• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Cisco ASA. Next-Generation Firewalls
 

Cisco ASA . Next-Generation Firewalls

on

  • 766 views

 

Statistics

Views

Total Views
766
Views on SlideShare
766
Embed Views
0

Actions

Likes
0
Downloads
27
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Cisco ASA. Next-Generation Firewalls Cisco ASA . Next-Generation Firewalls Presentation Transcript

    • Андрей Оврашко Системный инженер Cisco C97-729688-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1
    • © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2
    • Мобильность Угрозы Облака Эти тренды требуют качественно нового подхода к ИБ © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3
    • + © 2013 Cisco and/or its affiliates. All rights reserved. = Cisco Confidential 4
    • Повсеместная защита всех компонентов Реализация политик допустимого использования Надежные функции межсетевой защиты с контролем состояния Повсеместный доступ с любого устройства © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5
    • ? ? Постоянное развитие угроз Рост количества устройств и приложений означает, кроме всего прочего, увеличение контактной зоны и развитие инструментов для атаки! Бурный рост количества устройств Оборудование, которое мы используем, никогда не менялось так быстро! Группа по ИТ/обеспечению безопасности Ожидаемое повышение ИТ- производительности Выполнение большего количества задач с меньшими затратами Существенный рост ориентированных на пользователя приложений! Пользователи будут работать любым удобным им способом © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6
    • Парадокс для профессионалов безопасности VS. Мобильность Threats / APT Облака Виртуализация Устройства Collaboration Приложения BYOD HTTPS/SSL IPv6 © 2013 Cisco and/or its affiliates. All rights reserved. Безопасность Cisco Confidential 7
    • Меняются межсетевые экраны  Обычные правила Firewall, которые основываются на информации уровня L3/L4 уже не удовлетворяют многим сегодняшним архитектурам Традиционные правила: А вот бизнес требования: “Всем пользователям в группе Marketing должен быть разрешен доступ к Twitter и Facebook” “Я не хочу, чтобы мои работники тратили время в офисе играя в Facebook игры, но блокировать доступ не хочу…” “Я боюсь, что разработчики отправят секретную информацию через Webmail за пределы компании” Мне надо контролировать, кто может использовать Instant Messengers. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
    •  Полный обзор использования интернет/приложений?  Идентификация?  Что я хочу заблокировать?  А что я могу заблокировать?  Защита от malware?  Правила использования?  Защита от угроз? © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9
    • Device OS Cisco AnyConnect® 150 million endpoints Cisco® Identity Services Engine* BYOD solution OS Version* Posture* Registry © 2013 Cisco and/or its affiliates. All rights reserved. AV Files * Future Cisco Confidential 10
    • © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11
    • Malware Много Часто Трудноуловимы © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12
    • Автоматизировано Cisco® SIO Высокоэффективно Производительно Повышение операционной эффективности средств ИБ © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
    • 24 Hours Daily More Than 40 OPERATIONS LANGUAGES More Than $100 Million More Than 600 SPENT IN DYNAMIC RESEARCH AND DEVELOPMENT ENGINEERS, TECHNICIANS, AND RESEARCHERS More Than 80 PH.D, CCIE, CISSP, MSCE ® 0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 01 101000 0110 00 0111000 111010011 101 1100001 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110 011 0110011 101000 0110 00 01 0010 010 10010111001 10 100111 010 000100101 101000 0110 00 0111000 111010011 101 1100001 11000 Cisco SIO Emai l Devices IPS Networks WWW Cloud Web Actions Endpoints Visibility ESA AnyConnect® IPS ASA Information WWW WSA Control 1.6 Million 35% 3 to 5 More Than 200 GLOBAL SENSORS WORLDWIDE EMAIL TRAFFIC MINUTE UPDATES PARAMETERS TRACKED 75 TB 13 Billion More Than 5500 More Than 70 DATA RECEIVED PER DAY WEB REQUESTS IPS SIGNATURES PRODUCED PUBLICATIONS PRODUCED More Than 150 Million DEPLOYED ENDPOINTS More Than 8 Million RULES PER DAY © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
    • Представьте что в Вашей сети кто-то делает не то что Вы хотите: • Не понятно где искать. • Не понятно что искать. Но действуя, создает сетевую активность и таким образом обнаруживает себя. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
    •  ASA NGFW – это дополнительный модуль для ASA  Функциональность:   URL фильтрация с репутацией  Идентификация в AD, LDAP или CDA   Application Visibility and Control на всех портах Расшифровка трафика SSL Управление ASA-CX делается через Prime Security Manager  Restfull XML © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16
    • ASA with NGFW module  Работа в Inline FW  Не нужны клиентские настройки  Надо деактивировать инспекцию HTTP на ASA NGFW FW Access-list checks, connection matching Прозрачный режим • NGFW Module Content Filtering • NAT Монитор режим • Инспекция протоколов •  Проверка IP Header •  • Исходящая обработка и передача © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
    •  Трафик перенаправляется через MPF policy-map global_policy class class-default cxsc fail-open Service-policy global_policy global © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18
    • ASA 5585  ASA NGFW на ASA 5585 запускается на отдельном HW модуле  Slot 0 зарезервирован для ASA SSP  Slot 1 зарезервирован для NGFW SSP И оборудован двумя HDD в RAID 1  Сейчас не может работать одновременно с модулем IPS (или/или) IPS функциональность будет добавлена в ASA NGFW в конце CY 2013 NGFW SSP ASA SSP © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19
    • ASA 5585 ASA 5585-SSP60 ASA 5585-SSP40 ASA 5585-SSP10 2 Gbps NGFW 2 MM Connections 100,000 CPS ASA 5585-SSP20 5 Gbps NGFW 4 MM Connections 250,000 CPS Campus / Data Center © 2013 Cisco and/or its affiliates. All rights reserved. 9 Gbps Новинка! Future 13 Gbps Data Center Cisco Confidential 20
    • ASA 5500-X Midrange  ASA NGFW на ASA 5500-X работает как программный модуль  Для работы требует SSD диск Требуется место для журналирования 5545 и 5555 могут использовать два SSH в RAID  Ядра и память распределены между процессами ASA и ASA NGFW Фиксированное распределение © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21
    • ASA 5500-X Midrange NG IPS 200 Mbps NGFW 100K Connections 10,000 CPS 350 Mbps NGFW 250K Connections 15,000 CPS 650 Mbps NGFW 500K Connections 20,000 CPS 1 Gbps NGFW 750K Connections 30,000 CPS 1.4 Gbps NGFW 1 MM Connections 50,000 CPS ASA 5555-X ASA 5545-X ASA 5525-X ASA 5515-X ASA 5512-X Internet Edge Branch Locations 60 Mbps © 2013 Cisco and/or its affiliates. All rights reserved. 90 Mbps 300 Mbps 450 Mbps 600 Mbps Cisco Confidential 22
    • ASA 5585 NG IPS ASA 5585-SSP60 ASA 5585-SSP40 ASA 5585-SSP10 2 Gbps NGFW 2 MM Connections 100,000 CPS 1 Gbps ASA 5585-SSP20 5 Gbps NGFW 4 MM Connections 250,000 CPS 1,5 Gbps Campus / Data Center © 2013 Cisco and/or its affiliates. All rights reserved. 9 Gbps 13 Gbps 4 Gbps 2250 Mbps Data Center Cisco Confidential 23
    • ASA NGFW Components (ASA CX 9.2) PRSM: Centralized Management & Reporting PRSM (5, 10, 25, 50, 100) AVC (1Y, 3Y, 5Y) Application Visibility & Control Web Security Essentials WebAVC + NBAR 2 URL Filtering + Reputation Next Generatio n Intrusion Prevention System CX SSP Identity, Onbox Mgmt & Reporting ASA SSP © 2013 Cisco and/or its affiliates. All rights reserved. WSE (1Y, 3Y, 5Y) NG IPS (1Y, 3Y, 5Y) AVC + WSE + IPS Bundle (1Y, 3Y, 5Y) ASA CX Bundle for ASA 5585-X SSP-10, 20, 40, 60 ASA 5512 - 5555 CX Spare card for ASA 5585-X SSP-10, 20, 40, 60 Cisco Confidential 24
    • URL Category/Reputation HTTP Inspection AVC TLS Proxy TCP Proxy NG IPS TCP Normalization NAT TCP Intercept Routing IP Option Inspection ACL IP Fragmentation VPN Termination SGT Policies © 2013 Cisco and/or its affiliates. All rights reserved. Multiple Policy Decision Points IPv6 Policies ASA NGFW ASA Cisco Confidential 25
    • URL Category/Reputation HTTP Inspection AVC TLS Proxy TCP Proxy NG IPS TCP Normalization NAT TCP Intercept Routing IP Option Inspection ACL IP Fragmentation VPN Termination SGT Policies © 2013 Cisco and/or its affiliates. All rights reserved. Multiple Policy Decision Points IPv6 Policies ASA NGFW ASA Cisco Confidential 26
    • • Приложений ~1200 • Микро-приложений 150,000+ • Cisco Security Intelligence Operation (SIO) • • Utilizes Application Signatures Период проверки сигнатур – по умолчанию 5 минут • Поддерживаемые приложения определяются на всех портах • Для некоторых приложений – раздельный контроль разного поведения. Разрешить приложение типу, но запретить определённое поведение – «загрузку». © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27
    • URL Category/Reputation HTTP Inspection AVC TLS Proxy TCP Proxy NG IPS TCP Normalization NAT TCP Intercept Routing IP Option Inspection ACL IP Fragmentation VPN Termination SGT Policies © 2013 Cisco and/or its affiliates. All rights reserved. Multiple Policy Decision Points IPv6 Policies ASA NGFW ASA Cisco Confidential 28
    • • AUP, предупреждения и обратная связь. • Предопределенные и свои URL категории. • 78 предопределенных URL категорий • 20,000,000+ URL откатегоризировано • 60+ языков • Cisco Security Intelligence Operation (SIO) • Utilizes Application Signatures • Период проверки сигнатур – по умолчанию 5 минут © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29
    •  Identity Policies Активные: Basic Authentication, NTLM, Kerberos, LDAP Пассивные: CDA - Agent © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30
    •  Сейчас пассивная аутентификация использует CDA, в будущем – CDA + ISE © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31
    •  Политики расшифровки Расшифровка SSL трафика Решение на основе URL Category, Source, Destination, User Agent,... © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32
    • • Две разные сессии, ключи и сертификаты • ASA CX работает как CA, выпуская сертификат для Web Server Corporate network Web server ASA CX 1. Negotiate algorithms. 4. Client Authenticates “server” certificate. Cert is generated dynamically with destination name but signed by ASA CX. © 2013 Cisco and/or its affiliates. All rights reserved. 3. Generate proxied server certificate. 5. Generate encryption keys. 6. Encrypted data channel established. 1. Negotiate algorithms. 2. Authenticate server certificate. 5. Generate encryption keys. 6. Encrypted data channel established. Cisco Confidential 33
    • Что это? © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34
    • Модели и OS © 2013 Cisco and/or its affiliates. All rights reserved. 5510 5520 5540 5550 5580 5512-X 5515-X 5525-X 5545-X 5555-X 5585-10 5585-20 5585-40 5585-60 Peregrine Cisco Confidential 35
    • до-Peregrine Peregrine • PRSM управление NGFW функции Syslog настройки • PRSM управление NGFW функции Syslog настройки NAT конфигурация Firewall ACLs • Политики на device groups. • Политики: Local to a device Shared Universal • Реакция политик Allow или Deny • IPS и NGFW сервисы не могут сосуществовать © 2013 Cisco and/or its affiliates. All rights reserved. • Реакция политик Allow, Warn или Deny • IPS теперь часть NGFW Cisco Confidential 36
    •  Поддержка Active/Standby  PRSM может находить HA конфигурации и расценивать HA пары как единое устройство (для лицензирования, настройки политик, отчётности)  NGFS IPS  Поддержка платформ  Добавили SSP 20, 40, 60 для ASA-5585х  NGFW теперь доступен на всей линейке ASA «Безопасный поиск»  Ограничения пропускной в политиках  Роли интерфейсов в политике © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 37
    • © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 38
    • © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 39
    • Peregrine Поддерживаемые функции © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 40
    • Расширения Поддержка 5585-X SSP 40 и 60 Дополнительный CLI для troubleshooting Телеметрия Отчет о вредоносных транзакциях Ограничение полосы по политикам Предупредить End Users Safe Search © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 41
    • Свойства Использование на границе сети 80% пограничных сигнатур Threat Protection Updates Threat Protection Workflows Threat Protection Licensing Threat Protection Objects Threat Protection Profiles © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 42
    • © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 43
    •  Абсолютно новая система управления для ASA NGFW ‒ Prime Security Manager (PRSM) ‒ Для одного устройства – прямо HTTPS интерфейс ‒ Отдельное управление для нескольких устройство  Управление только через GUI ‒ CLI только для troubleshooting и первоначальной настройки © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 44
    • RESTful XML ASA NGFW Binary Logging PRSM Примечание: ASA может отправлять Syslog на PRSM © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 45
    •  SIO обновления для Cisco SIO ‒ Application Visibility & Control ‒ URL Filtering Categories Cisco® SIO ‒ Reputation ‒ Trusted Root CAs ASA NGFW © 2013 Cisco and/or its affiliates. All rights reserved. PRSM Cisco Confidential 46
    •  Виртуальная машина Предоставляется в виде файла .ova Open Virtual Appliance (OVA) VMware vSphere Hypervisor 4.1 (Update 2) Загружается с www.cisco.com  UCS бандл Cервер UCS C220 M3 Server + ESXi 4.1 U2 + VM Виртуальная машина © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 47
    • Доступ • Какой трафик разрешить или запретить? Identity • Как идентифицировать пользователей? Decryption • Какой трафик TLS/SSL расшифровать? © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 48
    • • Schema-Driven • Web UI • Management Consistency • End-to-End Operations • UX-Driven • Visibility © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 49
    • New Features Новая модель политик Разделение политик Конфигурация по устройству Вид репозитария CLI Preview HA Dashboard Свыше 25 устройств © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 50
    • Основные возможности Device Selector ASA Policy Tab NGFW Policy Tab Device Configuration Tab Policy Sharing 5- Tuple Rule base Install On © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 51
    • API © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 52
    • Stateful inspection + next-generation functionality Множество форм-факторов и моделей Context-Aware • • • • Глубокий контроль приложений Лучший в сфере удаленного доступа Качественная URL фильтрация Идентификация пользователей и устройств Threat-Aware • • • • Веб-репутация для защиты от вирусов Встроенный IPS – защита от АРТ Усилено Cisco® Периодические апдейты почти в реальном времени (минуты) Cisco ASA Stateful Inspection Firewall © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 53
    •  http://www.asacx-cisco.com © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 54
    • © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 55
    • Преимущества: Routing WAAS NGFW Future Services Простота внедрения • Не требует внешнего железа и соединений • Простота установки IOS XE Гибкость и расширяемость • L7 Aware multi-core data plane • До 400 Mbps с AVC/WSE/IPS • Не требует сложной настройки Ниже совокупная стоимость владения (ТСО) • Меньше устройств • Единый контракт поддержки © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 56
    • Факты • Работа на скорости 1 – 2 Gbps • Более 1Gbps криптопропускной • Services Plane Выделенный процессинг для приложений и сервисов • Четко определенная производительность при включении сервисов • Модель Pay-as-you-grow наращивания производительности с 1 до 2 Gbps © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 57
    • IOSd Control Plane Future Cisco Embedded Network Services ISR-WAAS Linux OS Common API (onePK) Platform Specific Data Plane onePK Internal Services Blade (UCS ESeries) © 2013 Cisco and/or its affiliates. All rights reserved. AppNav AVC onePK External Services Blade (UCS) Cisco Confidential 58
    • IOSd Future L7 Firewall WAAS Control Plane (Control & IPS) Future Apps Linux OS Common API (onePK) Platform Specific Data Plane Appnav onePK Internal Services Blade (UCS ESeries) © 2013 Cisco and/or its affiliates. All rights reserved. L7 Firewall (Data) onePK External Services Blade (UCS) Cisco Confidential 59
    • Thank you.