1、Cisco Confidential 2010 Cisco and/or its affiliates.All rights reserved.1Cisco 下一代智能安全 2013 Cisco and/or its affiliates.All rights reserved.Cisco Confidential2议程pCisco打造端到端的智能安全p核心技术与方向p新的安全模型pCisco下一代安全平台为用户提供安全保障p下一代安全技术介绍p园区网安全设计p数据中心安全设计 2013 Cisco and/or its affiliates.All rights reserved.Cisco
2、 Confidential3新一代的业务,面临新的安全挑战业务模型在发生改变我们需要保护最新的业务和平台动态的零日威胁我们的信息时刻存在风险复杂/碎片型的安全解决方案无法实现统一的整合 2013 Cisco and/or its affiliates.All rights reserved.Cisco Confidential4与网络设备集成,情景感知自动化提供安全防护的准确依据高级威胁防御云安全智能减少恶意威胁造成的损失灵活开放平台,可扩展,全面控制与管理提供统一动态的安全防护Secure IT打造端到端的智能安全网络终端移动虚拟化云提高可见性提高可见性Visibility-Driven关注
3、威胁关注威胁Threat-Focused统一平台统一平台Platform-Based 2013 Cisco and/or its affiliates.All rights reserved.Cisco Confidential5如果你不了解你的网络,就无法做出准确的防护Network ServersOperating SystemsVoIPphonesFilesNetflowRouters and SwitchesTimeVirtual MachinesClient ApplicationsUsersWeb ApplicationsApplication ProtocolsNetworkBe
4、haviorMalwareCommand and Control Servers VulnerabilitiesMobileDevicesServicesProcesses提高可见性 2013 Cisco and/or its affiliates.All rights reserved.Cisco Confidential6威胁发生整个过程的全面响应发现执行加固定位缓解修复检测阻挡防御网络异常行为分析恶意软件防护AMP准入系统下一代防火墙功能防火墙VPN下一代入侵防御Web安全平台Email 安全平台 vm vm vm情景感知技术全面了解网络定制细粒度安全策略大部分攻击被定义的安全策略阻挡一
5、部分骗过策略的攻击被云智能和攻击防御系统阻断少数攻击成功后,系统快速进行攻击定位与修复网络终端移动虚拟化云攻击真的成功了,怎么办?关注威胁 2013 Cisco and/or its affiliates.All rights reserved.Cisco Confidential7统一平台安全架构Common Security Policy&ManagementAPIsAPIs统一平台 2013 Cisco and/or its affiliates.All rights reserved.Cisco Confidential8安全开放平台pxGridContextSharingCSMPNS
6、COpenAppIDn 开放接口n 易于定制n 与第三方整合n 信息共享联动 2013 Cisco and/or its affiliates.All rights reserved.Cisco Confidential9议程pCisco打造端到端的智能安全p核心技术与方向p新的安全模型pCisco下一代安全平台为用户提供安全保障p下一代安全技术介绍p园区网安全设计p数据中心安全设计 2013 Cisco and/or its affiliates.All rights reserved.Cisco Confidential10思科安全技术与平台汇总网络异常行为分析恶意软件防护AMP网络/网关
7、/终端准入与认证系统ISE/ACS下一代防火墙NGFW防火墙ASA/ASASM/ASAv/ISGVPNSSLVPN&IPSec下一代入侵防御FirePower/VirtualWeb安全平台WSA/WSAvEmail 安全平台ESA/ESAv 2013 Cisco and/or its affiliates.All rights reserved.Cisco Confidential11业界最为完整和领先的安全技术NACSource:Gartner(December 2011)Cisco is the leader or challenger for all security technolog
8、ies远远程接入程接入Source:Gartner(December 2011)邮邮件安全件安全Source:Gartner(August 2011)WEB安全安全Source:Gartner(May 2011)企企业业防火防火墙墙Source:Gartner(October 2011)网网络络准入准入威威胁胁防御防御n 业界最为完整的方案组合n 最为领先的安全技术n 多种方案的深层整合 2013 Cisco and/or its affiliates.All rights reserved.Cisco Confidential12Sourcefire 整合后,Cisco将提供业界最好的下一代
9、安全服务 2013 Cisco and/or its affiliates.All rights reserved.Cisco Confidential13核心区广域网外连区办公大楼-1接入区广域网汇聚区DC区办公大楼-2ASAASAASR/ISRCat6K/Nexus7/9KSiSiSiSiCA Switch攻击发生之前,全面分析网络,定制细粒度控制策略,减少攻击发生可能:ASA防火墙/下一代防火墙 ISE准入控制SiSiSiSiSiSiSiSiSiSiSiSiCA SwitchCA SwitchCA SwitchC6880C6880下一代园区网安全方案部署示例攻击发生期间,进行深层数据分析
10、,对威胁进行检测和阻挡:Sourcefire下一代入侵防御 ESA/WSA 应用网关攻击发生之后,快速定位攻击范围,并进行修复 Sourcefire高级恶意软件防护 网关级别/网络级别/终端级别InternetISE准入控制邮件安全网关邮件安全网关互联网安全网关互联网安全网关 2013 Cisco and/or its affiliates.All rights reserved.Cisco Confidential14安全case1:攻击发生前,智能安全策略核心区广域网外连区办公大楼-1接入区广域网汇聚区办公大楼-2ASAASAASR/ISRCat6K/Nexus7/9KSiSiSiSiCA
11、 SwitchSiSiSiSiSiSiSiSiSiSiSiSiCA SwitchCA SwitchCA SwitchC6880C6880InternetISE准入控制 用户使用自带的移动终端连接公司网络 用户和设备信息传送到ISE进行验证 ISE根据用户身份/设备类型/连接位置/等信息对该终端进行授权,如只有互联网访问权限。权限策略下放到用户的接入设备当中 用户使用公司笔记本电脑连接公司网络 用户和设备信息传送到ISE进行验证 ISE根据用户身份/设备类型/连接位置/等信息对该终端进行授权,如具有完全权限。权限策略下放到用户的接入设备当中 2013 Cisco and/or its affil
12、iates.All rights reserved.Cisco Confidential15Defense Center补救措施检测到威胁策略更新CampusData CenterCampusISEpxGrid信息共享信息共享安全case2:攻击发生中统一智能的威胁检测与响应 网络中的威胁检测引擎Sourcefire下一代威胁防御体系,检测到攻击或者恶意流量的存在 Sourcefire与ISE提供的情景感知信息关联分析后,通知APIC控制器 APIC基于威胁的信息,生成安全策略 APIC根据威胁发生的位置,将安全策略下发到指定位置,如指定的网络交换机/无线控制器/防火墙等 2013 Cisco
13、 and/or its affiliates.All rights reserved.Cisco Confidential16安全case3:攻击发生后,定位威胁,找出源头核心区广域网外连区办公大楼-1接入区广域网汇聚区办公大楼-2ASAASAASR/ISRCat6K/Nexus7/9KSiSiSiSiCA SwitchSiSiSiSiSiSiSiSiSiSiSiSiCA SwitchCA SwitchCA SwitchC6880C6880InternetISE准入控制Defense Center文件传输轨迹文件传输轨迹 用户A在互联网上下载了一个软件 由于该软件未证明为恶意软件,允许下载,并
14、且标明为unkown。文件可能继续传播,Denfense Center会记录所有文件轨迹 某一刻该文件被定位为恶意软件 根据文件轨迹,可以快速定位该文件的影响范围和源头 利用网络和终端执行,对文件进行删除和阻拦。2013 Cisco and/or its affiliates.All rights reserved.Cisco Confidential17数据中心安全解决方案部署业务业务/租租户户 3业务业务/租租户户 t 2业务业务/租租户户 1虚虚拟拟防火防火墙墙Endpoints vm vm vm vm vm vm vm vm vm虚拟交换机 vm vm vm防火防火墙墙集群技集群技术术
15、攻攻击发击发生前:生前:防火防火墙墙做出安全做出安全防防护护虚虚拟拟防火防火墙墙防防护护虚机虚机环环境境攻攻击发击发生中:生中:NGIPS做成威做成威胁检测拦胁检测拦截截虚虚拟拟IPS实现实现虚机虚机环环境下境下的威的威胁胁防御防御攻攻击发击发生后:生后:网网络级别络级别IPS/恶恶意意软软件防件防护护快速快速实现实现攻攻击击定位定位 2013 思科和/或其附属公司。版权所有。思科机密18数据中心安全case1:跨数据中心安全设备集群ASA5585平台支持最多平台支持最多16台防台防火火墙组墙组成集群,共同工作,可以成集群,共同工作,可以实现实现跨数据中心的集群跨数据中心的集群p 增增强强整体
16、性能:整体性能:8台台cluster支持高达超支持高达超过过300G的的p 性能投性能投资资保保护护:所有的:所有的节节点点都参与流量都参与流量转发转发,实现实现按需按需扩扩展展p 简简化管理,化管理,cluster中的多台中的多台防火防火墙统墙统一管理,一管理,统统一配置,一配置,统统一策略一策略p 增加冗余度,各台防火增加冗余度,各台防火墙墙之之间间存在存在备备份机制,无中断升份机制,无中断升级级p 多多数据中心状数据中心状态态同步同步,允允许许异步流量通异步流量通过过 2013 思科和/或其附属公司。版权所有。思科机密19数据中心安全case2:虚拟化环境下如何做安全防护租户租户1 VS
17、G 和和ASA1000v做防护做防护租户租户2 VSG 和和 ASAv做防护做防护 透过透过vPATH实现安全控制实现安全控制ASA1000v实现边界安全实现边界安全边界一进一出两个接口边界一进一出两个接口VSG实现租户内部安全实现租户内部安全适合小型租户适合小型租户通过通过vSWITCH实现安全控制实现安全控制ASAv实现边界安全实现边界安全边界支持两边界支持两个接口个接口VSG实现租户内部安全实现租户内部安全适合大型租户适合大型租户Sourcefire实现虚拟化的威胁防御实现虚拟化的威胁防御VM 1VM 2VM 3VM 4VM 1VM 2VM 3VM 4VM 5VM 6VM 7VM 8VM
18、 5VM 6VM 7VM 8Nexus 1000V Port-ProfilesvPATH enabled ServicesVSGVSGASA1000V uses vPATHASAv DGW VMVLAN 30VLAN 10 2013 思科和/或其附属公司。版权所有。思科机密20FIX-n-LEARN(修复和学习修复和学习)防御检测修复 网络终端移动虚拟化云我们需要在安全建设和投资中寻找平衡点,我们可以按照下面的步骤实施安全部署:安全防护作为第一步 防火墙/准入控制安全检测可以提升防护的等级 入侵防御 WEB/Email安全响应与修复可以完善安全生命周期 流量分析 恶意软件防护对于不同的平台,也
19、可以分布实施,分步控制风险 2013 Cisco and/or its affiliates.All rights reserved.Cisco Confidential21去掉集群和虚拟防火墙技术HypervisorSupport 2013 Cisco and/or its affiliates.All rights reserved.Cisco Confidential22Stateful Inspection Throughput(Maximum)1 Gbps1.2 Gbps1.5 Gbps2 GbpsStateful Inspection Throughput(Multi-Protoc
20、ol)500 Mbps600 Mbps750 Mbps1 GbpsConcurrent Sessions100,000250,000350,000500,000Connections Per Second10,00015,00015,00020,000Packets Per Second(64 Byte)450,000500,000600,000700,000VLANS50100100200Cisco Cloud Web Security Users100250250500S2S IPSec IKEv1 Client VPN User Sessions250250250750Cisco Any
21、Connect or Clientless User Sessions250250250750FireSIGHT Defense CenterFirePOWER Appliances集群与堆叠技集群与堆叠技术术 DC1500DC3500PERFORMANCEDC7503D701050 Mbps3D7020 100 Mbps3D7110 500 Mbps3D71201 Gbps3D81304 Gbps3D81202 Gbps3D8140 6 Gbps3D8250 10 Gbps3D8260-20Gbps3D8270-30Gbps3D8290-40Gbps3D8390-60GbpsSSL Appl
22、iances Virtual Appliances3D7030 250 Mbps 2013 Cisco and/or its affiliates.All rights reserved.Cisco Confidential24 业界认可业界认可:Gartner象限的领先者,NSSLab评测的最优产品(功能&性能)公开公开:基于Snort的开源架构,大量提供API接口,Signature脚本公开,众多爱好者 全面可见性全面可见性:了解网络真实状况,提供全面信息和报表 特征码众多特征码众多 策略自动化策略自动化:可以基于网络情况变化,自动调整安全策略 行为可追溯行为可追溯:提供文件网络传输的整个
23、过程 性能高性能高:吞吐率/并发连接数/每秒新建连接数 2013 思科和/或其附属公司。版权所有。思科机密25思科安全解决方案,全面保障用户信息化进程安全使用新技术:安全使用新技术:虚拟化技术BYOD技术远程协作技术行业合规:行业合规:等级保护行业合规SOX应对最新威胁:应对最新威胁:微软XP停止服务最新APT攻击零日威胁Source:NIST/OCR conference May 2013数据中心/云安全 Virtualization&CloudApplication Visibility&Control应用可见可控Secure Unified AccessBYOD安全边界威胁防御 Threat Defense
