1、面向客户需求的安全主题销售方案如何把握安全销售项目的规模与节奏?,我们需要改变安全销售的观念,完美的安全防御包括什么?,严密的边界防护,强大的内部控制,灵活的统一指挥,知己知彼,百战不殆,严密的边界防护:应用防火墙,入侵检测与防护,内容安全以及VPN接入纵深化的概念:安全域FWM强大的内部控制:用户身份与系统安全的控制 AAA/NAC终端的防护与安全策略控制-CSA灵活的统一指挥:基于全局的定位:MARS快速有效的响应:CSM/MARS,内容安排,我们需要改变安全销售的观念?,互联网,局域网,无线接入,数据中心,远程机构,企业园区,我们需要抓住客户的安全需求,DMZ,内容安排,我们需要改变安全
2、销售的观念?,面向客户需求的安全主题销售方案,企业互联网的业务安全关键应用系统的防护网络入侵防护、监控与响应系统,BusinessPartnerAccess,Extranet Connections,企业网络,互联网,远程接入系统,远程分支机构,数据中心,管理网段,内部局域网,Internet Connections,企业互联网的业务安全,互联网边界安全控制,应用级别的安全防护防火墙入侵防护系统内容级别的安全防护Web/AVSPAM防护统一VPN接入系统,企业网络安全接入控制,LAN/WLAN/VPN的接入控制评估终端的安全防护状态控制终端接入的安全策略,主动终端防护系统,主动适应型终端防护,
3、确保终端访问互联网时的安全,抵御互联网蠕虫以及网页木马病毒的攻击企业安全策略控制,防止内部用户的恶意行为终端与网络入侵防护及监控系统的联动,互联网边界安全控制,应用级别的安全防护:下一代防火墙防火墙入侵防护系统内容级别的安全防护:Iron portWeb/AVSPAM防护统一VPN接入系统:IPSec/SSL VPN,严密的边界防护,南京中华门城堡 纵深防御体系的典型,纵深化的安全架构是系统稳固的基础,主机接入,CIP路由器,ESCON Director,Coupling Facility,快速以太网或令牌环交换机,DLSW+路由器,IBM主机,ESCON/FICON,Cisco7507,Ca
4、talyst6509Catalyst5509,Cisco7507,FC,交换核心,Catalyst6513,SNA/IP网关,IP业务服务器,SNAswDLSW,业务服务器群,Catalyst6513,开发测试网区域,Cisco 5350/Cisco5400,外围网关,IP PBX,IP自动语音应答,客户关系管理数据库,应用网关,CTI服务器,AW管理工作站,传真系统,IP录音系统,普通业务咨询,专长理财,n*E1,客户,专职业务代表,语音接入,PSTN,VoIP网关,ICM,PG,IP IVR,CTI,客服中心核心系统,Catalyst6509,外联网区域,PIX535,Catalyst 4
5、000,Cisco IDS,PIX 535,Cisco 7200,拨号访问服务器Cisco 3600,Cisco 7200,DNS,应用服务器,Cisco IDS4-7层分析,Cisco IDS4-7层分析,WEB协同服务器,电子邮件服务器,内容交换机CSS11500,电子邮件管理服务器,PIX 535,GSS全局网站定位器,GSS全局网站定位器,CiscoWorks 2000,IDS 管理,Cisco Info Server,VPN Solution Center,CIC Reporter,运行管理网络区域,网元管理,事件管理中心,事件统计汇报,SNA管理,安全管理,话音管理,广域接入网区域
6、,Catalyst 6513,Catalyst 4500Catalyst 3550,服务器群(均衡负载),VoIP关守,HSRP,CDM4650,CE560/CE590,无线以太网访问点,E-LearningLMS服务器,WEB服务器,其它服务器,IP/TV内容管理器,Cisco 3660,VoIP网关,AS5350,MCS,办公网络区域,内容分发管理器CDM,内容路由器CR,互联网连接区域,访问管理控制服务器,外层防火墙,DNS服务器,InternetISPA,内层防火墙,邮件服务器,邮件网关(防毒),Cisco VPN集中器,Cisco IDS4-7层分析,AAA认证服务器,外网交换机,C
7、isco 7200,拨号访问服务器Cisco 3600,PSTN,Cisco 7200,PIX 535,PIX 535,Catalyst4507,InternetISPB,Catalyst 6509Catalyst 4500,客户服务中心区域,生产/应用区域,分公司,合作伙伴,分公司,专门的防火墙硬件支持 250 个虚拟防火墙高达 5Gbps/模块 的吞吐能力每机箱4个模块支持 2000 个逻辑网络接口提供 Layer-2 透明防火墙功能,互联网,Catalyst 6500/7600,A,FW SM,B,C,VFW,VFW,VFW,MSFC,业务虚网,利用高性能防火墙模块构架多层次的安全域,安
8、全问题:企业内部应用和外部应用在同一个网络上运行,不同部门之间连接在同一个网络上,需要安全隔离,又担心性能瓶颈方案:采用集成于交换机的高性能防火墙模块,办公虚网,客人虚网,Cisco ASA 5500 综合安全防护产品,Firewall TechnologyCisco PIX,IPS TechnologyCisco IPS,Content SecurityTrend Micro,VPN TechnologyCisco VPN 3000,Network IntelligenceCisco Network Services,App Inspection,Use Enforcement,Web Co
9、ntrolApplication Security,Malware/Content Defense,Anomaly DetectionIPS&Anti-X Defenses,Traffic/Admission Control,Proactive ResponseNetwork Containment and Control,Secure ConnectivityIPSec&SSL VPN,Market-ProvenTechnologies,Adaptive Threat Defense,Secure Connectivity,Cisco ASA 5500 提供内容级别的安全防护,THREAT
10、TYPES,PROTECTION,Viruses,Spyware,Malware,Phishing,Spam,Inappropriate URLs,Identity Theft,Offensive Content,Unauthorized Access,Intrusions&Attacks,Insecure Comms.,NEW Anti-X Service Extensions,Resource&Information Access ProtectionHacker ProtectionClient ProtectionDDoS ProtectionProtected Email Commu
11、nicationProtected Web Browsing Protected File ExchangeUnwanted Visitor ControlAudit&Regulatory AssistanceNon-work Related Web SitesIdentity Protection,Granular Policy Controls,Comprehensive Malware Protection,Advanced Content Filtering,Integrated Message Security,Easy to Use,ASA 5500 with CSC-SSM,In
12、ternet,内部用户,FireWall,Port 80,Web 服务,Web 应用,IM 流量,多媒体,互联网访问,43%,43%,55%,43%,98%,采用应用级防火墙进行深入的攻击防护,“75%针对 Web 服务器的攻击是基于应用层,而不是网络层次,80 HTTP,John Pescatore,VP and Research Director,Gartner,June 2002.,Source:Aug 2002 InfoWorld/Network Computing survey of IT Professionals,64%的企业用户在防火墙上开放80端口,用于满足其内部基于Web的
13、各类应用服务流量的需要,基于网络行为特征的攻击判别,Internet,Internal Zone 2,Internal Zone 3,利用AD(Anomaly detection algorithms)检测并阻止零日攻击(Day-Zero)自动学习网络流量特征,Teleworker,Branch Office,InternetEdge,ASA 5550,ASA5500的产品一览,ASA 5580-20,ASA 5580-40,ASA 5505,集成化的安全平台 符合下一代防火墙标准的硬件架构标准 统一的安全管理界面 符合业界高标准的安全认证 还有更多,Data Center,ASA 5540,
14、ASA 5520,ASA 5510,Cisco ASA 5500 Platforms,CampusSegmentation,Cisco Confidential NDA Use Only,为什么要升级到ASA5500?,更加灵活的部署方式:ASA5500可以按照防火墙、入侵防护、VPN以及内容安全等不同方式进行部署更加低廉的部署以及维护成本:因为ASA5500包括了多种安全防护技术,以统一的平台完成更多的防护任务更加先进的设计架构:将思科传统的安全产品,包括PIX500、IDS4200、VPN3000集成于一个全新的多CPU、多总线的硬件架构,在确保系统的稳定基础上提升整体的性能指标更加强大的
15、防火墙以及VPN性能:相对传统的PIX产品而言,ASA5500的防火墙与VPN性能更加优化硬件实现的入侵防护以及内容安全功能,在启动多重防护体系时确保系统性能不受影响,下一代防火墙ASA5500的优势体现,下一代防火墙必须同时高性能地处理应用级别的防火墙以及入侵检测防护功能下一代防火墙必须在硬件架构中考虑未来安全防护需求的扩展能力,采用多核CPU以及多总线的处理模式,兼顾性能与功能的需求,Cisco ASA5520,Vendor“A”,Vendor“B”,Vendor“C”,Firewall Performance(Mbps)with All Attack/Virus Signatures E
16、nabled,16-Kbyte HTTP Object Size,Connections per Second Performance,Cisco ASA5520,Vendor“A”,Vendor“B”,Vendor“C”,Source:Miercom,October 2005 UTM Product Comparison,如何发挥ASA 5500 的安全防护效能?,Corporate Network,远程分支机构本地互联网访问,数据中心,Extranet:商业合作伙伴接入,远程VPN接入,DMZ:对外互联网服务,内部LAN接入,普通终端的互联网访问,WLAN接入,Internal Segmentation,怎么定位不同的ASA5500产品?,互
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1