文档介绍:思科安全无边界网络�架构及解决方案��支撑企业业务创新的商业平台
Wind Wan
work
议程
思科安全无边界网络架构
外联业务安全——思科云火墙解决方案
内网业务安全——思科攻击定位与响应解决方案
问与答
攻击威胁与防御体系的演进
有边界网络-> 无边界网络
过去
现在
集中计算云计算
有边界网络无边界网络
外部入侵DDoS 内部木马僵尸利用
网络应用内容数据
边界单点全网多点
固定静态特征移动动态变化
IT行业
攻击威胁
防御体系
传统的企业网络边界
企业网络边界
分支办公室
应用与数据
总部办公室
控制策略
攻击者
客户
合作伙伴
一个没有边界的网络已形成
企业网络边界
分支办公室
应用与数据
总部办公室
控制策略
攻击者
Home Office
咖啡店
客户
机场
合作伙伴
Platform
as a Service
Infrastructure
as a Service
X
as a Service
Software
as a Service
任何时间
任何地点
任何设备
任何资源
移动与协作、以及云计算——打破了企业数据中心边界
智能终端/移动用户
任何人
无边界
数据中心
3
无边界�
2
无边界�终端用户
1
思科无边界网络安全
安全控制策略
企业网络边界
分支办公室
应用与数据
总部办公室
控制策略
(访问控制, 合法使用, 恶意软件, 数据安全)
4
Home Office
攻击者
咖啡店
客户
机场
合作伙伴
Platform
as a Service
Infrastructure
as a Service
X
as a Service
Software
as a Service
智能终端/移动用户
正确人员、正确终端、正确地点
正确时间、正确资源
无边界网络安全
从自防御网络SDN到安全无边界网络SBN
自防御网络– SDN
安全无边界访问
把坏人阻挡在外
移动安全 Mobility
Always On
安全无边界网络 SBN
策略& 身份
受信任访问 Trust
云安全 Cloud
主机托管/混合托管
思科安全智能运营中心 Cisco SIO
防火墙 Firewall
访问控制
侵扰防御 IPS
防止攻击
内容安全 Content
邮件& Web
思科安全架构核心: CSIO - Sensor Base
SensorBase 全球覆盖: 美国圣何塞, 圣布鲁诺, 澳大利亚, 北卡罗莱纳和中国上海
来自中国互联网的安全数据占17%之多
实时采集全球30%的IP流量
主动防御: 全面及时的安全防护体系联动
IPS全球入侵防御系统;
ASA僵尸网络数据流过滤器;
病毒蠕虫爆发预防过滤器;
全球名誉度过滤器(IPS;邮件及Web)
准确可靠: 源于思科全球安全设备及第三方机构信息采集
Email
URL
Signature
Domain
思科无边界网络安全-实践
有边界内部网络-私有网络
自防御网络 SDN :集成、自适应、协同
解决方案:ASA/FWSM (virtual Firewall) + CSM/IPS + NAC…
全网统一: 动态防御, 管理及可信网络管控
防御:ScanSafe、SensorBase
管理:TrustSec
可信架构–弹性架构防御
解决方案: 动态目的检测、智能信任报文;(云火墙 Anti-、SGT)
可信终端–移动接入防御
解决方案:移动准入控制,接入感知;(AnyConnect+NAC)
可信数据–数据保护
解决方案:域内、域间信息加密及验证、VPN、SSL感知;(WAAS、MACSec、flow)
可信资源–内容防御
解决方案:动态源检测、内容合规检测;(IPS Global Correlation、XML Firewall)