《思科自防御安全解决方案综述》由会员分享,可在线阅读,更多相关《思科自防御安全解决方案综述(105页珍藏版)》请在金锄头文库上搜索。
1、 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID1思科安全解决方案综述Version: 20070113ShenShen QiQi2024/7/192024/7/19 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID2Cisco Confidentialhttp:/ 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID3Cisco Confiden
2、tialhttp:/ 以需求为中心的方式 客户自己发现问题,提出需求,我们销售特定产品挖掘用户需求,整合自身产品提出行业定制化的解决方案客户需要什么我们做什么, 没有话语权,比较被动针对用户特定阶段的特定需求,分步骤引导用户的项目很难把握项目的规模与走向,竞争激烈 主动把握项目的规模与进展,为竞争对手设置障碍单个项目的安全份额比较小,特定情况下需要平衡客户的内部关系提升单一客户项目的安全份额,解决用户的Burning Issue困惑在于产品太多,不知道怎么去卖, 很难做到方案级别的销售规模以方案为主体,弱化单一产品的指标, 强化Reference的作用 2006 Cisco Systems,
3、Inc. All rights reserved.Cisco ConfidentialPresentation_ID4完美的安全防御包括什么?严密的边界防护强大的内部控制灵活的统一指挥 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID5Cisco Confidentialhttp:/ , 百战不殆百战不殆严密的边界防护:应用防火墙, 入侵检测与防护, 内容安全以及VPN接入纵深化的概念: 安全域FWM强大的内部控制:用户身份与系统安全的控制 AAA/NAC终端的防护与安全策略控制 - CSA灵活的统一指挥:基于全局的定位:
4、 MARS快速有效的响应: CSM/MARS 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID6Cisco Confidentialhttp:/ 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID7Cisco Confidentialhttp:/ Ironport, VPN, CSAASA, Ironport, VPN, CSA以及以及NACNAC技术保证终端用户以及技术保证终端用户以及网络系统在接入互联网的安全网络系统在接入互联网的安全 安全事件监控与
5、日常维护安全事件监控与日常维护利用利用CS-MARSCS-MARS以及以及CS-ManagerCS-Manager进行进行系统级的策略操作以及威胁监控系统级的策略操作以及威胁监控响应响应 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID8Cisco Confidentialhttp:/ 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID9Cisco Confidentialhttp:/ 2006 Cisco Systems, Inc. All right
6、s reserved.Presentation_ID10Cisco Confidentialhttp:/ Connections企业网络企业网络互联网互联网远程接入系统远程接入系统远程分支机构远程分支机构数据中心数据中心管理网段管理网段内部局域网内部局域网Internet Connections企业互联网的业务安全企业互联网的业务安全STOPGOSTOPGOGOSTOPGO互联网边界安全控制互联网边界安全控制应用级别的安全防护应用级别的安全防护防火墙防火墙入侵防护系统入侵防护系统内容级别的安全防护内容级别的安全防护Web/AVWeb/AVSPAMSPAM防护防护统一统一VPNVPN接入系统接入
7、系统企业网络安全接入控制企业网络安全接入控制LAN/WLAN/VPNLAN/WLAN/VPN的接入控制的接入控制评估终端的安全防护状态评估终端的安全防护状态控制终端接入的安全策略控制终端接入的安全策略主动终端防护系统主动终端防护系统主动适应型终端防护主动适应型终端防护, , 确确保终端访问互联网时的安保终端访问互联网时的安全,抵御互联网蠕虫以及全,抵御互联网蠕虫以及网页木马病毒的攻击网页木马病毒的攻击企业安全策略控制企业安全策略控制, , 防止防止内部用户的恶意行为内部用户的恶意行为终端与网络入侵防护及监终端与网络入侵防护及监控系统的联动控系统的联动 2006 Cisco Systems, I
8、nc. All rights reserved.Presentation_ID11Cisco Confidentialhttp:/ portIron portWeb/AVWeb/AVSPAMSPAM防护防护统一统一VPNVPN接入系统:接入系统:IPSec/SSL VPNIPSec/SSL VPN 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID12Cisco Confidentialhttp:/ 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID13C
9、isco Confidentialhttp:/ 纵深防御体系的典型纵深防御体系的典型 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID14Cisco Confidentialhttp:/ DirectorCoupling Facility快速以太网或令牌环交换机DLSW+路由器IBM主机ESCON/FICONCisco7507Catalyst6509Catalyst5509Cisco7507FC交换核心交换核心Catalyst6513SNA/IP网关IP业务服务器SNAswDLSW业务服务器群Catalyst6513开发测
10、试网区域主机系统Cisco 5350/Cisco5400外围网关IP PBXIP自动语音应答客户关系管理数据库应用网关CTI服务器AW管理工作站传真系统IP录音系统普通业务咨询专长理财n*E1客户专职业务代表语音接入VoIP网关ICMPGIP IVRCTI客服中心核心系统Catalyst6509外联网区域PIX535Catalyst 4000Cisco IDSPIX 535Cisco 7200拨号访问服务器Cisco 3600Cisco 7200DNS应用服务器Cisco IDS4-7层分析Cisco IDS4-7层分析WEB协同服务器电子邮件服务器内容交换机CSS11500电子邮件管理服务器
11、PIX 535GSS全局网站定位器GSS全局网站定位器CiscoWorks 2000 IDS 管理Cisco Info ServerVPN Solution CenterCIC Reporter运行管理网络区域网元管理事件管理中心事件统计汇报SNA管理安全管理话音管理广域接入网区域Catalyst 6513Catalyst 4500Catalyst 3550服务器群(均衡负载)VoIP关守HSRPCDM4650CE560/CE590无线以太网访问点E-LearningLMS服务器WEB服务器其它服务器IP/TV内容管理器Cisco 3660VoIP网关AS5350MCS办公网络区域内容分发管理
12、器CDM内容路由器CR互联网连接区域访问管理控制服务器外层防火墙DNS服务器InternetISPA内层防火墙邮件服务器邮件网关(防毒)Cisco VPN集中器Cisco IDS4-7层分析AAA认证服务器外网交换机Cisco 7200拨号访问服务器Cisco 3600PSTNCisco 7200PIX 535PIX 535Catalyst4507InternetISPBCatalyst 6509Catalyst 4500客户服务中心区域生产/应用区域分公司分公司合作伙伴合作伙伴分公司分公司安全管理中心安全认证中心入侵监测中心防病毒服务器边界防火墙入侵防范安全VPN路由器集成安全防护边界防火墙
13、边界防火墙入侵监测防范入侵监测防范安全交换机网络准入控制路由器集成安全防护VPN安全接入垃圾邮件防护内容安全控制防DDoS攻击边界防火墙认证服务器入侵监测拨号接入无线安全接入动态密码语音安全服务器安全加固入侵监测边界防火墙网络病毒过滤漏洞扫描网络准入控制终端安全防护防DDoS攻击入侵监测反向地址验证边界防火墙二级防火墙二级防火墙流量监测服务器安全加固垃圾邮件防范入侵监测网络准入控制防火墙语音安全应用安全流量监控设备加固反向地址验证防火墙入侵监测入侵监测设备加固应用安全保护防DDoS攻击 2006 Cisco Systems, Inc. All rights reserved.Presentat
14、ion_ID15Cisco Confidentialhttp:/ 250 个虚拟防火墙个虚拟防火墙高达高达 5Gbps/模块模块 的吞吐能力的吞吐能力每机箱每机箱4个模块个模块支持支持 2000 个逻辑网络接口个逻辑网络接口提供提供 Layer-2 透明防火墙功能透明防火墙功能互联网互联网Catalyst 6500/7600AFW SMBCVFWVFWVFWMSFC业务虚网利用高性能防火墙模块构架多层次的安全域利用高性能防火墙模块构架多层次的安全域安全问题安全问题: 企业内部应用和外部应用在同一个网络上运行,不同部门之间连接在同一企业内部应用和外部应用在同一个网络上运行,不同部门之间连接在同一
15、个网络上,需要安全隔离,又担心性能瓶颈个网络上,需要安全隔离,又担心性能瓶颈方案方案: 采用集成于交换机的高性能防火墙模块采用集成于交换机的高性能防火墙模块办公虚网客人虚网 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID17Cisco Confidentialhttp:/ ASA 5500 综合安全防护产品综合安全防护产品Firewall TechnologyFirewall TechnologyCisco PIXCisco PIXIPS TechnologyIPS TechnologyCisco IPSCisco IP
16、SContent SecurityContent SecurityTrend MicroTrend MicroVPN TechnologyVPN TechnologyCisco VPN 3000Cisco VPN 3000Network IntelligenceNetwork IntelligenceCisco Network ServicesCisco Network ServicesApp Inspection, UseApp Inspection, Use Enforcement, Web Control Enforcement, Web ControlApplication Secur
17、ityApplication SecurityMalware/Content Defense,Malware/Content Defense,Anomaly DetectionAnomaly DetectionIPS & Anti-X DefensesIPS & Anti-X DefensesTraffic/Admission Control,Traffic/Admission Control,Proactive ResponseProactive ResponseNetwork Containment Network Containment and Controland ControlSec
18、ure ConnectivitySecure ConnectivityIPSec & SSL VPNIPSec & SSL VPNMarket-ProvenMarket-ProvenTechnologiesTechnologiesAdaptive Threat Defense,Adaptive Threat Defense,Secure ConnectivitySecure Connectivity 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID18Cisco Confidentialhttp:/ ASA 5500 提供
19、内容级别的安全防护提供内容级别的安全防护THREAT TYPESPROTECTIONVirusesSpywareMalwarePhishingSpamInappropriate URLsIdentity TheftOffensive ContentUnauthorized AccessIntrusions & AttacksInsecure Comms.NEW Anti-X Service ExtensionsResource & Information Access ProtectionHacker ProtectionClient ProtectionDDoS ProtectionProt
20、ected Email CommunicationProtected Web Browsing Protected File ExchangeUnwanted Visitor ControlAudit & Regulatory AssistanceNon-work Related Web SitesIdentity Protection Granular Policy ControlsComprehensive Malware ProtectionAdvanced Content FilteringIntegrated Message SecurityEasy to UseASA 5500 w
21、ith CSC-SSM 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID19Cisco Confidentialhttp:/ 80Web 服务Web 应用IM 流量多媒体互联网访问43%43%55%43%98%采用应用级防火墙进行深入的攻击防护采用应用级防火墙进行深入的攻击防护“75% 针对 Web 服务器的攻击是基于应用层,而不是网络层次80 HTTPJohn Pescatore, VP and Research Director, Gartner, June 2002.Source: Aug 2002 InfoWorl
22、d/Network Computing survey of IT Professionals64% 的企业用户在防火墙上开放的企业用户在防火墙上开放80端口,端口,用于满足其内部基于用于满足其内部基于Web的各类应用服务的各类应用服务流量的需要流量的需要 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID20Cisco Confidentialhttp:/ Zone 2Internal Zone 3利用利用AD(Anomaly detection algorithms)检测并阻止零日攻击()检测并阻止零日攻击( Day-Ze
23、ro ) 自动学习网络流量特征自动学习网络流量特征 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID21Cisco Confidentialhttp:/ OfficeInternetEdgeASA 5550ASA5500的产品一览的产品一览ASA 5580-20ASA 5580-40ASA 5505 集成化的安全平台集成化的安全平台集成化的安全平台集成化的安全平台 符合下一代防火墙标准的硬件架构标准符合下一代防火墙标准的硬件架构标准符合下一代防火墙标准的硬件架构标准符合下一代防火墙标准的硬件架构标准 统一的安全管理界面统一
24、的安全管理界面统一的安全管理界面统一的安全管理界面 符合业界高标准的安全认证符合业界高标准的安全认证符合业界高标准的安全认证符合业界高标准的安全认证 还有更多还有更多还有更多还有更多Data CenterASA 5540ASA 5520ASA 5510Cisco ASA 5500 PlatformsNewNewCampusSegmentationCisco Confidential NDA Use Only 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID22Cisco Confidentialhttp:/ 2006 Ci
25、sco Systems, Inc. All rights reserved.Presentation_ID23Cisco Confidentialhttp:/ ASA5520Vendor “A”Vendor “B”Vendor “C”Firewall Performance (Mbps) with All Attack/Virus Signatures Enabled, 16-Kbyte HTTP Object SizeConnections per Second PerformanceCisco ASA5520Vendor “A”Vendor “B”Vendor “C”Source: Mie
26、rcom, October 2005 UTM Product Comparison 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID24Cisco Confidentialhttp:/ 5500 的安全防护效能?的安全防护效能?Corporate Network远程分支机构远程分支机构本地互联网访问本地互联网访问数据中心数据中心Extranet: 商业商业合作伙伴接入合作伙伴接入远程远程VPN接入接入DMZ: 对外对外互联网服务互联网服务 内部内部LAN接入接入普通终端的普通终端的互联网访问互联网访问WLAN接入接入Int
27、ernal SegmentationCisco ASA 5500 IPSEditionCiscoASA 5500SSL & IPSecVPN EditionCisco ASA 5500 Anti-X EditionCiscoASA 5500IPSEditionCiscoASA 5500FirewallEditionCiscoASA 5500FirewallEdition 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID25Cisco Confidentialhttp:/ FW/IPS版本VPN接入:ASA55x0 FW或V
28、PN版本内部WLAN接入:ASA5510/5520/5540 IPS版本远程分支机构接入:ASA55x0 FW或CSC版本内部应用系统防护:ASA55x0 IPS或 5550/5580 FW版本 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID26Cisco Confidentialhttp:/ portIron portWeb/AVWeb/AVSPAMSPAM防护防护统一统一VPNVPN接入系统:接入系统:IPSec/SSL VPNIPSec/SSL VPN 2006 Cisco Systems, Inc. All ri
29、ghts reserved.Presentation_ID27Cisco Confidentialhttp:/ Port :企业级内容安全产品:企业级内容安全产品InternetC-SeriesEMAIL安全网关安全网关S-SeriesWEB安全网关安全网关M-Series安全安全 管理设备管理设备IronPortSenderBase 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID28Cisco Confidentialhttp:/ 基于消息的安全解决方案基于消息的安全解决方案IRONPORTIRONPORTIRONPO
30、RTIRONPORTSERVICESSERVICESSERVICESSERVICESSender-BaseSender-BaseSender-BaseSender-BaseReputationalReputationalReputationalReputational FilteringFilteringFilteringFilteringIRONPORTIRONPORTIRONPORTIRONPORTPLATFORMSPLATFORMSPLATFORMSPLATFORMSAnti-SpamAnti-SpamAnti-SpamAnti-SpamVirus Virus Virus Virus O
31、utbreak Outbreak Outbreak Outbreak FilteringFilteringFilteringFilteringContent Content Content Content FilteringFilteringFilteringFilteringC-SeriesC-SeriesEmailEmail Security Appliance Security ApplianceS-SeriesS-SeriesWebWeb Security Appliance Security AppliancePARTNERPARTNERPARTNERPARTNERSERVICESS
32、ERVICESSERVICESSERVICESAnti-VirusAnti-VirusAnti-VirusAnti-VirusAnti-SpywareAnti-SpywareAnti-SpywareAnti-SpywareURL URL URL URL FilteringFilteringFilteringFilteringInstant Instant Instant Instant MessagingMessagingMessagingMessaging& Peer-to-& Peer-to-& Peer-to-& Peer-to-Peer ControlPeer ControlPeer
33、ControlPeer ControlData LeakageData LeakageData LeakageData LeakageEncryptionEncryptionEncryptionEncryption 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID29Cisco Confidentialhttp:/ portIron portWeb/AVWeb/AVSPAMSPAM防护防护统一统一VPNVPN接入系统:接入系统:IPSec/SSL VPNIPSec/SSL VPN 2006 Cisco Systems, I
34、nc. All rights reserved.Presentation_ID30Cisco Confidentialhttp:/ InternetASA 5500 VPN Edition网页定制化的网页定制化的SSL VPN接入接入网页定制化网页定制化SSL VPN接入接入隧道模式的隧道模式的SSL或或IPSec VPN LAN接入接入商业合作伙伴的商业合作伙伴的VPN接入接入Requires “locked-down” access to specific extranet resources and applications出差员工的远程接入服务出差员工的远程接入服务Remote acc
35、ess users require seamless, easy to use, access to corporate network resources第三方平台临时接入服务第三方平台临时接入服务Remote users may require lightweight access to e-mail and web-based applications from a public machine远程分支机构以及远程分支机构以及SOHU型用户的型用户的LAN接入接入Day extenders and mobile employees require consistent LAN-like,
36、 full-network access, to corporate resources and applications隧道模式的隧道模式的SSL或或IPSec VPN客户端接入客户端接入 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID31Cisco Confidentialhttp:/ IPSec and SSL VPNCustomizable access and streamlined management comprehensive IPSec and SSL VPN solutions on one plat
37、formEase of administration dynamically downloadable SSL VPN client is centrally configured and easy to update Fast initiation and operation multiple delivery methods and small download size ensures broad compatibility and rapid downloadASA 5500 2006 Cisco Systems, Inc. All rights reserved.Presentati
38、on_ID32Cisco Confidentialhttp:/ Clientless AccessFully clientless web-based network access allows anywhere access to network resourcesWeb content transformation provides excellent compatibility with web pages containing Java, ActiveX, complex HTML and JavaScriptMultiple browser support ensures broad
39、 connection compatibilityUniform and efficient application delivery via fully clientless Citrix supportCustomizable user portal for ease of use and enhanced user experienceASA 5500 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID33Cisco Confidentialhttp:/ generation VPN client, available
40、 on many platforms including:Windows Vista 32- and 64-bitt, Windows XP 32- and 64-bit, and Windows 2000Mac OS X 10.4 (Intel and PPC)Intel-based LinuxWindows Mobile 5 Pocket PC EditionStand-alone, Web Launch, and Portal Connection ModesStart before Login (SBL) and DTLS supportWindows 2000 and XP only
41、New! 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID35Cisco Confidentialhttp:/ Connections企业网络企业网络互联网互联网远程接入系统远程接入系统远程分支机构远程分支机构数据中心数据中心管理网段管理网段内部局域网内部局域网Internet Connections企业互联网的业务安全企业互联网的业务安全STOPGOSTOPGOGOSTOPGO互联网边界安全控制互联网边界安全控制应用级别的安全防护应用级别的安全防护防火墙防火墙入侵防护系统入侵防护系统内容级别的安全防护内容级别的安全防护W
42、eb/AVWeb/AVSPAMSPAM防护防护统一统一VPNVPN接入系统接入系统企业网络安全接入控制企业网络安全接入控制LAN/WLAN/VPNLAN/WLAN/VPN的接入控制的接入控制评估终端的安全防护状态评估终端的安全防护状态控制终端接入的安全策略控制终端接入的安全策略主动终端防护系统主动终端防护系统主动适应型终端防护主动适应型终端防护, , 确确保终端访问互联网时的安保终端访问互联网时的安全,抵御互联网蠕虫以及全,抵御互联网蠕虫以及网页木马病毒的攻击网页木马病毒的攻击企业安全策略控制企业安全策略控制, , 防止防止内部用户的恶意行为内部用户的恶意行为终端与网络入侵防护及监终端与网络入
43、侵防护及监控系统的联动控系统的联动 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID36Cisco Confidentialhttp:/ Cisco Security AgentCisco Security Agent主动适应型终端防护主动适应型终端防护, , 确保终端访问互联网时的确保终端访问互联网时的安全,抵御互联网蠕虫以及网页木马病毒的攻击安全,抵御互联网蠕虫以及网页木马病毒的攻击企业安全策略控制企业安全策略控制, , 防止内部用户的恶意行为防止内部用户的恶意行为终端与网络入侵防护及监控系统的联动终端与网络入侵防护及
44、监控系统的联动 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID37Cisco Confidentialhttp:/ Mydoom W32.Blaster Fizzer Bugbear Sobig.E SQL Slammer Sircam.A CodeRed Nimda W32.Netsky更多更多, 不需要签名更新不需要签名更新!Cisco安全代理安全代理 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID38Cisco Confidentialhtt
45、p:/ 逻辑结构逻辑结构集中式安全管理器集中式安全管理器SNMPTraps客户程序客户程序本地文件本地文件策略策略 / 更新更新报警报警基于浏览器的管理界面基于浏览器的管理界面配置配置报告,事件报告,事件桌面代理桌面代理桌面代理桌面代理桌面代理桌面代理服务器代理服务器代理服务器代理服务器代理 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID39Cisco Confidentialhttp:/ - 攻击流程分析攻击流程分析被攻击被攻击的目标的目标12345探测探测渗透渗透寄生寄生传播传播发作发作地址探测地址探测端口扫描端口扫
46、描密码猜测密码猜测邮件用户猜测邮件用户猜测恶意邮件恶意邮件缓冲区溢出缓冲区溢出恶意恶意ActiveX 控件控件自动软件安装自动软件安装利用已有后门利用已有后门创建新文件创建新文件修改已有文件修改已有文件修改注册表修改注册表安装新的网络服务安装新的网络服务建立系统后门建立系统后门邮件传播邮件传播Web传播传播IRC 传播传播FTP传播传播文件传播文件传播删除文件删除文件修改文件修改文件使计算机瘫痪使计算机瘫痪拒绝服务拒绝服务攻击准备攻击实施攻击后续 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID40Cisco Confid
47、entialhttp:/ 2005, Zotob 蠕虫爆发从微软公布漏洞到病毒爆发只有短短5天的时间 思科内部IT紧急发布Patch,但是仍有大约18000台终端没有进行更新升级,在此期间全部依赖CSA完成终端的防护在整个事件中,全球58000台IT管理的桌面终端中,仅有319位用户受到影响,其原因在于关闭了CSA的防护功能或者是采取了错误操作这319名员工的系统在2天内得到了全面的恢复Cisco Cisco 安全代理安全代理 思科思科 实际案例分析实际案例分析 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID41Cisc
48、o Confidentialhttp:/ floppy disk, CD Burner限制通过非授权接口的进行数据传送Modem, Bluetooth, IRDA限制通过webmail, p2p或IM发送关键数据限制系统的cut & paste clipboard误操作EMAILSecurity ApplianceWEBSecurityAppliance企业级别的安全企业级别的安全内容识别与数据保护内容识别与数据保护 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID43Cisco Confidentialhttp:/ Sc
49、annerAWindows ServerLinux ServerNot VulnerableFilter EventVulnerableIncrease Risk RatingEvent / Action FilteringMonitoring Console:Non-relevant events filteredAttacker initiates IIS attack destined for serversContextual information on attack target used to refine security responseContextual informat
50、ion gathered through: Passive OS fingerprinting Static OS mapping for exception handlingDynamic Risk Rating adjustment based on attack relevanceResult: More appropriate and effective security response actions针对终端防护的关联评估针对终端防护的关联评估New! 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID44Cis
51、co Confidentialhttp:/ Unmanaged AgentUnmanaged NetworkShips standalone CSA on 50K+ ATM devices per yearNew enhancements added to 5.2:Local IP address configurationLocal registry protection configurationCSA Team Focus: Contact Phuong Nguyen (pvnguyen) with standalone opportunities 2006 Cisco Systems,
52、 Inc. All rights reserved.Presentation_ID45Cisco Confidentialhttp:/ 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID46Cisco Confidentialhttp:/ 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID47Cisco Confidentialhttp:/ visitor who needs network access (usually internet only, b
53、ut could be more)SPONSORThe internal user who wants to be able to provide internet access to their guestNETWORK ENFORCEMENT DEVICEWeb re-direction, authentication and provides access.Wireless LAN Controller or NAC ApplianceNAC GUEST SERVEREnables sponsor to create guest account; audits; provisions a
54、ccount on network enforcement device 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID48Cisco Confidentialhttp:/ or WirelessNAC ApplianceCisco GuestServer1.Sponsor accessesCisco Guest Server, such as http:/2.Sponsor authenticates using corporate credentials3.Sponsor Creates Account on the
55、 Cisco Guest Server4.Sponsor gives guest account details (email/print/sms)5.Guest Server Provisions Account on the Cisco NAC ApplianceActive Directory1.2.3.4.5.访客控制的说明访客控制的说明: : 内部员工预先创建帐号内部员工预先创建帐号 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID49Cisco Confidentialhttp:/ or Wireless1.G
56、uest opens Web browser2.Web traffic is intercepted by Network Enforcement Device and redirected to login page (captive portal)3.Guest logs in with details provided by sponsor4.Guest can now access the internet5.Guest Access Recorded6.Guest removed when session time expiresActive Directory2.4.6.5.Cis
57、co GuestServerNAC Appliance1. 3. 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID50Cisco Confidentialhttp:/ 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID51Cisco Confidentialhttp:/ enter username:设备安全设备安全网络安全网络安全使用网络准入安全策略,确保进入网络的设备符合策略。使用网络准入安全策略,确保进入网络的设备符合策略。身份识别身份识别q 用户
58、是谁用户是谁?q 用户是否得到了授权用户是否得到了授权?q 用户的角色是什么用户的角色是什么?NACq MS是否进行了修补是否进行了修补? q 是否存在是否存在A/V或或A/S?q 是否正在运行是否正在运行?q 是否提供服务是否提供服务?q 所需文件是否存在所需文件是否存在?以及以及q 是否建立了策略是否建立了策略? q 不符合策略的设备是否被隔离不符合策略的设备是否被隔离? q 是否需要修复是否需要修复?q 是否提供修复是否提供修复?以及以及 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID52Cisco Confide
59、ntialhttp:/ NAC 需求的演进需求的演进Governance200320082004: $92m2006: $207mSecure GuestUserIdentityDeviceProfilingWhoareyou?Whatson yourdevice?What otherdevices areconnected?Who else isconnecting?What are theconditionsof access?2005: $131m2007: $354m2008: $570mMarket Size(source: IDC, June 2007)Value-AddPostu
60、reAssessment 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID53Cisco Confidentialhttp:/ Portal ServicesGuest & Registration PortalOS Detection & RestrictionRole based AUPProvisioning & ReportingProfiling ServicesDevice ProfilingBehavioral MonitoringDevice ReportingPosture ServicesManaged
61、 Device PostureUnmanaged Device ScanningRemediationOperational ServicesHelp Page/Desk WorkflowWeb, MAC, IP backup AuthenticationRADIUS Accounting ProxyCisco NAC Appliance ServerIntegrated NAC Services reduce ongoing operational costs 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID54Cisc
62、o Confidentialhttp:/ 也可以应用于WLAN/VPN一般在销售初期可以考虑WLAN或VPN的试用, 然后扩展到LAN环境同时还可以销售ACS认证系统 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID55Cisco Confidentialhttp:/ Appliance 的工作重点的工作重点认证与授权Enforces authorization policies and privilegesSupports multiple user roles评估Agent scan for required vers
63、ions of hotfixes, AV, and other softwareNetwork scan for virus and worm infections and port vulnerabilities隔离Isolate non-compliant devices from rest of network MAC and IP-based quarantine effective at a per-user level更新与升级Network-based tools for vulnerability and threat remediationHelp-desk integrat
64、ionAll-in-One Policy Complianceand Remediation Solution 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID56Cisco Confidentialhttp:/ Clean Access ServerServes as an in-band or out-of-band device for network access controlCisco Clean Access ManagerCentralizes management for administrators,
65、support personnel, and operatorsCisco Clean Access AgentOptional lightweight client for device-based registry scans in unmanaged environmentsRule-set UpdatesScheduled automatic updates for anti-virus, critical hot-fixes and other applicationsNAC Appliance 的组成部分的组成部分 2006 Cisco Systems, Inc. All righ
66、ts reserved.Presentation_ID57Cisco Confidentialhttp:/ 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID58Cisco Confidentialhttp:/ Access posture validation is a hierarchical process with either pre-loaded or custom profiles CHECKS assess the state of a file, application, service, or regis
67、try keyRULES contain single or multiple ChecksREQUIREMENTS contain single or multiple RulesROLES have one or more RequirementsNAC检查策略的架构检查策略的架构 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID59Cisco Confidentialhttp:/ users eachSuperManagermanages up to 40Enterprise andBranch Servers NA
68、C Appliance 的应用规模的应用规模Users = online, concurrentEnterprise andBranch Servers 1500/2500 users eachStandardManagermanages up to 20Branch Officeor SMB Servers100 users250 users500 usersManagerLitemanages up to 3 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID60Cisco Confidentialhttp:/ Appl
69、iance 支持丰富的第三方平台支持丰富的第三方平台Critical Windows UpdatesWindows XP, Windows 2000, Windows 98, Windows MEAnti-Virus UpdatesAnti-Spyware UpdatesOther 3rd Party ChecksCisco SecurityAgentCustomers can easily add customized checks 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID61Cisco Confidential
70、http:/ L3 OOB ACL ImplementationNAC L3 OOB ACL Implementation互联网互联网互联网出口区域L3核心交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域L3链路L2链路逻辑链路网络准入服务器群TUT 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID62Cisco Confidentialhttp:/ L3 OOB ACL ImplementationNAC L3 OOB ACL Implementation互联网互
71、联网互联网出口区域L3核心交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域L3链路L2链路逻辑链路网络准入服务器群用户接入交换机端口,端口处于认证VLANTUT 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID63Cisco Confidentialhttp:/ L3 OOB ACL ImplementationNAC L3 OOB ACL Implementation互联网互联网互联网出口区域L3核心交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开
72、放服务器区域冗余的CAM带外/带内网管区域L3链路L2链路逻辑链路在认证VLAN的接口上通过ACL控制用户仅可以访问开放服务器区域以及CAS服务器的控制服务IPTUT网络准入服务器群 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID64Cisco Confidentialhttp:/ L3 OOB ACL ImplementationNAC L3 OOB ACL Implementation互联网互联网互联网出口区域L3核心交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网
73、管区域L3链路L2链路逻辑链路网络准入服务器群TUT客户端完成DHCP以及DNS请求, 从而获得本机IP地址以及相应CAS服务器的控制服务IP地址(由域名解析而来) 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID65Cisco Confidentialhttp:/ L3 OOB ACL ImplementationNAC L3 OOB ACL Implementation互联网互联网互联网出口区域L3核心交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域L3链路L2
74、链路逻辑链路网络准入服务器群TUT在此前后, 客户端完成AD域的登陆以及脚本执行等工作 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID66Cisco Confidentialhttp:/ L3 OOB ACL ImplementationNAC L3 OOB ACL Implementation互联网互联网互联网出口区域L3核心交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域L3链路L2链路逻辑链路网络准入服务器群TUT客户端向CAS服务器的服务IP地址发送UDP
75、 8905数据包, 可以由C6K完成自动负载均衡转发, 并获得CAS服务器的响应, 从而激活认证以及策略检查过程 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID67Cisco Confidentialhttp:/ L3 OOB ACL ImplementationNAC L3 OOB ACL Implementation互联网互联网互联网出口区域L3核心交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域L3链路L2链路逻辑链路网络准入服务器群TUT客户设备需要进行系
76、统补丁或AV软件升级等工作流量,可以直接访问开放服务器区域 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID68Cisco Confidentialhttp:/ L3 OOB ACL ImplementationNAC L3 OOB ACL Implementation互联网互联网互联网出口区域L3核心交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域L3链路L2链路逻辑链路网络准入服务器群TUTCAS服务器通知CAM该客户端已经符合所有安全检查策略, 可以接入网络
77、2006 Cisco Systems, Inc. All rights reserved.Presentation_ID69Cisco Confidentialhttp:/ L3 OOB ACL ImplementationNAC L3 OOB ACL Implementation互联网互联网互联网出口区域L3核心交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域L3链路L2链路逻辑链路网络准入服务器群TUTCAM服务器将相关接入交换机的端口按照用户认证的身份转入相关VLAN 2006 Cisco Systems, Inc. All ri
78、ghts reserved.Presentation_ID70Cisco Confidentialhttp:/ L3 OOB ACL ImplementationNAC L3 OOB ACL Implementation互联网互联网互联网出口区域L3核心交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域L3链路L2链路逻辑链路网络准入服务器群TUT系统在特定VLAN接口上面通过ACL方式, 预设相关的安全访问控制策略 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID7
79、1Cisco Confidentialhttp:/ OOB ACLL3 OOB ACL架构设计的优势架构设计的优势CAM采用冗余设置, CAS采用冗余或Cluster方式, 确保整体系统的高可用性;用户的认证流量通过CAS完成所有的工作, 利用DNS的解析以及思科C6K交换机的自动load balance进行认证流量的负载均衡以及冗余保护;用户检查过程中的升级流量通过正常交换路径进行传输, 减轻CAS的压力;用户经过检查之后, 所有的数据流量均通过正常交换路径进行传输, 保证系统的性能最优化;CAS服务器仅需要处理客户端的UDP请求以及SSL认证与检查流量, 可以轻松满足100-3500用户的
80、处理需求; 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID72Cisco Confidentialhttp:/ 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID73Cisco Confidentialhttp:/ DirectorCoupling Facility快速以太网或令牌环交换机DLSW+路由器IBM主机ESCON/FICONCisco7507Catalyst6509Catalyst5509Cisco7507FC交换核心交换核心Catalys
81、t6513SNA/IP网关IP业务服务器SNAswDLSW业务服务器群Catalyst6513开发测试网区域主机系统Cisco 5350/Cisco5400外围网关IP PBXIP自动语音应答客户关系管理数据库应用网关CTI服务器AW管理工作站传真系统IP录音系统普通业务咨询专长理财n*E1客户专职业务代表语音接入VoIP网关ICMPGIP IVRCTI客服中心核心系统Catalyst6509外联网区域PIX535Catalyst 4000Cisco IDSPIX 535Cisco 7200拨号访问服务器Cisco 3600Cisco 7200DNS应用服务器Cisco IDS4-7层分析Ci
82、sco IDS4-7层分析WEB协同服务器电子邮件服务器内容交换机CSS11500电子邮件管理服务器PIX 535GSS全局网站定位器GSS全局网站定位器CiscoWorks 2000 IDS 管理Cisco Info ServerVPN Solution CenterCIC Reporter运行管理网络区域网元管理事件管理中心事件统计汇报SNA管理安全管理话音管理广域接入网区域Catalyst 6513Catalyst 4500Catalyst 3550服务器群(均衡负载)VoIP关守HSRPCDM4650CE560/CE590无线以太网访问点E-LearningLMS服务器WEB服务器其它
83、服务器IP/TV内容管理器Cisco 3660VoIP网关AS5350MCS办公网络区域内容分发管理器CDM内容路由器CR互联网连接区域访问管理控制服务器外层防火墙DNS服务器InternetISPA内层防火墙邮件服务器邮件网关(防毒)Cisco VPN集中器Cisco IDS4-7层分析AAA认证服务器外网交换机Cisco 7200拨号访问服务器Cisco 3600PSTNCisco 7200PIX 535PIX 535Catalyst4507InternetISPBCatalyst 6509Catalyst 4500客户服务中心区域生产/应用区域分公司分公司合作伙伴合作伙伴分公司分公司安全
84、管理中心安全认证中心入侵监测中心防病毒服务器边界防火墙入侵防范安全VPN路由器集成安全防护边界防火墙边界防火墙入侵监测防范入侵监测防范安全交换机网络准入控制路由器集成安全防护VPN安全接入垃圾邮件防护内容安全控制防DDoS攻击边界防火墙认证服务器入侵监测拨号接入无线安全接入动态密码语音安全服务器安全加固入侵监测边界防火墙网络病毒过滤漏洞扫描网络准入控制终端安全防护防DDoS攻击入侵监测反向地址验证边界防火墙二级防火墙二级防火墙流量监测服务器安全加固垃圾邮件防范入侵监测网络准入控制防火墙语音安全应用安全流量监控设备加固反向地址验证防火墙入侵监测入侵监测设备加固应用安全保护防DDoS攻击 2006
85、 Cisco Systems, Inc. All rights reserved.Presentation_ID74Cisco Confidentialhttp:/ 可以加以利用我们需要根据各个行业进行应用系统防护用户认证与授权: ACS/NAC应用系统防护: FW/IPS应用系统的安全监控: MARS 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID75Cisco Confidentialhttp:/ 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID
86、76Cisco Confidentialhttp:/ Connections企业网络企业网络互联网互联网Remote Access SystemsRemote/Branch OfficeData CenterManagement NetworkCorporate LANInternet Connections网络入侵防护、监控与响应网络入侵防护、监控与响应服务器的防护服务器的防护恶意攻击防护恶意攻击防护异常行为监护异常行为监护入侵防护系统入侵防护系统异常检测异常检测特征判别特征判别风险评估风险评估攻击确认与响应攻击确认与响应攻击确认与定位攻击确认与定位整体攻击分析与报告整体攻击分析与报告 20
87、06 Cisco Systems, Inc. All rights reserved.Presentation_ID77Cisco Confidentialhttp:/ 产品线分布产品线分布Cisco IPS 4200 Series SensorsIPS 4215 - 80 MbpsCatalyst IDSM-2 Bundle - 2 GbpsCisco ASA 5500 Series IPS Editions and AIP ModulesCisco IOS IPSCatalyst 6500 Service ModulesCisco ISR IDS/IPS ModuleIPS 4240 -
88、300 MbpsIPS 4255 - 600 MbpsIPS 4260 2 GbpsIDSM2 - 600 MbpsNative IOS IPS for the Cisco ISR A variety of performance points for the Branch Office EnvironmentNM-CIDS - 45 Mbps IDSASA 5510 Up to 150 MbpsAIP SSM-10ASA 5520 Up to 375 MbpsASA 5540 Up to 450 MbpsAIP SSM-20IPS 4270 4GbpsIPS AIM Up to 45 Mbp
89、s 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID78Cisco Confidentialhttp:/ Zone 2Internal Zone 3利用利用AD(Anomaly detection algorithms)检测并阻止零日攻击()检测并阻止零日攻击( Day-Zero ) 自动学习网络流量特征自动学习网络流量特征 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID80Cisco Confidentialhttp:/ 2006 Cisco Sy
90、stems, Inc. All rights reserved.Presentation_ID81Cisco Confidentialhttp:/ FirewallManagementVPNManagementMonitoringIDS/IPSManagementFull Lifecycle SupportIntegrated Multi-TechnologySecurity ManagementCustomer OperationsIntegrationImprove OperationalEfficienciesMaintain UptimeCS Manager + CS-MARS 200
91、6 Cisco Systems, Inc. All rights reserved.Presentation_ID82Cisco Confidentialhttp:/ CSM: 适合大量安全设备的部署管理适合大量安全设备的部署管理Management is about re-using objects, policies and settingsTake any device policy/setting and share it so it can bere-usedCopy, inheritance, and assignment 2006 Cisco Systems, Inc. All
92、rights reserved.Presentation_ID83Cisco Confidentialhttp:/ 从大量未经处理的网络与安全设备报警信息中过滤出真正的安全攻击事件,从而确保系统的安全策略得以实施基于网络的智能化关联攻击事件的确认攻击的可视化主动的调查全面的防护功能策略管理高性能让人心动的总体拥有成本思科安全监控、分析与响应系统思科安全监控、分析与响应系统 (CS-MARS)(CS-MARS) 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID84Cisco Confidentialhttp:/ 明确无误的攻
93、击事件报警; 攻击路径的详细细节披露,同时提供网络安全设备的防护建议相关事件可以通过网络拓扑的感知,利用NAT加以动态关联、纠正、分类及确认CS-MARS 企业攻击防御管理企业攻击防御管理购置、部署与维护的成本较高最低的总体拥有成本; 直接的防护效果, 简单的使用与部署的选择普通的普通的SIM产品产品 企业安全信息管理企业安全信息管理性能较低,可以通过集群或高性能的硬件平台进行提升关联性能超过10,000 事件/秒,同时达到300,000 流 / 秒CS-MARS是企业安全管理的新式武器是企业安全管理的新式武器 2006 Cisco Systems, Inc. All rights reser
94、ved.Presentation_ID85Cisco Confidentialhttp:/ 流量, 设备配置, 设备的强行控制能力ContextCorrelation事件的关联, 过滤与分类相关事件的确认Valid IncidentsSessionsRulesVerifyIsolated EventsCorrelationReductionRouter Cfg.Firewall LogSwitch Cfg.Switch LogServer LogAV AlertApp LogVA ScannerFirewall Cfg.NetflowNAT Cfg.IDS Event.CS-MARS: 战场监
95、控仪战场监控仪 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID86Cisco Confidentialhttp:/ “命令与控制命令与控制” 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID87Cisco Confidentialhttp:/ “Connect the Dots”SureVector 分析提供精确的可视化攻击路径标识下拉菜单式, 完整的事件细节说明利用攻击特性分析进行攻击源的精确定位攻击细节的描述1. 主机主机A针对目标针对目标X进行
96、进行端口扫描端口扫描2. 主机主机A对对X进行进行缓冲区溢出攻击缓冲区溢出攻击(X处于处于NAT设备之后,同时系统具设备之后,同时系统具有有安全漏洞)安全漏洞)3.黑客以目标黑客以目标X为跳板,针对为跳板,针对NAT下下游的主机游的主机Y进行进行口令攻击口令攻击 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID88Cisco Confidentialhttp:/ LC(本地控制器)被动式监控 设备可以放置在任意地点接收或发送数据CS-MARS GC (全局控制器)提供全局的可视化服务, 集中管理, 企业级分析报告分布式处理
97、: 事件, 规则, 请求, 报告安全有效的通讯,数据的合并与存储OutboundMail, URLFiltersAAAExternalInboundRemoteCommerceVPNTunnelMgmt.VLANAAASwitchRouterSwitch / NIDSFW / NATCS-MARS GCWebApplicationDatabaseCS-MARSInternal NetworkCS-MARS 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID89Cisco Confidentialhttp:/ CS-MARS
98、“联合防御联合防御”利用网络设备的控制能力进行攻击防护提供可视化的L2/L3攻击路径标识防御设备的选择提供准确的防护配置命令FirewallRouterSwitch 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID90Cisco Confidentialhttp:/ Tools MARS Tools 第三方设备支持第三方设备支持用户现网已经安装大量第三方安全设备, 例如天融信等国产设备.我们可以利用MARS以及MARS Tools完成相关设备的安全事件分析与报告 2006 Cisco Systems, Inc. All r
99、ights reserved.Presentation_ID91Cisco Confidentialhttp:/ CS-MARS: 策略报告策略报告在报告中提供可定制分类的选项 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID92Cisco Confidentialhttp:/ 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID93Cisco Confidentialhttp:/ 2006 Cisco Systems, Inc. All rights r
100、eserved.Presentation_ID94Cisco Confidentialhttp:/ 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID95Cisco Confidentialhttp:/ 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID96Cisco Confidentialhttp:/ 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID97Cisco Confiden
101、tialhttp:/ 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID98Cisco Confidentialhttp:/ MarsTools 中文化中文化 界面界面 统计报表统计报表 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID99Cisco Confidentialhttp:/ 最低的总体拥有成本直接的效果快速的安装与使用, 基于WEB的配置界面无需安装代理, 内置Oracle 支持大部分的网络与安全设备优化的性能与扩展性快速的处理能力启用所有
102、功能时仍可以支持每秒10,000以上的事件高容量RAID存储, 持续的NFS备档Global controller支持分布式CS-MARS管理 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID100Cisco Confidentialhttp:/ # 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID101Cisco Confidentialhttp:/ 2006 Cisco Systems, Inc. All rights reserved.Prese
103、ntation_ID102Cisco Confidentialhttp:/ 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID103Cisco Confidentialhttp:/ 以互联网接入安全为主, 侧重边界安全领域. 例如ASA(包括IPS, VPN), Ironport Web/Mail安全系统第二阶段:构筑完整的安全入侵防御与监控响应系统. 包括FWM/NIPS/HIPS以及MARS系统第三阶段: 以内部应用系统为主, 侧重安全域的规划,以FWM及IPS为主构架应用防护体系第三阶段: 从终端系统入手, 包括终端防
104、护以及准入控制. 主要是NAC Appliance以及CSA Desktop防护 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID104Cisco Confidentialhttp:/ 基于应用系统的防护,建立内部纵深防护区域,增加FWM及入侵防护系统, 进而建立全面的安全监控/响应体系第二阶段: 建立完善全面的终端安全以及网络准入控制体系 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID105Cisco Confidentialhttp:/ 建立网络
105、攻击的监控与响应系统, 进而完善全网入侵监控与防护体系第二阶段:建立完善全面的终端安全以及网络准入控制体系第三阶段: 寻找机会改进相关的应用及互联网安全系统 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID106Cisco Confidentialhttp:/ and organization-basedSecurity policies / proceduresBusiness impact / riskSecurity Program ReviewSecurity Program ReviewArchitectural
106、-basedTechnical focusStrategic remediationSecurity Architecture ReviewSecurity Architecture ReviewComprehensiveSecurityAssessmentVulnerability-based assessmentTechnical focusTactical remediationSecurity Posture AssessmentSecurity Posture AssessmentCovering People / Process / Technology利用服务方式挖掘客户的安全需
107、求, 进行整体规划 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID107Cisco Confidentialhttp:/ (China List Price)(China List Price)500用户: 100-200KASA FW/IPS/VPN:ASA5510/5520/5540 (20K-100K)ACS/CSA/NAC:20K, 50K, 50-100KIPS/MARS:IPS4240/4255, MARS20/50 (50-100K)1500用户: 100K-500KASA FW/IPS/VPN:ASA55
108、20/5540/5550FWM/IDSM:70K-150KACS/CSA/NAC:20K, 100K, 150KIPS/MARS:IPS4255/4260/4270, MARS50/110R. (100-200K)2500用户以上: 300K-1MASA FW/IPS/VPN:ASA5540/5550/5580FWM:70K-250KACS/CSA/NAC:20K, 200K, 250KIPS/MARS:IPS4260/4270, MARS110R/110/210 (200-500K) 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID108Cisco Confidentialhttp:/ 完美的防护体系包括什么? 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID109Cisco Confidentialhttp:/
