理论思科安全_方案技术产品.ppt

思科自防御网络安全解决方案培训 2008.12 内容安排 用户最关心的网络安全问题 思科自防御网络安全方案介绍 思科自防御网络安全方案设计介绍 思科安全产品与功能介绍 网络为什么不安全- 用户的困惑 网络为什么不安全- 原因和现状 (一) 原因: 很多蠕虫和攻击等发作的时候,厂商还没有发布漏洞通知和补丁,杀毒软件也没有对应的特征码,这种蠕虫和攻击被称为zero-day 蠕虫和攻击; 越来越多的蠕虫和黑客攻击都是zero-day的, 杀毒软件对zero-day型蠕虫和攻击是无能为力的。 现状: 很多企业的PC和服务器的普通安全配置,是没有能力对付zero-day型的攻击和侵入行为的, 比如: 蠕虫感染、黑客攻击、木马、后门软件、间谍软件(Spyware) 、网络小偷(键盘偷记软件等)、广告软件(Adware)的侵入等等 网络为什么不安全- 原因和现状 (二) 原因: 虽然许多厂家, 包括微软和网络安全厂家, 尽可能在新出现的蠕虫,病毒或者木马等威胁爆发前, 及时发布相应的软件补丁, 病毒代码库或者IDS签名升级库, 同时发布了相关的通告; 但许多企业用户对此重视不够, 没有及时更新和升级; 或者用户虽然足够重视, 但要在整个企业范围内升级和打补丁, 整个过程不是自动化的, 费事费时, 难免会有遗漏 现状: 很多企业和个人不能及时地给操作系统大补丁, 对杀毒软件以及IDS/IPS升级代码库; 很多企业和个人打补丁不是自动化的, 需要人工操作和配置, 用户期待自动化, 对用户透明，不需要用户参与的补丁和升级方案. 网络为什么不安全- 原因和现状 (三) 原因: 很多蠕虫和黑客攻击都隐藏在合法的正常的数据包(WEB,邮件,即时通信IM,BT下载等)里进出网络; 一般的网络安全设备都允许WEB和邮件等正常流量进出网络,没有能力发现这些隐藏的蠕虫和黑客攻击 现状: 很多传统的防火墙、IDS等网络安全设备没有足够的应用层深度检测能力 网络为什么不安全- 原因和现状 (四) 原因: 很多蠕虫和黑客攻击都越来越针对网络设备等基础设施,因此出现了计算机没有问题,而网络里的交换机和路由器却先瘫痪了的现象。 现状: 一些网络设备本身就不安全,没有抗蠕虫和抗黑客攻击的能力; 只有路由器和交换机这些中转设备具有安全能力,安全问题才有可能得到解决 内容 用户最关心的网络安全问题 思科自防御网络安全方案介绍 思科安全产品与功能介绍 解决网络安全问题的关键－－在于协调管理员和系统工具的能效 思科安全战略的演进 企业安全的系统解决之道 – 思科自防御网络- 利用网络 对攻击行为进行 识别, 防护 和自我调整 思科自防御网络应用举例- 自适应入侵防御: MARS + IPS SDN3.0面向业务的安全解决方案 思科自防御网络安全方案 系统体系介绍- 集成安全的网络平台 - 举例 思科ISR路由器: 全线产品均集成思科IOS防火墙, VPN, IPS入侵防御; 现有思科路由器可以方便地部署新安全功能 支持思科端点安全控制方案NAC 思科Catalyst交换机 内置防范拒绝服务攻击 集成安全服务模块, 提供高性能威胁保护和安全的网络连接 防范”中间人”攻击 支持思科端点安全控制方案NAC ASA: 一体化的安全平台, 提供: 高性能防火墙, IPS, 网络杀毒, IPSec/SSL VPN功能; 功能整合可以帮助企业减少总体安全部署和运维的成本, 降低复杂度 支持思科端点安全控制方案NAC 思科自防御网络安全方案 系统体系介绍- 威胁控制和堵截 高级安全技术: 基于行为的终端安全保护, DDoS攻击缓解, IPS入侵防护,网络杀毒, 安全策略的执行, 主动的威胁响应 好处: 主动地防范已知和未知威胁 终端安全策略的强制执行, 包括软件补丁和软件升级等 利用分布式的威胁缓解技术主动地堵截病毒和蠕虫等的发作和传播 减少运维成本 思科自防御网络安全方案 系统体系介绍- 威胁控制和堵截 - 举例 CSA: 思科安全代理 检测终端的异常行为, 阻止零日(Day Zero)恶意代码的运行, 无需重新配置或升级终端软件; 在阻止零日攻击方面, 拥有业界最好的安全记录 思科MARS 多厂家设备的安全事件关联与响应 组合了 网络智能, 内容关联, 参数分析, 异常检测, 和安全热点识别等功能 主动识别正在发生的网络威胁, 发布对应的IPS签名以实现防范 思科自防御网络安全方案 系统体系介绍- 安全可靠地通讯 高级技术 高级IPSec和SSL VPN服务, 安全语音, 安全WLAN 好处: 提升工作效率 增加灵活性 维持网络传输的必威体育官网网址性 经济有效地扩展网络覆盖范围 思科自防御网络安全方案 系统体系介绍-