1-Cisco-Ent-Security-Solution-v2

1©2005,CiscoSystems,Inc.Allrightsreserved.建设安全的企业网络v8建设安全的企业网络PDFcreatedwithpdfFactoryProtrialversion©2005,CiscoSystems,Inc.Allrightsreserved.目的•此文件针对用户TDM技术管理层人员•针对企业用户的主要安全问题–业界传统做法及不足，提出应该采用的安全技术（可以成为独立的slides---non-Cisco）–思科相应的安全解决方案及优势–最终体现思科自防御网络安全技术和全面解决方案的与众不同•对每个安全问题的应对，会有更加详细的技术slides•对用户BDM级别的管理人员，会准备一个较短的，非技术化的slides•下一步，从信息安全的角度，提出更加完整，更专业的一套解决方案PDFcreatedwithpdfFactoryProtrialversion©2005,CiscoSystems,Inc.Allrightsreserved.汇报提纲••安全技术发展趋势安全技术发展趋势––思科自防御安全技术及战略思科自防御安全技术及战略••应对企业主要安全问题应对企业主要安全问题––企业安全区域设计企业安全区域设计––安全状况了解安全状况了解––恶意代码防范（病毒恶意代码防范（病毒//蠕虫蠕虫//间谍软件间谍软件//网络钓鱼等网络钓鱼等))––网络自身安全网络自身安全––安全预警及快速响应安全预警及快速响应––应用及内容安全应用及内容安全––安全接入控制安全接入控制––安全管理体系不完善安全管理体系不完善••总结总结PDFcreatedwithpdfFactoryProtrialversion©2005,CiscoSystems,Inc.Allrightsreserved.安全技术发展趋势安全技术发展趋势PDFcreatedwithpdfFactoryProtrialversion©2005,CiscoSystems,Inc.Allrightsreserved.网络安全威胁的演进危害的目标和范围危害的目标和范围全球网络基础设施的冲击地区网络多个网络单个网络单个计算机全球网络基础设施的冲击地区网络多个网络单个网络单个计算机第一代•引导型病毒第一代•引导型病毒周周第二代•宏病毒•电子邮件•DoS•有限的黑客攻击第二代•宏病毒•电子邮件•DoS•有限的黑客攻击天天第三代•网络DoS•混合威胁(蠕虫+病毒+特洛伊木马)•Turbo蠕虫•广泛的系统黑客攻击第三代•网络DoS•混合威胁(蠕虫+病毒+特洛伊木马)•Turbo蠕虫•广泛的系统黑客攻击分钟分钟下一代•基础设施黑客攻击•瞬间威胁•大规模蠕虫•DDoS•破坏有效负载的病毒和蠕虫下一代•基础设施黑客攻击•瞬间威胁•大规模蠕虫•DDoS•破坏有效负载的病毒和蠕虫秒秒20世纪80年代20世纪80年代20世纪90年代20世纪90年代今天今天未来未来人工响应，可行人工响应，很困难自动响应，可行人工响应，不可行自动响应，较难主动防御，可行PDFcreatedwithpdfFactoryProtrialversion©2005,CiscoSystems,Inc.Allrightsreserved.思科安全战略的演进2000200020022002200320032004…2004…深度防护深度防护•多种技术•多个位置•多种设备•没有或很少集成•多种技术•多个位置•多种设备•没有或很少集成1990s1990s•基本的路由器安全•命令行界面•基本的路由器安全•命令行界面基本的安全基本的安全单点的产品单点的产品•安全装置•增强的路由器安全•单独的管理软件•安全装置•增强的路由器安全•单独的管理软件集成化安全集成化安全•集成化安全路由器交换机装置终端•防火墙+VPN+IDS•集成化管理软件•改进的高级服务•集成化安全路由器交换机装置终端•防火墙+VPN+IDS•集成化管理软件•改进的高级服务•主动防御•自动响应•系统级协作•应用安全防护•主动防御•自动响应•系统级协作•应用安全防护自防御网络自防御网络PDFcreatedwithpdfFactoryProtrialversion©2005,CiscoSystems,Inc.Allrightsreserved.思科自防御网络战略的演进自防御网络第一阶段自防御网络第一阶段--集成式安全集成式安全•全网安全，包括路由器，交换机，独立安全设备，端点安全•安全连接（V3PN，DMVPN），威胁防御，身份识别和身份信任•网络基础保护•全网安全，包括路由器，交换机，独立安全设备，端点安全•安全连接（V3PN，DMVPN），威胁防御，身份识别和身份信任•网络基础保护自防御网络第三阶段-自适应威胁防御自防御网络第三阶段自防御网络第三阶段--自适应威胁防御自适应威胁防御•安全服务和网络智能相互知晓，协作•主动防御，提高安全防范效能•巩固服务，提高实施效率•业务识别，监控安全业务的实施和优化•安全服务和网络智能相互知晓，协作•主动防御，提高安全防范效能•巩固服务，提高实施效率•业务识别，监控安全业务的实施和优化自防御网络第二阶段-协作式安全系统自防御网络第二阶段自防御网络第二阶段--协作式安全系统协作式安全系统•安全成为全网的协作系统安全：端点安全＋网络＋安全策略•主动的安全管理，将多服务和多设备进行整合，抵御攻击•NAC网络准入控制，IBNS基于网络的认证服务•安全成为全网的协作系统安全：端点安全＋网络＋安全策略•主动的安全管理，将多服务和多设备进行整合，抵御攻击•NAC网络准入控制，IBNS基于网络的认证服务思科自防御网络战略解决方案解决方案PDFcreatedwithpdfFactoryProtrialversion©2005,CiscoSystems,Inc.Allrightsreserved.应对企业安全问题应对企业安全问题PDFcreatedwithpdfFactoryProtrialversion©2005,CiscoSystems,Inc.Allrightsreserved.企业面临的主要安全问题n企业安全区域设计n安全状况了解n恶意代码防范（病毒/蠕虫/间谍软件/网络钓鱼等)VPNAccessVPNAccessVPNn网络自身安全n安全预警及快速响应n应用及内容安全n安全接入控制n安全管理体系不完善内部防火墙和部门隔离特洛伊马?边缘防火墙远程访问和外部网入侵和蠕虫防御应用和端口80滥用?内容管理病毒和蠕虫防御?混合威胁?拒绝服务?基于地点或用户的策略?PDFcreatedwithpdfFactoryProtrialversion©2005,CiscoSystems,Inc.Allrightsreserved.企业安全区域设计企业安全区域设计PDFcreatedwithpdfFactoryProtrialversion©2005,CiscoSystems,Inc.Allrightsreserved.现有企业网络面临的挑战分支机构策略服务器互联网远程用户公司总部病毒蠕虫黑病毒蠕虫黑客入客入侵分支侵分支机构机构分支机构B病毒蠕虫黑病毒蠕虫黑客入客入侵总部侵总部病毒蠕虫黑病毒蠕虫黑客入客入侵其他侵其他分支机构分支机构主要问题：p组网方式随意性很强，没有统一规划p安全防护手段部署原则不明确造成的影响：p网段之间边界不清晰，控制较差，攻击容易扩散，没有缓冲处理时间p安全设备不能很好的发挥作用PDFcreatedwithpdfFactoryProtrialversion©2005,CiscoSystems,Inc.Allrightsreserved.解决方案:安全域的划分InternetCiscoIOSRouterPIXPublicserversVPN3000EmailFilterNIPSCatalystL3EthernetSwitchUserHostsWLANAPsCiscoACSNIPSInternalServersCiscoIOSVPNRouterCatalyst6000w/securityservicemodules•以思科SDN安全框架为指导原则，使用思科设备集成的安全功能将网络划分不同等级的安全域，强化域之间的访问控制，数据保密和攻击检测防范管理区域管理区域分布层区域分布层区域核心区域核心区域服务器区域服务器区域电子商务区域电子商务区域互联网区域互联网区域虚拟网虚拟网//远程接入区域远程接入区域接入层区域接入层区域无线区域无线区域PDFcreatedwithpdfFactoryProtrialversion©2005,CiscoSystems,Inc.Allrightsreserved.行业用户网络安全域设计案例主机接入CIP路由器ESCONDirectorCouplingFacility快速以太网或令牌环交换机DLSW+路由器IBM主机ESCON/FICONCisco7507Catalyst6509Catalyst5509Cisco7507FC交换核心SiSiSiSiSiSiSiSiCatalyst6513SNA/IP网关IP业务服务器SNAswDLSW业务服务器群Catalyst6513开发测试网区域主机系统Cisco5350/Cisco5400外围网关IPPBXIP自动语音应答客户关系管理数据库应用网关CTI服务器AW管理工作站传真系统IP录音系统普通业务咨询专长理财n*E1客户专职业务代表语音接入VoIP网关ICMPGIPIVRCTI客服中心核心系统Catalyst6509外联网区域PIX535Catalyst4000CiscoIDSPIX535Cisco7200拨号访问服务器Cisco3600Cisco7200DNS应用服务器CiscoIDS4-7层分析CiscoIDS4-7层分析WEB协同服务器电子邮件服务器内容交换机CSS11500电子邮件管理服务器PIX535GSS全局网站定位器GSS全局网站定位器CiscoWorks2000IDS管理CiscoInfoServerVPNSolutionCenterCICReporter运行管理网络区域网元管理事件管理中心事件统计汇报SNA管理安全管理话音管理广域接入网区域Catalyst6513Catalyst4500Catalyst3550服务器群(均衡负载）VoIP关守HSRPCDM4650CE560/CE590无线以太网访问点E-LearningLMS服务器WEB服务器其它服务器IP/TV内容管理器Cisco3660VoIP网关AS5350MCSVV办公网络区域内容分发管理器CDM内容路由器CR互联网连接区域访问管理控制服务器外层防火墙DNS服务器InternetISPA内层防火墙邮件服务器邮件网关(防毒)CiscoVPN集中器CiscoIDS4-7层分析AAA认证服务器外网交换机Cisco7200拨号访问服务器Cisco3600PSTNCisco7200PIX535PIX535Catalyst4507InternetISPBCatalyst6509Catalyst4500客户服务中心区域生产/应用区域分公司合作伙伴分公司PDFcreatedwithpdfFactoryProtrialversion©2005,CiscoSystems,Inc.Allrightsreserved.安全状况了解P