Weitere ähnliche Inhalte
Ähnlich wie Cisco ASA. Next-Generation Firewalls (20)
Mehr von Cisco Russia (20)
Cisco ASA. Next-Generation Firewalls
- 2. © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
2
- 4. +
© 2013 Cisco and/or its affiliates. All rights reserved.
=
Cisco Confidential
4
- 5. Повсеместная защита всех компонентов
Реализация политик допустимого
использования
Надежные функции межсетевой
защиты с контролем состояния
Повсеместный доступ с любого
устройства
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
5
- 6. ?
?
Постоянное развитие
угроз
Рост количества устройств и приложений
означает, кроме всего прочего,
увеличение контактной зоны и
развитие инструментов для атаки!
Бурный рост количества
устройств
Оборудование, которое мы используем,
никогда не менялось так быстро!
Группа по ИТ/обеспечению
безопасности
Ожидаемое повышение
ИТ- производительности
Выполнение большего
количества задач с меньшими
затратами
Существенный рост
ориентированных на
пользователя приложений!
Пользователи будут работать
любым удобным им способом
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
6
- 7. Парадокс для профессионалов безопасности
VS.
Мобильность
Threats / APT
Облака
Виртуализация
Устройства
Collaboration
Приложения
BYOD
HTTPS/SSL
IPv6
© 2013 Cisco and/or its affiliates. All rights reserved.
Безопасность
Cisco Confidential
7
- 8. Меняются межсетевые экраны
Обычные правила Firewall, которые основываются на информации уровня
L3/L4 уже не удовлетворяют многим сегодняшним архитектурам
Традиционные правила:
А вот бизнес требования:
“Всем пользователям в группе Marketing должен быть разрешен доступ к Twitter и
Facebook”
“Я не хочу, чтобы мои работники тратили время в офисе играя в Facebook игры, но
блокировать доступ не хочу…”
“Я боюсь, что разработчики отправят секретную информацию через Webmail за пределы
компании”
Мне надо контролировать, кто может использовать Instant Messengers.
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
8
- 9. Полный обзор использования интернет/приложений?
Идентификация?
Что я хочу заблокировать?
А что я могу заблокировать?
Защита от malware?
Правила использования?
Защита от угроз?
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
9
- 10. Device
OS
Cisco AnyConnect®
150 million endpoints
Cisco® Identity Services Engine*
BYOD solution
OS
Version*
Posture*
Registry
© 2013 Cisco and/or its affiliates. All rights reserved.
AV
Files
* Future
Cisco Confidential
10
- 11. © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
11
- 14. 24 Hours
Daily
More Than
40
OPERATIONS
LANGUAGES
More Than
$100 Million
More Than
600
SPENT IN DYNAMIC
RESEARCH AND
DEVELOPMENT
ENGINEERS,
TECHNICIANS, AND
RESEARCHERS
More Than
80
PH.D, CCIE, CISSP,
MSCE
®
0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 01
101000 0110 00 0111000 111010011 101 1100001 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110 011 0110011 101000 0110 00 01
0010 010 10010111001 10 100111 010 000100101
101000 0110 00 0111000 111010011 101 1100001 11000
Cisco SIO
Emai
l
Devices
IPS
Networks
WWW
Cloud
Web
Actions
Endpoints
Visibility
ESA
AnyConnect®
IPS
ASA
Information
WWW
WSA
Control
1.6 Million
35%
3 to 5
More Than 200
GLOBAL SENSORS
WORLDWIDE EMAIL TRAFFIC
MINUTE UPDATES
PARAMETERS TRACKED
75 TB
13 Billion
More Than 5500
More Than 70
DATA RECEIVED PER DAY
WEB REQUESTS
IPS SIGNATURES
PRODUCED
PUBLICATIONS
PRODUCED
More Than 150 Million
DEPLOYED ENDPOINTS
More Than 8
Million
RULES PER DAY
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
14
- 15. Представьте что в Вашей сети кто-то
делает не то что Вы хотите:
• Не понятно где искать.
• Не понятно что искать.
Но действуя, создает
сетевую активность и
таким образом
обнаруживает себя.
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
15
- 16.
ASA NGFW – это дополнительный
модуль для ASA
Функциональность:
URL фильтрация с репутацией
Идентификация в AD, LDAP или CDA
Application Visibility and Control на
всех портах
Расшифровка трафика SSL
Управление ASA-CX делается
через Prime Security Manager
Restfull XML
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
16
- 17. ASA with NGFW module
Работа в Inline
FW
Не нужны клиентские
настройки
Надо деактивировать
инспекцию HTTP на
ASA
NGFW
FW
Access-list checks, connection
matching
Прозрачный
режим
•
NGFW Module Content Filtering
•
NAT
Монитор режим
•
Инспекция протоколов
•
Проверка IP Header
•
•
Исходящая обработка и передача
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
17
- 18. Трафик перенаправляется через MPF
policy-map global_policy
class class-default
cxsc fail-open
Service-policy global_policy global
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
18
- 19. ASA 5585
ASA NGFW на ASA 5585 запускается на отдельном HW модуле
Slot 0 зарезервирован для ASA SSP
Slot 1 зарезервирован для NGFW SSP
И оборудован двумя HDD в RAID 1
Сейчас не может работать одновременно с модулем IPS
(или/или)
IPS функциональность будет добавлена в ASA NGFW в конце CY 2013
NGFW SSP
ASA SSP
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
19
- 20. ASA 5585
ASA 5585-SSP60
ASA 5585-SSP40
ASA 5585-SSP10
2 Gbps NGFW
2 MM Connections
100,000 CPS
ASA 5585-SSP20
5 Gbps NGFW
4 MM Connections
250,000 CPS
Campus / Data Center
© 2013 Cisco and/or its affiliates. All rights reserved.
9
Gbps
Новинка!
Future
13
Gbps
Data Center
Cisco Confidential
20
- 21. ASA 5500-X Midrange
ASA NGFW на ASA 5500-X работает как программный
модуль
Для работы требует SSD диск
Требуется место для журналирования
5545 и 5555 могут использовать два SSH в RAID
Ядра и память распределены между процессами ASA и
ASA NGFW
Фиксированное распределение
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
21
- 22. ASA 5500-X Midrange
NG IPS
200 Mbps NGFW
100K Connections
10,000 CPS
350 Mbps NGFW
250K Connections
15,000 CPS
650 Mbps NGFW
500K Connections
20,000 CPS
1 Gbps NGFW
750K Connections
30,000 CPS
1.4 Gbps NGFW
1 MM Connections
50,000 CPS
ASA 5555-X
ASA 5545-X
ASA 5525-X
ASA 5515-X
ASA 5512-X
Internet Edge
Branch Locations
60
Mbps
© 2013 Cisco and/or its affiliates. All rights reserved.
90
Mbps
300
Mbps
450
Mbps
600
Mbps
Cisco Confidential
22
- 23. ASA 5585
NG IPS
ASA 5585-SSP60
ASA 5585-SSP40
ASA 5585-SSP10
2 Gbps NGFW
2 MM Connections
100,000 CPS
1
Gbps
ASA 5585-SSP20
5 Gbps NGFW
4 MM Connections
250,000 CPS
1,5
Gbps
Campus / Data Center
© 2013 Cisco and/or its affiliates. All rights reserved.
9
Gbps
13
Gbps
4
Gbps
2250
Mbps
Data Center
Cisco Confidential
23
- 24. ASA NGFW Components (ASA CX 9.2)
PRSM: Centralized Management & Reporting
PRSM
(5, 10, 25, 50, 100)
AVC
(1Y, 3Y, 5Y)
Application
Visibility &
Control
Web
Security
Essentials
WebAVC
+ NBAR 2
URL Filtering
+ Reputation
Next
Generatio
n
Intrusion
Prevention
System
CX SSP
Identity, Onbox Mgmt & Reporting
ASA SSP
© 2013 Cisco and/or its affiliates. All rights reserved.
WSE
(1Y, 3Y, 5Y)
NG IPS
(1Y, 3Y, 5Y)
AVC + WSE + IPS Bundle
(1Y, 3Y, 5Y)
ASA CX Bundle for
ASA 5585-X SSP-10,
20, 40, 60
ASA 5512 - 5555
CX Spare card for
ASA 5585-X SSP-10,
20, 40, 60
Cisco Confidential
24
- 25. URL Category/Reputation
HTTP Inspection
AVC
TLS Proxy
TCP Proxy
NG IPS
TCP Normalization
NAT
TCP Intercept
Routing
IP Option Inspection
ACL
IP Fragmentation
VPN Termination
SGT Policies
© 2013 Cisco and/or its affiliates. All rights reserved.
Multiple Policy
Decision Points
IPv6 Policies
ASA NGFW
ASA
Cisco Confidential
25
- 26. URL Category/Reputation
HTTP Inspection
AVC
TLS Proxy
TCP Proxy
NG IPS
TCP Normalization
NAT
TCP Intercept
Routing
IP Option Inspection
ACL
IP Fragmentation
VPN Termination
SGT Policies
© 2013 Cisco and/or its affiliates. All rights reserved.
Multiple Policy
Decision Points
IPv6 Policies
ASA NGFW
ASA
Cisco Confidential
26
- 27. • Приложений ~1200
• Микро-приложений 150,000+
• Cisco Security Intelligence Operation (SIO)
•
•
Utilizes Application Signatures
Период проверки сигнатур – по умолчанию 5 минут
• Поддерживаемые приложения определяются на всех
портах
• Для некоторых приложений – раздельный контроль
разного поведения. Разрешить приложение типу, но
запретить определённое поведение – «загрузку».
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
27
- 28. URL Category/Reputation
HTTP Inspection
AVC
TLS Proxy
TCP Proxy
NG IPS
TCP Normalization
NAT
TCP Intercept
Routing
IP Option Inspection
ACL
IP Fragmentation
VPN Termination
SGT Policies
© 2013 Cisco and/or its affiliates. All rights reserved.
Multiple Policy
Decision Points
IPv6 Policies
ASA NGFW
ASA
Cisco Confidential
28
- 29. • AUP, предупреждения и обратная связь.
• Предопределенные и свои URL категории.
• 78 предопределенных URL категорий
• 20,000,000+ URL откатегоризировано
• 60+ языков
• Cisco Security Intelligence Operation (SIO)
• Utilizes Application Signatures
• Период проверки сигнатур – по умолчанию 5 минут
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
29
- 30. Identity Policies
Активные:
Basic Authentication, NTLM, Kerberos, LDAP
Пассивные:
CDA - Agent
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
30
- 31. Сейчас пассивная аутентификация использует
CDA, в будущем – CDA + ISE
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
31
- 32. Политики расшифровки
Расшифровка SSL трафика
Решение на основе URL Category, Source, Destination, User Agent,...
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
32
- 33. • Две разные сессии, ключи и сертификаты
• ASA CX работает как CA, выпуская сертификат для Web Server
Corporate
network
Web server
ASA CX
1. Negotiate
algorithms.
4. Client Authenticates
“server” certificate.
Cert is generated
dynamically with
destination name but
signed by ASA CX.
© 2013 Cisco and/or its affiliates. All rights reserved.
3. Generate
proxied server
certificate.
5. Generate
encryption keys.
6. Encrypted data
channel established.
1. Negotiate
algorithms.
2. Authenticate
server certificate.
5. Generate
encryption keys.
6. Encrypted data
channel established.
Cisco Confidential
33
- 34. Что это?
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
34
- 35. Модели и OS
© 2013 Cisco and/or its affiliates. All rights reserved.
5510
5520
5540
5550
5580
5512-X
5515-X
5525-X
5545-X
5555-X
5585-10
5585-20
5585-40
5585-60
Peregrine
Cisco Confidential
35
- 36. до-Peregrine
Peregrine
• PRSM управление
NGFW функции
Syslog настройки
• PRSM управление
NGFW функции
Syslog настройки
NAT конфигурация
Firewall ACLs
• Политики на device groups.
• Политики:
Local to a device
Shared
Universal
• Реакция политик
Allow или Deny
• IPS и NGFW сервисы не могут
сосуществовать
© 2013 Cisco and/or its affiliates. All rights reserved.
• Реакция политик
Allow, Warn или Deny
• IPS теперь часть NGFW
Cisco Confidential
36
- 37. Поддержка Active/Standby
PRSM может находить HA конфигурации и расценивать HA
пары как единое устройство (для лицензирования, настройки
политик, отчётности)
NGFS IPS
Поддержка платформ
Добавили SSP 20, 40, 60 для ASA-5585х
NGFW теперь доступен на всей линейке ASA
«Безопасный поиск»
Ограничения пропускной в политиках
Роли интерфейсов в политике
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
37
- 38. © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
38
- 39. © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
39
- 41. Расширения
Поддержка 5585-X SSP 40 и 60
Дополнительный CLI для troubleshooting
Телеметрия
Отчет о вредоносных транзакциях
Ограничение полосы по политикам
Предупредить End Users
Safe Search
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
41
- 42. Свойства
Использование на границе сети
80% пограничных сигнатур
Threat Protection Updates
Threat Protection Workflows
Threat Protection Licensing
Threat Protection Objects
Threat Protection Profiles
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
42
- 43. © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
43
- 44. Абсолютно новая система
управления для ASA NGFW
‒ Prime Security Manager (PRSM)
‒ Для одного устройства –
прямо HTTPS интерфейс
‒ Отдельное управление для
нескольких устройство
Управление только через
GUI
‒ CLI только для troubleshooting
и первоначальной настройки
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
44
- 45. RESTful XML
ASA NGFW
Binary Logging
PRSM
Примечание: ASA может отправлять Syslog на PRSM
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
45
- 46. SIO обновления для
Cisco SIO
‒ Application Visibility & Control
‒ URL Filtering Categories
Cisco® SIO
‒ Reputation
‒ Trusted Root CAs
ASA NGFW
© 2013 Cisco and/or its affiliates. All rights reserved.
PRSM
Cisco Confidential
46
- 47.
Виртуальная машина
Предоставляется в виде файла .ova Open
Virtual Appliance (OVA)
VMware vSphere Hypervisor 4.1 (Update 2)
Загружается с www.cisco.com
UCS бандл
Cервер UCS C220 M3 Server + ESXi 4.1
U2 + VM
Виртуальная машина
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
47
- 48. Доступ
• Какой трафик разрешить
или запретить?
Identity
• Как идентифицировать
пользователей?
Decryption
• Какой трафик TLS/SSL
расшифровать?
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
48
- 49. • Schema-Driven
• Web UI
• Management
Consistency
• End-to-End
Operations
• UX-Driven
• Visibility
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
49
- 50. New Features
Новая модель политик
Разделение политик
Конфигурация по устройству
Вид репозитария
CLI Preview
HA Dashboard
Свыше 25 устройств
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
50
- 52. API
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
52
- 53. Stateful inspection + next-generation functionality
Множество форм-факторов и моделей
Context-Aware
•
•
•
•
Глубокий контроль приложений
Лучший в сфере удаленного доступа
Качественная URL фильтрация
Идентификация пользователей и
устройств
Threat-Aware
•
•
•
•
Веб-репутация для защиты от вирусов
Встроенный IPS – защита от АРТ
Усилено Cisco®
Периодические апдейты почти в
реальном времени (минуты)
Cisco ASA Stateful Inspection Firewall
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
53
- 55. © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
55
- 56. Преимущества:
Routing
WAAS
NGFW
Future
Services
Простота внедрения
• Не требует внешнего железа и
соединений
• Простота установки
IOS XE
Гибкость и расширяемость
• L7 Aware multi-core data plane
• До 400 Mbps с AVC/WSE/IPS
• Не требует сложной настройки
Ниже совокупная стоимость
владения (ТСО)
• Меньше устройств
• Единый контракт поддержки
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
56
- 57. Факты
• Работа на скорости 1 – 2 Gbps
• Более 1Gbps криптопропускной
• Services Plane
Выделенный процессинг для приложений и
сервисов
• Четко определенная производительность при
включении сервисов
• Модель Pay-as-you-grow наращивания
производительности с 1 до 2 Gbps
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
57
- 58. IOSd
Control Plane
Future Cisco Embedded
Network Services
ISR-WAAS
Linux OS
Common API (onePK)
Platform Specific Data Plane
onePK
Internal Services
Blade (UCS ESeries)
© 2013 Cisco and/or its affiliates. All rights reserved.
AppNav
AVC
onePK
External Services
Blade (UCS)
Cisco Confidential
58
- 59. IOSd
Future L7
Firewall
WAAS
Control Plane
(Control &
IPS)
Future Apps
Linux OS
Common API (onePK)
Platform Specific Data Plane Appnav
onePK
Internal Services
Blade (UCS ESeries)
© 2013 Cisco and/or its affiliates. All rights reserved.
L7 Firewall
(Data)
onePK
External Services
Blade (UCS)
Cisco Confidential
59