1
议程
思科安全无边界网络架构 外联业务安全——思科云火墙解决方案 内网业务安全——思科攻击定位与响应解决方案 问与答
SODC by Weihang
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
2
攻击威胁与防御体系的演进
Cisco Confidential
12
思科“云”火墙应对五大信息安全最新挑战
1
2 3 4 5
SODC by Weihang © 2009 Cisco Systems, Inc. All rights reserved.
如何避免内部感染木马与僵尸网络潜伏?
“云”火墙 Sensorbase动态策略技术
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
11
下一代防火墙： 主动防御僵尸网络，智能入侵防护.
SODC by Weihang
© 2009 Cisco Systems, Inc. All rights reserved.
SensorBase 全球覆盖: 美国圣何塞, 圣布鲁诺, 澳大 利亚, 北卡罗莱纳和中国上海 来自中国互联网的安全数据占17%之多 实时采集全球30%的IP流量
准确可靠: 源于思科 全球安全设备及第三 方机构信息采集 •Email •URL •Signature •Domain •Botnet
主动防御: 全面及时的安全防护体系联动 •IPS全球入侵防御系统； •ASA僵尸网络数据流过滤器； •病毒蠕虫爆发预防过滤器； •全球名誉度过滤器（IPS；邮件及Web）
Cisco Confidential
17
三.清理恶意 Session ，提高并发实效
Real World 性能，IPS硬件，Session Reputation
SODC by Weihang
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
15
二. 防外部攻击入侵 – IPS Global Correlation
最新恶意攻 击信息更新
Internet
未知攻击者
Sensor Base
SIO
更新
Cisco IPS 协同: 特征库+ 全球信誉关联 特点: 鉴别新增的威胁种类 增加安全团队的工作效率
to SIO*
Report 攻击者不在现 下载全球 Attack 在数据库中 威胁数据
ATD自适应威胁防御实现
保护每个数据包和数据流 Firewall / VPN IPS
Anti-Maleware
• 被感染的流量 • • • • • 接入 突破 网络滥用 端口扫描 畸形数据包 • 应用滥用 • 停止服务 / Hacking • 已知的攻击
植入应用中的攻击
SODC by Weihang
思科无边界网络安全
安全控制策略
企业网络边界 应用与数据
Software as a Service
4
控制策略 (访问控制, 合法使用, 恶意软件, 数据安全)
无边界 数据中心
Platform as a Service Infrastructure as a Service
X as a Service
•全网统一: 动态防御, 管理及可信网络管控
• 管理：TrustSec
• 防御：ScanSafe、SensorBase
• 可信数据 –数据保护
解决方案：域内、域间信息 加密及验证、ＶPN、SSL感 知；（WAAS、MACSec、 VPN，Netflow）
•可信架构 –弹性架构防御
解决方案： 动态目的检测、 智能信任报文；（云火墙 Anti-Botnet、SGT）
Cisco Confidential
19
Protocol Inspection
Powerful Network Security and Controls
Fragmentation and Obscured Content Piggybacked Sessions Source Address Verification Sequence Randomization Retransmitted Packets
CiscoConfidential Confidential Cisco
16
全球协防 - - IPS Global Correlation 08:00 GMT
一个新恶意软件正在澳大利亚被发现 一个正在俄罗斯活跃的僵尸网络正在 广泛的发送新内容 在韩国，一个病毒正在网络上肆虐 在佛罗里达，一个电脑黑客正在为主 要的金融机构发送探通
9
议程
思科安全无边界网络架构 外联业务安全——思科云火墙解决方案 内网业务安全——思科攻击定位与响应解决方案 问与答
SODC by Weihang
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
Байду номын сангаас
10
外联业务多功能防护需求
Cisco Confidential
13
一. 防内部木马僵尸潜伏 Anti-Botnet
ASA 5500 Series Infected Clients Malware Command & Control
扫描流量，端口，协议， 恶意 “回拨” 流量 警示被感染客户端，清除木马僵尸流量
SODC by Weihang
Overloaded Sessions
Anti-Evasion Denial of Service Protection
规避
拒绝服务
欺骗
连接滥用
Anti-Spoofing Anti-Connection Abuse
Malformed Packets and State Checks Connection and Embryonic Limits TCP Window Size Anomalies Selective Resets and Timeouts Dead Connections
SODC by Weihang © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential
8
思科无边界网络安全-实践
• 可信资源 –内容防御
解决方案：动态源检测、内 容合规检测；（IPS Global Correlation、XML Firewall）
如何阻断外部黑客攻击?
IPS Global Correlation 全球信誉协防技术
如何提高Session性能实效?
Real World 性能，IPS硬件，Session Reputation
如何划分安全域与安全接入?
虚拟防火墙技术与xVPN技术
如何实现内容安全与数据防泄漏?
云火墙与Ironport 邮件安全、Web安全网关
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
14
Threat Protection
Botnet Traffic Filter on ASA 5500 Series
监控恶意流量
扫描全部流量，端口和协议 通过追踪“回拨”流量发现被感染的 客户端
X as a Service
总部办公室
分支办公室
机场
智能终端/移动攻击者 合作伙伴 用户
客户
任何设备
SODC by Weihang © 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential
任何人
任何地点
5
咖啡 店
Home Office
Command and Control
高准确度
每周识别超过10万恶意连接 自动DNS地址查询
Cisco ASA
与CSIO实时连动
Infected Clients
SODC by Weihang
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
SYN Flood Protection
18
Access Control
Granular Policy for Modern Networks
ASA 支持数十万条策略
能够基于接口或全局设定策略
强大的NAT引擎
SODC by Weihang
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
3
一个没有边界的网络已形成
移动与协作、以及云计算——打破了企业数据中心边界
任何时间 任何资源 Platform as a Service Infrastructure as a Service
控制策略
企业网络边界 应用与数据 Software as a Service
08:15 GMT
所有的Cisco IPS用户已经被保护，免 于以上威胁的攻击
Cisco IPS比其他IPS技术提前两倍的时间发现威胁入侵, 收集数十亿全球范围内的数据点
Collaborative IPS 遥感, 全球一体化关联, 先发制人的保护
SODC by Weihang