思科智能安全解決方案

Cisco下一代智能安全

Cisco下一代智能安全

議程Cisco打造端到端的智能安全核心技術(shù)與方向新的安全模型Cisco下一代安全平臺(tái)為用戶提供安全保障下一代安全技術(shù)介紹園區(qū)網(wǎng)安全設(shè)計(jì)數(shù)據(jù)中心安全設(shè)計(jì)議程新一代的業(yè)務(wù)，面臨新的安全挑戰(zhàn)業(yè)務(wù)模型在發(fā)生改變我們需要保護(hù)最新的業(yè)務(wù)和平臺(tái)動(dòng)態(tài)的零日威脅我們的信息時(shí)刻存在風(fēng)險(xiǎn)復(fù)雜/碎片型的安全解決方案無法實(shí)現(xiàn)統(tǒng)一的整合新一代的業(yè)務(wù)，面臨新的安全挑戰(zhàn)業(yè)務(wù)模型在發(fā)生改變動(dòng)態(tài)的零日威與網(wǎng)絡(luò)設(shè)備集成,

情景感知自動(dòng)化提供安全防護(hù)的準(zhǔn)確依據(jù)高級(jí)威脅防御云安全智能減少惡意威脅造成的損失靈活開放平臺(tái),

可擴(kuò)展，全面控制與管理提供統(tǒng)一動(dòng)態(tài)的安全防護(hù)Secure

IT——打造端到端的智能安全網(wǎng)絡(luò)終端移動(dòng)虛擬化云提高可見性Visibility-Driven關(guān)注威脅Threat-Focused統(tǒng)一平臺(tái)Platform-Based與網(wǎng)絡(luò)設(shè)備集成,

情景感知高級(jí)威脅防御靈活開放平臺(tái),

可擴(kuò)展如果你不了解你的網(wǎng)絡(luò)，就無法做出準(zhǔn)確的防護(hù)Network

ServersOperating

SystemsVoIPphonesFilesNetflowRoutersand

SwitchesTimeVirtual

MachinesClient

ApplicationsUsersWeb

ApplicationsApplication

ProtocolsNetworkBehaviorMalwareCommand

andControl

ServersVulnerabilitiesMobileDevicesServicesProcesses終端信息通訊信息服務(wù)器信息ISE情景感知技術(shù)下一代防火墻技術(shù)下一代入侵防御技術(shù)提高可見性如果你不了解你的網(wǎng)絡(luò)，就無法做出準(zhǔn)確的防護(hù)Network

威脅發(fā)生整個(gè)過程的全面響應(yīng)攻擊前發(fā)現(xiàn)執(zhí)行加固攻擊后定位緩解修復(fù)檢測(cè)阻擋防御攻擊中網(wǎng)絡(luò)異常行為分析惡意軟件防護(hù)AMP準(zhǔn)入系統(tǒng)下一代防火墻功能防火墻VPN下一代入侵防御Web安全平臺(tái)Email安全平臺(tái)

vm

vm

vm云安全智能情景感知技術(shù)全面了解網(wǎng)絡(luò)定制細(xì)粒度安全策略大部分攻擊被定義的安全策略阻擋一部分騙過策略的攻擊被云智能和攻擊防御系統(tǒng)阻斷少數(shù)攻擊成功后，系統(tǒng)快速進(jìn)行攻擊定位與修復(fù)信息資產(chǎn)攻擊企圖網(wǎng)絡(luò)終端移動(dòng)虛擬化云攻擊真的成功了，怎么辦？關(guān)注威脅威脅發(fā)生整個(gè)過程的全面響應(yīng)攻擊前發(fā)現(xiàn)攻擊后定位檢測(cè)攻擊中網(wǎng)絡(luò)管理安全服務(wù)與應(yīng)用安全平臺(tái)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)統(tǒng)一平臺(tái)安全架構(gòu)CiscoSecurityApplications3RDPartyApplicationsCommonSecurityPolicy&Management一致的安全策略與管理流程安全管理APIsCiscoONE

APIs平臺(tái)

APIs云智能APIs物理平臺(tái)虛擬平臺(tái)云智能Access

ControlContextAwarenessContentInspectionApplicationVisibilityThreatPreventionDeviceAPI:OnePK?,OpenFlow,CLICiscoNetworkingOperatingSystems(Enterprise,DataCenter,ServiceProvider)Route–Switch–ComputeASICDataPlaneSoftwareDataPlaneAPIsAPIs思科安全應(yīng)用第三方安全應(yīng)用統(tǒng)一平臺(tái)管理安全服務(wù)與應(yīng)用安全平臺(tái)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)統(tǒng)一平臺(tái)安全架構(gòu)CisDirect,SecuredInterfacesSingleFramework安全開放平臺(tái)pxGrid

Context

SharingCSMPNSCOpenAppID開放接口易于定制與第三方整合信息共享聯(lián)動(dòng)Direct,SecuredInterfacesSing議程Cisco打造端到端的智能安全核心技術(shù)與方向新的安全模型Cisco下一代安全平臺(tái)為用戶提供安全保障下一代安全技術(shù)介紹園區(qū)網(wǎng)安全設(shè)計(jì)數(shù)據(jù)中心安全設(shè)計(jì)議程思科安全技術(shù)與平臺(tái)匯總攻擊前攻擊后攻擊中網(wǎng)絡(luò)異常行為分析惡意軟件防護(hù)AMP網(wǎng)絡(luò)/網(wǎng)關(guān)/終端準(zhǔn)入與認(rèn)證系統(tǒng)ISE/ACS下一代防火墻NGFW防火墻ASA/ASASM/ASAv/ISGVPNSSLVPN&IPSec下一代入侵防御FirePower/VirtualWeb安全平臺(tái)WSA/WSAvEmail安全平臺(tái)ESA/ESAv思科安全技術(shù)與平臺(tái)匯總攻擊前攻擊后攻擊中網(wǎng)絡(luò)異常行為分析惡意業(yè)界最為完整和領(lǐng)先的安全技術(shù)NACSource:Gartner(December2011)Ciscoistheleaderorchallengerforallsecuritytechnologies遠(yuǎn)程接入Source:Gartner(December2011)郵件安全Source:Gartner(August2011)WEB安全Source:Gartner(May2011)企業(yè)防火墻Source:Gartner(October2011)網(wǎng)絡(luò)準(zhǔn)入威脅防御業(yè)界最為完整的方案組合最為領(lǐng)先的安全技術(shù)多種方案的深層整合業(yè)界最為完整和領(lǐng)先的安全技術(shù)NACSource:Gartn惡意軟件防護(hù)集成于內(nèi)容安全平臺(tái)

WSA/ESASourcefire

入侵防御集成于

ASA整合

Sourcefire與ASA下一代安全服務(wù)惡意軟件防護(hù)下一代防火墻下一代入侵防御統(tǒng)一管理平臺(tái)下一代的安全服務(wù)Sourcefire整合后，Cisco將提供業(yè)界最好的下一代安全服務(wù)惡意軟件防護(hù)集成于云安全服務(wù)OpenAPPID應(yīng)用識(shí)別開放平臺(tái)ISEPxGRiD信息開放矩陣MDMASAv下一代虛擬防火墻強(qiáng)勁的安全產(chǎn)品RoadmapSourceFire最高60G下一代入侵防御Sourcefire

入侵防御集成于

Router惡意軟件防護(hù)Sourcefire

入侵防御整合Sourc核心區(qū)廣域網(wǎng)外連區(qū)辦公大樓-1接入?yún)^(qū)廣域網(wǎng)匯聚區(qū)DC區(qū)辦公大樓-2ASAASAASR/ISRCat6K/Nexus7/9KCASwitch攻擊發(fā)生之前，全面分析網(wǎng)絡(luò)，定制細(xì)粒度控制策略，減少攻擊發(fā)生可能：ASA防火墻/下一代防火墻ISE準(zhǔn)入控制CASwitchCASwitchCASwitchC6880C6880下一代園區(qū)網(wǎng)安全方案部署示例攻擊發(fā)生期間，進(jìn)行深層數(shù)據(jù)分析，對(duì)威脅進(jìn)行檢測(cè)和阻擋：Sourcefire下一代入侵防御ESA/WSA應(yīng)用網(wǎng)關(guān)攻擊發(fā)生之后，快速定位攻擊范圍，并進(jìn)行修復(fù)Sourcefire高級(jí)惡意軟件防護(hù)網(wǎng)關(guān)級(jí)別/網(wǎng)絡(luò)級(jí)別/終端級(jí)別InternetISE準(zhǔn)入控制郵件安全網(wǎng)關(guān)互聯(lián)網(wǎng)安全網(wǎng)關(guān)核心區(qū)廣域網(wǎng)外連區(qū)辦公大樓-1接入?yún)^(qū)廣域網(wǎng)匯聚區(qū)DC區(qū)辦公大安全case1：攻擊發(fā)生前，智能安全策略核心區(qū)廣域網(wǎng)外連區(qū)辦公大樓-1接入?yún)^(qū)廣域網(wǎng)匯聚區(qū)辦公大樓-2ASAASAASR/ISRCat6K/Nexus7/9KCASwitchCASwitchCASwitchCASwitchC6880C6880InternetISE準(zhǔn)入控制用戶使用自帶的移動(dòng)終端連接公司網(wǎng)絡(luò)用戶和設(shè)備信息傳送到ISE進(jìn)行驗(yàn)證ISE根據(jù)用戶身份/設(shè)備類型/連接位置/等信息對(duì)該終端進(jìn)行授權(quán)，如只有互聯(lián)網(wǎng)訪問權(quán)限。權(quán)限策略下放到用戶的接入設(shè)備當(dāng)中用戶使用公司筆記本電腦連接公司網(wǎng)絡(luò)用戶和設(shè)備信息傳送到ISE進(jìn)行驗(yàn)證ISE根據(jù)用戶身份/設(shè)備類型/連接位置/等信息對(duì)該終端進(jìn)行授權(quán)，如具有完全權(quán)限。權(quán)限策略下放到用戶的接入設(shè)備當(dāng)中安全case1：攻擊發(fā)生前，智能安全策略核心區(qū)廣域網(wǎng)外連區(qū)辦DefenseCenterCiscoAPICEnterpriseModule補(bǔ)救措施檢測(cè)到威脅策略更新APICCampusDataCenterCampusISEpxGrid

信息共享安全case2：攻擊發(fā)生中統(tǒng)一智能的威脅檢測(cè)與響應(yīng)網(wǎng)絡(luò)中的威脅檢測(cè)引擎Sourcefire下一代威脅防御體系，檢測(cè)到攻擊或者惡意流量的存在Sourcefire與ISE提供的情景感知信息關(guān)聯(lián)分析后，通知APIC控制器APIC基于威脅的信息，生成安全策略APIC根據(jù)威脅發(fā)生的位置，將安全策略下發(fā)到指定位置，如指定的網(wǎng)絡(luò)交換機(jī)/無線控制器/防火墻等DefenseCenterCiscoAPICEnter安全case3：攻擊發(fā)生后，定位威脅，找出源頭核心區(qū)廣域網(wǎng)外連區(qū)辦公大樓-1接入?yún)^(qū)廣域網(wǎng)匯聚區(qū)辦公大樓-2ASAASAASR/ISRCat6K/Nexus7/9KCASwitchCASwitchCASwitchCASwitchC6880C6880InternetISE準(zhǔn)入控制DefenseCenter文件傳輸軌跡用戶A在互聯(lián)網(wǎng)上下載了一個(gè)軟件由于該軟件未證明為惡意軟件，允許下載，并且標(biāo)明為unkown。文件可能繼續(xù)傳播，DenfenseCenter會(huì)記錄所有文件軌跡某一刻該文件被定位為惡意軟件根據(jù)文件軌跡，可以快速定位該文件的影響范圍和源頭利用網(wǎng)絡(luò)和終端執(zhí)行，對(duì)文件進(jìn)行刪除和阻攔。安全case3：攻擊發(fā)生后，定位威脅，找出源頭核心區(qū)廣域網(wǎng)外數(shù)據(jù)中心安全解決方案部署業(yè)務(wù)/租戶

3業(yè)務(wù)/租戶

t2業(yè)務(wù)/租戶1虛擬防火墻Endpoints

vm

vm

vm

vm

vm

vm

vm

vm

vm虛擬交換機(jī)

vm

vm

vm防火墻集群技術(shù)攻擊發(fā)生前：防火墻做出安全防護(hù)虛擬防火墻防護(hù)虛機(jī)環(huán)境攻擊發(fā)生中：NGIPS做成威脅檢測(cè)攔截虛擬IPS實(shí)現(xiàn)虛機(jī)環(huán)境下的威脅防御攻擊發(fā)生后：網(wǎng)絡(luò)級(jí)別IPS/惡意軟件防護(hù)快速實(shí)現(xiàn)攻擊定位數(shù)據(jù)中心安全解決方案部署業(yè)務(wù)/租戶3業(yè)務(wù)/租戶t2業(yè)數(shù)據(jù)中心安全case1：跨數(shù)據(jù)中心安全設(shè)備集群ASA5585平臺(tái)支持最多16臺(tái)防火墻組成集群，共同工作，可以實(shí)現(xiàn)跨數(shù)據(jù)中心的集群增強(qiáng)整體性能：8臺(tái)cluster支持高達(dá)超過300G的性能投資保護(hù)：所有的節(jié)點(diǎn)都參與流量轉(zhuǎn)發(fā)，實(shí)現(xiàn)按需擴(kuò)展簡(jiǎn)化管理，cluster中的多臺(tái)防火墻統(tǒng)一管理，統(tǒng)一配置，統(tǒng)一策略增加冗余度，各臺(tái)防火墻之間存在備份機(jī)制，無中斷升級(jí)多數(shù)據(jù)中心狀態(tài)同步，允許異步流量通過數(shù)據(jù)中心安全case1：跨數(shù)據(jù)中心安全設(shè)備集群ASA5585數(shù)據(jù)中心安全case2：虛擬化環(huán)境下如何做安全防護(hù)租戶1–VSG和ASA1000v做防護(hù)租戶2–VSG和ASAv做防護(hù)

透過vPATH實(shí)現(xiàn)安全控制ASA1000v實(shí)現(xiàn)邊界安全邊界一進(jìn)一出兩個(gè)接口VSG實(shí)現(xiàn)租戶內(nèi)部安全適合小型租戶通過vSWITCH實(shí)現(xiàn)安全控制ASAv實(shí)現(xiàn)邊界安全邊界支持兩個(gè)接口VSG實(shí)現(xiàn)租戶內(nèi)部安全適合大型租戶Sourcefire實(shí)現(xiàn)虛擬化的威脅防御VM1VM2VM3VM4VM1VM2VM3VM4VM5VM6VM7VM8VM5VM6VM7VM8Nexus1000VPort-ProfilesvPATHenabledServicesVSGVSGASA1000VusesvPATHASAvDGWVMVLAN30VLAN10數(shù)據(jù)中心安全case2：虛擬化環(huán)境下如何做安全防護(hù)租戶1–FIX-n-LEARN（修復(fù)和學(xué)習(xí)）防御檢測(cè)修復(fù)網(wǎng)絡(luò)終端移動(dòng)虛擬化云在安全建設(shè)和投資中尋找平衡點(diǎn)我們需要在安全建設(shè)和投資中尋找平衡點(diǎn)，我們可以按照下面的步驟實(shí)施安全部署：安全防護(hù)作為第一步

防火墻/準(zhǔn)入控制安全檢測(cè)可以提升防護(hù)的等級(jí)

入侵防御WEB/Email安全響應(yīng)與修復(fù)可以完善安全生命周期

流量分析

惡意軟件防護(hù)對(duì)于不同的平臺(tái)，也可以分布實(shí)施，分步控制風(fēng)險(xiǎn)FIX-n-LEARN（修復(fù)和學(xué)習(xí)）防御檢測(cè)修復(fù)網(wǎng)絡(luò)終端移ASAFeatureSetASAv去掉集群和虛擬防火墻技術(shù)物理防火墻的特性組通過虛擬化擴(kuò)展性能支持10vNICinterfaces軟件加密支持SDN和傳統(tǒng)的管理方式最大支持4vCPUsand8GBofmemory物理和虛擬防火墻統(tǒng)一管理新的平臺(tái)ASAvHypervisor

SupportASAFeatureSetASAv去掉集群和虛擬防火墻技DataSheetMetricASAv(1vCPU)ASAv(2vCPU)ASAv(3vCPU)ASAv(4vCPU)StatefulInspectionThroughput(Maximum)1Gbps1.2Gbps1.5Gbps2GbpsStatefulInspectionThroughput(Multi-Protocol)500Mbps600Mbps750Mbps1GbpsConcurrentSessions100,000250,000350,000500,000ConnectionsPerSecond10,00015,00015,00020,000PacketsPerSecond(64

Byte)450,000500,000600,000700,000VLANS50100100200Cisco?

CloudWebSecurityUsers100250250500S2SIPSecIKEv1ClientVPNUserSessions250250250750CiscoAnyConnect?

orClientlessUserSessions250250250750新的平臺(tái)ASAvDataSheetMetricASAv(1vCPU)Sourcefire產(chǎn)品線FireSIGHTDefenseCenter?FirePOWERAppliances集群與堆疊技術(shù)

DC1500DC3500PERFORMANCEDC7503D7010

50Mbps3D7020100Mbps3D7110500Mbps3D7120

1Gbps3D8130

4Gbps3D8120

2Gbps3D8140

6Gbps3D825010Gbps3D8260-20Gbps3D8270-30Gbps3D8290-40Gbps3D8390-60GbpsSSLAppliancesVirtualAppliances

3D7030250MbpsSourcefire產(chǎn)品線FireSIGHTDefensSourcefire優(yōu)勢(shì)分析業(yè)界認(rèn)可：Gartner象限的領(lǐng)先者，NSSLab評(píng)測(cè)的最優(yōu)產(chǎn)品（功能&性能）公開：基于Snort的開源架構(gòu)，大量提供API接口，Signature腳本公開，眾多愛好者全面可見性：了解網(wǎng)絡(luò)真實(shí)狀況，提供全面信息和報(bào)表特征碼眾多策略自動(dòng)化：可以基于網(wǎng)絡(luò)情況變化，自動(dòng)調(diào)整安全策略行為可追溯：提供文件網(wǎng)絡(luò)傳輸?shù)恼麄€(gè)過程性能高：吞吐率/并發(fā)連接數(shù)/每秒新建連接數(shù)Sourcefire優(yōu)勢(shì)分析業(yè)界認(rèn)可：Gartner象限的思科安全解決方案，全面保障用戶信息化進(jìn)程安全使用新技術(shù)：虛擬化技術(shù)BYOD技術(shù)遠(yuǎn)程協(xié)作技術(shù)行業(yè)合規(guī)：等級(jí)保護(hù)行業(yè)合規(guī)SOX應(yīng)對(duì)最新威脅：微軟XP停止服務(wù)最新APT攻擊零日威脅Source:NIST/OCRconferenceMay2013數(shù)據(jù)中心/云安全

Virtualization&CloudApplicationVisibility&Control應(yīng)用可見可控SecureUnifiedAccess

BYOD安全邊界威脅防御

ThreatDefense思科安全解決方案，全面保障用戶信息化進(jìn)程安全使用新技術(shù)：行業(yè)Cisco下一代智能安全

Cisco下一代智能安全

議程Cisco打造端到端的智能安全核心技術(shù)與方向新的安全模型Cisco下一代安全平臺(tái)為用戶提供安全保障下一代安全技術(shù)介紹園區(qū)網(wǎng)安全設(shè)計(jì)數(shù)據(jù)中心安全設(shè)計(jì)議程新一代的業(yè)務(wù)，面臨新的安全挑戰(zhàn)業(yè)務(wù)模型在發(fā)生改變我們需要保護(hù)最新的業(yè)務(wù)和平臺(tái)動(dòng)態(tài)的零日威脅我們的信息時(shí)刻存在風(fēng)險(xiǎn)復(fù)雜/碎片型的安全解決方案無法實(shí)現(xiàn)統(tǒng)一的整合新一代的業(yè)務(wù)，面臨新的安全挑戰(zhàn)業(yè)務(wù)模型在發(fā)生改變動(dòng)態(tài)的零日威與網(wǎng)絡(luò)設(shè)備集成,

情景感知自動(dòng)化提供安全防護(hù)的準(zhǔn)確依據(jù)高級(jí)威脅防御云安全智能減少惡意威脅造成的損失靈活開放平臺(tái),

可擴(kuò)展，全面控制與管理提供統(tǒng)一動(dòng)態(tài)的安全防護(hù)Secure

IT——打造端到端的智能安全網(wǎng)絡(luò)終端移動(dòng)虛擬化云提高可見性Visibility-Driven關(guān)注威脅Threat-Focused統(tǒng)一平臺(tái)Platform-Based與網(wǎng)絡(luò)設(shè)備集成,

情景感知高級(jí)威脅防御靈活開放平臺(tái),

可擴(kuò)展如果你不了解你的網(wǎng)絡(luò)，就無法做出準(zhǔn)確的防護(hù)Network

ServersOperating

SystemsVoIPphonesFilesNetflowRoutersand

SwitchesTimeVirtual

MachinesClient

ApplicationsUsersWeb

ApplicationsApplication

ProtocolsNetworkBehaviorMalwareCommand

andControl

ServersVulnerabilitiesMobileDevicesServicesProcesses終端信息通訊信息服務(wù)器信息ISE情景感知技術(shù)下一代防火墻技術(shù)下一代入侵防御技術(shù)提高可見性如果你不了解你的網(wǎng)絡(luò)，就無法做出準(zhǔn)確的防護(hù)Network

威脅發(fā)生整個(gè)過程的全面響應(yīng)攻擊前發(fā)現(xiàn)執(zhí)行加固攻擊后定位緩解修復(fù)檢測(cè)阻擋防御攻擊中網(wǎng)絡(luò)異常行為分析惡意軟件防護(hù)AMP準(zhǔn)入系統(tǒng)下一代防火墻功能防火墻VPN下一代入侵防御Web安全平臺(tái)Email安全平臺(tái)

vm

vm

vm云安全智能情景感知技術(shù)全面了解網(wǎng)絡(luò)定制細(xì)粒度安全策略大部分攻擊被定義的安全策略阻擋一部分騙過策略的攻擊被云智能和攻擊防御系統(tǒng)阻斷少數(shù)攻擊成功后，系統(tǒng)快速進(jìn)行攻擊定位與修復(fù)信息資產(chǎn)攻擊企圖網(wǎng)絡(luò)終端移動(dòng)虛擬化云攻擊真的成功了，怎么辦？關(guān)注威脅威脅發(fā)生整個(gè)過程的全面響應(yīng)攻擊前發(fā)現(xiàn)攻擊后定位檢測(cè)攻擊中網(wǎng)絡(luò)管理安全服務(wù)與應(yīng)用安全平臺(tái)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)統(tǒng)一平臺(tái)安全架構(gòu)CiscoSecurityApplications3RDPartyApplicationsCommonSecurityPolicy&Management一致的安全策略與管理流程安全管理APIsCiscoONE

APIs平臺(tái)

APIs云智能APIs物理平臺(tái)虛擬平臺(tái)云智能Access

ControlContextAwarenessContentInspectionApplicationVisibilityThreatPreventionDeviceAPI:OnePK?,OpenFlow,CLICiscoNetworkingOperatingSystems(Enterprise,DataCenter,ServiceProvider)Route–Switch–ComputeASICDataPlaneSoftwareDataPlaneAPIsAPIs思科安全應(yīng)用第三方安全應(yīng)用統(tǒng)一平臺(tái)管理安全服務(wù)與應(yīng)用安全平臺(tái)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)統(tǒng)一平臺(tái)安全架構(gòu)CisDirect,SecuredInterfacesSingleFramework安全開放平臺(tái)pxGrid

Context

SharingCSMPNSCOpenAppID開放接口易于定制與第三方整合信息共享聯(lián)動(dòng)Direct,SecuredInterfacesSing議程Cisco打造端到端的智能安全核心技術(shù)與方向新的安全模型Cisco下一代安全平臺(tái)為用戶提供安全保障下一代安全技術(shù)介紹園區(qū)網(wǎng)安全設(shè)計(jì)數(shù)據(jù)中心安全設(shè)計(jì)議程思科安全技術(shù)與平臺(tái)匯總攻擊前攻擊后攻擊中網(wǎng)絡(luò)異常行為分析惡意軟件防護(hù)AMP網(wǎng)絡(luò)/網(wǎng)關(guān)/終端準(zhǔn)入與認(rèn)證系統(tǒng)ISE/ACS下一代防火墻NGFW防火墻ASA/ASASM/ASAv/ISGVPNSSLVPN&IPSec下一代入侵防御FirePower/VirtualWeb安全平臺(tái)WSA/WSAvEmail安全平臺(tái)ESA/ESAv思科安全技術(shù)與平臺(tái)匯總攻擊前攻擊后攻擊中網(wǎng)絡(luò)異常行為分析惡意業(yè)界最為完整和領(lǐng)先的安全技術(shù)NACSource:Gartner(December2011)Ciscoistheleaderorchallengerforallsecuritytechnologies遠(yuǎn)程接入Source:Gartner(December2011)郵件安全Source:Gartner(August2011)WEB安全Source:Gartner(May2011)企業(yè)防火墻Source:Gartner(October2011)網(wǎng)絡(luò)準(zhǔn)入威脅防御業(yè)界最為完整的方案組合最為領(lǐng)先的安全技術(shù)多種方案的深層整合業(yè)界最為完整和領(lǐng)先的安全技術(shù)NACSource:Gartn惡意軟件防護(hù)集成于內(nèi)容安全平臺(tái)

WSA/ESASourcefire

入侵防御集成于

ASA整合

Sourcefire與ASA下一代安全服務(wù)惡意軟件防護(hù)下一代防火墻下一代入侵防御統(tǒng)一管理平臺(tái)下一代的安全服務(wù)Sourcefire整合后，Cisco將提供業(yè)界最好的下一代安全服務(wù)惡意軟件防護(hù)集成于云安全服務(wù)OpenAPPID應(yīng)用識(shí)別開放平臺(tái)ISEPxGRiD信息開放矩陣MDMASAv下一代虛擬防火墻強(qiáng)勁的安全產(chǎn)品RoadmapSourceFire最高60G下一代入侵防御Sourcefire

入侵防御集成于

Router惡意軟件防護(hù)Sourcefire

入侵防御整合Sourc核心區(qū)廣域網(wǎng)外連區(qū)辦公大樓-1接入?yún)^(qū)廣域網(wǎng)匯聚區(qū)DC區(qū)辦公大樓-2ASAASAASR/ISRCat6K/Nexus7/9KCASwitch攻擊發(fā)生之前，全面分析網(wǎng)絡(luò)，定制細(xì)粒度控制策略，減少攻擊發(fā)生可能：ASA防火墻/下一代防火墻ISE準(zhǔn)入控制CASwitchCASwitchCASwitchC6880C6880下一代園區(qū)網(wǎng)安全方案部署示例攻擊發(fā)生期間，進(jìn)行深層數(shù)據(jù)分析，對(duì)威脅進(jìn)行檢測(cè)和阻擋：Sourcefire下一代入侵防御ESA/WSA應(yīng)用網(wǎng)關(guān)攻擊發(fā)生之后，快速定位攻擊范圍，并進(jìn)行修復(fù)Sourcefire高級(jí)惡意軟件防護(hù)網(wǎng)關(guān)級(jí)別/網(wǎng)絡(luò)級(jí)別/終端級(jí)別InternetISE準(zhǔn)入控制郵件安全網(wǎng)關(guān)互聯(lián)網(wǎng)安全網(wǎng)關(guān)核心區(qū)廣域網(wǎng)外連區(qū)辦公大樓-1接入?yún)^(qū)廣域網(wǎng)匯聚區(qū)DC區(qū)辦公大安全case1：攻擊發(fā)生前，智能安全策略核心區(qū)廣域網(wǎng)外連區(qū)辦公大樓-1接入?yún)^(qū)廣域網(wǎng)匯聚區(qū)辦公大樓-2ASAASAASR/ISRCat6K/Nexus7/9KCASwitchCASwitchCASwitchCASwitchC6880C6880InternetISE準(zhǔn)入控制用戶使用自帶的移動(dòng)終端連接公司網(wǎng)絡(luò)用戶和設(shè)備信息傳送到ISE進(jìn)行驗(yàn)證ISE根據(jù)用戶身份/設(shè)備類型/連接位置/等信息對(duì)該終端進(jìn)行授權(quán)，如只有互聯(lián)網(wǎng)訪問權(quán)限。權(quán)限策略下放到用戶的接入設(shè)備當(dāng)中用戶使用公司筆記本電腦連接公司網(wǎng)絡(luò)用戶和設(shè)備信息傳送到ISE進(jìn)行驗(yàn)證ISE根據(jù)用戶身份/設(shè)備類型/連接位置/等信息對(duì)該終端進(jìn)行授權(quán)，如具有完全權(quán)限。權(quán)限策略下放到用戶的接入設(shè)備當(dāng)中安全case1：攻擊發(fā)生前，智能安全策略核心區(qū)廣域網(wǎng)外連區(qū)辦DefenseCenterCiscoAPICEnterpriseModule補(bǔ)救措施檢測(cè)到威脅策略更新APICCampusDataCenterCampusISEpxGrid

信息共享安全case2：攻擊發(fā)生中統(tǒng)一智能的威脅檢測(cè)與響應(yīng)網(wǎng)絡(luò)中的威脅檢測(cè)引擎Sourcefire下一代威脅防御體系，檢測(cè)到攻擊或者惡意流量的存在Sourcefire與ISE提供的情景感知信息關(guān)聯(lián)分析后，通知APIC控制器APIC基于威脅的信息，生成安全策略APIC根據(jù)威脅發(fā)生的位置，將安全策略下發(fā)到指定位置，如指定的網(wǎng)絡(luò)交換機(jī)/無線控制器/防火墻等DefenseCenterCiscoAPICEnter安全case3：攻擊發(fā)生后，定位威脅，找出源頭核心區(qū)廣域網(wǎng)外連區(qū)辦公大樓-1接入?yún)^(qū)廣域網(wǎng)匯聚區(qū)辦公大樓-2ASAASAASR/ISRCat6K/Nexus7/9KCASwitchCASwitchCASwitchCASwitchC6880C6880InternetISE準(zhǔn)入控制DefenseCenter文件傳輸軌跡用戶A在互聯(lián)網(wǎng)上下載了一個(gè)軟件由于該軟件未證明為惡意軟件，允許下載，并且標(biāo)明為unkown。文件可能繼續(xù)傳播，DenfenseCenter會(huì)記錄所有文件軌跡某一刻該文件被定位為惡意軟件根據(jù)文件軌跡，可以快速定位該文件的影響范圍和源頭利用網(wǎng)絡(luò)和終端執(zhí)行，對(duì)文件進(jìn)行刪除和阻攔。安全case3：攻擊發(fā)生后，定位威脅，找出源頭核心區(qū)廣域網(wǎng)外數(shù)據(jù)中心安全解決方案部署業(yè)務(wù)/租戶

3業(yè)務(wù)/租戶

t2業(yè)務(wù)/租戶1虛擬防火墻Endpoints

vm

vm

vm

vm

vm

vm

vm

vm

vm虛擬交換機(jī)

vm

vm

vm防火墻集群技術(shù)攻擊發(fā)生前：防火墻做出安全防護(hù)虛擬防火墻防護(hù)虛機(jī)環(huán)境攻擊發(fā)生中：NGIPS做成威脅檢測(cè)攔截虛擬IPS實(shí)現(xiàn)虛機(jī)環(huán)境下的威脅防御攻擊發(fā)生后：網(wǎng)絡(luò)級(jí)別IPS/惡意軟件防護(hù)快速實(shí)現(xiàn)攻擊定位數(shù)據(jù)中心安全解決方案部署業(yè)務(wù)/租戶3業(yè)務(wù)/租戶t2業(yè)數(shù)據(jù)中心安全case1：跨數(shù)據(jù)中心安全設(shè)備集群ASA5585平臺(tái)支持最多16臺(tái)防火墻組成集群，共同工作，可以實(shí)現(xiàn)跨數(shù)據(jù)中心的集群增強(qiáng)整體性能：8臺(tái)cluster支持高達(dá)超過300G的性能投資保護(hù)：所有的節(jié)點(diǎn)都參與流量轉(zhuǎn)發(fā)，實(shí)現(xiàn)按需擴(kuò)展簡(jiǎn)化管理，cluster中的多臺(tái)防火墻統(tǒng)一管理，統(tǒng)一配置，統(tǒng)一策略增加冗余度，各臺(tái)防火墻之間存在備份機(jī)制，無中斷升級(jí)多數(shù)據(jù)中心狀態(tài)同步，允許異步流量通過數(shù)據(jù)中心安全case1：跨數(shù)據(jù)中心安全設(shè)備集群ASA5585數(shù)據(jù)中心安全case2：虛擬化環(huán)境下如何做安全防護(hù)租戶1–VSG和ASA1000v做防護(hù)租戶2–VSG和ASAv做防護(hù)

透過vPATH實(shí)現(xiàn)安全控制ASA1000v實(shí)現(xiàn)邊界安全邊界一進(jìn)一出兩個(gè)接口VSG實(shí)現(xiàn)租戶內(nèi)部安全適合小型租戶通過vSWITCH實(shí)現(xiàn)安全控制ASAv實(shí)現(xiàn)邊界安全邊界支持兩個(gè)接口VSG實(shí)現(xiàn)租戶內(nèi)部安全適合大型租戶Sourcefire實(shí)現(xiàn)虛擬化的威脅防御VM1VM2VM3VM4VM1VM2VM3VM4VM5VM6VM7VM8VM5VM6VM7VM8Nexus1000VPort-ProfilesvPATHenabledServicesVSGVSGASA1000VusesvPATHASAvDGWVMVLAN30VLAN10數(shù)據(jù)中心安全case2：虛擬化環(huán)境下如何做安全防護(hù)租戶1–FIX-n-LEARN（修復(fù)和學(xué)習(xí)）防御檢測(cè)修復(fù)網(wǎng)絡(luò)終端移動(dòng)虛擬化云在安全建設(shè)和投資中尋找平衡點(diǎn)我們需要在安全建設(shè)和投資中尋找平衡點(diǎn)，我們可以按照下面的步驟實(shí)施安全部署：安全防護(hù)作為第一步

防火墻/準(zhǔn)入控制安全檢測(cè)可以提升防護(hù)的等級(jí)

入侵防御WEB/Email安全響應(yīng)與修復(fù)可以完善安全生命周期

流量分析

惡意軟件防護(hù)對(duì)于不同的平臺(tái)，也可以分布實(shí)施，分步控制風(fēng)險(xiǎn)FIX-n-LEARN（修復(fù)和學(xué)習(xí)）防御檢測(cè)修復(fù)網(wǎng)絡(luò)終端移ASAFeatureSetASAv去掉集群和虛擬防火墻技術(shù)物理防火墻的特性組通過虛擬化擴(kuò)展性能支持10vNICinterfaces軟件加密支持SDN和傳統(tǒng)的管理方式最大支持4vCPUsand8GBofmemory物理和虛擬防火墻統(tǒng)一管理新的平臺(tái)ASAvHypervisor

SupportASAFeatureSetASAv去掉集群和虛擬防火墻技DataSheetMetricASAv(1vCPU)ASAv(2vCPU)ASAv(3vCPU)ASAv(4vCPU)StatefulInspectionThroughput(Maximum)1Gbps1