111©2005CiscoSystems,Inc.Allrightsreserved.思科自防御网络安全解决方案PDFcreatedwithpdfFactoryProtrialversion©2005CiscoSystems,Inc.Allrightsreserved.222•思科SDN安全解决方案介绍•思科网络安全方案设计说明•思科网络安全产品说明内容安排PDFcreatedwithpdfFactoryProtrialversion©2005CiscoSystems,Inc.Allrightsreserved.333思科SDN安全解决方案介绍PDFcreatedwithpdfFactoryProtrialversion©2003,CiscoSystems,Inc.Allrightsreserved.Presentation_ID危害的目标和范围危害的目标和范围全球网络范围内基础设施的冲击地区网络多个网络单个网络单个计算机全球网络范围内基础设施的冲击地区网络多个网络单个网络单个计算机第一代•引导型病毒第一代•引导型病毒周周第二代•宏病毒•电子邮件•DoS•有限的黑客攻击第二代•宏病毒•电子邮件•DoS•有限的黑客攻击天天第三代•网络DoS•混合威胁(蠕虫+病毒+特洛伊木马)•Turbo蠕虫•广泛的系统黑客攻击第三代•网络DoS•混合威胁(蠕虫+病毒+特洛伊木马)•Turbo蠕虫•广泛的系统黑客攻击分钟分钟下一代•基础设施黑客攻击•瞬间威胁•大规模蠕虫•DDoS•破坏有效负载的病毒和蠕虫下一代•基础设施黑客攻击•瞬间威胁•大规模蠕虫•DDoS•破坏有效负载的病毒和蠕虫秒秒20世纪80年代20世纪80年代20世纪90年代20世纪90年代今天今天未来未来人工特征判别的防御时代系统自动特征判别的防御时代主动自适应的防御时代网络安全威胁的演进PDFcreatedwithpdfFactoryProtrialversion©2003,CiscoSystems,Inc.Allrightsreserved.Presentation_ID2000200020022002200320032004…2004…深度防护深度防护•多种技术•多个位置•多种设备•没有或很少集成•多种技术•多个位置•多种设备•没有或很少集成1990s1990s•基本的路由器安全•命令行界面•基本的路由器安全•命令行界面基本的安全基本的安全单点的产品单点的产品•安全装置•增强的路由器安全•单独的管理软件•安全装置•增强的路由器安全•单独的管理软件集成化安全集成化安全•集成化安全路由器交换机装置终端•防火墙+VPN+IDS•集成化管理软件•改进的高级服务•集成化安全路由器交换机装置终端•防火墙+VPN+IDS•集成化管理软件•改进的高级服务•主动防御•自动响应•系统级协作•应用安全防护•主动防御•自动响应•系统级协作•应用安全防护自防御网络自防御网络思科安全战略的演进PDFcreatedwithpdfFactoryProtrialversion©2003,CiscoSystems,Inc.Allrightsreserved.Presentation_ID自防御网络构想的起源-“人体”•IT基础设施和网络应象“活”系统一样运行•病毒是永远存在的不争事实我们携带着病毒我们从各种接触中感染病毒•人体虽然携带着病毒和病原体,但人体机能仍可正常运行•自体免疫概念是思科安全构想与战略的构建基础PDFcreatedwithpdfFactoryProtrialversion©2005CiscoSystems,Inc.Allrightsreserved.•MultipleSecurityAppliances•Separatemanagementsoftware•MultipleSecurityAppliances•SeparatemanagementsoftwarePointProductsPointProducts思科的自防御网络战略针对攻击威胁的识别、防御和应对SDN第一阶段“集成化的安全系统”SDN第一阶段“集成化的安全系统”•使每个网络节点都成为网络安全的攻击防御点路由器,交换机,设备,终端•安全连接(V3PN,DMVPN),威胁防御,信任和身份识别•网络平台保护•使每个网络节点都成为网络安全的攻击防御点路由器,交换机,设备,终端•安全连接(V3PN,DMVPN),威胁防御,信任和身份识别•网络平台保护SDN第二阶段“协作化的安全系统”SDN第二阶段“协作化的安全系统”•遍布整个网络的安全系统:终端+网络+策略•多项服务和设备协调工作,通过主动管理阻止攻击•NAC,IBNS,SWAN•遍布整个网络的安全系统:终端+网络+策略•多项服务和设备协调工作,通过主动管理阻止攻击•NAC,IBNS,SWANSDN第三阶段“自适应的威胁防御”SDN第三阶段“自适应的威胁防御”•安全服务之间的相互感知和网络智能•增强安全服务的有效性,实现主动响应•整合服务,提高运营效率•应用识别和检测,以便安全地提供/优化应用•安全服务之间的相互感知和网络智能•增强安全服务的有效性,实现主动响应•整合服务,提高运营效率•应用识别和检测,以便安全地提供/优化应用PDFcreatedwithpdfFactoryProtrialversion©2005CiscoSystems,Inc.Allrightsreserved.访问控制,数据包检测防火墙服务访问控制,数据包检测防火墙服务应用智能,内容检测,病毒防御IPS和NW-AV服务应用智能,内容检测,病毒防御IPS和NW-AV服务身份识别,虚拟化,QoS流量可视性网络智能身份识别,虚拟化,QoS流量可视性网络智能PIXPIXCSACSANACNAC隔离VLAN隔离VLAN思科路由器思科路由器CSACSAVPN接入VPN接入VPNCiscoDDoSCiscoDDoSCSACSA思科路由器思科路由器CatalystCatalystCatalystCatalyst基于身份的联网基于身份的联网CiscoIPSCiscoIPS应用检测,强制策略,Web控制应用安全应用检测,强制策略,Web控制应用安全恶意代码/内容防御,异常事件检测Anti-X防御恶意代码/内容防御,异常事件检测Anti-X防御流量/准入控制,主动响应遏制/控制流量/准入控制,主动响应遏制/控制正在实施的自适应威胁防御:产品、服务和架构示例PDFcreatedwithpdfFactoryProtrialversion©2005CiscoSystems,Inc.Allrightsreserved.•网络可用性的保证:在遭受蠕虫攻击时确切保证网络的可用性•访问控制能力的实现:确保用户以任意方式安全并可控地访问网络•网络的准入控制:针对用户及其所使用的设备特性进行网络准入控制•针对应用的智能化:在网络平台中加入对应用层数据的感知能力•针对零日攻击的防护:确保终端客户对新型攻击的免疫防护能力•针对攻击扩散的遏制:快速确认并遏制各种攻击方式的传播客户管理客户管理远程教育远程教育供应链管理供应链管理电子商务电子商务流程优化流程优化自防御网络的优势体现在哪里?PDFcreatedwithpdfFactoryProtrialversion©2005CiscoSystems,Inc.Allrightsreserved.•客户面临的挑战:蠕虫或DDOS攻击会占用网络的带宽、终端和设备控制平面(ControlPlane)的资源互联网CiscoIOS路由器PIX公共服务器VPN3000NIPSCatalystL3以太网交换机用户主机WLANAPCiscoACSNIPSCiscoIOSVPN路由器Catalyst6000安全服务模块网络可用性的保证电子邮件过滤服务器内部服务器基于路由交换设备CoPP以及L2安全防护功能可以确保在蠕虫攻击下网络设备的正常工作通过CS-MARS管理平台感知攻击通过DDOS防护,在Flood到达WAN链路前,与ISP协调过滤出Flood流量控制平面监管和最佳实践配置可保护网络设备CSA保护客户主机免遭资源耗尽FW和NIPS防护并过滤各种攻击•SDN解决方案:使用CoPP以及L2安全功能、DDOS防护设备、QoS、NIPS,FW以及CSA来保护网络资源PDFcreatedwithpdfFactoryProtrialversion©2005CiscoSystems,Inc.Allrightsreserved.•客户面临的挑战:网络对客户的访问控制基本处于随意的状态,不是完全开放,就是干脆无法接入互联网CiscoIOS路由器PIX公共服务器VPN3000电子邮件过滤服务器NIPSCatalystL3以太网交换机用户主机WLANAPsCiscoACSNIPS内部服务器CiscoIOSVPN路由器•SDN解决方案:网络针对用户使用验证、授权和加密措施,确保其在权限内以任意方式对网络进行安全访问针对所有访问方式的验证和授权控制包括DMVPN的高级VPN服务提供安全的SSL桌面和VPN访问控制能力的实现Catalyst6000安全服务模块PDFcreatedwithpdfFactoryProtrialversion©2005CiscoSystems,Inc.Allrightsreserved.•客户面临的挑战:安全系统很少实施端点设备的安全状态验证,仅仅依靠对使用者的身份认证来控制系统的访问•SDN解决方案:接入设备对用户的身份以及其使用的端点设备安全状态都进行验证,并由此决定网络访问授权ACSCTACTA提供的状态信息由第三方验证。由第三方执行调整NAC框架+第三方应用插件网络访问设备策略服务器策略的实施插件可为CTA提供状态信息接口兼容性端点保护SymantecTrendIBMTivoli端点或CCA代理用于提供状态信息的CCA代理检查CSA提供保护CSA内置端点扫描和功能调整OS、AV、间谍件的自动升级CleanAccess服务器/管理器或McAfeeNAC专用设备CiscoClearAccess策略的制定与调整TrendCSA网络的准入控制PDFcreatedwithpdfFactoryProtrialversion©2005CiscoSystems,Inc.Allrightsreserved.•SDN解决方案:在安全防护设备中加入对数据包应用层信息的感知分析能力,从而控制并实施系统的安全策略Web浏览许可访问端口80XXXX点到点应用即时消息HTTPJPEG/EXEPIX防火墙中的深度应用层的安全分析与监测我是电子邮件流量…真的!公司总部服务器群我是httpweb流量…真的!内容端口25内容端口80IOS应用检测引擎针对应用的智能化•客户面临的挑战:难以获取和控制网络传输数据包中的应用层数据的安全信息PDFcreatedwithpdfFactoryProtrialversion©2005CiscoSystems,Inc.Allrightsreserved.震荡波病毒-Sasser在端口445/tcp上随机扫描IP地址。可同时扫描多达1,024个地址在端口9996/tcp上创建远程shell。它随后会在端口5554/tcp上启动FTP服务器侦听受攻击系统在端口5554/tcp上连回攻击系统,以获取蠕虫副本使受感染设备崩溃使系统不断重启•SDN