cisco網(wǎng)絡(luò)安全體系架構(gòu)-SEVT

網(wǎng)絡(luò)平安架構(gòu)的未來議程網(wǎng)絡(luò)平安開展趨勢網(wǎng)絡(luò)平安體系架構(gòu)思科自防御網(wǎng)絡(luò)SDN3.0網(wǎng)絡(luò)平安@中國網(wǎng)絡(luò)平安開展趨勢2021年十大互聯(lián)網(wǎng)平安趨勢–Web2.0時代到來

1.社交網(wǎng)站和Web2.0網(wǎng)站成為黑客攻擊目標(biāo)。2.“僵尸網(wǎng)絡(luò)〞將繼續(xù)繁殖。3.通過IM傳播的“flash〞蠕蟲將大規(guī)模爆發(fā)。4.在線游戲等虛擬社區(qū)將成為重要攻擊目標(biāo)。5.WindowsVista將成為黑客攻擊目標(biāo)。

6.廣告軟件數(shù)量下滑。7.“釣魚〞式攻擊將面向普通小型網(wǎng)站。8.寄生惡意軟件明年增長20%。9.虛擬機平安問題突出。10.VoIP攻擊將直線上升。數(shù)據(jù)平安排名第一DataprotectionVulnerabilitysecurityPolicyandregulatorycomplianceIdentitytheftandleakageofinformation

VirusesandwormsRiskmanagementAccesscontrolUsereducation,trainingandawarenessWirelessinfrastructuresecurityInternalnetworksecurity/insiderthreatsSource:CSI/FBI2006ComputerCrimeandSecuritySurveyAccordingtoIDC,

increasingsophisticationofattacksand

complexityofsecuritymanagementwilldriveneedformoreintegrated/proactivesecuritysolutions.威脅-攻擊者竊賊間諜始作俑者集團利益?zhèn)€人牟利個人虛榮心好奇心初級〔腳本〕中級〔創(chuàng)造〕專家級專才密碼破解者造成經(jīng)濟利益損失最為嚴(yán)重迅猛增長趨于規(guī)?；?jīng)濟/政治利益武器數(shù)量所占比例最高學(xué)習(xí)攻擊行為-來源惡意URL0Day溢出端口

電子郵件附件IM文件安全實現(xiàn)要點描述兩個主要的安全策略實施與運營的要點安全實際行動描述實際的行動來增強可見度與可控度安全部署方法論描述安全策略與運營的監(jiān)控與改善方法論安全角色任務(wù)轉(zhuǎn)化安全系統(tǒng)與解決方案為安全實際行動安全業(yè)務(wù)相關(guān)性描述客戶特定的業(yè)務(wù)目標(biāo)與威脅對業(yè)務(wù)目標(biāo)實現(xiàn)造成的風(fēng)險與影響程度IPNGNSecurePlatform–威脅與業(yè)務(wù)關(guān)聯(lián)運營性效勞提供商分等級平安框架模型設(shè)計評估審計策略平安運營業(yè)務(wù)威脅可見度業(yè)務(wù)威脅可控度l存取身份分解隔離固化標(biāo)準(zhǔn)應(yīng)用感知業(yè)務(wù)目標(biāo)與客觀現(xiàn)狀平安威脅模型根底架構(gòu)平安清洗中心業(yè)務(wù)控制自適應(yīng)威脅對等平安自動化操作控制與與組合實行平安域隔離威脅SWAT準(zhǔn)入與終端平安…eTOM,ITIL運營部屬卓越執(zhí)行可執(zhí)行可度量策略執(zhí)行實施監(jiān)控與關(guān)聯(lián)協(xié)同平安實現(xiàn)者數(shù)據(jù)中心平安效勞架構(gòu)DataCenterConnectivitySecurityLinkRedundancy,DDOS,IPSec/SSLVPNDCNetworksecurityFirewalls,IDS/IPS,Anti-X/HostIPS/ScannerApplicationSecurityservicesSSLoffloading,XSS/SQL，XMLGateway/CCA/ACSDataSecurityDataLeakage,TerminalSecurity/CSATypicaladoptiontimelineManagementSecurityMonitor,Eventsanalysis,Response,PCI/SOX

技術(shù)原理優(yōu)勢與限制趨勢ACL策略控制三層端口控制無狀態(tài)，易欺騙集成防火墻防火墻

四層狀態(tài)檢測默認(rèn)情況不通，匹配策略控制層面不高UTMAnti–X（AV）入侵檢測Signature檢測

默認(rèn)都通，匹配特征漏報，誤報，升級不斷IDSvs.IPSIPSEC/SSLVPN

加密機秘鑰（連通）加密認(rèn)證的數(shù)據(jù)傳輸應(yīng)用的支持VPNAllinOne網(wǎng)閘GAP物理隔離，擺渡,蒸餾，協(xié)議剝離和重建技術(shù)安全交換數(shù)據(jù)，協(xié)議層，連通性涉密系統(tǒng)網(wǎng)絡(luò)準(zhǔn)入NAC端點控制（IP–ID）客戶端管理與網(wǎng)絡(luò)的集成流量清洗旁路牽引特殊流量Anti-DDOS安全服務(wù)中心MetroOpticalLayertoDistributedDataCenterFront-EndLayerApplicationLayerStorageLayerAggregationLayerVSANBack-EndLayerSecurityZonesVSANInternetEdgeSecondaryDataCenterSP1InternetSP2IPNetwork平安區(qū)域?qū)哟蜯ainframe

技術(shù)原理優(yōu)勢與限制趨勢ACL策略控制三層端口控制無狀態(tài)，易欺騙集成防火墻流量清洗旁路牽引特殊流量Anti-DDOS安全服務(wù)中心防火墻

四層狀態(tài)檢測默認(rèn)情況不通，匹配策略控制層面不高UTMAnti–X（AV）入侵檢測Signature檢測

默認(rèn)都通，匹配特征漏報，誤報，升級不斷IDSvs.IPSIPSEC/SSLVPN

加密機秘鑰（連通）加密認(rèn)證的數(shù)據(jù)傳輸應(yīng)用的支持VPNAllinOne網(wǎng)閘GAP物理隔離，擺渡,蒸餾，協(xié)議剝離和重建技術(shù)安全交換數(shù)據(jù)，協(xié)議層，連通性涉密系統(tǒng)網(wǎng)絡(luò)準(zhǔn)入NAC端點控制（IP–ID）客戶端管理與網(wǎng)絡(luò)的集成CiscoASA5580Series

N-TierFirewallRequirementsCiscoASAforn-tierapplicationsPerimeterFirewall Highconns/second AttackProtectionApplicationInspectionFirewall AdvancedInspection Highconcurrency

Back-endFirewall Highthroughput LowlatencyWebTierApplicationTierDatabaseTierInternet150K

Conns/sec2M

Concurrent

Connections<100μS

Latency數(shù)據(jù)中心整體平安部屬圖ICPS

prCSTSCiscoIOSRouterCatalystSwitchFWSMActive/ActiveInternalNetworkCatalystSwitchCiscoGuardXTCiscoIPS/IDSCiscoGuardXTDNSServersWeb,Chat,

E-mail,etc./CSATargetISP2ISP1CiscoAnomalyDetectorXTMARS/CSM/ACSACEModuleAVSERP/CRMCiscoHighPerformanceFirewallPortfolioTargetMarketFirewallCharacteristicsMaxFirewallPerf(RWHTTP)MaxFirewallPerf(1400UDP)MaxFirewallPerf(Jumbo)MaxFirewallConnectionsMaxConnections/SecMaxPackets/Sec(64byte)Latency(microseconds)MaxRules(ACEs)MaxSecurityContextsMaxVLANsBaseI/OMaxI/OCiscoASA5580-20Campus

Segmentation

/DataCenter5Gbps6.5Gbps10Gbps1,000,000

90,0002.8Million

<100512,000502502Mgmt24GEor

1210GENewCiscoASA5580-40Campus

Segmentation

/DataCenter10Gbps14Gbps20Gbps2,000,000

150,0005.5Million<1001,000,000502502Mgmt

24GEor

1210GECiscoFWSMCampus

Segmentation

/DataCenterTBD5.5Gbps5.5(50+Sup)1,000,000

100,0002.8Million

<5080K(160K4.0)2501000Sup-based536GEor

28-5610GENewCiscoMCP

5G/10G/20G

WANEdgeTBD5/10/20Gbps5/10/20GbpsTBD/500K/1M

TBD/50K/100K2+Million

TBDTBD/50K/200KN/A40001Mgmt120GE

or1210GENewCiscoASA5580Series

N-TierFirewallRequirementsCiscoASAforn-tierapplicationsPerimeterFirewall Highconns/second AttackProtectionApplicationInspectionFirewall AdvancedInspection Highconcurrency

Back-endFirewall Highthroughput LowlatencyWebTierApplicationTierDatabaseTierInternet150K

Conns/sec2M

Concurrent

Connections<100μS

LatencyCiscoASA5580-20OffersUnmatchedPerformance

CiscoASA5580-20vs.JuniperISG2000ThesuperiorarchitectureandsoftwareengineeringoftheCiscoASA5580-20willredefineperformance,scalability,andvalueforhighperformancesecurity.PerformanceMetricCiscoASA5580-20v8.1JuniperISG2000v6.0CiscoASA5580-20AdvantageTCPRealWorld(HTTP)3.9Gbps1.2Gbps3xRealWorldPerformanceUDPThroughput(1400)7.8Gbps3.9Gbps2xLargePacketPerformanceConnections/Second110,00012,000Nearly10xMoreScalabilityLatency48μSec62μSec23%LowerLatencyNote:ResultsbasedoninternaltestingatCisco,usingsamemethodologyonbothplatforms(8GEportsusedoneachplatform–CiscoASA5580-20canperformhigherwith10GEportsormoreGEports).HTTPtestingperformedwithmultipleAvalanche/Reflectorpairs,UDPtestingperformedwithSpirentTestCenter.CiscoConfidential–INTERNALUSEONLY網(wǎng)絡(luò)平安體系架構(gòu)UnifiedSecurity-思科統(tǒng)一平安三階段物理層隔離–物理端口邏輯層隔離–VLAN，VFW策略層隔離–ACL應(yīng)用層隔離–DPI準(zhǔn)入層控制–NAC/CSA流量清洗-Guard（DDOS/SPAM）安全通道–IPSEC/SSLVPN威脅控制–ASA/IPS（Anti-X）應(yīng)用控制-IronPort用戶AAAA管理-ACS安全事件管理-MARS集中配置管理-CSM/NCM思科自防御網(wǎng)絡(luò)SDN3.0不斷升級的平安威脅——

內(nèi)容及網(wǎng)絡(luò)平安的必要性鎖住了網(wǎng)絡(luò)〔層〕之門,但電子郵件及網(wǎng)頁門仍然洞開網(wǎng)絡(luò)平安內(nèi)容安全端口25端口80平安創(chuàng)造網(wǎng)絡(luò)價值–可運營網(wǎng)絡(luò)網(wǎng)絡(luò)安全終端安全內(nèi)容安全應(yīng)用安全系統(tǒng)管理

策略—信譽—身份思科自防御網(wǎng)絡(luò)SDN3.0實現(xiàn)信息平安的系統(tǒng)方法網(wǎng)絡(luò)價值-易用平安-復(fù)雜自防御網(wǎng)絡(luò)思科自防御網(wǎng)絡(luò)

實現(xiàn)IT信息平安的系統(tǒng)方法每個網(wǎng)絡(luò)組件均可防護策略控制模塊化開放標(biāo)準(zhǔn)化可重復(fù)利用Integrated主動防護與自動響應(yīng)威脅

自動流程調(diào)整自動防護實現(xiàn)Adaptive效勞與設(shè)備協(xié)同抵御攻擊平安效勞統(tǒng)一管理物理扁平,邏輯縱深Collaborative思科自防御網(wǎng)絡(luò)3.0

信息平安的未來為應(yīng)對不斷升級的平安威脅，集成了高級網(wǎng)絡(luò),終端,內(nèi)容,和應(yīng)用層平安集成的優(yōu)勢利用在全球網(wǎng)絡(luò)中收集到的信息阻擋最新平安威脅廣泛流量檢查提供廣泛平安防護性能的端到端信息平安解決方案端到端的解決方案系統(tǒng)性平滑實現(xiàn)IT平安與合規(guī)的風(fēng)險管理數(shù)據(jù)控制合規(guī)控制惡意軟件思科自防御網(wǎng)絡(luò)SDN3.0實現(xiàn)信息平安的系統(tǒng)方法CSA,IronPort,

CiscoSME,TrustsecASA,CSA,NAC,

IPS,WebApplicationFirewall,

MARSIronPort,ASA,

CSA,IPS,MARS數(shù)據(jù)中心的自防御網(wǎng)絡(luò)CiscoASAACSCiscoSecurityMARSCisco?WAASWebServersCiscoACECiscoSecurityAgentCiscoSecurityAgentCiscoSecurityAgentApplicationServersDatabaseServersAXG(WebApplications)CiscoSecurityAgentCiscoSecurityAgentCiscoMDSwithSMETier1/2/3StorageTape/Offsite

BackupAXG

(B2B)CSMCiscoSecurityAgent-MCCW-LMNCiscoCatalyst6000FWSMWeb接入Web平安應(yīng)用平安應(yīng)用隔離內(nèi)容檢查SSL加解密效勞器硬化應(yīng)用和數(shù)據(jù)庫XML,SOAP,和AJAX平安DoS防護應(yīng)用到應(yīng)用的平安效勞器硬化存儲數(shù)據(jù)加密

InmotionAtrest對保存的數(shù)據(jù)的接入控制分割管理分層接入監(jiān)控和分析基于角色的接入AAA接入控制CiscoIronPortE-MailSecurityAXG(DHTMLtoXML)CiscoIronPortWebSecurityCiscoIronPortWebSecurityDataCenterSecurity3.0一覽表安全威脅Cisco產(chǎn)品定位與部署優(yōu)勢DDOS等異常流量Guard模塊部署在DC出口Detector模塊部署在內(nèi)部交換機專利MVP全動態(tài)策略DDOS過濾技術(shù)內(nèi)外部服務(wù)器隔離

FWSM模塊部署在核心交換機業(yè)界最高每秒10萬新建連接服務(wù)器負(fù)載均衡ACE模塊部署在服務(wù)器集群前業(yè)界性能最高16G,支持虛擬區(qū)域ARP，蠕蟲病毒MARS部署在內(nèi)網(wǎng)網(wǎng)管區(qū)IPS獨立設(shè)備旁路部署在各VLAN業(yè)界最直觀的圖形化安全網(wǎng)管體系主機病毒入侵CSA+MC軟件安裝服務(wù)器主機基于行為零日攻擊防護跨腳本，SQL注入AVS+AXG（ACEXMLFirewall）部署在DB前端專業(yè)應(yīng)用層攻擊防護PCI，SOX合規(guī)NCM軟件安裝在網(wǎng)管服務(wù)器支持思科所有設(shè)備郵件過濾與加密IronPort部署在郵件服務(wù)器旁業(yè)界性能最強每秒1萬郵件并發(fā)處理網(wǎng)絡(luò)平安@中國針對性-攻擊手法……以奧運為例破壞效勞可用性每秒數(shù)十個G的峰值流量規(guī)模高達數(shù)十萬臺節(jié)點botnet癱瘓奧運主效勞器修改頁面?zhèn)鞑フ蝺?nèi)容直接攻擊主效勞器篡改奧運的DNS解析傳播惡意代碼攻擊奧運CDN網(wǎng)絡(luò)本地惡意代碼截獲奧運頁面注入攻擊劫持攻擊劫持奧運相關(guān)系統(tǒng)升級站點、效勞器植入惡意代碼非針對性-攻擊手法……以奧運為例移動介質(zhì)〔操作系統(tǒng)自身問題+驅(qū)動程序固有缺陷〕未經(jīng)授權(quán)SL811HS主控芯片傳播惡意代碼PlugandRoot非官方奧運資料頁面篡改視頻文件植入攻擊payload釣魚Phishing攻擊〔銷售假門票〕遏制攻擊-消耗戰(zhàn)-聲東擊西預(yù)先準(zhǔn)備大量攻擊代碼快速消耗平安響應(yīng)團隊能力北京網(wǎng)通奧運平安集成，協(xié)同，自適應(yīng)設(shè)計骨干網(wǎng)20G清洗中心ASBR網(wǎng)間路由器20G清洗中心SohuIDCDetector其他場館Detector北京網(wǎng)通用戶12G清洗中心運營商20G清洗中心20G清洗中心12G清洗中心SOC網(wǎng)管中心Netflow+MDM旁路清洗中心

–

疏導(dǎo)設(shè)計vs.堵截設(shè)計區(qū)域1:WEB區(qū)域2:DNS區(qū)域3:E-Commerce應(yīng)用

InternetLegitimateTraffic正常流量攻擊目標(biāo)1.檢測非正常流量2.啟動保護

(自動/手動)RemoteHealthInjection〔RHI〕3.將流量轉(zhuǎn)移到Guard模塊5.將正常流量重新注入6.到其他區(qū)域的流量沒有受到影響B(tài)GPPeerO/24[110/2]via,2d11h,GigabitEthernet2B28/32[20/0]via,00:00:0128=zone,=GuardModule,=MSFCBGPannounce4.攻擊緩解(清潔)自適應(yīng)威脅典型例如VPNAccessInternetCS-MARSIDSCSACSACSACSACSACollaborationExample:

CiscoSecurityAgent(CSA)IntrusionDetection(IDS)CiscoMonitoring,Analysis,andResponseSystem(CS-MARS)Web2.0平安典型應(yīng)用保護Microsoft,Microsoftupdate下載)26×

Guards(平均8Gbps正常下載流量)CNN

美國有線電視新聞網(wǎng)--CableNewsNetwork-全球最先進的新聞組織,帶給您每周七天,每天二十四小時的全球直播新聞報導(dǎo)網(wǎng)閘GAP–涉密系統(tǒng)的物理隔離操作系統(tǒng)異構(gòu):LinuxvsFreeBSDvsWindows硬件架構(gòu)異構(gòu):ASICvsFPGAvsIntelCPU檢測層面異構(gòu)：PacketvsSessionvsProtocalvsApplicationvsfilesvsCode策略設(shè)計異構(gòu)：InterfacebasedvsPolicyBasedvsZoneBasedvsRoutebasedvsSystemBased實現(xiàn)機理異構(gòu)：DefaultdenyvsDeafultpermitvsDeafultTunnelvsDefaultIsolate部署方式異構(gòu)：In-LinevsOff-LinevsSample總結(jié)網(wǎng)絡(luò)平安開展趨勢Web2.0時代的變革，攻擊目的：政治，經(jīng)濟利益網(wǎng)絡(luò)平安體系架構(gòu)IATF縱深防御：平安域?qū)哟位?，系統(tǒng)化，立體化思科自防御網(wǎng)絡(luò)SDN3.0網(wǎng)絡(luò)-終端的關(guān)系：集成化，協(xié)同化，自適應(yīng)網(wǎng)絡(luò)由下向上信息平安實現(xiàn)策略網(wǎng)絡(luò)平安@中國奧運平安的實現(xiàn)國內(nèi)的平安需求DCN統(tǒng)一出口平安S8508員工與合作伙伴接入DMZMAN防火墻模塊SSLVPNServer證書ServerRSAServer公眾業(yè)務(wù)〔客戶門戶〕DMZ網(wǎng)上營業(yè)廳網(wǎng)上營業(yè)廳IDS外網(wǎng)交互業(yè)務(wù)DMZCRM接口機網(wǎng)上營業(yè)廳接口機S2403負(fù)載均衡模塊負(fù)載均衡模塊S2403S2403S392810000號接口機DNS效勞器Symantec補丁管理ISA內(nèi)部公共訪問DMZS8016S8508DCN網(wǎng)內(nèi)部業(yè)務(wù)系統(tǒng)CRM、計費等業(yè)務(wù)系統(tǒng)效勞器負(fù)載均衡高性能，高穩(wěn)定性，4G性能虛擬區(qū)域負(fù)載均衡IPS/IDS入侵檢測

1G性能虛擬Sensor，IDS/IPS切換GuardGuardDDOS防護1G性能SnifferMARS威脅管理攻擊路徑響應(yīng)威脅管理防止數(shù)據(jù)泄漏

自防御網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)中心員工網(wǎng)絡(luò)邊界磁帶應(yīng)用效勞器思科MDS9000C-系列郵件平安工具InternetCorporateNetwork思科平安代理防止終結(jié)點數(shù)據(jù)喪失防止思科IronPort網(wǎng)絡(luò)保護旁路對內(nèi)容進行檢查和分類