拓展任务44-2思科自防御安全解决方案综述课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《拓展任务44-2思科自防御安全解决方案综述课件.ppt》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 拓展 任务 44 思科 防御 安全 解决方案 综述 课件
- 资源描述:
-
1、 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID1学习情境4:拓展任务思科自防御安全解决方案综述培训 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID2 严密的边界防护:应用防火墙,入侵检测与防护,内容安全以及VPN接入纵深化的概念:安全域FWM 强大的内部控制:用户身份与系统安全的控制 AAA/NAC终端的防护与安全策略控制-CSA 灵活的统一指挥:基于全局的定位:MARS快速有效的响应:CSM/MARS 2006 Cisco Systems,Inc.Al
2、l rights reserved.Presentation_ID3互联网互联网局域网局域网无线接入无线接入数据中心数据中心远程机构远程机构企业园区企业园区客户的安全需求客户的安全需求DMZ安全攻击入侵的防护安全攻击入侵的防护利用利用IPSIPS以及以及CSACSA进行网络与主机进行网络与主机的安全防护的安全防护关键应用系统的防护关键应用系统的防护利用防火墙,入侵防护以利用防火墙,入侵防护以及认证授权系统完成关键及认证授权系统完成关键应用系统的防护与控制应用系统的防护与控制企业互联网的业务安全企业互联网的业务安全利用利用ASA,Ironport,VPN,CSAASA,Ironport,VPN,
3、CSA以及以及NACNAC技术保证终端用户以技术保证终端用户以及网络系统在接入互联网的安全及网络系统在接入互联网的安全 安全事件监控与日常维护安全事件监控与日常维护利用利用CS-MARSCS-MARS以及以及CS-CS-ManagerManager进行系统级的策略操进行系统级的策略操作以及威胁监控响应作以及威胁监控响应 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID4BusinessPartnerAccessExtranet Connections企业网络企业网络互联网互联网远程接入系统远程接入系统远程分支机构远程分支机构数
4、据中心数据中心管理网段管理网段内部局域网内部局域网Internet Connections企业互联网的业务安全企业互联网的业务安全STOPGOSTOPGOGOSTOPGO互联网边界安全控制互联网边界安全控制应用级别的安全防护应用级别的安全防护防火墙防火墙入侵防护系统入侵防护系统内容级别的安全防护内容级别的安全防护Web/AVWeb/AVSPAMSPAM防护防护统一统一VPNVPN接入系统接入系统企业网络安全接入控制企业网络安全接入控制LAN/WLAN/VPNLAN/WLAN/VPN的接入控制的接入控制评估终端的安全防护状态评估终端的安全防护状态控制终端接入的安全策略控制终端接入的安全策略主动终
5、端防护系统主动终端防护系统主动适应型终端防护主动适应型终端防护,确确保终端访问互联网时的安保终端访问互联网时的安全,抵御互联网蠕虫以及全,抵御互联网蠕虫以及网页木马病毒的攻击网页木马病毒的攻击企业安全策略控制企业安全策略控制,防止防止内部用户的恶意行为内部用户的恶意行为终端与网络入侵防护及监终端与网络入侵防护及监控系统的联动控系统的联动 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID5互联网边界安全控制互联网边界安全控制应用级别的安全防护:下一代防火墙应用级别的安全防护:下一代防火墙防火墙防火墙入侵防护系统入侵防护系统内容级
6、别的安全防护:内容级别的安全防护:Iron portIron portWeb/AVWeb/AVSPAMSPAM防护防护统一统一VPNVPN接入系统:接入系统:IPSec/SSL VPNIPSec/SSL VPN 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID6纵深化的安全架构是系统稳固的基础纵深化的安全架构是系统稳固的基础主机接入CIP路由器ESCON DirectorCoupling Facility快速以太网或令牌环交换机DLSW+路由器IBM主机ESCON/FICONCisco7507Catalyst6509Catal
7、yst5509Cisco7507FC交换核心交换核心SiSiSiSiSiSiSiSiCatalyst6513SNA/IP网关IP业务服务器SNAswDLSW业务服务器群Catalyst6513开发测试网区域主机系统Cisco 5350/Cisco5400外围网关IP PBXIP自动语音应答客户关系管理数据库应用网关CTI服务器AW管理工作站传真系统IP录音系统普通业务咨询专长理财n*E1客户专职业务代表语音接入VoIP网关ICMPGIP IVRCTI客服中心核心系统Catalyst6509外联网区域PIX535Catalyst 4000Cisco IDSPIX 535Cisco 7200拨号访
8、问服务器Cisco 3600Cisco 7200DNS应用服务器Cisco IDS4-7层分析Cisco IDS4-7层分析WEB协同服务器电子邮件服务器内容交换机CSS11500电子邮件管理服务器PIX 535GSS全局网站定位器GSS全局网站定位器CiscoWorks 2000 IDS 管理Cisco Info ServerVPN Solution CenterCIC Reporter运行管理网络区域网元管理事件管理中心事件统计汇报SNA管理安全管理话音管理广域接入网区域Catalyst 6513Catalyst 4500Catalyst 3550服务器群(均衡负载)VoIP关守HSRPC
9、DM4650CE560/CE590无线以太网访问点E-LearningLMS服务器WEB服务器其它服务器IP/TV内容管理器Cisco 3660VoIP网关AS5350MCSV V 办公网络区域内容分发管理器CDM内容路由器CR互联网连接区域访问管理控制服务器外层防火墙DNS服务器InternetISPA内层防火墙邮件服务器邮件网关(防毒)Cisco VPN集中器Cisco IDS4-7层分析AAA认证服务器外网交换机Cisco 7200拨号访问服务器Cisco 3600PSTNCisco 7200PIX 535PIX 535Catalyst4507InternetISPBCatalyst 6
10、509Catalyst 4500客户服务中心区域生产/应用区域分公司分公司合作伙伴合作伙伴分公司分公司安全管理中心安全认证中心入侵监测中心防病毒服务器边界防火墙入侵防范安全VPN路由器集成安全防护边界防火墙边界防火墙入侵监测防范入侵监测防范安全交换机网络准入控制路由器集成安全防护VPN安全接入垃圾邮件防护内容安全控制防DDoS攻击边界防火墙认证服务器入侵监测拨号接入无线安全接入动态密码语音安全服务器安全加固入侵监测边界防火墙网络病毒过滤漏洞扫描网络准入控制终端安全防护防DDoS攻击入侵监测反向地址验证边界防火墙二级防火墙二级防火墙流量监测服务器安全加固垃圾邮件防范入侵监测网络准入控制防火墙语音
11、安全应用安全流量监控设备加固反向地址验证防火墙入侵监测入侵监测设备加固应用安全保护防DDoS攻击 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID7 专门的防火墙硬件专门的防火墙硬件 支持支持 250 个虚拟防火墙个虚拟防火墙 高达高达 5Gbps/模块模块 的吞吐能力的吞吐能力 每机箱每机箱4个模块个模块 支持支持 2000 个逻辑网络接口个逻辑网络接口 提供提供 Layer-2 透明防火墙功能透明防火墙功能互联网互联网Catalyst 6500/7600AFW SMBCVFWVFWVFWMSFC业务虚网利用高性能防火墙模块
12、构架多层次的安全域利用高性能防火墙模块构架多层次的安全域 安全问题安全问题:企业内部应用和外部应用在同一个网络上运行,不同部门之间连接在同企业内部应用和外部应用在同一个网络上运行,不同部门之间连接在同一个网络上,需要安全隔离,又担心性能瓶颈一个网络上,需要安全隔离,又担心性能瓶颈 方案方案:采用集成于交换机的高性能防火墙模块采用集成于交换机的高性能防火墙模块办公虚网客人虚网 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID8 2006 Cisco Systems,Inc.All rights reserved.Presenta
13、tion_ID9Cisco ASA 5500 综合安全防护产品综合安全防护产品 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID10Cisco ASA 5500 提供内容级别的安全防护提供内容级别的安全防护THREAT TYPESPROTECTIONVirusesSpywareMalwarePhishingSpamInappropriate URLsIdentity TheftOffensive ContentUnauthorized AccessIntrusions&AttacksInsecure Comms.NEW Ant
14、i-X Service ExtensionsResource&Information Access ProtectionHacker ProtectionClient ProtectionDDoS ProtectionProtected Email CommunicationProtected Web Browsing Protected File ExchangeUnwanted Visitor ControlAudit&Regulatory AssistanceNon-work Related Web SitesIdentity Protection Granular Policy Con
15、trolsComprehensive Malware ProtectionAdvanced Content FilteringIntegrated Message SecurityEasy to UseASA 5500 with CSC-SSM 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID11Internet内部用户Port 80Web 服务Web 应用IM 流量多媒体互联网访问43%43%55%43%98%采用应用级防火墙进行深入的攻击防护采用应用级防火墙进行深入的攻击防护“75%针对 Web 服务器的攻击是基于应用层,
16、而不是网络层次80 HTTPJohn Pescatore,VP and Research Director,Gartner,June 2002.Source:Aug 2002 InfoWorld/Network Computing survey of IT Professionals64%的企业用户在防火墙上开放的企业用户在防火墙上开放80端口,端口,用于满足其内部基于用于满足其内部基于Web的各类应用服务的各类应用服务流量的需要流量的需要 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID12基于网络行为特征的攻击判别基于网络
17、行为特征的攻击判别InternetInternal Zone 2Internal Zone 3利用利用AD(Anomaly detection algorithms)检测并阻止零日攻击()检测并阻止零日攻击(Day-Zero)自动学习网络流量特征自动学习网络流量特征 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID13TeleworkerBranch OfficeInternetEdgeASA 5550ASA5500的产品一览的产品一览ASA 5580-20ASA 5580-40ASA 5505Data CenterASA 5
18、540ASA 5520ASA 5510Cisco ASA 5500 PlatformsNewNewCampusSegmentationCisco Confidential NDA Use Only 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID14下一代防火墙下一代防火墙ASA5500的优势体现的优势体现 下一代防火墙必须同时高性能地处理应用级别的防火墙以及入侵检测防护功能 下一代防火墙必须在硬件架构中考虑未来安全防护需求的扩展能力,采用多核CPU以及多总线的处理模式,兼顾性能与功能的需求Cisco ASA5520Vendo
19、r“A”Vendor“B”Vendor“C”Firewall Performance(Mbps)with All Attack/Virus Signatures Enabled,16-Kbyte HTTP Object SizeConnections per Second PerformanceCisco ASA5520Vendor“A”Vendor“B”Vendor“C”Source:Miercom,October 2005 UTM Product Comparison 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID15如
20、何发挥如何发挥ASA 5500 的安全防护效能?的安全防护效能?Corporate Network远程分支机构远程分支机构本地互联网访问本地互联网访问数据中心数据中心Extranet:商业商业合作伙伴接入合作伙伴接入远程远程VPN接入接入DMZ:对外对外互联网服务互联网服务 内部内部LAN接入接入普通终端的普通终端的互联网访问互联网访问WLAN接入接入Internal SegmentationCisco ASA 5500 IPSEditionCiscoASA 5500SSL&IPSecVPN EditionCisco ASA 5500 Anti-X EditionCiscoASA 5500IP
21、SEditionCiscoASA 5500FirewallEditionCiscoASA 5500FirewallEdition 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID16怎么定位不同的怎么定位不同的ASA5500产品?产品?互联网接入:ASA5510/5520/5540 FW/IPS版本 VPN接入:ASA55x0 FW或VPN版本 内部WLAN接入:ASA5510/5520/5540 IPS版本 远程分支机构接入:ASA55x0 FW或CSC版本 内部应用系统防护:ASA55x0 IPS或 5550/5580 F
22、W版本 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID17互联网边界安全控制互联网边界安全控制应用级别的安全防护:下一代防火墙应用级别的安全防护:下一代防火墙防火墙防火墙入侵防护系统入侵防护系统内容级别的安全防护:内容级别的安全防护:Iron portIron portWeb/AVWeb/AVSPAMSPAM防护防护统一统一VPNVPN接入系统:接入系统:IPSec/SSL VPNIPSec/SSL VPN 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID1
23、8Iron Port:企业级内容安全产品:企业级内容安全产品InternetC-SeriesEMAIL安全网关安全网关S-SeriesWEB安全网关安全网关M-Series安全安全 管理设备管理设备IronPortSenderBase 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID19IRONPORT 基于消息的安全解决方案基于消息的安全解决方案C-SeriesC-SeriesEmailEmail Security Appliance Security ApplianceS-SeriesS-SeriesWebWeb Secu
24、rity Appliance Security Appliance 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID20互联网边界安全控制互联网边界安全控制应用级别的安全防护:下一代防火墙应用级别的安全防护:下一代防火墙防火墙防火墙入侵防护系统入侵防护系统内容级别的安全防护:内容级别的安全防护:Iron portIron portWeb/AVWeb/AVSPAMSPAM防护防护统一统一VPNVPN接入系统:接入系统:IPSec/SSL VPNIPSec/SSL VPN 2006 Cisco Systems,Inc.All ri
25、ghts reserved.Presentation_ID21使用统一使用统一VPN接入系统满足各种客户需求接入系统满足各种客户需求Public InternetASA 5500 VPN Edition网页定制化的网页定制化的SSL VPN接入接入网页定制化网页定制化SSL VPN接入接入隧道模式的隧道模式的SSL或或IPSec VPN LAN接入接入商业合作伙伴的商业合作伙伴的VPN接入接入Requires“locked-down”access to specific extranet resources and applications出差员工的远程接入服务出差员工的远程接入服务Remot
展开阅读全文