如何构造安全的企业网络——思科(1).ppt

上传人:laozhun 文档编号:2820343 上传时间:2023-02-26 格式:PPT 页数:77 大小:11.26MB
返回 下载 相关 举报
如何构造安全的企业网络——思科(1).ppt_第1页
第1页 / 共77页
如何构造安全的企业网络——思科(1).ppt_第2页
第2页 / 共77页
如何构造安全的企业网络——思科(1).ppt_第3页
第3页 / 共77页
如何构造安全的企业网络——思科(1).ppt_第4页
第4页 / 共77页
如何构造安全的企业网络——思科(1).ppt_第5页
第5页 / 共77页
点击查看更多>>
资源描述

《如何构造安全的企业网络——思科(1).ppt》由会员分享,可在线阅读,更多相关《如何构造安全的企业网络——思科(1).ppt(77页珍藏版)》请在三一办公上搜索。

1、1,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,如何构造安全的企业网络YU Chao,2,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,汇报提纲 安全技术发展趋势思科自防御安全技术及战略 应对企业主要安全问题企业安全区域设计安全状况了解恶意代码防范(病毒/蠕虫/间谍软件/网络钓鱼等)网络自身安全安全预警及快速响应应用及内容安全安全接入控制安全管理体系不完善 总结,3,2005 Cisco Syste

2、ms,Inc.All rights reserved.,Cisco Confidential,CHN-0015,安全技术发展趋势,分钟,4,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,网络安全威胁的演进,危害的目标和范围,全球网络基础设施的冲击地区网络,多个网络单个网络单个计算机,周第一代 引导型病毒20世纪80年代,天第二代 宏病毒 电子邮件 DoS 有限的黑客攻击20世纪90年代,第三代 网络 DoS 混合威胁(蠕虫+病毒+特洛伊木马)Turbo蠕虫 广泛的系统黑客攻击今天,DDoS 破坏有

3、效负载的病毒和蠕虫未来,人工响应,很困难自动响应,可行人工响应,可行,人工响应,不可行自动响应,较难,主动防御,可行秒下一代 基础设施黑客攻击 瞬间威胁 大规模蠕虫,5,CHN-0015,2000 2005 Cisco Systems,Inc.All rights reserved.,2002,2003,2004Cisco Confidential,深度防护,多种技术 多个位置 多种设备 没有或很少集成,1990s,命令行界面,基本的安全 基本的路由器安全,单点的产品 安全装置 增强的路由器安全 单独的管理软件,集成化安全 集成化安全路由器,交换机装置终端 防火墙+VPN+IDS 集成化管理软

4、件 改进的高级服务,主动防御 自动响应 系统级协作 应用安全防护,思科安全战略的演进自防御网络,6,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,思科自防御网络战略的演进,网络基础保护,自防御网络第三阶段-自适应威胁防御 安全服务和网络智能相互知晓,协作 主动防御,提高安全防范效能 巩固服务,提高实施效率 业务识别,监控安全业务的实施和优化自防御网络第二阶段-协作式安全系统 安全成为全网的协作系统安全:端点安全网络安全策略 主动的安全管理,将多服务和多设备进行整合,抵御攻击 NAC网络准入控制,I

5、BNS 基于网络的认证服务自防御网络第一阶段-集成式安全 全网安全,包括路由器,交换机,独立安全设备,端点安全 安全连接(V3PN,DMVPN),威胁防御,身份识别和身份信任,思科自防御网络战略,解决方案,7,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,应对企业安全问题,8,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,企业面临的主要安全问题,企业安全区域设计安全状况了解恶意代码防范(病毒/蠕虫/间

6、谍软件/网络钓鱼等),VPNVPN Access,网络自身安全安全预警及快速响应应用及内容安全安全接入控制安全管理体系不完善,内部防火墙和部门隔,特洛伊马?,边缘防火墙,远程访问和外部网,入侵和蠕虫防御,内容管理,离病毒和蠕虫防御?,?混合威胁?,拒绝服务?应用和端口 80 滥用,基于地点或用户的策略?,9,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,企业安全区域设计,分支机构B,分支机构侵分支,10,2005 Cisco Systems,Inc.All rights reserved.,Cis

7、co Confidential,CHN-0015,现有企业网络面临的挑战,策略服务器互联网,病毒蠕虫黑客入侵总部公司总部病毒蠕虫黑客入侵其他分支机构主要问题:组网方式随意性很强,没有统一规划安全防护手段部署原则不明确,远程用户病毒蠕虫黑客入机构造成的影响:网段之间边界不清晰,控制较差,攻击容易扩散,没有缓冲处理时间安全设备不能很好的发挥作用,Public servers Filter,电子商务区域,互联网区域,Internal,Servers,11,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,I

8、nternet,Cisco IOSRouter,PIX,VPN,3000,Email,NIPS,WLAN APs,NIPSUserHosts,Router,service,modules,解决方案:安全域的划分 以思科SDN安全框架为指导原则,使用思科设备集成的安全功能将网络划分不同等级的安全域,强化域之间的访问控制,数据保密和攻击检测防范,管理区域,Catalyst 6000 w/security核心区域,服务器区域,虚拟网/远程接入区域CiscoIOS VPN,接入层区域,CiscoACS分布层区域Catalyst L3Ethernet线区域,无 Switch,/FICON,12,2005

9、 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,行业用户网络安全域设计案例,ESCON Director,主机接入Coupling Facility,CIP路由器快速以太网或令牌环交换机,DLSW+路由器,IBM主机,ESCON,Cisco7507,Cisco7507Catalyst6509Catalyst5509,FC,Si,Si,Si SiCatalyst6513交换核心,SNAswDLSW,业务服务器群SNA/IP IP业务网关 服务器,Catalyst6513,开发测试网,区域主机系统,外围网关,I

10、P PBX,客户关系管理数据库,应用网关,AW管理工作站,传真系统,IP录音系统,客户语音接入VoIP网关,ICM,PG,IP自动语音应答IP IVR,CTI服务器CTI,专职业务代表n*E1专长理财 普通业务咨询Cisco 5350/Cisco5400客服中心核心系统,Catalyst6509,外联网区域,PIX535,Catalyst 4000,Cisco IDS,PIX 535,Cisco 7200,拨号访问 服务器Cisco 3600,Cisco 7200,DNS,Cisco IDS4-7层 分析,Cisco IDS4-7层 分析,WEB协同服务器,电子邮件服务器,内容交换 机CSS1

11、1500,电子邮件管理服务器应用服务器,PIX 535,GSS全局网站定位器,GSS全局网站定位器,IDS 管理,VPN Solution Center,CIC Reporter,运行管理网络区域,网元管理CiscoWorks 2000,事件管理中心Cisco Info Server,事件统计汇报,SNA管理,安全管理,话音管理,广域接入网,区域,Catalyst 6513,Catalyst 4500Catalyst 3550,服务器群(均衡负载),VoIP关守HSRP,CDM4650,CE560/CE590,无线以太网访问点,其它 WEB E-Learning服务器 服务器 LMS服务器,I

12、P/TV内容管理器,Cisco 3660,AS5350,MCS,VoIP网关V,办公网络区域,内容分发管理器CDM,内容路由器CR,互联网连接区域,访问管理控制服务器,外层防火墙,DNS服务器,InternetISPA,内层防火墙,邮件 邮件网服务器 关(防毒),Cisco VPN集中器,Cisco IDS4-7层 分析,AAA认证服务器,外网交换机,Cisco 7200,拨号访问 服务器Cisco 3600,PSTN,Cisco 7200,PIX 535,PIX 535,Catalyst4507,InternetISPB,Catalyst 6509Catalyst 4500,客户服务中心区域

13、,生产/应用区域,分公司,合作伙伴,分公司,13,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,安全状况了解,14,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,安全状态和漏洞评估用户面临的挑战:不知安全威胁和漏洞在哪儿,不知何时会发生,无法有针对性的作安全的预防措施和加固传统解决方案:安全评估+网络扫描。不系统,不专业,不够自主,无完善的后续手段,费用较高,思科安全评估解决方案安全状态评估(SPA)

14、,安全设计审查(SDR)事件控制和恢复(ICR),系统安全评估,安全优化设计,网络安全自主评估系统 Cisco Security Auditor安全测试,安全实施,15,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,恶意代码防范,感染期,特征,响应期,网络入侵攻击,感染攻击,恶意代码,攻击*,网络,病毒,16,CHN-0015,病毒/蠕虫现状,1996,1997,1998,1999,2000,2001,2002,2003,900M800M700M600M500M400M300M200M100M0,

15、150,000125,000100,00075,00050,00025,0000,多形态病毒(Tequila),混合型威胁(红色代码、尼姆达、Slammer)拒绝服务攻击(Yahoo!、eBay)群发邮件病毒(Love Letter/Melissa)感染Zombies入侵攻击*,月天小时分钟秒,网络蠕虫,电子邮件蠕虫时间,之后自动化Flash蠕虫2005Cisco Confidential,程序Macro病毒之前自动化感染期特征响应期1990 2005 Cisco Systems,Inc.All rights reserved.,17,2005 Cisco Systems,Inc.All ri

16、ghts reserved.,Cisco Confidential,CHN-0015,系统补丁,病毒库更新往往要落后于病毒产生的时间 通过网络更新的过程中可能就被感染;病毒传播产生变种,病毒库又滞后,发布补丁供用户下载厂商宣布新的漏洞被发现,用户遭受感染破坏已经造成时间,在补丁完全部署之前攻击已经完成,用户部署补丁病毒制造者发布类似Blaster的蠕虫,利用漏洞进行扩散,传统病毒/蠕虫防护模型及不足传统解决方案,操作系统补丁更新系统防病毒软件,个人防火墙用户补丁测试软件厂商开发和,18,2005 Cisco Systems,Inc.All rights reserved.,Cisco Conf

17、idential,CHN-0015,间谍软件/网络钓鱼,传统解决方案:安装检查间谍软件的软件 代码库的更新往往落后于新间谍软件的产生,网络钓鱼鸡尾酒钓鱼术欺骗性强,难于防范,渗透,19,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,恶意代码的共性-攻击流程分析,1被攻击的目标5,探测23 寄生4 传播发作,地址探测 端口扫描 密码猜测 邮件用户猜测 恶意邮件,创建新文件 修改已有文件 修改注册表 安装新的网络服务 建立系统后门,缓冲区溢出 恶意ActiveX 控件 自动软件安装 利用已有后门 邮件

18、传播 Web传播 IRC 传播,FTP传播,文件传播,删除文件 修改文件 使计算机瘫痪 拒绝服务,攻击准备,攻击实施,攻击后续,20,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,基于行为规则防范的有效方法应用程序,请求被批准,请求被拒绝,Kernel,规则引擎,状态,规则和策略,关联引擎,文件系统分析器,系统配置分析器,代码执行空间分析器,网络通信分析器,21,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0

19、015,思科安全代理(CSA)-基于行为的入侵保护 零升级的结构 自动阻止攻击,特别是新的病毒和蠕虫 容易管理 与网络系统融为一体,集中的安全管理,SNMPTraps,策略/更新,Browser-basedManagement GUI,Configuration告警,Reports,Events,普通PC CSA软件,普通PC CSA软件,普通PC CSA软件,服务器 CSA软件,22,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,彻底防范间谍软件,下载反间谍工具,务必从正规站点下载;扫描并清除安

20、装防火墙;安装反病毒软件避免访问异常网站和下载软件安装基于行为规则防范的主机软件,实时监视对系统有威害的动作,恶意代码的全方位防范病毒蠕虫防范,计算机操作系统补丁更新系统使用防病毒软件,及时更新病毒特征码;使用个人防火墙安装基于行为规则防范的主机软件,实时监视对系统有威害的动作,网络钓鱼防范,安装基于行为规则防范的主机软件,实时监视对系统有威害的动作对要求重新输入账号信息等邮件信息,必须经过确认,否则不予理睬,23,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,NAC 解决方案:依靠网络来智能根据

21、终端节点安全装来的增强接入权限控制,验证所有的主机,代理,充分利用客户现有的网络设备和防病毒系统的投资支持多防病毒厂家和Cisco安全,检疫和修补服务,部署可扩展,NAC 特性:对各种连接方法通用的解决方法,病毒服务器,主机试图接入网络,网络接入设备,策略服务期决策点,凭证,EAP/802.1x,RADIUS,Policy(AAA)Server凭证,HTTPS,接入权限,通知,Cisco EAP/UDP,信任,代理,符合?,恶意代码在网络范围的防护-网络准入控制(NAC),CiscoCSA,防病毒软件,拒绝!凭证,隔离!Enforcement,安全防护,安全WEB协同,服务器,服务器,入侵监测

22、,GSS全局网站,语音接入,Coupling Facility,SNA/IP IP业务,服务器,网关,CSA终端,IBM主机,网络准 域,/FICON,SNAsw,智能联络 客服中心核心系统基于IP协议,,管理系统,DLSW ESCON Director,务中心。,IP自动,入侵监测,数据库,语音应答,入侵监测,令牌环交换机,二级防火墙,ISPB,内层,边界防火墙,IP电话,7910,VoIP网关,边界防火墙,CSA终端,无线移,安全防护,网络准,入控制,边界防火墙,入侵监测,边界防火墙网络准,入控制,CSA终端,服务器群,邮件 邮件网,CSA终端,VPN安全接入,(防毒),安全防护,网络准,

23、入控制,CIC Reporter,安全防护,安全防Confidential 控制,防火墙,网络准,服务器,入控制,认证服务器,ISPA,恶意代码防范在银行网络的应用,DLSW+路由器,Cisco7507,FC,SiSi,SiSi,Catalyst6513交换核心,IBM主,客户关系管理 CIP路由器 Cisco7507快速以太网或 Catalyst6509,应用网关,AW管理工作站,传真系统,IP录音系统,PG外围网关,ESCONIP IVR Catalyst5509,PIX535 Catalyst 4000,Cisco IDS,Cisco 7200,Cisco 7200拨号访问 服务器Cis

24、co 3600,GSS全局网站定位器,合作伙伴Internet(网络银行),事件统计汇报,802.11a/b,IP/TV内容管理器,无线用户PCI352动用户PCM352模拟电话传真机IP/TV广播服务器,Cisco 3660(均衡负载)内容分发管理器CDMCE560/CE590其它 WEB E-Learning服务器 服务器 LMS服务器 2005 Cisco Systems,Inc.All rights reserved.,服务器 关,Cisco VPN集中器,Catalyst 6509Catalyst 4500,客户服务中心区域 生产网区域专职业务代表n*E1VoIP网关专长理财 普通业

25、务咨询Cisco 5350/Cisco5400客服中心核心系统并可以实现多渠道和多点客户服ICM CTI服务器IP PBXCTI,分行网络 分行网络,IDS 管理SNA管理 安全管理安全认证中心,运行管理网络区域边界防火墙入侵防范VPN Solution Center网元管理CiscoWorks 2000入侵监测中心话音管理防病毒服务器事件管理中心Cisco Info Server,广域接入网区域安全VPN,边界防火墙,入侵监测防范,入侵监测防范,互联网连接区域AAA认证 DNS 访问管理控制服务器 服务器内容引擎CachingCatalyst4507Cisco IDS4-7层 分析PIX 5

26、35InternetCisco 7200入侵监测 PIX 535InternetCisco 7200 外层防火墙外网交换机,PSTN拨号访问 服务器Cisco 3600拨号接入CHN-0015,CDM4650内容路由器CR服务器安全加固,办公网络区域IP电话 会议IP电话7905 7935无线以太网访问点Catalyst 4500Catalyst 3550AP1200PBXVCatalyst 6513AS5350入侵监测,漏洞扫描IP电话7960/40IP PBXMCS7845/35/25/15VoIP关守HSRP,PIX 535二级防火墙,Catalyst6509防火墙,语音安全,客户 业务

27、服务器群 IBM主机接入Catalyst6513防火墙,外联网区域CSA终端 网上银行 电子邮件电子邮件管理服务器服务器应用服务器Cisco IDS4-7层 分析 Cisco IDS4-7层 分析内容交换 机CSS11500定位器 流量监测PIX 535银联、Master人民银行等组织,开发测试网区入控制机系统CSA终端安全防护,CSA终端 网络准24,25,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,网络自身安全,26,2005 Cisco Systems,Inc.All rights res

28、erved.,Cisco Confidential,CHN-0015,网络自身安全威胁网络自身威胁和问题:蠕虫/病毒/垃圾邮件在网上泛滥,错误配置/部署,黑客攻击,DDoS停止服务攻击等各种原因,造成网络拥塞,甚至网络瘫痪,不可控制 设备对安全威胁的承受能力有限,甚至宕机,Internet,Cisco IOSRouter,PIX,VPN 3000,EmailPublic servers Filter,NIPS,UserHosts,WLAN APs,CiscoACSCatalyst L3Ethernet Switch,NIPS,InternalServers,Cisco IOSVPNRouter

29、,Catalyst 6000 w/security servicemodules,27,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,一般防范技术方案,安装防病毒/蠕虫软件 及时升级代码库和操作系统的补丁 安装防火墙,没有网络设备安全 各个部分相互独立 防范效果不明显,原有问题依然存在,安装IDS入侵监测打补丁方式,28,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,全网安全,纵深防御纵深防御,所有的

30、网络单元都有效发挥作用 Firewalls Proxies VPN Anti-virus Network IDS/IPS Host IDS/IPS Router Switch全网集成安全,主动防御,29,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,性能保护网络禁闭防范设备级保护保护网络设备自身,保护网络服务,思科基础网络保护网络级保护保护网络中传输的数据,网络自身安全:-安全的网络必须建立在安全的基础架构上基础控制,30,2005 Cisco Systems,Inc.All rights res

31、erved.,Cisco Confidential,CHN-0015,思科网络基础架构保护-三平面定义,管理平面保护数据平面保护,安全的进行网络管理保护转发的数据,保护路由协议和网,络服务,控制平面保护,Private VLAN防护,防止对SPT的攻击,31,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,DHCP 服务器动态查看DHCP信息(来自于DHCP监听),验证输入DHCP响应的正确性,ARP,动态ARP检测查看输入APR条目的MAC-IP匹配关系的正确性。,DHCP,SnoopingVAC

32、L,Inspection测,ARP 检,Private VLAN,APR Spoof,控制同一子网的用户相互访问,Storm Control,风暴控制防止瞬间超大大数据流量,Port Security,端口MAC的绑定,可接受的MAC数量,预防MAC攻击,BPDU Guard/ROOT Guard,802.1WUser Access 防止对跨VLAN的Port 攻击,思科安全交换机,IDS4.5 Gbps,VPN Firewall SSL NAM14 Gbps 5/20 Gbps 1.2Gbps BroadAnalysis,DDoS3 Gbps,CSM3.5 Gbps,思科交换机CAT6K,提

33、供附加的安全服务模块,增强专业安全保护能力,交换机本身具有强大的安全能力,32,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,模块化设计投资保护,内置图形化服务管里工具(SDM),自适应的威胁防御 IPS Netflow Cisco IOS Firewall,身份识别和接入控制 NAC 802.1x,网络基础设施的保护 CPP NBAR AutoSecure,安全的连接 Secure Voice DMVPN MPLS+IPSec,以线速提供集成的安全服务,思科安全路由器网络安全-成为每台路由器应具

34、有的标准,思科ISR集成安全路由器,33,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,Cisco IPS,Trend AVTraffic/Admission Control,Proactive Response限制和控制安全、洁净的连接,VPN 技术Cisco VPN 3000网络服务Cisco Networking,可适应的威胁防御和安全洁净的VPNApp Inspection,UseEnforcement,Web Control应用安全Malware/Content Defense,Anom

35、aly DetectionAnti-X 防御,久经考验的技术防火墙技术Cisco PIX入侵检测和保护技术Cisco IPS网络防病毒技术,思科全功能安全设备ASA,Cisco ASA:AdaptiveSecurityAppliances,34,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,设备管理安全保护控制授权网络管理设备访问控制,认证,授权,审计 Radius/TACACS+/Kerberos基于角色的分权限设备管理安全访问(Secure Shell)安全拷贝配置(Secure Copy)S

36、NMP V3,analysis 主机,语音接入,Netflow for traffic and DDoS,IP业务,SNA/IP,服务器群,/FICON,prefix filters,route maps,SPD),数据平面保护,v3,容管TACACS+,VTY ACLs,NTP,(防毒),authentication)统计汇报SNA管理 安全管理,分公司,分公司,Management Plane protection(SNMP,rACLs,CoPP,控制平面保护,GSS全局网站定位,rACLs,CoPP,CAR,etc.,35,Cisco Confidential,CIP路由器快速以太网或令

37、牌环交换机,DLSW+路由器,Cisco7507,Cisco7507Catalyst6509Catalyst5509,FC,Si,Si,Si SiCatalyst6513交换核心,Catalyst6513,开发测试网区域主机系统,外围网关,IP PBX,客户关系管理数据库,应用网关,AW管理工作站,传真系统,IP录音系统,ICM,PG,IP自动语音应答IP IVR,CTI服务器CTI,Catalyst6509,PIX535 Catalyst 4000,Cisco IDS,PIX 535,Cisco 7200,拨号访问 服务器,Cisco 7200,WEB协同服务器,外联网区域电子邮件DNS 服

38、务器Cisco IDS4-7层 分析Cisco IDS4-7层 分析,内容交换 机CSS11500,电子邮件管理服务器应用服务器,PIX 535,GSS全局网站定位器,IDS 管理,VPN Solution Center,运行管理网络区域,管理中心事件,事件,广域接入网,区域,Catalyst 6513,Catalyst 4500Catalyst 3550,无线以太网访问点,All rights 服务器,IP/TVCDM4650 内 理器,MCSVoIP关守HSRP,VoIP网关VAS5350,办公网络区域,内容路由器CR CIC Reporter,互联网连接区域,访问管理控制服务器,DNS服

39、务器,内层防火墙,Cisco 3660(均衡负载)邮件 邮件网服务器 关内容分发管理器CDMCE560/CE590其它 WEB E-Learning 2005 Cisco Systems,Inc.服务器 reserved.LMS服务器,Cisco VPN集中器,AAA认证服务器,外网交换机,PSTN拨号访问 服务器Cisco 3600CHN-0015,Cisco IDS4-7层 分析Cisco 7200Cisco 7200,Catalyst4507PIX 535PIX 535外层防火墙,InternetISPAInternetISPB,Catalyst 6509Catalyst 4500,客户

40、服务中心区域专职业务代表客户n*E1VoIP网关专长理财 普通业务咨询Cisco 5350/Cisco5400客服中心核心系统,合作伙伴,网络自身安全在网络中的应用,Unicast RPFCisco 3600器,Other(e.g.ICMP rate limits),网元管理CiscoWorks 2000话音管理Routing Plane protection(BGP peerauthentication,route filtering viaCisco Info Server,平面保护,管理生产/应用区域 SNMP v3,TACACS+,VTYACLs,NTP authentication业

41、务服务器群 主机接入Coupling Facility网关 服务器IBMESCONSNAswDLSWESCON Director,36,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,安全预警及快速响应,37,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,安全预警及快速响应问题 对实时安全信息不了解,无法及时发出预警信息 事件发生后,无法确诊网络故障的原因或感染源/攻击源,网络业务恢复时间长 对某些特定

42、安全事件没有适合的方法,如DDoS攻击不足之处,海量安全事件报告多个相对孤立的安全信息系统人工判断,耗费时间和资源,难于做出快速判断和实时响应仅关注于设备安全管理整体安全策略无法快速实施,传统解决办法 安全设备(IDS/FW)报警 安全设备管理 依靠安全管理人员判断,38,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,传统安全信息预警管理的问题,行动步骤:1.报警2.调查3.缓解,网络运营,安全运营,安全知识库,防火墙IDS/IPS,VPN,漏洞扫描,认证服务器,路由器/交换机,10K Win,1

43、00s UNIX防病毒软件,收集网络信息,阅读和分析海量的数据,39,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,统一的实时安全信息预警管理,安全知识Securityknowledge base,防火墙IDS/IPS,VPN,漏洞扫描,认证服务器,路由器/交换机,10K Win,100s UNIX防病毒软件,统一的安全信息预警中心,风险评估RiskAssessment,网络运营,安全运营,40,2005 Cisco Systems,Inc.All rights reserved.,Cisco C

44、onfidential,CHN-0015,余度,SIM安全信息管理多层次的事件关联分析能力直观、可视化集成事件响应管理内置知识库风险和威胁评估高度的可扩展性和冗,SEM安全事件管理主要面向大量事件数据的收集和存储数据的汇总和排序快速日志查阅提供简单的事件关联分析能力,LOG系统日志收集主要面向大量事件数据的收集和存储数据的汇总和排序提供快速日志查阅功能,STM安全威胁管理包括网络拓扑的感知直观、可视化集成的事件响应管理能力威胁定义提供解决方案,安全信息管理技术的快速发展安全信息管理技术的发展,du,Re,ctio,n,Co,ion,lat,rre,.,41,2005 Cisco Systems

45、,Inc.All rights reserved.,Cisco Confidential,CHN-0015,思科CS-MARS 安全信息主动响应系统,网络智能感知网络拓扑,流量设备配置/加强事件关联,关联,减少,归类有效安全事件安全控制 抑制,控制,消除,SessionsRulesVerifyValid Incidents,Firewall LogSwitch LogSwitch Cfg.Router Cfg.,Server LogAV AlertApp LogVA Scanner,IDS EventFirewall Cfg.NAT Cfg.NetflowIsolated Events,信息来

46、源:IDSNetflowSyslog,SNMP,42,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,确认减轻攻击威胁的设备,Switch,推荐减轻攻击威胁的命令RouterFirewall,思科CS-MARS 安全信息主动响应系统-确认攻击源和攻击路径提升网络的控制能力明确Layer 2/3 攻击路径,43,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,CS-MARS,监控 部署在网络的任意部分,收集

47、安全信息 CS-MARS GC(Global Controller,全局控制器)提供全局的视图,集中管理,提供企业级的报告分布式处理:事件、规则、查询、报告安全、高效的和其他管理系统进行信息交换,OutboundMail,URLFilters,External,Inbound,Remote,VPN,Tunnel,Mgmt.VLAN,AAA,Switch,Router,Switch/NIDS,FW/NAT,CS-MARS GC,ApplicationWeb Commerce,Database,CS-MARS,InternalNetwork,CS-MARS,思科CS-MARS 安全信息主动响应系统

48、部署AAA,44,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,趋势实验室Trend Labs,安全策略防范特征码,IPS 4200Series,Router IPSin Software,Catalyst,Router,PIX,Catalyst 6500IPS BladeASA 5500,IPS Blade,策略手工或自动,病毒爆发和威胁信息 威胁级别 详细描述 典型的影响,推荐的安全策略,异常代码爆发t=0,t=30min,安全策略防范特征码,Cisco 紧急事件控制中心(CICC)t=120

49、min,思科病毒蠕虫快速响应解决方案组成部件 趋势在全球实时监控网络安全和开发特征码的实验室 Cisco 紧急事件控制中心 管理和提供与病毒、蠕虫相关的解决方案的平台 目标网络:接受服务的网络设备,45,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,安全预警及快速响应-响应DDoS攻击,关键业务服务停止在线交易,DNS,Email,Web Server等 出口路由器/防火墙-服务停止 上联链路带宽-被无效数据流占据发动攻击的“肉鸡”:使用合法的协议假冒的源地址大量分布式变种的攻击,破坏力强,有普遍

50、性追查困难,危害面广传统防护方法有很多不足,CISCOYTEM,Router,46,2005 Cisco Systems,Inc.All rights reserved.,Cisco Confidential,CHN-0015,P r p,S,S,C S,企业内部DDoS攻击防范,I,S,C,y,Pw,C,T S,SD,PowerSupply0,PowerSupply1,SwitchProcessor,CISCOSYSTEMSCatalyst8500SERES,D,oweSupl 0,oerSuply1,Swi chP oeso,Sal t80SEES,I CO SYSEM,SI COSYST

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 建筑/施工/环境 > 项目建议


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号