搜索
思科自防御网络解决方案介绍BG1世界是由网络连接而成的庞大网络客户客户合作伙伴合作伙伴供应商供应商员工员工幻灯片2BG1ThekeySECURITYpointhereisthatprivatecorporatenetworkshavebecomePOROUS...Businessrelationshpswithpartners,suppliers,consultants,andthelikemeanthattherearemanypathwaysformisusetoenterthecorporateITinfrastructure.ThisrequiresnewmethodsforprotectingthecorporatationandkeepingitAvailableandReliable.BobGleichauf,2003-11-13RR1安全威胁的发展全球基础设施地方网络多个网络单个网络单个计算机威胁的目标和破坏范围快速加剧的企业威胁第一代•引导病毒第一代•引导病毒几周第二代•宏病毒•拒绝服务攻击第二代•宏病毒•拒绝服务攻击几天第三代•分布式拒绝服务攻击•混合威胁第三代•分布式拒绝服务攻击•混合威胁几分钟下一代•瞬间威胁•蠕虫导致的大规模DDoS•破坏性的有效负荷蠕虫下一代•瞬间威胁•蠕虫导致的大规模DDoS•破坏性的有效负荷蠕虫几秒钟1980s1990sTodayFuture幻灯片3RR1versionwithsimplifiedtextRobRedford,2003-11-14解决方案:基于网络的系统方法•需要自动的安全系统来抵御“初始”威胁被动处理威胁是不够的•在系统的多个层面上应用安全性,以便:抵御混合威胁抵御多种攻击形式•安全系统的所有组件都必须集成,以便针对威胁做出协同反应RR2幻灯片4RR2Segueintoautonomic/humanbodyanalogyRobRedford,2003-11-14网络就象人体•IT“活”系统一样运行•病毒是永远存在的不争事实我们携带着病毒我们从各种接触中感染病毒•人体虽然携带着病毒和病原体,但人体机能仍可正常运行•自体免疫概念是思科安全构想与战略的构建基础基础设施和网络应象思科安全构想一个多阶段计划,目标是大幅度提高网络识别、抵御和适应威胁的能力行业协作集成安全性系统级解决方案安全的连接抵御威胁信任和身份检查网络准入控制项目动态地识别、抵御和应答威胁端到端的形式思科网络准入控制(NAC)总结•思科®网络准入控制(NAC)计划是由思科领导的行业项目,主要用于限制病毒和蠕虫等新兴安全威胁所造成的伤害•在NAC中,客户可以只允许符合要求的可信端点设备(如PC、服务器和PDA等)访问网络,并限制不符合要求的设备访问网络•最初的NAC联合发行人包括NetworkAssociates、赛门铁克及TrendMicro•NAC是思科自防御网络计划的第一个阶段•这些工作旨在大幅度提高网络识别、抵御和适应威胁的能力互联网蠕虫的影响Branch互联网DataCenter•自传播蠕虫继续破坏企业的运行,导致服务中断和不停的修复工作•不符合要求的服务器和桌面系统比比皆是•查找并隔离受影响的系统是费时费力的工作•种类繁多的用户、访问方法和端点进一步加剧了问题的复杂性远程用户攻击媒介无处不在LAN无线LAN理想的解决方案:集成系统分支机构策略服务器互联网拒绝!远程用户•完整的解决方案由多个组件构成•端点安全解决方案了解安全状况:类型/是否遵守策略要求/等等•策略服务器了解策略遵守情况/访问规则•网络访问设备(路由器及交换机等)执行准入策略•病毒/蠕虫的防御和牵制需要行业协作符合要求的端点:准入!不符合要求的端点:隔离!思科网络准入控制(NAC)•根据端点的安全情况在网络中执行适当的准入策略•思科®和NAC联合发行人可提供这个协作解决方案试图访问网络的主机系统AV供应商策略服务器安全凭证检查思科网络访问设备安全策略执行思科策略/AAA服务器安全策略创建AV策略的发展思科网络准入控制思科安全代理CiscoSecurityAgent抗病毒客户机AVClient思科可信代理CiscoTrustAgentNAC项目概述•思科®正致力于出台NAC的架构、规程和手册•最初的NAC联合发行人包括一些主要的抗病毒软件供应商:NetworkAssociates、赛门铁克及TrendMicro•思科安全代理和NAC联合发行人AV解决方案将使用思科可信代理支持智能的准入控制•最初的NAC功能将于2004年第二季度部署在思科路由器中•NAC将来会扩展到:•更多的思科网络设备•更多的端点安全软件和端点平台(OS)•更多的行业联合发行人•解决方案“开放”,时间和程度待定经纪人和安全性经纪人和安全性AV客户机CSA常见:常见:L2/3L2/3服务服务APIAPIEAP/UDPEAP/UDPEAP/802.1XEAP/802.1X思科可信代理NAC的客户优势•大幅度提高不符合要求主机的安全性=降低成本•提高网络弹性和工作效率•提升思科®网络基础设施投资的价值•提升现有AV投资的价值3856_10_2001_c1_X©2001,CiscoSystems,Inc.Allrightsreserved.131313