Location via proxy:
[ UP ]
[Report a bug]
[Manage cookies]
No cookies
No scripts
No ads
No referrer
Show this form
Submit Search
Cisco ASA. Next-Generation Firewalls
•
1 like
•
2,859 views
Cisco Russia
Follow
Gallery
Report
Share
Gallery
Report
Share
1 of 60
Download now
Download to read offline
More Related Content
Cisco ASA. Next-Generation Firewalls
1.
Андрей Оврашко Системный инженер
Cisco C97-729688-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1
2.
© 2013 Cisco
and/or its affiliates. All rights reserved. Cisco Confidential 2
3.
Мобильность Угрозы Облака Эти тренды требуют
качественно нового подхода к ИБ © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3
4.
+ © 2013 Cisco
and/or its affiliates. All rights reserved. = Cisco Confidential 4
5.
Повсеместная защита всех
компонентов Реализация политик допустимого использования Надежные функции межсетевой защиты с контролем состояния Повсеместный доступ с любого устройства © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5
6.
? ? Постоянное развитие угроз Рост количества
устройств и приложений означает, кроме всего прочего, увеличение контактной зоны и развитие инструментов для атаки! Бурный рост количества устройств Оборудование, которое мы используем, никогда не менялось так быстро! Группа по ИТ/обеспечению безопасности Ожидаемое повышение ИТ- производительности Выполнение большего количества задач с меньшими затратами Существенный рост ориентированных на пользователя приложений! Пользователи будут работать любым удобным им способом © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6
7.
Парадокс для профессионалов
безопасности VS. Мобильность Threats / APT Облака Виртуализация Устройства Collaboration Приложения BYOD HTTPS/SSL IPv6 © 2013 Cisco and/or its affiliates. All rights reserved. Безопасность Cisco Confidential 7
8.
Меняются межсетевые экраны Обычные
правила Firewall, которые основываются на информации уровня L3/L4 уже не удовлетворяют многим сегодняшним архитектурам Традиционные правила: А вот бизнес требования: “Всем пользователям в группе Marketing должен быть разрешен доступ к Twitter и Facebook” “Я не хочу, чтобы мои работники тратили время в офисе играя в Facebook игры, но блокировать доступ не хочу…” “Я боюсь, что разработчики отправят секретную информацию через Webmail за пределы компании” Мне надо контролировать, кто может использовать Instant Messengers. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
9.
Полный обзор
использования интернет/приложений? Идентификация? Что я хочу заблокировать? А что я могу заблокировать? Защита от malware? Правила использования? Защита от угроз? © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9
10.
Device OS Cisco AnyConnect® 150 million
endpoints Cisco® Identity Services Engine* BYOD solution OS Version* Posture* Registry © 2013 Cisco and/or its affiliates. All rights reserved. AV Files * Future Cisco Confidential 10
11.
© 2013 Cisco
and/or its affiliates. All rights reserved. Cisco Confidential 11
12.
Malware Много Часто Трудноуловимы © 2013 Cisco
and/or its affiliates. All rights reserved. Cisco Confidential 12
13.
Автоматизировано Cisco® SIO Высокоэффективно Производительно Повышение операционной эффективности средств
ИБ © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
14.
24 Hours Daily More Than 40 OPERATIONS LANGUAGES More
Than $100 Million More Than 600 SPENT IN DYNAMIC RESEARCH AND DEVELOPMENT ENGINEERS, TECHNICIANS, AND RESEARCHERS More Than 80 PH.D, CCIE, CISSP, MSCE ® 0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 01 101000 0110 00 0111000 111010011 101 1100001 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110 011 0110011 101000 0110 00 01 0010 010 10010111001 10 100111 010 000100101 101000 0110 00 0111000 111010011 101 1100001 11000 Cisco SIO Emai l Devices IPS Networks WWW Cloud Web Actions Endpoints Visibility ESA AnyConnect® IPS ASA Information WWW WSA Control 1.6 Million 35% 3 to 5 More Than 200 GLOBAL SENSORS WORLDWIDE EMAIL TRAFFIC MINUTE UPDATES PARAMETERS TRACKED 75 TB 13 Billion More Than 5500 More Than 70 DATA RECEIVED PER DAY WEB REQUESTS IPS SIGNATURES PRODUCED PUBLICATIONS PRODUCED More Than 150 Million DEPLOYED ENDPOINTS More Than 8 Million RULES PER DAY © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
15.
Представьте что в
Вашей сети кто-то делает не то что Вы хотите: • Не понятно где искать. • Не понятно что искать. Но действуя, создает сетевую активность и таким образом обнаруживает себя. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
16.
ASA NGFW –
это дополнительный модуль для ASA Функциональность: URL фильтрация с репутацией Идентификация в AD, LDAP или CDA Application Visibility and Control на всех портах Расшифровка трафика SSL Управление ASA-CX делается через Prime Security Manager Restfull XML © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16
17.
ASA with NGFW
module Работа в Inline FW Не нужны клиентские настройки Надо деактивировать инспекцию HTTP на ASA NGFW FW Access-list checks, connection matching Прозрачный режим • NGFW Module Content Filtering • NAT Монитор режим • Инспекция протоколов • Проверка IP Header • • Исходящая обработка и передача © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
18.
Трафик перенаправляется
через MPF policy-map global_policy class class-default cxsc fail-open Service-policy global_policy global © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18
19.
ASA 5585 ASA
NGFW на ASA 5585 запускается на отдельном HW модуле Slot 0 зарезервирован для ASA SSP Slot 1 зарезервирован для NGFW SSP И оборудован двумя HDD в RAID 1 Сейчас не может работать одновременно с модулем IPS (или/или) IPS функциональность будет добавлена в ASA NGFW в конце CY 2013 NGFW SSP ASA SSP © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19
20.
ASA 5585 ASA 5585-SSP60 ASA
5585-SSP40 ASA 5585-SSP10 2 Gbps NGFW 2 MM Connections 100,000 CPS ASA 5585-SSP20 5 Gbps NGFW 4 MM Connections 250,000 CPS Campus / Data Center © 2013 Cisco and/or its affiliates. All rights reserved. 9 Gbps Новинка! Future 13 Gbps Data Center Cisco Confidential 20
21.
ASA 5500-X Midrange
ASA NGFW на ASA 5500-X работает как программный модуль Для работы требует SSD диск Требуется место для журналирования 5545 и 5555 могут использовать два SSH в RAID Ядра и память распределены между процессами ASA и ASA NGFW Фиксированное распределение © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21
22.
ASA 5500-X Midrange NG
IPS 200 Mbps NGFW 100K Connections 10,000 CPS 350 Mbps NGFW 250K Connections 15,000 CPS 650 Mbps NGFW 500K Connections 20,000 CPS 1 Gbps NGFW 750K Connections 30,000 CPS 1.4 Gbps NGFW 1 MM Connections 50,000 CPS ASA 5555-X ASA 5545-X ASA 5525-X ASA 5515-X ASA 5512-X Internet Edge Branch Locations 60 Mbps © 2013 Cisco and/or its affiliates. All rights reserved. 90 Mbps 300 Mbps 450 Mbps 600 Mbps Cisco Confidential 22
23.
ASA 5585 NG IPS ASA
5585-SSP60 ASA 5585-SSP40 ASA 5585-SSP10 2 Gbps NGFW 2 MM Connections 100,000 CPS 1 Gbps ASA 5585-SSP20 5 Gbps NGFW 4 MM Connections 250,000 CPS 1,5 Gbps Campus / Data Center © 2013 Cisco and/or its affiliates. All rights reserved. 9 Gbps 13 Gbps 4 Gbps 2250 Mbps Data Center Cisco Confidential 23
24.
ASA NGFW Components
(ASA CX 9.2) PRSM: Centralized Management & Reporting PRSM (5, 10, 25, 50, 100) AVC (1Y, 3Y, 5Y) Application Visibility & Control Web Security Essentials WebAVC + NBAR 2 URL Filtering + Reputation Next Generatio n Intrusion Prevention System CX SSP Identity, Onbox Mgmt & Reporting ASA SSP © 2013 Cisco and/or its affiliates. All rights reserved. WSE (1Y, 3Y, 5Y) NG IPS (1Y, 3Y, 5Y) AVC + WSE + IPS Bundle (1Y, 3Y, 5Y) ASA CX Bundle for ASA 5585-X SSP-10, 20, 40, 60 ASA 5512 - 5555 CX Spare card for ASA 5585-X SSP-10, 20, 40, 60 Cisco Confidential 24
25.
URL Category/Reputation HTTP Inspection AVC TLS
Proxy TCP Proxy NG IPS TCP Normalization NAT TCP Intercept Routing IP Option Inspection ACL IP Fragmentation VPN Termination SGT Policies © 2013 Cisco and/or its affiliates. All rights reserved. Multiple Policy Decision Points IPv6 Policies ASA NGFW ASA Cisco Confidential 25
26.
URL Category/Reputation HTTP Inspection AVC TLS
Proxy TCP Proxy NG IPS TCP Normalization NAT TCP Intercept Routing IP Option Inspection ACL IP Fragmentation VPN Termination SGT Policies © 2013 Cisco and/or its affiliates. All rights reserved. Multiple Policy Decision Points IPv6 Policies ASA NGFW ASA Cisco Confidential 26
27.
• Приложений ~1200 •
Микро-приложений 150,000+ • Cisco Security Intelligence Operation (SIO) • • Utilizes Application Signatures Период проверки сигнатур – по умолчанию 5 минут • Поддерживаемые приложения определяются на всех портах • Для некоторых приложений – раздельный контроль разного поведения. Разрешить приложение типу, но запретить определённое поведение – «загрузку». © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27
28.
URL Category/Reputation HTTP Inspection AVC TLS
Proxy TCP Proxy NG IPS TCP Normalization NAT TCP Intercept Routing IP Option Inspection ACL IP Fragmentation VPN Termination SGT Policies © 2013 Cisco and/or its affiliates. All rights reserved. Multiple Policy Decision Points IPv6 Policies ASA NGFW ASA Cisco Confidential 28
29.
• AUP, предупреждения
и обратная связь. • Предопределенные и свои URL категории. • 78 предопределенных URL категорий • 20,000,000+ URL откатегоризировано • 60+ языков • Cisco Security Intelligence Operation (SIO) • Utilizes Application Signatures • Период проверки сигнатур – по умолчанию 5 минут © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29
30.
Identity Policies Активные: Basic
Authentication, NTLM, Kerberos, LDAP Пассивные: CDA - Agent © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30
31.
Сейчас пассивная
аутентификация использует CDA, в будущем – CDA + ISE © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31
32.
Политики расшифровки Расшифровка
SSL трафика Решение на основе URL Category, Source, Destination, User Agent,... © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32
33.
• Две разные
сессии, ключи и сертификаты • ASA CX работает как CA, выпуская сертификат для Web Server Corporate network Web server ASA CX 1. Negotiate algorithms. 4. Client Authenticates “server” certificate. Cert is generated dynamically with destination name but signed by ASA CX. © 2013 Cisco and/or its affiliates. All rights reserved. 3. Generate proxied server certificate. 5. Generate encryption keys. 6. Encrypted data channel established. 1. Negotiate algorithms. 2. Authenticate server certificate. 5. Generate encryption keys. 6. Encrypted data channel established. Cisco Confidential 33
34.
Что это? © 2013
Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34
35.
Модели и OS ©
2013 Cisco and/or its affiliates. All rights reserved. 5510 5520 5540 5550 5580 5512-X 5515-X 5525-X 5545-X 5555-X 5585-10 5585-20 5585-40 5585-60 Peregrine Cisco Confidential 35
36.
до-Peregrine Peregrine • PRSM управление NGFW
функции Syslog настройки • PRSM управление NGFW функции Syslog настройки NAT конфигурация Firewall ACLs • Политики на device groups. • Политики: Local to a device Shared Universal • Реакция политик Allow или Deny • IPS и NGFW сервисы не могут сосуществовать © 2013 Cisco and/or its affiliates. All rights reserved. • Реакция политик Allow, Warn или Deny • IPS теперь часть NGFW Cisco Confidential 36
37.
Поддержка Active/Standby PRSM
может находить HA конфигурации и расценивать HA пары как единое устройство (для лицензирования, настройки политик, отчётности) NGFS IPS Поддержка платформ Добавили SSP 20, 40, 60 для ASA-5585х NGFW теперь доступен на всей линейке ASA «Безопасный поиск» Ограничения пропускной в политиках Роли интерфейсов в политике © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 37
38.
© 2013 Cisco
and/or its affiliates. All rights reserved. Cisco Confidential 38
39.
© 2013 Cisco
and/or its affiliates. All rights reserved. Cisco Confidential 39
40.
Peregrine Поддерживаемые функции © 2013
Cisco and/or its affiliates. All rights reserved. Cisco Confidential 40
41.
Расширения Поддержка 5585-X SSP
40 и 60 Дополнительный CLI для troubleshooting Телеметрия Отчет о вредоносных транзакциях Ограничение полосы по политикам Предупредить End Users Safe Search © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 41
42.
Свойства Использование на границе
сети 80% пограничных сигнатур Threat Protection Updates Threat Protection Workflows Threat Protection Licensing Threat Protection Objects Threat Protection Profiles © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 42
43.
© 2013 Cisco
and/or its affiliates. All rights reserved. Cisco Confidential 43
44.
Абсолютно новая
система управления для ASA NGFW ‒ Prime Security Manager (PRSM) ‒ Для одного устройства – прямо HTTPS интерфейс ‒ Отдельное управление для нескольких устройство Управление только через GUI ‒ CLI только для troubleshooting и первоначальной настройки © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 44
45.
RESTful XML ASA NGFW Binary
Logging PRSM Примечание: ASA может отправлять Syslog на PRSM © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 45
46.
SIO обновления
для Cisco SIO ‒ Application Visibility & Control ‒ URL Filtering Categories Cisco® SIO ‒ Reputation ‒ Trusted Root CAs ASA NGFW © 2013 Cisco and/or its affiliates. All rights reserved. PRSM Cisco Confidential 46
47.
Виртуальная машина Предоставляется в
виде файла .ova Open Virtual Appliance (OVA) VMware vSphere Hypervisor 4.1 (Update 2) Загружается с www.cisco.com UCS бандл Cервер UCS C220 M3 Server + ESXi 4.1 U2 + VM Виртуальная машина © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 47
48.
Доступ • Какой трафик
разрешить или запретить? Identity • Как идентифицировать пользователей? Decryption • Какой трафик TLS/SSL расшифровать? © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 48
49.
• Schema-Driven • Web
UI • Management Consistency • End-to-End Operations • UX-Driven • Visibility © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 49
50.
New Features Новая модель
политик Разделение политик Конфигурация по устройству Вид репозитария CLI Preview HA Dashboard Свыше 25 устройств © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 50
51.
Основные возможности Device Selector ASA Policy Tab NGFW Policy
Tab Device Configuration Tab Policy Sharing 5- Tuple Rule base Install On © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 51
52.
API © 2013 Cisco
and/or its affiliates. All rights reserved. Cisco Confidential 52
53.
Stateful inspection +
next-generation functionality Множество форм-факторов и моделей Context-Aware • • • • Глубокий контроль приложений Лучший в сфере удаленного доступа Качественная URL фильтрация Идентификация пользователей и устройств Threat-Aware • • • • Веб-репутация для защиты от вирусов Встроенный IPS – защита от АРТ Усилено Cisco® Периодические апдейты почти в реальном времени (минуты) Cisco ASA Stateful Inspection Firewall © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 53
54.
http://www.asacx-cisco.com © 2013
Cisco and/or its affiliates. All rights reserved. Cisco Confidential 54
55.
© 2013 Cisco
and/or its affiliates. All rights reserved. Cisco Confidential 55
56.
Преимущества: Routing WAAS NGFW Future Services Простота внедрения • Не
требует внешнего железа и соединений • Простота установки IOS XE Гибкость и расширяемость • L7 Aware multi-core data plane • До 400 Mbps с AVC/WSE/IPS • Не требует сложной настройки Ниже совокупная стоимость владения (ТСО) • Меньше устройств • Единый контракт поддержки © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 56
57.
Факты • Работа на
скорости 1 – 2 Gbps • Более 1Gbps криптопропускной • Services Plane Выделенный процессинг для приложений и сервисов • Четко определенная производительность при включении сервисов • Модель Pay-as-you-grow наращивания производительности с 1 до 2 Gbps © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 57
58.
IOSd Control Plane Future Cisco
Embedded Network Services ISR-WAAS Linux OS Common API (onePK) Platform Specific Data Plane onePK Internal Services Blade (UCS ESeries) © 2013 Cisco and/or its affiliates. All rights reserved. AppNav AVC onePK External Services Blade (UCS) Cisco Confidential 58
59.
IOSd Future L7 Firewall WAAS Control Plane (Control
& IPS) Future Apps Linux OS Common API (onePK) Platform Specific Data Plane Appnav onePK Internal Services Blade (UCS ESeries) © 2013 Cisco and/or its affiliates. All rights reserved. L7 Firewall (Data) onePK External Services Blade (UCS) Cisco Confidential 59
60.
Thank you.
Download now