思科自防御安全解决方案综述PPT课件下载推荐.ppt

思科自防御安全解决方案综述PPT课件下载推荐.ppt

《思科自防御安全解决方案综述PPT课件下载推荐.ppt》由会员分享，可在线阅读，更多相关《思科自防御安全解决方案综述PPT课件下载推荐.ppt（109页珍藏版）》请在冰点文库上搜索。

,严密的边界防护,强大的内部控制,灵活的统一指挥,知己知彼,百战不殆,严密的边界防护:

应用防火墙,入侵检测与防护,内容安全以及VPN接入纵深化的概念:

安全域FWM强大的内部控制:

用户身份与系统安全的控制AAA/NAC终端的防护与安全策略控制-CSA灵活的统一指挥:

基于全局的定位:

MARS快速有效的响应:

CSM/MARS,内容安排,我们需要改变安全销售的观念?

互联网,局域网,无线接入,数据中心,远程机构,企业园区,我们需要抓住客户的安全需求,DMZ,内容安排,我们需要改变安全销售的观念?

面向客户需求的安全主题销售方案,企业互联网的业务安全关键应用系统的防护网络入侵防护、监控与响应系统,BusinessPartnerAccess,ExtranetConnections,企业网络,互联网,远程接入系统,远程分支机构,数据中心,管理网段,内部局域网,InternetConnections,企业互联网的业务安全,互联网边界安全控制,应用级别的安全防护防火墙入侵防护系统内容级别的安全防护Web/AVSPAM防护统一VPN接入系统,企业网络安全接入控制,LAN/WLAN/VPN的接入控制评估终端的安全防护状态控制终端接入的安全策略,主动终端防护系统,主动适应型终端防护,确保终端访问互联网时的安全，抵御互联网蠕虫以及网页木马病毒的攻击企业安全策略控制,防止内部用户的恶意行为终端与网络入侵防护及监控系统的联动,互联网边界安全控制,应用级别的安全防护：

下一代防火墙防火墙入侵防护系统内容级别的安全防护：

IronportWeb/AVSPAM防护统一VPN接入系统：

IPSec/SSLVPN,严密的边界防护,南京中华门城堡纵深防御体系的典型,纵深化的安全架构是系统稳固的基础,主机接入,CIP路由器,ESCONDirector,CouplingFacility,快速以太网或令牌环交换机,DLSW+路由器,IBM主机,ESCON/FICON,Cisco7507,Catalyst6509Catalyst5509,Cisco7507,FC,交换核心,Catalyst6513,SNA/IP网关,IP业务服务器,SNAswDLSW,业务服务器群,Catalyst6513,开发测试网区域,Cisco5350/Cisco5400,外围网关,IPPBX,IP自动语音应答,客户关系管理数据库,应用网关,CTI服务器,AW管理工作站,传真系统,IP录音系统,普通业务咨询,专长理财,n*E1,客户,专职业务代表,语音接入,PSTN,VoIP网关,ICM,PG,IPIVR,CTI,客服中心核心系统,Catalyst6509,外联网区域,PIX535,Catalyst4000,CiscoIDS,PIX535,Cisco7200,拨号访问服务器Cisco3600,Cisco7200,DNS,应用服务器,CiscoIDS4-7层分析,CiscoIDS4-7层分析,WEB协同服务器,电子邮件服务器,内容交换机CSS11500,电子邮件管理服务器,PIX535,GSS全局网站定位器,GSS全局网站定位器,CiscoWorks2000,IDS管理,CiscoInfoServer,VPNSolutionCenter,CICReporter,运行管理网络区域,网元管理,事件管理中心,事件统计汇报,SNA管理,安全管理,话音管理,广域接入网区域,Catalyst6513,Catalyst4500Catalyst3550,服务器群（均衡负载）,VoIP关守,HSRP,CDM4650,CE560/CE590,无线以太网访问点,E-LearningLMS服务器,WEB服务器,其它服务器,IP/TV内容管理器,Cisco3660,VoIP网关,AS5350,MCS,办公网络区域,内容分发管理器CDM,内容路由器CR,互联网连接区域,访问管理控制服务器,外层防火墙,DNS服务器,InternetISPA,内层防火墙,邮件服务器,邮件网关（防毒）,CiscoVPN集中器,CiscoIDS4-7层分析,AAA认证服务器,外网交换机,Cisco7200,拨号访问服务器Cisco3600,PSTN,Cisco7200,PIX535,PIX535,Catalyst4507,InternetISPB,Catalyst6509Catalyst4500,客户服务中心区域,生产/应用区域,分公司,合作伙伴,分公司,专门的防火墙硬件支持250个虚拟防火墙高达5Gbps/模块的吞吐能力每机箱4个模块支持2000个逻辑网络接口提供Layer-2透明防火墙功能,互联网,Catalyst6500/7600,A,FWSM,B,C,VFW,VFW,VFW,MSFC,业务虚网,利用高性能防火墙模块构架多层次的安全域,安全问题:

企业内部应用和外部应用在同一个网络上运行，不同部门之间连接在同一个网络上，需要安全隔离，又担心性能瓶颈方案:

采用集成于交换机的高性能防火墙模块,办公虚网,客人虚网,CiscoASA5500综合安全防护产品,FirewallTechnologyCiscoPIX,IPSTechnologyCiscoIPS,ContentSecurityTrendMicro,VPNTechnologyCiscoVPN3000,NetworkIntelligenceCiscoNetworkServices,AppInspection,UseEnforcement,WebControlApplicationSecurity,Malware/ContentDefense,AnomalyDetectionIPS&

Anti-XDefenses,Traffic/AdmissionControl,ProactiveResponseNetworkContainmentandControl,SecureConnectivityIPSec&

SSLVPN,Market-ProvenTechnologies,AdaptiveThreatDefense,SecureConnectivity,CiscoASA5500提供内容级别的安全防护,THREATTYPES,PROTECTION,Viruses,Spyware,Malware,Phishing,Spam,InappropriateURLs,IdentityTheft,OffensiveContent,UnauthorizedAccess,Intrusions&

Attacks,InsecureComms.,NEWAnti-XServiceExtensions,Resource&

InformationAccessProtectionHackerProtectionClientProtectionDDoSProtectionProtectedEmailCommunicationProtectedWebBrowsingProtectedFileExchangeUnwantedVisitorControlAudit&

RegulatoryAssistanceNon-workRelatedWebSitesIdentityProtection,GranularPolicyControls,ComprehensiveMalwareProtection,AdvancedContentFiltering,IntegratedMessageSecurity,EasytoUse,ASA5500withCSC-SSM,Internet,内部用户,FireWall,Port80,Web服务,Web应用,IM流量,多媒体,互联网访问,43%,43%,55%,43%,98%,采用应用级防火墙进行深入的攻击防护,“75%针对Web服务器的攻击是基于应用层，而不是网络层次,80HTTP,JohnPescatore,VPandResearchDirector,Gartner,June2002.,Source:

Aug2002InfoWorld/NetworkComputingsurveyofITProfessionals,64%的企业用户在防火墙上开放80端口，用于满足其内部基于Web的各类应用服务流量的需要,基于网络行为特征的攻击判别,Internet,InternalZone2,InternalZone3,利用AD（Anomalydetectionalgorithms）检测并阻止零日攻击（Day-Zero）自动学习网络流量特征,Teleworker,BranchOffice,InternetEdge,ASA5550,ASA5500的产品一览,ASA5580-20,ASA5580-40,ASA5505,集成化的安全平台符合下一代防火墙标准的硬件架构标准统一的安全管理界面符合业界高标准的安全认证还有更多,DataCenter,ASA5540,ASA5520,ASA5510,CiscoASA5500Platforms,CampusSegmentation,CiscoConfidentialNDAUseOnly,为什么要升级到ASA5500？

更加灵活的部署方式：

ASA5500可以按照防火墙、入侵防护、VPN以及内容安全等不同方式进行部署更加低廉的部署以及维护成本：

因为ASA5500包括了多种安全防护技术，以统一的平台完成更多的防护任务更加先进的设计架构：

将思科传统的安全产品，包括PIX500、IDS4200、VPN3000集成于一个全新的多CPU、多总线的硬件架构，在确保系统的稳定基础上提升整体的性能指标更加强大的防火墙以及VPN性能：

相对传统的PIX产品而言，ASA5500的防火墙与VPN性能更加优化硬件实现的入侵防护以及内容安全功能，在启动多重防护体系时确保系统性能不受影响,下一代防火墙ASA5500的优势体现,下一代防火墙必须同时高性能地处理应用级别的防火墙以及入侵检测防护功能下一代防火墙必须在硬件架构中考虑未来安全防护需求的扩展能力，采用多核CPU以及多总线的处理模式，兼顾性能与功能的需求,CiscoASA5520,Vendor“A”,Vendor“B”,Vendor“C”,FirewallPerformance（Mbps）withAllAttack/VirusSignaturesEnabled,16-KbyteHTTPObjectSize,ConnectionsperSecondPerformance,CiscoASA5520,Vendor“A”,Vendor“B”,Vendor“C”,Source:

Miercom,October2005UTMProductComparison,如何发挥ASA5500的安全防护效能？

CorporateNetwork,远程分支机构本地互联网访问,数据中心,Extranet:

商业合作伙伴接入,远程VPN接入,DMZ:

对外互联网服务,内部LAN接入,普通终端的互联网访问,WLAN接入,InternalSegmentation,怎么定位不同的ASA5500产品？

互联网接入：

ASA5510/5520/5540FW/IPS版本VPN接入：

ASA55x0FW或VPN版本内部WLAN接入：

ASA5510/5520/5540IPS版本远程分支机构接入：

ASA55x0FW或CSC版本内部应用系统防护：

ASA55x0IPS或5550/5580FW版本,互联网边界安全控制,应用级别的安全防护：

IPSec/SSLVPN,IronPort：

企业级内容安全产品,Internet,C-SeriesEMAIL安全网关,S-SeriesWEB安全网关,M-Series安全管理设备,IronPortSenderBase,IRONPORT基于消息的安全解决方案,IRONPORTSERVICES,Sender-BaseReputationalFiltering,IRONPORTPLATFORMS,Anti-Spam,VirusOutbreakFiltering,ContentFiltering,C-SeriesEmailSecurityAppliance,S-SeriesWebSecurityAppliance,PARTNERSERVICES,Anti-Virus,Anti-Spyware,URLFiltering,InstantMessaging&

Peer-to-PeerControl,DataLeakage,Encryption,互联网边界安全控制,应用级别的安全防护：

IPSec/SSLVPN,使用统一VPN接入系统满足各种客户需求,PublicInternet,ASA5500VPNEdition,网页定制化的SSLVPN接入,网页定制化SSLVPN接入,隧道模式的SSL或IPSecVPNLAN接入,商业合作伙伴的VPN接入,Requires“locked-down”accesstospecificextranetresourcesandapplications,出差员工的远程接入服务,Remoteaccessusersrequireseamless,easytouse,accesstocorporatenetworkresources,第三方平台临时接入服务,Remoteusersmayrequirelightweightaccesstoe-mailandweb-basedapplicationsfromapublicmachine,远程分支机构以及SOHU型用户的LAN接入,DayextendersandmobileemployeesrequireconsistentLAN-like,full-networkaccess,tocorporateresourcesandapplications,隧道模式的SSL或IPSecVPN客户端接入,隧道模式VPN接入:

IPSecandSSLVPN,CustomizableaccessandstreamlinedmanagementcomprehensiveIPSecandSSLVPNsolutionsononeplatformEaseofadministrationdynamicallydownloadableSSLVPNclientiscentrallyconfiguredandeasytoupdateFastinitiationandoperationmultipledeliverymethodsandsmalldownloadsizeensuresbroadcompatibilityandrapiddownload,ASA5500,WEB模式:

ClientlessAccess,Fullyclientlessweb-basednetworkaccessallowsanywhereaccesstonetworkresourcesWebcontenttransformationprovidesexcellentcompatibilitywithwebpagescontainingJava,ActiveX,complexHTMLandJavaScriptMultiplebrowsersupportensuresbroadconnectioncompatibilityUniformandefficientapplicationdeliveryviafullyclientlessCitrixsupportCustomizableuserportalforeaseofuseandenhanceduserexperience,ASA5500,思科AnyConnect客户端支持各种平台的接入,NextgenerationVPNclient,availableonmanyplatformsincluding:

WindowsVista32-and64-bitt,WindowsXP32-and64-bit,andWindows2000MacOSX10.4（IntelandPPC）Intel-basedLinuxWindowsMobile5PocketPCEditionStand-alone,WebLaunch,andPortalConnectionModesStartbeforeLogin（SBL）andDTLSsupportWindows2000andXPonly,CiscoSecureDesktop:

针对SSLVPN的虚拟安全平台,ComprehensiveSessionProtection:

DatasandboxandencryptionprotectseveryaspectofsessionMalwaredetectionwithhookstoMicrosoftfreeanti-spywaresoftware,Post-SessionClean-Up:

Encryptedpartitionoverwrite（notjustdeletion）usingDoDalgorithmCache,historyandcookieoverwriteFiledownloadandemailattachmentoverwriteAuto-completepasswordoverwrite,CompletePre-ConnectAssessment:

Locationassessmentmanagedorunmanageddesktop?

SecuritypostureassessmentAVoperational/up-to-date,personalfirewalloperational,malwarepresent?

WorkswithDesktopGuestPermissionsNoAdminPrivilegesRequired,BusinessPartnerAccess,ExtranetConnections,企业网络,互联网,远程接入系统,远程分支机构,数据中心,管理网段,内部局域网,InternetConnections,企业互联网的业务安全,互联网边界安全控制,应用级别的安全防护防火墙入侵防护系统内容级别的安全防护Web/AVSPAM防护统一VPN接入系统,企业网络安全接入控制,LAN/WLAN/VPN的接入控制评估终端的安全防护状态控制终端接入的安全策略,主动终端防护系统,主动适应型终端防护,确保终端访问互联网时的安全，抵御互联网蠕虫以及网页木马病毒的攻击企业安全策略控制,防止内部用户的恶意行为终端与网络入侵防护及监控系统的联动,主动终端防护系统CiscoSecurityAgent,主动适应型终端防护,确保终端访问互联网时的安全，抵御互联网蠕虫以及网页木马病毒的攻击企业安全策略控制,防止内部用户的恶意行为终端与网络入侵防护及监控系统的联动,新一代的主机安全解决方案服务器和桌面系统的威胁防范机制在恶意行为之前识别和防止独特的行为检测手段分析已知或未知威胁防范:

MydoomW32.BlasterFizzerBugbearSobig.ESQLSlammerSircam.ACodeRedNimdaW32.Netsky更多,不需要签名更新!

Cisco安全代理,CSA逻辑结构,集中式安全管理器,SNMPTraps,客户程序,本地文件,策略/更新,报警,基于浏览器的管理界面,配置,报告，事件,桌面代理,桌面代理,桌面代理,服务器代理,服务器代理,恶意代码的共性-攻击流程分析,地址探测端口扫描密码猜测邮件用户猜测,恶意邮件缓冲区溢出恶意ActiveX控件自动软件安装利用已有后门,创建新文件修改已有文件修改注册表安装新的网络服务建立系统后门,邮件传播Web传播IRC传播FTP传播文件传播,删除文件修改文件使计算机瘫痪拒绝服务,攻击准备,攻击实施,攻击后续,August2005，Zotob蠕虫爆发从微软公布漏洞到病毒爆发只有短短5天的时间思科内部IT紧急发布Patch，但是仍有大约18000台终端没有进行更新升级，在此期间全部依赖CSA完成终端的防护在整个事件中，全球58000台IT管理的桌面终端中，仅有319位用户受到影响，其原因在于关闭了CSA的防护功能或者是采取了错误操作这319名员工的系统在2天内得到了全面的恢复,Cisco安全代理思科实际案例分析,利用CSA防止终端用户的数据泄漏,限制移动介质的数据复制USB,floppydisk,CDBurner限制通过非授权接口的进行数据传送Modem,Bluetooth,IRDA限制通过webmail,p2p或IM发送关键数据限制系统的cut&

pasteclipboard误操作,EMAILSecurityAppliance,WEBSecurityAppliance,企业级别的安全内容识别与数据保护,终端与网络IPS的联合防御系统,1.Hacker尝试攻击内部主机,2.CSA向管理中心汇报攻击的特征情况,4.CSA管理中心与网络入侵防护系统沟通相关Hacker的入侵特征，利用网络IPS进行攻击阻断,3.管理中心调整每个安全终端的防护策略，阻止Hacker的进一步攻击,NetworkScanner,A,WindowsServer,LinuxServer,NotVulnerableFilterEvent,VulnerableIncreaseRiskRating,Event/ActionFilteringMonitoringConsole:

Non-relevanteventsfiltered,AttackerinitiatesIISattackdestinedforservers,ContextualinformationonattacktargetusedtorefinesecurityresponseContextualinformationgatheredthrough:

PassiveOSfingerprintingStaticOSmappingforexceptionhandlingDynamicRiskRatingadjustmentbasedona