思科网络安全战略,架构与解决方案

Agenda
§当前安全问题与发展趋势§思科安全设计架构与理论§思科自防御网络安全战略§思科创新融合一体化方案
安全威胁的现状与趋势
传统的安全威胁开始混合
安全防护超越单一边界
§几乎所有设备都是Multi-homed－网络真正的起止点在那里？
§许多设备不由企业控制，但公司需要给咨询顾问或客人等等提供上网权利§怎样为某一特定边界提供保护？
§怎样符合法规？
黑客攻击商业驱动模式
一级滥用者最终价值
工具开发者中间人二级滥用者
安全设计架构与理论
思科安全架构魔方图
安全域隔离五层次论
§物理上隔离：即支持足够种类与数量的物理端口划开Zone（SPF，GE，FE,GBIC )；
§逻辑上隔离：即支持Virtuall Firewall 功能，同一物理口上可逻辑上划开Zone；
§策略上隔离：即支持足够的策略数在不同的安全Zone 之间，策略上划开服务Zone；
§应用上隔离：即支持应用的DPI，能够区分出流量内容，控制Zone之间的业务；
§准入上隔离：即支持网络准入控制，系统能够根据接入端点的系统安全状况，接入不同等级的Zone；
安全设计：集成化＋模块化＋阶梯式安全＝安全域划分设备功能的高度集成性与设备资源的虚拟化WAN+LAN ISR 、ASA 配合FWSM 实现安全域划分设计边界＋核心
分布层交换机楼层交换机核心分布访问
Self-Defending Network自防御网络
Vision / Mission -Beyond Worms and Viruses
Fraud Extortion
Information Mandatory Disclosure Scams Organized Crime Blackmail
Network Internet Corporate
LAN
Point Products are Good
Benefits of a Systems Approach
§Complex Environment §Gaps and Inconsistency §Lower Visibility
§More Difficult to Manage §Higher TCO §Simplified Environment
§Tighter Integration = Tighter Security §Greater Visibility
§Easier to Deploy and Manage
§
Lower TCO
Point Products
Point Products 思科的自防御网络战略
针对攻击威胁的识别、防御和应对
SDN 第二阶段“协作化的安全系统”
SDN 第二阶段“协作化的安全系统”•遍布整个网络的安全系统: 终端+ 网络+ 策略
•多项服务和设备协调工作，通过主动管理阻止攻击
•NAC, IBNS, SWAN SDN 第三阶段“智能化的自适应安全系统”
SDN 第三阶段“智能化的自适应安全系统”•安全服务之间的相互感知和网络智能
•增强安全服务的有效性，实现主动响应
•整合服务，提高运营效率
•应用识别和检测，以便安全地提供/优化应用
思科安全明星产品没有卓越产品如何成就安全？
明星产品：积分奖励、项目中亮点、掌握你客户的目光！ISR, ASA 5505Managed Security
IPS 4200, IPS and IDSM-2 for router & Cat6K Intrusion Prevention
CS-SIMS, Next Generation CS-MARS SP SOC
Delivered by professional service team Prof. Security Audit
ACS,CS-MARS , Cisco Security Mgr Security Mgmt
AVS 3120/3180, ACE Data Center Security
SCE 1010/2020UC Security
Cisco Clean Access CAS/CAM NAC Appliance
ASA-CSC, SCE 1010/2020Network Antivirus
C65/76 AGM, Guard XT Guard
ASA 5500UTM
ISR,C65/76 FWSM,IDSM, SSL Module Integrated Security
PIX, FWSM, ASA5500Firewall
Product Solution
ASA5500/PIX500 FWSM
IOS FW 思科VPN安全产品:－IPsec VPN
ASA5500/PIX500 IOS Router
C6K IPsec Module
－Web VPN
ASA5500
C6K Web VPN Module IOS Router
思科基础安全产品R/S Security Feature Clean Pipe –
:
Appliance 思科安全入侵检测防护产品:
IDS4200
ASA5500 AIP/CSC module
C6K IDS/IPS Module
思科主打安全产品定位组织框架图
安全销售竞争策略上兵伐谋
§针对一般中小型企业的边界安全FW/VPN需求，主推ASA系列§针对行业客户的内部区域安全，主推FWSM系列
§以此为基础，引入IPS/IDS、MARS等机会
§与此同时，引入CCA/CSA等终端安全方案，可以首先小范围内部试用，然后进行推广
边界安全安全区域安全监控终端安全
安全管理
安全解决方案举例之终端安全＝NAC+CSA
企业内部网络中蠕虫攻击的特征安全威胁无处不在
•••不符合要求及安全规范的服务器和台式机很普遍
•识别并隔离感染的系统消耗大量的时间和资源
•用户、访问方法和端点种类的繁多加剧了问题的严重性
•终端机带来的危害不仅仅是自身而是整个网络系统
思科网络准入控制方案 两套网络准入控制解决方案定位分析
NAC Framework: 全网部署思科网络设备、兼容Dot1X认证、由第三方产品提供端点分析以及升级服务、建议
与主机安全防护解决方案捆绑销售推广（CSA）。

实施设备要求简单：最低配置仅需要ACS 4.0。

NAC Appliance: 适用于多厂商环境、综合用户身份认证、端点分析以及补丁升级服务于一体的安全解决方案， 组网必须要求CAM/CAS服务器。

无需网络设备支持DOT1X特性。

配置简单 实施难度低 适用范围广！
NAC FRAMEWORK
REMEDIATION POLICY
NETWORK ACCESS DEVICE
Cisco Trust Agent
DISCOVERY ENFORCEMENT
ACS
AUTHENTICATION
NAC APPLIANCE
REMEDIATION
NETWORK ACCESS DEVICE
NAC Applc. Agent
DISCOVERY
AUTHENTICATION POLICY ENFORCEMENT ENFORCEMENT CAS/CAM
21
Presentation_ID
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
PDF created with pdfFactory Pro trial version


NAC Strategy – Remote LANs
Super Manager
manages up to 40
Standard Manager
Enterprise and Branch Servers
manages up to 20
Manager Lite
Enterprise and Branch Servers
manages up to 3 2500 users each 1500 users each
Branch Office or SMB Servers or ISR NM
50/100 users 100 users 250 users 500 users
•Supports ISR 2811, 2821, 2851, 3825, 3845 •Target NTE $3750 for 50 and $5500 for 100; no Failover option •FCS: 1H CY 2007 Subject to EC
© 2006 Cisco Systems, Inc. All rights reserved.
Presentation_ID
Cisco Confidential
22
PDF created with pdfFactory Pro trial version


L2 OOB VIP
Presentation_ID
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
23
PDF created with pdfFactory Pro trial version


CSA端点安全可以帮助你做什么？
§ 统计PC上安装了哪些应用程序： 例：CSA能统计机器上都安装了哪些应用程序，以及安装的版本。

如是否安 装了BT等软件。

§ 调查应用程序的运行情况： 例：CSA能统计哪些应用程序在运行，并生成相应的报表。

§ 禁止安装某些应用程序、禁止运行某些应用程序： 例：CSA能够禁止PC运行不符合公司策略的应用程序，如BT，IM。

§ 保护敏感数据，不允许复制、拷贝： 例：被保护的文件可以打开阅读，但是不能复制，无论是复制文件或文件夹 ，都不允许，也不能从文件中拷贝、粘贴内容出来，所以是非常好的防止机 密信息泄漏的方法。

§ 禁用USB等移动设备： Ex：USB、光驱等各种可移动设备，常常是引入病毒、风险的入口。

CSA可 以设定不允许使用PC上的这些设备，或者只能看设备上有什么内容，但是不 允许读。

只有当管理员授权时，才能使用和访问。

§ 统计并能够限制应用程序对网络使用、中央集中控管、报警、报表 § CSA结合NAC能提供非常强大的终端控管功能，CSA还能配合IPS减少误报 率，作为HOST IDS还能够将信息报给MARS
Presentation_ID © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential
24
PDF created with pdfFactory Pro trial version


如何订购 CSA？
CSA Solution 包括 3个组件: MC 管理软件,CSA 服务器授权, CSA 客户端授权. 1、首先需要定购一个初始bundle 产品,包括MC 管理软件,1 个服务器授权,10个客户端授 权: CSA-START-5.1-K9= CSA 5.1 Starter Kit [MC, 1 Server, and 10 Desktop Agents] CON-SAU-CSA-STRT SW APP SUPP CSA Starter Bundle 2、根据保护服务器数量，订购服务器保护授权以及SMARTNET服务 CSA-B50-SRVR-K9Cisco Security Agent [50 Server Agent Bundle] CON-SAU-CSA-B50SSW APP SUPP Cisco Security Server Agent - 50 Agents 3、根据保护客户机数量，订购服务器保护授权以及SMARTNET服务 CSA-B250-DTOP-K9Cisco Security Agent [250 Desktop Agent Bundle] CON-SAU-CSA-B250DSW APP SUPP Cisco Security Desktop Agent - 250 Agent
Presentation_ID
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
25
PDF created with pdfFactory Pro trial version


Strong NAC Partner Program
/en/US/partners/pr46/nac/partners.html
ANTI VIRUS
REMEDIATION
AUDIT
Presentation_ID © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential
CLIENT SECURITY
26
PDF created with pdfFactory Pro trial version


安全解决方案举例 之FWSM 安全域划分
Presentation_ID
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
27
PDF created with pdfFactory Pro trial version


FWSM 安全域划分
Internet
MSFC
BGP/ OSPF/EIGRP
Vlan 10
Vlan 20
Vlan 30
VFW
BGP/ OSPF/EIGRP
VFW
BGP/ OSPF/EIGRP
VFW
BGP/ OSPF/EIGRP
Vlan 11
Vlan 21
Vlan 31
Vrf-a Vlan 100
Vrf-b Vlan 200
Vrf-c Vlan 300
Cust A
© 2006 Cisco Systems, Inc. All rights reserved.
Cust B
Cisco Confidential
Cust C 28
Presentation_ID
PDF created with pdfFactory Pro trial version


安全解决方案举例 之IPS 与 MARS集成
Presentation_ID
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
29
PDF created with pdfFactory Pro trial version


深层防御 = 复杂性 Good for MARS
Presentation_ID
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
30
PDF created with pdfFactory Pro trial version


IPS Everywhere – 自防御网络自适应安全
CSM
Provision Configure
Anti-X 响应
Manual / Auto
MARS
1+1 = 3
IPS 独立设备 ISR – IOS IPS ASA - AIP Cat6K-IDSM
Monitor Analysis
Anti-X Events
3rd Party IPS
FWSM/PIX Wireless - IPS Router/Switch APP Server ACS
31
CSA - HIPS
CSA – MC
Presentation_ID
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
PDF created with pdfFactory Pro trial version


CSA : 检测防护 Zotob 变种B-G
TCP/445 via Null session Buffer Overflow against uPNP service
Writes executable in System folder Creates RUN registry keys Modifies HOSTS file Downloads files via TFTP Connects to 72.20.41.139/IRC
Starts Command shell running FTP on port 33333, 65533, 11173; TFTP 1171; UDP 69 300 threads scan for other systems to infect Variants use SMTP to spread
Deletes registry keys and files Terminates processes
Presentation_ID
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
32
PDF created with pdfFactory Pro trial version


统一威胁管理 UTM 重在MARS
Presentation_ID
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
33
PDF created with pdfFactory Pro trial version


思科CS-MARS 带你去看流星雨！
Presentation_ID
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
34
PDF created with pdfFactory Pro trial version


Review
§ 安全问题 - 混合的威胁 § 安全架构 - 三维幻方图 § 安全战略 - 自防御网络 § 解决方案 – 安全无处不在
Presentation_ID
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
35
PDF created with pdfFactory Pro trial version


Q and A
Presentation_ID
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
36
PDF created with pdfFactory Pro trial version


Presentation_ID
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
37
PDF created with pdfFactory Pro trial version







。