搜索
©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID1完美的安全防御包括什么?严密的边界防护强大的内部控制灵活的统一指挥©2006CiscoSystems,Inc.Allrightsreserved.Presentation_ID2CiscoConfidentialbaidu严密的边界防护:应用防火墙,入侵检测与防护,内容安全以及VPN接入纵深化的概念:安全域FWM强大的内部控制:用户身份与系统安全的控制–AAA/NAC终端的防护与安全策略控制-CSA灵活的统一指挥:基于全局的定位:MARS快速有效的响应:CSM/MARS©2006CiscoSystems,Inc.Allrightsreserved.Presentation_ID3CiscoConfidential互联网局域网无线接入数据中心远程机构企业园区客户的安全需求DMZ安全攻击入侵的防护利用IPS以及CSA进行网络与主机的安全防护关键应用系统的防护利用防火墙,入侵防护以及认证授权系统完成关键应用系统的防护与控制企业互联网的业务安全利用ASA,Ironport,VPN,CSA以及NAC技术保证终端用户以及网络系统在接入互联网的安全安全事件监控与日常维护利用CS-MARS以及CS-Manager进行系统级的策略操作以及威胁监控响应©2006CiscoSystems,Inc.Allrightsreserved.Presentation_ID4CiscoConfidentialBusinessPartnerAccessExtranetConnections企业网络互联网远程接入系统远程分支机构数据中心管理网段内部局域网InternetConnections企业互联网的业务安全STOPGOSTOPGOGOSTOPGO互联网边界安全控制•应用级别的安全防护•防火墙•入侵防护系统•内容级别的安全防护•Web/AV•SPAM防护•统一VPN接入系统企业网络安全接入控制•LAN/WLAN/VPN的接入控制•评估终端的安全防护状态•控制终端接入的安全策略主动终端防护系统•主动适应型终端防护,确保终端访问互联网时的安全,抵御互联网蠕虫以及网页木马病毒的攻击•企业安全策略控制,防止内部用户的恶意行为•终端与网络入侵防护及监控系统的联动©2006CiscoSystems,Inc.Allrightsreserved.Presentation_ID5CiscoConfidential互联网边界安全控制•应用级别的安全防护:下一代防火墙•防火墙•入侵防护系统•内容级别的安全防护:Ironport•Web/AV•SPAM防护•统一VPN接入系统:IPSec/SSLVPN©2006CiscoSystems,Inc.Allrightsreserved.Presentation_ID6CiscoConfidential纵深化的安全架构是系统稳固的基础主机接入CIP路由器ESCONDirectorCouplingFacility快速以太网或令牌环交换机DLSW+路由器IBM主机Cisco7507Catalyst6509Catalyst5509Cisco7507FC交换核心SiSiSiSiSiSiSiSiCatalyst6513SNA/IP网关IP业务服务器SNAswDLSW业务服务器群Catalyst6513开发测试网区域主机系统Cisco5350/Cisco5400外围网关IPPBXIP自动语音应答客户关系管理数据库应用网关CTI服务器AW管理工作站传真系统IP录音系统普通业务咨询专长理财n*E1客户专职业务代表语音接入VoIP网关ICMPGCTI客服中心核心系统Catalyst6509外联网区域PIX535Catalyst4000CiscoIDSPIX535Cisco7200拨号访问服务器Cisco3600Cisco7200DNS应用服务器CiscoIDS4-7层分析CiscoIDS4-7层分析WEB协同服务器电子邮件服务器内容交换机CSS11500电子邮件管理服务器PIX535GSS全局网站定位器GSS全局网站定位器CiscoWorks2000IDS管理CiscoInfoServerVPNSolutionCenterCICReporter运行管理网络区域网元管理事件管理中心事件统计汇报SNA管理安全管理话音管理广域接入网区域Catalyst6513Catalyst4500Catalyst3550服务器群(均衡负载)VoIP关守HSRPCDM4650CE560/CE590无线以太网访问点E-LearningLMS服务器WEB服务器其它服务器IP/TV内容管理器Cisco3660VoIP网关AS5350MCSVV办公网络区域内容分发管理器CDM内容路由器CR互联网连接区域访问管理控制服务器外层防火墙DNS服务器InternetISPA内层防火墙邮件服务器邮件网关(防毒)CiscoVPN集中器CiscoIDS4-7层分析AAA认证服务器外网交换机Cisco7200拨号访问服务器Cisco3600PSTNCisco7200PIX535PIX535Catalyst4507InternetISPBCatalyst6509Catalyst4500客户服务中心区域生产/应用区域分公司合作伙伴分公司安全管理中心安全认证中心入侵监测中心防病毒服务器边界防火墙入侵防范安全VPN路由器集成安全防护边界防火墙边界防火墙入侵监测防范入侵监测防范安全交换机网络准入控制路由器集成安全防护VPN安全接入垃圾邮件防护内容安全控制防DDoS攻击边界防火墙认证服务器入侵监测拨号接入无线安全接入动态密码语音安全服务器安全加固入侵监测边界防火墙网络病毒过滤漏洞扫描网络准入控制终端安全防护防DDoS攻击入侵监测反向地址验证边界防火墙二级防火墙二级防火墙流量监测服务器安全加固垃圾邮件防范入侵监测网络准入控制防火墙语音安全应用安全流量监控设备加固反向地址验证防火墙入侵监测入侵监测设备加固应用安全保护防DDoS攻击©2006CiscoSystems,Inc.Allrightsreserved.Presentation_ID7CiscoConfidential专门的防火墙硬件支持250个虚拟防火墙高达5Gbps/模块的吞吐能力每机箱4个模块支持2000个逻辑网络接口提供Layer-2透明防火墙功能互联网Catalyst6500/7600AFWSMBCVFWVFWVFWMSFC业务虚网利用高性能防火墙模块构架多层次的安全域安全问题:企业内部应用和外部应用在同一个网络上运行,不同部门之间连接在同一个网络上,需要安全隔离,又担心性能瓶颈方案:采用集成于交换机的高性能防火墙模块办公虚网客人虚网©2006CiscoSystems,Inc.Allrightsreserved.Presentation_ID9CiscoConfidentialCiscoASA5500综合安全防护产品FirewallTechnologyCiscoPIXIPSTechnologyCiscoIPSContentSecurityTrendMicroVPNTechnologyCiscoVPN3000NetworkIntelligenceCiscoNetworkServicesAppInspection,UseEnforcement,WebControlApplicationSecurityMalware/ContentDefense,AnomalyDetectionIPS&Anti-XDefensesTraffic/AdmissionControl,ProactiveResponseNetworkContainmentandControlSecureConnectivityIPSec&SSLVPNMarket-ProvenTechnologiesAdaptiveThreatDefense,SecureConnectivity©2006CiscoSystems,Inc.Allrightsreserved.Presentation_ID10CiscoConfidentialCiscoASA5500提供内容级别的安全防护THREATTYPESPROTECTIONVirusesSpywareMalwarePhishingSpamInappropriateURLsIdentityTheftOffensiveContentUnauthorizedAccessIntrusions&AttacksInsecureComms.NEWAnti-XServiceExtensionsResource&InformationAccessProtectionHackerProtectionClientProtectionDDoSProtectionProtectedEmailCommunicationProtectedWebBrowsingProtectedFileExchangeUnwantedVisitorControlAudit&RegulatoryAssistanceNon-workRelatedWebSitesIdentityProtectionGranularPolicyControlsComprehensiveMalwareProtectionAdvancedContentFilteringIntegratedMessageSecurityEasytoUseASA5500withCSC-SSM©2006CiscoSystems,Inc.Allrightsreserved.Presentation_ID11CiscoConfidentialInternet内部用户Port80Web服务Web应用IM流量多媒体互联网访问43%43%55%43%98%采用应用级防火墙进行深入的攻击防护“…75%针对Web服务器的攻击是基于应用层,而不是网络层次80–HTTPJohnPescatore,VPandResearchDirector,Gartner,June2002.Source:Aug2002InfoWorld/NetworkComputingsurveyofITProfessionals64%的企业用户在防火墙上开放80端口,用于满足其内部基于Web的各类应用服务流量的需要©2006CiscoSystems,Inc.Allrightsreserved.Presentation_ID12CiscoConfidential基于网络行为特征的攻击判别InternetInternalZone2InternalZone3利用AD(Anomalydetectionalgorithms)检测并阻止零日攻击(Day-Zero)自动学习网络流量特征©2006CiscoSystems,Inc.Allrightsreserved.Presentation_ID13CiscoConfidentialTeleworkerBranchOfficeInternetEdgeASA5550ASA5500的产品一览ASA5580-20ASA5580-40ASA5505•集成化的安全平台•符合下一代防火墙标准的硬件架构标准•统一的安全管理界面•符合业界高标准的安全认证•还有更多…DataCenterASA5540ASA5520ASA5510CiscoASA5500PlatformsNewNewCampusSegmentationCiscoConfidential–NDAUseOnly©2006CiscoSystems,Inc.Allrightsreserved.Presentation_ID14CiscoConfidential05010015020025030035001000200030004000500060007000下一代防火墙ASA5500的优势体现下一代防火墙必须同时高性能地处理应用级别的防火墙以及入侵检测防护