Weitere ähnliche Inhalte Ähnlich wie Защита периметра от сетевых угроз с помощью (20) Mehr von Cisco Russia (20) Защита периметра от сетевых угроз с помощью1. Защита периметра от сетевых угроз с помощью
межсетевых экранов Cisco ASA и ASA NG
Руслан Иванов
Системный инженер-консультант
ruivanov@cisco.com
13.01.2
014
© 2013 Cisco and/or its affiliates. All rights reserved.
2. Изменение людей
СТУДЕНТОВ
ВУЗОВ
СТУДЕНТОВ ВУЗОВ И
МОЛОДЫХ СПЕЦИАЛИСТОВ
И
Воздух
Вода
Продукты
Защита
Интернет
СЧИТАЮТ ИНТЕРНЕТ ОСНОВНЫМ
ЧЕЛОВЕЧЕСКИМ РЕСУРСОМ
МОЛОДЫХ
СПЕЦИАЛИСТОВ
ГОВОРЯТ, ЧТО ОНИ НЕ МОГЛИ БЫ ЖИТЬ
БЕЗ
ИНТЕРНЕТА
Отчет по глобальным сетевым технологиям: http://www.cisco.com/en/US/netsol/ns1120/index.html
4. 1 из 5 сотрудников использует сервис хранения
Dropbox на работе
Использование Dropbox по должности
Персонал и
руководитель
Все отделы
Директор и вицепрезидент
Руководители
высшего звена
Только ИТ-отдел
Справочные сведения: http://gigaom.com/cloud/guess-what-mr-cio-one-in-five-of-your-employees-use-dropbox-for-work-files/
5. Изменение ландшафта угроз
1 022 989
веб-сайтов
скомпрометировано
26 417 304 случая несанкционированного доступа к
данным
Черный список URL-адресов вредоносных программ, декабрь 2012 г. http://www.stopbadware.org/
Несанкционированный доступ к данным в 2012 г.: http://www.privacyrights.org/data-breach/new
6. Адаптация к изменениям
На одно правило межсетевого экрана…
…приходится 999 999 исключений.
(Источник: руководитель службы инф. безопасности
крупного финансового учреждения)
7. Увеличение требований к обеспечению
безопасности
Повсеместная защита всех компонентов
Реализация политик допустимого использования
Надежные функции межсетевой защиты с
контролем состояния
Повсеместный доступ с любого устройства
8. Продукты безопасности Cisco в современном мире
A T T A C K
C O N T I N U U M
Управление
Применение
Защита
Обнаружение
Блокирование
Защита
Масштаб
Содержание
Избегание
Firewall
NGIPS
Advanced Malware Protection
Next Generation Firewall
Web Security
Network Behavior Analysis
Cisco ISE
Email Security
VPN
UTM
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
8
10. • Использует в качестве основы ASA stateful inspection
firewall;
• Предоставляет следующие продвинутые (NGFW)
сервисы:
̶ Репутационная фильтрация веб трафика для защиты от
вредоносного ПО;
̶ URL-фильтрация доступа к разным категориям сайтов на
основе заданной политики;
̶ Контроль использования приложений Application visibility and
control (AVC)
̶ Защита от угроз (NGFW IPS)
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
10
11. 1.4 Gbps NGFW
600 Mbps NGFW + IPS
1M Connections
50,000 CPS
200 Mbps NGFW
60 Mbps NGFW + IPS
100K Connections
10,000 CPS
350 Mbps NGFW
90 Mbps NGFW + IPS
250K Connections
15,000 CPS
650 Mbps NGFW
300 Mbps NGFW + IPS
500K Connections
20,000 CPS
1 Gbps NGFW
450 Mbps NGFW + IPS
750K Connections
30,000 CPS
ASA 5555-X
ASA 5545-X
ASA 5525-X
ASA 5515-X
ASA 5512-X
Защита филиалов
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Защита доступа в Интернет/границы сети
Cisco Confidential
11
12. New
with 9.2
New
with 9.2
ASA 5585-SSP60
ASA 5585-SSP40
ASA 5585-SSP20
ASA 5585-SSP10
2 Gbps NGFW
1 Gbps NGFW + IPS
500K Connections
40,000 CPS
5 Gbps NGFW
1.5 Gbps NGFW + IPS
1 Million Connections
75,000 CPS
Защита доступа в Интернет/границы сети
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
9 Gbps NGFW
2.5 Gbps NGFW + IPS
1.8 Million Connections
120,000 CPS
13 Gbps NGFW
4 Gbps NGFW + IPS
4 Million Connections
160,000 CPS
Защита доступа в Интернет/границы сети
Cisco Confidential
12
13. До NGFW 9.2
• PRSM управляет:
̶ NGFW
̶ Настройками Syslog*
• Политики применяются к группам
устройств
• Политики могут:
̶ Разрешить или запретить
NGFW 9.2
• PRSM управляет:
̶ NGFW
̶ Настройками Syslog*
̶ Конфигурацией NAT*
̶ Правилами МСЭ на ASA*
• Политики могут быть:
̶ Локальными для данного устройства
̶ Разделяемыми
̶ Универсальными
• Политики могут:
̶ Разрешить, выдать предупреждение**, или
запретить
* В режиме управления несколькими устройствами (off-box PRSM). Для одного устройства требуется ASDM или CSM.
** Пользователь может прочитать страницу предупреждения и получить доступ к запрашиваемому ресурсу.
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
13
14. Дополнительно NGFW 9.2 поддерживает:
• Поддержка режима Active/Standby:
PRSM может распознать отказоустойчивую пару и
посчитать её как одно устройство (с точки зрения
лицензирования, настроек и отчетов);
̶
• Защита от интернет-угроз NGFW IPS;
• Новые модули NGFW Cisco® ASA 5585-X SSP 40, 60:
̶
NGFW теперь поддерживается на всех моделях ASA,
кроме 5505.
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
14
15. Улучшения в NGFW 9.2:
• Роли для интерфейсов – наборы интерфейсов,
которые могут быть использованы для создания
политик безопасности;
• Ограничение полосы пропускания;
• Поддержка Safe search.
Примечание: Не все эти функции поддерживаются во всех типах политик.
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
15
16. Требования к
оборудованию
Требования к ПО
• Для платформ 5512-X, 5515-X, 5525-X,
5545-X, 5555-X требуется SSD диск.
• ASA должна использовать код не ниже
версии 9.1.3
• Для 5585-X SSP10, 20, 40, 60
для функционала NGFW необходим
отдельный аппаратный модуль.
• NGFW должен использовать 9.2
• Сервер PRSM должен использовать 9.2
Примечание: Сервер PRSM 9.2 может управлять МСЭ ASA под управлением ПО 9.0.1 или выше, если ASA без NGFW-сервиса.
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
16
18. SSP 40 and
60 Support
New with
NGFW 9.2
Two Hard Drives Raid 1
(Event Data)
10 GE and GE Ports
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
8 GB eUSB (System)
NGFW
GE Management Ports
ASA
Cisco Confidential
18
19. URL Category/Reputation
HTTP Inspection
AVC
TLS Proxy
Multiple Policy Decision
Points
TCP Proxy
NGFW IPS
TCP Normalization
NAT
TCP Intercept
Routing
IP Option Inspection
ACL
IP Fragmentation
VPN Termination
NGFW
ASA
Botnet Traffic Filter
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
20
20. Корпоративная сеть
TLS Proxy
Web-сервер
1. Согласование
алгоритмов
4. Client authenticates “server”
certificate
Сертификат генерируется
автоматически для каждого
сервера, но подписан ASA
NGFW
1. Согласование
алгоритмов
3. Создание
спроксированного
сертификата
3. Аутентификация
серверного
сертификата
5.
Генерация
ключей
шифрования
5.
Генерация
ключей
шифрования
6.
Зашифрованный
туннель установлен
6.
Зашифрованный
туннель установлен
• Две РАЗНЫХ сессии, РАЗНЫЕ сертификаты, и РАЗНЫЕ ключи
• ASA NGFW работает в данном примере как CA и выпускает сертификат для Web-сервера
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
21
21. Расшифровывает SSL и TLS трафик через любые порты
Самоподписанные (default) сертификаты или корпоративный PKI
• Самоподписанный сертификат может быть загружен на клиента и добавлен в хранилище доверенных сертификатов
Политики контроля зашифрованного трафика определяют, какой трафик должен подвергнуться инспекции
• ASA NGFW не может определить имя хоста в клиентском запросе, так как оно зашифровано, поэтому использовать его для
выбора политики не получится
• FQDN и/или URL-категория определяются по серверному сертификату
Если требуется инспектирование зашифрованного трафика, ASA NGFW работает как посредник
• Создается новый сертификат, подписанный ASA NGFW или корпоративным CA
• Поля FQDN и сроки действия нового сертификата копируются из оригинального серверного сертификата
• Несовпадения имен и истекшие сертификаты игнорируются и должны обрабатываться клиентом!!!
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
22
22. New with
NGFW 9.2
• Заставить клиентов использовать наилучшие практики работы с сертификатами
• Изменения в политиках доступа для нерасшифрованного HTTPS трафика:
̶ Хост, доменное имя, и web-категория могут быть использованы в URL-объектах для выбора политики;
̶ Фильтрация на основе Web-репутации может быть применена к HTTPS-трафику.
̶ Серверный сертификат используется для определения FQDN.
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
23
23. Поддерживается более 1200 приложений
Использует преимущества Cisco® Security Intelligence Operation (SIO)
• По умолчанию, PRSM и ASA NGFW проверяют обновления описаний приложений каждые 5 минут
Поддерживаемые приложения определяются на любом порту
Поддерживаются три уровня атомарности
• Тип приложения:
̶ Например: Collaboration, Facebook, games, social networking
• Приложение:
̶ Например: BitTorrent, Cisco phones, ftp-agent, ftp-agent, Google Translate, iTunes, LDAP, oracle-sqlnet, RADIUS, WCCP, WebEx®
• Поведение приложения:
̶ Например, можно разрешить приложения типа collaboration, но запретить загрузку файлов из сети компании наружу.
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
24
24. Уязвимость нулевого дня Internet Explorer (IE)
Cisco Continuous Intelligence
Day 0:
Site Blocked
Malicious Site
By Cisco
Detected
Day 8:
Site Volume Up
Malware Detected
Traditional Response
Day 14:
IPS Sig Published
C&C Server Blocked
40+ Malicious “Parked”
Domains Blocked
Day 16:
A/V “A” Partial Sig
Published
Day 17:
A/V “B” Sig Published
Security Advisory
Issued
Day 18:
A/V “C, “D” & Full “A” Sig
Published
IE Patched
Угрозы и атаки нулевого дня с более чем 40 «припаркованных» доменов
Подход конкурентов: бесконечная гонка против хакеров
остановлены репутацией и кросс-платформенными алгоритмами
Подход Cisco: остановить атаки на источнике
разоружить атакующих
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
25
26. “В долгорочной перспективе более 60% Java инстялляций никогда
не поддерживаются в «свежем» состоянии. Поскольку такое
количество компьютеров не обновлено, даже старые эксплиты
могут использоваться для компрометации жертв.
…Мы обнаружили, что во время первого месяца после выпуска
патча, уровень адаптации не превышает 10%. Через 2 месяца,
примерно 20% устанавливают патчи и через 3 месяца 30%. Мы
определили, что самый высокий уровень установки патчей был
38% с Java Version 6 Update 26 через три месяца после релиза.”
- Marcus Carey, Rapid7
Source: Krebs on Security “New Java Attack Rolled into Exploit Packs”. March, 2012.
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
27
2
27. • Обнаружена – 27 августа 2012 года
• Анализ -- http://www.deependresearch.org/2012/08/java-7-0-day-vulnerability-information.html
• Впервые сообщено об аналогичной уязвимости – 10 августа 2012 года Марком Вуглером
• Oracle выпустил update 7 (7u7), который исправляет эту уязвимость
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
28
2
28. Как это работает
• Зашифрованный javascript в index.html
• Уязвимость атакует Java 7 (1.7) Update 0 до 6. Не атакует Java 6 и ниже
• Работает на всех браузерах, в том числе и Google Chrome
• Не оказывает видимого влияния на работу браузеров
• При загрузке вредоносного кода, если система не уязвима, атака останавливается.
С точки зрения пользователя невозможно сказать, была ли атака успешной, или же
нет.
• Если атака успешна, она загружает и выполняет вредоносный двоичный код,
который вызывается с другого DNS/IP hello.icon.pk / 223.25.233.244
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
29
29
30. Cisco Security Intelligence Operation (SIO)
24x7x365
600+
OPERATIONS
ENGINEERS, TECHNICIANS
AND RESEARCHERS
$100M+
SPENT IN DYNAMIC RESEARCH AND
DEVELOPMENT
40+
80+
LANGUAGES
PH.D.S, CCIE, CISSP, MSCE
0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110
0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110
Cisco SIO
1001 1101 1110011 0110011 101000 0110 00 0111000 111010011
1001 1101 1110011 0110011 101000 0110 00 0111000 111010011
101 1100001 11000 111
101 1100001 11000 111
Email
Networks
Web
Endpoints
Visibility
Cloud
Actions
IPS
Devices
Information
WWW
IPS
AnyConnect
WWW
ESA
ASA
WSA
Control
1.6M
35%
3 to 5
200+
GLOBAL SENSORS
WORLDWIDE EMAIL TRAFFIC
MINUTE UPDATES
PARAMETERS TRACKED
75TB
13B
5,500+
70+
DATA RECEIVED PER DAY
WEB REQUESTS
IPS SIGNATURES PRODUCED
PUBLICATIONS PRODUCED
150M+
8M+
DEPLOYED ENDPOINTS
RULES PER DAY
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
31
31. Выделенные или взломанные
сайты, которые устанавливают
троянцев, перехватчики
клавиатуры и руткиты.
Безусловная угроза.
-10
Агрессивное использование рекламы с
Множества сайтов, использующие
технологии слежения за пользователем.
Сайты подозреваются в использовании
вредоносных технологий.
-5
Фишинговые сайты, боты и т.д.
Почти всегда имеют вредоносный
контент.
Сайты с некоторой историей
реакции на инциденты или
имеющие репутацию от третьей
стороны
0
+5
Сайты с хорошей историей реакции
на инциденты. Контент генерируется
пользователями или собирается
с других сайтов
+10
Сайты с хорошей историей
реакции на инциденты.
Генерируют большое
количество трафика и часто
посещаются
Профиль репутационной фильтрации по умолчанию
Вредоносные
(от -10 к -6)
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Не вредоносные (от -5.9 к +10)
Cisco Confidential
32
32. Применение корпоративных правил доступа к разным
категориям
Предопределённые или собственные URL-категории
78 предопределённых URL-категорий
20,000,000+ URL категоризировано
Мы говорим на 60+ языках народов мира
Использует Cisco® Security Intelligence Operation (SIO)
̶ Взаимодействует с функционалом определением
приложений AVC;
̶ По умолчанию, PRSM и NGFW проверяют обновления
каждые 5 минут.
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
33
33. New with
NGFW 9.2
Упрощённая
настройка
• Политики на основе
применимости риска
• Фокус на угрозы, а не на
сигнатуры
Богатый набор
политик
• Политика IPS часть
общей политики доступа
NGFW
Высокая
динамичность
• Ежедневные и
ежечасные
обновления:
̶ Угроз / сигнатур
• Работает с репутацией
источника
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
• Опирается на знание
приложения
̶ Аналитических
движков
̶ Репутации
Cisco Confidential
34
34. New with
NGFW 9.2
Интегрированный
Выделенный
• Угрозы
Гибкий
Простой
• Автоматическое
обновление всех
компонентов
• Сигнатуры
• Широкое покрытие
• Настраиваемые и
собственные сигнатуры
• Широкий набор реакций
Готово для ЦОД
• Набор для границы
сети/Интернета
Эффективный
• Настройки на основе
анализа риска
• Использование App ID и
Web-репутации
NGFW IPS
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
ASA IPS
Cisco Confidential
35
35. Требует HTTP-запрос для начала аутентификации
1. ASA NGFW перехватывает HTTP-запрос от клиента к сайту;
2. ASA NGFW перенаправляет клиента на внутренний интерфейс ASA (по умолчанию порт 885);
Перенаправление происходит с помощью команды proxy redirect (HTTP return code 307) – мы подменяем удаленный сайт
̶
3. ASA отправляет клиенту запрос на аутентификацию (HTTP return code 401)
4. После аутентификации, ASA NGFW перенаправляет клиента обратно на запрошенный сайт (HTTP return code 307)
После аутентификации, ASA NGFW использует IP-адрес для сопоставления с пользователем
•
Весь трафик и приложения (не только HTTP) теперь будут ассоциированы с данным пользователем
Интеграция с корпоративной инфраструктурой
Поддерживаемые каталоги пользователей:
•
•
•
Microsoft Active Directory
OpenLDAP
IBM Tivoli Directory Server
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
36
36. Устройство должно входить в домен Active Directory
Поддерживается для любого трафика и любых клиентов
Требует Cisco® Context Directory Agent (CDA):
̶ Отдельный сервер на Linux, который может быть запущен как
виртуальная машина (VM);
̶ Интуитивный web-GUI и похожая на Cisco IOS® командная строка
•
CDA собирает информацию с Active Directory;
•
CDA кэширует информацию;
•
ASA NGFW/PRSM запрашивает с CDA информацию о
пользователях;
•
ASA NGFW/PRSM запрашивает с Active Directory
информацию о членстве в группе AD.
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
37
38. Cisco® SIO
ASA NGFW
Application Identification Updates
PRSM
RESTful XML
[REST = Representational State Transfer]
Reliable Binary Logging
HTTPS
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
HTTPS
Cisco Confidential
39
39. New with
NGFW 9.2
• Когда первая ASA добавляется в PRSM, другое устройство обнаруживается автоматически;
• В большинстве случаев, PRSM считает пару за одно устройство;
• Настройки отказоустойчивости могут быть изменены в PRSM после добавления устройств:
̶ Изменить или добавить stateful failover link;
̶ Включить или выключить репликацию HTTP.
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
40
40. New with
NGFW 9.2
NGFW поддерживает все режимы ASA (маршрутизируемый,
прозрачный, смешанный)
В каждом контексте нужно явно настроить перенаправление
ASA NGFW работает как единое устройство с ASA и использует
VCID для каждой транзакции
Политики ASA NGFW глобальные и применяются ко всем
контекстам на ASA
Поддерживается активная аутентификация с возможностью
задания порта на ASA
В журналах PRSM отображаются имена контекстов
При ролевой настройке интерфейсов можно использовать
информацию о контексте
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
41
42. Политики применяют действия к некоторому подмножеству сетевого трафика
Типы политик
•
•
•
•
Доступ (ASA inbound, context-aware, ASA outbound) – определяет, какой трафик применить, а какой отбросить;
Идентификации – определяет, какой трафик требует явной аутентификации пользователя и каким образом;
Шифрования – определяет, какой из зашифрованных SSL и TLS трафик требует инспектирования и досмотра;
NAT – определяет, какой трафик требует сетевой трансляции адресов Network Address Translation (NAT).
Набор политик – это упорядоченный список политик определенного типа
• Политики применяются сверху вниз – порядок следования имеет значение!
• Как минимум, каждому типу политик соответствует хотя бы один набор политик;
• Если политика не указана, действует правило по умолчанию.
Политики по умолчанию для набора политик:
• Политики доступа имеют правило по умолчанию разрешить всё;
• Политики шифрования по умолчанию не расшифровывают трафик;
• Политики идентификации по умолчанию не требуют аутентификации.
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
43
43. Используются при создании политик
• Требуются, чтобы понять, какую политику применить.
Можно использовать как предопределённые объекты, так и созданные
администратором
Множество типов
• Исходящая сеть или сеть назначения;
• Идентификация пользователя;
• Тип устройства, ОС и клиента:
̶ Cisco AnyConnect® Secure Mobility;
̶ Строка UserAgent в HTTP-запросе.
• Запрашиваемый URL;
• Приложение или тип приложения.
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
44
44. Используются при создании политик
• Применяются после срабатывания политики
Профиль фильтрации типов файлов
• Блокирование скачивания указанных MIME-типов;
• Блокировка закачивания определённых MIME-типов.
Профили репутационной Web-фильтрации
• Указывает пороговое значение срабатывания Web-фильтра;
• Значение по умолчанию -6.
Профили противодействия угрозам Next-generation IPS
• Определяет пороговые значения для NGFW IPS;
• Умолчания: Block & Monitor 70, Allow & Monitor 40
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
45
45. New with
NGFW 9.2
Существует три типа политик доступа:
Политики для входящего в ASA трафика
• Применяются на входе;
• Имеют вид классического 5-tuple ACL;
• Могут оперировать именем пользователя и FQDN хоста.
Политики на основе знания контекста
• Применяются между исходящим и входящим трафиком;
• Используют сервисы NGFW;
Политики для исходящего от ASA трафика
• Точно такой же функционал, что и на входе.
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
46
46. New with
NGFW 9.2
• Возможность управлять настройками ASA NAT из PRSM;
• PRSM оперирует политиками NAT (ASA 8.3+);
• Три набора политик:
̶ Twice NAT rules (до object NAT)
̶ Network object NAT
̶ Twice NAT rules (после object NAT)
• Наборы политик NAT нельзя удалить или добавить, правила – можно изменять и добавлять.
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
47
48. New with
NGFW 9.2
Наборы политик бывают:
̶ Универсальные – набор политик используется всеми устройствами;
̶ Разделяемые – используются некоторыми устройствами;
̶ Локальные – набор политик используется только на одном устройстве.
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
49
49. New with
NGFW 9.2
Применяется только для политик, учитывающих
контекст соединения
Ограничивает полосу пропускания для каждой политики
При превышении порога пакеты сбрасывается
Ограничение полосы пропускания – обязательный
атрибут политики
Выделенная полоса пропускания используется всеми
соединениями, которые соответствуют данной политике
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
50
50. New with
NGFW 9.2
Применяется только для политик, учитывающих
контекст соединения
Блокирование поисковых запросов для
поддерживаемых поисковых движков:
• Если Safe Search включен в политике и выключен в
браузере клиента
Поддерживаемые поисковые движки:
•
•
•
•
•
•
Google
Yahoo
Bing
Ask
Duckduckgo
Yandex
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
51
52. New with
NGFW 9.2
Набор интерфейсов может использоваться в политиках
(входящих или исходящих)
Интерфейсам должны быть предварительно заданы
имена (nameif)
Можно использовать маски: например, *ide* совпадёт и
с inside и с outside
Удобно применять для создания политик на основе
направления трафика
• По мере роста количества интерфейсов, политики на основе
IP масштабируются всё хуже и хуже
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
53
53. New with
NGFW 9.2
Функционал NGFW IPS лицензируется отдельно,
является подписным сервисом (1, 3, 5 лет).
Кнопка ВКЛ/ВЫКЛ для NGFW
Блокировка трафика от IP-адресов из черного
списка
Опционально можно разрешить трафик с
высокой репутацией
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
54
54. New with
NGFW 9.2
Оптимизировано для защиты от эксплойтов
Три варианта реакции:
• Block and Monitor
• Allow and Monitor
• Don’t Monitor
Можно делать исключения
Используется в политиках доступа
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
55