吕鹂啸 资深安全专家 [email protected] secure...
TRANSCRIPT
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 222
Agenda
机遇与挑战
Secure Mobility的主要组成
工作原理
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 3
日益增长的复杂度
IT遇到越来越多
的不能控制的场景
可拓展性
地点
设备
应用
性能
安全
管理
可用性
线性 多维性
成本
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 4
一个新的无边界企业网络的形成
安全地, 可靠地, 无缝地
无边界的体验
任何事
任何时间任何地点
任何人
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 5
思科无边界网络的安全架构
策略
企业边界
分支机构
应用和数据
总部
策略(访问控制, 正确使用, 恶意软件, 数据安全)
AttackersCoffee Shop
Customers
Airport
Mobile User Partners
Platformas a Service
Infrastructureas a Service
Xas a Service
Softwareas a Service
Home Office
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 6
安全的隐患来自于网络的无边界延伸
家庭
咖啡店
机场
接入设备
分支机构
INTERNET
Social Networking
Enterprise SaaS
News
应用
企业总部
接入点
酒店
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 777
Secure Mobility
机遇与挑战
Secure Mobility的主要组成
工作原理
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 8
解决方案AnyConnect + ASA + WSA
总部或者分支机构安装ASA + WSA
家庭
咖啡店
机场
接入点
工作
INTERNET
应用
Social Networking
Enterprise SaaS
News
AnyConnect Client接入设备
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 9
Cisco Secure Mobility
• 状态防火墙(Stateful Firewall)
• 僵尸网络过滤(BotNet Filter)
• 协议检查(Protocol Inspections)
• 单点登录(ASA / WSA SSO Communications)
ASA
• Session 维持
• 网络区域自动识别(Trusted Network Detection)
• 永久在线VPN(Always-on VPN)
• Captive Portal Detection
• 最优接入端识别(Optimum Head End Detection)
• 个人防火墙(AnyConnect/Personal Firewall)
• Quarantine and Always-On VPN enforcement
Any Connect
• 访问控制策略(Acceptable Usage Policy)
• 应用控制(Application Visibility Control)
• 流过滤引擎(DVS / Anti-Malware)
• 木马回拨识别(Outbound Malware)
• SaaS单点登录(SaaS SSO)• 网站信誉评估(Web Reputation)
• 数据丢失保护(DLP)
• 四层流量监控(Layer 4 Threat Monitor)
WSASe
cu
re M
ob
ility
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 10
AnyConnect
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 11
• 永久在线VPN拓展了一条虚拟的连接到用户端
有效的控制安全的策略的执行
如果VPN 服务器不可达,
fail-open (可以访问互联网)
fail-close (不可以访问互联网)
Location-awareCaptive portalnearest headendAuth persistence
Security Enforcement Array
使用使用永久在线VPN实现安全的接入(Fail Closed or Fail Open)
Cisco AnyConnect Secure Mobility Always On 永久在线
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 12
连接状态接入网络(3G/Wifi/有线)的无缝切换待机/开机的无缝感受
Cisco AnyConnect Secure Mobility Session 维持
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 13
配置界面
14
网络区域的自动识别 (Trusted Network Detection)
根据所在区域自动运行:
In Office
Out of Office
自动判断是否发起VPN连接请求
多系统支持:
Windows XP, Vista, 7 & Mac OS X
可信任的网络区域
不可信的网络区域
15
DNS Server IP68.87.78.130
DNS 后缀comcast.net
Untrusted DNS 配置信息
DHCP Request
网络区域的自动识别 (Trusted Network Detection)
Corporate Headquarters
Home Office
DHCP Response
Trusted Network
16
最优接入端识别
广州上海
北京
Time = 23ms
Time = 20ms
Time = 21ms
Time = 26ms
Time = 28ms
Time = 30ms
Time = 41ms
Time = 42ms
Time = 40ms
苏州
改善VPN接入速度的感受
* *
17
最优接入端识别
无需用户干预的自动接入
18
最优接入端识别
19
配置界面
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 20
AnyConnect 3.0 平台支持
Windows XP 32-bit and 64-bit
Windows Vista 32-bit and 64-bit
Windows 7 32-bit and 64-bit
Windows Server 2003 (L2 only)
Mac OS X 10.5 and 10.6
Red Hat Enterprise Linux 5
Ubuntu 9
Windows Mobile 5 Professional
Windows Mobile 6
Windows Mobile 6.1
Apple iOS 4 Available Now !!
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 21
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 22
iOS4 下载链接
http://itunes.apple.com/us/app/cisco-anyconnect/id392790924?mt=8
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 23
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 24
All-In-One
业界唯一All-In-One Client
高端客户的迫切需求
解决客户端安装维护的复杂度
提升终端用户的使用感受
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 25
ASA 5585-X
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 26
高性能的多服务防火墙
惊人的性能
高达35G的防火墙性能
可拓展10G的 IPS集成
1万用户的VPN接入能力
投资回报率
满足将来业务增长带来的扩展需求
60G的拓展能力
业界领先的多服务安全设备
业界领先的僵尸网络识别技术和硬件级的IPS全球联动机制
VPN Anyconnect接入
15年的成熟稳定产品线
Firewall, IPS , VPN 服务的市场领先者
Raising the Bar for Firewall, IPS and VPN Capabilities
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 27
Cisco ASA 5585-X 使用场景P
erf
orm
an
ce
, S
ca
lab
ility
, A
da
ptivity
Enhancing the Customer Experience
互联网边界和园区安全
可拓展的数据中心解决方案
ASA 5585-S10P10
园区 数据中心
A
ASA 5585-S20P20
ASA 5585-S40P40
ASA 5585-S60P60
分支
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 28
Cisco ASA 5500 Series 全线产品
SOHO 分支机构 互联网边界数据中心园区
Perfo
rm
an
ce a
nd
Scala
bil
ity
从SOHO到数据中心
New
New
New
New
ASA 5550 (1.2 Gbps, 36K cps)
ASA 5580-20 (10 Gbps, 90K cps)
ASA 5580-40
(20 Gbps, 150K cps)
ASA 5505 (150 Mbps, 4K cps)
ASA 5540 (650 Mbps,25K cps)
ASA 5520 (450 Mbps,12K cps)
ASA 5510 (300 Mbps, 9K cps)
ASA 5585 SSP-20(10 Gbps,125K cps)
ASA 5585 SSP-40(20 Gbps,200K cps)
ASA 5585 SSP-60(35 Gbps, 350K cps)
ASA 5585 SSP-10(4 Gbps,50K cps)
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 29
Cisco ASA 5585-X Series 性能参数
Platform
PerformanceMax Firewall (Large Packet)
Max Firewall (Multi-Protocol)
Max IPS (Media Rich)
Max IPSec VPN
Max IPSec/SSL VPN Peers
Platform CapabilitiesMax Firewall Conns
Max Conns/Second
Packets/Second (64 byte)
Base I/O
Max I/O
VLANs Supported
HA Supported
ASA 5585-X
SSP-20
IPS SSP-20
10 Gbps
5 Gbps
3 Gbps
2 Gbps
10,000
2,000,000
125,000
3,000,000
8 GE + 2 10 GE
16 GE + 4 10 GE
250
A/A and A/S
ASA 5585-X
SSP-40
IPS SSP-40
20 Gbps
10 Gbps
5 Gbps
3 Gbps
10,000
4,000,000
200,000
5,000,000
6 GE + 4 10GE
12 GE + 8 10GE
250
A/A and A/S
ASA 5585-X
SSP-60
IPS SSP-60
35 Gbps
20 Gbps
10 Gbps
5 Gbps
10,000
8,000,000
350,000
9,00,000
6 GE + 4 10GE
12 GE + 8 10GE
250
A/A and A/S
ASA 5585-X
SSP-10
IPS SSP-10
4 Gbps
2 Gbps
2 Gbps
1 Gbps
5000
1,000,000
50,000
1,000,000
8 GE + 2 10 GE
16 GE + 4 10 GE
250
A/A and A/S
New NewNewNew
Orderable Orderable
2011/01 2011/01
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 30
IronPort WSA
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 31
应用控制
视频带宽控制
URL访问控制
上传/下载控制
病毒木马过滤
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 32
应用控制 : DLP 防泄密
访问控制策略
对应用的颗粒化使用
访问内容策略
财务部门的员工Instant Messaging 文件传递
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 33
Web: 无边界网络的挑战
Branch Office
Applications and Data
Corporate Office
AttackersCoffee Shop
Customers
Airport
Mobile User Partners
Home Office
HTTP 是一种新的TCP
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 34
Cisco IronPort Web Security Appliance业界领导的Web安全网关
策略控制
安全
Acceptable Use Controls
Malware Protection
Data Security
SaaS Access Controls
一体化的管理和跟踪
InternetSecure Mobility
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 35
Gartner 2010年的报告Secure Web Gateway, 2010
提供完整的识别mailware威胁的网关。多层的engine过滤,内外双向流量的监控
Cisco 动态URL分类库处在技术的最前沿。同时DLP数据保护功能可以防止企业的资料在日益增长的web 2.0的互联网中被post泄密,可以与RSA/Symantec无缝集成。
使用应用签名技术block/allow来识别包括spyke/IM在内的各种应用。
具有灵活的架构拓展设计,适合大
企业的应用扩展需求,可以组成高达180台的集中管理结构。
提供企业云安全托管的服务。
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 36
Cisco 安全设备
名誉行为分析技术预知的,零日保护
Cisco SensorBase
Threat Operations Center
AdvancedAlgorithms
网站名誉得分-10 to +10
Cisco 安全智能分析中心
安全事件 安全事件
爆发信息
外部反馈
木马,隐藏链接等
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 37
Web 信誉过滤
拦截(恶意站点)
完全放开(可信网站)
内容扫描(灰色站点)
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 38
Web 信誉过滤: 恶意网站
39
Web 访问的趋势
知名网站的访问是可估算的
# of Sites
Tra
ffic
Vo
lum
e
隐藏恶意内容的可疑网站在快速增长
“Big Head + Long Tail”
• 约110M 的站点
• 约10-12B 的Web页面
• 每年新增 35-40%
Big
Head
Long Tail
40
Cisco WSA URL动态页面分析技术
解决方案: URL 过滤
# of Sites
Tra
ffic
Vo
lum
e
解决方案: Web 信誉过滤 + 恶意软件防护 +页面动态分析
• 保护已知和未知的站点
• 基于签名的内容扫描
Big
Head
Long Tail
IronPort Web 安全网关
41
Cisco URL动态数据库
最大,最广泛和最精确的数据库
66 个分类, 超过21M个网站, ~约3.5B 网页
1/3的数据库内容来自美国以外的国家
24 x 7 监控
定时的, 自动的更新
Categories
Advertisements & PopUps
Arts
Blogs & Forums
Business
Chat
Computing & Internet
Downloads
Education
Entertainment
Fashion & Beauty
Finance & Investment
Food & Dining
Games
Government
Health & Medicine
Hobbies & Recreation
Hosting Sites
Categories
Infrastructure
Intimate Apparel & Swimwear
Job Search & Career Development
Kids Sites
Motor Vehicles
News
Peer-to-Peer
Personals & Dating
Philanthropic & Professional Orgs.
Photo Searches
Politics
Proxies & Translators
Real Estate
Reference
42
• Adware
• System Monitors
• Pharming
• Tracking Cookies
• Browser Hijackers
• Rootkits
• Browser Helper Objects
• Keyloggers
• Trojans
• Phishing & more…
B
R
O
A
D
C
O
V
E
R
A
G
E
防恶意软件扫描引擎
• 集成Webroot/McAfee引擎
• 全自动威胁识别系统(Phileas™)
• 预防式威胁检测
• 后端研发团队支持
43
Cisco IronPort DVS 引擎Dynamic Vectoring and Streaming
加速签名扫描
并行扫描技术
流扫描技术
多集成引擎
McAfee and Webroot
自动更新
解密和扫描 SSL 流量
44
设备集成的数据安全
• 基于文件的类型, URL分类, 用户和Web信誉采取放行,拦截和记录的策略
• 支持多种协议:HTTP(s), FTP, HTTP tunneled
外挂设备深度内容检查
• 深度内容检查: 匹配经过构造的关键字,或者未经构造的关键字
• ICAP接口, 支持更多DLP Server
DocumentsInternet
Partner site
Webmail
Log
Allow
Block
DLP Vendor Box
DocumentsInternet
Log
Allow
Block
Content Verdict
IronPort Web安全网关全面的DLP数据泄露保护
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 45
Documents
基于文件的类型, URL分类, 用户和Web信誉采取放行,拦截和记录的策略
支持多种协议:HTTP(s), FTP, HTTP tunneled
Documents
设备集成的数据安全
DLP Vendor Box
Internet
Partner site
Webmail
Internet
• 深度内容检查: 匹配经过构造的关键字,或者未经构造的关键字
• ICAP接口, 支持更多DLP Server
Log
Allow
Block
Log
Allow
Block
外挂设备深度内容检查
Complete Data Security
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 46
SaaS 安全访问
AD / User Dir
内部用户
SAML
SAML enabled
gateway
• 可用性: 使用统一的AD用户单次认证
• 简单 : 标准的 SAML v2 身份识别协议
移动用户
企业边界
ERP/CRMOA/等
47
访问安全 访问控制思科 WSA上网代理
安全解决方案
病毒木马
• IronPort DVS/Mcafee/Webroot
策略/安全
• 身份识别• Ironport 网站名誉检查• Cisco URL动态分类库• L4TM流量监控• 缓存检查• 移动用户的保护
对象控制
• 应用控制:skype/IM/流媒体等• PtP下载控制• 文件类型
DLP
• 访问目标审计网站类型,对象等
• 上传数据审计(RSA)• 移动用户的保护
特点
48
目前多数解决方案
ProxyAV网关
Proxy网关
Load
Balancers
Firewall
安装插件
Cisco
Cisco IronPort Web
Security Appliances
Firewall
Load sharing
using Cisco
WCCP
Directly talks
to Windows
Server
Cisco Secure Web Appliance
在部署结构上的优势
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 49
集中报表集中管理
集中的策略分发管理
集中的管理权限 全面的安全事件分析报告
管理网关Security Management Appliance (M-Series)
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 50
Cisco Secure Web Appliance 策略场景
Who? Cisco , SE group
实施方案.doc
Webmail.com
HTTPS
(Encrypted)
Sales, Sales Group
看视频
所有视频
HTTP
Liso, (SaaS&SE group)
http://cisco-sports.com/SSOURL/salesforce
salesforce
Single Sign on salesforce
What?
Where?
How?
执行效果 带宽受限
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 515151
Secure Mobility
机遇与挑战
Secure Mobility的主要组成
工作原理
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 52
Acceptable Use
Access Control
Data Loss Prevention
Threat Prevention
Intranet
Corporate File Sharing
Access Granted
Cisco AnyConnect Secure Mobility 下一代的远程接入应用安全方案
WSA ASA
AnyConnect Client
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 53
Web Security Appliance
Active Directory LDAP, NTLMSSP, Basic
ASA
News Email
用户认证
用户认证信息的传递共享
Cisco AnyConnect Secure MobilityAnyConnect-ASA–WSA之间的通讯,无需二次认证
facebook.com
Across SSL Connection
VPN Tunnel
AuthenticationUser & Group
认证
VPN通道
© 2010 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 54