安全无处不在 如何在你的网络中嵌入最佳安全防护

©2013Ciscoand/oritsaffiliates.Allrightsreserved.CiscoConfidential1思科中国百度文库：=ciscochina思科互动网络主页：徐洪涛Cisco2015/07观看同期在线研讨会：=9082&KeyCode=test&ad_id=bdc130©2011Ciscoand/oritsaffiliates.Allrightsreserved.CiscoConfidential2思科中国百度文库：=ciscochina思科互动网络主页：•我们需要无处不在的安全防护•网络作为探测器和执行器NetworkAsaSensor/Enforcer•Cisco提供无处不在的威胁防御•总结©2011Ciscoand/oritsaffiliates.Allrightsreserved.CiscoConfidential3思科中国百度文库：=ciscochina思科互动网络主页：融合的网络，我们面临更多的安全挑战生意模式的改变云环境BYOD更多互联无所不在的威胁零日攻击APT更大的损失复杂异构的环境更多厂商更多的协议碎片方案©2011Ciscoand/oritsaffiliates.Allrightsreserved.CiscoConfidential4安全事件也层出不穷4©2011Ciscoand/oritsaffiliates.Allrightsreserved.CiscoConfidential5思科中国百度文库：=ciscochina思科互动网络主页：安全威胁无孔不入InformationTechnology(IT)OperationalTechnology(OT)园区网厂房数据中心第三方互联病毒/恶意软件传播扫描/渗透震荡波事件文档损毁，数据丢失©2012Ciscoand/oritsaffiliates.Allrightsreserved.CiscoConfidential6思科中国百度文库：=ciscochina思科互动网络主页：攻击者在利用各种手段从各个位置进行入侵渗透ServiceProvider/InternetISEwithpxGridCampusswitchesInternetEdge/DMZSecurityManagementCampusNetworkASA5500-XwithFirePOWERServicesBranchOfficeFireSIGHTAttackerFirePOWER(MonitorMode)StealthWatchEntrypointVulnerableserverEVIL内网当中的系统被入侵，为黑客提供了初始的攻击入口。黑客控制被入侵的系统。。…开始扫描网络中其他的。。.黑客发现在分支网络有一台有漏洞的Linux服务器.黑客从内外向含有漏洞的服务器发起攻击Uhoh.黑客成功了.我们需要更全面的安全防护方案!©2012Ciscoand/oritsaffiliates.Allrightsreserved.CiscoConfidential7思科中国百度文库：=ciscochina思科互动网络主页：提供全面动态的防御体系攻击前发现执行加固攻击后定位缓解修复覆盖整个攻击周期NetworkEndpointMobileVirtualCloud检测阻挡防御攻击中单个时间点的持续性的专注威胁无处不在无时不在©2012Ciscoand/oritsaffiliates.Allrightsreserved.CiscoConfidential8思科中国百度文库：=ciscochina思科互动网络主页：与网络设备集成,情景感知自动化提供安全防护的准确依据高级威胁防御云安全智能减少恶意威胁造成的损失灵活开放平台,可扩展，全面控制与管理提供统一动态的安全防护构建基于威胁的防御平台的关键所在网络终端移动虚拟化云提高可见性Visibility-Driven关注威胁Threat-Focused统一平台Platform-Based网络基础平台作为连接设备，传递信息的核心媒介，是可见可控的最佳位置。必须担负安全防护的重任！©2011Ciscoand/oritsaffiliates.Allrightsreserved.CiscoConfidential9思科中国百度文库：=ciscochina思科互动网络主页：•我们需要无处不在的安全防护•网络作为探测器和执行器NetworkAsaSensor/Enforcer•Cisco提供无处不在的威胁防御•总结©2011Ciscoand/oritsaffiliates.Allrightsreserved.CiscoConfidential10思科中国百度文库：=ciscochina思科互动网络主页：利用网络基础平台获得最大的可见性和可控性NetworkAsASensor(NaaS)动态隔离，抑制攻击NetworkAsAnEnforcer(NaaE)检测异常流量获得网络全面可见性检测用户网络访问滥用对核心资产部署访问控制动态的策略/用户组©2011Ciscoand/oritsaffiliates.Allrightsreserved.CiscoConfidential11思科中国百度文库：=ciscochina思科互动网络主页：数据NetFlow收集器KeyNetFlowFields•Packetcount•Bytecount•SourceIPaddress•DestinationIPaddress•StartsysUpTime•EndsysUpTime•Packetcount•Bytecount•InputifIndex•OutputifIndex•TypeofService•TCPflags•Protocol•Nexthopaddress•SourceASnumber•Dest.ASnumber•Sourceprefixmask•Dest.prefixmaskUsageTimePortUtilizationQoSFrom/ToApplicationRoutingandPeering充分利用Netflow获得网络可见性©2011Ciscoand/oritsaffiliates.Allrightsreserved.CiscoConfidential12思科中国百度文库：=ciscochina思科互动网络主页：收集分析flow信息12•#Concurrentflows•Packetspersecond•Bitspersecond•Newflowscreated•NumberofSYNssent•Timeofday•NumberofSYNsreceived•Rateofconnectionresets•Durationoftheflow•Over80+otherattributes建立行为基线针对异常行为进行报警thresholdthresholdthresholdthresholdCriticalServersExchangeServerWebServersMarketingAnomalydetectedinhostbehavior3利用基于行为的异常检测——检测高级威胁©2012Ciscoand/oritsaffiliates.Allrightsreserved.CiscoConfidential13思科中国百度文库：=ciscochina思科互动网络主页：加入ISE的情景感知信息WHEREWHENHOWWHATWHOFlow,Context,andControlNETWORKReputation?Posture?Device?User?Events?65.32.7.4565.32.7.45VulnerabilityAVPatch利用网络接入交换机的Netflow实现可见性网络交换机策略执行将Netflow数据与ISE的情景感知信息关联©2012Ciscoand/oritsaffiliates.Allrightsreserved.CiscoConfidential14思科中国百度文库：=ciscochina思科互动网络主页：方便找到指定用户的所有流量UserFlowTableDeviceType©2012Ciscoand/oritsaffiliates.Allrightsreserved.CiscoConfidential15思科中国百度文库：=ciscochina思科互动网络主页：全面的访问信息©2012Ciscoand/oritsaffiliates.Allrightsreserved.CiscoConfidential16思科中国百度文库：=ciscochina思科互动网络主页：网络平台来执行策略NetworkasanEnforcerVoiceDataSuppliersGuest网络基础架构员工，财务部个人IPad合同制员工Android北京合作伙伴Mac访客大堂CTD提供全面可见性CiscoISE隔离©2012Ciscoand/oritsaffiliates.Allrightsreserved.CiscoConfidential17思科中国百度文库：=ciscochina思科互动网络主页：®3750-XBranchCampusDataCenterCatalyst®3560-XCatalyst®6500Catalyst®4500AccessPointAc