思科自防御安全解決方案綜述

上傳人：黃*** IP屬地：江蘇上傳時間：2014-10-29 格式：PPT 頁數(shù)：105 大小：4.09MB 積分：7.2 舉報(bào) 版權(quán)申訴

已閱讀5頁，還剩100頁未讀，繼續(xù)免費(fèi)閱讀

版權(quán)說明：本文檔由用戶提供并上傳，收益歸屬內(nèi)容提供方，若內(nèi)容存在侵權(quán)，請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

2006 Cisco Sy stems, Inc. All rights reserv ed. Cisco Conf idential Presentation_ID 1 思科安全解決方案綜述 Version: 20070113 Shen Qi 2014/10/29 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 2 Cisco Confidential /webmoney 內(nèi)容安排我們需要改變安全銷售的觀念 ? 目前客戶的安全需求重點(diǎn)是什么 ? 面向客戶需求的安全主題銷售方案如何把握安全銷售項(xiàng)目的規(guī)模與節(jié)奏 ? 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 3 Cisco Confidential /webmoney 我們需要改變安全銷售的觀念以產(chǎn)品為中心的方式以需求為中心的方式客戶自己發(fā)現(xiàn)問題，提出需求，我們銷售特定產(chǎn)品挖掘用戶需求，整合自身產(chǎn)品提出行業(yè)定制化的解決方案客戶需要什么我們做什么 , 沒有話語權(quán)，比較被動針對用戶特定階段的特定需求，分步驟引導(dǎo)用戶的項(xiàng)目很難把握項(xiàng)目的規(guī)模與走向，競爭激烈主動把握項(xiàng)目的規(guī)模與進(jìn)展，為競爭對手設(shè)置障礙單個項(xiàng)目的安全份額比較小，特定情況下需要平衡客戶的內(nèi)部關(guān)系提升單一客戶項(xiàng)目的安全份額，解決用戶的 Burning Issue 困惑在于產(chǎn)品太多，不知道怎么去賣 , 很難做到方案級別的銷售規(guī)模以方案為主體，弱化單一產(chǎn)品的指標(biāo) , 強(qiáng)化 Reference的作用 2006 Cisco Sy stems, Inc. All rights reserv ed. Cisco Conf idential Presentation_ID 4 完美的安全防御包括什么 ? 嚴(yán)密的邊界防護(hù) 強(qiáng)大的內(nèi)部控制靈活的統(tǒng)一指揮 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 5 Cisco Confidential /webmoney 知己知彼 , 百戰(zhàn)不殆嚴(yán)密的邊界防護(hù) : 應(yīng)用防火墻 , 入侵檢測與防護(hù) , 內(nèi)容安全以及 VPN接入縱深化的概念 : 安全域 FWM 強(qiáng)大的內(nèi)部控制 : 用戶身份與系統(tǒng)安全的控制 AAA/NAC 終端的防護(hù)與安全策略控制 - CSA 靈活的統(tǒng)一指揮 : 基于全局的定位 : MARS 快速有效的響應(yīng) : CSM/MARS 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 6 Cisco Confidential /webmoney 內(nèi)容安排我們需要改變安全銷售的觀念 ? 目前客戶的安全需求重點(diǎn)是什么 ? 面向客戶需求的安全主題銷售方案如何把握安全銷售項(xiàng)目的規(guī)模與節(jié)奏 ? 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 7 Cisco Confidential /webmoney 互聯(lián)網(wǎng) 局域網(wǎng) 無線接入數(shù)據(jù)中心遠(yuǎn)程機(jī)構(gòu) 企業(yè)園區(qū) 我們需要抓住客戶的安全需求 DMZ 安全攻擊入侵的防護(hù) 利用 IPS以及 CSA進(jìn)行網(wǎng)絡(luò)與主機(jī)的安全防護(hù) 關(guān)鍵應(yīng)用系統(tǒng)的防護(hù) 利用防火墻，入侵防護(hù)以及認(rèn)證授權(quán)系統(tǒng)完成關(guān)鍵應(yīng)用系統(tǒng)的防護(hù)與控制企業(yè)互聯(lián)網(wǎng)的業(yè)務(wù)安全利用 ASA, Ironport, VPN, CSA以及 NAC技術(shù)保證終端用戶以及網(wǎng)絡(luò)系統(tǒng)在接入互聯(lián)網(wǎng)的安全安全事件監(jiān)控與日常維護(hù) 利用 CS-MARS以及 CS-Manager進(jìn)行系統(tǒng)級的策略操作以及威脅監(jiān)控響應(yīng) 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 8 Cisco Confidential /webmoney 內(nèi)容安排我們需要改變安全銷售的觀念 ? 目前客戶的安全需求重點(diǎn)是什么 ? 面向客戶需求的安全主題銷售方案如何把握安全銷售項(xiàng)目的規(guī)模與節(jié)奏 ? 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 9 Cisco Confidential /webmoney 面向客戶需求的安全主題銷售方案企業(yè)互聯(lián)網(wǎng)的業(yè)務(wù)安全關(guān)鍵應(yīng)用系統(tǒng)的防護(hù) 網(wǎng)絡(luò)入侵防護(hù)、監(jiān)控與響應(yīng)系統(tǒng) 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 10 Cisco Confidential /webmoney Business Partner Access Extranet Connections 企業(yè)網(wǎng)絡(luò) 互聯(lián)網(wǎng) 遠(yuǎn)程接入系統(tǒng) 遠(yuǎn)程分支機(jī)構(gòu) 數(shù)據(jù)中心管理網(wǎng)段內(nèi)部局域網(wǎng) Internet Connections 企業(yè)互聯(lián)網(wǎng)的業(yè)務(wù)安全 STOP GO STOP GO GO STOP GO 互聯(lián)網(wǎng)邊界安全控制應(yīng)用級別的安全防護(hù) 防火墻入侵防護(hù)系統(tǒng) 內(nèi)容級別的安全防護(hù) Web/AV SPAM防護(hù) 統(tǒng)一 VPN接入系統(tǒng) 企業(yè)網(wǎng)絡(luò)安全接入控制 LAN/WLAN/VPN的接入控制評估終端的安全防護(hù)狀態(tài) 控制終端接入的安全策略主動終端防護(hù)系統(tǒng) 主動適應(yīng)型終端防護(hù) , 確保終端訪問互聯(lián)網(wǎng)時的安全，抵御互聯(lián)網(wǎng)蠕蟲以及網(wǎng)頁木馬病毒的攻擊企業(yè)安全策略控制 , 防止內(nèi)部用戶的惡意行為終端與網(wǎng)絡(luò)入侵防護(hù)及監(jiān)控系統(tǒng)的聯(lián)動 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 11 Cisco Confidential /webmoney 互聯(lián)網(wǎng)邊界安全控制應(yīng)用級別的安全防護(hù)：下一代防火墻防火墻入侵防護(hù)系統(tǒng) 內(nèi)容級別的安全防護(hù)： Iron port Web/AV SPAM防護(hù) 統(tǒng)一 VPN接入系統(tǒng)： IPSec/SSL VPN 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 12 Cisco Confidential /webmoney 嚴(yán)密的邊界防護(hù) 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 13 Cisco Confidential /webmoney 南京中華門城堡縱深防御體系的典型 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 14 Cisco Confidential /webmoney 縱深化的安全架構(gòu)是系統(tǒng)穩(wěn)固的基礎(chǔ) 主機(jī)接入 CIP路由器 ESCON Director Coupling Facility 快速以太網(wǎng)或令牌環(huán)交換機(jī) DLSW+路由器 IBM主機(jī) Ci sco7507 Catal y st6509 Catal y st5509 Ci sco7507 FC 交換核心 SiSiSiSiCatalyst6513 SNA/IP 網(wǎng)關(guān) IP業(yè)務(wù) 服務(wù)器 SNAsw DLSW 業(yè)務(wù)服務(wù)器群 Catal y st6513 開發(fā)測試網(wǎng)區(qū)域主機(jī)系統(tǒng) Ci sco 5350/Cisco5400 外圍網(wǎng)關(guān) IP PBX IP自動語音應(yīng)答客戶關(guān)系管理數(shù)據(jù)庫應(yīng)用網(wǎng)關(guān) CTI服務(wù)器 AW管理工作站傳真系統(tǒng) IP錄音系統(tǒng) 普通業(yè)務(wù)咨詢專長理財(cái) n* E1 客戶專職業(yè)務(wù)代表語音接入 VoIP 網(wǎng)關(guān) ICM PG CTI 客服中心核心系統(tǒng) Catal y st6509 外聯(lián)網(wǎng)區(qū)域 PIX535 Catal y st 4000 Ci sco IDS PIX 535 Ci sco 7200 撥號訪問服務(wù)器 Ci sco 3600 Ci sco 7200 DNS 應(yīng)用服務(wù)器 Ci sco IDS 4-7層分析 Ci sco IDS 4-7層分析 WEB協(xié)同服務(wù)器電子郵件服務(wù)器內(nèi)容交換機(jī) CSS11500 電子郵件管理服務(wù)器 PIX 535 GSS全局網(wǎng)站定位器 GSS全局網(wǎng)站定位器 CiscoWorks 2000 IDS 管理 Cisco Info Server VPN Solution Center CIC Reporter 運(yùn)行管理網(wǎng)絡(luò)區(qū)域網(wǎng)元管理事件管理中心事件統(tǒng)計(jì)匯報(bào) SNA管理安全管理話音管理廣域接入網(wǎng)區(qū)域 Catal y st 6513 Catal y st 4500 Catal y st 3550 服務(wù)器群 (均衡負(fù)載） VoIP關(guān)守 HSRP CDM4650 CE 560/CE 590 無線以太網(wǎng)訪問點(diǎn) E-Learning LMS服務(wù)器 WEB 服務(wù)器其它服務(wù)器 IP/TV 內(nèi)容管理器 Ci sco 3660 VoIP網(wǎng)關(guān) AS5350 MCS V 辦公網(wǎng)絡(luò)區(qū)域內(nèi)容分發(fā) 管理器 CDM 內(nèi)容路由器 CR 互聯(lián)網(wǎng)連接區(qū)域訪問管理控制服務(wù)器外層防火墻 DNS 服務(wù)器 Internet ISPA 內(nèi)層防火墻郵件服務(wù)器郵件網(wǎng)關(guān) (防毒 ) Cisco VPN集中器 Ci sco IDS 4-7層分析 AAA認(rèn)證服務(wù)器外網(wǎng) 交換機(jī) Ci sco 7200 撥號訪問服務(wù)器 Ci sco 3600 PSTN Ci sco 7200 PIX 535 PIX 535 Catal y st4507 Internet ISPB Catal y st 6509 Catal y st 4500 客戶服務(wù)中心區(qū)域生產(chǎn) /應(yīng)用區(qū)域分公司合作伙伴分公司安全管理中心安全認(rèn)證中心入侵監(jiān)測中心防病毒服務(wù)器邊界防火墻入侵防范安全VPN 路由器集成安全防護(hù) 邊界防火墻邊界防火墻入侵監(jiān)測防范入侵監(jiān)測防范安全交換機(jī) 網(wǎng)絡(luò)準(zhǔn)入控制路由器集成安全防護(hù) VPN安全接入垃圾郵件防護(hù) 內(nèi)容安全控制防 DDoS攻擊邊界防火墻認(rèn)證服務(wù)器入侵監(jiān)測撥號接入無線安全接入動態(tài)密碼語音安全服務(wù)器安全加固入侵監(jiān)測邊界防火墻網(wǎng)絡(luò)病毒過濾漏洞掃描網(wǎng)絡(luò)準(zhǔn)入控制終端安全防護(hù) 防 DDoS攻擊入侵監(jiān)測反向地址驗(yàn)證邊界防火墻二級防火墻二級防火墻流量監(jiān)測服務(wù)器安全加固垃圾郵件防范入侵監(jiān)測網(wǎng)絡(luò)準(zhǔn)入控制防火墻語音安全應(yīng)用安全流量監(jiān)控設(shè)備加固反向地址驗(yàn)證防火墻入侵監(jiān)測入侵監(jiān)測設(shè)備加固應(yīng)用安全保護(hù) 防 DDoS攻擊 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 15 Cisco Confidential /webmoney 專門的防火墻硬件支持 250 個虛擬防火墻高達(dá) 5Gbps/模塊的吞吐能力每機(jī)箱 4個模塊支持 2000 個邏輯網(wǎng)絡(luò)接口提供 Layer-2 透明防火墻功能互聯(lián)網(wǎng) Catalyst 6500/7600 A FW SM B C VFW VFW VFW MSFC 業(yè)務(wù)虛網(wǎng) 利用高性能防火墻模塊構(gòu)架多層次的安全域安全問題 : 企業(yè)內(nèi)部應(yīng)用和外部應(yīng)用在同一個網(wǎng)絡(luò)上運(yùn)行，不同部門之間連接在同一個網(wǎng)絡(luò)上，需要安全隔離，又擔(dān)心性能瓶頸方案 : 采用集成于交換機(jī)的高性能防火墻模塊辦公虛網(wǎng) 客人虛網(wǎng) 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 17 Cisco Confidential /webmoney Cisco ASA 5500 綜合安全防護(hù)產(chǎn)品 Firewall Technology Cisco PIX IPS Technology Cisco IPS Content Security Trend Micro VPN Technology Cisco VPN 3000 Network Intelligence Cisco Network Services App Inspection, Use Enforcement, Web Control Application Security Malware/Content Defense, Anomaly Detection IPS & Anti-X Defenses Traffic/Admission Control, Proactive Response Network Containment and Control Secure Connectivity IPSec & SSL VPN Market-Proven Technologies Adaptive Threat Defense, Secure Connectivity 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 18 Cisco Confidential /webmoney Cisco ASA 5500 提供內(nèi)容級別的安全防護(hù) THREAT TYPES PROTECTION Viruses Spyware Malware Phishing Spam Inappropriate URLs Identity Theft Offensive Content Unauthorized Access Intrusions & Attacks Insecure Comms. NEW Anti-X Service Extensions Resource & Information Access Protection Hacker Protection Client Protection DDoS Protection Protected Email Communication Protected Web Browsing Protected File Exchange Unwanted Visitor Control Audit & Regulatory Assistance Non-work Related Web Sites Identity Protection Granular Policy Controls Comprehensive Malware Protection Advanced Content Filtering Integrated Message Security Easy to Use ASA 5500 with CSC-SSM 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 19 Cisco Confidential /webmoney Internet 內(nèi)部用戶 Port 80 Web 服務(wù) Web 應(yīng)用 IM 流量多媒體互聯(lián)網(wǎng)訪問 43% 43% 55% 43% 98% 采用應(yīng)用級防火墻進(jìn)行深入的攻擊防護(hù) “ 75% 針對 Web 服務(wù)器的攻擊是基于應(yīng)用層，而不是網(wǎng)絡(luò)層次 80 HTTP John Pescatore, VP and Research Director, Gartner, June 2002. Source: Aug 2002 InfoWorld/Network Computing survey of IT Professionals 64% 的企業(yè)用戶在防火墻上開放 80端口，用于滿足其內(nèi)部基于 Web的各類應(yīng)用服務(wù)流量的需要 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 20 Cisco Confidential /webmoney 基于網(wǎng)絡(luò)行為特征的攻擊判別 Internet Internal Zone 2 Internal Zone 3 利用 AD（ Anomaly detection algorithms）檢測并阻止零日攻擊（ Day-Zero ）自動學(xué)習(xí)網(wǎng)絡(luò)流量特征 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 21 Cisco Confidential /webmoney Teleworker Branch Office Internet Edge ASA 5550 ASA5500的產(chǎn)品一覽 ASA 5580-20 ASA 5580-40 ASA 5505 集成化的安全平臺符合下一代防火墻標(biāo)準(zhǔn)的硬件架構(gòu)標(biāo)準(zhǔn) 統(tǒng)一的安全管理界面符合業(yè)界高標(biāo)準(zhǔn)的安全認(rèn)證還有更多 Data Center ASA 5540 ASA 5520 ASA 5510 Cisco ASA 5500 Platforms New New Campus Segmentation Cisco Confidential NDA Use Only 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 22 Cisco Confidential /webmoney 為什么要升級到 ASA5500？更加靈活的部署方式： ASA5500可以按照防火墻、入侵防護(hù)、 VPN以及內(nèi)容安全等不同方式進(jìn)行部署更加低廉的部署以及維護(hù)成本：因?yàn)?ASA5500包括了多種安全防護(hù)技術(shù)，以統(tǒng)一的平臺完成更多的防護(hù)任務(wù) 更加先進(jìn)的設(shè)計(jì)架構(gòu)：將思科傳統(tǒng)的安全產(chǎn)品，包括 PIX500、 IDS4200、 VPN3000集成于一個全新的多 CPU、多總線的硬件架構(gòu)，在確保系統(tǒng)的穩(wěn)定基礎(chǔ)上提升整體的性能指標(biāo) 更加強(qiáng)大的防火墻以及 VPN性能：相對傳統(tǒng)的 PIX產(chǎn)品而言，ASA5500的防火墻與 VPN性能更加優(yōu)化硬件實(shí)現(xiàn)的入侵防護(hù)以及內(nèi)容安全功能，在啟動多重防護(hù)體系時確保系統(tǒng)性能不受影響 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 23 Cisco Confidential /webmoney 05010015020025030035001000200030004000500060007000下一代防火墻 ASA5500的優(yōu)勢體現(xiàn) 下一代防火墻必須同時高性能地處理應(yīng)用級別的防火墻以及入侵檢測防護(hù) 功能下一代防火墻必須在硬件架構(gòu)中考慮未來安全防護(hù)需求的擴(kuò)展能力，采用多核 CPU以及多總線的處理模式，兼顧性能與功能的需求 Cisco ASA5520 Vendor “A” Vendor “B” Vendor “C” Firewall Performance (Mbps) with All Attack/Virus Signatures Enabled, 16-Kbyte HTTP Object Size Connections per Second Performance Cisco ASA5520 Vendor “A” Vendor “B” Vendor “C” Source: Miercom, October 2005 UTM Product Comparison 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 24 Cisco Confidential /webmoney 如何發(fā)揮 ASA 5500 的安全防護(hù)效能？ Corporate Network 遠(yuǎn)程分支機(jī)構(gòu) 本地互聯(lián)網(wǎng)訪問數(shù)據(jù)中心 Extranet: 商業(yè) 合作伙伴接入遠(yuǎn)程 VPN接入 DMZ: 對外互聯(lián)網(wǎng)服務(wù) 內(nèi)部 LAN接入普通終端的互聯(lián)網(wǎng)訪問 WLAN接入 Internal Segmentation Cisco ASA 5500 IPS Edition Cisco ASA 5500 SSL & IPSec VPN Edition Cisco ASA 5500 Anti-X Edition Cisco ASA 5500 IPS Edition Cisco ASA 5500 Firewall Edition Cisco ASA 5500 Firewall Edition 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 25 Cisco Confidential /webmoney 怎么定位不同的 ASA5500產(chǎn)品？互聯(lián)網(wǎng)接入： ASA5510/5520/5540 FW/IPS版本 VPN接入： ASA55x0 FW或 VPN版本內(nèi)部 WLAN接入： ASA5510/5520/5540 IPS版本遠(yuǎn)程分支機(jī)構(gòu)接入： ASA55x0 FW或 CSC版本內(nèi)部應(yīng)用系統(tǒng)防護(hù)： ASA55x0 IPS或 5550/5580 FW版本 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 26 Cisco Confidential /webmoney 互聯(lián)網(wǎng)邊界安全控制應(yīng)用級別的安全防護(hù)：下一代防火墻防火墻入侵防護(hù)系統(tǒng) 內(nèi)容級別的安全防護(hù)： Iron port Web/AV SPAM防護(hù) 統(tǒng)一 VPN接入系統(tǒng)： IPSec/SSL VPN 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 27 Cisco Confidential /webmoney Iron Port ：企業(yè)級內(nèi)容安全產(chǎn)品 Internet C-Series EMAIL安全網(wǎng)關(guān) S-Series WEB安全網(wǎng)關(guān) M-Series 安全管理設(shè)備 IronPort SenderBase 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 28 Cisco Confidential /webmoney IRONPORT 基于消息的安全解決方案 IRONPORT SERVICES Sender-Base Reputational Filtering IRONPORT PLATFORMS Anti-Spam Virus Outbreak Filtering Content Filtering C-Series Email Security Appliance S-Series Web Security Appliance PARTNER SERVICES Anti-Virus Anti-Spyware URL Filtering Instant Messaging & Peer-to-Peer Control Data Leakage Encryption 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 29 Cisco Confidential /webmoney 互聯(lián)網(wǎng)邊界安全控制應(yīng)用級別的安全防護(hù)：下一代防火墻防火墻入侵防護(hù)系統(tǒng) 內(nèi)容級別的安全防護(hù)： Iron port Web/AV SPAM防護(hù) 統(tǒng)一 VPN接入系統(tǒng)： IPSec/SSL VPN 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 30 Cisco Confidential /webmoney 使用統(tǒng)一 VPN接入系統(tǒng)滿足各種客戶需求 Public Internet ASA 5500 VPN Edition 網(wǎng)頁定制化的 SSL VPN接入網(wǎng)頁定制化 SSL VPN接入隧道模式的 SSL或 IPSec VPN LAN接入商業(yè)合作伙伴的 VPN接入 Requires “l(fā)ocked-down” access to specific extranet resources and applications 出差員工的遠(yuǎn)程接入服務(wù) Remote access users require seamless, easy to use, access to corporate network resources 第三方平臺臨時接入服務(wù) Remote users may require lightweight access to e-mail and web-based applications from a public machine 遠(yuǎn)程分支機(jī)構(gòu)以及 SOHU型用戶的 LAN接入 Day extenders and mobile employees require consistent LAN-like, full-network access, to corporate resources and applications 隧道模式的 SSL或 IPSec VPN客戶端接入 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 31 Cisco Confidential /webmoney 隧道模式 VPN接入 : IPSec and SSL VPN Customizable access and streamlined management comprehensive IPSec and SSL VPN solutions on one platform Ease of administration dynamically downloadable SSL VPN client is centrally configured and easy to update Fast initiation and operation multiple delivery methods and small download size ensures broad compatibility and rapid download ASA 5500 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 32 Cisco Confidential /webmoney WEB模式 : Clientless Access Fully clientless web-based network access allows anywhere access to network resources Web content transformation provides excellent compatibility with web pages containing Java, ActiveX, complex HTML and JavaScript Multiple browser support ensures broad connection compatibility Uniform and efficient application delivery via fully clientless Citrix support Customizable user portal for ease of use and enhanced user experience ASA 5500 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 33 Cisco Confidential /webmoney 思科 AnyConnect客戶端支持各種平臺的接入 Next generation VPN client, available on many platforms including: Windows Vista 32- and 64-bitt, Windows XP 32- and 64-bit, and Windows 2000 Mac OS X 10.4 (Intel and PPC) Intel-based Linux Windows Mobile 5 Pocket PC Edition Stand-alone, Web Launch, and Portal Connection Modes Start before Login (SBL) and DTLS support Windows 2000 and XP only New! 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 35 Cisco Confidential /webmoney Business Partner Access Extranet Connections 企業(yè)網(wǎng)絡(luò) 互聯(lián)網(wǎng) 遠(yuǎn)程接入系統(tǒng) 遠(yuǎn)程分支機(jī)構(gòu) 數(shù)據(jù)中心管理網(wǎng)段內(nèi)部局域網(wǎng) Internet Connections 企業(yè)互聯(lián)網(wǎng)的業(yè)務(wù)安全 STOP GO STOP GO GO STOP GO 互聯(lián)網(wǎng)邊界安全控制應(yīng)用級別的安全防護(hù) 防火墻入侵防護(hù)系統(tǒng) 內(nèi)容級別的安全防護(hù) Web/AV SPAM防護(hù) 統(tǒng)一 VPN接入系統(tǒng) 企業(yè)網(wǎng)絡(luò)安全接入控制 LAN/WLAN/VPN的接入控制評估終端的安全防護(hù)狀態(tài) 控制終端接入的安全策略主動終端防護(hù)系統(tǒng) 主動適應(yīng)型終端防護(hù) , 確保終端訪問互聯(lián)網(wǎng)時的安全，抵御互聯(lián)網(wǎng)蠕蟲以及網(wǎng)頁木馬病毒的攻擊企業(yè)安全策略控制 , 防止內(nèi)部用戶的惡意行為終端與網(wǎng)絡(luò)入侵防護(hù)及監(jiān)控系統(tǒng)的聯(lián)動 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 36 Cisco Confidential /webmoney 主動終端防護(hù)系統(tǒng) Cisco Security Agent 主動適應(yīng)型終端防護(hù) , 確保終端訪問互聯(lián)網(wǎng)時的安全，抵御互聯(lián)網(wǎng)蠕蟲以及網(wǎng)頁木馬病毒的攻擊企業(yè)安全策略控制 , 防止內(nèi)部用戶的惡意行為終端與網(wǎng)絡(luò)入侵防護(hù)及監(jiān)控系統(tǒng)的聯(lián)動 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 37 Cisco Confidential /webmoney 新一代的主機(jī)安全解決方案服務(wù)器和桌面系統(tǒng)的威脅防范機(jī)制在惡意行為之前識別和防止獨(dú)特的行為檢測手段分析已知或未知威脅防范 : Mydoom W32.Blaster Fizzer Bugbear Sobig.E SQL Slammer Sircam.A CodeRed Nimda W32.Netsky 更多 , 不需要簽名更新 ! Cisco安全代理 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 38 Cisco Confidential /webmoney CSA 邏輯結(jié)構(gòu) 集中式安全管理器 SNMP Traps 客戶程序本地文件策略 / 更新報(bào)警基于瀏覽器的管理界面配置報(bào)告，事件桌面代理桌面代理桌面代理服務(wù)器代理服務(wù)器代理 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 39 Cisco Confidential /webmoney 惡意代碼的共性 - 攻擊流程分析被攻擊的目標(biāo) 1 2 3 4 5 探測滲透寄生傳播發(fā)作地址探測端口掃描密碼猜測郵件用戶猜測惡意郵件緩沖區(qū)溢出惡意 ActiveX 控件自動軟件安裝利用已有后門創(chuàng)建新文件修改已有文件修改注冊表安裝新的網(wǎng)絡(luò)服務(wù) 建立系統(tǒng)后門郵件傳播 Web傳播 IRC 傳播 FTP傳播文件傳播刪除文件修改文件使計(jì)算機(jī)癱瘓拒絕服務(wù) 攻擊準(zhǔn)備攻擊實(shí)施攻擊后續(xù) 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 40 Cisco Confidential /webmoney August 2005， Zotob 蠕蟲爆發(fā) 從微軟公布漏洞到病毒爆發(fā)只有短短 5天的時間思科內(nèi)部 IT緊急發(fā)布 Patch，但是仍有大約 18000臺終端沒有進(jìn)行更新升級，在此期間全部依賴 CSA完成終端的防護(hù) 在整個事件中，全球 58000臺 IT管理的桌面終端中，僅有319位用戶受到影響，其原因在于關(guān)閉了 CSA的防護(hù)功能或者是采取了錯誤操作這 319名員工的系統(tǒng)在 2天內(nèi)得到了全面的恢復(fù) Cisco 安全代理思科實(shí)際案例分析 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 41 Cisco Confidential /webmoney 利用 CSA防止終端用戶的數(shù)據(jù)泄漏限制移動介質(zhì)的數(shù)據(jù)復(fù)制 USB, floppy disk, CD Burner 限制通過非授權(quán)接口的進(jìn)行數(shù)據(jù)傳送 Modem, Bluetooth, IRDA 限制通過 webmail, p2p或 IM發(fā)送關(guān)鍵數(shù)據(jù) 限制系統(tǒng)的 cut & paste clipboard誤操作 EMAIL Security Appliance WEB Security Appliance 企業(yè)級別的安全內(nèi)容識別與數(shù)據(jù)保護(hù) 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 43 Cisco Confidential /webmoney Network Scanner A Windows Server Linux Server Not Vulnerable Filter Event Vulnerable Increase Risk Rating Event / Action Filtering Monitoring Console: Non-relevant events filtered Attacker initiates IIS attack destined for servers Contextual information on attack target used to refine security response Contextual information gathered through: Passive OS fingerprinting Static OS mapping for exception handling Dynamic Risk Rating adjustment based on attack relevance Result: More appropriate and effective security response actions 針對終端防護(hù)的關(guān)聯(lián)評估 New! 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 44 Cisco Confidential /webmoney CSA應(yīng)用案例二 : Unmanaged Agent Unmanaged Network Ships standalone CSA on 50K+ ATM devices per year New enhancements added to 5.2: Local IP address configuration Local registry protection configuration CSA Team Focus: Contact Phuong Nguyen (pvnguyen) with standalone opportunities 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 45 Cisco Confidential /webmoney 企業(yè)網(wǎng)絡(luò)安全接入控制 LAN/WLAN/VPN的接入控制評估終端的安全防護(hù)狀態(tài) 控制終端接入的安全策略 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 46 Cisco Confidential /webmoney 無線網(wǎng)絡(luò)下的網(wǎng)絡(luò)準(zhǔn)入控制 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 47 Cisco Confidential /webmoney 訪客控制的說明 GUEST The visitor who needs network access (usually internet only, but could be more) SPONSOR The internal user who wants to be able to provide internet access to their guest NETWORK ENFORCEMENT DEVICE Web re-direction, authentication and provides access. Wireless LAN Controller or NAC Appliance NAC GUEST SERVER Enables sponsor to create guest account； audits； provisions account on network enforcement device 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 48 Cisco Confidential /webmoney Guest Sponsor Internet Wired or Wireless NAC Appliance Cisco Guest Server 1. Sponsor accesses Cisco Guest Server, such as 2. Sponsor authenticates using corporate credentials 3. Sponsor Creates Account on the Cisco Guest Server 4. Sponsor gives guest account details (email/print/sms) 5. Guest Server Provisions Account on the Cisco NAC Appliance Active Directory 1. 2. 3. 4. 5. 訪客控制的說明 : 內(nèi)部員工預(yù)先創(chuàng)建帳號 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 49 Cisco Confidential /webmoney 訪客接入并接受檢查與授權(quán) Guest Sponsor Internet Wired or Wireless 1. Guest opens Web browser 2. Web traffic is intercepted by Network Enforcement Device and redirected to login page (captive portal) 3. Guest logs in with details p

人人文庫> 全部分類> 專業(yè)文獻(xiàn) > 金融證券

溫馨提示

1. 本站所有資源如無特殊說明，都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2. 本站的文檔不包含任何第三方提供的附件圖紙等，如果需要附件，請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3. 本站RAR壓縮包中若帶圖紙，網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽，若沒有圖紙預(yù)覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 人人文庫網(wǎng)僅提供信息存儲空間，僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理，對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯，并不能對任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容，請與我們聯(lián)系，我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

思科自防御安全解決方案綜述

文檔簡介

溫馨提示

最新文檔

評論

思科自防御安全解決方案綜述

文檔簡介

溫馨提示

最新文檔

評論

相關(guān)文檔