资源预览内容
第1页 / 共109页
第2页 / 共109页
第3页 / 共109页
第4页 / 共109页
第5页 / 共109页
第6页 / 共109页
第7页 / 共109页
第8页 / 共109页
第9页 / 共109页
第10页 / 共109页
亲,该文档总共109页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID1思科安全解决方案综述Version: 20070113ShenShen QiQi2024/8/292024/8/29 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID2Cisco Confidential内容安排内容安排我们需要改变安全销售的观念?目前客户的安全需求重点是什么?面向客户需求的安全主题销售方案如何把握安全销售项目的规模与节奏? 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID3Cisco Confidential我们需要改变安全销售的观念我们需要改变安全销售的观念以产品为中心的方式 以需求为中心的方式 客户自己发现问题,提出需求,我们销售特定产品挖掘用户需求,整合自身产品提出行业定制化的解决方案客户需要什么我们做什么, 没有话语权,比较被动针对用户特定阶段的特定需求,分步骤引导用户的项目很难把握项目的规模与走向,竞争激烈 主动把握项目的规模与进展,为竞争对手设置障碍单个项目的安全份额比较小,特定情况下需要平衡客户的内部关系提升单一客户项目的安全份额,解决用户的Burning Issue困惑在于产品太多,不知道怎么去卖, 很难做到方案级别的销售规模以方案为主体,弱化单一产品的指标, 强化Reference的作用 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID4完美的安全防御包括什么?严密的边界防护强大的内部控制灵活的统一指挥 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID5Cisco Confidential知己知彼知己知彼, , 百战不殆百战不殆严密的边界防护:应用防火墙, 入侵检测与防护, 内容安全以及VPN接入纵深化的概念: 安全域FWM强大的内部控制:用户身份与系统安全的控制 AAA/NAC终端的防护与安全策略控制 - CSA灵活的统一指挥:基于全局的定位: MARS快速有效的响应: CSM/MARS 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID6Cisco Confidential内容安排内容安排我们需要改变安全销售的观念?目前客户的安全需求重点是什么?面向客户需求的安全主题销售方案如何把握安全销售项目的规模与节奏? 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID7Cisco Confidential互联网互联网局域网局域网无线接入无线接入数据中心数据中心远程机构远程机构企业园区企业园区我们需要抓住客户的安全需求我们需要抓住客户的安全需求DMZ安全攻击入侵的防护安全攻击入侵的防护利用利用IPSIPS以及以及CSACSA进行网络与主机的进行网络与主机的安全防护安全防护关键应用系统的防护关键应用系统的防护利用防火墙,入侵防护以利用防火墙,入侵防护以及认证授权系统完成关键及认证授权系统完成关键应用系统的防护与控制应用系统的防护与控制企业互联网的业务安全企业互联网的业务安全利用利用ASA, Ironport, VPN, CSAASA, Ironport, VPN, CSA以及以及NACNAC技术保证终端用户以及技术保证终端用户以及网络系统在接入互联网的安全网络系统在接入互联网的安全 安全事件监控与日常维护安全事件监控与日常维护利用利用CS-MARSCS-MARS以及以及CS-ManagerCS-Manager进行进行系统级的策略操作以及威胁监控系统级的策略操作以及威胁监控响应响应 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID8Cisco Confidential内容安排内容安排我们需要改变安全销售的观念?目前客户的安全需求重点是什么?面向客户需求的安全主题销售方案如何把握安全销售项目的规模与节奏? 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID9Cisco Confidential面向客户需求的安全主题销售方案面向客户需求的安全主题销售方案企业互联网的业务安全关键应用系统的防护网络入侵防护、监控与响应系统 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID10Cisco ConfidentialBusinessPartnerAccessExtranet Connections企业网络企业网络互联网互联网远程接入系统远程接入系统远程分支机构远程分支机构数据中心数据中心管理网段管理网段内部局域网内部局域网Internet Connections企业互联网的业务安全企业互联网的业务安全STOPGOSTOPGOGOSTOPGO互联网边界安全控制互联网边界安全控制应用级别的安全防护应用级别的安全防护防火墙防火墙入侵防护系统入侵防护系统内容级别的安全防护内容级别的安全防护Web/AVWeb/AVSPAMSPAM防护防护统一统一VPNVPN接入系统接入系统企业网络安全接入控制企业网络安全接入控制LAN/WLAN/VPNLAN/WLAN/VPN的接入控制的接入控制评估终端的安全防护状态评估终端的安全防护状态控制终端接入的安全策略控制终端接入的安全策略主动终端防护系统主动终端防护系统主动适应型终端防护主动适应型终端防护, , 确确保终端访问互联网时的安保终端访问互联网时的安全,抵御互联网蠕虫以及全,抵御互联网蠕虫以及网页木马病毒的攻击网页木马病毒的攻击企业安全策略控制企业安全策略控制, , 防止防止内部用户的恶意行为内部用户的恶意行为终端与网络入侵防护及监终端与网络入侵防护及监控系统的联动控系统的联动 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID11Cisco Confidential互联网边界安全控制互联网边界安全控制应用级别的安全防护:下一代防火墙应用级别的安全防护:下一代防火墙防火墙防火墙入侵防护系统入侵防护系统内容级别的安全防护:内容级别的安全防护:Iron portIron portWeb/AVWeb/AVSPAMSPAM防护防护统一统一VPNVPN接入系统:接入系统:IPSec/SSL VPNIPSec/SSL VPN 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID12Cisco Confidential严密的边界防护 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID13Cisco Confidential南京中华门城堡南京中华门城堡 纵深防御体系的典型纵深防御体系的典型 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID14Cisco Confidential纵深化的安全架构是系统稳固的基础纵深化的安全架构是系统稳固的基础主机接入CIP路由器ESCON DirectorCoupling Facility快速以太网或令牌环交换机DLSW+路由器IBM主机ESCON/FICONCisco7507Catalyst6509Catalyst5509Cisco7507FC交换核心交换核心Catalyst6513SNA/IP网关IP业务服务器SNAswDLSW业务服务器群Catalyst6513开发测试网区域主机系统Cisco 5350/Cisco5400外围网关IP PBXIP自动语音应答客户关系管理数据库应用网关CTI服务器AW管理工作站传真系统IP录音系统普通业务咨询专长理财n*E1客户专职业务代表语音接入VoIP网关ICMPGIP IVRCTI客服中心核心系统Catalyst6509外联网区域PIX535Catalyst 4000Cisco IDSPIX 535Cisco 7200拨号访问服务器Cisco 3600Cisco 7200DNS应用服务器Cisco IDS4-7层分析Cisco IDS4-7层分析WEB协同服务器电子邮件服务器内容交换机CSS11500电子邮件管理服务器PIX 535GSS全局网站定位器GSS全局网站定位器CiscoWorks 2000 IDS 管理Cisco Info ServerVPN Solution CenterCIC Reporter运行管理网络区域网元管理事件管理中心事件统计汇报SNA管理安全管理话音管理广域接入网区域Catalyst 6513Catalyst 4500Catalyst 3550服务器群(均衡负载)VoIP关守HSRPCDM4650CE560/CE590无线以太网访问点E-LearningLMS服务器WEB服务器其它服务器IP/TV内容管理器Cisco 3660VoIP网关AS5350MCS办公网络区域内容分发管理器CDM内容路由器CR互联网连接区域访问管理控制服务器外层防火墙DNS服务器InternetISPA内层防火墙邮件服务器邮件网关(防毒)Cisco VPN集中器Cisco IDS4-7层分析AAA认证服务器外网交换机Cisco 7200拨号访问服务器Cisco 3600PSTNCisco 7200PIX 535PIX 535Catalyst4507InternetISPBCatalyst 6509Catalyst 4500客户服务中心区域生产/应用区域分公司分公司合作伙伴合作伙伴分公司分公司安全管理中心安全认证中心入侵监测中心防病毒服务器边界防火墙入侵防范安全VPN路由器集成安全防护边界防火墙边界防火墙入侵监测防范入侵监测防范安全交换机网络准入控制路由器集成安全防护VPN安全接入垃圾邮件防护内容安全控制防DDoS攻击边界防火墙认证服务器入侵监测拨号接入无线安全接入动态密码语音安全服务器安全加固入侵监测边界防火墙网络病毒过滤漏洞扫描网络准入控制终端安全防护防DDoS攻击入侵监测反向地址验证边界防火墙二级防火墙二级防火墙流量监测服务器安全加固垃圾邮件防范入侵监测网络准入控制防火墙语音安全应用安全流量监控设备加固反向地址验证防火墙入侵监测入侵监测设备加固应用安全保护防DDoS攻击 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID15Cisco Confidential专门的防火墙硬件专门的防火墙硬件支持支持 250 个虚拟防火墙个虚拟防火墙高达高达 5Gbps/模块模块 的吞吐能力的吞吐能力每机箱每机箱4个模块个模块支持支持 2000 个逻辑网络接口个逻辑网络接口提供提供 Layer-2 透明防火墙功能透明防火墙功能互联网互联网Catalyst 6500/7600AFW SMBCVFWVFWVFWMSFC业务虚网利用高性能防火墙模块构架多层次的安全域利用高性能防火墙模块构架多层次的安全域安全问题安全问题: 企业内部应用和外部应用在同一个网络上运行,不同部门之间连接在同一企业内部应用和外部应用在同一个网络上运行,不同部门之间连接在同一个网络上,需要安全隔离,又担心性能瓶颈个网络上,需要安全隔离,又担心性能瓶颈方案方案: 采用集成于交换机的高性能防火墙模块采用集成于交换机的高性能防火墙模块办公虚网客人虚网 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID17Cisco ConfidentialCisco ASA 5500 综合安全防护产品综合安全防护产品Firewall TechnologyFirewall TechnologyCisco PIXCisco PIXIPS TechnologyIPS TechnologyCisco IPSCisco IPSContent SecurityContent SecurityTrend MicroTrend MicroVPN TechnologyVPN TechnologyCisco VPN 3000Cisco VPN 3000Network IntelligenceNetwork IntelligenceCisco Network ServicesCisco Network ServicesApp Inspection, UseApp Inspection, Use Enforcement, Web Control Enforcement, Web ControlApplication SecurityApplication SecurityMalware/Content Defense,Malware/Content Defense,Anomaly DetectionAnomaly DetectionIPS & Anti-X DefensesIPS & Anti-X DefensesTraffic/Admission Control,Traffic/Admission Control,Proactive ResponseProactive ResponseNetwork Containment Network Containment and Controland ControlSecure ConnectivitySecure ConnectivityIPSec & SSL VPNIPSec & SSL VPNMarket-ProvenMarket-ProvenTechnologiesTechnologiesAdaptive Threat Defense,Adaptive Threat Defense,Secure ConnectivitySecure Connectivity 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID18Cisco ConfidentialCisco ASA 5500 提供内容级别的安全防护提供内容级别的安全防护THREAT TYPESPROTECTIONVirusesSpywareMalwarePhishingSpamInappropriate URLsIdentity TheftOffensive ContentUnauthorized AccessIntrusions & AttacksInsecure Comms.NEW Anti-X Service ExtensionsResource & Information Access ProtectionHacker ProtectionClient ProtectionDDoS ProtectionProtected Email CommunicationProtected Web Browsing Protected File ExchangeUnwanted Visitor ControlAudit & Regulatory AssistanceNon-work Related Web SitesIdentity Protection Granular Policy ControlsComprehensive Malware ProtectionAdvanced Content FilteringIntegrated Message SecurityEasy to UseASA 5500 with CSC-SSM 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID19Cisco ConfidentialInternet内部用户Port 80Web 服务Web 应用IM 流量多媒体互联网访问43%43%55%43%98%采用应用级防火墙进行深入的攻击防护采用应用级防火墙进行深入的攻击防护“75% 针对 Web 服务器的攻击是基于应用层,而不是网络层次80 HTTPJohn Pescatore, VP and Research Director, Gartner, June 2002.Source: Aug 2002 InfoWorld/Network Computing survey of IT Professionals64% 的企业用户在防火墙上开放的企业用户在防火墙上开放80端口,端口,用于满足其内部基于用于满足其内部基于Web的各类应用服务的各类应用服务流量的需要流量的需要 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID20Cisco Confidential基于网络行为特征的攻击判别基于网络行为特征的攻击判别InternetInternal Zone 2Internal Zone 3利用利用AD(Anomaly detection algorithms)检测并阻止零日攻击()检测并阻止零日攻击( Day-Zero ) 自动学习网络流量特征自动学习网络流量特征 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID21Cisco ConfidentialTeleworkerBranch OfficeInternetEdgeASA 5550ASA5500的产品一览的产品一览ASA 5580-20ASA 5580-40ASA 5505 集成化的安全平台集成化的安全平台集成化的安全平台集成化的安全平台 符合下一代防火墙标准的硬件架构标准符合下一代防火墙标准的硬件架构标准符合下一代防火墙标准的硬件架构标准符合下一代防火墙标准的硬件架构标准 统一的安全管理界面统一的安全管理界面统一的安全管理界面统一的安全管理界面 符合业界高标准的安全认证符合业界高标准的安全认证符合业界高标准的安全认证符合业界高标准的安全认证 还有更多还有更多还有更多还有更多Data CenterASA 5540ASA 5520ASA 5510Cisco ASA 5500 PlatformsNewNewCampusSegmentationCisco Confidential NDA Use Only 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID22Cisco Confidential为什么要升级到为什么要升级到ASA5500?更加灵活的部署方式:ASA5500可以按照防火墙、入侵防护、VPN以及内容安全等不同方式进行部署更加低廉的部署以及维护成本:因为ASA5500包括了多种安全防护技术,以统一的平台完成更多的防护任务更加先进的设计架构:将思科传统的安全产品,包括PIX500、IDS4200、VPN3000集成于一个全新的多CPU、多总线的硬件架构,在确保系统的稳定基础上提升整体的性能指标更加强大的防火墙以及VPN性能:相对传统的PIX产品而言,ASA5500的防火墙与VPN性能更加优化硬件实现的入侵防护以及内容安全功能,在启动多重防护体系时确保系统性能不受影响 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID23Cisco Confidential下一代防火墙下一代防火墙ASA5500的优势体现的优势体现下一代防火墙必须同时高性能地处理应用级别的防火墙以及入侵检测防护功能下一代防火墙必须在硬件架构中考虑未来安全防护需求的扩展能力,采用多核CPU以及多总线的处理模式,兼顾性能与功能的需求Cisco ASA5520Vendor “A”Vendor “B”Vendor “C”Firewall Performance (Mbps) with All Attack/Virus Signatures Enabled, 16-Kbyte HTTP Object SizeConnections per Second PerformanceCisco ASA5520Vendor “A”Vendor “B”Vendor “C”Source: Miercom, October 2005 UTM Product Comparison 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID24Cisco Confidential如何发挥如何发挥ASA 5500 的安全防护效能?的安全防护效能?Corporate Network远程分支机构远程分支机构本地互联网访问本地互联网访问数据中心数据中心Extranet: 商业商业合作伙伴接入合作伙伴接入远程远程VPN接入接入DMZ: 对外对外互联网服务互联网服务 内部内部LAN接入接入普通终端的普通终端的互联网访问互联网访问WLAN接入接入Internal SegmentationCisco ASA 5500 IPSEditionCiscoASA 5500SSL & IPSecVPN EditionCisco ASA 5500 Anti-X EditionCiscoASA 5500IPSEditionCiscoASA 5500FirewallEditionCiscoASA 5500FirewallEdition 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID25Cisco Confidential怎么定位不同的怎么定位不同的ASA5500产品?产品?互联网接入:ASA5510/5520/5540 FW/IPS版本VPN接入:ASA55x0 FW或VPN版本内部WLAN接入:ASA5510/5520/5540 IPS版本远程分支机构接入:ASA55x0 FW或CSC版本内部应用系统防护:ASA55x0 IPS或 5550/5580 FW版本 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID26Cisco Confidential互联网边界安全控制互联网边界安全控制应用级别的安全防护:下一代防火墙应用级别的安全防护:下一代防火墙防火墙防火墙入侵防护系统入侵防护系统内容级别的安全防护:内容级别的安全防护:Iron portIron portWeb/AVWeb/AVSPAMSPAM防护防护统一统一VPNVPN接入系统:接入系统:IPSec/SSL VPNIPSec/SSL VPN 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID27Cisco ConfidentialIron Port :企业级内容安全产品:企业级内容安全产品InternetC-SeriesEMAIL安全网关安全网关S-SeriesWEB安全网关安全网关M-Series安全安全 管理设备管理设备IronPortSenderBase 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID28Cisco ConfidentialIRONPORT 基于消息的安全解决方案基于消息的安全解决方案IRONPORTIRONPORTIRONPORTIRONPORTSERVICESSERVICESSERVICESSERVICESSender-BaseSender-BaseSender-BaseSender-BaseReputationalReputationalReputationalReputational FilteringFilteringFilteringFilteringIRONPORTIRONPORTIRONPORTIRONPORTPLATFORMSPLATFORMSPLATFORMSPLATFORMSAnti-SpamAnti-SpamAnti-SpamAnti-SpamVirus Virus Virus Virus Outbreak Outbreak Outbreak Outbreak FilteringFilteringFilteringFilteringContent Content Content Content FilteringFilteringFilteringFilteringC-SeriesC-SeriesEmailEmail Security Appliance Security ApplianceS-SeriesS-SeriesWebWeb Security Appliance Security AppliancePARTNERPARTNERPARTNERPARTNERSERVICESSERVICESSERVICESSERVICESAnti-VirusAnti-VirusAnti-VirusAnti-VirusAnti-SpywareAnti-SpywareAnti-SpywareAnti-SpywareURL URL URL URL FilteringFilteringFilteringFilteringInstant Instant Instant Instant MessagingMessagingMessagingMessaging& Peer-to-& Peer-to-& Peer-to-& Peer-to-Peer ControlPeer ControlPeer ControlPeer ControlData LeakageData LeakageData LeakageData LeakageEncryptionEncryptionEncryptionEncryption 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID29Cisco Confidential互联网边界安全控制互联网边界安全控制应用级别的安全防护:下一代防火墙应用级别的安全防护:下一代防火墙防火墙防火墙入侵防护系统入侵防护系统内容级别的安全防护:内容级别的安全防护:Iron portIron portWeb/AVWeb/AVSPAMSPAM防护防护统一统一VPNVPN接入系统:接入系统:IPSec/SSL VPNIPSec/SSL VPN 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID30Cisco Confidential使用统一使用统一VPN接入系统满足各种客户需求接入系统满足各种客户需求Public InternetASA 5500 VPN Edition网页定制化的网页定制化的SSL VPN接入接入网页定制化网页定制化SSL VPN接入接入隧道模式的隧道模式的SSL或或IPSec VPN LAN接入接入商业合作伙伴的商业合作伙伴的VPN接入接入Requires “locked-down” access to specific extranet resources and applications出差员工的远程接入服务出差员工的远程接入服务Remote access users require seamless, easy to use, access to corporate network resources第三方平台临时接入服务第三方平台临时接入服务Remote users may require lightweight access to e-mail and web-based applications from a public machine远程分支机构以及远程分支机构以及SOHU型用户的型用户的LAN接入接入Day extenders and mobile employees require consistent LAN-like, full-network access, to corporate resources and applications隧道模式的隧道模式的SSL或或IPSec VPN客户端接入客户端接入 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID31Cisco Confidential隧道模式隧道模式VPN接入接入: IPSec and SSL VPNCustomizable access and streamlined management comprehensive IPSec and SSL VPN solutions on one platformEase of administration dynamically downloadable SSL VPN client is centrally configured and easy to update Fast initiation and operation multiple delivery methods and small download size ensures broad compatibility and rapid downloadASA 5500 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID32Cisco ConfidentialWEB模式模式: Clientless AccessFully clientless web-based network access allows anywhere access to network resourcesWeb content transformation provides excellent compatibility with web pages containing Java, ActiveX, complex HTML and JavaScriptMultiple browser support ensures broad connection compatibilityUniform and efficient application delivery via fully clientless Citrix supportCustomizable user portal for ease of use and enhanced user experienceASA 5500 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID33Cisco Confidential思科思科AnyConnect客户端支持各种平台的接入客户端支持各种平台的接入Next generation VPN client, available on many platforms including:Windows Vista 32- and 64-bitt, Windows XP 32- and 64-bit, and Windows 2000Mac OS X 10.4 (Intel and PPC)Intel-based LinuxWindows Mobile 5 Pocket PC EditionStand-alone, Web Launch, and Portal Connection ModesStart before Login (SBL) and DTLS supportWindows 2000 and XP onlyNew! 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID35Cisco ConfidentialBusinessPartnerAccessExtranet Connections企业网络企业网络互联网互联网远程接入系统远程接入系统远程分支机构远程分支机构数据中心数据中心管理网段管理网段内部局域网内部局域网Internet Connections企业互联网的业务安全企业互联网的业务安全STOPGOSTOPGOGOSTOPGO互联网边界安全控制互联网边界安全控制应用级别的安全防护应用级别的安全防护防火墙防火墙入侵防护系统入侵防护系统内容级别的安全防护内容级别的安全防护Web/AVWeb/AVSPAMSPAM防护防护统一统一VPNVPN接入系统接入系统企业网络安全接入控制企业网络安全接入控制LAN/WLAN/VPNLAN/WLAN/VPN的接入控制的接入控制评估终端的安全防护状态评估终端的安全防护状态控制终端接入的安全策略控制终端接入的安全策略主动终端防护系统主动终端防护系统主动适应型终端防护主动适应型终端防护, , 确确保终端访问互联网时的安保终端访问互联网时的安全,抵御互联网蠕虫以及全,抵御互联网蠕虫以及网页木马病毒的攻击网页木马病毒的攻击企业安全策略控制企业安全策略控制, , 防止防止内部用户的恶意行为内部用户的恶意行为终端与网络入侵防护及监终端与网络入侵防护及监控系统的联动控系统的联动 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID36Cisco Confidential主动终端防护系统主动终端防护系统 Cisco Security AgentCisco Security Agent主动适应型终端防护主动适应型终端防护, , 确保终端访问互联网时的确保终端访问互联网时的安全,抵御互联网蠕虫以及网页木马病毒的攻击安全,抵御互联网蠕虫以及网页木马病毒的攻击企业安全策略控制企业安全策略控制, , 防止内部用户的恶意行为防止内部用户的恶意行为终端与网络入侵防护及监控系统的联动终端与网络入侵防护及监控系统的联动 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID37Cisco Confidential新一代的主机安全解决方案新一代的主机安全解决方案服务器和桌面系统的威胁防范机制服务器和桌面系统的威胁防范机制在恶意行为在恶意行为之前之前识别和防止识别和防止独特的行为检测手段分析已知或未知威独特的行为检测手段分析已知或未知威胁胁防范防范: Mydoom W32.Blaster Fizzer Bugbear Sobig.E SQL Slammer Sircam.A CodeRed Nimda W32.Netsky更多更多, 不需要签名更新不需要签名更新!Cisco安全代理安全代理 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID38Cisco ConfidentialCSA 逻辑结构逻辑结构集中式安全管理器集中式安全管理器SNMPTraps客户程序客户程序本地文件本地文件策略策略 / 更新更新报警报警基于浏览器的管理界面基于浏览器的管理界面配置配置报告,事件报告,事件桌面代理桌面代理桌面代理桌面代理桌面代理桌面代理服务器代理服务器代理服务器代理服务器代理 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID39Cisco Confidential恶意代码的共性恶意代码的共性 - 攻击流程分析攻击流程分析被攻击被攻击的目标的目标12345探测探测渗透渗透寄生寄生传播传播发作发作地址探测地址探测端口扫描端口扫描密码猜测密码猜测邮件用户猜测邮件用户猜测恶意邮件恶意邮件缓冲区溢出缓冲区溢出恶意恶意ActiveX 控件控件自动软件安装自动软件安装利用已有后门利用已有后门创建新文件创建新文件修改已有文件修改已有文件修改注册表修改注册表安装新的网络服务安装新的网络服务建立系统后门建立系统后门邮件传播邮件传播Web传播传播IRC 传播传播FTP传播传播文件传播文件传播删除文件删除文件修改文件修改文件使计算机瘫痪使计算机瘫痪拒绝服务拒绝服务攻击准备攻击实施攻击后续 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID40Cisco ConfidentialAugust 2005, Zotob 蠕虫爆发从微软公布漏洞到病毒爆发只有短短5天的时间 思科内部IT紧急发布Patch,但是仍有大约18000台终端没有进行更新升级,在此期间全部依赖CSA完成终端的防护在整个事件中,全球58000台IT管理的桌面终端中,仅有319位用户受到影响,其原因在于关闭了CSA的防护功能或者是采取了错误操作这319名员工的系统在2天内得到了全面的恢复Cisco Cisco 安全代理安全代理 思科思科 实际案例分析实际案例分析 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID41Cisco Confidential利用利用CSACSA防止终端用户的数据泄漏防止终端用户的数据泄漏限制移动介质的数据复制USB, floppy disk, CD Burner限制通过非授权接口的进行数据传送Modem, Bluetooth, IRDA限制通过webmail, p2p或IM发送关键数据限制系统的cut & paste clipboard误操作EMAILSecurity ApplianceWEBSecurityAppliance企业级别的安全企业级别的安全内容识别与数据保护内容识别与数据保护 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID43Cisco ConfidentialNetwork ScannerAWindows ServerLinux ServerNot VulnerableFilter EventVulnerableIncrease Risk RatingEvent / Action FilteringMonitoring Console:Non-relevant events filteredAttacker initiates IIS attack destined for serversContextual information on attack target used to refine security responseContextual information gathered through: Passive OS fingerprinting Static OS mapping for exception handlingDynamic Risk Rating adjustment based on attack relevanceResult: More appropriate and effective security response actions针对终端防护的关联评估针对终端防护的关联评估New! 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID44Cisco ConfidentialCSA应用案例二应用案例二: Unmanaged AgentUnmanaged NetworkShips standalone CSA on 50K+ ATM devices per yearNew enhancements added to 5.2:Local IP address configurationLocal registry protection configurationCSA Team Focus: Contact Phuong Nguyen (pvnguyen) with standalone opportunities 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID45Cisco Confidential企业网络安全接入控制企业网络安全接入控制LAN/WLAN/VPNLAN/WLAN/VPN的接入控制的接入控制评估终端的安全防护状态评估终端的安全防护状态控制终端接入的安全策略控制终端接入的安全策略 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID46Cisco Confidential无线网络下的网络准入控制无线网络下的网络准入控制 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID47Cisco Confidential访客控制的说明访客控制的说明GUESTThe visitor who needs network access (usually internet only, but could be more)SPONSORThe internal user who wants to be able to provide internet access to their guestNETWORK ENFORCEMENT DEVICEWeb re-direction, authentication and provides access.Wireless LAN Controller or NAC ApplianceNAC GUEST SERVEREnables sponsor to create guest account; audits; provisions account on network enforcement device 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID48Cisco ConfidentialGuestSponsorInternetWired or WirelessNAC ApplianceCisco GuestServer1.Sponsor accessesCisco Guest Server, such as http:/guests.yourcompany.com2.Sponsor authenticates using corporate credentials3.Sponsor Creates Account on the Cisco Guest Server4.Sponsor gives guest account details (email/print/sms)5.Guest Server Provisions Account on the Cisco NAC ApplianceActive Directory1.2.3.4.5.访客控制的说明访客控制的说明: : 内部员工预先创建帐号内部员工预先创建帐号 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID49Cisco Confidential访客接入并接受检查与授权访客接入并接受检查与授权GuestSponsorInternetWired or Wireless1.Guest opens Web browser2.Web traffic is intercepted by Network Enforcement Device and redirected to login page (captive portal)3.Guest logs in with details provided by sponsor4.Guest can now access the internet5.Guest Access Recorded6.Guest removed when session time expiresActive Directory2.4.6.5.Cisco GuestServerNAC Appliance1. 3. 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID50Cisco Confidential强大的内部控制 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID51Cisco Confidential什么是网络准入控制?什么是网络准入控制??Please enter username:设备安全设备安全网络安全网络安全使用网络准入安全策略,确保进入网络的设备符合策略。使用网络准入安全策略,确保进入网络的设备符合策略。身份识别身份识别q 用户是谁用户是谁?q 用户是否得到了授权用户是否得到了授权?q 用户的角色是什么用户的角色是什么?NACq MS是否进行了修补是否进行了修补? q 是否存在是否存在A/V或或A/S?q 是否正在运行是否正在运行?q 是否提供服务是否提供服务?q 所需文件是否存在所需文件是否存在?以及以及q 是否建立了策略是否建立了策略? q 不符合策略的设备是否被隔离不符合策略的设备是否被隔离? q 是否需要修复是否需要修复?q 是否提供修复是否提供修复?以及以及 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID52Cisco Confidential全球客户全球客户 NAC 需求的演进需求的演进Governance200320082004: $92m2006: $207mSecure GuestUserIdentityDeviceProfilingWhoareyou?Whatson yourdevice?What otherdevices areconnected?Who else isconnecting?What are theconditionsof access?2005: $131m2007: $354m2008: $570mMarket Size(source: IDC, June 2007)Value-AddPostureAssessment 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID53Cisco Confidential我们可以提供更丰富的我们可以提供更丰富的NAC服务服务Guest Portal ServicesGuest & Registration PortalOS Detection & RestrictionRole based AUPProvisioning & ReportingProfiling ServicesDevice ProfilingBehavioral MonitoringDevice ReportingPosture ServicesManaged Device PostureUnmanaged Device ScanningRemediationOperational ServicesHelp Page/Desk WorkflowWeb, MAC, IP backup AuthenticationRADIUS Accounting ProxyCisco NAC Appliance ServerIntegrated NAC Services reduce ongoing operational costs 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID54Cisco Confidential什么情况下适合销售什么情况下适合销售NACNAC系统系统用户使用AD系统进行认证用户使用思科桌面交换机用户使用WSUS/SMS以及网络AV/AS系统非常适合局域网络环境应用, 也可以应用于WLAN/VPN一般在销售初期可以考虑WLAN或VPN的试用, 然后扩展到LAN环境同时还可以销售ACS认证系统 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID55Cisco ConfidentialNAC Appliance 的工作重点的工作重点认证与授权Enforces authorization policies and privilegesSupports multiple user roles评估Agent scan for required versions of hotfixes, AV, and other softwareNetwork scan for virus and worm infections and port vulnerabilities隔离Isolate non-compliant devices from rest of network MAC and IP-based quarantine effective at a per-user level更新与升级Network-based tools for vulnerability and threat remediationHelp-desk integrationAll-in-One Policy Complianceand Remediation Solution 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID56Cisco ConfidentialCisco Clean Access ServerServes as an in-band or out-of-band device for network access controlCisco Clean Access ManagerCentralizes management for administrators, support personnel, and operatorsCisco Clean Access AgentOptional lightweight client for device-based registry scans in unmanaged environmentsRule-set UpdatesScheduled automatic updates for anti-virus, critical hot-fixes and other applicationsNAC Appliance 的组成部分的组成部分 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID57Cisco Confidential不同的客户端选择不同的客户端选择 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID58Cisco ConfidentialClean Access posture validation is a hierarchical process with either pre-loaded or custom profiles CHECKS assess the state of a file, application, service, or registry keyRULES contain single or multiple ChecksREQUIREMENTS contain single or multiple RulesROLES have one or more RequirementsNAC检查策略的架构检查策略的架构 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID59Cisco Confidential1500/2500/3500 users eachSuperManagermanages up to 40Enterprise andBranch Servers NAC Appliance 的应用规模的应用规模Users = online, concurrentEnterprise andBranch Servers 1500/2500 users eachStandardManagermanages up to 20Branch Officeor SMB Servers100 users250 users500 usersManagerLitemanages up to 3 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID60Cisco ConfidentialNAC Appliance 支持丰富的第三方平台支持丰富的第三方平台Critical Windows UpdatesWindows XP, Windows 2000, Windows 98, Windows MEAnti-Virus UpdatesAnti-Spyware UpdatesOther 3rd Party ChecksCisco SecurityAgentCustomers can easily add customized checks 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID61Cisco ConfidentialNAC L3 OOB ACL ImplementationNAC L3 OOB ACL Implementation互联网互联网互联网出口区域L3核心交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域L3链路L2链路逻辑链路网络准入服务器群TUT 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID62Cisco ConfidentialNAC L3 OOB ACL ImplementationNAC L3 OOB ACL Implementation互联网互联网互联网出口区域L3核心交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域L3链路L2链路逻辑链路网络准入服务器群用户接入交换机端口,端口处于认证VLANTUT 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID63Cisco ConfidentialNAC L3 OOB ACL ImplementationNAC L3 OOB ACL Implementation互联网互联网互联网出口区域L3核心交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域L3链路L2链路逻辑链路在认证VLAN的接口上通过ACL控制用户仅可以访问开放服务器区域以及CAS服务器的控制服务IPTUT网络准入服务器群 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID64Cisco ConfidentialNAC L3 OOB ACL ImplementationNAC L3 OOB ACL Implementation互联网互联网互联网出口区域L3核心交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域L3链路L2链路逻辑链路网络准入服务器群TUT客户端完成DHCP以及DNS请求, 从而获得本机IP地址以及相应CAS服务器的控制服务IP地址(由域名解析而来) 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID65Cisco ConfidentialNAC L3 OOB ACL ImplementationNAC L3 OOB ACL Implementation互联网互联网互联网出口区域L3核心交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域L3链路L2链路逻辑链路网络准入服务器群TUT在此前后, 客户端完成AD域的登陆以及脚本执行等工作 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID66Cisco ConfidentialNAC L3 OOB ACL ImplementationNAC L3 OOB ACL Implementation互联网互联网互联网出口区域L3核心交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域L3链路L2链路逻辑链路网络准入服务器群TUT客户端向CAS服务器的服务IP地址发送UDP 8905数据包, 可以由C6K完成自动负载均衡转发, 并获得CAS服务器的响应, 从而激活认证以及策略检查过程 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID67Cisco ConfidentialNAC L3 OOB ACL ImplementationNAC L3 OOB ACL Implementation互联网互联网互联网出口区域L3核心交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域L3链路L2链路逻辑链路网络准入服务器群TUT客户设备需要进行系统补丁或AV软件升级等工作流量,可以直接访问开放服务器区域 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID68Cisco ConfidentialNAC L3 OOB ACL ImplementationNAC L3 OOB ACL Implementation互联网互联网互联网出口区域L3核心交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域L3链路L2链路逻辑链路网络准入服务器群TUTCAS服务器通知CAM该客户端已经符合所有安全检查策略, 可以接入网络 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID69Cisco ConfidentialNAC L3 OOB ACL ImplementationNAC L3 OOB ACL Implementation互联网互联网互联网出口区域L3核心交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域L3链路L2链路逻辑链路网络准入服务器群TUTCAM服务器将相关接入交换机的端口按照用户认证的身份转入相关VLAN 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID70Cisco ConfidentialNAC L3 OOB ACL ImplementationNAC L3 OOB ACL Implementation互联网互联网互联网出口区域L3核心交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域L3链路L2链路逻辑链路网络准入服务器群TUT系统在特定VLAN接口上面通过ACL方式, 预设相关的安全访问控制策略 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID71Cisco ConfidentialL3 OOB ACLL3 OOB ACL架构设计的优势架构设计的优势CAM采用冗余设置, CAS采用冗余或Cluster方式, 确保整体系统的高可用性;用户的认证流量通过CAS完成所有的工作, 利用DNS的解析以及思科C6K交换机的自动load balance进行认证流量的负载均衡以及冗余保护;用户检查过程中的升级流量通过正常交换路径进行传输, 减轻CAS的压力;用户经过检查之后, 所有的数据流量均通过正常交换路径进行传输, 保证系统的性能最优化;CAS服务器仅需要处理客户端的UDP请求以及SSL认证与检查流量, 可以轻松满足100-3500用户的处理需求; 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID72Cisco Confidential面向客户需求的安全主题销售方案面向客户需求的安全主题销售方案企业互联网的业务安全关键应用系统的防护网络入侵防护、监控与响应系统 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID73Cisco Confidential关键应用系统的防护:纵深化防御体系的构架关键应用系统的防护:纵深化防御体系的构架主机接入CIP路由器ESCON DirectorCoupling Facility快速以太网或令牌环交换机DLSW+路由器IBM主机ESCON/FICONCisco7507Catalyst6509Catalyst5509Cisco7507FC交换核心交换核心Catalyst6513SNA/IP网关IP业务服务器SNAswDLSW业务服务器群Catalyst6513开发测试网区域主机系统Cisco 5350/Cisco5400外围网关IP PBXIP自动语音应答客户关系管理数据库应用网关CTI服务器AW管理工作站传真系统IP录音系统普通业务咨询专长理财n*E1客户专职业务代表语音接入VoIP网关ICMPGIP IVRCTI客服中心核心系统Catalyst6509外联网区域PIX535Catalyst 4000Cisco IDSPIX 535Cisco 7200拨号访问服务器Cisco 3600Cisco 7200DNS应用服务器Cisco IDS4-7层分析Cisco IDS4-7层分析WEB协同服务器电子邮件服务器内容交换机CSS11500电子邮件管理服务器PIX 535GSS全局网站定位器GSS全局网站定位器CiscoWorks 2000 IDS 管理Cisco Info ServerVPN Solution CenterCIC Reporter运行管理网络区域网元管理事件管理中心事件统计汇报SNA管理安全管理话音管理广域接入网区域Catalyst 6513Catalyst 4500Catalyst 3550服务器群(均衡负载)VoIP关守HSRPCDM4650CE560/CE590无线以太网访问点E-LearningLMS服务器WEB服务器其它服务器IP/TV内容管理器Cisco 3660VoIP网关AS5350MCS办公网络区域内容分发管理器CDM内容路由器CR互联网连接区域访问管理控制服务器外层防火墙DNS服务器InternetISPA内层防火墙邮件服务器邮件网关(防毒)Cisco VPN集中器Cisco IDS4-7层分析AAA认证服务器外网交换机Cisco 7200拨号访问服务器Cisco 3600PSTNCisco 7200PIX 535PIX 535Catalyst4507InternetISPBCatalyst 6509Catalyst 4500客户服务中心区域生产/应用区域分公司分公司合作伙伴合作伙伴分公司分公司安全管理中心安全认证中心入侵监测中心防病毒服务器边界防火墙入侵防范安全VPN路由器集成安全防护边界防火墙边界防火墙入侵监测防范入侵监测防范安全交换机网络准入控制路由器集成安全防护VPN安全接入垃圾邮件防护内容安全控制防DDoS攻击边界防火墙认证服务器入侵监测拨号接入无线安全接入动态密码语音安全服务器安全加固入侵监测边界防火墙网络病毒过滤漏洞扫描网络准入控制终端安全防护防DDoS攻击入侵监测反向地址验证边界防火墙二级防火墙二级防火墙流量监测服务器安全加固垃圾邮件防范入侵监测网络准入控制防火墙语音安全应用安全流量监控设备加固反向地址验证防火墙入侵监测入侵监测设备加固应用安全保护防DDoS攻击 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID74Cisco Confidential行业应用系统定制化行业应用系统定制化每个行业都会有自己的安全标准, 可以加以利用我们需要根据各个行业进行应用系统防护用户认证与授权: ACS/NAC应用系统防护: FW/IPS应用系统的安全监控: MARS 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID75Cisco Confidential面向客户需求的安全主题销售方案面向客户需求的安全主题销售方案企业互联网的业务安全关键应用系统的防护网络入侵防护、监控与响应系统 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID76Cisco ConfidentialBusinessPartnerAccessExtranet Connections企业网络企业网络互联网互联网Remote Access SystemsRemote/Branch OfficeData CenterManagement NetworkCorporate LANInternet Connections网络入侵防护、监控与响应网络入侵防护、监控与响应服务器的防护服务器的防护恶意攻击防护恶意攻击防护异常行为监护异常行为监护入侵防护系统入侵防护系统异常检测异常检测特征判别特征判别风险评估风险评估攻击确认与响应攻击确认与响应攻击确认与定位攻击确认与定位整体攻击分析与报告整体攻击分析与报告 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID77Cisco Confidential思科思科IPS 产品线分布产品线分布Cisco IPS 4200 Series SensorsIPS 4215 - 80 MbpsCatalyst IDSM-2 Bundle - 2 GbpsCisco ASA 5500 Series IPS Editions and AIP ModulesCisco IOS IPSCatalyst 6500 Service ModulesCisco ISR IDS/IPS ModuleIPS 4240 - 300 MbpsIPS 4255 - 600 MbpsIPS 4260 2 GbpsIDSM2 - 600 MbpsNative IOS IPS for the Cisco ISR A variety of performance points for the Branch Office EnvironmentNM-CIDS - 45 Mbps IDSASA 5510 Up to 150 MbpsAIP SSM-10ASA 5520 Up to 375 MbpsASA 5540 Up to 450 MbpsAIP SSM-20IPS 4270 4GbpsIPS AIM Up to 45 Mbps 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID78Cisco Confidential基于网络行为特征的攻击判别基于网络行为特征的攻击判别InternetInternal Zone 2Internal Zone 3利用利用AD(Anomaly detection algorithms)检测并阻止零日攻击()检测并阻止零日攻击( Day-Zero ) 自动学习网络流量特征自动学习网络流量特征 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID80Cisco Confidential统一灵活的指挥 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID81Cisco Confidential思科安全管理套件思科安全管理套件 FirewallManagementVPNManagementMonitoringIDS/IPSManagementFull Lifecycle SupportIntegrated Multi-TechnologySecurity ManagementCustomer OperationsIntegrationImprove OperationalEfficienciesMaintain UptimeCS Manager + CS-MARS 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID82Cisco ConfidentialCSM: CSM: 适合大量安全设备的部署管理适合大量安全设备的部署管理Management is about re-using objects, policies and settingsTake any device policy/setting and share it so it can bere-usedCopy, inheritance, and assignment 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID83Cisco ConfidentialCS-MARS 从大量未经处理的网络与安全设备报警信息中过滤出真正的安全攻击事件,从而确保系统的安全策略得以实施基于网络的智能化关联攻击事件的确认攻击的可视化主动的调查全面的防护功能策略管理高性能让人心动的总体拥有成本思科安全监控、分析与响应系统思科安全监控、分析与响应系统 (CS-MARS)(CS-MARS) 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID84Cisco Confidential利用集中日志处理方式,拥有有限的事件关联与过滤功能不具备网络拓扑的感知能力,只有分离的设备报警事件信息初级的报警、工作流及分析报告,缺少及时的反应能力在系统中集成了网络的感知能力,可以提高极强的事件聚合、过滤以及关联能力系统产生可视化的拓扑报告, 明确无误的攻击事件报警; 攻击路径的详细细节披露,同时提供网络安全设备的防护建议相关事件可以通过网络拓扑的感知,利用NAT加以动态关联、纠正、分类及确认CS-MARS 企业攻击防御管理企业攻击防御管理购置、部署与维护的成本较高最低的总体拥有成本; 直接的防护效果, 简单的使用与部署的选择普通的普通的SIM产品产品 企业安全信息管理企业安全信息管理性能较低,可以通过集群或高性能的硬件平台进行提升关联性能超过10,000 事件/秒,同时达到300,000 流 / 秒CS-MARS是企业安全管理的新式武器是企业安全管理的新式武器 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID85Cisco Confidential针对网络的感知能力拓扑, 流量, 设备配置, 设备的强行控制能力ContextCorrelation事件的关联, 过滤与分类相关事件的确认Valid IncidentsSessionsRulesVerifyIsolated EventsCorrelationReductionRouter Cfg.Firewall LogSwitch Cfg.Switch LogServer LogAV AlertApp LogVA ScannerFirewall Cfg.NetflowNAT Cfg.IDS Event.CS-MARS: 战场监控仪战场监控仪 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID86Cisco ConfidentialCS-MARS: “命令与控制命令与控制” 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID87Cisco ConfidentialCS-MARS: “Connect the Dots”SureVector 分析提供精确的可视化攻击路径标识下拉菜单式, 完整的事件细节说明利用攻击特性分析进行攻击源的精确定位攻击细节的描述1. 主机主机A针对目标针对目标X进行进行端口扫描端口扫描2. 主机主机A对对X进行进行缓冲区溢出攻击缓冲区溢出攻击(X处于处于NAT设备之后,同时系统具设备之后,同时系统具有有安全漏洞)安全漏洞)3.黑客以目标黑客以目标X为跳板,针对为跳板,针对NAT下下游的主机游的主机Y进行进行口令攻击口令攻击 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID88Cisco ConfidentialCS-MARSCS-MARS的分布式架构的分布式架构CS-MARS LC(本地控制器)被动式监控 设备可以放置在任意地点接收或发送数据CS-MARS GC (全局控制器)提供全局的可视化服务, 集中管理, 企业级分析报告分布式处理: 事件, 规则, 请求, 报告安全有效的通讯,数据的合并与存储OutboundMail, URLFiltersAAAExternalInboundRemoteCommerceVPNTunnelMgmt.VLANAAASwitchRouterSwitch / NIDSFW / NATCS-MARS GCWebApplicationDatabaseCS-MARSInternal NetworkCS-MARS 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID89Cisco ConfidentialCS-MARS CS-MARS “联合防御联合防御”利用网络设备的控制能力进行攻击防护提供可视化的L2/L3攻击路径标识防御设备的选择提供准确的防护配置命令FirewallRouterSwitch 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID90Cisco ConfidentialMARS Tools MARS Tools 第三方设备支持第三方设备支持用户现网已经安装大量第三方安全设备, 例如天融信等国产设备.我们可以利用MARS以及MARS Tools完成相关设备的安全事件分析与报告 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID91Cisco ConfidentialCS-MARS: CS-MARS: 策略报告策略报告在报告中提供可定制分类的选项 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID92Cisco ConfidentialMarsTools界面展示安全面板界面展示安全面板各等级事件统计信息管理域地图展示压缩率信息实时报警趋势图Incidents列表 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID93Cisco ConfidentialMarsTools界面展示安全面板界面展示安全面板源IP、目标IP、线路等分析 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID94Cisco ConfidentialMarsTools界面展示趋势分析界面展示趋势分析 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID95Cisco ConfidentialMarsTools界面展示攻击源分析界面展示攻击源分析 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID96Cisco ConfidentialMarsTools界面展示攻击目标分析界面展示攻击目标分析 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID97Cisco ConfidentialMarsTools界面展示攻击线路分析界面展示攻击线路分析 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID98Cisco ConfidentialMarsTools MarsTools 中文化中文化 界面界面 统计报表统计报表 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID99Cisco ConfidentialCS-MARS的优势所在的优势所在极强的功能, 最低的总体拥有成本直接的效果快速的安装与使用, 基于WEB的配置界面无需安装代理, 内置Oracle 支持大部分的网络与安全设备优化的性能与扩展性快速的处理能力启用所有功能时仍可以支持每秒10,000以上的事件高容量RAID存储, 持续的NFS备档Global controller支持分布式CS-MARS管理 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID100Cisco Confidential相关行业的安全销售机会分析相关行业的安全销售机会分析互联网安全应用系统防护攻击监测与响应银行高高高证券高高高保险中高中制造业高高高零售业低高中政府高低中教育高低中 # 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID101Cisco Confidential内容安排内容安排我们需要改变安全销售的观念?目前客户的安全需求重点是什么?面向客户需求的安全主题销售方案如何把握安全销售项目的规模与节奏? 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID102Cisco Confidential用户的分类用户的分类用户技术水平系统安全程度懵懂型成长型成熟型 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID103Cisco Confidential针对懵懂型用户的销售方式针对懵懂型用户的销售方式用户技术水平系统安全程度懵懂型第一阶段: 以互联网接入安全为主, 侧重边界安全领域. 例如ASA(包括IPS, VPN), Ironport Web/Mail安全系统第二阶段:构筑完整的安全入侵防御与监控响应系统. 包括FWM/NIPS/HIPS以及MARS系统第三阶段: 以内部应用系统为主, 侧重安全域的规划,以FWM及IPS为主构架应用防护体系第三阶段: 从终端系统入手, 包括终端防护以及准入控制. 主要是NAC Appliance以及CSA Desktop防护 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID104Cisco Confidential用户技术水平系统安全程度成长型针对成长型用户的销售方式针对成长型用户的销售方式第一阶段: 基于应用系统的防护,建立内部纵深防护区域,增加FWM及入侵防护系统, 进而建立全面的安全监控/响应体系第二阶段: 建立完善全面的终端安全以及网络准入控制体系 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID105Cisco Confidential用户技术水平系统安全程度成熟型针对成熟型用户的销售方式针对成熟型用户的销售方式第一阶段: 建立网络攻击的监控与响应系统, 进而完善全网入侵监控与防护体系第二阶段:建立完善全面的终端安全以及网络准入控制体系第三阶段: 寻找机会改进相关的应用及互联网安全系统 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID106Cisco Confidential利用利用CACA提供的安全服务提供的安全服务Policy and organization-basedSecurity policies / proceduresBusiness impact / riskSecurity Program ReviewSecurity Program ReviewArchitectural-basedTechnical focusStrategic remediationSecurity Architecture ReviewSecurity Architecture ReviewComprehensiveSecurityAssessmentVulnerability-based assessmentTechnical focusTactical remediationSecurity Posture AssessmentSecurity Posture AssessmentCovering People / Process / Technology利用服务方式挖掘客户的安全需求, 进行整体规划 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID107Cisco Confidential安全项目的规模安全项目的规模 (China List Price)(China List Price)500用户: 100-200KASA FW/IPS/VPN:ASA5510/5520/5540 (20K-100K)ACS/CSA/NAC:20K, 50K, 50-100KIPS/MARS:IPS4240/4255, MARS20/50 (50-100K)1500用户: 100K-500KASA FW/IPS/VPN:ASA5520/5540/5550FWM/IDSM:70K-150KACS/CSA/NAC:20K, 100K, 150KIPS/MARS:IPS4255/4260/4270, MARS50/110R. (100-200K)2500用户以上: 300K-1MASA FW/IPS/VPN:ASA5540/5550/5580FWM:70K-250KACS/CSA/NAC:20K, 200K, 250KIPS/MARS:IPS4260/4270, MARS110R/110/210 (200-500K) 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID108Cisco Confidential总结: 完美的防护体系包括什么? 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID109Cisco Confidential
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号