1© 2005 Cisco Systems, Inc. All rights reserved.
ASA 5500系列自适应安全设备
----更加有效地提供网络保护的自适应威胁防御解决
222© 2005 思科系统公司。版权所有。.
主
• 变革的网络所带来的安全问题
• 增强安全有效性
• 降低网络保护成本
• 提供未来保护
• ASA的销售策略
333© 2005 思科系统公司。版权所有。.
网络的发展
使世界各地的所有应用、所有人都相互连接在一起
财务财务
ERP MRP
人力资源人力资源
销售销售
销售自动化
客户客户
部门应用
可用吞吐量
远程办公室
多数通过Web/
内部网可达
人力资源应用
制造制造
合作伙伴合作伙伴
远程员工远程员工
总部总部
444© 2005 思科系统公司。版权所有。.
当今客户面临的主要问题
• 威胁
• 失窃
• 损失
• 响应时间
应用与服务优化
• 支持设施
• 认知
• 应用管理
• 性能/优化
• 永续性
简化
• 扩展
• 成本
• 人员
• 集成与系统管理
安全安全
555© 2005 思科系统公司。版权所有。.
新兴的安全问题
快速变化的安全威胁可能会绕过或突破传统安全防线
服务和管理解决方案的增多将使运营成本提高
安全服务可能会干扰网络流量、访问和应用
666© 2005 思科系统公司。版权所有。.
安全网络的新定义
• 没有100%的安全,威胁永远存在,关键在于采取的措施
• 安全的网络是:威胁出现,及时发现,及时响应,在网络失
控之前,采用各种有效手段将安全威胁控制在可控范围内
现在需要现在需要
被动响应 自动,主动响应
过去过去
分立式 集成的多层防御
产品支持 系统级服务
777© 2005 思科系统公司。版权所有。.
系统安全系统安全安全创新安全创新
•• 端点安全端点安全
•• 设备安全设备安全
•• 动态连接动态连接
•• 动态通讯动态通讯
•• 自动响应自动响应
安全实现安全实现
•• 安全连接安全连接
•• 威胁防御威胁防御
•• 信任识别信任识别
••
安全管理
An initiative to dramatically
improve the network’s ability
to identify, prevent, and
adapt to threats
An initiative to dramatically
improve the network’s ability
to identify, prevent, and
adapt to threats
思科自防御网络战略
具有
网络识别、防止和适应
威胁的能力
•• 网络准入控制网络准入控制
•• 安全运营管理安全运营管理
•• 安全自动响应安全自动响应
•• 安全专业服务安全专业服务
888© 2005 思科系统公司。版权所有。.
思科安全战略的发展
思科自防御网络
SDN SDN 第一阶段第一阶段 ““集成式安全性集成式安全性””
• 使每个网络组件成为一个防御点
路由器,交换机、设备,端点
• 安全连接(V3PN,DMVPN)、威胁防御、信任和身份识别
• 网络基础保护
SDN SDN 第三阶段第三阶段 ““自适应威胁防御自适应威胁防御””
• 安全服务以及网络智能之间的相互感知
• 提高安全效能,实现主动响应
• 整合服务,提高运营效率
• 通过应用识别和检查实现安全的应用供应/优化
SDN SDN 第二阶段第二阶段 ““协作性安全系统协作性安全系统””
• 安全成为网络级系统:端点+网络+策略
• 多种服务和设备相互协调,利用主动管理抵御攻击
• NAC, IBNS, SWAN
• 多种安全设备
• 独立管理软件
• 多种安全设备
• 独立管理软件
端点产品端点产品
999© 2005 思科系统公司。版权所有。.
VPN 集中器
思科防火墙
Cisco
IDS Sensors
领先的安全技术
最出色的安全方案
领先的安全技术
最出色的安全方案
Cisco IOS VPN
领先的网络技术
20 年路由与交换领域技术经验
领先的网络技术
20 年路由与交换领域技术经验
Cisco ISR
Cisco Catalyst
网络基础设施保护
信任与身份验证 安全的连接
自防御网络第一阶段
---集成式安全
保护网络基础设施免遭攻击控制平面监管, NBAR, AutoSecure
利用网络智能性地管理端点
NAC, 802.1x
安全和可扩展的网络连接
Secure Voice (sRTP, V3PN),
DMVPN, MPLS & IPSec
威胁防御
预防并抵御网络攻击和威胁,如
蠕虫
入侵防范, Netflow, App
Firewall, OPS
利用集成式安全方案保护利用集成式安全方案保护IPIP网络网络
从交换机、路由器到从交换机、路由器到IPCIPC、存储、存储
101010© 2005 思科系统公司。版权所有。.
自防御网络第二阶段
----思科网络准入控制(NAC)
桌面
• 给予访问权
• 拒绝访问
• 隔离
对客户端进行身份验证与
策略检查
隔离 VLAN
修复NAC 架构
公司网
客户端试图建立连接
SiSi
111111© 2005 思科系统公司。版权所有。.
访问控制,分组检查
防火墙服务
访问控制,分组检查
防火墙服务 应用智能,内容检查,病毒防御IPS & NW-AV 服务
应用智能,内容检查,病毒防御
IPS & NW-AV 服务
身份识别,虚拟化,QoS分段,
流量可视化
网络智能
身份识别,虚拟化,QoS分段,
流量可视化
网络智能
自防御网络第三阶段
----自适应威胁防御
PIXPIX
CSACSA
NACNAC
Quarantine VLANQuarantine VLAN
Cisco Router Cisco Router
CSACSA
VPN AccessVPN Access
VPN
Cisco DDoSCisco DDoS
CSACSA
Cisco Router Cisco Router
Catalyst Catalyst
CatalystCatalyst
Identity-Based
Networking
Identity-Based
Networking
Cisco IPSCisco IPS
应用检查,使用实施,Web控制
应用安全性
应用检查,使用实施,应用检查,使用实施,WebWeb控制控制
应用安全性
坏件/内容防御,异常检测
Anti-X防御
坏件坏件//内容防御,异常检测内容防御,异常检测
Anti-X防御
流量/准入控制,主动响应
遏制和控制
流量流量//准入控制,主动响应准入控制,主动响应
遏制和控制
自防御网络自防御网络
121212© 2005 思科系统公司。版权所有。.
“自适应威胁防御”阶段中的产品
--ASA (Adaptive Security Appliance) 5500系列
降低部署和运营成本
平台
化,统一管理,网络感知
面向新威胁的技术可扩展性
专用自适应识别和防御体系结构支持无与伦比的可扩展性
和策略控制
Cisco ASA 5500 系列
提供自适应威胁防御和VPN解决方案
融合型自适应威胁防御和“洁净的VPN”服务
应用安全性,蠕虫/病毒消除,坏件保护和防威胁VPN
131313© 2005 思科系统公司。版权所有。.
ASA的诞生基于当前安全服务的问题
补充式防御,部署的局限性
IPS
服务
广泛攻击检测
精细分组检查
应用控制
动态响应
服务
访问控制服务
分组检查
协议核实
准确实施
高永续性
防火墙 网络AV
服务
病毒消除
间谍件、广告件、
坏件检测和控制
恶意移动代码消除
非法访问
进程滥用
端口扫描
畸形分组 应用误用DoS/攻击
已知攻击
受感染的流量
IPSec/SSL VPN
服务
SSL VPN
IPSec VPN
基于用户的安全性
基于组的管理
集群
通道流量
有限保护
多种分立服务 x 多个位置 = 安全性折衷多种分立服务多种分立服务 xx 多个位置多个位置 = = 安全性折衷安全性折衷
141414© 2005 思科系统公司。版权所有。.
Cisco ASA5510、5520和5540设备平台概述
• 通用系列,一个平台能够满足多种需求
– 企业、中型市场、中小企业和分支办公室部署
• 统一管理能够简化日常运营
– 对所有服务实施综合配置和监控
• 技术可扩展性有利于实现投资保护
– 根据需要提供FW、VPN、IPS和 NW-AV 安全服务
– 支持未来技术可扩展性——避免“全盘”升级
• 高性能:
– ASA 5510: 高达 300Mbps
– ASA 5520: 高达 450Mbps
– ASA 5540: 高达 650Mbps
• 扩展插槽可添加服务或I/O
• 四个集成式10/100/1000BaseT接口
• 专用带外管理接口
•• 高性能高性能::
–– ASA 5510: ASA 5510: 高达高达 300Mbps300Mbps
–– ASA 5520: ASA 5520: 高达高达 450Mbps450Mbps
–– ASA 5540: ASA 5540: 高达高达 650Mbps650Mbps
•• 扩展插槽可添加服务或扩展插槽可添加服务或I/OI/O
•• 四个集成式四个集成式10/100/1000BaseT10/100/1000BaseT接口接口
•• 专用带外管理接口专用带外管理接口
技术规格:
151515© 2005 思科系统公司。版权所有。.
When to Sell ASA?
““CLEAN VPNCLEAN VPN””
UTM, All-in-One,
Multifunction/Converged
Capture new markets
Blow the competitors away
PIX 515E
188 Mbps
PIX 525
330 Mbps
ASA as FW instead of PIX515E, PIX525
•Better price performance
•ASA = PIX7.0
•PIX515E + 525 = 74% APAC PIX revenue in FY05.
•Enhanced features of IPS, AV, SSLVPN, etc.
IPS 4215
80 Mbps
IPS 4240
250 Mbps
ASA as IPS instead of IPS4215, 4240
•Better price performance, upto 450 Mbps
•ASA = IPS 5.0
•Enhanced features of FW, VPN etc.
VPN 3005
200 IPSec
4 Mbps
50 SSL
VPN 3020
750 IPSec
50 Mbps
200 SSL
VPN 3030
1500 IPSec
50 Mbps
500 SSL
VPN 3060
5000 IPSec
100 Mbps
500 SSL
VPN 3080
10,000 IPSec
100 Mbps
500 SSL
ASA to replace VPN3K for all IPSec VPNs and
basic WebVPN. Use VPN3K only if full 4.7
SSLVPN is required.
•Better price performance (upto 5000 IPSec, 325Mbps, 2500
SSLVPN)
•ASA = VPN 4.1, (4.7 features planned in ASA 7.1 early CY06)
•Cluster with VPN3K for migration.
•Enhanced features of FW, IPS, AV, QoS, OSPF, etc.
161616© 2005 思科系统公司。版权所有。.
Cisco ASA 5510
Interfaces: Interfaces:
3 Fast Ethernet + 1 management port / 5 Fast Ethernet ports*3 Fast Ethernet + 1 management port / 5 Fast Ethernet ports*
* Upgrade available with Cisco ASA 5510 Security Plus License* Upgrade available with Cisco ASA 5510 Security Plus License
171717© 2005 思科系统公司。版权所有。.
Cisco ASA 5520/5540
Product Tour
Sleek, High Performance
1 Rack Unit (RU) Design
Sleek, High Performance
1 Rack Unit (RU) Design
Four 10/100/1000
Copper Gigabit Ports
Four 10/100/1000
Copper Gigabit Ports
One 10/100 Out of Band
Management Port*
One 10/100 Out of Band
Management Port*
One Expansion Slot for Add’l
Accelerated Services or I/O
One Expansion Slot for Add’l
Accelerated Services or I/O
Single Field Upgradeable
AC or DC Power Supply
Single Field Upgradeable
AC or DC Power Supply
Console and AUX PortsConsole and AUX Ports
Five Status LEDs (Power,
Status, Active, VPN, Flash)
Five Status LEDs (Power,
Status, Active, VPN, Flash)
Two USB 2.0 Ports for
Future Expansion (Credentials,
Failover, and more)
Two USB 2.0 Ports for
Future Expansion (Credentials,
Failover, and more)
Diskless Architecture for
High Reliability
Diskless Architecture for
High Reliability
Compact Flash for Software,
Config, and Log Storage
Compact Flash for Software,
Config, and Log Storage
181818© 2005 思科系统公司。版权所有。. 181818
Cisco ASA 5500 Series Bundles
Cisco ASA 5510
Base System (50 VPN Peers, 3 FE)
DC System (50 VPN Peers, 3 FE)
Security Plus System (150 VPN Peers, 5 FE, A/S HA)
System w/ AIP-SSM-10 (50 VPN Peers, 3 FE)
Cisco ASA 5520
Base System (300 VPN Peers, 4 GE + 1 FE)
DC System (300 VPN Peers, 4 GE + 1 FE)
System w/ AIP-SSM-10 (300 VPN Peers, 4 GE + 1 FE)
System w/ AIP-SSM-20 (300 VPN Peers, 4 GE + 1 FE)
Cisco ASA 5540
Base System (500 VPN Peers, 4 GE + 1 FE)
DC System (500 VPN Peers, 4 GE + 1 FE)
System w/ AIP-SSM-20 (500 VPN Peers, 4 GE + 1 FE)
191919© 2005 思科系统公司。版权所有。.
Cisco ASA 5500 Series SSM Positioning
• Solutions targeted to Small and
Medium Business and Remote
Office Enterprise
–Up to 1000 users
–Up to 120 Mbps
• Focuses on protecting clients;
Internet edge protection
• Stops network viruses, spyware /
adware / grayware, malicious files,
spam, phishing, and inappropriate
URLs / content
• Solutions targeted to Small and
Medium Business and Remote
Office Enterprise
–Up to 1000 users
–Up to 120 Mbps
• Focuses on protecting clients;
Internet edge protection
• Stops network viruses, spyware /
adware / grayware, malicious files,
spam, phishing, and inappropriate
URLs / content
• Solutions that scale from Medium
Business to Enterprise
–Large number of users
–Up to 450 Mbps
• Focuses on protecting servers;
critical asset protection
• Stops network worms, hacking
attempts, trojans, bots, zombies,
and covert channel
communication
• Solutions that scale from Medium
Business to Enterprise
–Large number of users
–Up to 450 Mbps
• Focuses on protecting servers;
critical asset protection
• Stops network worms, hacking
attempts, trojans, bots, zombies,
and covert channel
communication
IPS Edition
(AIP-SSM)
Anti-X Edition
(CSC-SSM)
202020© 2005 思科系统公司。版权所有。. 202020
Cisco Four-Port Gigabit Ethernet
Security Services Module (4GE SSM) Product Tour
High-Performance Module
Adds More I/O Capacity
Thumbscrews for Easy
Insertion and Removal
Four SFP Gigabit Ports for
Optical Connectivity
Four Copper 10/100/1000
for Simplified Deployment
Allows Customers to Choose
Either Copper or Optical for
Up to 4 Ports of Additional
Connectivity
Product ID: ASA-SSM-4GE=
List Price (NTE): $5,000
212121© 2005 思科系统公司。版权所有。. 212121
Cisco ASA Security Services Module (SSM) 10 & 20
Product Tour
High Performance Module
for Additional Services
High Performance Module
for Additional Services
Thumbscrews for Easy
Insertion and Removal
Thumbscrews for Easy
Insertion and Removal
Gigabit Ethernet Port for
Out-of-Band Management, etc.
Gigabit Ethernet Port for
Out-of-Band Management, etc.
Diskless (Flash-Based) Design
for Improved Reliability
Diskless (Flash-Based) Design
for Improved Reliability
Note: Cisco also plans to offer a
4-port copper/SFP I/O only
module in the future.
Advanced Inspection and Prevention Module
222222© 2005 思科系统公司。版权所有。.
Standard and Optional Features
Optional LicensesCSC-SSM Hardware Standard Licenses
User Upgrades
(Total Users)
Feature Upgrades
CSC-SSM-10 • 50-user license
• Antivirus, anti-
spyware, file
blocking
• 100 Users
• 250 Users
• 500 Users
Plus license–Adds
anti-spam, anti-
phishing, URL
blocking/filtering and
content control
CSC-SSM-20 • 500-user license
• Antivirus, anti-
spyware, file
blocking
• 750 Users
• 1000 Users
Plus license–Adds
anti-spam, anti-
phishing, URL
blocking/filtering and
content control
• Price includes first year of Trend Micro
subscription service for pattern and engine
updates
• Price does NOT include SMARTnet® which
must be purchased separately
232323© 2005 思科系统公司。版权所有。.
自适应识别和防御(AIM)体系结构
技术可扩展性可消除当前及未来威胁
优点优点::
•• 为威胁防御提供最丰富的攻击检测服务为威胁防御提供最丰富的攻击检测服务
•• 能根据应用要求定制安全需求的高度可定制安全策略能根据应用要求定制安全需求的高度可定制安全策略
•• 性能和安全服务可扩展性性能和安全服务可扩展性
“洁净的 VPN” 远程访
问连接
“洁净的VPN” 站点到
站点连接 网络遏制和控制
自适应分类自适应分类
和策略框架和策略框架
应用检查和控制
Anti-X防御
智能联网、高可用性和可扩展性服务
安全服务扩展
自
适
应
威
胁
防
御
自
适
应
威
胁
防
御
统
一
安
全
访
问
统
一
安
全
访
问
242424© 2005 思科系统公司。版权所有。.
公共互联网
特定网络访问特定网络访问
“全球供应数据库策略”
应用:
坏件防御引擎
防病毒引擎
Oracle 检查引擎
QoS
ASA模块化策略框架
提供服务级策略控制
ASA 5500
周边
移动用户
远程接入 VPN
供应合作伙伴
外部网VPN
全面网络访问全面网络访问, VPN , VPN 保护保护
“全球远程接入VPN策略”
应用:
坏件防御引擎
防病毒引擎
SoftPhone 检查
IPSec 协议核实
ASA 5500
内部
财务用户
LAN
机构边界机构边界
“全球财务用户策略”
应用:
防病毒引擎
Microsoft 网络检查
NFS 服务检查
252525© 2005 思科系统公司。版权所有。. 252525
丰富的特性,精细的定制,简单配置
ASA 模块化策略框架
• 降低了配置复杂性,同时增加了特性种类
– 在一个策略定义中支持多种服务特性——检查引擎策略、QoS策略、连接策略等
• 高度精细的安全实施和流量处理
– 能够以流量和用户为单位应用各种服务,为每股流量提供个性化设置
HTTP
TCP
等
检查引擎
LLQ
监管
QoS
服务
最大连接数
归一化
超时
连接服务
第2步:
应用服务
第1步:
识别流量
利用“一次性”配置,可以借助模块化服务引擎以应用和用户为单位支持
精细特性定制
利用利用““一次性一次性””配置,可以借助模块化服务引擎以应用和用户为单位支持配置,可以借助模块化服务引擎以应用和用户为单位支持
精细特性定制精细特性定制
262626© 2005 思科系统公司。版权所有。.
Cisco ASA 5500 系列
将经过市场验证的强大技术融合在一起
防火墙技术
Cisco PIX
IPS 技术
Cisco IPS
VPN 技术
Cisco VPN 3000
““洁净的洁净的VPNVPN””
连通性连通性
应用检查,使用实施,应用检查,使用实施,WebWeb
控制控制
应用安全性应用安全性
坏件坏件//内容防御内容防御, , 异常检测异常检测
AntiAnti--X X 防御防御
流量流量//准入控制,主动响应准入控制,主动响应
遏制与控制遏制与控制
网络智能
思科网络服务
自适应威胁防御自适应威胁防御, , ““清洁清洁VPNVPN””经过市场验证的技术经过市场验证的技术
Cisco IPS, Trend Micro
NW-AV 技术
272727© 2005 思科系统公司。版权所有。.
Cisco ASA 5500系列: 广度与深度
业界第一! 可以扩展,功能强大,特性丰富
应用安全性应用安全性应用安全性 •多层分组和流量
•高级应用和协议检查服务
•网络应用控制
•高级VoIP/多媒体安全性
•多层分组和流量分析
•高级应用和协议检查服务
•网络应用控制
•高级VoIP/多媒体安全性
Anti-X 防御AntiAnti--X X 防御防御 •基于网络的蠕虫和病毒消除
•间谍件、广告件、坏件检测和控制
•利用准确预防技术实施可靠的主动响应
•箱内事件关联和主动响应
•基于网络的蠕虫和病毒消除
•间谍件、广告件、坏件检测和控制
•利用准确预防技术实施可靠的主动响应
•箱内事件关联和主动响应
•第3 层和第4层访问控制服务
•状态化包检查
•灵活的用户、网络和应用策略组合
•第3 层和第4层访问控制服务
•状态化包检查
•灵活的用户、网络和应用策略组合
遏制与控制遏制与控制遏制与控制
•可自动更新的IPSec 远程访问
•灵活、安全的SSL VPN服务
•QoS/路由型站点到站点VPN
•预防VPN威胁的集成式威胁防护
•可自动更新的IPSec 远程访问
•灵活、安全的SSL VPN服务
•QoS/路由型站点到站点VPN
•预防VPN威胁的集成式威胁防护
““洁净的洁净的VPNVPN””
思科网络服务智能思科网络服务智能思科网络服务智能
•低延迟支持
•支持多种拓扑
•组播支持
•低延迟支持
•支持多种拓扑
•组播支持
•服务虚拟化
•网络分段和分区
•路由、永续性、负载平衡
•服务虚拟化
•网络分段和分区
•路由、永续性、负载平衡
282828© 2005 思科系统公司。版权所有。.
IPS
Services
Broad Attack
Detection
Granular Packet
Inspection
Worm Mitigation
Dynamic Response
Network AV
Services
Worm/ Virus
Outbreak Prevention
Network Anti-Virus
Services
Quarantine
Services
Services
Access Control
Services
Packet Inspection
Protocol Validation
Accurate
Enforcement
Robust Resiliency
Firewall
ASA 5500: 融合的安全服务
提供全面、可部署、可管理的保护
为每个分组和每股流实施统一保护
控制用户访问
防止攻击
防止应用滥用
保证协议完整性
识别/阻止蠕虫、病毒和坏件
动态防止发作
自适应威胁防御 “洁净的 VPN”
保护VPN“带菌者”
状态化流量检查
控制通过VPN使用的应用
识别/阻止蠕虫、病毒和坏件
全面了解服务情况全面了解服务情况
主动防御主动防御
准确实施准确实施
采用简洁的体系结构采用简洁的体系结构
统一的网络安全统一的网络安全
““CLEAN VPNCLEAN VPN””
实施全面可管理的网络级威胁防御
主动阻止攻击传播
实施实施全面全面可管理的可管理的网络级威胁防御网络级威胁防御
主动阻止攻击传播主动阻止攻击传播
292929© 2005 思科系统公司。版权所有。.
公共互联网
ASA 5500: 有效阻止蠕虫/病毒
通过服务融合实现全面保护
利用Anti-X防御特性阻止蠕虫和病毒……而且不会降低性能!
MS Blaster
Slammer
Code Red
NIMDA
W32.明天的威胁
ASA 5500
预防发作预防发作::
病毒检测
动态发作更新
全面分析全面分析::
保持清醒
应用层检查
协议异常检测
启发式分析
流量归一化
准确实施:准确实施:
实时关联
风险评佑
抵御攻击
进程取消与重设
303030© 2005 思科系统公司。版权所有。.
公共互联网
ASA 5500: 网络的“坏件”消除
利用服务融合实现全面保护
利用Anti-X防御特性主动控制和遏制间谍件、广告件及其它恶意代码
用户行为用户行为::
Web冲浪
电子邮件附件
对等文件共享
“免费” 软件下载
互联网供应互联网供应::
间谍件
广告件
击键记录器
特洛伊木马软件
ASA 5500 ASA 5500 可消除可消除::
过滤间谍件通信
控制保密数据传输
阻止特洛伊木马软件
ASA 5500
313131© 2005 思科系统公司。版权所有。.
ASA 5500: 应用检查和控制
利用服务融合实现全面保护
利用应用安全特性实现检查和控制:利用应用安全特性实现检查和控制:
状态化第3-7层检查
应用和访问控制
动态协议说明符更新
服务质量
从一开始就着眼于对应用层实施可靠的动态控制
业务流量
对等,通道应用
公共互联网
能够控制能够控制::
对等: Kazaa 和Gnutella
即时消息传送
HTTP 和80号端口
通道化应用
IP话音
其它!
ASA 5500
323232© 2005 思科系统公司。版权所有。.
公共互联网
接入情况接入情况::
站点到站点连接
可管理桌面
员工桌面
咖啡厅接入
完全或有限网络访问
合作伙伴接入
适合任何部署环境的VPN服务
具有威胁防御功能的强大IPSec和SSL VPN服务
从同一个设备和管理基础设备从任意位置向任意用户提供安全接入
ASA 5500客户经理
移动用户
分支办公室
站点到站点
员工家里
不受管理的桌面
供应合作伙伴
外部网
融合的融合的IPSecIPSec、、WebVPNWebVPN、防火墙、、防火墙、IPS:IPS:
检查/控制VPN进程
统一RA VPN 设备基础设备
统一用户管理
统一永续性和负载平衡
站点到站点流量QoS
333333© 2005 思科系统公司。版权所有。.
Cisco ASA 5500系列
提供与位置相关的全面保护
SMB
部署
企业部署 关键信息保护
•防火墙
•远程接入和站点到站点
VPN
•网络防病毒
•防蠕虫
•防火墙
•远程接入和站点到站点
VPN
•网络防病毒
•防蠕虫
•防火墙
•传输的安全
•网络防病毒
•防蠕虫
通用服务
根据位置定
制的服务
•基于文件的 AV
•Anti-X技术
垃圾邮件、Phishing等
•通过URL过滤单设备部署
•集成式设备管理
•入侵防御
•Anti-X技术
•第80号端口控制
•内部防火墙
•扩展
•统一多设备多功能管理
•应用控制
•加密流量检查
•Web服务安全性
•消息传送安全性
343434© 2005 思科系统公司。版权所有。.
主题
• 变革的网络所带来的安全问题
• 增强安全有效性
• 降低网络保护成本
• 提供未来保护
• ASA的销售策略
353535© 2005 思科系统公司。版权所有。.
部署和运营成本
设备和人员成本随复杂程度的提高而增加
服务应用
• 分支:防火墙,VPN
• 总部周边:防火墙,IPS,NW-
AV,VPN
• 数据中心: 防火墙, IPS
• 总部内部: 防火墙, IPS
成本组成
• 购买、配置、维护并管理4种
设备
• 多个数据报告来源
• 许多设备都会影响网络访问和
应用
• 可能遭受攻击的服务缺口……
弥补代价越来越高
企业分支
远程员工
企业总部
363636© 2005 思科系统公司。版权所有。.
SP 管理的服
务
中小企业
降低部署和运营成本
平台标准化和统一管理
企业分支
S-S VPN,网络
防毒,防蠕虫
提供多种服务和强
有力的管理
单设备安全解决方
案: FW、IPS、 AV
、 SSL和 IPSec
关键资源保
护
边缘防火墙和流量
微观检查
远程访问和外部
网
企业总部
内部防火墙与威胁防御
© 2004 Cisco Systems, Inc. All rights reserved. 363636
远程人员
全服务 IPSec & SSL
VPN
373737© 2005 思科系统公司。版权所有。.
SP Managed
Service
Small and
Medium
Business
降低部署和运营成本
平台标准化和统一管理
Enterprise
Branch
S-S VPN, Network
Anti-Virus, and
Worm Protection
Multiple Service
Offerings and
Robust
Management
Single Device
Security Solution:
FW, IPS, AV, SSL,
and IPSec
Critical
Resource
Protection
Edge Firewalling
and Traffic Micro-
Inspection
Remote Access
and Extranet
Enterprise HQ
Internal Firewalling
and Threat Mitigation
© 2004 Cisco Systems, Inc. All rights reserved.ASA 5500 Intro 373737
Teleworker
Full Service IPSec &
SSL VPN
降低成本的途径:
• 用一个系统进行管理和监控
• 使用相同的操作平台,增强员工的熟悉感
• 简化故障排除和错误隔离
• 简化部署
• 简化员工培训
降低成本的途径:
• 通过加强保护降低弥补成本
• 减少需要管理的设备
• 在不降低性能的前提下根据需要增加
新服务
降低成本的途径:
• 统一管理、监控、供应
• 在不添置新设备的情况下增加新服务
• 简化员工培训
单平台,多用途
多功能安全设备 多种服务
383838© 2005 思科系统公司。版权所有。.
IPS
Services
Broad Attack
Detection
Granular Packet
Inspection
Worm Mitigation
Dynamic Response
Network AV
Services
Worm/ Virus
Outbreak Prevention
Network Anti-Virus
Services
Quarantine
Services
Services
Access Control
Services
Packet Inspection
Protocol Validation
Accurate
Enforcement
Robust Resiliency
Firewall
降低部署和运营成本
通过网络感知简化安全集成
为每个分组和数据流提供统一防护
控制用户访问
防攻击
防应用滥用
保证协议完整性
发现/阻挡蠕虫、病毒和坏件
主动防止发作
自适应威胁防御 “洁净的VPN”
保护 VPN “带菌者”
状态化流量检查
控制通过VPN使用的应用
发现/阻挡蠕虫、病毒和坏件
思科网络服务智能思科网络服务智能思科网络服务智能
利用网络感知实现不间断安全性
支持低延迟
支持多种拓扑
组播支持
支持低延迟
支持多种拓扑
组播支持
服务虚拟化
网络分段和分区
路由和永续性
服务虚拟化
网络分段和分区
路由和永续性
393939© 2005 思科系统公司。版权所有。.
统一管理
为融合式服务提供单设备和多设备管理
• 基于Web的集成式设备管理
• 为所有设备服务提供全面配
置——防火墙、IPS、VPN、
NW-AV
• 集成式设备、状态和服务监控/
报告
• 适合设备少于10台的小型部署
• 基于Web的集成式设备管理
• 为所有设备服务提供全面配
置——防火墙、IPS、VPN、
NW-AV
• 集成式设备、状态和服务监控/
报告
• 适合设备少于10台的小型部署
• 基于策略的多设备、多功能、多
站点管理
• 支持混合平台环境(设备、路由
器和交换机)
• 多用户/部门更新控制和审计
• 适合设备数量多于100台的大型
部署
• 基于策略的多设备、多功能、多
站点管理
• 支持混合平台环境(设备、路由
器和交换机)
• 多用户/部门更新控制和审计
• 适合设备数量多于100台的大型
部署
通过融合式安全性降低管理复杂性通过融合式安全性降低管理复杂性
自适应安全设备管理器(ASDM) 思科安全管理套件
404040© 2005 思科系统公司。版权所有。.
主题
• 变革的网络所带来的安全问题
• 增强安全有效性
• 降低网络保护成本
• 提供未来保护
• ASA的销售策略
414141© 2005 思科系统公司。版权所有。.
ASA系列在思科自防御安全产品系列中的定位
NP结构高端防火墙
防火墙防火墙
PIX 501PIX 501 PIX 506EPIX 506E PIX 515EPIX 515E PIX 525PIX 525 PIX 535PIX 535
800800 18001800 28002800 38003800 7xxx7xxx
SPA安全状态评估SPA安全状态评估安全顾问服务安全顾问服务
800800 18001800 28002800 38003800 7xxx7xxx37003700
VPNVPN
CAT6KCAT6K
IDS/IPSIDS/IPS
IOS 入侵防护IOS 入侵防护网络入侵检测网络入侵检测 防火墙入侵检测防火墙入侵检测 CSA入侵防护CSA入侵防护CAT6K入侵检测CAT6K入侵检测
思科安全管理
体系
思科安全管理
体系
ISC安全业务管理ISC安全业务管理 VMS安全设备管理
VMS安全设
备管理 CSA主机安全防护管理
CSA主机安全防
护管理
ACS安全身份
认证及审计
ACS安全身份
认证及审计
CWSIM安全
信息管理
CWSIM安全
信息管理
Protego安全
威胁消除
Protego安全
威胁消除
网络业务安全网络业务安全 数据平面安全数据平面安全 控制平面安全控制平面安全管理平面安全管理平面安全 业务平面安全业务平面安全 基础网络安全最佳实践
基础网络安
全最佳实践
专业预防DDoS
攻击技术
专业预防DDoS
攻击技术专业的安全防护专业的安全防护
网络存储安全
保护技术
网络存储安全
保护技术业务控制网关业务控制网关
SNR安全网络优化设计SNR安全网络优化设计
Cisco
ASA 5520
Cisco
ASA 5540CiscoASA 5510
SMB and
middle Size
SMB and
middle Size
EnterpriseEnterprise Large EnterpriseLarge Enterprise
424242© 2005 思科系统公司。版权所有。.
ASA所面对的市场
防火墙防火墙
VPNVPN
IPSIPS
Network AVNetwork AV
SMB, SME Enterprise Large Enterprise SP
Cisco
ASA 5520
Cisco
ASA 5540
Cisco
ASA 5510Cisco
ASA 5510 with
AIP/SSM module
Cisco
ASA 5520 with
AIP/SSM module
Cisco
ASA 5540 with
AIP/SSM module
434343© 2005 思科系统公司。版权所有。.
ASA, PIX和ISR多业务路由器
NP结构高端防火墙
PIX 501 PIX 506E PIX 515E PIX 525 PIX 535
ISR 1841 ISR 2800 ISR 3800
ASA 5510 ASA 5520 ASA 5540
ISR 800 ISR 1800
444444© 2005 思科系统公司。版权所有。.
Cisco ASA、PIX、IPS 4200和 VPN 3000
除支持所有PIX、IPS和VPN 3000部署外,ASA还能提供其它功能:
应用 其它ASA服务:
• 全部IPS服务
• 防蠕虫
• 防病毒
• 深度分组检查
• SSL VPN
• VPN 集群
• 模块化服务插槽
• 全部IPS服务
• 防蠕虫
• 防病毒
• 深度分组检查
• SSL VPN
• VPN 集群
• 模块化服务插槽
• 面向典型PIX 515E和525环境的
ASA
• 将全部威胁防御扩展到典型的
SMB环境
• 在SOHO和大企业总部作为PIX
501、506E 和 535 的补充
• 面向典型PIX 515E和525环境的
ASA
• 将全部威胁防御扩展到典型的
SMB环境
• 在SOHO和大企业总部作为PIX
501、506E 和 535 的补充
ASA & PIX
• 全部防火墙服务
• 全部VPN服务
• 模块化服务插槽
• 全部防火墙服务
• 全部VPN服务
• 模块化服务插槽
• 注重防火墙和IPS融合的ASA
• IPS 4200的价格适合纯IPS部署
• 注重防火墙和IPS融合的ASA
• IPS 4200的价格适合纯IPS部署ASA & IPS
• 吞吐量是同类产品的四倍
• SSL VPN扩展能力是同类产品的五倍
• 状态化 VPN 故障恢复
• 为S-S VPN提供QoS和OSPF
• 全部FW & IPS 服务
• 吞吐量是同类产品的四倍
• SSL VPN扩展能力是同类产品的五倍
• 状态化 VPN 故障恢复
• 为S-S VPN提供QoS和OSPF
• 全部FW & IPS 服务
• ASA为所有站点提供IPSec
和 SSL 远程访问以及站点到
站点VPN服务
• ASA为所有站点提供IPSec
和 SSL 远程访问以及站点到
站点VPN服务ASA & VPN 3000
454545© 2005 思科系统公司。版权所有。.
Cisco ISR 路由器和ASA 5500系列
--灵活的安全和VPN部署方式
• 适用于专用安全设备
• 提供最新威胁防御技术
• 功能最丰富的远程接入VPN解
决方案
• 利用专用功能保证最高的软件
版本简洁性
• 适用于专用安全设备
• 提供最新威胁防御技术
• 功能最丰富的远程接入VPN解
决方案
• 利用专用功能保证最高的软件
版本简洁性
• 适用于基于IOS的设备
• 提供最新的网络和安全协作技术
• 功能最丰富的站点到站点VPN解决方
案
• 将多数网络和安全功能整合在一个平
台上
• 充分利用现有路由器投资
• 适用于基于IOS的设备
• 提供最新的网络和安全协作技术
• 功能最丰富的站点到站点VPN解决方
案
• 将多数网络和安全功能整合在一个平
台上
• 充分利用现有路由器投资
适合各种部署环境的定制解决方案适合各种部署环境的定制解决方案
自适应安全设备 集成多业务路由器
464646© 2005 思科系统公司。版权所有。.
总结--Cisco ASA 5500 系列
技术经过市场验证的, 能降低运营成本, 适应能