【信息安全】解决方案-思科自防御安全解决方案综述.ppt

思科安全解决方案综述 Shen Qi * 内容安排 我们需要改变安全销售的观念? 目前客户的安全需求重点是什么? 面向客户需求的安全主题销售方案 如何把握安全销售项目的规模与节奏? 我们需要改变安全销售的观念 知己知彼, 百战不殆 严密的边界防护: 应用防火墙, 入侵检测与防护, 内容安全以及VPN接入 纵深化的概念: 安全域FWM 强大的内部控制: 用户身份与系统安全的控制 – AAA/NAC 终端的防护与安全策略控制 - CSA 灵活的统一指挥: 基于全局的定位: MARS 快速有效的响应: CSM/MARS 内容安排 我们需要改变安全销售的观念? 目前客户的安全需求重点是什么? 面向客户需求的安全主题销售方案 如何把握安全销售项目的规模与节奏? 我们需要抓住客户的安全需求 内容安排 我们需要改变安全销售的观念? 目前客户的安全需求重点是什么? 面向客户需求的安全主题销售方案 如何把握安全销售项目的规模与节奏? 面向客户需求的安全主题销售方案 企业互联网的业务安全 关键应用系统的防护 网络入侵防护、监控与响应系统 企业互联网的业务安全 互联网边界安全控制 南京中华门城堡 – 纵深防御体系的典型 利用高性能防火墙模块构架多层次的安全域 Cisco ASA 5500 综合安全防护产品 Cisco ASA 5500 提供内容级别的安全防护 ASA5500的产品一览 为什么要升级到ASA5500？ 更加灵活的部署方式：ASA5500可以按照防火墙、入侵防护、VPN以及内容安全等不同方式进行部署 更加低廉的部署以及维护成本：因为ASA5500包括了多种安全防护技术，以统一的平台完成更多的防护任务 更加先进的设计架构：将思科传统的安全产品，包括PIX500、IDS4200、VPN3000集成于一个全新的多CPU、多总线的硬件架构，在确保系统的稳定基础上提升整体的性能指标 更加强大的防火墙以及VPN性能：相对传统的PIX产品而言，ASA5500的防火墙与VPN性能更加优化 硬件实现的入侵防护以及内容安全功能，在启动多重防护体系时确保系统性能不受影响 下一代防火墙ASA5500的优势体现 下一代防火墙必须同时高性能地处理应用级别的防火墙以及入侵检测防护功能 下一代防火墙必须在硬件架构中考虑未来安全防护需求的扩展能力，采用多核CPU以及多总线的处理模式，兼顾性能与功能的需求 如何发挥ASA 5500 的安全防护效能？ 怎么定位不同的ASA5500产品？ 互联网接入：ASA5510/5520/5540 FW/IPS版本 VPN接入：ASA55x0 FW或VPN版本 内部WLAN接入：ASA5510/5520/5540 IPS版本 远程分支机构接入：ASA55x0 FW或CSC版本 内部应用系统防护：ASA55x0 IPS或 5550/5580 FW版本 互联网边界安全控制 Iron Port ：企业级内容安全产品 IRONPORT 基于消息的安全解决方案 互联网边界安全控制 使用统一VPN接入系统满足各种客户需求 隧道模式VPN接入: IPSec and SSL VPN WEB模式: Clientless Access 思科AnyConnect客户端支持各种平台的接入 Next generation VPN client, available on many platforms including: Windows Vista 32- and 64-bitt, Windows XP 32- and 64-bit, and Windows 2000 Mac OS X 10.4 (Intel and PPC) Intel-based Linux Windows Mobile 5 Pocket PC Edition Stand-alone, Web Launch, and Portal Connection Modes Start before Login (SBL) and DTLS support Windows 2000 and XP only Cisco Secure Desktop: 针对SSL VPN的虚拟安全平台 企业互联网的业务安全 主动终端防护系统 – Cisco Security Agent 主动适应型终端防护, 确保终端访问互联网时的安全，抵御互联网蠕虫以及网页木马病毒的攻击 企业安全策略控制, 防止内部用户的恶意行为 终端与网络入侵防护及监控系统的联动 Cisco安全代理 CSA 逻辑结构 恶意代码的共性 - 攻击流程分析 Cisco 安全代理@思科 － 实际案例分析 August 2005， Zotob 蠕虫爆发 从微软公布漏洞到病毒爆发只有短短5天的时间 思科内部IT紧急发布Patch，但是仍有大约180