《【信息安全】解决方案-思科自防御安全解决方案综述.ppt》由会员分享,可在线阅读,更多相关《【信息安全】解决方案-思科自防御安全解决方案综述.ppt(109页珍藏版)》请在三一文库上搜索。
1、思科安全解决方案综述,Version: 20070113,Shen Qi 2019/5/16,内容安排,我们需要改变安全销售的观念? 目前客户的安全需求重点是什么? 面向客户需求的安全主题销售方案 如何把握安全销售项目的规模与节奏?,我们需要改变安全销售的观念,完美的安全防御包括什么?,严密的边界防护,强大的内部控制,灵活的 统一指挥,知己知彼, 百战不殆,严密的边界防护: 应用防火墙, 入侵检测与防护, 内容安全以及VPN接入 纵深化的概念: 安全域FWM 强大的内部控制: 用户身份与系统安全的控制 AAA/NAC 终端的防护与安全策略控制 - CSA 灵活的统一指挥: 基于全局的定位: M
2、ARS 快速有效的响应: CSM/MARS,内容安排,我们需要改变安全销售的观念? 目前客户的安全需求重点是什么? 面向客户需求的安全主题销售方案 如何把握安全销售项目的规模与节奏?,互联网,局域网,无线接入,数据中心,远程机构,企业园区,我们需要抓住客户的安全需求,DMZ,内容安排,我们需要改变安全销售的观念? 目前客户的安全需求重点是什么? 面向客户需求的安全主题销售方案 如何把握安全销售项目的规模与节奏?,面向客户需求的安全主题销售方案,企业互联网的业务安全 关键应用系统的防护 网络入侵防护、监控与响应系统,Business Partner Access,Extranet Connect
3、ions,企业网络,互联网,远程接入系统,远程分支机构,数据中心,管理网段,内部局域网,Internet Connections,企业互联网的业务安全,互联网边界安全控制,应用级别的安全防护 防火墙 入侵防护系统 内容级别的安全防护 Web/AV SPAM防护 统一VPN接入系统,企业网络安全接入控制,LAN/WLAN/VPN的接入控制 评估终端的安全防护状态 控制终端接入的安全策略,主动终端防护系统,主动适应型终端防护, 确保终端访问互联网时的安全,抵御互联网蠕虫以及网页木马病毒的攻击 企业安全策略控制, 防止内部用户的恶意行为 终端与网络入侵防护及监控系统的联动,互联网边界安全控制,应用级
4、别的安全防护:下一代防火墙 防火墙 入侵防护系统 内容级别的安全防护:Iron port Web/AV SPAM防护 统一VPN接入系统:IPSec/SSL VPN,严密的边界防护,南京中华门城堡 纵深防御体系的典型,纵深化的安全架构是系统稳固的基础,主机接入,CIP路由器,ESCON Director,Coupling Facility,快速以太网或 令牌环交换机,DLSW+路由器,IBM主机,ESCON/FICON,Cisco7507,Catalyst6509 Catalyst5509,Cisco7507,FC,交换核心,Catalyst6513,SNA/IP 网关,IP业务 服务器,SN
5、Asw DLSW,业务服务器群,Catalyst6513,开发测试网区域,Cisco 5350/Cisco5400,外围网关,IP PBX,IP自动 语音应答,客户关系管理 数据库,应用网关,CTI服务器,AW管理 工作站,传真系统,IP录音系统,普通业务咨询,专长理财,n*E1,客户,专职业务代表,语音接入,PSTN,VoIP 网关,ICM,PG,IP IVR,CTI,客服中心核心系统,Catalyst6509,外联网区域,PIX535,Catalyst 4000,Cisco IDS,PIX 535,Cisco 7200,拨号访问服务器 Cisco 3600,Cisco 7200,DNS,应
6、用服务器,Cisco IDS 4-7层分析,Cisco IDS 4-7层分析,WEB协同 服务器,电子邮件 服务器,内容交换机 CSS11500,电子邮件 管理服务器,PIX 535,GSS全局网站定位器,GSS全局网站定位器,CiscoWorks 2000,IDS 管理,Cisco Info Server,VPN Solution Center,CIC Reporter,运行管理网络区域,网元管理,事件管理中心,事件统计汇报,SNA管理,安全管理,话音管理,广域接入网区域,Catalyst 6513,Catalyst 4500 Catalyst 3550,服务器群 (均衡负载),VoIP关守
7、,HSRP,CDM4650,CE560/CE590,无线以太 网访问点,E-Learning LMS服务器,WEB 服务器,其它 服务器,IP/TV 内容管理器,Cisco 3660,VoIP网关,AS5350,MCS,办公网络区域,内容分发 管理器CDM,内容路由器CR,互联网连接区域,访问管理控制 服务器,外层 防火墙,DNS 服务器,Internet ISPA,内层 防火墙,邮件 服务器,邮件网关 (防毒),Cisco VPN集中器,Cisco IDS 4-7层分析,AAA认证 服务器,外网 交换机,Cisco 7200,拨号访问服务器 Cisco 3600,PSTN,Cisco 720
8、0,PIX 535,PIX 535,Catalyst4507,Internet ISPB,Catalyst 6509 Catalyst 4500,客户服务中心区域,生产/应用区域,分公司,合作伙伴,分公司,专门的防火墙硬件 支持 250 个虚拟防火墙 高达 5Gbps/模块 的吞吐能力 每机箱4个模块 支持 2000 个逻辑网络接口 提供 Layer-2 透明防火墙功能,互联网,Catalyst 6500/7600,A,FW SM,B,C,VFW,VFW,VFW,MSFC,业务虚网,利用高性能防火墙模块构架多层次的安全域,安全问题: 企业内部应用和外部应用在同一个网络上运行,不同部门之间连接在
9、同一个网络上,需要安全隔离,又担心性能瓶颈 方案: 采用集成于交换机的高性能防火墙模块,办公虚网,客人虚网,Cisco ASA 5500 综合安全防护产品,Firewall Technology Cisco PIX,IPS Technology Cisco IPS,Content Security Trend Micro,VPN Technology Cisco VPN 3000,Network Intelligence Cisco Network Services,App Inspection, Use Enforcement, Web Control Application Securit
10、y,Malware/Content Defense, Anomaly Detection IPS & Anti-X Defenses,Traffic/Admission Control, Proactive Response Network Containment and Control,Secure Connectivity IPSec & SSL VPN,Market-Proven Technologies,Adaptive Threat Defense, Secure Connectivity,Cisco ASA 5500 提供内容级别的安全防护,THREAT TYPES,PROTECT
11、ION,Viruses,Spyware,Malware,Phishing,Spam,Inappropriate URLs,Identity Theft,Offensive Content,Unauthorized Access,Intrusions & Attacks,Insecure Comms.,NEW Anti-X Service Extensions,Resource & Information Access Protection Hacker Protection Client Protection DDoS Protection Protected Email Communicat
12、ion Protected Web Browsing Protected File Exchange Unwanted Visitor Control Audit & Regulatory Assistance Non-work Related Web Sites Identity Protection,Granular Policy Controls,Comprehensive Malware Protection,Advanced Content Filtering,Integrated Message Security,Easy to Use,ASA 5500 with CSC-SSM,
13、Internet,内部用户,FireWall,Port 80,Web 服务,Web 应用,IM 流量,多媒体,互联网访问,43%,43%,55%,43%,98%,采用应用级防火墙进行深入的攻击防护,“75% 针对 Web 服务器的攻击是基于应用层,而不是网络层次,80 HTTP,John Pescatore, VP and Research Director, Gartner, June 2002.,Source: Aug 2002 InfoWorld/Network Computing survey of IT Professionals,64% 的企业用户在防火墙上开放80端口,用于满足其
14、内部基于Web的各类应用服务流量的需要,基于网络行为特征的攻击判别,Internet,Internal Zone 2,Internal Zone 3,利用AD(Anomaly detection algorithms)检测并阻止零日攻击( Day-Zero ) 自动学习网络流量特征,Teleworker,Branch Office,Internet Edge,ASA 5550,ASA5500的产品一览,ASA 5580-20,ASA 5580-40,ASA 5505,集成化的安全平台 符合下一代防火墙标准的硬件架构标准 统一的安全管理界面 符合业界高标准的安全认证 还有更多,Data Cent
15、er,ASA 5540,ASA 5520,ASA 5510,Cisco ASA 5500 Platforms,Campus Segmentation,Cisco Confidential NDA Use Only,为什么要升级到ASA5500?,更加灵活的部署方式:ASA5500可以按照防火墙、入侵防护、VPN以及内容安全等不同方式进行部署 更加低廉的部署以及维护成本:因为ASA5500包括了多种安全防护技术,以统一的平台完成更多的防护任务 更加先进的设计架构:将思科传统的安全产品,包括PIX500、IDS4200、VPN3000集成于一个全新的多CPU、多总线的硬件架构,在确保系统的稳定基础
16、上提升整体的性能指标 更加强大的防火墙以及VPN性能:相对传统的PIX产品而言,ASA5500的防火墙与VPN性能更加优化 硬件实现的入侵防护以及内容安全功能,在启动多重防护体系时确保系统性能不受影响,下一代防火墙ASA5500的优势体现,下一代防火墙必须同时高性能地处理应用级别的防火墙以及入侵检测防护功能 下一代防火墙必须在硬件架构中考虑未来安全防护需求的扩展能力,采用多核CPU以及多总线的处理模式,兼顾性能与功能的需求,Cisco ASA5520,Vendor “A”,Vendor “B”,Vendor “C”,Firewall Performance (Mbps) with All At
17、tack/Virus Signatures Enabled, 16-Kbyte HTTP Object Size,Connections per Second Performance,Cisco ASA5520,Vendor “A”,Vendor “B”,Vendor “C”,Source: Miercom, October 2005 UTM Product Comparison,如何发挥ASA 5500 的安全防护效能?,Corporate Network,远程分支机构 本地互联网访问,数据中心,Extranet: 商业 合作伙伴接入,远程VPN接入,DMZ: 对外 互联网服务,内部LAN接
18、入,普通终端的 互联网访问,WLAN接入,Internal Segmentation,怎么定位不同的ASA5500产品?,互联网接入:ASA5510/5520/5540 FW/IPS版本 VPN接入:ASA55x0 FW或VPN版本 内部WLAN接入:ASA5510/5520/5540 IPS版本 远程分支机构接入:ASA55x0 FW或CSC版本 内部应用系统防护:ASA55x0 IPS或 5550/5580 FW版本,互联网边界安全控制,应用级别的安全防护:下一代防火墙 防火墙 入侵防护系统 内容级别的安全防护:Iron port Web/AV SPAM防护 统一VPN接入系统:IPSec
19、/SSL VPN,Iron Port :企业级内容安全产品,Internet,C-Series EMAIL安全网关,S-Series WEB安全网关,M-Series 安全 管理设备,IronPort SenderBase,IRONPORT 基于消息的安全解决方案,IRONPORT SERVICES,Sender-Base Reputational Filtering,IRONPORT PLATFORMS,Anti-Spam,Virus Outbreak Filtering,Content Filtering,C-Series Email Security Appliance,S-Series
20、 Web Security Appliance,PARTNER SERVICES,Anti-Virus,Anti-Spyware,URL Filtering,Instant Messaging & Peer-to-Peer Control,Data Leakage,Encryption,互联网边界安全控制,应用级别的安全防护:下一代防火墙 防火墙 入侵防护系统 内容级别的安全防护:Iron port Web/AV SPAM防护 统一VPN接入系统:IPSec/SSL VPN,使用统一VPN接入系统满足各种客户需求,Public Internet,ASA 5500 VPN Edition,网页定
21、制化的SSL VPN接入,网页定制化SSL VPN接入,隧道模式的SSL或IPSec VPN LAN接入,商业合作伙伴的VPN接入,Requires “locked-down” access to specific extranet resources and applications,出差员工的远程接入服务,Remote access users require seamless, easy to use, access to corporate network resources,第三方平台临时接入服务,Remote users may require lightweight access
22、 to e-mail and web-based applications from a public machine,远程分支机构以及SOHU型用户的LAN接入,Day extenders and mobile employees require consistent LAN-like, full-network access, to corporate resources and applications,隧道模式的SSL或 IPSec VPN客户端接入,隧道模式VPN接入: IPSec and SSL VPN,Customizable access and streamlined man
23、agement comprehensive IPSec and SSL VPN solutions on one platform Ease of administration dynamically downloadable SSL VPN client is centrally configured and easy to update Fast initiation and operation multiple delivery methods and small download size ensures broad compatibility and rapid download,A
24、SA 5500,WEB模式: Clientless Access,Fully clientless web-based network access allows anywhere access to network resources Web content transformation provides excellent compatibility with web pages containing Java, ActiveX, complex HTML and JavaScript Multiple browser support ensures broad connection co
25、mpatibility Uniform and efficient application delivery via fully clientless Citrix support Customizable user portal for ease of use and enhanced user experience,ASA 5500,思科AnyConnect客户端支持各种平台的接入,Next generation VPN client, available on many platforms including: Windows Vista 32- and 64-bitt, Windows
26、 XP 32- and 64-bit, and Windows 2000 Mac OS X 10.4 (Intel and PPC) Intel-based Linux Windows Mobile 5 Pocket PC Edition Stand-alone, Web Launch, and Portal Connection Modes Start before Login (SBL) and DTLS support Windows 2000 and XP only,Cisco Secure Desktop: 针对SSL VPN的虚拟安全平台,Comprehensive Session
27、 Protection: Data sandbox and encryption protects every aspect of session Malware detection with hooks to Microsoft free anti-spyware software,Post-Session Clean-Up: Encrypted partition overwrite (not just deletion) using DoD algorithm Cache, history and cookie overwrite File download and email atta
28、chment overwrite Auto-complete password overwrite,Complete Pre-Connect Assessment: Location assessment managed or unmanaged desktop? Security posture assessment AV operational/up-to-date, personal firewall operational, malware present?,Works with Desktop Guest Permissions No Admin Privileges Require
29、d,Business Partner Access,Extranet Connections,企业网络,互联网,远程接入系统,远程分支机构,数据中心,管理网段,内部局域网,Internet Connections,企业互联网的业务安全,互联网边界安全控制,应用级别的安全防护 防火墙 入侵防护系统 内容级别的安全防护 Web/AV SPAM防护 统一VPN接入系统,企业网络安全接入控制,LAN/WLAN/VPN的接入控制 评估终端的安全防护状态 控制终端接入的安全策略,主动终端防护系统,主动适应型终端防护, 确保终端访问互联网时的安全,抵御互联网蠕虫以及网页木马病毒的攻击 企业安全策略控制, 防
30、止内部用户的恶意行为 终端与网络入侵防护及监控系统的联动,主动终端防护系统 Cisco Security Agent,主动适应型终端防护, 确保终端访问互联网时的安全,抵御互联网蠕虫以及网页木马病毒的攻击 企业安全策略控制, 防止内部用户的恶意行为 终端与网络入侵防护及监控系统的联动,新一代的主机安全解决方案 服务器和桌面系统的威胁防范机制 在恶意行为之前识别和防止 独特的行为检测手段分析已知或未知威胁 防范: Mydoom W32.Blaster Fizzer Bugbear Sobig.E SQL Slammer Sircam.A CodeRed Nimda W32.Netsky 更多,
31、不需要签名更新!,Cisco安全代理,CSA 逻辑结构,集中式安全管理器,SNMP Traps,客户程序,本地文件,策略 / 更新,报警,基于浏览器的管理界面,配置,报告,事件,桌面代理,桌面代理,桌面代理,服务器代理,服务器代理,恶意代码的共性 - 攻击流程分析,地址探测 端口扫描 密码猜测 邮件用户猜测,恶意邮件 缓冲区溢出 恶意ActiveX 控件 自动软件安装 利用已有后门,创建新文件 修改已有文件 修改注册表 安装新的网络服务 建立系统后门,邮件传播 Web传播 IRC 传播 FTP传播 文件传播,删除文件 修改文件 使计算机瘫痪 拒绝服务,攻击准备,攻击实施,攻击后续,August
32、 2005, Zotob 蠕虫爆发 从微软公布漏洞到病毒爆发只有短短5天的时间 思科内部IT紧急发布Patch,但是仍有大约18000台终端没有进行更新升级,在此期间全部依赖CSA完成终端的防护 在整个事件中,全球58000台IT管理的桌面终端中,仅有319位用户受到影响,其原因在于关闭了CSA的防护功能或者是采取了错误操作 这319名员工的系统在2天内得到了全面的恢复,Cisco 安全代理思科 实际案例分析,利用CSA防止终端用户的数据泄漏,限制移动介质的数据复制 USB, floppy disk, CD Burner 限制通过非授权接口的进行数据传送 Modem, Bluetooth, I
33、RDA 限制通过webmail, p2p或IM发送关键数据 限制系统的cut & paste clipboard误操作,EMAIL Security Appliance,WEB Security Appliance,企业级别的安全 内容识别与数据保护,终端与网络IPS的联合防御系统,1. Hacker 尝试攻击内部主机,2. CSA向管理中心汇报攻击的特征情况,4. CSA 管理中心与网络入侵防护系统沟通相关Hacker的入侵特征,利用网络IPS进行攻击阻断,3. 管理中心调整每个安全终端的防护策略,阻止Hacker的进一步攻击,Network Scanner,A,Windows Server
34、,Linux Server,Not Vulnerable Filter Event,Vulnerable Increase Risk Rating,Event / Action Filtering Monitoring Console: Non-relevant events filtered,Attacker initiates IIS attack destined for servers,Contextual information on attack target used to refine security response Contextual information gathe
35、red through: Passive OS fingerprinting Static OS mapping for exception handling Dynamic Risk Rating adjustment based on attack relevance Result: More appropriate and effective security response actions,针对终端防护的关联评估,CSA应用案例二: Unmanaged Agent,Unmanaged Network,Ships standalone CSA on 50K+ ATM devices p
36、er year New enhancements added to 5.2: Local IP address configuration Local registry protection configuration,CSA Team Focus: Contact Phuong Nguyen (pvnguyen) with standalone opportunities,企业网络安全接入控制,LAN/WLAN/VPN的接入控制 评估终端的安全防护状态 控制终端接入的安全策略,无线网络下的网络准入控制,访客控制的说明,NETWORK ENFORCEMENT DEVICE,Web re-dir
37、ection, authentication and provides access. Wireless LAN Controller or NAC Appliance,Guest,Sponsor,Internet,Wired or Wireless,NAC Appliance,Cisco Guest Server,Sponsor accesses Cisco Guest Server, such as http:/ Sponsor authenticates using corporate credentials Sponsor Creates Account on the Cisco Gu
38、est Server Sponsor gives guest account details (email/print/sms) Guest Server Provisions Account on the Cisco NAC Appliance,Active Directory,1.,2.,3.,4.,5.,访客控制的说明: 内部员工预先创建帐号,访客接入并接受检查与授权,Guest,Sponsor,Internet,Wired or Wireless,Guest opens Web browser Web traffic is intercepted by Network Enforcem
39、ent Device and redirected to login page (captive portal) Guest logs in with details provided by sponsor Guest can now access the internet Guest Access Recorded Guest removed when session time expires,Active Directory,2.,4.,6.,5.,Cisco Guest Server,NAC Appliance,1. 3.,强大的内部控制,什么是网络准入控制??,设备安全,网络安全,使用
40、网络准入安全策略,确保进入网络的设备符合策略。,身份识别,用户是谁? 用户是否得到了授权? 用户的角色是什么?,NAC,全球客户 NAC 需求的演进,Governance,2003,2008,2004: $92m,2006: $207m,Secure Guest,User Identity,Device Profiling,Who are you?,Whats on your device?,What other devices are connected?,Who else is connecting?,What are the conditions of access?,2005: $13
41、1m,2007: $354m,2008: $570m,Market Size (source: IDC, June 2007),Value-Add,Posture Assessment,我们可以提供更丰富的NAC服务,Guest Portal Services,Guest & Registration Portal OS Detection & Restriction Role based AUP Provisioning & Reporting,Profiling Services,Device Profiling Behavioral Monitoring Device Reporting
42、,Posture Services,Managed Device Posture Unmanaged Device Scanning Remediation,Operational Services,Help Page/Desk Workflow Web, MAC, IP backup Authentication RADIUS Accounting Proxy,Cisco NAC Appliance Server,Integrated NAC Services reduce ongoing operational costs,什么情况下适合销售NAC系统,用户使用AD系统进行认证 用户使用思
43、科桌面交换机 用户使用WSUS/SMS以及网络AV/AS系统 非常适合局域网络环境应用, 也可以应用于WLAN/VPN 一般在销售初期可以考虑WLAN或VPN的试用, 然后扩展到LAN环境 同时还可以销售ACS认证系统,NAC Appliance 的工作重点,认证与授权 Enforces authorization policies and privileges Supports multiple user roles 评估 Agent scan for required versions of hotfixes, AV, and other software Network scan for
44、 virus and worm infections and port vulnerabilities,隔离 Isolate non-compliant devices from rest of network MAC and IP-based quarantine effective at a per-user level 更新与升级 Network-based tools for vulnerability and threat remediation Help-desk integration,All-in-One Policy Compliance and Remediation So
45、lution,Cisco Clean Access Server Serves as an in-band or out-of-band device for network access control Cisco Clean Access Manager Centralizes management for administrators, support personnel, and operators Cisco Clean Access Agent Optional lightweight client for device-based registry scans in unmana
46、ged environments Rule-set Updates Scheduled automatic updates for anti-virus, critical hot-fixes and other applications,NAC Appliance 的组成部分,不同的客户端选择,Clean Access posture validation is a hierarchical process with either pre-loaded or custom profiles,NAC检查策略的架构,NAC Appliance 的应用规模,Users = online, conc
47、urrent,NAC Appliance 支持丰富的第三方平台,Critical Windows Updates Windows XP, Windows 2000, Windows 98, Windows ME,Anti-Virus Updates,Anti-Spyware Updates Other 3rd Party Checks,Cisco Security Agent,Customers can easily add customized checks,NAC L3 OOB ACL Implementation,互联网,互联网出口区域,L3核心 交换区域,DNS/DHCP服务器,AD域服务器,WSUS/AV服务器,开放服务器区域,冗余的CAM,带外/带内网管区域,网络准入 服务器群,T,UT,NAC L3 OOB ACL Implementation,互联网,互联网出口区域,L3核心 交换区域,DNS/DHCP服务器,AD域服务器,WSUS/AV服务器,开放服务器区域,冗余的CAM,带外/带内网管区域,网络准入 服务器群,用户接入交换机端口,端口处于认证VLAN,T,UT,NAC L3 OOB ACL Implementation,互联网,互联网出口区域,L3核心 交