Cisco网络集成解决方案

网络解决方案 目录目录 一 总述 3 二 网络拓扑分析 4 三 VPN 解决方案介绍 5 3 1 基于 IPSec 的远程接入 7 3 2 WebVPN 8 3 3 站点到站点 9 3 4 应用滥用和访问控制 11 3 5 总结 13 四 安全服务模块 CSC SSM 14 4 1 产品概述 14 4 2 主要特性和优势 15 五 思科安全 MARS 16 5 1 概述 16 5 2 思科安全 MARS 的主要特性和优势 18 六 网络准入控制 NAC 22 6 1 概述 22 6 2 NAC 的优势 22 七 产品介绍 28 7 1 Cisco ASA 5500 系列简介 28 7 1 1 概述 28 7 1 2 产品特点 29 7 2 Catalyst 6500 系列交换机 31 7 2 1 概述 31 7 2 2 Cisco Catalyst 6500 系列的优点 32 7 3 Supervisor Engine 720 介绍 35 7 3 1 概述 35 7 3 2 Cisco Supervisor Engine 720 的特性 39 7 4 Cisco Catalyst 2960 系列交换机 42 7 4 1 产品概述 42 7 4 2 特性和优点 47 一 总述一 总述 本次网络方案采用 CISCO 全系列产品 包括防火墙 核心交换和网络接入 设备 同时使用思科管理软件和安全准入控制 并且提供 VPN 的接入 方案中 从硬件介绍入手 并根据实际情况分析不同的解决方案 以便满足用户的需求 在整个方案规划实施过程中我们严格遵循以下原则 从全局考虑保证用户投资 实用性 应当从实际情况出发 使之达到使用方便且能发挥效益的目的 采用成熟 的技术和产品来建设该系统 要能将新系统与已有的系统兼容 保持资源的连 续性和可用性 系统是安全的 可靠的 使用相当方便 不需要太多的培训即 可容易的使用和维护 先进性 采用当前国际先进成熟的主流技术 采用业界相关国际标准 设备选型要 是先进和系列化的 系统应是可扩充的 便于进行升级换代 利用当前的设备 可以为以后的发展打下良好的扩充基础 安全性 采用各种有效的安全措施 保证网络系统和服务器的安全运行 安全包括 4 个层面网络安全 操作系统安全 数据库安全 应用系统安全 由于 Internet 的开放性 世界各地的 Internet 用户 包括黑客 病毒 间谍软件 都可能访问到内部网络 可扩充性 利用已有的资源 通过良好的技术标准与产品架构 可以很容易的升级到 更高层次 而不需要很高的投资 可管理性 选用易于操作和维护的网络操作系统 大大减轻网络运营时的管理和维护 负担 采用智能化网络管理 最大程度地降低网络的运行成本和维护 高性能价格比 结合日益进步的科技新技术和环境保护局的具体情况 制定合乎经济效益 的解决方案 在满足需求的基础上 充分保障劳动局的经济效益 坚持经济性 原则 在不降低需求的同时力争用最少的钱办更多的事 以获得最大的效益 二 网络拓扑分析二 网络拓扑分析 网络整体结构并不复杂 通过简单的部署达到安全高效的目的 网络拓扑 如下所示 网络主干采用全千兆连接 图中的红线标示 2 台 Cisco Catalyst 6500 在网络核心提供冗余 然后千兆到接入交换机 最后百兆到桌面 在网络出口 使用 Cisco ASA 5540 加 Cisco ASA 5500 系列内容安全和控制安全服务模块 CSC SSM 在互联网边缘提供了业界领先的威胁防御和内容控制 是由业界领先 公司提供的 全面 易于管理的解决方案 包括了防病毒 防间谍软件 文件 阻挡 防垃圾邮件 防泄密 URL 阻挡和过滤 以及内容过滤等功能 CSC SSM 增强了 Cisco ASA 5500 系列的强大安全功能 使客户能更好地保护和控制企业 通信的内容 三 三 VPNVPN 解决方案介绍解决方案介绍 思科 ASA 5500 系列自适应安全设备是结合了一流安全性与 VPN 服务的专 用平台 面向中小型企业 SMB 应用 ASA 5500 系列提供基于防火墙 入侵 防御系统 IPS 和网络反病毒功能的自适应威胁防御解决方案 它可以与这些 服务一起使用 或者作为专门功能的 VPN 平台独立使用 在 VPN 服务方面 思科 ASA 5500 系列采用灵活的技术 能够提供量身定做 的解决方案 满足远程接入和站点到站点的连接要求 思科 ASA 5500 系列能够 提供易于管理的 IP 安全 IPSec 和基于 VPN 的安全套接层 SSL 远程接入 以及网络感知的站点到站点 VPN 连接 使企业能在公共网络上建立到移动用户 远程站点 业务合作伙伴的安全连接 借助 ASA 5500 系列 企业能够享受到互 联网的连接和成本优势 而不会影响到企业安全策略的完整性 通过将 VPN 服 务与全面的威胁缓解服务相结合 ASA 5500 系列能够提供安全的 VPN 连接和通 信 集成的自适应威胁防御功能可以提供统一的防御 帮助确保 VPN 部署不会 成为蠕虫 病毒 恶意软件或黑客攻击等网络攻击的渠道 此外 还可以对 VPN 流量实施详细的应用和访问控制策略 使个人和用户组能够访问他们获得 授权的应用 网络服务和资源 图 1 图 1 适用于所有部署方案的 VPN 服务 带有威胁防御的强大 IPSec 和 SSL VPN 服务 远程接入远程接入 思科 ASA 5500 系列提供完整的远程接入 VPN 解决方案 支持大量连接方式 包括 WebVPN SSL VPN 思科 VPN 客户端 IPSec VPN 以及 Nokia Symbian 移动无线与 PDA 客户端的连接 利用思科在远程接入领域的专业技术 企业能够部署单个集成平台 该平台广泛支持各种核心企业应用 并具备易管 理性和部署灵活性 用户可从支持 SSL 的 Web 浏览器或 VPN 客户端建立安全的远程连接 从而 实现最大的灵活性和应用访问 而无需部署和管理单独的设备 借助思科 ASA 5500 系列安全设备 企业可为每类用户选择最合适的技术 IPSec 或 SSL VPN 而无需部署并行解决方案 这样就消除了为 SSL 和 IPSec VPN 分别部署 不同的平台所导致的低效率和额外成本 3 13 1 基于基于 IPSecIPSec 的远程接入的远程接入 使用 IPSec 来提供远程接入 用户可以获得最稳健的可定制连接 通过 IPSec 用户可以访问任何应用 如同他们实际连接到总部局域网一样 基于思 科 IPSec 的远程接入具有高度的可定制性 它提供 API 管理员可向其中写入 执行例程和其它定制程序 思科 ASA 5500 系列提供了思科系统公司功能最丰富的基于 IPSec 的远程接 入 在 IPSec 部署方面 ASA 5500 系列利用了思科 VPN 3000 系列集中器的特 性和功能 能够提供几乎相同的功能 却具有更高的每用户吞吐量 此外 ASA 5500 系列还与现有的 VPN 3000 系列集中器集群无缝整合 使两种平台都能为 相同的用户群服务 思科 ASA 5500 系列支持创新的思科 Easy VPN 远程接入功能 这些功能在 其它思科安全解决方案中也能找到 如思科 PIX 安全设备 思科 IOS 路由器和 思科 VPN 3000 系列集中器 思科 Easy VPN 提供了可扩展 经济高效 易于管 理的独特远程接入 VPN 架构 能够消除传统 VPN 解决方案通常需要的远程设备 配置维护的运营成本 思科 ASA 5500 系列设备能够动态地将最新的 VPN 安全策 略推送到远程 VPN 设备和客户端 帮助确保这些远程端点在连接建立之前就拥 有最新策略 从而提供最佳的灵活性 可扩展性和易用性 思科 ASA 5500 系列安全设备支持 VPN 客户端的安全状况检查 当客户端试 图连接 VPN 时 它会进行安全检查 包括企业规定的主机安全产品 例如思科 安全代理或个人防火墙软件 的使用 版本号和状态 然后才允许远程用户接 入企业网络 根据客户端类型 安装的操作系统和思科 VPN 客户端软件版本 它可以禁止思科 VPN 客户端连接到网络 这样可以防止不符合安全策略的 VPN 客户端接入企业网络 ASA 5500 能为思科 VPN 客户端和思科 VPN3002 硬件客户端进行自动软件更 新 还能在建立 VPN 连接时启动更新 或者根据目前连接的 VPN 客户端的请求 启动更新 这为远程用户提供了一种轻松更新客户端软件的方式 可以使用 RADIUS 或 TACACS 根据设备上的内部用户数据库或者通过外部 源 对远程接入用户进行验证 由于本地集成了很多常用的验证服务 包括 Microsoft Active Directory Microsoft Windows Domains Kerberos 轻量 级目录访问协议 LDAP 和 RSA SecurID 因而它无需单独的 RADIUS TACACS 服务器作为中介 就能进行用户验证 3 23 2 WebVPNWebVPN 思科 ASA 5500 系列提供了核心 SSL VPN 功能 用于无客户端的部署 如外 联网接入和未管理桌面 思科 VPN 3000 系列集中器仍是思科功能最丰富的 SSL VPN 解决方案 只需使用 Web 浏览器和本地 SSL 加密 SSL VPN 就能提供从几乎任何拥有 互联网的地点的远程资源访问 而无需预安装的 VPN 客户端软件 思科 ASA 5500 系列可以支持 WebVPN 从而提供对广泛的企业应用的轻松访问 包括 Web 资源 支持 Web 的应用 NT Active Directory 文件共享 支持 Web 电子邮 件和其它基于 TCP 的应用 如 Telnet 或 Windows Terminal Services 用户 可从任何连接到互联网并能到达 HTTP 互联网站点的计算机访问这些应用 WebVPN 使用 SSL 以及后来的传输层安全 TLS 来提供远程用户与中央站点支 持的特定内部资源之间的安全连接 使用 WebVPN 来提供安全连接 可以实现从 几乎所有系统的访问 而无需安装额外的桌面软件 3 3 3 3 站点到站点站点到站点 利用思科 ASA 5500 系列安全设备提供的网络感知的 IPSec 站点到站点 VPN 功能 企业能够通过低成本的互联网连接 安全地将其网络延伸到全球的业务 合作伙伴和远程与小型分支机构 ASA 5500 系列是思科功能最丰富的基于设备 的站点到站点 VPN 解决方案 凭借无可比拟的网络功能集成 思科 IOS 路由器 能够提供业界最先进 最灵活的站点到站点 VPN 连接 分支机构和远程办事处将企业的触角延伸到关键的市场和位置 基于思科 ASA 5500 系列的 VPN 解决方案能够实现多个地点之间的高速安全通信 提供企 业通信所需的性能 可靠性和可用性 可以使用从数字证书到共享私密等多种 方法 对 VPN 连接进行验证 思科 ASA 5500 系列安全设备为当前的应用提供了一种 VPN 基础设施 能够 在安全的 IPSec 网络上传输融合的语音 视频和数据 强大的站点到站点 VPN 服务 结合丰富的检验功能和服务质量 QoS 功能 使企业能够利用融合网络 提供的诸多好处 使用思科 ASA 5500 系列设备 将 VPN 与 QoS 功能和丰富的检 验功能相结合 企业能够安全地将语音和多媒体服务扩展到远程办事处环境 从而利用融合网络提供的众多好处 包括提高生产力 降低运营成本和增强竞 争力 延迟 抖动和信息包丢失都会导致语音和视频质量下降 思科 ASA 5500 系 列具有低延迟排队 LLQ 和流量警管功能 能够支持具有严格 QoS 要求的应用 如语音和数据 帮助确保端到端的网络 QoS 策略 延迟敏感的流量的优先 级可以排列在文件传输和其它延迟容忍度更高的流量之前 排队性能可以通过 一系列配置参数进行优化 在 VPN 上部署语音和视频时 必须全状态地检验通过网络的所有多业务流 量 这一点十分关键 思科 ASA 5500 系列安全设备能够为多种 VoIP 和其它多 媒体标准提供市场领先的保护 它支持的 VoIP 和多媒体标准包括 H 323 第 4 版 会话发起协议 SIP 思科小型客户端控制协议 SCCP 实时流协议 RTSP 和媒体网关控制协议 MGCP 这有助于企业安全地部署多种现有和 下一代的 VoIP 和多媒体应用 思科 ASA 5500 系列还提供网络拓扑的感知 以实现易配置性和弹性 ASA 5500 系列支持 VPN 隧道上的开放最短路径优先 OSPF 路由 因而能够了解网 络可达性 以确保高效的数据流 此外 子网自动发现功能可以识别每个 VPN 网关后的全部主机 从而简化配置 思科 ASA 5500 广泛支持各种 X 509 数字证书 包括用于具有多层认证中心 等级的环境的 n 层证书链 使用简单认证登记协议 SCEP 的简易自动证书登 记 用于认证机关离线时部署的手动登记 它支持的 RSA 证书密钥大小可达到 4096 比特 而基于数字签名算法 DSA 的 X 509 证书密钥大小最高可达 1024 比特 思科 ASA 5500 系列还支持思科 IOS 软件认证中心的在线登记 轻量级的 X 509 认证中心能够简化支持公钥基础架构 PKI 的站点到站点 VPN 的推出 VPNVPN 连接的威胁缓解连接的威胁缓解 威胁缓解 蠕虫 病毒 间谍软件 广告软件 木马 拒绝服务 蠕虫 病毒 嵌入应用程序的攻击和应用滥用被视为当今网络中最严峻的 安全挑战 由于 VPN 目前的设计方式 远程接入和远程办事处 VPN 连接是这类 攻击的常见入口 人们部署的 VPN 通常没有在总部位置的隧道终端点实施适当 的检测和威胁缓解 从而使得来自远程办事处或用户的恶意软件渗透到网络中 并广泛传播 借助思科 ASA 5500 系列 用户可以设计适当的检测和威胁缓解 作为 VPN 解决方案的组成部分 而不会产生任何额外成本 也不会加大设计 部署和运 营复杂性 凭借 ASA 5500 系列的融合威胁缓解功能 客户可以检测到恶意软件 并在其进入网络内部并传播之前进行拦截 对于应用嵌入式攻击 如通过文件 共享对等网络传播的间谍软件或广告软件 ASA 5500 系列能够深入检验应用流 量 识别危险的有效载荷 并在其到达目标并造成破坏之前丢弃它的内容 思科 ASA 5500 系列安全设备的应用层检验功能可以保护 VPN 部署 防御拒 绝服务 DoS 攻击 例如 SYN 泛滥 互联网控制信息协议 ICMP 泛滥 Teardrop 端口扫描 Ping of Death 和其它许多常见的攻击 3 43 4 应用滥用和访问控制应用滥用和访问控制 正确的 VPN 安全设计不只是防御威胁 还要控制哪些类型的 VPN 流量能够 使用网络资源和带宽 并且控制对网络资源的访问 以 HTTP 端口 80 为例 端 口 80 最初是为 Web 流量设计的 目前用于即时消息 对等程序 如 Kazaa 和 其它应用 思科 ASA 5500 系列能够识别 检验和控制端口 80 应用的所有方面 它能够完全拦截某些流量或文件类型 或者具体地限制某些行为 例如在即时 消息应用中传输文件 应用感知的检验引擎提供了丰富的状态检测服务 能够跟踪所有授权网络 通信的状态 防止非法的网络接入 这些集成功能为当今不断变化的网络环境 构建了强大的多层防御 对 VPN 流量实施详细的安全策略 以便用户个人和群 组能够访问他们有权访问的服务和资源 全部 VPN 流量都经过解密和检验 以 确保只有适当的内容才允许通过设备 这就使网络管理员能够定义远程办事处和员工的安全和连接策略 该策略 可以提供无与伦比的安全性 并保持可访问的网络环境 思科 ASA 5500 系列安 全设备提供了一种实现安全性的完整方法 使企业能够享受到互联网的连接和 成本优势 而不会影响企业安全策略的完整性 图 2 图 2 思科 ASA 5500 系列融合了威胁缓解和 VPN 功能 以提供安全的 VPN 连接 弹性弹性 思科 ASA 5500 系列安全设备支持大量弹性功能 有助于确保 VPN 部署的最 高可靠性和稳健性 弹性集群功能可在所有思科 ASA 5500 系列和 VPN 3000 系列设备上平均分 配 VPN 会话 从而使远程接入部署能够经济高效地扩展 集群提供了集成负载 平衡 能够帮助用户确保远程接入连接的分配 而无需任何用户干预 也无需 安装外部负载分配器 不同型号的思科 ASA 5500 系列安全设备和 VPN 3000 系 列集中器能够在一个集群中共存 负载则根据每台设备的容量分配 这种具有 高度弹性的功能消除了单点故障 并使用户能根据企业需求量身定做解决方案 从而帮助他们保护客户的投资 VPN 状态故障切换能够最大化 VPN 连接的正常运行时间 以确保网络中的 弹性和冗余 凭借思科 ASA 5500 系列安全设备的状态故障切换功能 所有 VPN 安全连接状态信息和会话密钥材料都能在故障切换对成员之间自动同步 从而 提供具有高弹性的 VPN 解决方案 被配置为故障切换对的设备能够连续同步它 们的连接状态和设备配置数据 同步也可以在高速 LAN 连接上进行 通过地域 分离的故障切换对提供另一个保护层 在发生系统或网络故障的情况下 网络 会话自动从活动设备转移到备用设备 并对用户具有完全的透明度 OSPF 动态路由服务支持 VPN 隧道上的邻居 为 VPN 连接网络提供更高的网 络可靠性 它能在几秒之内检测到网络中断 以便流量绕开故障点进行路由 思科 ASA 5500 系列也支持反向路由注入 RRI 能够提高网络性能和可靠性 集成管理集成管理 集成的思科自适应安全设备管理器提供了基于 Web 的世界级管理界面 能 够显著简化单个思科 ASA 5500 系列安全设备的部署 长期配置和监控 而无需 在管理员的计算机上安装任何软件 除标准 Web 浏览器和 Java 插件以外 VPN 和智能设置向导能够轻松集成到任何网络环境中 而包括控制板和实时系 统日志浏览器在内的信息监控功能则能提供对重要的设备 网络健康状态和事件 监控的浏览 集成的 Web 管理提供了一个简单易用的界面 用于配置和监控所有 VPN 业 务 从而能够在 IPSec 和 SSL VPN 用户环境中进行轻松管理 通过基于角色的 管理 管理员能够为每个远程接入用户 组配置所有的访问控制 安全策略和验 证方法 此外 思科 ASA 5500 系列安全设备提供了多达 16 个级别的可定制管 理角色 这样企业就可以授予管理员和操作人员访问每台设备的相应级别的权 限 例如 只能进行 VPN 服务配置 只能进行防火墙服务配置 只能进行监控 或配置的只读访问 思科自适应安全设备管理器还提供对所有威胁缓解功能的完全管理 只需 使用一个控制台 即可配置和保护 VPN 连接的所有方面 3 53 5 总结总结 思科 ASA 5500 系列提供了一个灵活的全功能平台 用于 VPN 部署 可从支 持 SSL 的 Web 浏览器或 VPN 客户端建立安全的远程接入会话 从而实现最大的 灵活性和应用接入 强大的站点到站点 VPN 服务 丰富的检验功能以及 QoS 功 能为当前应用提供了一个 VPN 基础架构 能够在安全 IPSec 网络上传输融合的 语音 视频和数据 借助思科 ASA 5500 系列 用户可以设计适当的检测和威胁缓解 作为 VPN 解决方案的组成部分 而不会产生任何额外的成本 也不会加大设计 部署和 运营复杂性 管理员可以定义一个网络策略 以提供无与伦比的安全性 并维 持可访问的网络环境 通过利用思科丰富的 VPN 专业知识 企业能够部署一个支持广泛的核心企 业应用 具有易管理性和部署灵活性的集成平台 四 安全服务模块四 安全服务模块 CSC SSM CSC SSM 以后扩展以后扩展 Cisco ASA 5500 系列内容安全和控制安全服务模块 CSC SSM 结合了全面 的恶意软件防御以及 Cisco ASA 系列多功能安全设备先进的流量和消息策略符 合性 因此可为客户提供一个强大的解决方案 有力地保护和控制企业网络通 信 终止病毒 蠕虫 间谍软件 垃圾邮件和泄密等网络威胁 拦截不受欢迎 的访客和 Web 内容 且与部署和管理多个单点解决方案相比 降低了运营成本 和复杂度 4 14 1 产品概述产品概述 Cisco ASA 5500 系列内容安全和控制安全服务模块 CSC SSM 在互联网边 缘提供了业界领先的威胁防御和内容控制 是由业界领先公司提供的 全面 易于管理的解决方案 包括了防病毒 防间谍软件 文件阻挡 防垃圾邮件 防泄密 URL 阻挡和过滤 以及内容过滤等功能 CSC SSM 增强了 Cisco ASA 5500 系列的强大安全功能 使客户能更好地保护和控制企业通信的内容 该服 务模块在思科屡获大奖的 Cisco ASA 5500 系列设备的功能及部署的基础上 提 供了更高灵活性和更多选择 Cisco ASA 5500 系列 CSC SSM 可通过以下特性 帮助企业更有效地保护 网络 提高网络可用性和员工生产率 全面恶意软件保护全面恶意软件保护 包含 Trend Micro 开发的屡获大奖的防病毒和防间 谍软件技术 CSC SSM 几乎可以防止所有已知恶意代码进入网络和在网络中 传播 因而能避免关键业务应用和服务遭到破坏 保证关键系统和员工能够 正常工作 并减少成本高昂的感染后的清除工作 高级内容过滤高级内容过滤 将 URL 过滤 内容过滤和防泄露技术集成在一起 防止 企业和员工盗窃保密信息 并减少因内容违反了网络使用规定而需要承担的 法律责任 该模块可以帮助企业遵守网络内容法规 例如医疗保险便携与责 任法案 HIPAA Sarbanes Oxley SOX 和数据保护法案 集成信息安全集成信息安全 集成了防垃圾邮件技术 可以在垃圾电子邮件进入邮件 服务器之前就删除其中的绝大部分 不但能提高员工的生产率 还能防止浪 费宝贵的网络带宽和存储资源 定制和调试功能定制和调试功能 使管理员能够对垃圾邮件和内容功能实施定制控制 以满足特殊公司策略或网络环境的要求 易于管理和自动更新功能易于管理和自动更新功能 为简化初始配置 部署和持续运行 该产品 提供智能缺省设置以及与自适应安全设备管理器 ASDM 集成的直观界面 由于所有 CSC SSM 组件都能自动更新 包括扫描引擎和模式文件 因此 只 需少量管理投入就能使网络免受最新威胁的入侵 4 24 2 主要特性和优势主要特性和优势 CSC SSM 提供了丰富的安全和控制功能 其中部分如表 1 所示 表 1 CSC SSM 的特性和优势 特性特性优势优势 防病毒 屡获大奖的防病毒技术可在您的基础设施中最有效的防 御点 互联网网关处防止内部网络资源遭受病毒攻击的影响 在周边清洁电子邮件和互联网流量有助于确保业务连续性 避免了耗费大量资源的对恶意软件感染进行清除的工作 防间谍软件 阻挡间谍软件随同互联网 Web 和电子邮件流量进入网络 不必再将 IT 支持资源用于成本高昂的间谍软件删除工作 并 可通过在网关阻挡间谍软件而提高员工生产率 防垃圾邮件 有效阻挡垃圾邮件 且误报率极低 有助于保持电子邮 件通信的高效性 使得与客户 厂商和合作伙伴的联系不受 干扰 防泄密 防止伪装身份 并对泄密攻击进行根源查找 因此可防 止通常会导致经济损失的 员工无意中泄漏公司或个人信息 的现象 从 TrendLabs 自 动更新 获得业界最庞大的防病毒 间谍软件和垃圾邮件专家团 队之一的支持 全天候工作以确保您的解决方案可自动提供 最新防御功能 集中管理 通过一个可远程访问的 Web 控制台和自动更新功能 实 现 即设即忘 式管理 缩短部署时间 减少投入和重复性 的 IT 支持成本 为 Web 访问 邮 件和文件传输提 供实时保护 即使已对公司电子邮件进行了保护 但许多员工仍会通 过公司 PC 或笔记本电脑访问他们的私人邮箱 从而为互联网 炸弹威胁带来了另一个入点 员工也有可能直接下载被感染 的程序或文件 在互联网网关对所有 Web 流量进行的实时保 护可大大减少这一常被忽略的安全易损点 利用类别 排程 和缓存提供的全 面 URL 过滤功能 URL 过滤可有效阻拦员工访问不适当的或与工作无关的 Web 站点 从而控制员工对于互联网的使用 籍此提高员工的 生产率 并减少因访问了不应访问的 Web 内容而承担法律责 任的机会 电子邮件内容过 滤 电子邮件过滤减少了因收到通过电子邮件传输的攻击信 息而承担法律责任的机会 且有助于符合法律法规 可帮助 机构达到 Graham Leach Bliley 和数据保护法案等的要求 五 思科安全五 思科安全 MARSMARS 5 15 1 概述概述 思科安全监控 分析和响应系统 思科安全 MARS 是一款基于设备的全功 能解决方案 可提供针对您现有安全部署的 前所未有的了解和控制能力 思 科安全 MARS 是思科安全管理生命周期的一个关键组件 可帮助您的安全和网络 机构识别 管理和抵御安全威胁 它可充分利用您现有的网络和安全投资 来 识别 隔离被攻击的组件和建议对其精确删除的方式 它也有助于保持内部策 略符合性 可作为整体法规符合性解决方案工具中一个不可缺少的部件 安全和网络管理员所面临的问题有 安全和网络信息过载 性能不佳的攻击和故障识别 优先级划分和响应 更高攻击先进程度 速度和修复成本 满足法规符合性和审查要求 较少的安全人员和预算 思科安全 MARS 可通过以下功能满足其需要 集成网络智能 进行网络异常事件和安全事件的先进关联 察看校正后的事件并自动执行调查 通过全面充分利用网络和安全基础设施来防御攻击 监控系统 网络和安全运行来帮助企业达到法规符合性 以最低 TCO 提供一个易于部署和使用的 可扩展的设备 思科安全 MARS 可将原始网络和安全数据转化为可操作的智能特性 以提交 正确有效的安全事件并保持法规符合性 这一易于使用的威胁防御设备系列可 利用已部署在您的基础设施中的网络和安全设备 使操作员可集中 检测 防 御和报告重要威胁 深度防御问题深度防御问题 信息安全已从互联网 周边防护发展为深度防御模式 在基础设施中部署 了多项措施来抵御安全漏洞和攻击 鉴于攻击频率日益增加 攻击复杂度各不 相同 以及攻击非常迅速 网络内部和周边间的界线逐渐模糊 因此这些措施 是非常必要的 为试图利用漏洞发动攻击 每天攻击者都会对网络接入点和系统进行数千 次探测 先进的混合攻击使用多种欺骗式攻击方法 以便从机构内外获得未授 权系统访问和控制 蠕虫 零日攻击 病毒 特洛伊木马 间谍软件和攻击工 具的普及可对最为坚固的基础设施构成挑战 导致防御作用时间缩短 出现 停运和昂贵的修复措施 除服务器和网络设备数量较多外 每个安全组件都提供独立的事件记录和 报警功能 以用于异常流量检测 威胁响应和分析 不幸的是 这就生成了大 量的干扰 报警 日志文件和误报 需操作员辨别或高效利用它们 但这样 的前提是有足够的时间和资源来分析和了解这些信息 此外 法规也要求严格 数据保密 更高运营安全性和进行持续审查 先进的安全信息管理先进的安全信息管理 安全信息 事件管理 SIM 产品从逻辑上看来避免了这一问题 因为您 无法对您不能测量出的信息加以管理 SIM 使操作员拥有了集中操作的能力 汇总安全事件和记录 通过有限关联和查询技术来分析数据 并针对独立事件 生成报警和报告 但是 许多第一代和第二代 SIM 不具备足够的网络智能和性能属性 无法 更精确地识别和确认关联事件 更好地指出攻击路径 有效地消除威胁或应对 高事件负荷 思科系统公司通过一个可扩展的企业威胁防御设备系列 解决了这些安全 问题 弥补了管理的不足 思科安全 MARS 提供了一个易于部署和使用 经济有 效 性能出众的安全命令和控制解决方案 对您的网络和安全基础设施投资构 成补充 思科安全 MARS 是一个性能出众的可扩展威胁防御设备系列 通过结合 网络智能 ContextCorrelationTM SureVectorTM 分析和 AutoMitigateTM 功 能 来使公司能作好准备 识别 管理和消除网络攻击并保持法规符合性 从 而增强已部署的网络设备和安全措施 5 25 2 思科安全思科安全 MARSMARS 的主要特性和优势的主要特性和优势 网络智能事件汇总和性能处理网络智能事件汇总和性能处理 思科安全 MARS 了解路由器 交换机和防火墙的拓扑和设备配置 以及网络 流量配置 实现了网络智能 通过该系统的集成网络发现功能 可构建一个包 括设备配置和当前安全策略的拓扑图 使思科安全 MARS 能对您网络中的分组流 建模 因为此设备不在内部运行 极少使用现有软件代理 所以对网络或系统 性能的影响极小 这一设备集中汇总了来自各种常用网络设备 如路由器和交换机 安全 设备和应用 如防火墙 入侵检测 漏洞扫描器和防病毒软件 主机 如 Windows Solaris 和 Linux 系统日志 应用 如数据库 Web 服务器和验证 服务器 以及网络流量 如 Cisco NetFlow 的日志和事件 ContextCorrelationTM 在接收到事件和数据时 可针对网络拓扑 所发现 的设备配置 相同的源和目的地应用 跨 NAT 边界 和类似的攻击类型 来对 信息进行标准化 相似的事件会进行实时分组 随后对其运用由系统和用户定 义的关联规则 来识别事故 系统配备了全面的预定义规则 Protego 会经常 更新这些规则 它们能识别大多数混合攻击 零日攻击和蠕虫 一个图形化规 则定义框架简化了用户为任何应用创建定制规则的过程 ContextCorrelation 大大减少了原始事件数据 实现了响应优先级划分并可最大限度地发挥所部署 的措施的作用 高性能汇总和整合 思科安全 MARS 解决方案可获取数千个原始事件 高效 地对事件分类 实现前所未有的数据减少 并压缩这些信息以进行归档 管理 大量安全事件需要一个安全 稳定的集中记录平台 思科安全 MARS 设备可安全 地优化 接收极其大量的事件流量 每秒超过 10000 个事件或每秒超过 30 万 个 NetFlow 事件 通过即将荣获专利的 Protego 内部处理逻辑和采用内嵌 Oracle 这一切成为可能 所有数据库功能和调整都对用户透明 板载存储并 可将历史数据档案持续压缩到 NFS 备用存储设备的功能 使思科安全 MARS 成为 一个强大的安全日志 事件汇总解决方案 事件查看和有效防御事件查看和有效防御 思科安全 MARS 有助于加速和简化威胁识别 调查 校正和防御的过程 安 全人员通常面临着所提交的事件需要耗时的分析才能解决问题和进行修复的情 况 思科安全 MARS 具有一个功能强大的交互式安全管理控制台 操作员 GUI 提 供了一个由实时热点 事故 攻击路径和具体调查组成的拓扑图 可使用户完 全了解事件 立即确认有效威胁 SureVectorTM 分析事件进程等过程 通过评估直至终端 MAC 地址的整个攻 击路径 来确定威胁是否有效或是否已进行了防御 这一自动过程是由分析防 火墙和入侵防御应用等设备记录 分析第三方漏洞评估数据 以及籍由思科安 全 MARS 终端扫描来消除误报而完成的 用户可快速 精确地调整系统 来进一 步减少误报 所有安全计划的最终目标是保持系统在线并正常运作 即防御安全违背 抑制事件并进行修复 凭借思科安全 MARS 操作员可迅速了解攻击中涉及的所 有组件 这可具体到受破坏的系统 MAC 地址 AutoMitigateTM 功能可识别攻击 路径上的阻塞点设备 并自动提供用户可用以防御威胁的适当设备命令 通过 充分利用基础设施 可快速 准确地防御和抑制攻击 实时调查和法规符合性报告实时调查和法规符合性报告 思科安全 MARS 具有一个易于使用的分析框架 简化了传统的安全工作流程 在日常运作和特殊审查时实现了自动的案例分配 调查 提交 通知和说明 它可图形化地重现攻击并检索所存储的事件数据 来分析以前的事件 此系统 完全支持临时查询 可进行实时和持续数据采集 思科安全 MARS 提供大量的预定义报告 来满足运营需要 有助于达到法规 符合性要求 包括 Sarbox GLBA HTPPA FISMA 和 Basel II 一个直观的报 告生成器可以修改 80 多种标准报告或生成新报告 以一种无限制的方式 用数 据 趋势和图表格式构建安全措施和修复计划 事件和网络活动 安全状态和 审查 以及部门报告 此系统也能提供批报告和电子邮件报告 迅速部署和可扩展管理迅速部署和可扩展管理 思科安全 MARS 置于一个 TCP IP 网络上 可发送和接收系统日志 SNMP 捕 获 并通过标准安全协议或厂商特定协议 与已部署的网络和安全设备建立安 全连接 只需将其插入网络即可 安装和部署思科安全 MARS 时无需其他硬件 操作系统补丁 许可或冗长的专业服务部署过程 您只需配置您的日志源 指 向 MARS 设备 并通过基于 Web 的 GUI 定义任意网络和数据源 该设备由一个安全 基于 Web 的界面集中管理 它支持基于角色的管理 可选思科安全 MARS GC 设备集中了广泛的安全操作 可提供整个企业的单一视 图 分发访问权限 配置 更新 定制规则和报告模板 并将复杂的调查与本 地处理的加速查询和报告相结合 因为本地思科安全 MARS 设备可在整个企业中执行查询和规则 因此能高效 地获得整合结果 快速 集中地在思科安全 MARS GC 中进行分析 这一可扩展 架构提供了一个附加的分布处理和存储层 因此可实现更为经济有效的部署和 更高可管理性 满足地理位置分散的大型机构的需求 基于动态连接的关联基于动态连接的关联 包括 NetFlow 的异常流量检测 基于行为和基于规则的事件关联 全面的内置规则和用户定义的规则 自动 NAT 标准化 拓扑搜索拓扑搜索 第三层和第二层 路由器 交换机 防火墙 网络 IDS 刀片和设备 手动和事先安排的搜索 SSH SNMP Telnet 和特定设备通信 漏洞分析漏洞分析 由事件触发 基于目标网络和主机的识别 交换机 路由器 防火墙和 NAT 配置分析 自动漏洞 VA 扫描器数据获取 自动和可由用户调整的误报分析 事件分析和响应事件分析和响应 个性化安全事件管理控制台 基于连接的事件整合 配有全规则上下文 图形化攻击路径显示 带具体调查结果 攻击路径设备简况 带终端 MAC 识别 图形化的具体顺序攻击模式显示 事件细节 规则 原始事件 CVE 和防御选项 立即事件调查和误报确定 GUI 规则定义支持定制规则和关键字分析 事件提交 带基于用户的 执行 工作列表 通知 电子邮件 寻呼机 系统日志 SNMP 查询和报告查询和报告 GUI 支持大量缺省查询和定制查询 80 多种常用报告 管理 运营和法规 直观的报告生成可产生无限的定制报告 数据 表格和趋势格式支持 HTML 和 CSV 输出 实时 批 模板和电子邮件转发报告系统 管理管理 Web 界面 HTTPS 基于角色的管理 有预定义权限 多个思科安全 MARS 的思科安全 MARS GC Global Controller 层次化管理 自动进行经过验证的更新 设备支持 新规则和特性 持续地将原始数据和事件档案压缩到离线 NFS 存储中 六 网络准入控制网络准入控制 NAC NAC 6 16 1 概述概述 病毒 蠕虫和间谍软件等新兴网络安全威胁继续损害客户利益并使机构损 失大量的金钱 生产率和机会 与此同时 移动计算的普及进一步加剧了威胁 移动用户能够从家里或公共热点连接互联网或办公室网络 常在无意中轻易 地感染病毒并将其带进企业环境 进而感染网络 网络准入控制 NAC 进行了专门设计 可确保为访问网络资源的所有终端 设备 如 PC 笔记本电脑 服务器 智能电话或 PDA 等 提供足够保护 以防御 网络安全威胁 作为著名防病毒 安全性和管理产品制造商共同参与的市场领 先的计划 NAC 引起了媒体 分析公司及各规模机构的广泛关注 本文将解释作为基于策略的安全战略的一部分 NAC 将发挥怎样的关键作 用 同时描述并定义可用的 NAC 方法 6 26 2 NACNAC 的优势的优势 据 2005 CSI FBI 安全报告称 虽然安全技术多年来一直在发展且安全技术 的实施更是耗资数百万美元 但病毒 蠕虫 间谍软件和其他形式的恶意软件 仍然是各机构现在面临的主要问题 机构每年遭遇的大量安全事故造成系统中 断 收入损失 数据损坏或毁坏以及生产率降低等问题 给机构带来了巨大的 经济影响 显然 仅凭传统的安全解决方案无法解决这些问题 思科系统公司 开发 出了将领先的防病毒 安全和管理解决方案结合在一起的全面的安全解决方案 以确保网络环境中的所有设备都符合安全策略 NAC 允许您分析并控制试图访 问网络的所有设备 通过确保每个终端设备都符合企业安全策略 例如运行最相 关的 最先进的安全保护措施 机构可大幅度减少甚至是消除作为常见感染源 或危害网络的终端设备的数量 大幅度提高网络安全性大幅度提高网络安全性 虽然大多数机构都使用身份管理及验证 授权和记帐 AAA 机制来验证用 户并为其分配网络访问权限 但这些对验证用户终端设备的安全状况几乎不起 任何作用 如果不通过准确方法来评估设备 状况 即便是最值得信赖的用户 也有可能在无意间通过受感染的设备或未得到适当保护的设备 将网络中所有 用户暴露在巨大风险之中 NAC 是构建在思科系统公司 领导的行业计划之上的一系列技术和解决方案 NAC 使用网络基础设施对试图访问网络计算资源的所有设备执行安全策略检查 从而限制病毒 蠕虫和间谍软件等新兴安全威胁损害网络安全性 实施 NAC 的 客户能够仅允许遵守安全策略的可信终端设备 PC 服务器及 PDA 等 访问网络 并控制不符合策略或不可管理的设备访问网络 NAC 设计集成在网络基础设施之中 因此是独一无二的 那么 为何要在网络 上 而不是其他位置 实施策略符合性和验证战略呢 1 1 机构感兴趣或关心的每个比特的数据都通过网络传输 2 2 机构感兴趣或关系的每个设备都与相同的网络相连接 3 3 对网络实施准入控制使机构能够部署尽量广泛的安全解决方案 包含尽 可能多的网络设备 4 4 这个战略利用机构的现有基础设施 安全性和管理部署 因此最大限度 地降低了 IT 开销 通过运行 NAC 只要终端设备试图连接网络 网络访问设备 LAN WAN 无 线或远程访问设备 都将自动申请已安装的客户端或评估工具提供终端设备的安 全资料 随后将这些资料信息与网络安全策略进行比较 并根据设备对这个策 略的符合水平来决定如何处理网络访问请求 网络可以简单地准许或拒绝访问 也可通过将设备重新定向到某个网段来限制网络访问 从而避免暴露给潜在的 安全漏洞 此外 网络还能隔离的设备 它将不符合策略的设备重新定向到修 补服务器中 以便通过组件更新使设备达到策略符合水平 NAC 执行的某些安全策略符合检查包括 判断设备是否运行操作系统的授权版本 通过检查来查看操作系统是否安装了适当补丁 或完成了最新 的热修复 判断设备是否安装了防病毒软件以及是否带有最新的系列签名 文件 确保已打开并正在运行防病毒技术 判断是否已安装并正确配置了个人防火墙 入侵防御或其他桌 面系统安全软件 检查设备的企业镜像是否已被修改或篡改 NAC 随后根据上述问题的答案做出基于策略的明智的网络准入决策 实施实施 NACNAC 解决方案的某些优势包括 解决方案的某些优势包括 1 1 帮助确保所有的用户网络设备都符合安全策略 从而大幅度提高网络的 安全性 不受规模和复杂性的影响 通过积极抵御蠕虫 病毒 间谍软件和恶 意软件的攻击 机构可将注意力放在主动防御上 而不是被动响应 2 2 通过著名制造商的广泛部署与集成来扩展现有思科网络及防病毒 安全 性和管理软件的价值 3 3 检测并控制试图连接网络的所有设备 不受其访问方法的影响 如路由 器 交换机 无线 VPN 和拨号等 从而提高企业永续性和可扩展性 4 4 防止不符合策略和不可管理的终端设备影响网络可用性或用户生产率 5 5 降低与识别和修复不符合策略的 不可管理的和受感染的系统相关的运 行成本 NACNAC 实施选项实施选项 思科同时提供基于产品和架构的 NAC 框架方法 以满足任何机构的功能和 运行要求 无论是简单的安全策略要求 还是涉及到大量安全供应商的 与企 业桌面系统管理解决方案相关的 复杂的安全实施要求 NAC 产品 Cisco Clean Access 通过自带的终端评估 策略管理和修补 服务支持快速部署 此外 NAC 框架还将智能网络基础设施与 50 多家著名防病 毒产品制造商提供的解决方案以及其他安全和管理软件解决方案集成在一起 NACNAC 产品产品 通过 Cisco Clean Access 产品系列提供的 NAC 产品 利用自带的终端评估 策略管理和修补服务支持快速部署 这种可快速部署的 一体化解决方案 技 术可自动检测 隔离并清洁试图访问网络的已感染终端或易受攻击的有线或无 线终端 Cisco Clean Access 提供三种关键的保护功能 在验证授权点识别用户 用户设备及其在网络中的作用 使用扫描和分析技术评估终端的安全状态 或使用轻型代理进 行更深入的状态评估 以检查安全漏洞 通过阻止 隔离和修复不符合策略的终端等方法在网络中执行 安全策略 Cisco Clean Access 还提供以下实施优势 可扩展性可扩展性 Cisco Clean Access 可直接部署 用于满足网络准 入需求 同时设计并评估 NAC 框架 这是因为 Cisco Clean Access 组件 可集成到更广泛的 NAC 框架架构中 快速部署快速部署 Cisco Clean Access 是现成的 紧缩型 套装解 决方案 针对防病毒 防间谍软件和 Microsoft 更新提供预装支持 灵活性灵活性 Cisco Clean Access 支持运行多个桌面操作系统的混 合网络基础设施 最适合部署 Cisco Clean Access 的网络包含以下特征 非 802 1x LAN 环境 无线 分支 远程或简单的 LAN 环境 集中的 IT 环境和管理 有不可管理的计算机需访问网络 如客人 承包商或学生 混合 多厂商 网络基础设施 NACNAC 框架解决方案框架解决方案 NAC 也可作为基于架构的框架解决方案提供 能同时利用现有的思科网络 技术库和其他制造商提供的安全性和管理解决方案部署 NAC 框架解决方案提供以下优势 可评估使用所有访问方法 包括 LAN 无线 远程访问和 WAN 的所 有终端 来进行全面控制 终端可视性和控制确保可管理的 不可管理的 访客和恶意设 备均符合企业安全策略 终端控制的全程支持可自动执行终端的评估 验证 授权和修 补流程 将集中策略管理 智能网络设备及网络服务与几十家著名防病 毒 安全和管理供应商提供的解决方案结合在一起 以提供精确的准入 控制管理 基于标准的 灵活的 API 允许多个第三方参与