思科无边界云安全解决方案

版权所有©2009CiscoSystems,Inc.保留所有权利。1©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidential思科安全无边界网络架构及解决方案支撑企业业务创新的商业平台WindWanBorderlessNetwork©2009CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSODCbyWeihang2议程思科安全无边界网络架构外联业务安全——思科云火墙解决方案内网业务安全——思科攻击定位与响应解决方案问与答©2009CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSODCbyWeihang3攻击威胁与防御体系的演进有边界网络-无边界网络过去现在集中计算云计算有边界网络无边界网络外部入侵DDoS内部木马僵尸利用网络应用内容数据边界单点全网多点固定静态特征移动动态变化IT行业攻击威胁防御体系©2009CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSODCbyWeihang5一个没有边界的网络已形成企业网络边界分支办公室应用与数据总部办公室控制策略攻击者HomeOffice咖啡店客户机场合作伙伴PlatformasaServiceInfrastructureasaServiceXasaServiceSoftwareasaService任何时间任何地点任何设备任何资源移动与协作、以及云计算——打破了企业数据中心边界智能终端/移动用户任何人©2009CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSODCbyWeihang6无边界数据中心3无边界Internet2无边界终端用户1思科无边界网络安全安全控制策略企业网络边界分支办公室应用与数据总部办公室控制策略(访问控制,合法使用,恶意软件,数据安全)4HomeOffice攻击者咖啡店客户机场合作伙伴PlatformasaServiceInfrastructureasaServiceXasaServiceSoftwareasaService智能终端/移动用户正确人员、正确终端、正确地点正确时间、正确资源无边界网络安全©2009CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSODCbyWeihang7从自防御网络SDN到安全无边界网络SBN自防御网络–SDN安全无边界访问把坏人阻挡在外移动安全MobilityAlwaysOn安全无边界网络SBN策略&身份受信任访问Trust云安全Cloud主机托管/混合托管思科安全智能运营中心CiscoSIO防火墙Firewall访问控制侵扰防御IPS防止攻击内容安全Content邮件&Web©2009CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSODCbyWeihang8思科安全架构核心:CSIO-SensorBaseSensorBase全球覆盖:美国圣何塞,圣布鲁诺,澳大利亚,北卡罗莱纳和中国上海来自中国互联网的安全数据占17%之多实时采集全球30%的IP流量主动防御:全面及时的安全防护体系联动•IPS全球入侵防御系统；•ASA僵尸网络数据流过滤器；•病毒蠕虫爆发预防过滤器；•全球名誉度过滤器（IPS；邮件及Web）准确可靠:源于思科全球安全设备及第三方机构信息采集•Email•URL•Signature•Domain•Botnet©2009CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSODCbyWeihang9思科无边界网络安全-实践•有边界内部网络-私有网络•自防御网络SDN：集成、自适应、协同•解决方案：ASA/FWSM(virtualFirewall)+CSM/IPS+NAC…•全网统一:动态防御,管理及可信网络管控•防御：ScanSafe、SensorBase•管理：TrustSec•可信架构–弹性架构防御解决方案：动态目的检测、智能信任报文；（云火墙Anti-Botnet、SGT）•可信终端–移动接入防御解决方案：移动准入控制，接入感知；（AnyConnect+NAC）•可信数据–数据保护解决方案：域内、域间信息加密及验证、ＶPN、SSL感知；（WAAS、MACSec、VPN，Netflow）•可信资源–内容防御解决方案：动态源检测、内容合规检测；（IPSGlobalCorrelation、XMLFirewall）©2009CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSODCbyWeihang10议程思科安全无边界网络架构外联业务安全——思科云火墙解决方案内网业务安全——思科攻击定位与响应解决方案问与答©2009CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSODCbyWeihang11IPSFirewall/VPNAnti-Maleware保护每个数据包和数据流ATD自适应威胁防御实现•接入•突破•网络滥用•端口扫描•畸形数据包•应用滥用•停止服务/Hacking•已知的攻击•被感染的流量植入应用中的攻击外联业务多功能防护需求©2009CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSODCbyWeihang12下一代防火墙：主动防御僵尸网络，智能入侵防护.©2009CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSODCbyWeihang13思科“云”火墙应对五大信息安全最新挑战如何避免内部感染木马与僵尸网络潜伏?“云”火墙Sensorbase动态策略技术如何阻断外部黑客攻击?IPSGlobalCorrelation全球信誉协防技术如何划分安全域与安全接入?虚拟防火墙技术与xVPN技术如何实现内容安全与数据防泄漏?云火墙与Ironport邮件安全、Web安全网关1245如何提高Session性能实效?RealWorld性能，IPS硬件，SessionReputation3©2009CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSODCbyWeihang14一.防内部木马僵尸潜伏Anti-BotnetInfectedClientsASA5500Series扫描流量，端口，协议，恶意“回拨”流量警示被感染客户端，清除木马僵尸流量MalwareCommand&Control©2009CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSODCbyWeihang15ThreatProtectionBotnetTrafficFilteronASA5500Series监控恶意流量扫描全部流量，端口和协议通过追踪“回拨”流量发现被感染的客户端高准确度每周识别超过10万恶意连接自动DNS地址查询与CSIO实时连动InfectedClientsCiscoASACommandandControl©2009CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSODCbyWeihang16二.防外部攻击入侵–IPSGlobalCorrelation©2009CiscoSystems,Inc.Allrightsreserved.CiscoConfidential16EmpoweredBranchSensorBaseSIO更新协同:特征库+全球信誉关联特点:鉴别新增的威胁种类增加安全团队的工作效率Internet攻击者不在现在数据库中…IPS检查signatures–结果是可疑攻击威胁确认执行阻断ReportAttacktoSIO*下载全球威胁数据最新恶意攻击信息更新未知攻击者关联信息:特征数据+全球威胁数据CiscoIPSServerClientCallManager©2009CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSODCbyWeihang17全球协防--IPSGlobalCorrelation08:00GMT一个新恶意软件正在澳大利亚被发现一个正在俄罗斯活跃的僵尸网络正在广泛的发送新内容在韩国，一个病毒正在网络上肆虐在佛罗里达，一个电脑黑客正在为主要的金融机构发送探通08:15GMT所有的CiscoIPS用户已经被保护，免于以上威胁的攻击CollaborativeIPS遥感,全球一体化关联,先发制人的保护CiscoIPS比其他IPS技术提前两倍的时间发现威胁入侵,收集数十亿全球范围内的数据点©2009CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSODCbyWeihang18三.清理恶意Session，提高并发实效RealWorld性能，IPS硬件，SessionReputation©2009CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSODCbyWeihang19AccessControlGranularPolicyforModernNetworksASA支持数十万条策略能够基于接口或全局设定策略强大的NAT引擎©2009CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSODCbyWeihang20ProtocolInspectionPowerfulNetworkSecurityandControlsFragmentationandObscuredContentPiggybackedSessionsOverloadedSessionsSourceAddressVerificationSequenceRandomizationRetransmittedPacketsConnectionandEmbryonicLimitsSYNFloodProtectionChecksumTestingMalformedPacketsandStateChecksTCPWindowSizeAnomaliesSelectiveResetsandTimeoutsDeadConnections规避欺骗拒绝服务连接滥用Anti-EvasionAnti-SpoofingDenialofServiceProtectionAnti-ConnectionAbuse©2009CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSODCbyWeihang21四.安全域隔离–ASA虚拟火墙MSFC云火墙VRFVRFVRFVRFVRFVRFVFWVFWVFWVFWVFWVFW......安全区1安全区2安全区3(多个VLAN）安全区4安全区5安全区nServerInternet©2009CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSODCbyWeihang22企业网基于身份的准入控制xVPN工程师合作伙伴ASAASASW技术部经理RBACDestinationSourceGroupsABCD策略认证中心Cut-ThroughSSLVPNSSLVPNSSLVPN互联网SSLVPN©2009CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialSODCbyWeihang23选择Div