思科自防御安全解决方案综述PPT文档格式.ppt
《思科自防御安全解决方案综述PPT文档格式.ppt》由会员分享,可在线阅读,更多相关《思科自防御安全解决方案综述PPT文档格式.ppt(109页珍藏版)》请在冰豆网上搜索。
面向客户需求的安全主题销售方案如何把握安全销售项目的规模与节奏?
我们需要改变安全销售的观念,完美的安全防御包括什么?
严密的边界防护,强大的内部控制,灵活的统一指挥,知己知彼,百战不殆,严密的边界防护:
应用防火墙,入侵检测与防护,内容安全以及VPN接入纵深化的概念:
安全域FWM强大的内部控制:
用户身份与系统安全的控制AAA/NAC终端的防护与安全策略控制-CSA灵活的统一指挥:
基于全局的定位:
MARS快速有效的响应:
CSM/MARS,内容安排,我们需要改变安全销售的观念?
互联网,局域网,无线接入,数据中心,远程机构,企业园区,我们需要抓住客户的安全需求,DMZ,内容安排,我们需要改变安全销售的观念?
面向客户需求的安全主题销售方案,企业互联网的业务安全关键应用系统的防护网络入侵防护、监控与响应系统,BusinessPartnerAccess,ExtranetConnections,企业网络,互联网,远程接入系统,远程分支机构,数据中心,管理网段,内部局域网,InternetConnections,企业互联网的业务安全,互联网边界安全控制,应用级别的安全防护防火墙入侵防护系统内容级别的安全防护Web/AVSPAM防护统一VPN接入系统,企业网络安全接入控制,LAN/WLAN/VPN的接入控制评估终端的安全防护状态控制终端接入的安全策略,主动终端防护系统,主动适应型终端防护,确保终端访问互联网时的安全,抵御互联网蠕虫以及网页木马病毒的攻击企业安全策略控制,防止内部用户的恶意行为终端与网络入侵防护及监控系统的联动,互联网边界安全控制,应用级别的安全防护:
下一代防火墙防火墙入侵防护系统内容级别的安全防护:
IronportWeb/AVSPAM防护统一VPN接入系统:
IPSec/SSLVPN,严密的边界防护,南京中华门城堡纵深防御体系的典型,纵深化的安全架构是系统稳固的基础,主机接入,CIP路由器,ESCONDirector,CouplingFacility,快速以太网或令牌环交换机,DLSW+路由器,IBM主机,ESCON/FICON,Cisco7507,Catalyst6509Catalyst5509,Cisco7507,FC,交换核心,Catalyst6513,SNA/IP网关,IP业务服务器,SNAswDLSW,业务服务器群,Catalyst6513,开发测试网区域,Cisco5350/Cisco5400,外围网关,IPPBX,IP自动语音应答,客户关系管理数据库,应用网关,CTI服务器,AW管理工作站,传真系统,IP录音系统,普通业务咨询,专长理财,n*E1,客户,专职业务代表,语音接入,PSTN,VoIP网关,ICM,PG,IPIVR,CTI,客服中心核心系统,Catalyst6509,外联网区域,PIX535,Catalyst4000,CiscoIDS,PIX535,Cisco7200,拨号访问服务器Cisco3600,Cisco7200,DNS,应用服务器,CiscoIDS4-7层分析,CiscoIDS4-7层分析,WEB协同服务器,电子邮件服务器,内容交换机CSS11500,电子邮件管理服务器,PIX535,GSS全局网站定位器,GSS全局网站定位器,CiscoWorks2000,IDS管理,CiscoInfoServer,VPNSolutionCenter,CICReporter,运行管理网络区域,网元管理,事件管理中心,事件统计汇报,SNA管理,安全管理,话音管理,广域接入网区域,Catalyst6513,Catalyst4500Catalyst3550,服务器群(均衡负载),VoIP关守,HSRP,CDM4650,CE560/CE590,无线以太网访问点,E-LearningLMS服务器,WEB服务器,其它服务器,IP/TV内容管理器,Cisco3660,VoIP网关,AS5350,MCS,办公网络区域,内容分发管理器CDM,内容路由器CR,互联网连接区域,访问管理控制服务器,外层防火墙,DNS服务器,InternetISPA,内层防火墙,邮件服务器,邮件网关(防毒),CiscoVPN集中器,CiscoIDS4-7层分析,AAA认证服务器,外网交换机,Cisco7200,拨号访问服务器Cisco3600,PSTN,Cisco7200,PIX535,PIX535,Catalyst4507,InternetISPB,Catalyst6509Catalyst4500,客户服务中心区域,生产/应用区域,分公司,合作伙伴,分公司,专门的防火墙硬件支持250个虚拟防火墙高达5Gbps/模块的吞吐能力每机箱4个模块支持2000个逻辑网络接口提供Layer-2透明防火墙功能,互联网,Catalyst6500/7600,A,FWSM,B,C,VFW,VFW,VFW,MSFC,业务虚网,利用高性能防火墙模块构架多层次的安全域,安全问题:
企业内部应用和外部应用在同一个网络上运行,不同部门之间连接在同一个网络上,需要安全隔离,又担心性能瓶颈方案:
采用集成于交换机的高性能防火墙模块,办公虚网,客人虚网,CiscoASA5500综合安全防护产品,FirewallTechnologyCiscoPIX,IPSTechnologyCiscoIPS,ContentSecurityTrendMicro,VPNTechnologyCiscoVPN3000,NetworkIntelligenceCiscoNetworkServices,AppInspection,UseEnforcement,WebControlApplicationSecurity,Malware/ContentDefense,AnomalyDetectionIPS&
Anti-XDefenses,Traffic/AdmissionControl,ProactiveResponseNetworkContainmentandControl,SecureConnectivityIPSec&
SSLVPN,Market-ProvenTechnologies,AdaptiveThreatDefense,SecureConnectivity,CiscoASA5500提供内容级别的安全防护,THREATTYPES,PROTECTION,Viruses,Spyware,Malware,Phishing,Spam,InappropriateURLs,IdentityTheft,OffensiveContent,UnauthorizedAccess,Intrusions&
Attacks,InsecureComms.,NEWAnti-XServiceExtensions,Resource&
InformationAccessProtectionHackerProtectionClientProtectionDDoSProtectionProtectedEmailCommunicationProtectedWebBrowsingProtectedFileExchangeUnwantedVisitorControlAudit&
RegulatoryAssistanceNon-workRelatedWebSitesIdentityProtection,GranularPolicyControls,ComprehensiveMalwareProtection,AdvancedContentFiltering,IntegratedMessageSecurity,EasytoUse,ASA5500withCSC-SSM,Internet,内部用户,FireWall,Port80,Web服务,Web应用,IM流量,多媒体,互联网访问,43%,43%,55%,43%,98%,采用应用级防火墙进行深入的攻击防护,“75%针对Web服务器的攻击是基于应用层,而不是网络层次,80HTTP,JohnPescatore,VPandResearchDirector,Gartner,June2002.,Source:
Aug2002InfoWorld/NetworkComputingsurveyofITProfessionals,64%的企业用户在防火墙上开放80端口,用于满足其内部基于Web的各类应用服务流量的需要,基于网络行为特征的攻击判别,Internet,InternalZone2,InternalZone3,利用AD(Anomalydetectionalgorithms)检测并阻止零日攻击(Day-Zero)自动学习网络流量特征,Teleworker,BranchOffice,InternetEdge,ASA5550,ASA5500的产品一览,ASA5580-20,ASA5580-40,ASA5505,集成化的安全平台符合下一代防火墙标准的硬件架构标准统一的安全管理界面符合业界高标准的安全认证还有更多,DataCenter,ASA5540,ASA5520,ASA5510,CiscoASA5500Platforms,CampusSegmentation,CiscoConfidentialNDAUseOnly,为什么要升级到ASA5500?
更加灵活的部署方式:
ASA5500可以按照防火墙、入侵防护、VPN以及内容安全等不同方式进行部署更加低廉的部署以及维护成本:
因为ASA5500包括了多种安全防护技术,以统一的平台完成更多的防护任务更加先进的设计架构:
将思科传统的安全产品,包括PIX500、IDS4200、VPN3000集成于一个全新的多CPU、多总线的硬件架构,在确保系统的稳定基础上提升整体的性能指标更加强大的防火墙以及VPN性能:
相对传统的PIX产品而言,ASA5500的防火墙与VPN性能更加优化硬件实现的入侵防护以及内容安全功能,在启动多重防护体系时确保系统性能不受影响,下一代防火墙ASA5500的优势体现,下一代防火墙必须同时高性能地处理应用级别的防火墙以及入侵检测防护功能下一代防火墙必须在硬件架构中考虑未来安全防护需求的扩展能力,采用多核CPU以及多总线的处理模式,兼顾性能与功能的需求,CiscoASA5520,Vendor“A”,Vendor“B”,Vendor“C”,FirewallPerformance(Mbps)withAllAttack/VirusSignaturesEnabled,16-KbyteHTTPObjectSize,ConnectionsperSecondPerformance,CiscoASA5520,Vendor“A”,Vendor“B”,Vendor“C”,Source:
Miercom,October2005UTMProductComparison,如何发挥ASA5500的安全防护效能?
CorporateNetwork,远程分支机构本地互联网访问,数据中心,Extranet:
商业合作伙伴接入,远程VPN接入,DMZ:
对外互联网服务,内部LAN接入,普通终端的互联网访问,WLAN接入,InternalSegmentation,怎么定位不同的ASA5500产品?
互
升级会员 