國家高等職業(yè)教育網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫計算機(jī)網(wǎng)絡(luò)安全技術(shù)與實施學(xué)習(xí)情境4：拓展任務(wù)思科自防御安全解決方案綜述培訓(xùn)國家高等職業(yè)教育計算機(jī)網(wǎng)絡(luò)安全技術(shù)與實施學(xué)習(xí)情境4：拓展任務(wù)嚴(yán)密的邊界防護(hù):應(yīng)用防火墻,入侵檢測與防護(hù),內(nèi)容安全以及VPN接入縱深化的概念:安全域FWM強(qiáng)大的內(nèi)部控制:用戶身份與系統(tǒng)安全的控制–AAA/NAC終端的防護(hù)與安全策略控制-CSA靈活的統(tǒng)一指揮:基于全局的定位:MARS快速有效的響應(yīng):CSM/MARS嚴(yán)密的邊界防護(hù):互聯(lián)網(wǎng)局域網(wǎng)無線接入數(shù)據(jù)中心遠(yuǎn)程機(jī)構(gòu)企業(yè)園區(qū)客戶的安全需求DMZ安全攻擊入侵的防護(hù)利用IPS以及CSA進(jìn)行網(wǎng)絡(luò)與主機(jī)的安全防護(hù)關(guān)鍵應(yīng)用系統(tǒng)的防護(hù)利用防火墻，入侵防護(hù)以及認(rèn)證授權(quán)系統(tǒng)完成關(guān)鍵應(yīng)用系統(tǒng)的防護(hù)與控制企業(yè)互聯(lián)網(wǎng)的業(yè)務(wù)安全利用ASA,Ironport,VPN,CSA以及NAC技術(shù)保證終端用戶以及網(wǎng)絡(luò)系統(tǒng)在接入互聯(lián)網(wǎng)的安全安全事件監(jiān)控與日常維護(hù)利用CS-MARS以及CS-Manager進(jìn)行系統(tǒng)級的策略操作以及威脅監(jiān)控響應(yīng)互聯(lián)網(wǎng)局域網(wǎng)無線接入數(shù)據(jù)中心遠(yuǎn)程機(jī)構(gòu)企業(yè)園區(qū)客戶的安全需求DBusiness

Partner

AccessExtranet

Connections企業(yè)網(wǎng)絡(luò)互聯(lián)網(wǎng)遠(yuǎn)程接入系統(tǒng)遠(yuǎn)程分支機(jī)構(gòu)數(shù)據(jù)中心管理網(wǎng)段內(nèi)部局域網(wǎng)Internet

Connections企業(yè)互聯(lián)網(wǎng)的業(yè)務(wù)安全STOPGOSTOPGOGOSTOPGO互聯(lián)網(wǎng)邊界安全控制應(yīng)用級別的安全防護(hù)防火墻入侵防護(hù)系統(tǒng)內(nèi)容級別的安全防護(hù)Web/AVSPAM防護(hù)統(tǒng)一VPN接入系統(tǒng)企業(yè)網(wǎng)絡(luò)安全接入控制LAN/WLAN/VPN的接入控制評估終端的安全防護(hù)狀態(tài)控制終端接入的安全策略主動終端防護(hù)系統(tǒng)主動適應(yīng)型終端防護(hù),確保終端訪問互聯(lián)網(wǎng)時的安全，抵御互聯(lián)網(wǎng)蠕蟲以及網(wǎng)頁木馬病毒的攻擊企業(yè)安全策略控制,防止內(nèi)部用戶的惡意行為終端與網(wǎng)絡(luò)入侵防護(hù)及監(jiān)控系統(tǒng)的聯(lián)動Business

Partner

AccessExtrane互聯(lián)網(wǎng)邊界安全控制應(yīng)用級別的安全防護(hù)：下一代防火墻防火墻入侵防護(hù)系統(tǒng)內(nèi)容級別的安全防護(hù)：IronportWeb/AVSPAM防護(hù)統(tǒng)一VPN接入系統(tǒng)：IPSec/SSLVPN互聯(lián)網(wǎng)邊界安全控制應(yīng)用級別的安全防護(hù)：下一代防火墻縱深化的安全架構(gòu)是系統(tǒng)穩(wěn)固的基礎(chǔ)主機(jī)接入CIP路由器ESCONDirectorCouplingFacility快速以太網(wǎng)或令牌環(huán)交換機(jī)DLSW+路由器IBM主機(jī)ESCON/FICONCisco7507Catalyst6509Catalyst5509Cisco7507FC交換核心Catalyst6513SNA/IP網(wǎng)關(guān)IP業(yè)務(wù)服務(wù)器SNAswDLSW業(yè)務(wù)服務(wù)器群Catalyst6513開發(fā)測試網(wǎng)區(qū)域主機(jī)系統(tǒng)Cisco5350/Cisco5400外圍網(wǎng)關(guān)IPPBXIP自動語音應(yīng)答客戶關(guān)系管理數(shù)據(jù)庫應(yīng)用網(wǎng)關(guān)CTI服務(wù)器AW管理工作站傳真系統(tǒng)IP錄音系統(tǒng)普通業(yè)務(wù)咨詢專長理財n*E1客戶專職業(yè)務(wù)代表語音接入PSTNVoIP網(wǎng)關(guān)ICMPGIPIVRCTI客服中心核心系統(tǒng)Catalyst6509外聯(lián)網(wǎng)區(qū)域PIX535Catalyst4000CiscoIDSPIX535Cisco7200撥號訪問服務(wù)器Cisco3600Cisco7200DNS應(yīng)用服務(wù)器CiscoIDS4-7層分析CiscoIDS4-7層分析WEB協(xié)同服務(wù)器電子郵件服務(wù)器內(nèi)容交換機(jī)CSS11500電子郵件管理服務(wù)器PIX535GSS全局網(wǎng)站定位器GSS全局網(wǎng)站定位器CiscoWorks2000IDS管理CiscoInfoServerVPNSolutionCenterCICReporter運(yùn)行管理網(wǎng)絡(luò)區(qū)域網(wǎng)元管理事件管理中心事件統(tǒng)計匯報SNA管理安全管理話音管理廣域接入網(wǎng)區(qū)域Catalyst6513Catalyst4500Catalyst3550服務(wù)器群(均衡負(fù)載）VoIP關(guān)守HSRPCDM4650CE560/CE590無線以太網(wǎng)訪問點E-LearningLMS服務(wù)器WEB服務(wù)器其它服務(wù)器IP/TV內(nèi)容管理器Cisco3660VoIP網(wǎng)關(guān)AS5350MCS辦公網(wǎng)絡(luò)區(qū)域內(nèi)容分發(fā)管理器CDM內(nèi)容路由器CR互聯(lián)網(wǎng)連接區(qū)域訪問管理控制服務(wù)器外層防火墻DNS服務(wù)器InternetISPA內(nèi)層防火墻郵件服務(wù)器郵件網(wǎng)關(guān)(防毒)CiscoVPN集中器CiscoIDS4-7層分析AAA認(rèn)證服務(wù)器外網(wǎng)交換機(jī)Cisco7200撥號訪問服務(wù)器Cisco3600PSTNCisco7200PIX535PIX535Catalyst4507InternetISPBCatalyst6509Catalyst4500客戶服務(wù)中心區(qū)域生產(chǎn)/應(yīng)用區(qū)域分公司合作伙伴分公司安全管理中心安全認(rèn)證中心入侵監(jiān)測中心防病毒服務(wù)器邊界防火墻入侵防范安全VPN路由器集成安全防護(hù)邊界防火墻邊界防火墻入侵監(jiān)測防范入侵監(jiān)測防范安全交換機(jī)網(wǎng)絡(luò)準(zhǔn)入控制路由器集成安全防護(hù)VPN安全接入垃圾郵件防護(hù)內(nèi)容安全控制防DDoS攻擊邊界防火墻認(rèn)證服務(wù)器入侵監(jiān)測撥號接入無線安全接入動態(tài)密碼語音安全服務(wù)器安全加固入侵監(jiān)測邊界防火墻網(wǎng)絡(luò)病毒過濾漏洞掃描網(wǎng)絡(luò)準(zhǔn)入控制終端安全防護(hù)防DDoS攻擊入侵監(jiān)測反向地址驗證邊界防火墻二級防火墻二級防火墻流量監(jiān)測服務(wù)器安全加固垃圾郵件防范入侵監(jiān)測網(wǎng)絡(luò)準(zhǔn)入控制防火墻語音安全應(yīng)用安全流量監(jiān)控設(shè)備加固反向地址驗證防火墻入侵監(jiān)測入侵監(jiān)測設(shè)備加固應(yīng)用安全保護(hù)防DDoS攻擊縱深化的安全架構(gòu)是系統(tǒng)穩(wěn)固的基礎(chǔ)主機(jī)接入CIP路由器ESCO專門的防火墻硬件支持250個虛擬防火墻高達(dá)5Gbps/模塊的吞吐能力每機(jī)箱4個模塊支持2000個邏輯網(wǎng)絡(luò)接口提供Layer-2透明防火墻功能互聯(lián)網(wǎng)Catalyst6500/7600AFWSMBCVFWVFWVFWMSFC業(yè)務(wù)虛網(wǎng)利用高性能防火墻模塊構(gòu)架多層次的安全域安全問題:

企業(yè)內(nèi)部應(yīng)用和外部應(yīng)用在同一個網(wǎng)絡(luò)上運(yùn)行，不同部門之間連接在同一個網(wǎng)絡(luò)上，需要安全隔離，又擔(dān)心性能瓶頸方案:

采用集成于交換機(jī)的高性能防火墻模塊辦公虛網(wǎng)客人虛網(wǎng)專門的防火墻硬件互聯(lián)網(wǎng)Catalyst6500/7600A拓展任務(wù)44-2思科自防御安全解決方案綜述課件CiscoASA5500

綜合安全防護(hù)產(chǎn)品FirewallTechnologyCiscoPIXIPSTechnologyCiscoIPSContentSecurityTrendMicroVPNTechnologyCiscoVPN3000NetworkIntelligenceCiscoNetworkServicesAppInspection,UseEnforcement,WebControlApplicationSecurityMalware/ContentDefense,AnomalyDetectionIPS&Anti-XDefensesTraffic/AdmissionControl,ProactiveResponseNetworkContainment

andControlSecureConnectivityIPSec&SSLVPNMarket-ProvenTechnologiesAdaptiveThreatDefense,SecureConnectivityCiscoASA5500綜合安全防護(hù)產(chǎn)品FirewalCiscoASA5500提供內(nèi)容級別的安全防護(hù)THREATTYPESPROTECTIONVirusesSpywareMalwarePhishingSpamInappropriateURLsIdentityTheftOffensiveContentUnauthorizedAccessIntrusions&AttacksInsecureComms.NEWAnti-XServiceExtensionsResource&InformationAccessProtectionHackerProtectionClientProtectionDDoSProtectionProtectedEmailCommunicationProtectedWebBrowsingProtectedFileExchangeUnwantedVisitorControlAudit&RegulatoryAssistanceNon-workRelatedWebSitesIdentityProtectionGranularPolicyControlsComprehensiveMalwareProtectionAdvancedContentFilteringIntegratedMessageSecurityEasytoUseASA5500withCSC-SSMCiscoASA5500提供內(nèi)容級別的安全防護(hù)THREInternet內(nèi)部用戶FireWallPort80Web服務(wù)Web應(yīng)用IM流量多媒體互聯(lián)網(wǎng)訪問43%43%55%43%98%采用應(yīng)用級防火墻進(jìn)行深入的攻擊防護(hù)

“…75%針對Web服務(wù)器的攻擊是基于應(yīng)用層，而不是網(wǎng)絡(luò)層次80–HTTPJohnPescatore,VPandResearchDirector,Gartner,June2002.Source:Aug2002InfoWorld/NetworkComputingsurveyofITProfessionals64%的企業(yè)用戶在防火墻上開放80端口，用于滿足其內(nèi)部基于Web的各類應(yīng)用服務(wù)流量的需要Internet內(nèi)部用戶FireWallPort80Web基于網(wǎng)絡(luò)行為特征的攻擊判別InternetInternalZone2InternalZone3利用AD（Anomalydetectionalgorithms）檢測并阻止零日攻擊（Day-Zero）自動學(xué)習(xí)網(wǎng)絡(luò)流量特征基于網(wǎng)絡(luò)行為特征的攻擊判別InternetInternalTeleworkerBranchOfficeInternet

EdgeASA5550ASA5500的產(chǎn)品一覽ASA5580-20ASA5580-40ASA5505集成化的安全平臺符合下一代防火墻標(biāo)準(zhǔn)的硬件架構(gòu)標(biāo)準(zhǔn)統(tǒng)一的安全管理界面符合業(yè)界高標(biāo)準(zhǔn)的安全認(rèn)證還有更多…DataCenterASA5540ASA5520ASA5510CiscoASA5500PlatformsNewNewCampus

SegmentationCiscoConfidential–NDAUseOnlyTeleworkerBranchOfficeInterne下一代防火墻ASA5500的優(yōu)勢體現(xiàn)下一代防火墻必須同時高性能地處理應(yīng)用級別的防火墻以及入侵檢測防護(hù)功能下一代防火墻必須在硬件架構(gòu)中考慮未來安全防護(hù)需求的擴(kuò)展能力，采用多核CPU以及多總線的處理模式，兼顧性能與功能的需求Cisco

ASA5520Vendor“A”Vendor“B”Vendor“C”FirewallPerformance(Mbps)withAllAttack/Virus

SignaturesEnabled,16-KbyteHTTPObjectSizeConnectionsperSecondPerformanceCisco

ASA5520Vendor“A”Vendor“B”Vendor“C”Source:Miercom,October2005UTMProductComparison下一代防火墻ASA5500的優(yōu)勢體現(xiàn)Cisco

ASA55如何發(fā)揮ASA5500的安全防護(hù)效能？Corporate

Network遠(yuǎn)程分支機(jī)構(gòu)

本地互聯(lián)網(wǎng)訪問數(shù)據(jù)中心Extranet:商業(yè)

合作伙伴接入遠(yuǎn)程VPN接入DMZ:對外

互聯(lián)網(wǎng)服務(wù)內(nèi)部LAN接入普通終端的

互聯(lián)網(wǎng)訪問WLAN接入InternalSegmentationCisco

ASA5500

IPS

EditionCisco

ASA5500

SSL&IPSec

VPNEditionCisco

ASA5500Anti-XEditionCisco

ASA5500

IPS

EditionCisco

ASA5500

Firewall

EditionCisco

ASA5500

Firewall

Edition如何發(fā)揮ASA5500的安全防護(hù)效能？Corporate怎么定位不同的ASA5500產(chǎn)品？互聯(lián)網(wǎng)接入：ASA5510/5520/5540FW/IPS版本VPN接入：ASA55x0FW或VPN版本內(nèi)部WLAN接入：ASA5510/5520/5540IPS版本遠(yuǎn)程分支機(jī)構(gòu)接入：ASA55x0FW或CSC版本內(nèi)部應(yīng)用系統(tǒng)防護(hù)：ASA55x0IPS或5550/5580FW版本怎么定位不同的ASA5500產(chǎn)品？互聯(lián)網(wǎng)接入：ASA5510互聯(lián)網(wǎng)邊界安全控制應(yīng)用級別的安全防護(hù)：下一代防火墻防火墻入侵防護(hù)系統(tǒng)內(nèi)容級別的安全防護(hù)：IronportWeb/AVSPAM防護(hù)統(tǒng)一VPN接入系統(tǒng)：IPSec/SSLVPN互聯(lián)網(wǎng)邊界安全控制應(yīng)用級別的安全防護(hù)：下一代防火墻IronPort：企業(yè)級內(nèi)容安全產(chǎn)品InternetC-SeriesEMAIL安全網(wǎng)關(guān)S-SeriesWEB安全網(wǎng)關(guān)M-Series安全管理設(shè)備IronPort

SenderBaseIronPort：企業(yè)級內(nèi)容安全產(chǎn)品InternetC-IRONPORT基于消息的安全解決方案IRONPORTSERVICESSender-BaseReputationalFilteringIRONPORTPLATFORMSAnti-SpamVirusOutbreakFilteringContentFilteringC-SeriesEmailSecurityApplianceS-SeriesWebSecurityAppliancePARTNERSERVICESAnti-VirusAnti-SpywareURLFilteringInstantMessaging&Peer-to-PeerControlDataLeakageEncryptionIRONPORT基于消息的安全解決方案IRONPORTSe互聯(lián)網(wǎng)邊界安全控制應(yīng)用級別的安全防護(hù)：下一代防火墻防火墻入侵防護(hù)系統(tǒng)內(nèi)容級別的安全防護(hù)：IronportWeb/AVSPAM防護(hù)統(tǒng)一VPN接入系統(tǒng)：IPSec/SSLVPN互聯(lián)網(wǎng)邊界安全控制應(yīng)用級別的安全防護(hù)：下一代防火墻使用統(tǒng)一VPN接入系統(tǒng)滿足各種客戶需求Public

InternetASA5500VPNEdition網(wǎng)頁定制化的SSLVPN接入網(wǎng)頁定制化SSLVPN接入隧道模式的SSL或IPSecVPNLAN接入商業(yè)合作伙伴的VPN接入Requires“l(fā)ocked-down”accesstospecificextranetresourcesandapplications出差員工的遠(yuǎn)程接入服務(wù)Remoteaccessusersrequireseamless,easytouse,accesstocorporatenetworkresources第三方平臺臨時接入服務(wù)Remoteusersmayrequirelightweightaccesstoe-mailandweb-basedapplicationsfromapublicmachine遠(yuǎn)程分支機(jī)構(gòu)以及SOHU型用戶的LAN接入DayextendersandmobileemployeesrequireconsistentLAN-like,full-networkaccess,tocorporateresourcesandapplications隧道模式的SSL或

IPSecVPN客戶端接入使用統(tǒng)一VPN接入系統(tǒng)滿足各種客戶需求Public

IntBusiness

Partner

AccessExtranet

Connections企業(yè)網(wǎng)絡(luò)互聯(lián)網(wǎng)遠(yuǎn)程接入系統(tǒng)遠(yuǎn)程分支機(jī)構(gòu)數(shù)據(jù)中心管理網(wǎng)段內(nèi)部局域網(wǎng)Internet

Connections企業(yè)互聯(lián)網(wǎng)的業(yè)務(wù)安全STOPGOSTOPGOGOSTOPGO互聯(lián)網(wǎng)邊界安全控制應(yīng)用級別的安全防護(hù)防火墻入侵防護(hù)系統(tǒng)內(nèi)容級別的安全防護(hù)Web/AVSPAM防護(hù)統(tǒng)一VPN接入系統(tǒng)企業(yè)網(wǎng)絡(luò)安全接入控制LAN/WLAN/VPN的接入控制評估終端的安全防護(hù)狀態(tài)控制終端接入的安全策略主動終端防護(hù)系統(tǒng)主動適應(yīng)型終端防護(hù),確保終端訪問互聯(lián)網(wǎng)時的安全，抵御互聯(lián)網(wǎng)蠕蟲以及網(wǎng)頁木馬病毒的攻擊企業(yè)安全策略控制,防止內(nèi)部用戶的惡意行為終端與網(wǎng)絡(luò)入侵防護(hù)及監(jiān)控系統(tǒng)的聯(lián)動Business

Partner

AccessExtrane主動終端防護(hù)系統(tǒng)–CiscoSecurityAgent主動適應(yīng)型終端防護(hù),確保終端訪問互聯(lián)網(wǎng)時的安全，抵御互聯(lián)網(wǎng)蠕蟲以及網(wǎng)頁木馬病毒的攻擊企業(yè)安全策略控制,防止內(nèi)部用戶的惡意行為終端與網(wǎng)絡(luò)入侵防護(hù)及監(jiān)控系統(tǒng)的聯(lián)動主動終端防護(hù)系統(tǒng)–CiscoSecurityAgen新一代的主機(jī)安全解決方案服務(wù)器和桌面系統(tǒng)的威脅防范機(jī)制在惡意行為之前識別和防止獨特的行為檢測手段分析已知或未知威脅防范:?Mydoom ?W32.Blaster?Fizzer ?Bugbear?Sobig.E ?SQLSlammer?Sircam.A ?CodeRed?Nimda ?W32.Netsky更多,不需要簽名更新!Cisco安全代理新一代的主機(jī)安全解決方案Cisco安全代理CSA邏輯結(jié)構(gòu)集中式安全管理器SNMPTraps客戶程序本地文件策略/更新報警基于瀏覽器的管理界面配置報告，事件桌面代理桌面代理桌面代理服務(wù)器代理服務(wù)器代理CSA邏輯結(jié)構(gòu)集中式安全管理器SNMP客戶程序本地文件策略惡意代碼的共性-攻擊流程分析被攻擊的目標(biāo)12345探測滲透寄生傳播發(fā)作地址探測端口掃描密碼猜測郵件用戶猜測惡意郵件緩沖區(qū)溢出惡意ActiveX控件自動軟件安裝利用已有后門創(chuàng)建新文件修改已有文件修改注冊表安裝新的網(wǎng)絡(luò)服務(wù)建立系統(tǒng)后門郵件傳播Web傳播IRC傳播FTP傳播文件傳播刪除文件修改文件使計算機(jī)癱瘓拒絕服務(wù)攻擊準(zhǔn)備攻擊實施攻擊后續(xù)惡意代碼的共性-攻擊流程分析被攻擊12345探測滲透寄生利用CSA防止終端用戶的數(shù)據(jù)泄漏限制移動介質(zhì)的數(shù)據(jù)復(fù)制USB,floppydisk,CDBurner限制通過非授權(quán)接口的進(jìn)行數(shù)據(jù)傳送Modem,Bluetooth,IRDA限制通過webmail,p2p或IM發(fā)送關(guān)鍵數(shù)據(jù)限制系統(tǒng)的cut&pasteclipboard誤操作EMAILSecurityApplianceWEBSecurityAppliance企業(yè)級別的安全

內(nèi)容識別與數(shù)據(jù)保護(hù)利用CSA防止終端用戶的數(shù)據(jù)泄漏限制移動介質(zhì)的數(shù)據(jù)復(fù)制EMA終端與網(wǎng)絡(luò)IPS的聯(lián)合防御系統(tǒng)1.Hacker嘗試攻擊內(nèi)部主機(jī)2.CSA向管理中心匯報攻擊的特征情況4.CSA管理中心與網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)溝通相關(guān)Hacker的入侵特征，利用網(wǎng)絡(luò)IPS進(jìn)行攻擊阻斷3.管理中心調(diào)整每個安全終端的防護(hù)策略，阻止Hacker的進(jìn)一步攻擊終端與網(wǎng)絡(luò)IPS的聯(lián)合防御系統(tǒng)1.Hacker嘗試攻擊企業(yè)網(wǎng)絡(luò)安全接入控制LAN/WLAN/VPN的接入控制評估終端的安全防護(hù)狀態(tài)控制終端接入的安全策略企業(yè)網(wǎng)絡(luò)安全接入控制LAN/WLAN/VPN的接入控制無線網(wǎng)絡(luò)下的網(wǎng)絡(luò)準(zhǔn)入控制無線網(wǎng)絡(luò)下的網(wǎng)絡(luò)準(zhǔn)入控制什么是網(wǎng)絡(luò)準(zhǔn)入控制？?Pleaseenterusername:設(shè)備安全網(wǎng)絡(luò)安全使用網(wǎng)絡(luò)準(zhǔn)入安全策略，確保進(jìn)入網(wǎng)絡(luò)的設(shè)備符合策略。身份識別用戶是誰?

用戶是否得到了授權(quán)?

用戶的角色是什么?NACMS是否進(jìn)行了修補(bǔ)?

是否存在A/V或A/S?

是否正在運(yùn)行?

是否提供服務(wù)?

所需文件是否存在?以及是否建立了策略?

不符合策略的設(shè)備是否被隔離?

是否需要修復(fù)?

是否提供修復(fù)?以及什么是網(wǎng)絡(luò)準(zhǔn)入控制？?PleaseenterusernaNACAppliance的工作重點認(rèn)證與授權(quán)EnforcesauthorizationpoliciesandprivilegesSupportsmultipleuserroles評估Agentscanforrequiredversionsofhotfixes,AV,andothersoftwareNetworkscanforvirusandworminfectionsandportvulnerabilities隔離Isolatenon-compliantdevicesfromrestofnetworkMACandIP-basedquarantineeffectiveataper-userlevel更新與升級Network-basedtoolsforvulnerabilityandthreatremediationHelp-deskintegrationAll-in-OnePolicyCompliance

andRemediationSolutionNACAppliance的工作重點認(rèn)證與授權(quán)隔離All-NACL3OOBACLImplementation…互聯(lián)網(wǎng)互聯(lián)網(wǎng)出口區(qū)域L3核心

交換區(qū)域DNS/DHCP服務(wù)器AD域服務(wù)器WSUS/AV服務(wù)器開放服務(wù)器區(qū)域冗余的CAM帶外/帶內(nèi)網(wǎng)管區(qū)域…L3鏈路L2鏈路邏輯鏈路網(wǎng)絡(luò)準(zhǔn)入

服務(wù)器群TUTNACL3OOBACLImplementation…NACL3OOBACLImplementation…互聯(lián)網(wǎng)互聯(lián)網(wǎng)出口區(qū)域L3核心

交換區(qū)域DNS/DHCP服務(wù)器AD域服務(wù)器WSUS/AV服務(wù)器開放服務(wù)器區(qū)域冗余的CAM帶外/帶內(nèi)網(wǎng)管區(qū)域…L3鏈路L2鏈路邏輯鏈路網(wǎng)絡(luò)準(zhǔn)入

服務(wù)器群用戶接入交換機(jī)端口,端口處于認(rèn)證VLANTUTNACL3OOBACLImplementation…NACL3OOBACLImplementation…互聯(lián)網(wǎng)互聯(lián)網(wǎng)出口區(qū)域L3核心

交換區(qū)域DNS/DHCP服務(wù)器AD域服務(wù)器WSUS/AV服務(wù)器開放服務(wù)器區(qū)域冗余的CAM帶外/帶內(nèi)網(wǎng)管區(qū)域…L3鏈路L2鏈路邏輯鏈路在認(rèn)證VLAN的接口上通過ACL控制用戶僅可以訪問開放服務(wù)器區(qū)域以及CAS服務(wù)器的控制服務(wù)IPTUT網(wǎng)絡(luò)準(zhǔn)入

服務(wù)器群NACL3OOBACLImplementation…NACL3OOBACLImplementation…互聯(lián)網(wǎng)互聯(lián)網(wǎng)出口區(qū)域L3核心

交換區(qū)域DNS/DHCP服務(wù)器AD域服務(wù)器WSUS/AV服務(wù)器開放服務(wù)器區(qū)域冗余的CAM帶外/帶內(nèi)網(wǎng)管區(qū)域…L3鏈路L2鏈路邏輯鏈路網(wǎng)絡(luò)準(zhǔn)入

服務(wù)器群TUT客戶端完成DHCP以及DNS請求,從而獲得本機(jī)IP地址以及相應(yīng)CAS服務(wù)器的控制服務(wù)IP地址(由域名解析而來)NACL3OOBACLImplementation…NACL3OOBACLImplementation…互聯(lián)網(wǎng)互聯(lián)網(wǎng)出口區(qū)域L3核心

交換區(qū)域DNS/DHCP服務(wù)器AD域服務(wù)器WSUS/AV服務(wù)器開放服務(wù)器區(qū)域冗余的CAM帶外/帶內(nèi)網(wǎng)管區(qū)域…L3鏈路L2鏈路邏輯鏈路網(wǎng)絡(luò)準(zhǔn)入

服務(wù)器群TUT在此前后,客戶端完成AD域的登陸以及腳本執(zhí)行等工作NACL3OOBACLImplementation…NACL3OOBACLImplementation…互聯(lián)網(wǎng)互聯(lián)網(wǎng)出口區(qū)域L3核心

交換區(qū)域DNS/DHCP服務(wù)器AD域服務(wù)器WSUS/AV服務(wù)器開放服務(wù)器區(qū)域冗余的CAM帶外/帶內(nèi)網(wǎng)管區(qū)域…L3鏈路L2鏈路邏輯鏈路網(wǎng)絡(luò)準(zhǔn)入

服務(wù)器群TUT客戶端向CAS服務(wù)器的服務(wù)IP地址發(fā)送UDP8905數(shù)據(jù)包,可以由C6K完成自動負(fù)載均衡轉(zhuǎn)發(fā),并獲得CAS服務(wù)器的響應(yīng),從而激活認(rèn)證以及策略檢查過程N(yùn)ACL3OOBACLImplementation…NACL3OOBACLImplementation…互聯(lián)網(wǎng)互聯(lián)網(wǎng)出口區(qū)域L3核心

交換區(qū)域DNS/DHCP服務(wù)器AD域服務(wù)器WSUS/AV服務(wù)器開放服務(wù)器區(qū)域冗余的CAM帶外/帶內(nèi)網(wǎng)管區(qū)域…L3鏈路L2鏈路邏輯鏈路網(wǎng)絡(luò)準(zhǔn)入

服務(wù)器群TUT客戶設(shè)備需要進(jìn)行系統(tǒng)補(bǔ)丁或AV軟件升級等工作流量,可以直接訪問開放服務(wù)器區(qū)域NACL3OOBACLImplementation…NACL3OOBACLImplementation…互聯(lián)網(wǎng)互聯(lián)網(wǎng)出口區(qū)域L3核心

交換區(qū)域DNS/DHCP服務(wù)器AD域服務(wù)器WSUS/AV服務(wù)器開放服務(wù)器區(qū)域冗余的CAM帶外/帶內(nèi)網(wǎng)管區(qū)域…L3鏈路L2鏈路邏輯鏈路網(wǎng)絡(luò)準(zhǔn)入

服務(wù)器群TUTCAS服務(wù)器通知CAM該客戶端已經(jīng)符合所有安全檢查策略,可以接入網(wǎng)絡(luò)NACL3OOBACLImplementation…NACL3OOBACLImplementation…互聯(lián)網(wǎng)互聯(lián)網(wǎng)出口區(qū)域L3核心

交換區(qū)域DNS/DHCP服務(wù)器AD域服務(wù)器WSUS/AV服務(wù)器開放服務(wù)器區(qū)域冗余的CAM帶外/帶內(nèi)網(wǎng)管區(qū)域…L3鏈路L2鏈路邏輯鏈路網(wǎng)絡(luò)準(zhǔn)入

服務(wù)器群TUTCAM服務(wù)器將相關(guān)接入交換機(jī)的端口按照用戶認(rèn)證的身份轉(zhuǎn)入相關(guān)VLANNACL3OOBACLImplementation…NACL3OOBACLImplementation…互聯(lián)網(wǎng)互聯(lián)網(wǎng)出口區(qū)域L3核心

交換區(qū)域DNS/DHCP服務(wù)器AD域服務(wù)器WSUS/AV服務(wù)器開放服務(wù)器區(qū)域冗余的CAM帶外/帶內(nèi)網(wǎng)管區(qū)域…L3鏈路L2鏈路邏輯鏈路網(wǎng)絡(luò)準(zhǔn)入

服務(wù)器群TUT系統(tǒng)在特定VLAN接口上面通過ACL方式,預(yù)設(shè)相關(guān)的安全訪問控制策略NACL3OOBACLImplementation…關(guān)鍵應(yīng)用系統(tǒng)的防護(hù)：縱深化防御體系的構(gòu)架主機(jī)接入CIP路由器ESCONDirectorCouplingFacility快速以太網(wǎng)或令牌環(huán)交換機(jī)DLSW+路由器IBM主機(jī)ESCON/FICONCisco7507Catalyst6509Catalyst5509Cisco7507FC交換核心Catalyst6513SNA/IP網(wǎng)關(guān)IP業(yè)務(wù)服務(wù)器SNAswDLSW業(yè)務(wù)服務(wù)器群Catalyst6513開發(fā)測試網(wǎng)區(qū)域主機(jī)系統(tǒng)Cisco5350/Cisco5400外圍網(wǎng)關(guān)IPPBXIP自動語音應(yīng)答客戶關(guān)系管理數(shù)據(jù)庫應(yīng)用網(wǎng)關(guān)CTI服務(wù)器AW管理工作站傳真系統(tǒng)IP錄音系統(tǒng)普通業(yè)務(wù)咨詢專長理財n*E1客戶專職業(yè)務(wù)代表語音接入PSTNVoIP網(wǎng)關(guān)ICMPGIPIVRCTI客服中心核心系統(tǒng)Catalyst6509外聯(lián)網(wǎng)區(qū)域PIX535Catalyst4000CiscoIDSPIX535Cisco7200撥號訪問服務(wù)器Cisco3600Cisco7200DNS應(yīng)用服務(wù)器CiscoIDS4-7層分析CiscoIDS4-7層分析WEB協(xié)同服務(wù)器電子郵件服務(wù)器內(nèi)容交換機(jī)CSS11500電子郵件管理服務(wù)器PIX535GSS全局網(wǎng)站定位器GSS全局網(wǎng)站定位器CiscoWorks2000IDS管理CiscoInfoServerVPNSolutionCenterCICReporter運(yùn)行管理網(wǎng)絡(luò)區(qū)域網(wǎng)元管理事件管理中心事件統(tǒng)計匯報SNA管理安全管理話音管理廣域接入網(wǎng)區(qū)域Catalyst6513Catalyst4500Catalyst3550服務(wù)器群(均衡負(fù)載）VoIP關(guān)守HSRPCDM4650CE560/CE590無線以太網(wǎng)訪問點E-LearningLMS服務(wù)器WEB服務(wù)器其它服務(wù)器IP/TV內(nèi)容管理器Cisco3660VoIP網(wǎng)關(guān)AS5350MCS辦公網(wǎng)絡(luò)區(qū)域內(nèi)容分發(fā)管理器CDM內(nèi)容路由器CR互聯(lián)網(wǎng)連接區(qū)域訪問管理控制服務(wù)器外層防火墻DNS服務(wù)器InternetISPA內(nèi)層防火墻郵件服務(wù)器郵件網(wǎng)關(guān)(防毒)CiscoVPN集中器CiscoIDS4-7層分析AAA認(rèn)證服務(wù)器外網(wǎng)交換機(jī)Cisco7200撥號訪問服務(wù)器Cisco3600PSTNCisco7200PIX535PIX535Catalyst4507InternetISPBCatalyst6509Catalyst4500客戶服務(wù)中心區(qū)域生產(chǎn)/應(yīng)用區(qū)域分公司合作伙伴分公司安全管理中心安全認(rèn)證中心入侵監(jiān)測中心防病毒服務(wù)器邊界防火墻入侵防范安全VPN路由器集成安全防護(hù)邊界防火墻邊界防火墻入侵監(jiān)測防范入侵監(jiān)測防范安全交換機(jī)網(wǎng)絡(luò)準(zhǔn)入控制路由器集成安全防護(hù)VPN安全接入垃圾郵件防護(hù)內(nèi)容安全控制防DDoS攻擊邊界防火墻認(rèn)證服務(wù)器入侵監(jiān)測撥號接入無線安全接入動態(tài)密碼語音安全服務(wù)器安全加固入侵監(jiān)測邊界防火墻網(wǎng)絡(luò)病毒過濾漏洞掃描網(wǎng)絡(luò)準(zhǔn)入控制終端安全防護(hù)防DDoS攻擊入侵監(jiān)測反向地址驗證邊界防火墻二級防火墻二級防火墻流量監(jiān)測服務(wù)器安全加固垃圾郵件防范入侵監(jiān)測網(wǎng)絡(luò)準(zhǔn)入控制防火墻語音安全應(yīng)用安全流量監(jiān)控設(shè)備加固反向地址驗證防火墻入侵監(jiān)測入侵監(jiān)測設(shè)備加固應(yīng)用安全保護(hù)防DDoS攻擊關(guān)鍵應(yīng)用系統(tǒng)的防護(hù)：縱深化防御體系的構(gòu)架主機(jī)接入CIP路由器行業(yè)應(yīng)用系統(tǒng)定制化每個行業(yè)都會有自己的安全標(biāo)準(zhǔn),可以加以利用我們需要根據(jù)各個行業(yè)進(jìn)行應(yīng)用系統(tǒng)防護(hù)用戶認(rèn)證與授權(quán):ACS/NAC應(yīng)用系統(tǒng)防護(hù):FW/IPS應(yīng)用系統(tǒng)的安全監(jiān)控:MARS行業(yè)應(yīng)用系統(tǒng)定制化每個行業(yè)都會有自己的安全標(biāo)準(zhǔn),可以加以利Business

Partner

AccessExtranet

Connections企業(yè)網(wǎng)絡(luò)互聯(lián)網(wǎng)RemoteAccessSystemsRemote/BranchOfficeDataCenterManagementNetworkCorporateLANInternet

Connections網(wǎng)絡(luò)入侵防護(hù)、監(jiān)控與響應(yīng)服務(wù)器的防護(hù)惡意攻擊防護(hù)異常行為監(jiān)護(hù)入侵防護(hù)系統(tǒng)異常檢測特征判別風(fēng)險評估攻擊確認(rèn)與響應(yīng)攻擊確認(rèn)與定位整體攻擊分析與報告Business

Partner

AccessExtrane思科IPS產(chǎn)品線分布CiscoIPS4200SeriesSensorsIPS4215-80MbpsCatalystIDSM-2Bundle-2GbpsCiscoASA5500SeriesIPSEditionsandAIPModulesCiscoIOSIPSCatalyst6500ServiceModulesCiscoISRIDS/IPSModuleIPS4240-300MbpsIPS4255-600MbpsIPS4260–2GbpsIDSM2-600MbpsNativeIOSIPSfortheCiscoISRAvarietyofperformancepointsfortheBranchOfficeEnvironmentNM-CIDS-45MbpsIDSASA5510–

Upto150MbpsAIPSSM-10ASA5520–

Upto375MbpsASA5540–

Upto450MbpsAIPSSM-20IPS4270–4GbpsIPSAIM–Upto45Mbps思科IPS產(chǎn)品線分布CiscoIPS4200Seri基于網(wǎng)絡(luò)行為特征的攻擊判別InternetInternalZone2InternalZone3利用AD（Anomalydetectionalgorithms）檢測并阻止零日攻擊（Day-Zero）自動學(xué)習(xí)網(wǎng)絡(luò)流量特征基于網(wǎng)絡(luò)行為特征的攻擊判別InternetInternal虛擬化的入侵防護(hù)系統(tǒng)FlexibleContextDefinitions:AbilitytodefinevirtualizedcontextsbasedonphysicalinterfaceandVLANgroupingsAssignmentofCustomSignature/PolicySettings

&responseactionstoeachvirtualizedcontextCustomizedpolicyonVirtualContextsbasedonVLANgroupingsVLAN1VLAN2VLAN3VLAN4VirtualizedContext1VirtualizedContext2虛擬化的入侵防護(hù)系統(tǒng)FlexibleContextDef統(tǒng)一靈活的指揮統(tǒng)一靈活的指揮思科安全管理套件FirewallManagementVPNManagementMonitoringIDS/IPSManagementFullLifecycleSupportIntegratedMulti-TechnologySecurityManagementCustomerOperationsIntegrationImproveOperationalEfficienciesMaintainUptimeCSManager+CS-MARS思科安全管理套件FirewallVPNMonitoringCSM:適合大量安全設(shè)備的部署管理Managementisaboutre-usingobjects,policiesandsettingsTakeanydevicepolicy/settingandshareitsoitcanbe

re-usedCopy,inheritance,andassignmentCSM:適合大量安全設(shè)備的部署管理ManagementiCS-MARS從大量未經(jīng)處理的網(wǎng)絡(luò)與安全設(shè)備報警信息中過濾出真正的安全攻擊事件，從而確保系統(tǒng)的安全策略得以實施基于網(wǎng)絡(luò)的智能化關(guān)聯(lián)攻擊事件的確認(rèn)攻擊的可視化主動的調(diào)查全面的防護(hù)功能策略管理高性能讓人心動的總體擁有成本思科安全監(jiān)控、分析與響應(yīng)系統(tǒng)(CS-MARS)CS-MARS從大量未經(jīng)處理的網(wǎng)絡(luò)與安全設(shè)備報警信息中過濾利用集中日志處理方式，擁有有限的事件關(guān)聯(lián)與過濾功能不具備網(wǎng)絡(luò)拓?fù)涞母兄芰Γ挥蟹蛛x的設(shè)備報警事件信息初級的報警、工作流及分析報告，缺少及時的反應(yīng)能力在系統(tǒng)中集成了網(wǎng)絡(luò)的感知能力，可以提高極強(qiáng)的事件聚合、過濾以及關(guān)聯(lián)能力系統(tǒng)產(chǎn)生可視化的拓?fù)鋱蟾?明確無誤的攻擊事件報警;攻擊路徑的詳細(xì)細(xì)節(jié)披露，同時提供網(wǎng)絡(luò)安全設(shè)備的防護(hù)建議相關(guān)事件可以通過網(wǎng)絡(luò)拓?fù)涞母兄?，利用NAT加以動態(tài)關(guān)聯(lián)、糾正、分類及確認(rèn)CS-MARS企業(yè)攻擊防御管理購置、部署與維護(hù)的成本較高最低的總體擁有成本;直接的防護(hù)效果,簡單的使用與部署的選擇普通的SIM產(chǎn)品企業(yè)安全信息管理性能較低，可以通過集群或高性能的硬件平臺進(jìn)行提升關(guān)聯(lián)性能超過10,000事件/秒，同時達(dá)到300,000流/秒CS-MARS是企業(yè)安全管理的新式武器利用集中日志處理方式，擁有有限的事件關(guān)聯(lián)與過濾功能不具備網(wǎng)絡(luò)國家高等職業(yè)教育網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫計算機(jī)網(wǎng)絡(luò)安全技術(shù)與實施學(xué)習(xí)情境4：拓展任務(wù)思科自防御安全解決方案綜述培訓(xùn)國家高等職業(yè)教育計算機(jī)網(wǎng)絡(luò)安全技術(shù)與實施學(xué)習(xí)情境4：拓展任務(wù)嚴(yán)密的邊界防護(hù):應(yīng)用防火墻,入侵檢測與防護(hù),內(nèi)容安全以及VPN接入縱深化的概念:安全域FWM強(qiáng)大的內(nèi)部控制:用戶身份與系統(tǒng)安全的控制–AAA/NAC終端的防護(hù)與安全策略控制-CSA靈活的統(tǒng)一指揮:基于全局的定位:MARS快速有效的響應(yīng):CSM/MARS嚴(yán)密的邊界防護(hù):互聯(lián)網(wǎng)局域網(wǎng)無線接入數(shù)據(jù)中心遠(yuǎn)程機(jī)構(gòu)企業(yè)園區(qū)客戶的安全需求DMZ安全攻擊入侵的防護(hù)利用IPS以及CSA進(jìn)行網(wǎng)絡(luò)與主機(jī)的安全防護(hù)關(guān)鍵應(yīng)用系統(tǒng)的防護(hù)利用防火墻，入侵防護(hù)以及認(rèn)證授權(quán)系統(tǒng)完成關(guān)鍵應(yīng)用系統(tǒng)的防護(hù)與控制企業(yè)互聯(lián)網(wǎng)的業(yè)務(wù)安全利用ASA,Ironport,VPN,CSA以及NAC技術(shù)保證終端用戶以及網(wǎng)絡(luò)系統(tǒng)在接入互聯(lián)網(wǎng)的安全安全事件監(jiān)控與日常維護(hù)利用CS-MARS以及CS-Manager進(jìn)行系統(tǒng)級的策略操作以及威脅監(jiān)控響應(yīng)互聯(lián)網(wǎng)局域網(wǎng)無線接入數(shù)據(jù)中心遠(yuǎn)程機(jī)構(gòu)企業(yè)園區(qū)客戶的安全需求DBusiness

Partner

AccessExtranet

Connections企業(yè)網(wǎng)絡(luò)互聯(lián)網(wǎng)遠(yuǎn)程接入系統(tǒng)遠(yuǎn)程分支機(jī)構(gòu)數(shù)據(jù)中心管理網(wǎng)段內(nèi)部局域網(wǎng)Internet

Connections企業(yè)互聯(lián)網(wǎng)的業(yè)務(wù)安全STOPGOSTOPGOGOSTOPGO互聯(lián)網(wǎng)邊界安全控制應(yīng)用級別的安全防護(hù)防火墻入侵防護(hù)系統(tǒng)內(nèi)容級別的安全防護(hù)Web/AVSPAM防護(hù)統(tǒng)一VPN接入系統(tǒng)企業(yè)網(wǎng)絡(luò)安全接入控制LAN/WLAN/VPN的接入控制評估終端的安全防護(hù)狀態(tài)控制終端接入的安全策略主動終端防護(hù)系統(tǒng)主動適應(yīng)型終端防護(hù),確保終端訪問互聯(lián)網(wǎng)時的安全，抵御互聯(lián)網(wǎng)蠕蟲以及網(wǎng)頁木馬病毒的攻擊企業(yè)安全策略控制,防止內(nèi)部用戶的惡意行為終端與網(wǎng)絡(luò)入侵防護(hù)及監(jiān)控系統(tǒng)的聯(lián)動Business

Partner

AccessExtrane互聯(lián)網(wǎng)邊界安全控制應(yīng)用級別的安全防護(hù)：下一代防火墻防火墻入侵防護(hù)系統(tǒng)內(nèi)容級別的安全防護(hù)：IronportWeb/AVSPAM防護(hù)統(tǒng)一VPN接入系統(tǒng)：IPSec/SSLVPN互聯(lián)網(wǎng)邊界安全控制應(yīng)用級別的安全防護(hù)：下一代防火墻縱深化的安全架構(gòu)是系統(tǒng)穩(wěn)固的基礎(chǔ)主機(jī)接入CIP路由器ESCONDirectorCouplingFacility快速以太網(wǎng)或令牌環(huán)交換機(jī)DLSW+路由器IBM主機(jī)ESCON/FICONCisco7507Catalyst6509Catalyst5509Cisco7507FC交換核心Catalyst6513SNA/IP網(wǎng)關(guān)IP業(yè)務(wù)服務(wù)器SNAswDLSW業(yè)務(wù)服務(wù)器群Catalyst6513開發(fā)測試網(wǎng)區(qū)域主機(jī)系統(tǒng)Cisco5350/Cisco5400外圍網(wǎng)關(guān)IPPBXIP自動語音應(yīng)答客戶關(guān)系管理數(shù)據(jù)庫應(yīng)用網(wǎng)關(guān)CTI服務(wù)器AW管理工作站傳真系統(tǒng)IP錄音系統(tǒng)普通業(yè)務(wù)咨詢專長理財n*E1客戶專職業(yè)務(wù)代表語音接入PSTNVoIP網(wǎng)關(guān)ICMPGIPIVRCTI客服中心核心系統(tǒng)Catalyst6509外聯(lián)網(wǎng)區(qū)域PIX535Catalyst4000CiscoIDSPIX535Cisco7200撥號訪問服務(wù)器Cisco3600Cisco7200DNS應(yīng)用服務(wù)器CiscoIDS4-7層分析CiscoIDS4-7層分析WEB協(xié)同服務(wù)器電子郵件服務(wù)器內(nèi)容交換機(jī)CSS11500電子郵件管理服務(wù)器PIX535GSS全局網(wǎng)站定位器GSS全局網(wǎng)站定位器CiscoWorks2000IDS管理CiscoInfoServerVPNSolutionCenterCICReporter運(yùn)行管理網(wǎng)絡(luò)區(qū)域網(wǎng)元管理事件管理中心事件統(tǒng)計匯報SNA管理安全管理話音管理廣域接入網(wǎng)區(qū)域Catalyst6513Catalyst4500Catalyst3550服務(wù)器群(均衡負(fù)載）VoIP關(guān)守HSRPCDM4650CE560/CE590無線以太網(wǎng)訪問點E-LearningLMS服務(wù)器WEB服務(wù)器其它服務(wù)器IP/TV內(nèi)容管理器Cisco3660VoIP網(wǎng)關(guān)AS5350MCS辦公網(wǎng)絡(luò)區(qū)域內(nèi)容分發(fā)管理器CDM內(nèi)容路由器CR互聯(lián)網(wǎng)連接區(qū)域訪問管理控制服務(wù)器外層防火墻DNS服務(wù)器InternetISPA內(nèi)層防火墻郵件服務(wù)器郵件網(wǎng)關(guān)(防毒)CiscoVPN集中器CiscoIDS4-7層分析AAA認(rèn)證服務(wù)器外網(wǎng)交換機(jī)Cisco7200撥號訪問服務(wù)器Cisco3600PSTNCisco7200PIX535PIX535Catalyst4507InternetISPBCatalyst6509Catalyst4500客戶服務(wù)中心區(qū)域生產(chǎn)/應(yīng)用區(qū)域分公司合作伙伴分公司安全管理中心安全認(rèn)證中心入侵監(jiān)測中心防病毒服務(wù)器邊界防火墻入侵防范安全VPN路由器集成安全防護(hù)邊界防火墻邊界防火墻入侵監(jiān)測防范入侵監(jiān)測防范安全交換機(jī)網(wǎng)絡(luò)準(zhǔn)入控制路由器集成安全防護(hù)VPN安全接入垃圾郵件防護(hù)內(nèi)容安全控制防DDoS攻擊邊界防火墻認(rèn)證服務(wù)器入侵監(jiān)測撥號接入無線安全接入動態(tài)密碼語音安全服務(wù)器安全加固入侵監(jiān)測邊界防火墻網(wǎng)絡(luò)病毒過濾漏洞掃描網(wǎng)絡(luò)準(zhǔn)入控制終端安全防護(hù)防DDoS攻擊入侵監(jiān)測反向地址驗證邊界防火墻二級防火墻二級防火墻流量監(jiān)測服務(wù)器安全加固垃圾郵件防范入侵監(jiān)測網(wǎng)絡(luò)準(zhǔn)入控制防火墻語音安全應(yīng)用安全流量監(jiān)控設(shè)備加固反向地址驗證防火墻入侵監(jiān)測入侵監(jiān)測設(shè)備加固應(yīng)用安全保護(hù)防DDoS攻擊縱深化的安全架構(gòu)是系統(tǒng)穩(wěn)固的基礎(chǔ)主機(jī)接入CIP路由器ESCO專門的防火墻硬件支持250個虛擬防火墻高達(dá)5Gbps/模塊的吞吐能力每機(jī)箱4個模塊支持2000個邏輯網(wǎng)絡(luò)接口提供Layer-2透明防火墻功能互聯(lián)網(wǎng)Catalyst6500/7600AFWSMBCVFWVFWVFWMSFC業(yè)務(wù)虛網(wǎng)利用高性能防火墻模塊構(gòu)架多層次的安全域安全問題:

企業(yè)內(nèi)部應(yīng)用和外部應(yīng)用在同一個網(wǎng)絡(luò)上運(yùn)行，不同部門之間連接在同一個網(wǎng)絡(luò)上，需要安全隔離，又擔(dān)心性能瓶頸方案:

采用集成于交換機(jī)的高性能防火墻模塊辦公虛網(wǎng)客人虛網(wǎng)專門的防火墻硬件互聯(lián)網(wǎng)Catalyst6500/7600A拓展任務(wù)44-2思科自防御安全解決方案綜述課件CiscoASA5500

綜合安全防護(hù)產(chǎn)品FirewallTechnologyCiscoPIXIPSTechnologyCiscoIPSContentSecurityTrendMicroVPNTechnologyCiscoVPN3000NetworkIntelligenceCiscoNetworkServicesAppInspection,UseEnforcement,WebControlApplicationSecurityMalware/ContentDefense,AnomalyDetectionIPS&Anti-XDefensesTraffic/AdmissionControl,ProactiveResponseNetworkContainment

andControlSecureConnectivityIPSec&SSLVPNMarket-ProvenTechnologiesAdaptiveThreatDefense,SecureConnectivityCiscoASA5500綜合安全防護(hù)產(chǎn)品FirewalCiscoASA5500提供內(nèi)容級別的安全防護(hù)THREATTYPESPROTECTIONVirusesSpywareMalwarePhishingSpamInappropriateURLsIdentityTheftOffensiveContentUnauthorizedAccessIntrusions&AttacksInsecureComms.NEWAnti-XServiceExtensionsResource&InformationAccessProtectionHackerProtectionClientProtectionDDoSProtectionProtectedEmailCommunicationProtectedWebBrowsingProtectedFileExchangeUnwantedVisitorControlAudit&RegulatoryAssistanceNon-workRelatedWebSitesIdentityProtectionGranularPolicyControlsComprehensiveMalwareProtectionAdvancedContentFilteringIntegratedMessageSecurityEasytoUseASA5500withCSC-SSMCiscoASA5500提供內(nèi)容級別的安全防護(hù)THREInternet內(nèi)部用戶FireWallPort80Web服務(wù)Web應(yīng)用IM流量多媒體互聯(lián)網(wǎng)訪問43%43%55%43%98%采用應(yīng)用級防火墻進(jìn)行深入的攻擊防護(hù)

“…75%針對Web服務(wù)器的攻擊是基于應(yīng)用層，而不是網(wǎng)絡(luò)層次80–HTTPJohnPescatore,VPandResearchDirector,Gartner,June2002.Source:Aug2002InfoWorld/NetworkComputingsurveyofITProfessionals64%的企業(yè)用戶在防火墻上開放80端口，用于滿足其內(nèi)部基于Web的各類應(yīng)用服務(wù)流量的需要Internet內(nèi)部用戶FireWallPort80Web基于網(wǎng)絡(luò)行為特征的攻擊判別InternetInternalZone2InternalZone3利用AD（Anomalydetectionalgorithms）檢測并阻止零日攻擊（Day-Zero）自動學(xué)習(xí)網(wǎng)絡(luò)流量特征基于網(wǎng)絡(luò)行為特征的攻擊判別InternetInternalTeleworkerBranchOfficeInternet

EdgeASA5550ASA5500的產(chǎn)品一覽ASA5580-20ASA5580-40ASA5505集成化的安全平臺符合下一代防火墻標(biāo)準(zhǔn)的硬件架構(gòu)標(biāo)準(zhǔn)統(tǒng)一的安全管理界面符合業(yè)界高標(biāo)準(zhǔn)的安全認(rèn)證還有更多…DataCenterASA5540ASA5520ASA5510CiscoASA5500PlatformsNewNewCampus

SegmentationCiscoConfidential–NDAUseOnlyTeleworkerBranchOfficeInterne下一代防火墻ASA5500的優(yōu)勢體現(xiàn)下一代防火墻必須同時高性能地處理應(yīng)用級別的防火墻以及入侵檢測防護(hù)功能下一代防火墻必須在硬件架構(gòu)中考慮未來安全防護(hù)需求的擴(kuò)展能力，采用多核CPU以及多總線的處理模式，兼顧性能與功能的需求Cisco

ASA5520Vendor“A”Vendor“B”Vendor“C”FirewallPerformance(Mbps)withAllAttack/Virus

SignaturesEnabled,16-KbyteHTTPObjectSizeConnectionsperSecondPerformanceCisco

ASA5520Vendor“A”Vendor“B”Vendor“C”Source:Miercom,October2005UTMProductComparison下一代防火墻ASA5500的優(yōu)勢體現(xiàn)Cisco

ASA55如何發(fā)揮ASA5500的安全防護(hù)效能？Corporate

Network遠(yuǎn)程分支機(jī)構(gòu)

本地互聯(lián)網(wǎng)訪問數(shù)據(jù)中心Extranet:商業(yè)

合作伙伴接入遠(yuǎn)程VPN接入DMZ:對外

互聯(lián)網(wǎng)服務(wù)內(nèi)部LAN接入普通終端的

互聯(lián)網(wǎng)訪問WLAN接入InternalSegmentationCisco

ASA5500

IPS

EditionCisco

ASA5500

SSL&IPSec

VPNEditionCisco

ASA5500Anti-XEditionCisco

ASA5500

IPS

EditionCisco

ASA5500

Firewall

EditionCisco

ASA5500

Firewall

Edition如何發(fā)揮ASA5500的安全防護(hù)效能？Corporate怎么定位不同的ASA5500產(chǎn)品？互聯(lián)網(wǎng)接入：ASA5510/5520/5540FW/IPS版本VPN接入：ASA55x0FW或VPN版本內(nèi)部WLAN接入：ASA5510/5520/5540IPS版本遠(yuǎn)程分支機(jī)構(gòu)接入：ASA55x0FW或CSC版本內(nèi)部應(yīng)用系統(tǒng)防護(hù)：ASA55x0IPS或5550/5580FW版本怎么定位不同的ASA5500產(chǎn)品？互聯(lián)網(wǎng)接入：ASA5510互聯(lián)網(wǎng)邊界安全控制應(yīng)用級別的安全防護(hù)：下一代防火墻防火墻入侵防護(hù)系統(tǒng)內(nèi)容級別的安全防護(hù)：IronportWeb/AVSPAM防護(hù)統(tǒng)一VPN接入系統(tǒng)：IPSec/SSLVPN互聯(lián)網(wǎng)邊界安全控制應(yīng)用級別的安全防護(hù)：下一代防火墻IronPort：企業(yè)級內(nèi)容安全產(chǎn)品InternetC-SeriesEMAIL安全網(wǎng)關(guān)S-SeriesWEB安全網(wǎng)關(guān)M-Series安全管理設(shè)備IronPort

SenderBaseIronPort：企業(yè)級內(nèi)容安全產(chǎn)品InternetC-IRONPORT基于消息的安全解決方案IRONPORTSERVICESSender-BaseReputationalFilteringIRONPORTPLATFORMSAnti-SpamVirusOutbreakFilteringContentFilteringC-SeriesEmailSecurityApplianceS-SeriesWebSecurityAppliancePARTNERSERVICESAnti-VirusAnti-SpywareURLFilteringInstantMessaging&Peer-to-PeerControlDataLeakageEncryptionIRONPORT基于消息的安全解決方案IRONPORTSe互聯(lián)網(wǎng)邊界安全控制應(yīng)用級別的安全防護(hù)：下一代防火墻防火墻入侵防護(hù)系統(tǒng)內(nèi)容級別的安全防護(hù)：IronportWeb/AVSPAM防護(hù)統(tǒng)一VPN接入系統(tǒng)：IPSec/SSLVPN互聯(lián)網(wǎng)邊界安全控制應(yīng)用級別的安全防護(hù)：下一代防火墻使用統(tǒng)一VPN接入系統(tǒng)滿足各種客戶需求Public

InternetASA5500VPNEdition網(wǎng)頁定制化的SSLVPN接入網(wǎng)頁定制化SSLVPN接入隧道模式的SSL或IPSecVPNLAN接入商業(yè)合作伙伴的VPN接入Requires“l(fā)ocked-down”accesstospecificextranetresourcesandapplications出差員工的遠(yuǎn)程接入服務(wù)Remoteaccessusersrequireseamless,easytouse,accesstocorporatenetworkresources第三方平臺臨時接入服務(wù)Remoteusersmayrequirelightweightaccesstoe-mailandweb-basedapplicationsfromapublicmachine遠(yuǎn)程分支機(jī)構(gòu)以及SOHU型用戶的LAN接入DayextendersandmobileemployeesrequireconsistentLAN-like,full-networkaccess,tocorporateresourcesandapplications隧道模式的SSL或

IPSecVPN客戶端接入使用統(tǒng)一VPN接入系統(tǒng)滿足各種客戶需求Public

IntBusiness

Partner

AccessExtranet

Connections企業(yè)網(wǎng)絡(luò)互聯(lián)網(wǎng)遠(yuǎn)程接入系統(tǒng)遠(yuǎn)程分支機(jī)構(gòu)數(shù)據(jù)中心管理網(wǎng)段內(nèi)部局域網(wǎng)Internet

Connections企業(yè)互聯(lián)網(wǎng)的業(yè)務(wù)安全STOPGOSTOPGOGOSTOPGO互聯(lián)網(wǎng)邊界安全控制應(yīng)用級別的安全防護(hù)防火墻入侵防護(hù)系統(tǒng)內(nèi)容級別的安全防護(hù)Web/AVSPAM防護(hù)統(tǒng)一VPN接入系統(tǒng)企業(yè)網(wǎng)絡(luò)安全接入控制LAN/WLAN/VPN的接入控制評估終端的安全防護(hù)狀態(tài)控制終端接入的安全策略主動終端防護(hù)系統(tǒng)主動適應(yīng)型終端防護(hù),確保終端訪問互聯(lián)網(wǎng)時的安全，抵御互聯(lián)網(wǎng)蠕蟲以及網(wǎng)頁木馬病毒的攻擊企業(yè)安全策略控制,防止內(nèi)部用戶的惡意行為終端與網(wǎng)絡(luò)入侵防護(hù)及監(jiān)控系統(tǒng)的聯(lián)動Business

Partner

AccessExtrane主動終端防護(hù)系統(tǒng)–CiscoSecurityAgent主動適應(yīng)型終端防護(hù),確保終端訪問互聯(lián)網(wǎng)時的安全，抵御互聯(lián)網(wǎng)蠕蟲以及網(wǎng)頁木馬病毒的攻擊企業(yè)安全策略控制,防止內(nèi)部用戶的惡意行為終端與網(wǎng)絡(luò)入侵防護(hù)及監(jiān)控系統(tǒng)的聯(lián)動主動終端防護(hù)系統(tǒng)–CiscoSecurityAgen新一代的主機(jī)安全解決方案服務(wù)器和桌面系統(tǒng)的威脅防范機(jī)制在惡意行為之前識別和防止獨特的行為檢測手段分析已知或未知威脅防范:?Mydoom ?W32.Blaster?Fizzer ?Bugbear?Sobig.E ?SQLSlammer?Sircam.A ?CodeRed?Nimda ?W32.Netsky更多,不需要簽名更新!Cisco安全代理新一代的主機(jī)安全解決方案Cisco安全代理CSA邏輯結(jié)構(gòu)集中式安全管理器SNMPTraps客戶程序本地文件策略/更新報警基于瀏覽器的管理界面配置報告，事件桌面代理桌面代理桌面代理服務(wù)器代理服務(wù)器代理CSA邏輯結(jié)構(gòu)集中式安全管理器SNMP客戶程序本地文件策略惡意代碼的共性-攻擊流程分析被攻擊的目標(biāo)12345探測滲透寄生傳播發(fā)作地址探測端口掃描密碼猜測郵件用戶猜測惡意郵件緩沖區(qū)溢出惡意ActiveX控件自動軟件安裝利用已有后門創(chuàng)建新文件修改已有文件修改注冊表安裝新的網(wǎng)絡(luò)服務(wù)建立系統(tǒng)后門郵件傳播Web傳播IRC傳播FTP傳播文件傳播刪除文件修改文件使計算機(jī)癱瘓拒絕服務(wù)攻擊準(zhǔn)備攻擊實施攻擊后續(xù)惡意代碼的共性-攻擊流程分析被攻擊12345探測滲透寄生利用CSA防止終端用戶的數(shù)據(jù)泄漏限制移動介質(zhì)的數(shù)據(jù)復(fù)制USB,floppydisk,CDBurner限制通過非授權(quán)接口的進(jìn)行數(shù)據(jù)傳送Modem,Bluetooth,IRDA限制通過webmail,p2p或IM發(fā)送關(guān)鍵數(shù)據(jù)限制系統(tǒng)的cut&pasteclipboard誤操作EMAILSecurityApplianceWEBSecurityAppliance企業(yè)級別的安全

內(nèi)容識別與數(shù)據(jù)保護(hù)利用CSA防止終端用戶的數(shù)據(jù)泄漏限制移動介質(zhì)的數(shù)據(jù)復(fù)制EMA終端與網(wǎng)絡(luò)IPS的聯(lián)合防御系統(tǒng)1.Hacker嘗試攻擊內(nèi)部主機(jī)2.CSA向管理中心匯報攻擊的特征情況4.CSA管理中心與網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)溝通相關(guān)Hacker的入侵特征，利用網(wǎng)絡(luò)IPS進(jìn)行攻擊阻斷3.管理中心調(diào)整每個安全終端的防護(hù)策略，阻止Hacker的進(jìn)一步攻擊終端與網(wǎng)絡(luò)IPS的聯(lián)合防御系統(tǒng)1.Hacker嘗試攻擊企業(yè)網(wǎng)絡(luò)安全接入控制LAN/WLAN/VPN的接入控制評估終端的安全防護(hù)狀態(tài)控制終端接入的安全策略企業(yè)網(wǎng)絡(luò)安全接入控制LAN/WLAN/VPN的接入控制無線網(wǎng)絡(luò)下的網(wǎng)絡(luò)準(zhǔn)入控制無線網(wǎng)絡(luò)下的網(wǎng)絡(luò)準(zhǔn)入控制什么是網(wǎng)絡(luò)準(zhǔn)入控制？?Pleaseenterusername:設(shè)備安全網(wǎng)絡(luò)安全使用網(wǎng)絡(luò)準(zhǔn)入安全策略，確保進(jìn)入網(wǎng)絡(luò)的設(shè)備符合策略。身份識別用戶是誰?

用戶是否得到了授權(quán)?

用戶的角色是什么?NACMS是否進(jìn)行了修補(bǔ)?

是否存在A/V或A/S?

是否正在運(yùn)行?

是否提供服務(wù)?

所需文件是否存在?以及是否建立了策略?

不符合策略的設(shè)備是否被隔離?

是否需要修復(fù)?

是否提供修復(fù)?以及什么是網(wǎng)絡(luò)準(zhǔn)入控制？?PleaseenterusernaNACAppliance的工作重點認(rèn)證與授權(quán)EnforcesauthorizationpoliciesandprivilegesSupportsmultipleuserroles評估Agentscanforrequiredversionsofhotfixes,AV,andothersoftwareNetworkscanforvirusandworminfectionsandportvulnerabilities隔離Isolatenon-compliantdevicesfromrestofnetworkMACandIP-basedquarantineeffectiveataper-userlevel更新與升級Network-basedtoolsforvulnerabilityandthreatremediationHelp-deskintegrationAll-in-OnePolicyCompliance

andRemediationSolutionNACAppliance的工作重點認(rèn)證與授權(quán)隔離All-NACL3OOBACLImplementation…互聯(lián)網(wǎng)互聯(lián)網(wǎng)出口區(qū)域L3核心

交換區(qū)域DNS/DHCP服務(wù)器AD域服務(wù)器WSUS/AV服務(wù)器開放服務(wù)器區(qū)域冗余的CAM帶外/帶內(nèi)網(wǎng)管區(qū)域…L3鏈路L2鏈路邏輯鏈路網(wǎng)絡(luò)準(zhǔn)入

服務(wù)器群TUTNACL3OOBACLImplementation…NACL3OOBACLImplementation…互聯(lián)網(wǎng)互聯(lián)網(wǎng)出口區(qū)域L3核心

交換區(qū)域DNS/DHCP服務(wù)器AD域服務(wù)器WSUS/AV服務(wù)器開放服務(wù)器區(qū)域冗余的CAM帶外/帶內(nèi)網(wǎng)管區(qū)域…L3鏈路L2鏈路邏輯鏈路網(wǎng)絡(luò)準(zhǔn)入

服務(wù)器群用戶接入交換機(jī)端口,端口處于認(rèn)證VLANTUTNACL3OOBACLImplementation…NACL3OOBACLImplementation…互聯(lián)網(wǎng)互聯(lián)網(wǎng)出口區(qū)域L3核心

交換區(qū)域DNS/DHCP服務(wù)器AD域服務(wù)器WSUS/A