吕鹂啸资深安全专家 [email protected] secure...

1

吕鹂啸

资深安全专家[email protected]

Secure Mobility

© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 222

Agenda

机遇与挑战

Secure Mobility的主要组成

工作原理


日益增长的复杂度

IT遇到越来越多

的不能控制的场景

可拓展性

地点

设备

应用

性能

安全

管理

可用性

线性多维性

成本


一个新的无边界企业网络的形成

安全地, 可靠地, 无缝地

无边界的体验

任何事

任何时间任何地点

任何人


思科无边界网络的安全架构

策略

企业边界

分支机构

应用和数据

总部

策略(访问控制, 正确使用, 恶意软件, 数据安全)

AttackersCoffee Shop

Customers

Airport

Mobile User Partners

Platformas a Service

Infrastructureas a Service

Xas a Service

Softwareas a Service

Home Office


安全的隐患来自于网络的无边界延伸

家庭

咖啡店

机场

接入设备

分支机构

INTERNET

Social Networking

Enterprise SaaS

News

Email

应用

企业总部

接入点

酒店

http://images.google.com/imgres?imgurl=http://www.ehs.washington.edu/images/BIOSGN2.jpg&imgrefurl=http://www.ehs.washington.edu/Manuals/BSManual/AppendixA.pdf&h=1028&w=850&sz=124&tbnid=HeNi2BPYUAgJ:&tbnh=149&tbnw=124&start=14&prev=/images?q=biohazard&hl=en&lr=&safe=off


Secure Mobility

机遇与挑战


工作原理


解决方案AnyConnect + ASA + WSA

总部或者分支机构安装ASA + WSA

家庭

咖啡店

机场

接入点

工作

INTERNET

应用

Social Networking

Enterprise SaaS

News

Email

AnyConnect Client接入设备

http://images.google.com/imgres?imgurl=http://www.ehs.washington.edu/images/BIOSGN2.jpg&imgrefurl=http://www.ehs.washington.edu/Manuals/BSManual/AppendixA.pdf&h=1028&w=850&sz=124&tbnid=HeNi2BPYUAgJ:&tbnh=149&tbnw=124&start=14&prev=/images?q=biohazard&hl=en&lr=&safe=off


Cisco Secure Mobility

• 状态防火墙（Stateful Firewall）

• 僵尸网络过滤（BotNet Filter）

• 协议检查（Protocol Inspections）

• 单点登录（ASA / WSA SSO Communications）

ASA

• Session 维持

• 网络区域自动识别（Trusted Network Detection）

• 永久在线VPN（Always-on VPN）

• Captive Portal Detection

• 最优接入端识别(Optimum Head End Detection）

• 个人防火墙（AnyConnect/Personal Firewall）

• Quarantine and Always-On VPN enforcement

Any Connect

• 访问控制策略(Acceptable Usage Policy)

• 应用控制(Application Visibility Control)

• 流过滤引擎(DVS / Anti-Malware)

• 木马回拨识别(Outbound Malware)

• SaaS单点登录(SaaS SSO)• 网站信誉评估(Web Reputation)

• 数据丢失保护(DLP)

• 四层流量监控(Layer 4 Threat Monitor)

WSASe

cu

re M

ob

ility


AnyConnect


• 永久在线VPN拓展了一条虚拟的连接到用户端

有效的控制安全的策略的执行

如果VPN 服务器不可达,

fail-open (可以访问互联网)

fail-close (不可以访问互联网)

Location-awareCaptive portalnearest headendAuth persistence

Security Enforcement Array

使用使用永久在线VPN实现安全的接入(Fail Closed or Fail Open)

Cisco AnyConnect Secure Mobility Always On 永久在线


连接状态接入网络(3G/Wifi/有线)的无缝切换待机/开机的无缝感受

Cisco AnyConnect Secure Mobility Session 维持


配置界面

14

网络区域的自动识别（Trusted Network Detection)

根据所在区域自动运行:

In Office

Out of Office

自动判断是否发起VPN连接请求

多系统支持：

Windows XP, Vista, 7 & Mac OS X

可信任的网络区域

不可信的网络区域

15

DNS Server IP68.87.78.130

DNS 后缀comcast.net

Untrusted DNS 配置信息

DHCP Request

网络区域的自动识别（Trusted Network Detection)

Corporate Headquarters

Home Office

DHCP Response

Trusted Network

16

最优接入端识别

广州上海

北京

Time = 23ms

Time = 20ms

Time = 21ms

Time = 26ms

Time = 28ms

Time = 30ms

Time = 41ms

Time = 42ms

Time = 40ms

苏州

改善VPN接入速度的感受

* *

17


无需用户干预的自动接入

18


19

配置界面


AnyConnect 3.0 平台支持

Windows XP 32-bit and 64-bit

Windows Vista 32-bit and 64-bit

Windows 7 32-bit and 64-bit

Windows Server 2003 (L2 only)

Mac OS X 10.5 and 10.6

Red Hat Enterprise Linux 5

Ubuntu 9

Windows Mobile 5 Professional

Windows Mobile 6

Windows Mobile 6.1

Apple iOS 4 Available Now !!


iOS4 下载链接

http://itunes.apple.com/us/app/cisco-anyconnect/id392790924?mt=8





All-In-One

业界唯一All-In-One Client

高端客户的迫切需求

解决客户端安装维护的复杂度

提升终端用户的使用感受


ASA 5585-X


高性能的多服务防火墙

惊人的性能

高达35G的防火墙性能

可拓展10G的 IPS集成

1万用户的VPN接入能力

投资回报率

满足将来业务增长带来的扩展需求

60G的拓展能力

业界领先的多服务安全设备

业界领先的僵尸网络识别技术和硬件级的IPS全球联动机制

VPN Anyconnect接入

15年的成熟稳定产品线

Firewall, IPS , VPN 服务的市场领先者

Raising the Bar for Firewall, IPS and VPN Capabilities


Cisco ASA 5585-X 使用场景P

erf

orm

an

ce

, S

ca

lab

ility

, A

da

ptivity

Enhancing the Customer Experience

互联网边界和园区安全

可拓展的数据中心解决方案

ASA 5585-S10P10

园区数据中心

A

ASA 5585-S20P20

ASA 5585-S40P40

ASA 5585-S60P60

分支


Cisco ASA 5500 Series 全线产品

SOHO 分支机构互联网边界数据中心园区

Perfo

rm

an

ce a

nd

Scala

bil

ity

从SOHO到数据中心

New

New

New

New

ASA 5550 (1.2 Gbps, 36K cps)

ASA 5580-20 (10 Gbps, 90K cps)

ASA 5580-40

(20 Gbps, 150K cps)

ASA 5505 (150 Mbps, 4K cps)

ASA 5540 (650 Mbps,25K cps)

ASA 5520 (450 Mbps,12K cps)

ASA 5510 (300 Mbps, 9K cps)

ASA 5585 SSP-20(10 Gbps,125K cps)


ASA 5585 SSP-60(35 Gbps, 350K cps)



Cisco ASA 5585-X Series 性能参数

Platform

PerformanceMax Firewall (Large Packet)

Max Firewall (Multi-Protocol)

Max IPS (Media Rich)

Max IPSec VPN

Max IPSec/SSL VPN Peers

Platform CapabilitiesMax Firewall Conns

Max Conns/Second

Packets/Second (64 byte)

Base I/O

Max I/O

VLANs Supported

HA Supported

ASA 5585-X

SSP-20

IPS SSP-20

10 Gbps

5 Gbps

3 Gbps

2 Gbps

10,000

2,000,000

125,000

3,000,000

8 GE + 2 10 GE

16 GE + 4 10 GE

250

A/A and A/S

ASA 5585-X

SSP-40

IPS SSP-40

20 Gbps

10 Gbps

5 Gbps

3 Gbps

10,000

4,000,000

200,000

5,000,000

6 GE + 4 10GE

12 GE + 8 10GE

250

A/A and A/S

ASA 5585-X

SSP-60

IPS SSP-60

35 Gbps

20 Gbps

10 Gbps

5 Gbps

10,000

8,000,000

350,000

9,00,000

6 GE + 4 10GE

12 GE + 8 10GE

250

A/A and A/S

ASA 5585-X

SSP-10

IPS SSP-10

4 Gbps

2 Gbps

2 Gbps

1 Gbps

5000

1,000,000

50,000

1,000,000

8 GE + 2 10 GE

16 GE + 4 10 GE

250

A/A and A/S

New NewNewNew

Orderable Orderable

2011/01 2011/01


IronPort WSA


应用控制

视频带宽控制

URL访问控制

上传/下载控制

病毒木马过滤


应用控制 : DLP 防泄密

访问控制策略

对应用的颗粒化使用

访问内容策略

财务部门的员工Instant Messaging 文件传递


Web: 无边界网络的挑战

Branch Office

Applications and Data

Corporate Office

AttackersCoffee Shop

Customers

Airport

Mobile User Partners

Home Office

HTTP 是一种新的TCP


Cisco IronPort Web Security Appliance业界领导的Web安全网关

策略控制

安全

Acceptable Use Controls

Malware Protection

Data Security

SaaS Access Controls

一体化的管理和跟踪

InternetSecure Mobility


Gartner 2010年的报告Secure Web Gateway, 2010

提供完整的识别mailware威胁的网关。多层的engine过滤，内外双向流量的监控

Cisco 动态URL分类库处在技术的最前沿。同时DLP数据保护功能可以防止企业的资料在日益增长的web 2.0的互联网中被post泄密，可以与RSA/Symantec无缝集成。

使用应用签名技术block/allow来识别包括spyke/IM在内的各种应用。

具有灵活的架构拓展设计，适合大

企业的应用扩展需求，可以组成高达180台的集中管理结构。

提供企业云安全托管的服务。


Cisco 安全设备

名誉行为分析技术预知的，零日保护

Cisco SensorBase

Threat Operations Center

AdvancedAlgorithms

网站名誉得分-10 to +10

Cisco 安全智能分析中心

安全事件安全事件

爆发信息

外部反馈

木马，隐藏链接等


Web 信誉过滤

拦截(恶意站点)

完全放开(可信网站)

内容扫描(灰色站点)


Web 信誉过滤: 恶意网站

39

Web 访问的趋势

知名网站的访问是可估算的

# of Sites

Tra

ffic

Vo

lum

e

隐藏恶意内容的可疑网站在快速增长

“Big Head + Long Tail”

• 约110M 的站点

• 约10-12B 的Web页面

• 每年新增 35-40%

Big

Head

Long Tail

40

Cisco WSA URL动态页面分析技术

解决方案: URL 过滤

# of Sites

Tra

ffic

Vo

lum

e

解决方案: Web 信誉过滤 + 恶意软件防护 +页面动态分析

• 保护已知和未知的站点

• 基于签名的内容扫描

Big

Head

Long Tail

IronPort Web 安全网关

41

Cisco URL动态数据库

最大，最广泛和最精确的数据库

66 个分类, 超过21M个网站, ~约3.5B 网页

1/3的数据库内容来自美国以外的国家

24 x 7 监控

定时的, 自动的更新

Categories

Advertisements & PopUps

Arts

Blogs & Forums

Business

Chat

Computing & Internet

Downloads

Education

Entertainment

Fashion & Beauty

Finance & Investment

Food & Dining

Games

Government

Health & Medicine

Hobbies & Recreation

Hosting Sites

Categories

Infrastructure

Intimate Apparel & Swimwear

Job Search & Career Development

Kids Sites

Motor Vehicles

News

Peer-to-Peer

Personals & Dating

Philanthropic & Professional Orgs.

Photo Searches

Politics

Proxies & Translators

Real Estate

Reference

42

• Adware

• System Monitors

• Pharming

• Tracking Cookies

• Browser Hijackers

• Rootkits

• Browser Helper Objects

• Keyloggers

• Trojans

• Phishing & more…

B

R

O

A

D

C

O

V

E

R

A

G

E

防恶意软件扫描引擎

• 集成Webroot/McAfee引擎

• 全自动威胁识别系统(Phileas™)

• 预防式威胁检测

• 后端研发团队支持

43

Cisco IronPort DVS 引擎Dynamic Vectoring and Streaming

加速签名扫描

并行扫描技术

流扫描技术

多集成引擎

McAfee and Webroot

自动更新

解密和扫描 SSL 流量

44

设备集成的数据安全

• 基于文件的类型, URL分类, 用户和Web信誉采取放行，拦截和记录的策略

• 支持多种协议：HTTP(s), FTP, HTTP tunneled

外挂设备深度内容检查

• 深度内容检查: 匹配经过构造的关键字，或者未经构造的关键字

• ICAP接口，支持更多DLP Server

DocumentsInternet

Partner site

Webmail

Log

Allow

Block

DLP Vendor Box

DocumentsInternet

Log

Allow

Block

Content Verdict

IronPort Web安全网关全面的DLP数据泄露保护


Documents

基于文件的类型, URL分类, 用户和Web信誉采取放行，拦截和记录的策略

支持多种协议：HTTP(s), FTP, HTTP tunneled

Documents

设备集成的数据安全

DLP Vendor Box

Internet

Partner site

Webmail

Internet

• 深度内容检查: 匹配经过构造的关键字，或者未经构造的关键字

• ICAP接口，支持更多DLP Server

Log

Allow

Block

Log

Allow

Block

外挂设备深度内容检查

Complete Data Security


SaaS 安全访问

AD / User Dir

内部用户

SAML

SAML enabled

gateway

• 可用性: 使用统一的AD用户单次认证

• 简单 : 标准的 SAML v2 身份识别协议

移动用户

企业边界

ERP/CRMOA/等

47

访问安全访问控制思科 WSA上网代理

安全解决方案

病毒木马

• IronPort DVS/Mcafee/Webroot

策略/安全

• 身份识别• Ironport 网站名誉检查• Cisco URL动态分类库• L4TM流量监控• 缓存检查• 移动用户的保护

对象控制

• 应用控制：skype/IM/流媒体等• PtP下载控制• 文件类型

DLP

• 访问目标审计网站类型，对象等

• 上传数据审计(RSA)• 移动用户的保护

特点

48

目前多数解决方案

ProxyAV网关

Proxy网关

Load

Balancers

Firewall

安装插件

Cisco

Cisco IronPort Web

Security Appliances

Firewall

Load sharing

using Cisco

WCCP

Directly talks

to Windows

Server

Cisco Secure Web Appliance

在部署结构上的优势


集中报表集中管理

集中的策略分发管理

集中的管理权限全面的安全事件分析报告

管理网关Security Management Appliance (M-Series)


Cisco Secure Web Appliance 策略场景

Who? Cisco , SE group

实施方案.doc

Webmail.com

HTTPS

(Encrypted)

Sales, Sales Group

看视频

所有视频

HTTP

Liso, (SaaS&SE group)

http://cisco-sports.com/SSOURL/salesforce

salesforce

Single Sign on salesforce

What?

Where?

How?

执行效果带宽受限


Secure Mobility

机遇与挑战


工作原理


Acceptable Use

Access Control

Data Loss Prevention

Threat Prevention

Intranet

Corporate File Sharing

Access Granted

Cisco AnyConnect Secure Mobility 下一代的远程接入应用安全方案

WSA ASA

AnyConnect Client


Web Security Appliance

Active Directory LDAP, NTLMSSP, Basic

ASA

News Email

用户认证

用户认证信息的传递共享

Cisco AnyConnect Secure MobilityAnyConnect-ASA–WSA之间的通讯，无需二次认证

facebook.com

Across SSL Connection

VPN Tunnel

AuthenticationUser & Group

认证

VPN通道

吕鹂啸 资深安全专家 [email protected] secure...

Documents

吕鹂啸资深安全专家 [email protected] secure...