Обзор продуктов в области информационной безопасности

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1
Обзор продуктов в области
информационной
безопасности
Михаил Кадер
mkader@cisco.com

• Межсетевые экраны
• Системы обнаружения и предоствращения вторжений
• Система управления информационной безопасностью
предприятия

Межсетевые экраны

Multi-Service
(Firewall/VPN и IPS)
PerformanceandScalability
Data CenterCampusBranch OfficeSOHO Internet Edge
ASA 5585 SSP-60
(40 Gbps, 350K cps)
ASA 5585 SSP-40
(20 Gbps, 200K cps)
ASA 5585 SSP-20
(10 Gbps, 125K cps)
ASA 5585 SSP-10
(4 Gbps, 50K cps)
ASA 5540
(650 Mbps,25K cps)
ASA 5520
(450 Mbps,12K cps)
ASA 5510
(300 Mbps,9K cps)
ASA 5505
(150 Mbps, 4K cps)
ASA 5550
(1.2 Gbps, 36K cps)
ASA 5580-20
(10 Gbps, 90K cps)
ASA 5580-40
(20 Gbps, 150K cps)

Показатель Значение
Производительность шасси 64 Гбит/сек
Производительность модуля 16 Гбит/сек
Одновременных сессий 10M
Новых соединений в секунду 350K
Контекстов безопасности 250
VLANs 1K

ASA 5512-X
Пропускная
способность
межсетевого экрана 1
Гбит/с
ASA 5515-X
межсетевого экрана 1,2
Гбит/с
ASA 5525-X
Гбит/с
ASA 5545-X
Гбит/с
ASA 5555-X
Гбит/с
1. Пропускная способность на
уровне нескольких Гбит/с
Для удовлетворения растущих
требований к пропускной способности
2. Встроенные средства ускорения
сервисов
(дополнительное оборудование не
требуется)
Для поддержки меняющихся
потребностей бизнеса
3. Платформа с поддержкой
сервисов нового поколения
Для защиты инвестиций

Cisco® ASA 5585 Cisco ASA 8.4 Cisco ASA 9.0
Надежная
платформа
Производительность Кластеризация

64-
разрядное
ПО

согласованный коэффициент масштабирования
• Общая пропускная способность = Кол-во x Пропускная
одного узла x Коэффициент масштабируемости
Пример. Кластер из 4 узлов с Cisco® ASA 5585-S60 с
EMIX обеспечивает 64 миллиона подключений и пропускную способность 64 Гбит/с.
• Коэффициент линейного масштабирование
независимо от количества
Пример. Если кластер из 4 узлов поддерживает 32 миллиона подключений,
кластер из 8 узлов будет поддерживать
64 миллиона подключений для трафика того же профиля.
• Общая кол-во подключений = Кол-во x Кол-во
подключений
одного узла x Коэффициент масштабируемости
Пример. Кластер из 4 узлов с Cisco ASA 5585-S60 может поддерживать
32 миллиона подключений.

высокая доступность
• Все устройства в кластере являются активными и
передают трафик.
• Все устройства в кластере являются либо основными
устройствами, либо резервными, используемыми от
сеанса к сеансу.
• В случае сбоя узла проведение сеанса переходит на
резервные устройства.
• Благодаря протоколу LACP соседние коммутаторы
прекращают передачу трафика по неработающему
каналу.

• Единая консоль конфигурации и автоматическая
синхронизация конфигурации в кластере.
Управление кластером из 8 устройств осуществляет всего один
экземпляр Cisco ASDM.
• Обработка удаленных команд выполняется на любом
узле.
• Статистические данные использования ресурсов в
рамках кластера
Использование ресурсов ЦП и памяти для любого узла.
Использование канала управления кластером.
• Поддержка Cisco® Security Manager

мастер конфигурации

системная панель мониторинга

использование ресурсов
Использование
ресурсов ЦП и
памяти для любого
узла в кластере
Количество
подключений в
секунду для всего
кластера и для
каждого узла

вкладка «Пропускная способность»
Общая пропускная
способность и
пропускная
каждого узла

сведения о распределении нагрузки и
использовании канала управления кластером
Использование
канала
управления
кластером
Распределение
нагрузки между
членами кластера

захват пакетов

Лучшая в своем классе
безопасность сети
Лучшая в своем классе
web-защита на основе
облака

Script
PDF
Flash
Java
.exe
Несколько
сканеров
AV
Web-
страница
«Чисты
й»
контент
Известные вредоносные программы заблокированы
Глубокий
анализ
контента
Виртуализован-
ная
эмуляция
скриптов
Структурное
изучение
контента
Да
Новые
вредоносные
программы
заблокированы
Web-
контент
Контроль
исходящего
трафика
Script-
сканирова
ние
Сканирование
репутации
PDF-
сканирова
ние
Flash-
сканирова
ние
Java-
сканирова
ние
Exe-
сканирова
ние


прозрачность и контроль web-приложений
ЧТО
Классификация и контроль
web-трафика
Более 1000
приложений
Подробная классификация и
контроль поведений
микроприложений и
Более 75 000
микроприложений Контроль
пропускной
способности

• Web-защита на основе облака с учетом контекста
• Поддержка перенаправления контекста в решение Cisco ScanSafe Cloud Web Security
• Несколько антивирусных механизмов и сканеров web-содержимого
• Cisco ScanSafe Cloud Web Security и Cisco AVC поддерживают более 1000 web-
приложений и 75 000 микроприложений
?
Cisco® ASA


Утвержденные
сайты

Ограниченный
доступ
Центр. офис
Кадровая
служба
CIC

SGT f Пользователь,
группа,
состояние, код
устройства, IP-
адрес,
сертификат……

Cisco ISE

расширение политики CiscoASA
Правила Cisco TrustSec® можно использовать в сочетании с правилами на основе
пяти кортежей в устройстве Cisco® ASA. Для настройки политик можно
использовать SGT (0008) или имя группы безопасности (sgt_marketing).

Сервер
маркетинга
Каталоги AD
и LDAP
Cisco
ASA
SXP
SGT
(003)
Пользователь
= kpahare
SXP
Корпоративные
серверы
SGT = 003
Cisco®
ISE AAA

• Решение Cisco TrustSec® поддерживается только
частью коммутаторов; оно позволяет выполнять
поэтапные развертывания.
• SGT может быть функцией одного или нескольких
атрибутов. Допускает использование сложных
правил политик.
• Политики доступа Cisco® ASA могут быть
сочетанием SGT и правил на основе пяти сетевых
признаков.

Пользователь = Guest аутентифицируется с гостевого_iPad и ему назначается
SGT = 100/Guest (гость).
На устройстве Cisco ASA: { если SGT = 100; разрешить доступ
только_в_Интернет}
Пользователь = kpahare аутентифицируется с iPad (или некорпоративного_актива)
и ему назначается SGT = 009/BYOD.
На устройстве Cisco ASA: {если SGT=009; разрешить доступ
только_по_протоколу_rdp к финансовым_приложениям }
Пользователь = kpahare аутентифицируется с корпоративного актива и ему
назначается SGT = 007/Quarantine (карантин). Антивирусное ПО было отключено.
После включения антивирусного ПО пользователю kpahare назначается
008/Compliant (соответствует).
На устройстве Cisco® ASA: { если SGT = 008; разрешитьполный_доступ к
финансовым_приложениям }

* Предполагает группы объектов для IP-
Источник Назначение Действие
IP
Группа или
пользователь AD
Группа
обеспечения
IP
Группа
обеспечения
Порт Действие
Любой joeuser@cisco.com 10.1.1.1
Любой Любой Гость с iPad
Гостевые
сервисы
http Разрешить
Любой Любой
центра
обработки
вызовов на
виртуальном
рабочем месте
(HVD)
CRM http Разрешить
Любой Любой
кадровой
службы на
виртуальном
рабочем месте
(HVD)
База данных
кадровой
службы
https Разрешить
Любой Любой Любой Любой Любой Любой Запретить

• Адресация интерфейсов
• Списки доступа IPv6
• Статическая маршрутизация по протоколу IPv6
• Обнаружение соседей по протоколу IPv6
• Межсетевой экран в контекстах безопасности по протоколу IPv6
• Прослушиватель MLDv2 в однопользовательском режиме по протоколу IPv6
• Модули проверки приложений с поддержкой IPv6 включают сквозное
пропускание по протоколам
FTP, HTTP, ICMP, SIP, SMTP и IPsec
• IPv6 в режиме прозрачного межсетевого экрана (уровень 2)
• Поддержка IPv6 в Cisco® Adaptive Security Device Manager (ASDM).
• Туннелирование VPN между площадками по протоколу IPv6, IKEv1 и IKEv2
• Аварийное переключение по протоколу IPv6
• Заголовок расширения IPv6
• Поддержка Cisco ASDM по протоколу IPv6

несколько контекстов
OSPFv2 EIGRP
Кол-во экземпляров,
поддерживаемых
для каждого контекста
2 (процессы) 1 (экземпляр)
Поддержка контекста Пользователь и администратор
Поддержка перекрытия Да (область) Да (активный-резервный)
Поддержка общего
интерфейса
Да
Один и тот же интерфейс
CLI в мульти- и
одноконтекстном
режимах
Да

VPN-подключения между
площадками в мультиконтекстном режиме
Этап 1 (этот выпуск).
• VPN-подключения между площадками по протоколам IKEv1 и
IKEv2:
IPv4 и IPv6
• Поддерживаются все режимы аварийного переключения:
«активный/активный» и «активный/резервный»
• Конфигурация аналогична конфигурации в режиме одного
контекста
• Ограничения и распределения ресурсов в системном контексте:
распределение и распределение при резком увеличении спроса
на лицензии

смешанный мультиконтекстный режим

Кластеризация
IPv6
Cisco® Cloud Web Security
Улучшения мультиконтекстных возможностей
Смешанный режим
Cisco TrustSec®
Шифрование нового поколения
Бесклиентские VPN-подключения
Улучшения производительности и
масштабируемости
VPN-подключения в Cisco ASA-SM

Понимание контекста
Классический МСЭ ASA
Устройство Интегрированное решение Виртуализация
Широкий спектр платформ

Cisco ASA CX
Устройство Интегрированное решение Виртуализация
Широкий спектр платформ

• Межсетевой экран нового
поколения
• Context-Aware Firewall
• Активная/Пассивная
аутентификация
• Application Visibility and
Control/DPI с анализом контента
• Репутационная фильтрация
КОГДАЧТО ГДЕ/ОТКУДА КАККТО

• Покрытие широкого спектра сценариев идентификации
* Future
КТО
TRUSTSEC*
Network Identity
Group information
Any tagged trafficUser Authentication
• Auth-Aware Apps
• Mac, Windows, Linux
• AD/LDAP user credential
AD/LDAP Identity
• Non-auth-aware apps
• Any platform
• AD/LDAP credential
IP Surrogate
AD Agent
NTLM
Kerberos

ЧТО
75,000+ MicroApps
MicroApp Engine
Глубокий анализ трафика
Поведение
Контроль действий
пользователя внутри
Покрытие…
… классификация всего
трафика
1,000+ приложений

• Ameba
• Yahoo! Mobage
• 2Channel
• Pinterest: блокировка выгрузки
файлов, блокировка
размещения текстов,
блокировка отметки
«Нравится»
• Yandex
Июль
• Winamp Remote
• Gree
• Google Drive: выгрузка, загрузка, общий
доступ, редактирование
• Scribd: выгрузка, загрузка, размещение
• SkyDrive: выгрузка, загрузка,
редактирование
• SmugMug: выгрузка, загрузка, отметка
как «Нравится», общий доступ
• Microsoft Windows Azure
• Salesforce CRM
• Microsoft CRM Dynamics Online
• iscsi-target
• LogMeIn
• Mikogo
• Незашифрованный трафик
Oracle e-Business Suite
• Службы Google
Август
Сентябрь
• eBay
• FileDropper
• Mixi
• AOL Mail: загрузка вложений, выгрузка
вложений, отправка эл. почты
• Photobucket: выгрузка файлов,
загрузка файлов, общий доступ
• Dailymotion: выгрузка файлов,
размещение, использование контента сайта
• Answers.com: размещение
• DocStoc: выгрузка файлов, загрузка
файлов
• Microsoft Lync
• Gbridge
• Tor
• ShowMyPC
• Facetime
• Yahoo-Accounts
• Camo-proxy
• Glide
• Nico Nico Douga
• Twiddla
• Suresome
• Techinline
• Vimeo: выгрузка, загрузка, размещение
текстов
Октябрь
Приложения, выпущенные с момента первых
поставок ASA CX клиентам
• ASProxy
• CoralCDN
• Proxono
• Surrogafier
• Symantec Live Update
• Windows Updates
• Zelune
Ноябрь

ЧТО
Маркетинг Юристы Финансы
языков
стран
mn URLs
покрытие
60
200
20
98%

ГДЕ/ОТКУДА
ОФИС
ОТЕЛЬ

• Информация с 100,000,000 оконечных устройств
Устройство Состояние
AV
Registry
Files
Версия ОС
Identity Services Engine
КАК

КОГДАЧТО ГДЕ/ОТКУДА КАККТО
Знание угроз

www.facebook.com GO
Cisco SIO

ASA
• Ядро или ЦОД
• Multi-tenant
• Active/Active Failover
ASA CX
• Кампус или граница
• Контроль
• Next-gen Firewall

WSA
• Прокси-сервер
• Кеширование
• Сканирование Anti-Malware
• DLP
• Полная Web-безопасность
ASA CX
• Next-gen Firewall
• Inline
• Все порты/протоколы
• Базовая Web-безопасность

ASA SSP
CX SSP

Заказчику нужен
только ASA CX?
Пусть заказывает
один модуль в
шасси 5585-X!
Заказчику нужен
ASA и ASA CX?
Пусть заказывает
два модуля в шасси
5585-X!

• Система управления для ASA CX
• Встроенный в ASA CX для управления одним МСЭ
• Отдельное устройство для поддержки нескольких ASA CX
• RBAC
• Конфигурация, события и репортинг
• Виртуальная машина или устройство UCS

Cisco ASA CX
Понимание угроз

Производительность,масштабируемость,адаптивность
Комплекс
зданий
Интернет-
периметр
Филиал
Cisco IPS 4360
Cisco® IPS 4345
Центр обработки
данных
Cisco IPS 4510
Cisco IPS 4520
Новинка
Новинка
Новинка
Новинка

Производительность,масштабируемость,адаптивность
Комплекс
зданий
Интернет-
периметр
ФилиалSOHO Центр обработки
данных
Cisco ASA 5585-X-
S60P60
Cisco ASA 5585-
S40P40
Cisco ASA 5585-
S20P20
Cisco ASA 5585-
S10P10
Cisco® ASA 5512-
X IPS
Cisco ASA 5515-X IPS
Cisco ASA
5525-X IPS
Cisco ASA
5545-X IPS
Новинка
Новинка
Новинка
Новинка
Новинка

Новый межсетевой экран с поддержкой сервисов и
функцией IPS
• Платформа межсетевого экрана
нового поколения с поддержкой
сервисов
• Устройства ASA среднего уровня с
функцией ПО IPS с учетом
контекста
• Cisco® ASA 5525-X , ASA 5545-X и
ASA 5555-X имеют аппаратное
ускорение для IPS.
• 1 интерфейс Gigabit Ethernet
• Доступны платы расширения
ввода-вывода

• Специализированная платформа
IPS среднего уровня с учетом
контекста
• Четырехкратное увеличение
производительности Cisco® IPS
серии 4200 за половину стоимости
• Обработка с аппаратным
ускорением Regex
• Интерфейсы Gigabit Ethernet
• Платы аппаратного обхода будут
доступны в октябре

• Специализированные
высокоскоростные устройства IPS с
учетом контекста
• Обработка с аппаратным ускорением
Regex
• Развертывания на уровне ядра ЦОД
или
предприятия
• Интерфейсы Gigabit Ethernet,
интерфейсы 10 Gigabit Ethernet и слот
SFP
• Масштабируемость: доступен слот
для будущего наращивания
мощностей

Cisco® IPS 4345 Cisco IPS 4360 Cisco IPS 4510 Cisco IPS 4520
Основа платформы 1RU 1RU 2 RU (шасси) 2 RU (шасси)
Процессор
4 ядер
4 потока
4 ядер
8 потока
8 ядер
16 потока
12 ядер
24 потока
Память 8 GB 16 ГБ 24 ГБ 48 GB
Базовые порты данных 8 x 1 GE Cu 8 x 1 GE Cu
6 x 1 GE Cu
4 x 10 GE SFP
6 x 1 GE Cu
4 x 10 GE SFP
Ускоритель Regex Одинарный Одинарный Одинарный Двойной
Электропитание
Постоянное значение
переменного тока
2 с возможностью
горячей замены

Производительность
• Реальный средний показатель: 3 Гбит/с
• Реальный диапазон показателей: 1.2-5 Гбит/с
• Транзакционная передача по HTTP: 5 Гбит/с
Характеристики платформы:
• 2 RU (шасси)
• Многоядерный ЦП корпоративного класса (8
ядер, 16 потоков)
• 24 ГБ ОЗУ
• Резервный источник питания
• Аппаратное ускорение Regex
• Открытый слот (в верхней части) для
использования в будущем
Места развертывания
• Средние и крупные предприятия
• ЦОД кампуса
• Требуется 3 Гбит/с реальной пропускной
способности IPS
• Требуется резервный источник питания
• Требуется специализированная система IPS
Порт AUX и
консоль
Интегрированный
ввод-вывод
6 GE Cu
Индикаторы
состояния
Порты
Отсеки для
жесткого диска
(пустые)
ввод-вывод
4 слота 10 GE
SFP
2 порта
USB

Производительность
• Реальный средний показатель: 5 Гбит/с
• Реальный диапазон показателей: 2.5-7.7 Гбит/с
• Транзакционная передача по HTTP: 7,6 Гбит/с
Характеристики платформы:
• 2 RU (шасси)
• Многоядерный ЦП корпоративного класса (12
ядер, 24 потоков)
• 48 ГБ ОЗУ
• Резервный источник питания
• Аппаратное ускорение Regex (x2)
• Открытый слот (в верхней части) для
использования в будущем
Места развертывания
• Средние и крупные предприятия
• Центр обработки данных
• Требуется 5 Гбит/с реальной пропускной
способности IPS
• Требуется резервный источник питания
• Требуется специализированная система IPS
Порт AUX и
консоль
ввод-вывод
6 GE Cu
Индикаторы
состояния
Порты
Отсеки для
жесткого
диска (пустые)
ввод-вывод
4 слота 10 GE
SFP
2 порта
USB

Специализированная система
Cisco IPS 4500
• Прозрачна и незаметна в сети
• Ввод-вывод на основе IPS
• Нормализация под управлением IPS
• Свободный слот для использования в
будущем
Интегрированное устройство
• Прозрачность как вариант.
• Ввод-вывод принадлежит межсетевому
экрану.
• Нормализацией управляет межсетевой экран.
• Для выбора политики IPS доступны
дополнительные возможности (5 элементов
потока, код пользователя и т. д.).
Основные отличия

• Определение максимальной пропускной способности с
помощью сочетания
различных протоколов и размеров пакетов.
• Для оценки используются средние показатели пяти тестов.
• Сочетание типов трафика зависит от типа и расположения сети.
• В тестах используются стандартные профили приложений
пределов прочности (сочетания трафика).
• Тестирование предоставляет клиентам
рекомендации.
• Клиенты могут легко воспроизвести
тесты.
• Тесты не имеют отношения к
компании Cisco.

0
1
2
3
4
5
6
7
8
Реальный средний показатель Транзакционная передача по
HTTP
4510 4520
Максимальная производительность (Гбит/с)

Значение Cisco IPS 4510
Cisco IPS
4520
Реальный средний показатель
(Гбит/с)
Cisco использует пять сторонних
тестов, которые показывают состав
смешанного трафика
развертываний.
3 5
Максимальная
производительность (Гбит/с)
Максимальные уровни пропускной
способности при полной проверке
трафика.
5 10
Количество подключений в
секунду
Беспроблемная обработка
всплесков подключений.
72,000 100,000
Максимальное количество
открытых подключений
Динамично функционирующим
центрам обработки данных
требуется большое количество
подключений.
3,800,000 8,400,000
Среднее время задержки
Задержка может привести к
проблемам транзакций и повлиять
на производительность.
< 150 мс < 150 мс

Прозрачность контекста
IPS
Cisco® SIO
Политика с учетом
контекста
в режиме Inline,
корреляция в
устройстве
в режиме Inline,
оценка рисков для
бизнеса на основе
контекста

Текущие средства
контроля:
Порт IP
Протокол
Сети VLAN
Работа с копией трафика и
режим inline
Требуются гибкие средства контроля для приведения политики в
соответствие с направлениями угроз, повышения производительности
проверки и снижения количества ложноположительных результатов.

ИД обхода
нормализации
трафика
Анализ
протокола
ИД атаки требуется полная прозрачность среди нескольких сигнатур,
пользователей, протоколов и других компонентов
Мета-
сигнатура X
Сигнатура A 10:17
Сигнатура B 10:19
Сигнатура C 10:19

Уникальные параметры контекста формируют
точную оценку бизнес-рисков
Рискдля
бизнеса
Обнаружение и применение
рисков объекта атаки и
злоумышленника из Cisco® SIO и
локальные данные
Внутренняя репутация
Глобальная репутация
Контроль признаков
операционной системы
Конечное значение
Контексты атакиКонтексты злоумышленника и
объекта атаки
Поток встроенной корреляции Механизм действий
Рискдля
бизнеса
Обнаружение и применение рисков
эксплойтов из Cisco SIO
Серьезность
Точность

Приоритеты бизнеса и
• Понимание
бизнес-рисков
• Точность
• Быстродействие
• Эффективность
• Прозрачность
Инновации в управлении угрозами
Архитектура Cisco с
учетом контекста
• Динамическая оценка бизнес-
рисков
• Контекстные данные для точного
определения риска и
соответствующего действия
• Встроенная корреляция,
выполняемая немедленно (не
после свершения)
• Отправка уведомлений или
эскалация (если необходимо)

Все типы оборудования
• SCADA
• DCS
• PLC
• SIS
• EMS
• Все основные
производители
• Schneider
• Siemens
• Rockwell
• GE, ABB
• Yokogawa
• Motorola
• Emerson
• Invensys
• Honeywell
• SEL
• И это не конец…

• Cisco® Security Manager 4.3
• Cisco IPS Device
Manager 7.1(4)*
• Cisco IPS Device
Manager 7.1(5)
• Cisco IME 7.2.3
* При первых поставках клиенту Cisco IPS
4510 и IPS 4520 поставляются с 7.1(4).

• Поддержка расширенного
декодирования HTTP.
• Профили угроз для характерной для
развертывания настройки (ЦОД и
периметр) с помощью мастера.
• Статистические данные о нагрузке
для выполнения анализа.
• Поддержка новых платформ.

• Базовая настройка сигнатур, адаптированная для
различных расположений в сети
• Текущая поддержка только на
платформах с аппаратным
ускорением Regex
• Пошаговый мастер
• Шаблон,
предназначенный
для ЦОД

sco Security
Manager 4.3

Краткий обзор CSM
 Комплексное управление
политиками для FW, VPN и IPS
на разнотипных устройствах
(ASA, IPS, FWSM, PIX, ISR/ASR)
 Управление журналами —
события межсетевого журнала
(Syslogs) и IPS (SDEE)
 Мониторинг состояния и
производительности для ASA и
IPS
 Отчеты для межсетевых экранов
и устройств IPS
 Управление образами для ASA и
IPS
 API для доступа к политике
 Поддержка сотен устройств в
одном развертывании
 На основе Windows:
конструктивные параметры
устройства, также доступен в
виде установки ПО
Cisco
Security
Manager
Управление
политиками
журналами
Отчеты
Работоспо-
собность
сети
образами
Интерфейс
API

Оптимизированные
операции по обеспечению
Реальные результаты
Общее управление
сетью
Представление политик
Представление
устройств
Представление
топологии

Перенос политик на несколько
устройств и переопределения
объектов обеспечивают
согласованное определение политик.
Согласованность
Интуитивный графический интерфейс
с представлениями политик и
объектов.
Простота
Наследование политик
обеспечивает реализацию
корпоративных политик.
Реализация
политик
ASA ASASM/
FWSM
ISR ASR

Поиск пользователей и групп
пользователей на основе
установки и сопоставления
Active Directory.
Интеграция AD
Политики моделирования на
основе пользователей и
групп пользователей
Пользователи и
группы
пользователей
Политики моделирования на
основе FQDN (например,
apps.cisco.com).
Полные
доменные имена

Средства повышения производительности
межсетевых экранов
Улучшенная эксплуатационная эффективность
Сопоставление событий с
политиками упрощает процесс
изучения администратором.
Изучение
Интегрированное средство
отслеживания пакетов для
глубокой диагностики и
устранения неполадок.
Устранение
неполадок
Число попаданий в список ACL,
запрос правил и отслеживание
сроков действия упрощают базовые
функции политики.
правилами
Средство
отслеживания
пакетов

Согласованные сигнатуры и реакции
на события в датчике IPS.Согласованность
Технология глобального
сопоставления на основе репутаций
обеспечивает защиту сети в
упреждающем режиме.
Упреждающая
защита
Датчики
IPS
ASA AIP IDSM IOS IPS
Навигация IPS от уведомлений к
сигнатурам обеспечивает быструю
настройку проблемных сигнатур.
Сокращение
помех

Автоматические обновления сигнатур и лицензий
Отчеты об инвентаризационных
данных и лицензиях IPS, а также
автоматические обновления лицензий
упрощают выполнение повседневных
задач.
Прозрачность
инвентаризацион
ных данных
Автоматические обновления сигнатур
и пакетов обеспечивают оперативную
защиту IPS.
Оперативная
защита
Сервер CSM
IPS IPS IPSIPS
Cisco
Навигация IPS от уведомлений к
сигнатурам обеспечивает быструю
настройку проблемных сигнатур.
Простая
диагностика и
устранение
неполадок

Различные технологии, мастер установки
Простота развертывания в среде
из тысяч устройств, включая
неуправляемые устройства
сторонних поставщиков.
Согласованность
в крупномасштабных
развертываниях
Возможности производственного
развертывания для поддержки
существующих VPN-
подключений.
Минимальное
нарушение
производительн
ости
Простой в использовании мастер
установки сетей VPN
обеспечивает точность настроек
на разных устройствах.
Сложные
развертывания
Мастер создания
сетей VPN
IPSec GRE DMVPN GETVPN Easy
VPN
IPSec
RA
SSL
VPN

Упрощенный мониторинг, диагностика и устранение
неполадок
Детализация привязки события к
политике позволяет выполнять
анализ основных причин и точную
настройку правил.
Навигация от
событий к
политике
Представления событий ASA, IPS и
VPN в режиме реального времени и
в хронологической
последовательности.
Отслеживание в
режиме реального
времени и в
хронологической
последовательности
Гибкие и комплексные критерии
событий исключают
возникновение помех.
Фильтры и
настраиваемые
представления
ASA IPS VPN

Мониторинг состояния и производительности
Кроме мониторинга ресурсов
устройств, можно также
контролировать параметры трафика
(нагрузка для выполнения анализа,
пропущенные пакеты).
Мониторинг IPS
Возможность мониторинга ресурсов
устройств ASA, параметров трафика
(количество подключений и т. д.),
аварийного переключения.
Мониторинг
межсетевых
экранов
Пользователь может контролировать
состояние туннеля, пользователей
RAVPN и т. д.
Мониторинг сетей
VPN
ASA IPS VPN
Пользователь может управлять
уведомлениями на основе важных
данных об устройствах (ЦП, память,
срок действия лицензии, состояние
интерфейса и т. д.).
уведомлениями

Пользователи могут создавать
комплекты образов (образ ASA,
образы AnyConnect и т. д.) для
развертывания.
Комплекты
образов
Подход на основе мастеров для
проверки, развертывания
обновлений для образов, отправки
уведомлений об их выпуске
(включая аварийное переключение).
образами ASA
Интеграция с CCO, функцией подачи
заявок CSM, развертыванием работ,
утверждениями и т. д. для
обеспечения удобной работы
пользователей.
Простая
интеграция
ASA IPS VPN

Данные можно экспортировать в
формат PDF/Excel. Отчеты можно
запланировать для отправки по
электронной почте.
Экспортируемые и
планируемые
отчеты
Отчеты, созданные на основе
данных событий ASA, IPS и
VPN.
Системные и
настраиваемые
отчеты
Данные можно наглядно
представить в форматах схем и
таблиц.
Схемы и таблицы
ASA IPS VPN

• Механизм подачи заявок с интеграцией на основе
URL-адресов
• Режим рабочих процессов с процессом утверждения
• Глобальный семантический поиск во всех политиках
• Встроенные функции RBAC (контроля доступа на
основе ролей)
• Архивация конфигураций
• Автоматическое резервное копирование и
восстановление

Cisco Security Manager 4.3
В CSM 4.3 представлены новые возможности, связанные с
мониторингом состояния и производительности, управления
образами, доступна на основе интерфейсов API, а также целый
ряд усовершенствований в других областях.
Новые возможности Cisco Security Manager 4.3
• Мониторинг состояния и производительности устройств ASA и IPS.
• Управление образами для устройств ASA.
• Доступ на основе API к данным конфигурации политики CSM.
• Представление концепции комплектов политик для назначения нескольких
политики нескольким устройствам.
• Интеграция подачи заявок для отслеживания изменений политик.
• Глобальный поиск устройств, политик и объектов политики во всей базе
данных конфигурации.
• Поиск сведений об использовании объектов.
• Автообнаружение конфликтов для удаления ненужных записей из таблицы
правил.
• Обновления Policy Object Manager для улучшенной навигации.
• Поддержка новых моделей — ASA 5512, 5515, 5525, 5535, 5545 и 5555.
• Поддержка нового оборудования Cisco IPS серии 4300.

Старые страницы CS

• Связывание изменений с заявками
• Поиск на основе ИД или описания заявки
• Просмотр измененных заявок по развертыванию
• Настройка и запуск по URL-адресу внешней системы подачи заявок
• Сведения о последней измененной заявке, отображаемые в POM и
правилах межсетевого экрана
• ИД заявки не является обязательным; допускаются повторяющиеся
записи
• Возможность указания нескольких ИД заявок, разделенных запятыми
• Ticket Manager отображает журнал всех заявок
• В новой установке эта возможность включена по умолчанию
• После обновления существующие настройки рабочих процессов и
другие параметры остаются без изменений
• Для отключения возможности нужно последовательно выбрать Admin
Settings (Настройки администрирования) -> Ticket Manager

• Настраиваемые избранные типы объектов в дереве типов объектов
• Отображение 10 последних измененных объектов в дереве
• Просмотр сведений о ссылках на объекты с помощью одного щелчка
• Больший объем информации в таблице
Количество переопределений (если имеются) или переопределяемых объектов
Дата последнего изменения и последняя измененная заявка (или пользователь)
Полное описание
Объект, который был указан в ссылке или нет (при нажатии кнопки «Referenced» (Ссылка
на))
• Перетаскивание и размещение объектов
Из POM в представление правил межсетевого экрана и из представления объектов в
представление групп
• Копирование, печать, экспорт (CSV)
• Дерево типов объектов с возможностью поиска
• Поддержка быстрой фильтрации

• Семантическая фильтрация (IP / сеть) поддерживается в фильтрах таблиц
объектов политик сети и узлов, а также в таблицах правил межсетевых
экранов.
• Копирование в виде текста в буфер обмена из большинства компонентов
пользовательского интерфейса, таких как дерево, список, таблица, текст.
• Поле быстрой фильтрации, используемое в таблицах «Инвентаризационные
данные», «Activity/Ticket Manager», «Policy Objects Manager» и «Сигнатуры
IPS».
• Возможность поиска во всех деревьях (иерархических структурах) в
Configuration Manager.
• Добавлен параметр «Expand-All / Collapse-All» (Развернуть все / Свернуть
все) для всех деревьев и таблиц.
• С экрана входа в клиент CSM удален параметр «Enable / Disable Https
connection» (Включить /отключить соединение по протоколу HTTPS).
• Теперь в представлении политики отображаются прямые назначения
устройств, наследование и назначения с помощью комплектов политик.
• Экспорт детализированной общей политики.
• Настраиваемая панель инструментов.

• Автоматическая функция — ACD
• Функция, на основе которой выполняются практические действия —
AACD
• Встроенные отчеты о конфликтах — при просмотре отчетов можно
изменять правила. Таким образом решается проблема
использования, связанная с имеющимся средством анализа правил.
• Функция используется только для автоматического обнаружения
конфликтов. Она не предоставляет возможности их автоматического
устранения.
• Она поддерживается только в интерфейсе с примененными
правилами доступа.
• Отчеты о конфликтах формируются на основе источника,
назначения, сервисов, пользователей, интерфейсов. Значения
других полей (например, для указания диапазона времени и
параметров ведения журнала) не учитываются.
• Конфликты внутри объектов не поддерживаются.

 Фильтрация трафика на основе идентификационных данных
поддерживается с версии CSM 4.2.
 Уже поддерживаются такие средства, как «Запрос политики», «Найти и
заменить», «Срок действия правила».
 CSM 4.3 расширит поддержку средств межсетевой защиты для учета
критериев идентификации в правилах межсетевых экранов.
 Сочетание правил — принятие во внимание не только сетей, интерфейсов и
сервисов, но и пользователей.
 Количество попаданий — отображение количества попаданий для записей
правила доступа, содержащих пользователей.
 Импорт правил — усовершенствованная возможность импорта групп
пользователей и правил доступа с помощью групп объектов.
 Оптимизация внутреннего списка ACL — улучшенная возможность
оптимизации ACL на основе не только сетей, интерфейсов и сервисов, но и
пользователей.

• Предоставление возможностей мониторинга для устройств
ASA,VPN и IPS
• Предоставление графиков тенденций важных показателей
• Предоставление сводной панели для отображения
объединенных сведений о состоянии, уведомлениях и
значениях показателей в рамках представления
• Предоставление механизма уведомлений для различных
отслеживаемых параметров
• Предоставление набора предопределенного
представления мониторинга.
• Предоставление пользователям возможности создания,
редактирования, изменения настраиваемого
представления мониторинга

• Мониторинг ASA распространяется на следующие
типы показателей:
ресурсы устройства — ЦП, память, интерфейсы;
параметры трафика — количество подключений, скорость
подключений, количество трансляций, скорость трансляций,
отброс пакетов, включая отброс при обнаружении угрозы,
пропускная способность.
Параметры аварийного переключения
Уведомления ASA
• Уведомления об аварийном переключении
• Уведомления о состоянии интерфейса
• Уведомления об использовании ресурсов ЦП
• Уведомления об использовании ресурсов памяти

• Мониторинг сетей VPN распространяется на
следующие типы параметров:
• Мониторинг активного туннеля между площадками
• Мониторинг пользователей удаленного доступа (RA) —
пользователи – web-клиента VPN, IPSec и SSL, клиента
Anyconnect.
• Сводные данные о сетях VPN — сводное представление для
туннеля между площадками, сеансов удаленного доступа,
сведений о лицензиях и сертификатах.

 Мониторинг ASA распространяется на следующие типы параметров:
• ресурсы устройства — ЦП, память, интерфейсы;
• параметры трафика — нагрузка для выполнения анализа,
пропущенные пакеты, режим обхода;
• приложения IPS — основное приложение, приложение для датчиков,
приложение для совместной работы.
• Состояние устройств IPS и связанные параметры
• Уведомления
• Состояние приложения для совместной работы
• Состояние приложения для датчиков
• Режим обхода
• Состояние интерфейса
• Истечение срока действия лицензии
• Использование ресурсов памяти
• Пропущенные пакеты
• Нагрузка для выполнения анализа

Дерево
представлени
я мониторинга
Панель сводных
данных
Сведения о
выбранных
устройствах
Вкладка «Alerts»
(Оповещения)

 CSM Image Manager обеспечивает полное управление образами для
устройств ASA.
 Это средство используется на различных этапах процесса обновления
образов для устройств ASA, предоставляя следующие возможности:
загрузка и поддержка репозитория различных типов и версий образов,
оценка образов,
анализ влияния обновления этих образов на устройства (в анализ входит влияние обновления
на конфигурацию устройств),
подготовка и планирование обновления и
предоставление надежного способа обновления устройств с использованием встроенных
механизмов резервирования и восстановления, что способствует сокращению времени
простоев.
• Недостатки предыдущего решения, RME, для управления образами
RME больше не входит в комплект CSM.
Обновление образа с помощью RME рассматривалось как изменение OOB в CSM и требовало
повторного обнаружения устройств, что приводило к потере назначенных и общих политик в
CSM.
Механизм RME поддерживал только системное ПО. Отсутствует поддержка образов ASDM и
других образов SSLVPN.
Отсутствует поддержка обновления аварийного переключения ASA, которое присутствует в
большинстве развертываний ASA.

 Поддержка репозитория различных типов и версий образов ASA.
 Проверка доступности новых образов на сайте Cisco.com.
 Загрузка образов с сайта Cisco.com.
 Проверка и анализ влияния обновлений образов на устройства.
 Совместимость устройств с образами.
 Объединение совместимых образов в комплект.
 Планирование обновления образа одного или нескольких
устройств. Контроль пошагового выполнения операции
обновления.
 Управление изменениями для операций по обновлению образов.

 Полное управление образами для ASA** — поддержка системы ASA,
ASDM, CSD, Hostscan, Anyconnect и подключаемого модуля SSLVPN (RDP,
Telnet, SSH и т. д.).
 Поддержка обновления пары аварийного переключения
«Активный/резервный».
 Тесная интеграция с Configuration Manager — пользователь получает
уведомления о влиянии обновления образа на конфигурацию устройства в
CSM и сведения о действиях, которые необходимо выполнить до и после
обновления, чтобы обеспечить беспрепятственное управление
конфигурациям устройств в CSM.
 Надежные обновления — проверки совместимости образов, проверки
требований к ОЗУ, проверки объема флэш-памяти, уведомления о влиянии
на конфигурации и т. д.
 Управление файлами флэш-памяти ASA.
 Комплект образов — объединение совместимых образов и их быстрое
развертывание.
 Элементарные проверки надежности на ранних этапах становления
управления образами SSLVPN в Configuration Manager. Вывод сообщений
о недостатке места.
 Поддержка внешнего диска в ASA — диска 1.

• Выпуски ACS, вышедшие после версии 4.x, больше нельзя использовать в
качестве решения RBAC для CSM. NRBAC предоставляет те же функции
RBAC, которые присутствовали в ACS для CSM. Эти функции встроены в
CSM, поэтому их использовать гораздо проще.
• Одной из ведущих мотиваций перехода на RBAC является возможность
разделения обязанностей (Separation Of Duties, SOD).
снижение риска случайного повреждения или мошенничества
ограничение доступа к объектам (устройствам и политикам)
• Что изменилось?
Common Services (CS) имели авторизацию на уровне задач и
поставлялись только с пятью стандартными ролями. Они не
обеспечивали детализацию RBAC на уровне устройств.
При использовании NRBAC вводится детализация на уровне устройств и
поставляется восемь (7 + 1) стандартных ролей. 1 роль не требуется
для CSM.
• Сохраняется поддержка ACS 4.x.

 Стандартные роли совпадают с ролями ACS
 5 ролей являются общими для CS и CSM
 1 роль является специальной для CS
 2 роли являются специальными для CS
Специальные роли
CSM
Лицо, утверждающее системы
Администратор систем
Специальная роль CS
Суперадминистратор
Общие роли
Утверждающее лицо
Служба поддержки
Администратор сети
Оператор сети
Системный администратор

 Задачи приложения назначаются ролям. Задача
может относиться к одному конкретному приложению
или использоваться для двух или более приложений.
Типы приложений
[AUTOUPDATE] — сервер
автообновления
[CSM] — Cisco Security Manager
[CS] — Common Services
ПРИМЕЧАНИЕ. Изменить
разрешения для стандартных
ролей нельзя.

 Группы устройств представляют собой контейнеры для
устройств и используются в конфигурации авторизации на
уровне устройств.
 Устройство может входить в несколько групп устройств.
ПРИМЕЧАНИЕ. Устройство может
быть связано с несколькими
группами устройств [ 1:n ]. Для
конфигурации NRBAC не требуется
связывать с пользователем все
группы устройств. Достаточно только
одной группы устройств.
Вывод. В системе могут находиться
группы устройств, имеющие
связанные устройства, но никогда не
использовавшиеся для авторизации
NRBAC на уровне устройств.

Полная авторизация
Авторизация на уровне задач
Авторизация на уровне устройств

 NRBAC предоставляет возможность авторизации внешним
серверам идентификации, используемым для аутентификации.
 Удаленных пользователей AAA следует создать локально и назначить
им роли.
 К некоторым серверам аутентификации, которые поддерживаются CS,
относятся ACS 5.x как сервер TACACS+, Microsoft AD, локальная
аутентификация Windows.
• Создание настраиваемой роли
• Создание новой строки
привилегии запрещено.
• Следует использовать с
осторожностью.
• ACS 4.x по-прежнему поддерживается
«как есть». Требуется повторная
регистрация, поскольку в CSM
добавлены дополнительные строки
привилегий для новых возможностей.

http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
security-request@cisco.com

Обзор продуктов в области информационной безопасности

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a Обзор продуктов в области информационной безопасности

Semelhante a Обзор продуктов в области информационной безопасности (20)

Mais de Cisco Russia

Mais de Cisco Russia (20)

Обзор продуктов в области информационной безопасности