Upload
cisco-russia
View
478
Download
1
Embed Size (px)
Citation preview
Защита периметра от сетевых угроз с помощью межсетевых экранов Cisco ASA и ASA NG
Руслан Иванов
Системный инженер-консультант
13.01.2
014
© 2013 Cisco and/or its affiliates. All rights reserved.
Изменение людей
СТУДЕНТОВ ВУЗОВ И
МОЛОДЫХ СПЕЦИАЛИСТОВ
СЧИТАЮТ ИНТЕРНЕТ ОСНОВНЫМ
ЧЕЛОВЕЧЕСКИМ РЕСУРСОМ
СТУДЕНТОВ
ВУЗОВ
МОЛОДЫХ
СПЕЦИАЛИСТОВ
И
ГОВОРЯТ, ЧТО ОНИ НЕ МОГЛИ БЫ ЖИТЬ
БЕЗ
ИНТЕРНЕТА
Воздух
Вода
Продукты
Защита
Интернет
Отчет по глобальным сетевым технологиям: http://www.cisco.com/en/US/netsol/ns1120/index.html
Изменение приложений
= +
1 из 5 сотрудников использует сервис хранения Dropbox на работе
Справочные сведения: http://gigaom.com/cloud/guess-what-mr-cio-one-in-five-of-your-employees-use-dropbox-for-work-files/
Использование Dropbox по должности
Персонал и
руководитель
Директор и вице-
президент
Руководители
высшего звена
Все отделы Только ИТ-отдел
Изменение ландшафта угроз
1 022 989 веб-сайтов
скомпрометировано
26 417 304 случая несанкционированного доступа к
данным
Несанкционированный доступ к данным в 2012 г.: http://www.privacyrights.org/data-breach/new
Черный список URL-адресов вредоносных программ, декабрь 2012 г. http://www.stopbadware.org/
Адаптация к изменениям
На одно правило межсетевого экрана…
…приходится 999 999 исключений.
(Источник: руководитель службы инф. безопасности
крупного финансового учреждения)
Увеличение требований к обеспечению безопасности
Надежные функции межсетевой защиты с
контролем состояния
Повсеместный доступ с любого устройства
Реализация политик допустимого использования
Повсеместная защита всех компонентов
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
Продукты безопасности Cisco в современном мире
Network Behavior Analysis
Advanced Malware Protection
Cisco ISE
Next Generation Firewall
Firewall
UTM
VPN
A T T A C K C O N T I N U U M
Управление Применение
Защита
Обнаружение Блокирование
Защита
Масштаб Содержание Избегание
NGIPS
Web Security
Email Security
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9
Обзор
Архитектура
Управление
устройствами
Применение политик
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10
• Использует в качестве основы ASA stateful inspection
firewall;
• Предоставляет следующие продвинутые (NGFW)
сервисы:
Репутационная фильтрация веб трафика для защиты от
вредоносного ПО;
URL-фильтрация доступа к разным категориям сайтов на
основе заданной политики;
Контроль использования приложений Application visibility and
control (AVC)
Защита от угроз (NGFW IPS)
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11
200 Mbps NGFW
60 Mbps NGFW + IPS
100K Connections
10,000 CPS
Защита филиалов Защита доступа в Интернет/границы сети
ASA 5512-X
350 Mbps NGFW
90 Mbps NGFW + IPS
250K Connections
15,000 CPS
ASA 5515-X
650 Mbps NGFW
300 Mbps NGFW + IPS
500K Connections
20,000 CPS
1 Gbps NGFW
450 Mbps NGFW + IPS
750K Connections
30,000 CPS
1.4 Gbps NGFW
600 Mbps NGFW + IPS
1M Connections
50,000 CPS
ASA 5525-X
ASA 5545-X
ASA 5555-X
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12
Защита доступа в Интернет/границы сети
2 Gbps NGFW
1 Gbps NGFW + IPS
500K Connections
40,000 CPS
ASA 5585-SSP10
Защита доступа в Интернет/границы сети
5 Gbps NGFW
1.5 Gbps NGFW + IPS
1 Million Connections
75,000 CPS
ASA 5585-SSP20
9 Gbps NGFW
2.5 Gbps NGFW + IPS
1.8 Million Connections
120,000 CPS
ASA 5585-SSP40 13 Gbps NGFW
4 Gbps NGFW + IPS
4 Million Connections
160,000 CPS
ASA 5585-SSP60
New
with 9.2
New
with 9.2
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
До NGFW 9.2 NGFW 9.2
• PRSM управляет:
NGFW
Настройками Syslog*
• Политики применяются к группам
устройств
• Политики могут:
Разрешить или запретить
• PRSM управляет:
NGFW
Настройками Syslog*
Конфигурацией NAT*
Правилами МСЭ на ASA*
• Политики могут быть:
Локальными для данного устройства
Разделяемыми
Универсальными
• Политики могут:
Разрешить, выдать предупреждение**, или
запретить
* В режиме управления несколькими устройствами (off-box PRSM). Для одного устройства требуется ASDM или CSM.
** Пользователь может прочитать страницу предупреждения и получить доступ к запрашиваемому ресурсу.
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
Дополнительно NGFW 9.2 поддерживает:
• Поддержка режима Active/Standby:
PRSM может распознать отказоустойчивую пару и
посчитать её как одно устройство (с точки зрения
лицензирования, настроек и отчетов);
• Защита от интернет-угроз NGFW IPS;
• Новые модули NGFW Cisco® ASA 5585-X SSP 40, 60:
NGFW теперь поддерживается на всех моделях ASA,
кроме 5505.
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
Улучшения в NGFW 9.2:
• Роли для интерфейсов – наборы интерфейсов,
которые могут быть использованы для создания
политик безопасности;
• Ограничение полосы пропускания;
• Поддержка Safe search.
Примечание: Не все эти функции поддерживаются во всех типах политик.
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16
Требования к
оборудованию Требования к ПО
• Для платформ 5512-X, 5515-X, 5525-X,
5545-X, 5555-X требуется SSD диск.
• Для 5585-X SSP10, 20, 40, 60
для функционала NGFW необходим
отдельный аппаратный модуль.
• ASA должна использовать код не ниже
версии 9.1.3
• NGFW должен использовать 9.2
• Сервер PRSM должен использовать 9.2
Примечание: Сервер PRSM 9.2 может управлять МСЭ ASA под управлением ПО 9.0.1 или выше, если ASA без NGFW-сервиса.
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
Обзор
Архитектура
Управление
устройствами
Применение политик
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18
ASA
NGFW
Two Hard Drives Raid 1
(Event Data) 8 GB eUSB (System)
10 GE and GE Ports GE Management Ports
SSP 40 and
60 Support
New with
NGFW 9.2
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20
IP Fragmentation
IP Option Inspection
TCP Intercept
TCP Normalization
ACL
NAT
VPN Termination
Routing
Botnet Traffic Filter
TCP Proxy
TLS Proxy
AVC Multiple Policy Decision
Points
HTTP Inspection
URL Category/Reputation
NGFW IPS
NGFW
ASA
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21
• Две РАЗНЫХ сессии, РАЗНЫЕ сертификаты, и РАЗНЫЕ ключи
• ASA NGFW работает в данном примере как CA и выпускает сертификат для Web-сервера
Корпоративная сеть Web-сервер TLS Proxy
4. Client authenticates “server”
certificate
Сертификат генерируется
автоматически для каждого
сервера, но подписан ASA
NGFW
1. Согласование
алгоритмов
3. Создание
спроксированного
сертификата
5. Генерация
ключей
шифрования
6. Зашифрованный
туннель установлен
1. Согласование
алгоритмов
3. Аутентификация
серверного
сертификата
5. Генерация
ключей
шифрования
6. Зашифрованный
туннель установлен
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 22
Расшифровывает SSL и TLS трафик через любые порты
• Самоподписанный сертификат может быть загружен на клиента и добавлен в хранилище доверенных сертификатов
Самоподписанные (default) сертификаты или корпоративный PKI
Политики контроля зашифрованного трафика определяют, какой трафик должен подвергнуться инспекции
• ASA NGFW не может определить имя хоста в клиентском запросе, так как оно зашифровано, поэтому использовать его для
выбора политики не получится
• FQDN и/или URL-категория определяются по серверному сертификату
Если требуется инспектирование зашифрованного трафика, ASA NGFW работает как посредник
• Создается новый сертификат, подписанный ASA NGFW или корпоративным CA
• Поля FQDN и сроки действия нового сертификата копируются из оригинального серверного сертификата
• Несовпадения имен и истекшие сертификаты игнорируются и должны обрабатываться клиентом!!!
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
• Заставить клиентов использовать наилучшие практики работы с сертификатами
• Изменения в политиках доступа для нерасшифрованного HTTPS трафика:
Хост, доменное имя, и web-категория могут быть использованы в URL-объектах для выбора политики;
Фильтрация на основе Web-репутации может быть применена к HTTPS-трафику.
Серверный сертификат используется для определения FQDN.
New with
NGFW 9.2
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24
Поддерживается более 1200 приложений
• По умолчанию, PRSM и ASA NGFW проверяют обновления описаний приложений каждые 5 минут
Использует преимущества Cisco® Security Intelligence Operation (SIO)
Поддерживаемые приложения определяются на любом порту
Поддерживаются три уровня атомарности
• Тип приложения:
Например: Collaboration, Facebook, games, social networking
• Приложение:
Например: BitTorrent, Cisco phones, ftp-agent, ftp-agent, Google Translate, iTunes, LDAP, oracle-sqlnet, RADIUS, WCCP, WebEx®
• Поведение приложения:
Например, можно разрешить приложения типа collaboration, но запретить загрузку файлов из сети компании наружу.
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25
Уязвимость нулевого дня Internet Explorer (IE)
Day 0:
Malicious Site
Detected
Подход конкурентов: бесконечная гонка против хакеров Угрозы и атаки нулевого дня с более чем 40 «припаркованных» доменов
остановлены репутацией и кросс-платформенными алгоритмами
Подход Cisco: остановить атаки на источнике
разоружить атакующих
Security Advisory
Issued
IE Patched
Day 0:
Site Blocked
By Cisco
Day 8:
Site Volume Up
Malware Detected
Day 14:
IPS Sig Published
C&C Server Blocked
Day 18:
A/V “C, “D” & Full “A” Sig
Published
Day 17:
A/V “B” Sig Published
Day 16:
A/V “A” Partial Sig
Published
Traditional Response Cisco Continuous Intelligence
40+ Malicious “Parked”
Domains Blocked
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26
2
6
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27
“В долгорочной перспективе более 60% Java инстялляций никогда
не поддерживаются в «свежем» состоянии. Поскольку такое
количество компьютеров не обновлено, даже старые эксплиты
могут использоваться для компрометации жертв.
…Мы обнаружили, что во время первого месяца после выпуска
патча, уровень адаптации не превышает 10%. Через 2 месяца,
примерно 20% устанавливают патчи и через 3 месяца 30%. Мы
определили, что самый высокий уровень установки патчей был
38% с Java Version 6 Update 26 через три месяца после релиза.”
- Marcus Carey, Rapid7
Source: Krebs on Security “New Java Attack Rolled into Exploit Packs”. March, 2012.
2
7
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28
• Обнаружена – 27 августа 2012 года
• Анализ -- http://www.deependresearch.org/2012/08/java-7-0-day-vulnerability-information.html
• Впервые сообщено об аналогичной уязвимости – 10 августа 2012 года Марком Вуглером
• Oracle выпустил update 7 (7u7), который исправляет эту уязвимость
2
8
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29
• Зашифрованный javascript в index.html
• Уязвимость атакует Java 7 (1.7) Update 0 до 6. Не атакует Java 6 и ниже
• Работает на всех браузерах, в том числе и Google Chrome
• Не оказывает видимого влияния на работу браузеров
• При загрузке вредоносного кода, если система не уязвима, атака останавливается. С точки зрения пользователя невозможно сказать, была ли атака успешной, или же нет.
• Если атака успешна, она загружает и выполняет вредоносный двоичный код, который вызывается с другого DNS/IP hello.icon.pk / 223.25.233.244
Как это работает
29
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30
Как отреагировала Cisco?
30
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31
Cisco Security Intelligence Operation (SIO)
Visibility Control
0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101
0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101 Cisco SIO
1.6M GLOBAL SENSORS
75TB DATA RECEIVED PER DAY
150M+ DEPLOYED ENDPOINTS
35% WORLDWIDE EMAIL TRAFFIC
13B WEB REQUESTS
WWW
ESA ASA WSA
AnyConnect Cloud IPS
WWW
Email Web Devices
IPS Endpoints Networks
24x7x365 OPERATIONS
40+ LANGUAGES
600+ ENGINEERS, TECHNICIANS
AND RESEARCHERS
80+ PH.D.S, CCIE, CISSP, MSCE
$100M+ SPENT IN DYNAMIC RESEARCH AND
DEVELOPMENT
3 to 5 MINUTE UPDATES
5,500+ IPS SIGNATURES PRODUCED
8M+ RULES PER DAY
200+ PARAMETERS TRACKED
70+ PUBLICATIONS PRODUCED
Info
rmation
Actio
ns
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32
Профиль репутационной фильтрации по умолчанию
Вредоносные
(от -10 к -6) Не вредоносные (от -5.9 к +10)
-10 +10 -5 +5 0
Выделенные или взломанные сайты, которые устанавливают троянцев, перехватчики клавиатуры и руткиты. Безусловная угроза.
Агрессивное использование рекламы с Множества сайтов, использующие технологии слежения за пользователем. Сайты подозреваются в использовании вредоносных технологий.
Сайты с некоторой историей реакции на инциденты или имеющие репутацию от третьей стороны
Фишинговые сайты, боты и т.д. Почти всегда имеют вредоносный контент.
Сайты с хорошей историей реакции на инциденты. Контент генерируется пользователями или собирается с других сайтов
Сайты с хорошей историей реакции на инциденты. Генерируют большое количество трафика и часто посещаются
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 33
Применение корпоративных правил доступа к разным
категориям
Предопределённые или собственные URL-категории
Взаимодействует с функционалом определением
приложений AVC;
По умолчанию, PRSM и NGFW проверяют обновления
каждые 5 минут.
78 предопределённых URL-категорий
20,000,000+ URL категоризировано
Мы говорим на 60+ языках народов мира
Использует Cisco® Security Intelligence Operation (SIO)
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34
New with
NGFW 9.2
Упрощённая
настройка
Богатый набор
политик
Высокая
динамичность
• Политики на основе
применимости риска
• Фокус на угрозы, а не на
сигнатуры
• Политика IPS часть
общей политики доступа
NGFW
• Опирается на знание
приложения
• Работает с репутацией
источника
• Ежедневные и
ежечасные
обновления:
Угроз / сигнатур
Репутации
Аналитических
движков
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 35
• Угрозы
• Настройки на основе
анализа риска
• Набор для границы
сети/Интернета
• Автоматическое
обновление всех
компонентов
• Использование App ID и
Web-репутации
• Сигнатуры
• Широкое покрытие
• Настраиваемые и
собственные сигнатуры
• Широкий набор реакций
NGFW IPS ASA IPS
Интегрированный
Эф
фекти
вны
й
Просто
й
Выделенный
Гото
во д
ля Ц
ОД
Ги
бки
й
New with
NGFW 9.2
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 36
Требует HTTP-запрос для начала аутентификации
1. ASA NGFW перехватывает HTTP-запрос от клиента к сайту;
2. ASA NGFW перенаправляет клиента на внутренний интерфейс ASA (по умолчанию порт 885);
Перенаправление происходит с помощью команды proxy redirect (HTTP return code 307) – мы подменяем удаленный сайт
3. ASA отправляет клиенту запрос на аутентификацию (HTTP return code 401)
4. После аутентификации, ASA NGFW перенаправляет клиента обратно на запрошенный сайт (HTTP return code 307)
После аутентификации, ASA NGFW использует IP-адрес для сопоставления с пользователем
• Весь трафик и приложения (не только HTTP) теперь будут ассоциированы с данным пользователем
Интеграция с корпоративной инфраструктурой
Поддерживаемые каталоги пользователей:
• Microsoft Active Directory
• OpenLDAP
• IBM Tivoli Directory Server
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 37
Устройство должно входить в домен Active Directory
Поддерживается для любого трафика и любых клиентов
Отдельный сервер на Linux, который может быть запущен как
виртуальная машина (VM);
Интуитивный web-GUI и похожая на Cisco IOS® командная строка
Требует Cisco® Context Directory Agent (CDA):
• CDA собирает информацию с Active Directory;
• CDA кэширует информацию;
• ASA NGFW/PRSM запрашивает с CDA информацию о
пользователях;
• ASA NGFW/PRSM запрашивает с Active Directory
информацию о членстве в группе AD.
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 38
Обзор
Архитектура
Управление
устройствами
Применение политик
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 39
Application Identification Updates
RESTful XML
[REST = Representational State Transfer]
Reliable Binary Logging
HTTPS HTTPS
ASA NGFW PRSM
Cisco® SIO
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 40
• Когда первая ASA добавляется в PRSM, другое устройство обнаруживается автоматически;
• В большинстве случаев, PRSM считает пару за одно устройство;
• Настройки отказоустойчивости могут быть изменены в PRSM после добавления устройств:
Изменить или добавить stateful failover link;
Включить или выключить репликацию HTTP.
New with
NGFW 9.2
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 41
New with
NGFW 9.2
NGFW поддерживает все режимы ASA (маршрутизируемый,
прозрачный, смешанный)
В каждом контексте нужно явно настроить перенаправление
ASA NGFW работает как единое устройство с ASA и использует
VCID для каждой транзакции
Политики ASA NGFW глобальные и применяются ко всем
контекстам на ASA
Поддерживается активная аутентификация с возможностью
задания порта на ASA
В журналах PRSM отображаются имена контекстов
При ролевой настройке интерфейсов можно использовать
информацию о контексте
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 42
Обзор
Архитектура
Управление
устройствами
Применение политик
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 43
Политики применяют действия к некоторому подмножеству сетевого трафика
• Доступ (ASA inbound, context-aware, ASA outbound) – определяет, какой трафик применить, а какой отбросить;
• Идентификации – определяет, какой трафик требует явной аутентификации пользователя и каким образом;
• Шифрования – определяет, какой из зашифрованных SSL и TLS трафик требует инспектирования и досмотра;
• NAT – определяет, какой трафик требует сетевой трансляции адресов Network Address Translation (NAT).
Типы политик
• Политики применяются сверху вниз – порядок следования имеет значение!
• Как минимум, каждому типу политик соответствует хотя бы один набор политик;
• Если политика не указана, действует правило по умолчанию.
Набор политик – это упорядоченный список политик определенного типа
• Политики доступа имеют правило по умолчанию разрешить всё;
• Политики шифрования по умолчанию не расшифровывают трафик;
• Политики идентификации по умолчанию не требуют аутентификации.
Политики по умолчанию для набора политик:
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 44
Используются при создании политик
• Требуются, чтобы понять, какую политику применить.
Можно использовать как предопределённые объекты, так и созданные
администратором
• Исходящая сеть или сеть назначения;
• Идентификация пользователя;
• Тип устройства, ОС и клиента:
Cisco AnyConnect® Secure Mobility;
Строка UserAgent в HTTP-запросе.
• Запрашиваемый URL;
• Приложение или тип приложения.
Множество типов
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 45
Используются при создании политик
• Применяются после срабатывания политики
Профиль фильтрации типов файлов
• Блокирование скачивания указанных MIME-типов;
• Блокировка закачивания определённых MIME-типов.
Профили репутационной Web-фильтрации
• Указывает пороговое значение срабатывания Web-фильтра;
• Значение по умолчанию -6.
Профили противодействия угрозам Next-generation IPS
• Определяет пороговые значения для NGFW IPS;
• Умолчания: Block & Monitor 70, Allow & Monitor 40
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 46
New with
NGFW 9.2
Политики для входящего в ASA трафика
• Применяются на входе;
• Имеют вид классического 5-tuple ACL;
• Могут оперировать именем пользователя и FQDN хоста.
Политики на основе знания контекста
• Применяются между исходящим и входящим трафиком;
• Используют сервисы NGFW;
Политики для исходящего от ASA трафика
• Точно такой же функционал, что и на входе.
Существует три типа политик доступа:
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 47
• Возможность управлять настройками ASA NAT из PRSM;
• PRSM оперирует политиками NAT (ASA 8.3+);
• Три набора политик:
Twice NAT rules (до object NAT)
Network object NAT
Twice NAT rules (после object NAT)
• Наборы политик NAT нельзя удалить или добавить, правила – можно изменять и добавлять.
New with
NGFW 9.2
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 48
New with
NGFW 9.2
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 49
Наборы политик бывают:
Универсальные – набор политик используется всеми устройствами;
Разделяемые – используются некоторыми устройствами;
Локальные – набор политик используется только на одном устройстве.
New with
NGFW 9.2
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 50
New with
NGFW 9.2
Применяется только для политик, учитывающих
контекст соединения
Ограничивает полосу пропускания для каждой политики
При превышении порога пакеты сбрасывается
Ограничение полосы пропускания – обязательный
атрибут политики
Выделенная полоса пропускания используется всеми
соединениями, которые соответствуют данной политике
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 51
New with
NGFW 9.2
Применяется только для политик, учитывающих
контекст соединения
Блокирование поисковых запросов для
поддерживаемых поисковых движков:
• Если Safe Search включен в политике и выключен в
браузере клиента
Поддерживаемые поисковые движки:
• Yahoo
• Bing
• Ask
• Duckduckgo
• Yandex
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 52
New with
NGFW 9.2
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 53
Набор интерфейсов может использоваться в политиках
(входящих или исходящих)
Интерфейсам должны быть предварительно заданы
имена (nameif)
Можно использовать маски: например, *ide* совпадёт и
с inside и с outside
Удобно применять для создания политик на основе
направления трафика
• По мере роста количества интерфейсов, политики на основе
IP масштабируются всё хуже и хуже
New with
NGFW 9.2
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 54
New with
NGFW 9.2
Функционал NGFW IPS лицензируется отдельно,
является подписным сервисом (1, 3, 5 лет).
Кнопка ВКЛ/ВЫКЛ для NGFW
Блокировка трафика от IP-адресов из черного
списка
Опционально можно разрешить трафик с
высокой репутацией
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 55
New with
NGFW 9.2
Три варианта реакции:
• Block and Monitor
• Allow and Monitor
• Don’t Monitor
Оптимизировано для защиты от эксплойтов
Можно делать исключения
Используется в политиках доступа
13.01.201
4
© 2013 Cisco and/or its affiliates. All rights reserved.
Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас.
Спасибо
CiscoRu Cisco CiscoRussia
#CiscoConnectRu
Руслан Иванов Системный инженер-консультант