǎng)蠕蟲以及網(wǎng)頁木馬病毒的攻擊企業(yè)平安策略控制,防止內(nèi)部用戶的惡意行為終端與網(wǎng)絡(luò)入侵防護及監(jiān)控系統(tǒng)的聯(lián)動主動終端防護系統(tǒng)–CiscoSecurityAgent主動適應(yīng)型終端防護,確保終端訪問互聯(lián)網(wǎng)時的平安，抵御互聯(lián)網(wǎng)蠕蟲以及網(wǎng)頁木馬病毒的攻擊企業(yè)平安策略控制,防止內(nèi)部用戶的惡意行為終端與網(wǎng)絡(luò)入侵防護及監(jiān)控系統(tǒng)的聯(lián)動新一代的主機平安解決方案效勞器和桌面系統(tǒng)的威脅防范機制在惡意行為之前識別和防止獨特的行為檢測手段分析或未知威脅防范:?Mydoom ?W32.Blaster?Fizzer ?Bugbear?Sobig.E ?SQLSlammer?Sircam.A ?CodeRed?Nimda ?W32.Netsky更多,不需要簽名更新!Cisco平安代理CSA邏輯結(jié)構(gòu)集中式平安管理器SNMPTraps客戶程序本地文件策略/更新報警基于瀏覽器的管理界面配置報告，事件桌面代理桌面代理桌面代理效勞器代理效勞器代理惡意代碼的共性-攻擊流程分析被攻擊的目標(biāo)12345探測滲透寄生傳播發(fā)作地址探測端口掃描密碼猜測郵件用戶猜測惡意郵件緩沖區(qū)溢出惡意ActiveX控件自動軟件安裝利用已有后門創(chuàng)立新文件修改已有文件修改注冊表安裝新的網(wǎng)絡(luò)效勞建立系統(tǒng)后門郵件傳播Web傳播IRC

傳播FTP傳播文件傳播刪除文件修改文件使計算機癱瘓拒絕效勞攻擊準(zhǔn)備攻擊實施攻擊后續(xù)August2005，Zotob

蠕蟲爆發(fā)從微軟公布漏洞到病毒爆發(fā)只有短短5天的時間思科內(nèi)部IT緊急發(fā)布Patch，但是仍有大約18000臺終端沒有進行更新升級，在此期間全部依賴CSA完成終端的防護在整個事件中，全球58000臺IT管理的桌面終端中，僅有319位用戶受到影響，其原因在于關(guān)閉了CSA的防護功能或者是采取了錯誤操作這319名員工的系統(tǒng)在2天內(nèi)得到了全面的恢復(fù)Cisco平安代理@思科－實際案例分析利用CSA防止終端用戶的數(shù)據(jù)泄漏限制移動介質(zhì)的數(shù)據(jù)復(fù)制USB,floppydisk,CDBurner限制通過非授權(quán)接口的進行數(shù)據(jù)傳送Modem,Bluetooth,IRDA限制通過webmail,p2p或IM發(fā)送關(guān)鍵數(shù)據(jù)限制系統(tǒng)的cut&pasteclipboard誤操作EMAILSecurityApplianceWEBSecurityAppliance企業(yè)級別的平安

內(nèi)容識別與數(shù)據(jù)保護終端與網(wǎng)絡(luò)IPS的聯(lián)合防御系統(tǒng)1.Hacker嘗試攻擊內(nèi)部主機2.CSA向管理中心匯報攻擊的特征情況4.CSA管理中心與網(wǎng)絡(luò)入侵防護系統(tǒng)溝通相關(guān)Hacker的入侵特征，利用網(wǎng)絡(luò)IPS進行攻擊阻斷3.管理中心調(diào)整每個平安終端的防護策略，阻止Hacker的進一步攻擊NetworkScannerAWindowsServerLinuxServerNotVulnerableFilterEventVulnerableIncreaseRiskRatingEvent/ActionFilteringMonitoringConsole:Non-relevanteventsfilteredAttackerinitiatesIISattackdestinedforserversContextualinformationonattacktargetusedtorefinesecurityresponseContextualinformationgatheredthrough:PassiveOSfingerprintingStaticOSmappingforexceptionhandlingDynamicRiskRatingadjustmentbasedonattackrelevanceResult:

Moreappropriateandeffectivesecurityresponseactions針對終端防護的關(guān)聯(lián)評估New!

CSA應(yīng)用案例二:

UnmanagedAgentUnmanagedNetworkShipsstandaloneCSAon50K+ATMdevicesperyearNewenhancementsaddedto5.2:LocalIPaddressconfigurationLocalregistryprotectionconfigurationCSATeamFocus:ContactPhuongNguyen(pvnguyen)withstandaloneopportunities企業(yè)網(wǎng)絡(luò)平安接入控制LAN/WLAN/VPN的接入控制評估終端的平安防護狀態(tài)控制終端接入的平安策略無線網(wǎng)絡(luò)下的網(wǎng)絡(luò)準(zhǔn)入控制訪客控制的說明GUESTThevisitorwhoneedsnetworkaccess(usuallyinternetonly,butcouldbemore)SPONSORTheinternaluserwhowantstobeabletoprovideinternetaccesstotheirguestNETWORKENFORCEMENTDEVICEWebre-direction,authenticationandprovidesaccess.WirelessLANControllerorNACApplianceNACGUESTSERVEREnablessponsortocreateguestaccount;audits;provisionsaccountonnetworkenforcementdeviceGuestSponsorInternetWiredorWirelessNACApplianceCiscoGuest

ServerSponsoraccesses

CiscoGuestServer,suchasSponsorauthenticatesusingcorporatecredentialsSponsorCreatesAccountontheCiscoGuestServerSponsorgivesguestaccountdetails(email/print/sms)GuestServerProvisionsAccountonthe

CiscoNACApplianceActiveDirectory1.2.3.4.5.訪客控制的說明:內(nèi)部員工預(yù)先創(chuàng)立帳號訪客接入并接受檢查與授權(quán)GuestSponsorInternetWiredorWirelessGuestopensWebbrowserWebtrafficisinterceptedbyNetworkEnforcementDeviceandredirectedtologinpage(captiveportal)GuestlogsinwithdetailsprovidedbysponsorGuestcannowaccesstheinternetGuestAccessRecordedGuestremovedwhensessiontimeexpiresActiveDirectory2.4.6.5.CiscoGuest

ServerNACAppliance1.3.強大的內(nèi)部控制什么是網(wǎng)絡(luò)準(zhǔn)入控制？?Pleaseenterusername:設(shè)備平安網(wǎng)絡(luò)平安使用網(wǎng)絡(luò)準(zhǔn)入平安策略，確保進入網(wǎng)絡(luò)的設(shè)備符合策略。身份識別用戶是誰?

用戶是否得到了授權(quán)?

用戶的角色是什么?NACMS是否進行了修補?

是否存在A/V或A/S?

是否正在運行?

是否提供服務(wù)?

所需文件是否存在?以及是否建立了策略?

不符合策略的設(shè)備是否被隔離?

是否需要修復(fù)?

是否提供修復(fù)?以及全球客戶NAC需求的演進Governance200320212004:$92m2006:$207mSecureGuestUserIdentityDeviceProfilingWhoareyou?What’sonyourdevice?Whatotherdevicesareconnected?Whoelseisconnecting?Whataretheconditionsofaccess?2005:$131m2007:$354m2021:$570mMarketSize(source:IDC,June2007)Value-AddPostureAssessment我們可以提供更豐富的NAC效勞GuestPortalServicesGuest&RegistrationPortalOSDetection&RestrictionRolebasedAUPProvisioning&ReportingProfilingServicesDeviceProfilingBehavioralMonitoringDeviceReportingPostureServicesManagedDevicePostureUnmanagedDeviceScanningRemediationOperationalServicesHelpPage/DeskWorkflowWeb,MAC,IPbackupAuthenticationRADIUSAccountingProxyCiscoNACApplianceServerIntegratedNACServicesreduceongoingoperationalcosts什么情況下適合銷售NAC系統(tǒng)用戶使用AD系統(tǒng)進行認(rèn)證用戶使用思科桌面交換機用戶使用WSUS/SMS以及網(wǎng)絡(luò)AV/AS系統(tǒng)非常適合局域網(wǎng)絡(luò)環(huán)境應(yīng)用,也可以應(yīng)用于WLAN/VPN一般在銷售初期可以考慮WLAN或VPN的試用,然后擴展到LAN環(huán)境同時還可以銷售ACS認(rèn)證系統(tǒng)NACAppliance的工作重點認(rèn)證與授權(quán)EnforcesauthorizationpoliciesandprivilegesSupportsmultipleuserroles評估Agentscanforrequiredversionsofhotfixes,AV,andothersoftwareNetworkscanforvirusandworminfectionsandportvulnerabilities隔離Isolatenon-compliantdevicesfromrestofnetworkMACandIP-basedquarantineeffectiveataper-userlevel更新與升級Network-basedtoolsforvulnerabilityandthreatremediationHelp-deskintegrationAll-in-OnePolicyCompliance

andRemediationSolutionCiscoCleanAccessServerServesasanin-bandorout-of-banddevicefornetworkaccesscontrolCiscoCleanAccessManagerCentralizesmanagementforadministrators,supportpersonnel,andoperatorsCiscoCleanAccessAgentOptionallightweightclientfordevice-basedregistryscansinunmanagedenvironmentsRule-setUpdatesScheduledautomaticupdatesforanti-virus,criticalhot-fixesandotherapplicationsNACAppliance的組成局部不同的客戶端選擇CleanAccessposturevalidationisahierarchicalprocesswitheitherpre-loadedorcustomprofiles

CHECKSassessthestateofafile,application,service,orregistrykeyRULEScontainsingleormultipleChecks

REQUIREMENTScontainsingleormultipleRules

ROLEShaveoneormoreRequirements

NAC檢查策略的架構(gòu)1500/2500/3500userseachSuperManagermanagesupto40EnterpriseandBranchServersNACAppliance的應(yīng)用規(guī)模Users=online,concurrentEnterpriseandBranchServers1500/2500userseachStandardManagermanagesupto20BranchOfficeorSMBServers100users250users500usersManagerLitemanagesupto3NACAppliance支持豐富的第三方平臺CriticalWindowsUpdates

WindowsXP,Windows2000,Windows98,WindowsMEAnti-VirusUpdatesAnti-SpywareUpdatesOther3rdPartyChecksCiscoSecurityAgentCustomerscaneasilyaddcustomizedchecksNACL3OOBACLImplementation…互聯(lián)網(wǎng)互聯(lián)網(wǎng)出口區(qū)域L3核心

交換區(qū)域DNS/DHCP服務(wù)器AD域服務(wù)器WSUS/AV服務(wù)器開放效勞器區(qū)域冗余的CAM帶外/帶內(nèi)網(wǎng)管區(qū)域…L3鏈路L2鏈路邏輯鏈路網(wǎng)絡(luò)準(zhǔn)入

效勞器群TUTNACL3OOBACLImplementation…互聯(lián)網(wǎng)互聯(lián)網(wǎng)出口區(qū)域L3核心

交換區(qū)域DNS/DHCP服務(wù)器AD域服務(wù)器WSUS/AV服務(wù)器開放效勞器區(qū)域冗余的CAM帶外/帶內(nèi)網(wǎng)管區(qū)域…L3鏈路L2鏈路邏輯鏈路網(wǎng)絡(luò)準(zhǔn)入

效勞器群用戶接入交換機端口,端口處于認(rèn)證VLANTUTNACL3OOBACLImplementation…互聯(lián)網(wǎng)互聯(lián)網(wǎng)出口區(qū)域L3核心

交換區(qū)域DNS/DHCP服務(wù)器AD域服務(wù)器WSUS/AV服務(wù)器開放效勞器區(qū)域冗余的CAM帶外/帶內(nèi)網(wǎng)管區(qū)域…L3鏈路L2鏈路邏輯鏈路在認(rèn)證VLAN的接口上通過ACL控制用戶僅可以訪問開放效勞器區(qū)域以及CAS效勞器的控制效勞IPTUT網(wǎng)絡(luò)準(zhǔn)入

效勞器群NACL3OOBACLImplementation…互聯(lián)網(wǎng)互聯(lián)網(wǎng)出口區(qū)域L3核心

交換區(qū)域DNS/DHCP服務(wù)器AD域服務(wù)器WSUS/AV服務(wù)器開放效勞器區(qū)域冗余的CAM帶外/帶內(nèi)網(wǎng)管區(qū)域…L3鏈路L2鏈路邏輯鏈路網(wǎng)絡(luò)準(zhǔn)入

效勞器群TUT客戶端完成DHCP以及DNS請求,從而獲得本機IP地址以及相應(yīng)CAS效勞器的控制效勞IP地址(由域名解析而來)NACL3OOBACLImplementation…互聯(lián)網(wǎng)互聯(lián)網(wǎng)出口區(qū)域L3核心

交換區(qū)域DNS/DHCP服務(wù)器AD域服務(wù)器WSUS/AV服務(wù)器開放效勞器區(qū)域冗余的CAM帶外/帶內(nèi)網(wǎng)管區(qū)域…L3鏈路L2鏈路邏輯鏈路網(wǎng)絡(luò)準(zhǔn)入

效勞器群TUT在此前后,客戶端完成AD域的登陸以及腳本執(zhí)行等工作NACL3OOBACLImplementation…互聯(lián)網(wǎng)互聯(lián)網(wǎng)出口區(qū)域L3核心

交換區(qū)域DNS/DHCP服務(wù)器AD域服務(wù)器WSUS/AV服務(wù)器開放效勞器區(qū)域冗余的CAM帶外/帶內(nèi)網(wǎng)管區(qū)域…L3鏈路L2鏈路邏輯鏈路網(wǎng)絡(luò)準(zhǔn)入

效勞器群TUT客戶端向CAS效勞器的效勞IP地址發(fā)送UDP8905數(shù)據(jù)包,可以由C6K完成自動負(fù)載均衡轉(zhuǎn)發(fā),并獲得CAS效勞器的響應(yīng),從而激活認(rèn)證以及策略檢查過程NACL3OOBACLImplementation…互聯(lián)網(wǎng)互聯(lián)網(wǎng)出口區(qū)域L3核心

交換區(qū)域DNS/DHCP服務(wù)器AD域服務(wù)器WSUS/AV服務(wù)器開放效勞器區(qū)域冗余的CAM帶外/帶內(nèi)網(wǎng)管區(qū)域…L3鏈路L2鏈路邏輯鏈路網(wǎng)絡(luò)準(zhǔn)入

效勞器群TUT客戶設(shè)備需要進行系統(tǒng)補丁或AV軟件升級等工作流量,可以直接訪問開放效勞器區(qū)域NACL3OOBACLImplementation…互聯(lián)網(wǎng)互聯(lián)網(wǎng)出口區(qū)域L3核心

交換區(qū)域DNS/DHCP服務(wù)器AD域服務(wù)器WSUS/AV服務(wù)器開放效勞器區(qū)域冗余的CAM帶外/帶內(nèi)網(wǎng)管區(qū)域…L3鏈路L2鏈路邏輯鏈路網(wǎng)絡(luò)準(zhǔn)入

效勞器群TUTCAS效勞器通知CAM該客戶端已經(jīng)符合所有平安檢查策略,可以接入網(wǎng)絡(luò)NACL3OOBACLImplementation…互聯(lián)網(wǎng)互聯(lián)網(wǎng)出口區(qū)域L3核心

交換區(qū)域DNS/DHCP服務(wù)器AD域服務(wù)器WSUS/AV服務(wù)器開放效勞器區(qū)域冗余的CAM帶外/帶內(nèi)網(wǎng)管區(qū)域…L3鏈路L2鏈路邏輯鏈路網(wǎng)絡(luò)準(zhǔn)入

效勞器群TUTCAM效勞器將相關(guān)接入交換機的端口按照用戶認(rèn)證的身份轉(zhuǎn)入相關(guān)VLANNACL3OOBACLImplementation…互聯(lián)網(wǎng)互聯(lián)網(wǎng)出口區(qū)域L3核心

交換區(qū)域DNS/DHCP服務(wù)器AD域服務(wù)器WSUS/AV服務(wù)器開放效勞器區(qū)域冗余的CAM帶外/帶內(nèi)網(wǎng)管區(qū)域…L3鏈路L2鏈路邏輯鏈路網(wǎng)絡(luò)準(zhǔn)入

效勞器群TUT系統(tǒng)在特定VLAN接口上面通過ACL方式,預(yù)設(shè)相關(guān)的平安訪問控制策略L3OOBACL架構(gòu)設(shè)計的優(yōu)勢CAM采用冗余設(shè)置,CAS采用冗余或Cluster方式,確保整體系統(tǒng)的高可用性;用戶的認(rèn)證流量通過CAS完成所有的工作,利用DNS的解析以及思科C6K交換機的自動loadbalance進行認(rèn)證流量的負(fù)載均衡以及冗余保護;用戶檢查過程中的升級流量通過正常交換路徑進行傳輸,減輕CAS的壓力;用戶經(jīng)過檢查之后,所有的數(shù)據(jù)流量均通過正常交換路徑進行傳輸,保證系統(tǒng)的性能最優(yōu)化;CAS效勞器僅需要處理客戶端的UDP請求以及SSL認(rèn)證與檢查流量,可以輕松滿足100-3500用戶的處理需求;面向客戶需求的平安主題銷售方案企業(yè)互聯(lián)網(wǎng)的業(yè)務(wù)平安關(guān)鍵應(yīng)用系統(tǒng)的防護網(wǎng)絡(luò)入侵防護、監(jiān)控與響應(yīng)系統(tǒng)關(guān)鍵應(yīng)用系統(tǒng)的防護：縱深化防御體系的構(gòu)架主機接入CIP路由器ESCONDirectorCouplingFacility快速以太網(wǎng)或令牌環(huán)交換機DLSW+路由器IBM主機ESCON/FICONCisco7507Catalyst6509Catalyst5509Cisco7507FC交換核心Catalyst6513SNA/IP網(wǎng)關(guān)IP業(yè)務(wù)效勞器SNAswDLSW業(yè)務(wù)效勞器群Catalyst6513開發(fā)測試網(wǎng)區(qū)域主機系統(tǒng)Cisco5350/Cisco5400外圍網(wǎng)關(guān)IPPBXIP自動語音應(yīng)答客戶關(guān)系管理數(shù)據(jù)庫應(yīng)用網(wǎng)關(guān)CTI效勞器AW管理工作站系統(tǒng)IP錄音系統(tǒng)普通業(yè)務(wù)咨詢專長理財n*E1客戶專職業(yè)務(wù)代表語音接入PSTNVoIP網(wǎng)關(guān)ICMPGIPIVRCTI客服中心核心系統(tǒng)Catalyst6509外聯(lián)網(wǎng)區(qū)域PIX535Catalyst4000CiscoIDSPIX535Cisco7200撥號訪問效勞器Cisco3600Cisco7200DNS應(yīng)用效勞器CiscoIDS4-7層分析CiscoIDS4-7層分析WEB協(xié)同效勞器電子郵件效勞器內(nèi)容交換機CSS11500電子郵件管理效勞器PIX535GSS全局網(wǎng)站定位器GSS全局網(wǎng)站定位器CiscoWorks2000IDS管理CiscoInfoServerVPNSolutionCenterCICReporter運行管理網(wǎng)絡(luò)區(qū)域網(wǎng)元管理事件管理中心事件統(tǒng)計匯報SNA管理平安管理話音管理廣域接入網(wǎng)區(qū)域Catalyst6513Catalyst4500Catalyst3550效勞器群(均衡負(fù)載〕VoIP關(guān)守HSRPCDM4650CE560/CE590無線以太網(wǎng)訪問點E-LearningLMS效勞器WEB效勞器其它效勞器IP/TV內(nèi)容管理器Cisco3660VoIP網(wǎng)關(guān)AS5350MCS辦公網(wǎng)絡(luò)區(qū)域內(nèi)容分發(fā)管理器CDM內(nèi)容路由器CR互聯(lián)網(wǎng)連接區(qū)域訪問管理控制效勞器外層防火墻DNS效勞器InternetISPA內(nèi)層防火墻郵件效勞器郵件網(wǎng)關(guān)(防毒)CiscoVPN集中器CiscoIDS4-7層分析AAA認(rèn)證效勞器外網(wǎng)交換機Cisco7200撥號訪問效勞器Cisco3600PSTNCisco7200PIX535PIX535Catalyst4507InternetISPBCatalyst6509Catalyst4500客戶效勞中心區(qū)域生產(chǎn)/應(yīng)用區(qū)域分公司合作伙伴分公司安全管理中心安全認(rèn)證中心入侵監(jiān)測中心防病毒服務(wù)器邊界防火墻入侵防范安全VPN路由器集成安全防護邊界防火墻邊界防火墻入侵監(jiān)測防范入侵監(jiān)測防范安全交換機網(wǎng)絡(luò)準(zhǔn)入控制路由器集成安全防護VPN安全接入垃圾郵件防護內(nèi)容安全控制防DDoS攻擊邊界防火墻認(rèn)證服務(wù)器入侵監(jiān)測撥號接入無線安全接入動態(tài)密碼語音安全服務(wù)器安全加固入侵監(jiān)測邊界防火墻網(wǎng)絡(luò)病毒過濾漏洞掃描網(wǎng)絡(luò)準(zhǔn)入控制終端安全防護防DDoS攻擊入侵監(jiān)測反向地址驗證邊界防火墻二級防火墻二級防火墻流量監(jiān)測服務(wù)器安全加固垃圾郵件防范入侵監(jiān)測網(wǎng)絡(luò)準(zhǔn)入控制防火墻語音安全應(yīng)用安全流量監(jiān)控設(shè)備加固反向地址驗證防火墻入侵監(jiān)測入侵監(jiān)測設(shè)備加固應(yīng)用安全保護防DDoS攻擊行業(yè)應(yīng)用系統(tǒng)定制化每個行業(yè)都會有自己的平安標(biāo)準(zhǔn),可以加以利用我們需要根據(jù)各個行業(yè)進行應(yīng)用系統(tǒng)防護用戶認(rèn)證與授權(quán):ACS/NAC應(yīng)用系統(tǒng)防護:FW/IPS應(yīng)用系統(tǒng)的平安監(jiān)控:MARS面向客戶需求的平安主題銷售方案企業(yè)互聯(lián)網(wǎng)的業(yè)務(wù)平安關(guān)鍵應(yīng)用系統(tǒng)的防護網(wǎng)絡(luò)入侵防護、監(jiān)控與響應(yīng)系統(tǒng)Business

Partner

AccessExtranet

Connections企業(yè)網(wǎng)絡(luò)互聯(lián)網(wǎng)RemoteAccessSystemsRemote/BranchOfficeDataCenterManagementNetworkCorporateLANInternet

Connections網(wǎng)絡(luò)入侵防護、監(jiān)控與響應(yīng)服務(wù)器的防護惡意攻擊防護異常行為監(jiān)護入侵防護系統(tǒng)異常檢測特征判別風(fēng)險評估攻擊確認(rèn)與響應(yīng)攻擊確認(rèn)與定位整體攻擊分析與報告思科IPS產(chǎn)品線分布CiscoIPS4200SeriesSensorsIPS4215-80MbpsCatalystIDSM-2Bundle-2GbpsCiscoASA5500SeriesIPSEditionsandAIPModulesCiscoIOSIPSCatalyst6500ServiceModulesCiscoISRIDS/IPSModuleIPS4240-300MbpsIPS4255-600MbpsIPS4260–2GbpsIDSM2-600MbpsNativeIOSIPSfortheCiscoISRAvarietyofperformancepointsfortheBranchOfficeEnvironmentNM-CIDS-45MbpsIDSASA5510–

Upto150MbpsAIPSSM-10ASA5520–

Upto375MbpsASA5540–

Upto450MbpsAIPSSM-20IPS4270–4GbpsIPSAIM–Upto45Mbps基于網(wǎng)絡(luò)行為特征的攻擊判別InternetInternalZone2InternalZone3利用AD〔Anomalydetectionalgorithms〕檢測并阻止零日攻擊〔Day-Zero〕自動學(xué)習(xí)網(wǎng)絡(luò)流量特征虛擬化的入侵防護系統(tǒng)FlexibleContextDefinitions:AbilitytodefinevirtualizedcontextsbasedonphysicalinterfaceandVLANgroupingsAssignmentofCustomSignature/PolicySettings

&responseactionstoeachvirtualizedcontextCustomizedpolicyonVirtualContextsbasedonVLANgroupingsVLAN1VLAN2VLAN3VLAN4VirtualizedContext1VirtualizedContext2統(tǒng)一靈活的指揮思科平安管理套件FirewallManagementVPNManagementMonitoringIDS/IPSManagementFullLifecycleSupportIntegratedMulti-TechnologySecurityManagementCustomerOperationsIntegrationImproveOperationalEfficienciesMaintainUptimeCSManager+CS-MARSCSM:適合大量平安設(shè)備的部署管理Managementisaboutre-usingobjects,policiesandsettingsTakeanydevicepolicy/settingandshareitsoitcanbe

re-usedCopy,inheritance,andassignmentCS-MARS從大量未經(jīng)處理的網(wǎng)絡(luò)與平安設(shè)備報警信息中過濾出真正的平安攻擊事件，從而確保系統(tǒng)的平安策略得以實施基于網(wǎng)絡(luò)的智能化關(guān)聯(lián)攻擊事件確實認(rèn)攻擊的可視化主動的調(diào)查全面的防護功能策略管理高性能讓人心動的總體擁有本錢思科平安監(jiān)控、分析與響應(yīng)系統(tǒng)(CS-MARS)利用集中日志處理方式，擁有有限的事件關(guān)聯(lián)與過濾功能不具備網(wǎng)絡(luò)拓?fù)涞母兄芰?，只有別離的設(shè)備報警事件信息初級的報警、工作流及分析報告，缺少及時的反響能力在系統(tǒng)中集成了網(wǎng)絡(luò)的感知能力，可以提高極強的事件聚合、過濾以及關(guān)聯(lián)能力系統(tǒng)產(chǎn)生可視化的拓?fù)鋱蟾?明確無誤的攻擊事件報警;攻擊路徑的詳細(xì)細(xì)節(jié)披露，同時提供網(wǎng)絡(luò)平安設(shè)備的防護建議相關(guān)事件可以通過網(wǎng)絡(luò)拓?fù)涞母兄?，利用NAT加以動態(tài)關(guān)聯(lián)、糾正、分類及確認(rèn)CS-MARS企業(yè)攻擊防御管理購置、部署與維護的本錢較高最低的總體擁有本錢;直接的防護效果,簡單的使用與部署的選擇普通的SIM產(chǎn)品企業(yè)平安信息管理性能較低，可以通過集群或高性能的硬件平臺進行提升關(guān)聯(lián)性能超過10,000事件/秒，同時到達(dá)300,000流/秒CS-MARS是企業(yè)平安管理的新式武器針對網(wǎng)絡(luò)的感知能力拓?fù)?流量, 設(shè)備配置,設(shè)備的強行控制能力ContextCorrelation?事件的關(guān)聯(lián),過濾與分類相關(guān)事件確實認(rèn)ValidIncidentsSessionsRulesVerifyIsolatedEventsCorrelationReductionRouterCfg.FirewallLogSwitchCfg.SwitchLogServerLogAVAlertAppLogVAScannerFirewallCfg.NetflowNATCfg.IDSEvent...CS-MARS:戰(zhàn)場監(jiān)控儀CS-MARS:“命令與控制〞CS-MARS:“ConnecttheDots〞SureVector?分析提供精確的可視化攻擊路徑標(biāo)識下拉菜單式,完整的事件細(xì)節(jié)說明利用攻擊特性分析進行攻擊源的精確定位攻擊細(xì)節(jié)的描述1.主機A針對目標(biāo)X進行端口掃描2.主機A對X進行緩沖區(qū)溢出攻擊〔X處于NAT設(shè)備之后，同時系統(tǒng)具有平安漏洞〕3.黑客以目標(biāo)X