ASA

1© 2005 Cisco Systems, Inc. All rights reserved. ASA 5500系列自适应安全设备 ----更加有效地提供网络保护的自适应威胁防御解决 222© 2005 思科系统公司。版权所有。. 主 • 变革的网络所带来的安全问题 • 增强安全有效性 • 降低网络保护成本 • 提供未来保护 • ASA的销售策略 333© 2005 思科系统公司。版权所有。. 网络的发展 使世界各地的所有应用、所有人都相互连接在一起 财务财务 ERP MRP 人力资源人力资源 销售销售 销售自动化 客户客户 部门应用 可用吞吐量 远程办公室 多数通过Web/ 内部网可达 人力资源应用 制造制造 合作伙伴合作伙伴 远程员工远程员工 总部总部 444© 2005 思科系统公司。版权所有。. 当今客户面临的主要问题 • 威胁 • 失窃 • 损失 • 响应时间 应用与服务优化 • 支持设施 • 认知 • 应用管理 • 性能/优化 • 永续性 简化 • 扩展 • 成本 • 人员 • 集成与系统管理 安全安全 555© 2005 思科系统公司。版权所有。. 新兴的安全问题 快速变化的安全威胁可能会绕过或突破传统安全防线 服务和管理解决方案的增多将使运营成本提高 安全服务可能会干扰网络流量、访问和应用 666© 2005 思科系统公司。版权所有。. 安全网络的新定义 • 没有100%的安全，威胁永远存在，关键在于采取的措施 • 安全的网络是：威胁出现，及时发现，及时响应，在网络失 控之前，采用各种有效手段将安全威胁控制在可控范围内 现在需要现在需要 被动响应 自动，主动响应 过去过去 分立式 集成的多层防御 产品支持 系统级服务 777© 2005 思科系统公司。版权所有。. 系统安全系统安全安全创新安全创新 •• 端点安全端点安全 •• 设备安全设备安全 •• 动态连接动态连接 •• 动态通讯动态通讯 •• 自动响应自动响应 安全实现安全实现 •• 安全连接安全连接 •• 威胁防御威胁防御 •• 信任识别信任识别 •• 安全管理 An initiative to dramatically improve the network’s ability to identify, prevent, and adapt to threats An initiative to dramatically improve the network’s ability to identify, prevent, and adapt to threats 思科自防御网络战略 具有 网络识别、防止和适应 威胁的能力 •• 网络准入控制网络准入控制 •• 安全运营管理安全运营管理 •• 安全自动响应安全自动响应 •• 安全专业服务安全专业服务 888© 2005 思科系统公司。版权所有。. 思科安全战略的发展 思科自防御网络 SDN SDN 第一阶段第一阶段 ““集成式安全性集成式安全性”” • 使每个网络组件成为一个防御点 路由器，交换机、设备，端点 • 安全连接（V3PN，DMVPN）、威胁防御、信任和身份识别 • 网络基础保护 SDN SDN 第三阶段第三阶段 ““自适应威胁防御自适应威胁防御”” • 安全服务以及网络智能之间的相互感知 • 提高安全效能，实现主动响应 • 整合服务，提高运营效率 • 通过应用识别和检查实现安全的应用供应/优化 SDN SDN 第二阶段第二阶段 ““协作性安全系统协作性安全系统”” • 安全成为网络级系统：端点＋网络＋策略 • 多种服务和设备相互协调，利用主动管理抵御攻击 • NAC, IBNS, SWAN • 多种安全设备 • 独立管理软件 • 多种安全设备 • 独立管理软件 端点产品端点产品 999© 2005 思科系统公司。版权所有。. VPN 集中器 思科防火墙 Cisco IDS Sensors 领先的安全技术 最出色的安全方案 领先的安全技术 最出色的安全方案 Cisco IOS VPN 领先的网络技术 20 年路由与交换领域技术经验 领先的网络技术 20 年路由与交换领域技术经验 Cisco ISR Cisco Catalyst 网络基础设施保护 信任与身份验证 安全的连接 自防御网络第一阶段 ---集成式安全 保护网络基础设施免遭攻击控制平面监管, NBAR, AutoSecure 利用网络智能性地管理端点 NAC, 802.1x 安全和可扩展的网络连接 Secure Voice (sRTP, V3PN), DMVPN, MPLS & IPSec 威胁防御 预防并抵御网络攻击和威胁，如 蠕虫 入侵防范, Netflow, App Firewall, OPS 利用集成式安全方案保护利用集成式安全方案保护IPIP网络网络 从交换机、路由器到从交换机、路由器到IPCIPC、存储、存储 101010© 2005 思科系统公司。版权所有。. 自防御网络第二阶段 ----思科网络准入控制（NAC) 桌面 • 给予访问权 • 拒绝访问 • 隔离 对客户端进行身份验证与 策略检查 隔离 VLAN 修复NAC 架构 公司网 客户端试图建立连接 SiSi 111111© 2005 思科系统公司。版权所有。. 访问控制，分组检查 防火墙服务 访问控制，分组检查 防火墙服务 应用智能，内容检查，病毒防御IPS & NW-AV 服务 应用智能，内容检查，病毒防御 IPS & NW-AV 服务 身份识别，虚拟化，QoS分段， 流量可视化 网络智能 身份识别，虚拟化，QoS分段， 流量可视化 网络智能 自防御网络第三阶段 ----自适应威胁防御 PIXPIX CSACSA NACNAC Quarantine VLANQuarantine VLAN Cisco Router Cisco Router CSACSA VPN AccessVPN Access VPN Cisco DDoSCisco DDoS CSACSA Cisco Router Cisco Router Catalyst Catalyst CatalystCatalyst Identity-Based Networking Identity-Based Networking Cisco IPSCisco IPS 应用检查，使用实施，Web控制 应用安全性 应用检查，使用实施，应用检查，使用实施，WebWeb控制控制 应用安全性 坏件/内容防御，异常检测 Anti-X防御 坏件坏件//内容防御，异常检测内容防御，异常检测 Anti-X防御 流量/准入控制，主动响应 遏制和控制 流量流量//准入控制，主动响应准入控制，主动响应 遏制和控制 自防御网络自防御网络 121212© 2005 思科系统公司。版权所有。. “自适应威胁防御”阶段中的产品 --ASA (Adaptive Security Appliance) 5500系列 降低部署和运营成本 平台化，统一管理，网络感知 面向新威胁的技术可扩展性 专用自适应识别和防御体系结构支持无与伦比的可扩展性 和策略控制 Cisco ASA 5500 系列 提供自适应威胁防御和VPN解决方案 融合型自适应威胁防御和“洁净的VPN”服务 应用安全性，蠕虫/病毒消除，坏件保护和防威胁VPN 131313© 2005 思科系统公司。版权所有。. ASA的诞生基于当前安全服务的问题 补充式防御，部署的局限性 IPS 服务 广泛攻击检测 精细分组检查 应用控制 动态响应 服务 访问控制服务 分组检查 协议核实 准确实施 高永续性 防火墙 网络AV 服务 病毒消除 间谍件、广告件、 坏件检测和控制 恶意移动代码消除 非法访问 进程滥用 端口扫描 畸形分组 应用误用DoS/攻击 已知攻击 受感染的流量 IPSec/SSL VPN 服务 SSL VPN IPSec VPN 基于用户的安全性 基于组的管理 集群 通道流量 有限保护 多种分立服务 x 多个位置 = 安全性折衷多种分立服务多种分立服务 xx 多个位置多个位置 = = 安全性折衷安全性折衷 141414© 2005 思科系统公司。版权所有。. Cisco ASA5510、5520和5540设备平台概述 • 通用系列，一个平台能够满足多种需求 – 企业、中型市场、中小企业和分支办公室部署 • 统一管理能够简化日常运营 – 对所有服务实施综合配置和监控 • 技术可扩展性有利于实现投资保护 – 根据需要提供FW、VPN、IPS和 NW-AV 安全服务 – 支持未来技术可扩展性——避免“全盘”升级 • 高性能: – ASA 5510: 高达 300Mbps – ASA 5520: 高达 450Mbps – ASA 5540: 高达 650Mbps • 扩展插槽可添加服务或I/O • 四个集成式10/100/1000BaseT接口 • 专用带外管理接口 •• 高性能高性能:: –– ASA 5510: ASA 5510: 高达高达 300Mbps300Mbps –– ASA 5520: ASA 5520: 高达高达 450Mbps450Mbps –– ASA 5540: ASA 5540: 高达高达 650Mbps650Mbps •• 扩展插槽可添加服务或扩展插槽可添加服务或I/OI/O •• 四个集成式四个集成式10/100/1000BaseT10/100/1000BaseT接口接口 •• 专用带外管理接口专用带外管理接口 技术规格: 151515© 2005 思科系统公司。版权所有。. When to Sell ASA? ““CLEAN VPNCLEAN VPN”” UTM, All-in-One, Multifunction/Converged Capture new markets Blow the competitors away PIX 515E 188 Mbps PIX 525 330 Mbps ASA as FW instead of PIX515E, PIX525 •Better price performance •ASA = PIX7.0 •PIX515E + 525 = 74% APAC PIX revenue in FY05. •Enhanced features of IPS, AV, SSLVPN, etc. IPS 4215 80 Mbps IPS 4240 250 Mbps ASA as IPS instead of IPS4215, 4240 •Better price performance, upto 450 Mbps •ASA = IPS 5.0 •Enhanced features of FW, VPN etc. VPN 3005 200 IPSec 4 Mbps 50 SSL VPN 3020 750 IPSec 50 Mbps 200 SSL VPN 3030 1500 IPSec 50 Mbps 500 SSL VPN 3060 5000 IPSec 100 Mbps 500 SSL VPN 3080 10,000 IPSec 100 Mbps 500 SSL ASA to replace VPN3K for all IPSec VPNs and basic WebVPN. Use VPN3K only if full 4.7 SSLVPN is required. •Better price performance (upto 5000 IPSec, 325Mbps, 2500 SSLVPN) •ASA = VPN 4.1, (4.7 features planned in ASA 7.1 early CY06) •Cluster with VPN3K for migration. •Enhanced features of FW, IPS, AV, QoS, OSPF, etc. 161616© 2005 思科系统公司。版权所有。. Cisco ASA 5510 Interfaces: Interfaces: 3 Fast Ethernet + 1 management port / 5 Fast Ethernet ports*3 Fast Ethernet + 1 management port / 5 Fast Ethernet ports* * Upgrade available with Cisco ASA 5510 Security Plus License* Upgrade available with Cisco ASA 5510 Security Plus License 171717© 2005 思科系统公司。版权所有。. Cisco ASA 5520/5540 Product Tour Sleek, High Performance 1 Rack Unit (RU) Design Sleek, High Performance 1 Rack Unit (RU) Design Four 10/100/1000 Copper Gigabit Ports Four 10/100/1000 Copper Gigabit Ports One 10/100 Out of Band Management Port* One 10/100 Out of Band Management Port* One Expansion Slot for Add’l Accelerated Services or I/O One Expansion Slot for Add’l Accelerated Services or I/O Single Field Upgradeable AC or DC Power Supply Single Field Upgradeable AC or DC Power Supply Console and AUX PortsConsole and AUX Ports Five Status LEDs (Power, Status, Active, VPN, Flash) Five Status LEDs (Power, Status, Active, VPN, Flash) Two USB 2.0 Ports for Future Expansion (Credentials, Failover, and more) Two USB 2.0 Ports for Future Expansion (Credentials, Failover, and more) Diskless Architecture for High Reliability Diskless Architecture for High Reliability Compact Flash for Software, Config, and Log Storage Compact Flash for Software, Config, and Log Storage 181818© 2005 思科系统公司。版权所有。. 181818 Cisco ASA 5500 Series Bundles Cisco ASA 5510 Base System (50 VPN Peers, 3 FE) DC System (50 VPN Peers, 3 FE) Security Plus System (150 VPN Peers, 5 FE, A/S HA) System w/ AIP-SSM-10 (50 VPN Peers, 3 FE) Cisco ASA 5520 Base System (300 VPN Peers, 4 GE + 1 FE) DC System (300 VPN Peers, 4 GE + 1 FE) System w/ AIP-SSM-10 (300 VPN Peers, 4 GE + 1 FE) System w/ AIP-SSM-20 (300 VPN Peers, 4 GE + 1 FE) Cisco ASA 5540 Base System (500 VPN Peers, 4 GE + 1 FE) DC System (500 VPN Peers, 4 GE + 1 FE) System w/ AIP-SSM-20 (500 VPN Peers, 4 GE + 1 FE) 191919© 2005 思科系统公司。版权所有。. Cisco ASA 5500 Series SSM Positioning • Solutions targeted to Small and Medium Business and Remote Office Enterprise –Up to 1000 users –Up to 120 Mbps • Focuses on protecting clients; Internet edge protection • Stops network viruses, spyware / adware / grayware, malicious files, spam, phishing, and inappropriate URLs / content • Solutions targeted to Small and Medium Business and Remote Office Enterprise –Up to 1000 users –Up to 120 Mbps • Focuses on protecting clients; Internet edge protection • Stops network viruses, spyware / adware / grayware, malicious files, spam, phishing, and inappropriate URLs / content • Solutions that scale from Medium Business to Enterprise –Large number of users –Up to 450 Mbps • Focuses on protecting servers; critical asset protection • Stops network worms, hacking attempts, trojans, bots, zombies, and covert channel communication • Solutions that scale from Medium Business to Enterprise –Large number of users –Up to 450 Mbps • Focuses on protecting servers; critical asset protection • Stops network worms, hacking attempts, trojans, bots, zombies, and covert channel communication IPS Edition (AIP-SSM) Anti-X Edition (CSC-SSM) 202020© 2005 思科系统公司。版权所有。. 202020 Cisco Four-Port Gigabit Ethernet Security Services Module (4GE SSM) Product Tour High-Performance Module Adds More I/O Capacity Thumbscrews for Easy Insertion and Removal Four SFP Gigabit Ports for Optical Connectivity Four Copper 10/100/1000 for Simplified Deployment Allows Customers to Choose Either Copper or Optical for Up to 4 Ports of Additional Connectivity Product ID: ASA-SSM-4GE= List Price (NTE): $5,000 212121© 2005 思科系统公司。版权所有。. 212121 Cisco ASA Security Services Module (SSM) 10 & 20 Product Tour High Performance Module for Additional Services High Performance Module for Additional Services Thumbscrews for Easy Insertion and Removal Thumbscrews for Easy Insertion and Removal Gigabit Ethernet Port for Out-of-Band Management, etc. Gigabit Ethernet Port for Out-of-Band Management, etc. Diskless (Flash-Based) Design for Improved Reliability Diskless (Flash-Based) Design for Improved Reliability Note: Cisco also plans to offer a 4-port copper/SFP I/O only module in the future. Advanced Inspection and Prevention Module 222222© 2005 思科系统公司。版权所有。. Standard and Optional Features Optional LicensesCSC-SSM Hardware Standard Licenses User Upgrades (Total Users) Feature Upgrades CSC-SSM-10 • 50-user license • Antivirus, anti- spyware, file blocking • 100 Users • 250 Users • 500 Users Plus license–Adds anti-spam, anti- phishing, URL blocking/filtering and content control CSC-SSM-20 • 500-user license • Antivirus, anti- spyware, file blocking • 750 Users • 1000 Users Plus license–Adds anti-spam, anti- phishing, URL blocking/filtering and content control • Price includes first year of Trend Micro subscription service for pattern and engine updates • Price does NOT include SMARTnet® which must be purchased separately 232323© 2005 思科系统公司。版权所有。. 自适应识别和防御（AIM）体系结构 技术可扩展性可消除当前及未来威胁 优点优点:: •• 为威胁防御提供最丰富的攻击检测服务为威胁防御提供最丰富的攻击检测服务 •• 能根据应用要求定制安全需求的高度可定制安全策略能根据应用要求定制安全需求的高度可定制安全策略 •• 性能和安全服务可扩展性性能和安全服务可扩展性 “洁净的 VPN” 远程访 问连接 “洁净的VPN” 站点到 站点连接 网络遏制和控制 自适应分类自适应分类 和策略框架和策略框架 应用检查和控制 Anti-X防御 智能联网、高可用性和可扩展性服务 安全服务扩展 自 适 应 威 胁 防 御 自 适 应 威 胁 防 御 统 一 安 全 访 问 统 一 安 全 访 问 242424© 2005 思科系统公司。版权所有。. 公共互联网 特定网络访问特定网络访问 “全球供应数据库策略” 应用: 坏件防御引擎 防病毒引擎 Oracle 检查引擎 QoS ASA模块化策略框架 提供服务级策略控制 ASA 5500 周边 移动用户 远程接入 VPN 供应合作伙伴 外部网VPN 全面网络访问全面网络访问, VPN , VPN 保护保护 “全球远程接入VPN策略” 应用: 坏件防御引擎 防病毒引擎 SoftPhone 检查 IPSec 协议核实 ASA 5500 内部 财务用户 LAN 机构边界机构边界 “全球财务用户策略” 应用: 防病毒引擎 Microsoft 网络检查 NFS 服务检查 252525© 2005 思科系统公司。版权所有。. 252525 丰富的特性，精细的定制，简单配置 ASA 模块化策略框架 • 降低了配置复杂性，同时增加了特性种类 – 在一个策略定义中支持多种服务特性——检查引擎策略、QoS策略、连接策略等 • 高度精细的安全实施和流量处理 – 能够以流量和用户为单位应用各种服务，为每股流量提供个性化设置 HTTP TCP 等 检查引擎 LLQ 监管 QoS 服务 最大连接数 归一化 超时 连接服务 第2步: 应用服务 第1步: 识别流量 利用“一次性”配置，可以借助模块化服务引擎以应用和用户为单位支持 精细特性定制 利用利用““一次性一次性””配置，可以借助模块化服务引擎以应用和用户为单位支持配置，可以借助模块化服务引擎以应用和用户为单位支持 精细特性定制精细特性定制 262626© 2005 思科系统公司。版权所有。. Cisco ASA 5500 系列 将经过市场验证的强大技术融合在一起 防火墙技术 Cisco PIX IPS 技术 Cisco IPS VPN 技术 Cisco VPN 3000 ““洁净的洁净的VPNVPN”” 连通性连通性 应用检查，使用实施，应用检查，使用实施，WebWeb 控制控制 应用安全性应用安全性 坏件坏件//内容防御内容防御, , 异常检测异常检测 AntiAnti--X X 防御防御 流量流量//准入控制，主动响应准入控制，主动响应 遏制与控制遏制与控制 网络智能 思科网络服务 自适应威胁防御自适应威胁防御, , ““清洁清洁VPNVPN””经过市场验证的技术经过市场验证的技术 Cisco IPS, Trend Micro NW-AV 技术 272727© 2005 思科系统公司。版权所有。. Cisco ASA 5500系列: 广度与深度 业界第一! 可以扩展，功能强大，特性丰富 应用安全性应用安全性应用安全性 •多层分组和流量•高级应用和协议检查服务 •网络应用控制 •高级VoIP/多媒体安全性 •多层分组和流量分析 •高级应用和协议检查服务 •网络应用控制 •高级VoIP/多媒体安全性 Anti-X 防御AntiAnti--X X 防御防御 •基于网络的蠕虫和病毒消除 •间谍件、广告件、坏件检测和控制 •利用准确预防技术实施可靠的主动响应 •箱内事件关联和主动响应 •基于网络的蠕虫和病毒消除 •间谍件、广告件、坏件检测和控制 •利用准确预防技术实施可靠的主动响应 •箱内事件关联和主动响应 •第3 层和第4层访问控制服务 •状态化包检查 •灵活的用户、网络和应用策略组合 •第3 层和第4层访问控制服务 •状态化包检查 •灵活的用户、网络和应用策略组合 遏制与控制遏制与控制遏制与控制 •可自动更新的IPSec 远程访问 •灵活、安全的SSL VPN服务 •QoS/路由型站点到站点VPN •预防VPN威胁的集成式威胁防护 •可自动更新的IPSec 远程访问 •灵活、安全的SSL VPN服务 •QoS/路由型站点到站点VPN •预防VPN威胁的集成式威胁防护 ““洁净的洁净的VPNVPN”” 思科网络服务智能思科网络服务智能思科网络服务智能 •低延迟支持 •支持多种拓扑 •组播支持 •低延迟支持 •支持多种拓扑 •组播支持 •服务虚拟化 •网络分段和分区 •路由、永续性、负载平衡 •服务虚拟化 •网络分段和分区 •路由、永续性、负载平衡 282828© 2005 思科系统公司。版权所有。. IPS Services Broad Attack Detection Granular Packet Inspection Worm Mitigation Dynamic Response Network AV Services Worm/ Virus Outbreak Prevention Network Anti-Virus Services Quarantine Services Services Access Control Services Packet Inspection Protocol Validation Accurate Enforcement Robust Resiliency Firewall ASA 5500: 融合的安全服务 提供全面、可部署、可管理的保护 为每个分组和每股流实施统一保护 控制用户访问 防止攻击 防止应用滥用 保证协议完整性 识别/阻止蠕虫、病毒和坏件 动态防止发作 自适应威胁防御 “洁净的 VPN” 保护VPN“带菌者” 状态化流量检查 控制通过VPN使用的应用 识别/阻止蠕虫、病毒和坏件 全面了解服务情况全面了解服务情况 主动防御主动防御 准确实施准确实施 采用简洁的体系结构采用简洁的体系结构 统一的网络安全统一的网络安全 ““CLEAN VPNCLEAN VPN”” 实施全面可管理的网络级威胁防御 主动阻止攻击传播 实施实施全面全面可管理的可管理的网络级威胁防御网络级威胁防御 主动阻止攻击传播主动阻止攻击传播 292929© 2005 思科系统公司。版权所有。. 公共互联网 ASA 5500: 有效阻止蠕虫/病毒 通过服务融合实现全面保护 利用Anti-X防御特性阻止蠕虫和病毒……而且不会降低性能！ MS Blaster Slammer Code Red NIMDA W32.明天的威胁 ASA 5500 预防发作预防发作:: 病毒检测 动态发作更新 全面分析全面分析:: 保持清醒 应用层检查 协议异常检测 启发式分析 流量归一化 准确实施：准确实施： 实时关联 风险评佑 抵御攻击 进程取消与重设 303030© 2005 思科系统公司。版权所有。. 公共互联网 ASA 5500: 网络的“坏件”消除 利用服务融合实现全面保护 利用Anti-X防御特性主动控制和遏制间谍件、广告件及其它恶意代码 用户行为用户行为:: Web冲浪 电子邮件附件 对等文件共享 “免费” 软件下载 互联网供应互联网供应:: 间谍件 广告件 击键记录器 特洛伊木马软件 ASA 5500 ASA 5500 可消除可消除:: 过滤间谍件通信 控制保密数据传输 阻止特洛伊木马软件 ASA 5500 313131© 2005 思科系统公司。版权所有。. ASA 5500: 应用检查和控制 利用服务融合实现全面保护 利用应用安全特性实现检查和控制：利用应用安全特性实现检查和控制： 状态化第3-7层检查 应用和访问控制 动态协议说明符更新 服务质量 从一开始就着眼于对应用层实施可靠的动态控制 业务流量 对等，通道应用 公共互联网 能够控制能够控制:: 对等: Kazaa 和Gnutella 即时消息传送 HTTP 和80号端口 通道化应用 IP话音 其它! ASA 5500 323232© 2005 思科系统公司。版权所有。. 公共互联网 接入情况接入情况:: 站点到站点连接 可管理桌面 员工桌面 咖啡厅接入 完全或有限网络访问 合作伙伴接入 适合任何部署环境的VPN服务 具有威胁防御功能的强大IPSec和SSL VPN服务 从同一个设备和管理基础设备从任意位置向任意用户提供安全接入 ASA 5500客户经理 移动用户 分支办公室 站点到站点 员工家里 不受管理的桌面 供应合作伙伴 外部网 融合的融合的IPSecIPSec、、WebVPNWebVPN、防火墙、、防火墙、IPS:IPS: 检查/控制VPN进程 统一RA VPN 设备基础设备 统一用户管理 统一永续性和负载平衡 站点到站点流量QoS 333333© 2005 思科系统公司。版权所有。. Cisco ASA 5500系列 提供与位置相关的全面保护 SMB 部署 企业部署 关键信息保护 •防火墙 •远程接入和站点到站点 VPN •网络防病毒 •防蠕虫 •防火墙 •远程接入和站点到站点 VPN •网络防病毒 •防蠕虫 •防火墙 •传输的安全 •网络防病毒 •防蠕虫 通用服务 根据位置定 制的服务 •基于文件的 AV •Anti-X技术 垃圾邮件、Phishing等 •通过URL过滤单设备部署 •集成式设备管理 •入侵防御 •Anti-X技术 •第80号端口控制 •内部防火墙 •扩展 •统一多设备多功能管理 •应用控制 •加密流量检查 •Web服务安全性 •消息传送安全性 343434© 2005 思科系统公司。版权所有。. 主题 • 变革的网络所带来的安全问题 • 增强安全有效性 • 降低网络保护成本 • 提供未来保护 • ASA的销售策略 353535© 2005 思科系统公司。版权所有。. 部署和运营成本 设备和人员成本随复杂程度的提高而增加 服务应用 • 分支：防火墙，VPN • 总部周边：防火墙，IPS，NW- AV，VPN • 数据中心: 防火墙, IPS • 总部内部: 防火墙, IPS 成本组成 • 购买、配置、维护并管理4种 设备 • 多个数据报告来源 • 许多设备都会影响网络访问和 应用 • 可能遭受攻击的服务缺口…… 弥补代价越来越高 企业分支 远程员工 企业总部 363636© 2005 思科系统公司。版权所有。. SP 管理的服 务 中小企业 降低部署和运营成本 平台标准化和统一管理 企业分支 S-S VPN，网络 防毒，防蠕虫 提供多种服务和强 有力的管理 单设备安全解决方 案: FW、IPS、 AV 、 SSL和 IPSec 关键资源保 护 边缘防火墙和流量 微观检查 远程访问和外部 网 企业总部 内部防火墙与威胁防御 © 2004 Cisco Systems, Inc. All rights reserved. 363636 远程人员 全服务 IPSec & SSL VPN 373737© 2005 思科系统公司。版权所有。. SP Managed Service Small and Medium Business 降低部署和运营成本 平台标准化和统一管理 Enterprise Branch S-S VPN, Network Anti-Virus, and Worm Protection Multiple Service Offerings and Robust Management Single Device Security Solution: FW, IPS, AV, SSL, and IPSec Critical Resource Protection Edge Firewalling and Traffic Micro- Inspection Remote Access and Extranet Enterprise HQ Internal Firewalling and Threat Mitigation © 2004 Cisco Systems, Inc. All rights reserved.ASA 5500 Intro 373737 Teleworker Full Service IPSec & SSL VPN 降低成本的途径: • 用一个系统进行管理和监控 • 使用相同的操作平台，增强员工的熟悉感 • 简化故障排除和错误隔离 • 简化部署 • 简化员工培训 降低成本的途径： • 通过加强保护降低弥补成本 • 减少需要管理的设备 • 在不降低性能的前提下根据需要增加 新服务 降低成本的途径: • 统一管理、监控、供应 • 在不添置新设备的情况下增加新服务 • 简化员工培训 单平台，多用途 多功能安全设备 多种服务 383838© 2005 思科系统公司。版权所有。. IPS Services Broad Attack Detection Granular Packet Inspection Worm Mitigation Dynamic Response Network AV Services Worm/ Virus Outbreak Prevention Network Anti-Virus Services Quarantine Services Services Access Control Services Packet Inspection Protocol Validation Accurate Enforcement Robust Resiliency Firewall 降低部署和运营成本 通过网络感知简化安全集成 为每个分组和数据流提供统一防护 控制用户访问 防攻击 防应用滥用 保证协议完整性 发现/阻挡蠕虫、病毒和坏件 主动防止发作 自适应威胁防御 “洁净的VPN” 保护 VPN “带菌者” 状态化流量检查 控制通过VPN使用的应用 发现/阻挡蠕虫、病毒和坏件 思科网络服务智能思科网络服务智能思科网络服务智能 利用网络感知实现不间断安全性 支持低延迟 支持多种拓扑 组播支持 支持低延迟 支持多种拓扑 组播支持 服务虚拟化 网络分段和分区 路由和永续性 服务虚拟化 网络分段和分区 路由和永续性 393939© 2005 思科系统公司。版权所有。. 统一管理 为融合式服务提供单设备和多设备管理 • 基于Web的集成式设备管理 • 为所有设备服务提供全面配 置——防火墙、IPS、VPN、 NW-AV • 集成式设备、状态和服务监控/ 报告 • 适合设备少于10台的小型部署 • 基于Web的集成式设备管理 • 为所有设备服务提供全面配 置——防火墙、IPS、VPN、 NW-AV • 集成式设备、状态和服务监控/ 报告 • 适合设备少于10台的小型部署 • 基于策略的多设备、多功能、多 站点管理 • 支持混合平台环境（设备、路由 器和交换机） • 多用户/部门更新控制和审计 • 适合设备数量多于100台的大型 部署 • 基于策略的多设备、多功能、多 站点管理 • 支持混合平台环境（设备、路由 器和交换机） • 多用户/部门更新控制和审计 • 适合设备数量多于100台的大型 部署 通过融合式安全性降低管理复杂性通过融合式安全性降低管理复杂性 自适应安全设备管理器(ASDM) 思科安全管理套件 404040© 2005 思科系统公司。版权所有。. 主题 • 变革的网络所带来的安全问题 • 增强安全有效性 • 降低网络保护成本 • 提供未来保护 • ASA的销售策略 414141© 2005 思科系统公司。版权所有。. ASA系列在思科自防御安全产品系列中的定位 NP结构高端防火墙 防火墙防火墙 PIX 501PIX 501 PIX 506EPIX 506E PIX 515EPIX 515E PIX 525PIX 525 PIX 535PIX 535 800800 18001800 28002800 38003800 7xxx7xxx SPA安全状态评估SPA安全状态评估安全顾问服务安全顾问服务 800800 18001800 28002800 38003800 7xxx7xxx37003700 VPNVPN CAT6KCAT6K IDS/IPSIDS/IPS IOS 入侵防护IOS 入侵防护网络入侵检测网络入侵检测 防火墙入侵检测防火墙入侵检测 CSA入侵防护CSA入侵防护CAT6K入侵检测CAT6K入侵检测 思科安全管理 体系 思科安全管理 体系 ISC安全业务管理ISC安全业务管理 VMS安全设备管理 VMS安全设 备管理 CSA主机安全防护管理 CSA主机安全防 护管理 ACS安全身份 认证及审计 ACS安全身份 认证及审计 CWSIM安全 信息管理 CWSIM安全 信息管理 Protego安全 威胁消除 Protego安全 威胁消除 网络业务安全网络业务安全 数据平面安全数据平面安全 控制平面安全控制平面安全管理平面安全管理平面安全 业务平面安全业务平面安全 基础网络安全最佳实践 基础网络安 全最佳实践 专业预防DDoS 攻击技术 专业预防DDoS 攻击技术专业的安全防护专业的安全防护 网络存储安全 保护技术 网络存储安全 保护技术业务控制网关业务控制网关 SNR安全网络优化设计SNR安全网络优化设计 Cisco ASA 5520 Cisco ASA 5540CiscoASA 5510 SMB and middle Size SMB and middle Size EnterpriseEnterprise Large EnterpriseLarge Enterprise 424242© 2005 思科系统公司。版权所有。. ASA所面对的市场 防火墙防火墙 VPNVPN IPSIPS Network AVNetwork AV SMB, SME Enterprise Large Enterprise SP Cisco ASA 5520 Cisco ASA 5540 Cisco ASA 5510Cisco ASA 5510 with AIP/SSM module Cisco ASA 5520 with AIP/SSM module Cisco ASA 5540 with AIP/SSM module 434343© 2005 思科系统公司。版权所有。. ASA, PIX和ISR多业务路由器 NP结构高端防火墙 PIX 501 PIX 506E PIX 515E PIX 525 PIX 535 ISR 1841 ISR 2800 ISR 3800 ASA 5510 ASA 5520 ASA 5540 ISR 800 ISR 1800 444444© 2005 思科系统公司。版权所有。. Cisco ASA、PIX、IPS 4200和 VPN 3000 除支持所有PIX、IPS和VPN 3000部署外，ASA还能提供其它功能： 应用 其它ASA服务： • 全部IPS服务 • 防蠕虫 • 防病毒 • 深度分组检查 • SSL VPN • VPN 集群 • 模块化服务插槽 • 全部IPS服务 • 防蠕虫 • 防病毒 • 深度分组检查 • SSL VPN • VPN 集群 • 模块化服务插槽 • 面向典型PIX 515E和525环境的 ASA • 将全部威胁防御扩展到典型的 SMB环境 • 在SOHO和大企业总部作为PIX 501、506E 和 535 的补充 • 面向典型PIX 515E和525环境的 ASA • 将全部威胁防御扩展到典型的 SMB环境 • 在SOHO和大企业总部作为PIX 501、506E 和 535 的补充 ASA & PIX • 全部防火墙服务 • 全部VPN服务 • 模块化服务插槽 • 全部防火墙服务 • 全部VPN服务 • 模块化服务插槽 • 注重防火墙和IPS融合的ASA • IPS 4200的价格适合纯IPS部署 • 注重防火墙和IPS融合的ASA • IPS 4200的价格适合纯IPS部署ASA & IPS • 吞吐量是同类产品的四倍 • SSL VPN扩展能力是同类产品的五倍 • 状态化 VPN 故障恢复 • 为S-S VPN提供QoS和OSPF • 全部FW & IPS 服务 • 吞吐量是同类产品的四倍 • SSL VPN扩展能力是同类产品的五倍 • 状态化 VPN 故障恢复 • 为S-S VPN提供QoS和OSPF • 全部FW & IPS 服务 • ASA为所有站点提供IPSec 和 SSL 远程访问以及站点到 站点VPN服务 • ASA为所有站点提供IPSec 和 SSL 远程访问以及站点到 站点VPN服务ASA & VPN 3000 454545© 2005 思科系统公司。版权所有。. Cisco ISR 路由器和ASA 5500系列 --灵活的安全和VPN部署方式 • 适用于专用安全设备 • 提供最新威胁防御技术 • 功能最丰富的远程接入VPN解 决方案 • 利用专用功能保证最高的软件 版本简洁性 • 适用于专用安全设备 • 提供最新威胁防御技术 • 功能最丰富的远程接入VPN解 决方案 • 利用专用功能保证最高的软件 版本简洁性 • 适用于基于IOS的设备 • 提供最新的网络和安全协作技术 • 功能最丰富的站点到站点VPN解决方 案 • 将多数网络和安全功能整合在一个平 台上 • 充分利用现有路由器投资 • 适用于基于IOS的设备 • 提供最新的网络和安全协作技术 • 功能最丰富的站点到站点VPN解决方 案 • 将多数网络和安全功能整合在一个平 台上 • 充分利用现有路由器投资 适合各种部署环境的定制解决方案适合各种部署环境的定制解决方案 自适应安全设备 集成多业务路由器 464646© 2005 思科系统公司。版权所有。. 总结--Cisco ASA 5500 系列 技术经过市场验证的, 能降低运营成本, 适应能