Cisco网络安全体系结构

IOS软件集成 网络设备集成 安全网管集成 体系结构集成 安全服务集成
在Cisco IOS软件中集成越来越多的安全功能。该软件覆 盖了思科的所有平台--从远程办公人员和远程分支机构解 决方案直至网络终端。 安全设备和集成化的网络设备中提供安全功能，这些网 络设备同时也可以提供LAN和WAN连接 安全管理和监控的基础设施的集成 威胁的自动感知、报告、审核、防御与一体；实现”端到 端“的防御 为希望部署集成、内置的安全的客户和机构提供一种部 署模式。这就是Cisco SAFE发展计划的作用。
副 总 裁 － Jeff Platon 思 科 系 统 公 司 安 全 市 场 管 理
全 实 现 。 适 应 的 端 到 端 安 全 将 通 过 虚 拟 安 到 网 络 结 构 中 。 真 正 全 面 的 、 自 ’ ”
“
相 反 ， 安 全 功 能 将 会 被 直 接 嵌 入
立 的 安 全 产 品。
1
2
NAC
安全策略服务器 思科安全访问控制服务器（ACS）和第 三方厂商的策略服务器评估来自网络接 入设备的终端安全证书，并确定将采用 的相应接入策略（许可、拒绝、隔离、 限制）
安全管理审核系统
3
4
CiscoWorks VPN/安全管理解决方案、 CiscoWorks安全信息管理器解决方案（ SIMS）和NAC 联合发起方管理解决方 案可配置NAC组件，提供监控和报告工 具，并管理终端安全应用
NAC的逻辑结构
Cisco Network Admission Control
尝试网络接 入的主机 思科网络接入设备 思科策略 /AAA服务器 AV供应商策略服务 器
防病毒客 户端 思科安全 代理 思科可信 代理
安全信任检查
强制执行安全策略
定制安全策略
AV策略评估
NAC主要组建
端点安全软件 思科信任代理是一个软件工具，从终端上的安全软 件 解决方案，如防病毒软件、OS和思科安全代 理(CSA)收集安全状态信息，并将其传播到网络接 入设备。 网络接入设备 网络接入设备（路由器、交换机、 VPN 集中器或防火墙）可通过思科信 任代理从终端索要终端安全“证书”，并 将此信息传输到策略服务器，以进行 准入决策
Cisco IOS软件现在可以提供三层功能： Cisco IOS软件现在可以提供三层功能： 强大的安全服务：防火墙、IPS、内容过虑、身份认证、安全连接等。 强大的安全服务：防火墙、IPS、内容过虑、身份认证、安全连接等。 全面的IP服务：例如路由、服务质量（QoS）、组播和IP语音（VoIP） 全面的IP服务：例如路由、服务质量（QoS）、组播和IP语音（VoIP） 安全管理：保护设备上的管理流量和Cisco IOS软件管理功能 安全管理：保护设备上的管理流量和Cisco IOS软件管理功能
Cisco IOS集成
Cisco IOS中的集成化浪潮 Cisco IOS软件是一种控制着思科所有路由器和交换机的增值软件。它具有范围广泛的安 全功能，而且这些功能还在随着每个新版本的推出而不断增加。Cisco IOS功能已经从最 初的允许－拒绝接入技术（例如访问控制列表（ACL））发展到支持多种VPN类型、入 侵防范，先进的身份识别服务和防火墙功能。
• 主要执行三种功能 • 主要执行三种功能
网络通信(EAPoUDP) 网络通信(EAPoUDP) 应用通信(EAP/TLV 中介) 应用通信(EAP/TLV 中介) 验证ACS并加密通信 验证ACS并加密通信
• 可用性 • 可用性
免费组件，通过CCO提供 免费组件，通过CCO提供 许可证可以免费分发 许可证可以免费分发 AV Client CSA
网络安全：内置于网络中，集成于产品中
表示在某个网络设备（例如路由器、交换机或者 无线接入点）上提供的安全功能。当流量经过某 个网络设备时，网络设备必须对其进行一定的扫 描和分析，决定让其继续传输、隔离或者拒绝。 这要求集成安全设备具有足够的智能、性能和可 扩展性
集成安全
内置安全
表示分布在网络基础设施的某些关键位置的安全 功能--例如终端用户工作站、远程分支机构、园 区和数据中心
在 五 年 后 ， 市 场 上 将 不 会 再 有 独
种 认 识 ：
自 适 应 威 胁 防 御 加 强 了 思 科 的 一
‘
思科SDN战略
An initiative to dramatically 旨在大幅加强网络发现、 improve the network’s ability 防范和消除威胁的能力的 to identify, prevent, and adapt to threats 思科战略
集成安全
让每一个组建都成为安全 节点：交换机、路由器、 防火墙、用户PC
协作安全
安全成为覆盖整个网络的系 统，终端、网络和策略系统 工作。 NAC网络准入计划是第一步
自适应威胁防御
安全服务之间的互相感知 和网络智能。提高安全效 率并实现主动响应。
第一阶段
第二阶段
第三阶段
集成化安全
第一阶段
集成化安全
AV感知 IDS感知
分析单元
Network
身份感知 FW感知
响应 单元
协作式安全
第二阶段
协作式安全－Cisco网络准入控制
NAC（网络准入控制）是一项由思科系统公司发起并负责、多厂
家参与协作计划，可确保在授予终端访问权利前，每个终端都符合网络 安全策略 控制范围大－能够检测主机用于网络连接的所有接入方法 •• 控制范围大－能够检测主机用于网络连接的所有接入方法 多厂商参与－Cisco发起，多家防病毒厂商参与 •• 多厂商参与－Cisco发起，多家防病毒厂商参与 现有标准和技术的扩展－对现有的应用协议和安全技术进行扩展，包 •• 现有标准和技术的扩展－对现有的应用协议和安全技术进行扩展，包 括802.1x和Radius服务 括802.1x和Radius服务 利用网络和防病毒的投资－把网络的现有投资和防病毒集成 •• 利用网络和防病毒的投资－把网络的现有投资和防病毒集成 基于网络的安全解决方案，是Cisco自防御计划的关键一步。 •• 基于网络的安全解决方案，是Cisco自防御计划的关键一步。
API Broker and Security Comm: L2/3 Service EAP/UDP EAP/802.1X
Cisco Trust Agent
思科安全策略服务器（ACS）
• NAC在3.3版本中的决策点 • 从终端获得证书
与CTA建立安全的通信通道 索取和接收应用(和OS)证书
• 对证书进行AAA
验证每组证书 每个都由ACS或者供应商服务器（例如ACS中的CSA，TMCM的OfficeScan）评估 ACS确定所授予的权限 所有身份验证结果的最低权限(正常+ 检查= 检查) 基于MAC和IP地址的例外情况列表 审核日志（由CiscoWorks SIMS搜集)
集成化可 以提供最 低的运营 成本 集成化可 以降低管 理成本
产品可用性
单一功能 的安全设 备向多功 能系统发 展是必然 趋势
解决方案集成
机构动力
网络管理和安 全理团队的融 合 机构的整合推 动了内置、集 成的安全需求
网络所有 组件必须 可以互相 操作，作 为一个整 体发挥作 用
思科的集成战略
在整个网络中进行安全集成是思科的开发和市场战略的重要组成部分。思科的集 成计划包括下列组件：
网络设备集成
• 在防火墙上集成IDS和VPN • 在路由器上提供防火墙和IDS模块 • 在交换机上提供防火墙和IDS模块
异常检测 模块
Firewall 模块
应用和服务的集成
安全连接 VPN
Cisco VPN 集中器
周边安全 防火墙
入侵防范 入侵检测 /扫描
Cisco IOS设 备 安全扫描工具
身份辨别 身份识别
•
•
网络和人体的类比
•IT 基础架构和网络设施应该向人体一样具备自身的免 疫能力
•病毒对于人体是必须面对的事实 －我们随时都携带着病毒 －我们也接触着各式各样的感染着病毒和细菌的物体 •人体机能仍然很好的运转，尽管我们携带着病毒和细菌
思科的安全构想和战略正是基于这样 “自体免疫能力”的概念而形成
SDN的引出
• 引导区病毒
第三代
• 分布式拒绝 服务攻击 DDOS • 混合攻击
下一代 • 闪电攻击 • 大量蠕虫驱 动的拒绝服 务攻击 • 具有破坏能 力的蠕虫
第二代
• 宏病毒 • 拒绝服务攻 击DOS
1980s
1990s
现在
未来
网络威胁的组成
威胁的组成2
入侵技能的演进
网络结构的演进
• 内部网络和外部网络已经没有明确 的划分，威胁无处不在。 传统的安全理念（安全域的划分） 和单一功能的安全设备（防火墙、 IDS、AV..)无法解决所有威胁。 “零日攻击（Zero－Attack）“的出现 必须要求所有的网络设备具备“互 为联动”和”互为感知“的能力， 才能实现”零日防御（Zero－Defend）
这三个层次的集成让Cisco IOS软件具有与众不同的特点。思科语音和视频增强IPSec VPN （V3PN）解决方案就是各种能够从Cisco IOS软件的集成性获得很大利益的解决方案的一个 典型例子。这种解决方案可以利用Cisco IOS软件中新推出的低延时QoS功能，为加密的语 音和视频流量提供值得信赖的质量和弹性，并可以通过IPSec状态故障切换功能消除丢弃呼 叫。
• • • • • • HIPS服务 缓冲区溢出防护 网络蠕虫防护 操作系统垃圾清理 Web服务器防护 其他应用程序防护
端点安全软件（CTA）
思科可信代理 （Cisco Trust Agent） • 用于通信的终端代理 • 用于通信的终端代理
Windows NT, XP, 2000 Windows NT, XP, 2000
• 应用集成 • 应用集成
前期焦点: OS & AV 补丁 前期焦点: OS & AV 补丁 合作伙伴: NAI, Symantec, Trend Micro 合作伙伴: NAI, Symantec, Trend Micro 合成和分解注册应用之间的EAP状况记录(供 合成和分解注册应用之间的EAP状况记录(供 应商& 应用类型= ID) 应商& 应用类型= ID)
• NAC 支持
CSA 4.0.2 与CTA/NAC集成 CSA 4.5 捆绑CTA，用于分发
端点安全软件CSA
CSA同时提供通用坚固的桌面和服务器防护 功能
CSA 桌面防护:
• • • • • 分布式防火墙 Day－Zero 病毒防护 文件完整性检查 即时通信安全 其他应用程序安全
CSA 服务器 防护:
集成的主要驱动因素
不断增多的网络威胁
网络威胁可能来自不可靠的外界或可靠的内部员工 网络威胁可能来自机构深处或网络边缘
这意味着必须在网络的所有节点，而不仅仅是网络周边或者不可靠区域 的入口/出口采取安全措施。只有内置的、完全集成的安全才能提供这种 普遍深入的防御
集成的其他驱动因素
驱动因素
整体运营成本 不断扩大的规模
NAC的功能
1.不具备访问资格的 终端尝试连接 2.经过策略验证进行 隔离、纠正 思科 信任 代理 3.感染范围收到控制，其他 终端不受影响
策略 控制
纠正 隔离 完整的解决方案由多个组建构成： • 端点安全解决方案了解安全状况：类型是否遵守策略要求等等 • 策略服务器了解策略遵守情况/访问规则 • 网络访问设备（路由器/交换机等）执行准入策略 行业合作来进行病毒/蠕虫的防御和牵制
端点安全软件（CSA）
思科安全代理 （Cisco Security Agent） • CSA是一个重要的可选组件
与供应商应用相比，CSA不会获得任何特殊权限
• 提供OS证书和终端完整性
提供OS信息，包括补丁和修复 加固终端，加强对攻击的抵抗力 防止CTA受到应用伪装的威胁 可以“理解”CTA行为的定制策略
感悟 Cisco网络安全体系
于振波 2006.3
Βιβλιοθήκη Baidu
内容概要
自防御网络的引出 思科SDN战略 思科安全产品纵览 安全典型解决方案
自防御网络（SDN） 的引出
网络威胁的演进
目标及破坏 范围
对商业活动的威胁在快速增长
几秒钟
全球性网络 整个地区性网 络 集团网络 私有网络 私人电脑
几分钟 几天 几周
第一代
Cisco 访问控制 服务器
安全管理 策略
VPN管理解决方 案 安全策略管理器 Web管理管理器 SIMS系统
Cisco PIX 防火墙
Cisco IOS VPN
Cisco IOS 防火墙
Cisco IOS IDS
集成化安全网络基础设施 防火墙 VPN 网络分析 SSL IDS
体系结构集成
感知单元