cisco网络安全体系架构-SEVT.ppt
《cisco网络安全体系架构-SEVT.ppt》由会员分享,可在线阅读,更多相关《cisco网络安全体系架构-SEVT.ppt(51页珍藏版)》请在三一文库上搜索。
1、网络安全架构的未来,议程,网络安全发展趋势 网络安全体系架构 思科自防御网络 SDN3.0 网络安全中国,网络安全发展趋势,2008年十大互联网安全趋势 Web2.0时代到来,1. 社交网站和Web 2.0网站成为黑客攻击目标。 2. “僵尸网络”将继续繁殖。 3. 通过IM传播的“flash”蠕虫将大规模爆发。 4. 在线游戏等虚拟社区将成为重要攻击目标。 5. Windows Vista将成为黑客攻击目标。 6. 广告软件数量下滑。 7. “钓鱼”式攻击将面向普通小型网站。 8. 寄生恶意软件明年增长20%。 9. 虚拟机安全问题突出。 10. VoIP 攻击将直线上升。,数据安全排名第一
2、,Data protection Vulnerability security Policy and regulatory compliance Identity theft and leakage of information Viruses and worms Risk management Access control User education, training and awareness Wireless infrastructure security Internal network security / insider threats,Source: CSI/FBI 2006
3、 Computer Crime and Security Survey,威胁-攻击者,窃贼,间谍,始作俑者,初级(脚本),中级(创造),专家级,专才,密码破解者,造成经济利益损失最为严重,迅猛增长 趋于规模化,经济/政治利益 武器,数量所占比例最高,学习,攻击行为-来源,恶意URL,0Day溢出,端口,电子邮件附件,IM,文件,IP NGN Secure Platform 威胁与业务关联,运营性服务提供商分等级安全框架模型,设计,评估,审计,策略,安全运营,业务威胁可见度,业务威胁可控度l,存取身份,分解隔离,固化标准,应用感知,业务目标与客观 现状,安全威胁模型,基础架构安全,清洗中心,业务
4、控制,自适应威胁,隐私与机密,对等安全,自动化操作控制与与组合实行,安全域隔离,威胁SWAT,准入与终端安全,eTOM, ITIL,运营,部属,卓越执行,可执行 可度量,策略执行实施,监控与关联协同,安全 实现者,数据中心安全服务架构,Data Center Connectivity Security Link Redundancy, DDOS, IPSec/SSL VPN,DC Network security Firewalls, IDS/IPS, Anti-X/Host IPS/Scanner,Application Security services SSL offloading, X
5、SS / SQL,XML Gateway / CCA /ACS,Data Security Data Leakage, Terminal Security / CSA,Typical adoption timeline,Management Security Monitor ,Events analysis, Response, PCI/SOX,网络安全技术发展过程,Metro Optical Layer to Distributed Data Center,Front-End Layer,Application Layer,Storage Layer,Aggregation Layer,VS
6、AN,Back-End Layer,Security Zones,VSAN,Internet Edge,Secondary Data Center,SP1,Internet,SP 2,IP Network,安全区域层次,Mainframe,DC网络安全技术部署层次,Cisco ASA 5580 Series N-Tier Firewall Requirements,Cisco ASA for n-tier applications Perimeter Firewall High conns/second Attack Protection Application Inspection Fire
7、wall Advanced Inspection High concurrency Back-end Firewall High throughput Low latency,Web Tier,Application Tier,Database Tier,Internet,150K Conns/sec,2M Concurrent Connections,100S Latency,数据中心整体安全部属图,I,C,P,S,p,r,C,S,T,S,Cisco IOS Router,Catalyst Switch,FWSM Active/Active,Internal Network,Catalyst
8、 Switch,Cisco Guard XT,Cisco IPS/ IDS,Cisco Guard XT,DNS Servers,Web, Chat, E-mail, etc./ CSA,Target,ISP 2,ISP 1,Cisco Anomaly Detector XT,MARS / CSM / ACS,ACE Module,AVS,ERP/CRM,万兆防火墙ASA5580 的七个新境界,Web2.0 HTTP1.1应用相比较HTTP1.0在一个Request中并发更多的Session,当网络流量突发或受到攻击时,短时间内会产生巨大的新建连接,要求设备具有更强的抗攻击能力与业务响应能力,
9、每秒每秒新建连接数是Web2.0应用防火墙的最关键衡量指标! - ASA5580每秒新建连接数到达业界新高度的15万 。 万兆实际HTTP性能吞吐能力:传统的防火墙吞吐率是指UDP大包的性能,ASA5580的万兆吞吐能力是指实际的HTTP流量性能,如果按超大包计算可达到20G性能。对数据包的时延小于30ms. Any Connect VPN支持IPSec和SSLVPN的统一网关集成,适应点对点,移动用户,可管理桌面,企业网络接入,合作伙伴或者外联网接入等各种场景,将高度安全的远程接入拓展到任何地点的任何用户。IPSEC与SSLVPN各支持1万 并发接入通道。,万兆防火墙ASA5580 的七个新
10、境界(续),统一通讯语音视频安全网关 :首创加密的语音视频解决方案,增强支持广泛的语音协议SCCP, SIP, H.323, MGCP, RTP/RTCP等,并支持TLS 信令终结与代理,动态SRTP 端口加密流深度检测等,是针对Web2.0时代流媒体应用的新一代专用安全系统。 基于Netflow v9标准的高速审计与时间监控:这是思科提倡网络技术与安全技术融合的具体表现之一,将ASA5580高端防火墙作为标准的网元设备去管理与控制。 ASA5580通过CSM集中配置系统与MARS安全速响系统实现统一与配置管理与安全事件响应,是思科自防御体系自适应实现协同的体现。 绿色数据中心为代表的新系统对
11、设备节能减排的环保要求提出了新要求,ASA5580采用新一代进化技术PCI-X架构,动态电源技术,提供了更快速的数据传输,ECC自动恢复错误与错误检测的功能,能有效提升系统的效能并大幅度节省能耗, 进入“绿色”运营的新时代!,Cisco High Performance Firewall Portfolio,Target Market,Firewall Characteristics,Max Firewall Perf (RW HTTP) Max Firewall Perf (1400 UDP) Max Firewall Perf (Jumbo) Max Firewall Connection
12、s Max Connections/Sec Max Packets/Sec (64 byte) Latency (microseconds) Max Rules (ACEs) Max Security Contexts Max VLANs Base I/O Max I/O,Cisco ASA 5580-20,Campus Segmentation / Data Center,5 Gbps 6.5 Gbps 10 Gbps 1,000,000 90,000 2.8 Million 100 512,000 50 250 2 Mgmt 24 GE or 12 10GE,Cisco ASA 5580-
13、40,Campus Segmentation / Data Center,10 Gbps 14 Gbps 20 Gbps 2,000,000 150,000 5.5 Million 100 1,000,000 50 250 2 Mgmt 24 GE or 12 10GE,Cisco FWSM,Campus Segmentation / Data Center,TBD 5.5 Gbps 5.5 (50+ Sup) 1,000,000 100,000 2.8 Million 50 80K (160K 4.0) 250 1000 Sup-based 536 GE or 28 - 56 10GE,Ci
14、sco MCP 5G/10G/20G,WAN Edge,TBD 5/10/20 Gbps 5/10/20 Gbps TBD/500K/1M TBD/50K/100K 2+ Million TBD TBD/50K/200K N/A 4000 1 Mgmt 120 GE or 12 10GE,Cisco ASA 5580 Series N-Tier Firewall Requirements,Cisco ASA for n-tier applications Perimeter Firewall High conns/second Attack Protection Application Ins
15、pection Firewall Advanced Inspection High concurrency Back-end Firewall High throughput Low latency,Web Tier,Application Tier,Database Tier,Internet,150K Conns/sec,2M Concurrent Connections,100S Latency,Cisco ASA 5580-20 Offers Unmatched Performance Cisco ASA 5580-20 vs. Juniper ISG 2000,The superio
16、r architecture and software engineering of the Cisco ASA 5580-20 will redefine performance, scalability, and value for high performance security.,Note: Results based on internal testing at Cisco, using same methodology on both platforms (8 GE ports used on each platform Cisco ASA 5580-20 can perform
17、 higher with 10GE ports or more GE ports). HTTP testing performed with multiple Avalanche/ Reflector pairs, UDP testing performed with Spirent Test Center.,Cisco Confidential INTERNAL USE ONLY,网络安全体系架构,Unified Security - 思科统一安全三阶段,Phase I:Unified Security Gateway: 统一安全网关 模块: FWSM,AGM/ADM,IDSM - 你无法拒
18、绝的畅销经典:无需改拓扑,高性能,超值! ASA: +SSLVPN , +IPS , + AV - 最具发展潜力的下一代防火墙:等速IPS性能,集成SSLVPN, 高新建连接! ISR : IPSEC VPN, IOS Security - 最天然的分支机构VPN组网ALLinOne: 集成防火墙, IPS, SSLVPN功能! Phase II:Unified Security Control :统一安全准入 NAC/CCA : 从网络向终端的延伸与协同,未来趋势是NAC模块! CSA: 思科内部广泛应用,趋势定位在防数据泄露市场! ACS: 最具普适性的AAA Server - TACAS
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- cisco 网络安全 体系 架构 SEVT
链接地址:https://www.31doc.com/p-2756044.html