思科网络安全战略,架构与解决方案

©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID1思科网络安全战略，架构与解决方案卓越品质引领安全©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID2Agenda§当前安全问题与发展趋势§思科安全设计架构与理论§思科自防御网络安全战略§思科创新融合一体化方案PDFcreatedwithpdfFactoryProtrialversion©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID3安全威胁的现状与趋势PDFcreatedwithpdfFactoryProtrialversion©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID4传统的安全威胁开始混合混合型威胁?升级防病毒库安装OS补丁安装OS补丁升级防病毒库基于位置或者用户的策略?消除病毒和蠕虫?间谍软件?特洛伊木马?PDFcreatedwithpdfFactoryProtrialversion©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID5安全防护超越单一边界§几乎所有设备都是Multi-homed－网络真正的起止点在那里？§许多设备不由企业控制，但公司需要给咨询顾问或客人等等提供上网权利§怎样为某一特定边界提供保护？§怎样符合法规？Multi-HomedMobileDevicesPeer-2-Peer802.11VoIPContentPDFcreatedwithpdfFactoryProtrialversion©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID6ConfidentialDataCustomizedWebApplicationsCustomizedPackagedAppsInternaland3rdPartyCodeNetworkOperatingSystemsDatabaseServersOperatingSystemsApplicationServersOperatingSystemsWebServersNetworkFirewallIDSIPS应用层的攻击是将来的重要威胁NoSignaturesorPatchesPDFcreatedwithpdfFactoryProtrialversion©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID7黑客攻击商业驱动模式工具开发者中间人二级滥用者Bot-NetManagement:ForRent,forLease,forSaleBot-NetCreationPersonalInformationElectronicIPLeakage$$$FlowofMoney$$$WormsToolandToolkitWritersVirusesTrojansMalwareWriters一级滥用者MachineHarvestingInformationHarvesting黑客/直接攻击InternalTheft:AbuseofPrivilegeInformationBrokerage垃圾兜售者钓鱼者勒索者DDoS-for-HirePharmer/DNSPoisoningIdentityTheft交易-主机/应用最终价值FinancialFraudCommercialSalesFraudulentSalesClick-ThroughRevenue间谍活动(企业/政府)罪犯竞争ExtortedPay-Offs偷窃SpywarePDFcreatedwithpdfFactoryProtrialversion©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID8安全设计架构与理论PDFcreatedwithpdfFactoryProtrialversion©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID9思科安全架构魔方图物理隔离逻辑隔离策略控制应用控制准入控制CleanPipeNFP/VPNAnti-X（CSC/IPS）Visibility（SCE-P2P/VOIP）AAA管理-ACS安全事件管理-MARS集中配置管理-CSMPDFcreatedwithpdfFactoryProtrialversion©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID10安全域隔离五层次论§物理上隔离：即支持足够种类与数量的物理端口划开Zone（SPF，GE，FE,GBIC)；§逻辑上隔离：即支持VirtuallFirewall功能，同一物理口上可逻辑上划开Zone；§策略上隔离：即支持足够的策略数在不同的安全Zone之间，策略上划开服务Zone；§应用上隔离：即支持应用的DPI，能够区分出流量内容，控制Zone之间的业务；§准入上隔离：即支持网络准入控制，系统能够根据接入端点的系统安全状况，接入不同等级的Zone；PDFcreatedwithpdfFactoryProtrialversion©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID11安全设计：集成化＋模块化＋阶梯式安全＝安全域划分设备功能的高度集成性与设备资源的虚拟化WAN+LANISR、ASA配合FWSM实现安全域划分设计边界＋核心大楼网应用主机二级网FWSM核心交换区分布层交换机楼层交换机核心分布访问管理中心外联网中间业务服务器组群MPLSVPNISR边界防护ASA边界防护及控制PDFcreatedwithpdfFactoryProtrialversion©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID12Self-DefendingNetwork自防御网络PDFcreatedwithpdfFactoryProtrialversion©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID13Vision/Mission-BeyondWormsandVirusesTheftofCustomerDataFraudExtortionInformationHarvestingCorporateEspionageMandatoryDisclosureScamsOrganizedCrimeBlackmailBusinessPartnerAccessCorporateNetworkInternetRemoteAccessSystemsBranchOfficeDataCenterCorporateLANPointProductPointProductPointProductPointProductsareGoodPDFcreatedwithpdfFactoryProtrialversion©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID14BenefitsofaSystemsApproach§ComplexEnvironment§GapsandInconsistency§LowerVisibility§MoreDifficulttoManage§HigherTCO§SimplifiedEnvironment§TighterIntegration=TighterSecurity§GreaterVisibility§EasiertoDeployandManage§LowerTCOPDFcreatedwithpdfFactoryProtrialversion©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID15•MultipleSecurityAppliances•Separatemanagementsoftware•MultipleSecurityAppliances•SeparatemanagementsoftwarePointProductsPointProducts思科的自防御网络战略针对攻击威胁的识别、防御和应对SDN第一阶段“集成化的安全系统”SDN第一阶段“集成化的安全系统”•使每个网络节点都成为网络安全的攻击防御点路由器，交换机，设备，终端•安全连接(V3PN,DMVPN),威胁防御,信任和身份识别•网络平台保护•使每个网络节点都成为网络安全的攻击防御点路由器，交换机，设备，终端•安全连接(V3PN,DMVPN),威胁防御,信任和身份识别•网络平台保护SDN第二阶段“协作化的安全系统”SDN第二阶段“协作化的安全系统”•遍布整个网络的安全系统:终端+网络+策略•多项服务和设备协调工作，通过主动管理阻止攻击•NAC,IBNS,SWAN•遍布整个网络的安全系统:终端+网络+策略•多项服务和设备协调工作，通过主动管理阻止攻击•NAC,IBNS,SWANSDN第三阶段“智能化的自适应安全系统”SDN第三阶段“智能化的自适应安全系统”•安全服务之间的相互感知和网络智能•增强安全服务的有效性，实现主动响应•整合服务，提高运营效率•应用识别和检测，以便安全地提供/优化应用•安全服务之间的相互感知和网络智能•增强安全服务的有效性，实现主动响应•整合服务，提高运营效率•应用识别和检测，以便安全地提供/优化应用PDFcreatedwithpdfFactoryProtrialversion©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID16思科安全明星产品没有卓越产品如何成就安全？明星产品：积分奖励、项目中亮点、掌握你客户的目光！ISR,ASA5505ManagedSecurityIPS4200,IPSandIDSM-2forrouter&Cat6KIntrusionPreventionCS-SIMS,NextGenerationCS-MARSSPSOCDeliveredbyprofessionalserviceteamProf.SecurityAud