從安全的角度來(lái)考慮，對(duì)于園區(qū)網(wǎng)的終端接入，我們要保證的是正確的人，在正確的時(shí)間，正確的地點(diǎn)，使用正確的設(shè)備，訪問(wèn)正確的資源。面向威脅，我們?cè)鯓泳唧w來(lái)構(gòu)建以威脅防護(hù)為中心的思科網(wǎng)絡(luò)安全解決方案及服務(wù)呢?

思科面向企業(yè)園區(qū)網(wǎng)的安全解決方案

思科園區(qū)網(wǎng)安全解決方案

為了應(yīng)對(duì)企業(yè)園區(qū)網(wǎng)發(fā)展的最新變化，思科也推出了基于情景感知技術(shù)的全新的園區(qū)網(wǎng)安全解決方案，旨在對(duì)接入園區(qū)網(wǎng)的終端進(jìn)行全面的準(zhǔn)入和訪問(wèn)控制，并且提供實(shí)時(shí)的安全防護(hù)。

思科的新一代園區(qū)網(wǎng)安全解決方案，主要涵蓋如下幾個(gè)方面：

1.針對(duì)接入終端的安全準(zhǔn)入：利用思科的 ISE 和 ASA 下一代防火墻技術(shù)，對(duì)園區(qū)網(wǎng)接入終端實(shí)現(xiàn)情景感知的準(zhǔn)入控制，保證正確的終端才可以接入網(wǎng)絡(luò)，獲得正確的訪問(wèn)權(quán)限;

2.針對(duì)接入終端的安全防護(hù)：利用思科的下一代防火墻云智能技術(shù)，對(duì)園區(qū)網(wǎng)的接入終端的互聯(lián)網(wǎng)訪問(wèn)做出威脅防御，保證終端的安全性;

3.園區(qū)網(wǎng)的安全擴(kuò)展：利用思科連線的鏈路安全技術(shù)，如 MACSec/IPSec/SSL 等數(shù)據(jù)封裝加密技術(shù)，保證園區(qū)網(wǎng)的安全擴(kuò)展以及數(shù)據(jù)傳輸?shù)陌踩浴?/p>

基于情景感知的準(zhǔn)入控制

思科的 ISE 可以與主流的 MDM(移動(dòng)設(shè)備管理)平臺(tái)協(xié)同工作，實(shí)現(xiàn)了為用戶提供基于智能終端全面狀態(tài)的有效網(wǎng)絡(luò)準(zhǔn)入控制。

思科 ISE 可以全面了解終端的所有信息，包括使用該終端的用戶的身份，終端設(shè)備的類型、終端設(shè)備的安全狀況、該終端所處的位置以及訪問(wèn)的時(shí)間等等，并且基于以上的這些信息，對(duì)終端的接入和訪問(wèn)權(quán)限做出細(xì)粒度的定義和授權(quán)，保證了正確的終端可以獲得正確的訪問(wèn)權(quán)限。

借助于各種類型的設(shè)備探測(cè)與識(shí)別，靈活的終端訪問(wèn)控制，以及與 MDM(移動(dòng)設(shè)備管理系統(tǒng))的緊密的結(jié)合，思科提供了全面的 BYOD 解決方案，可以幫助企業(yè)用戶為種類繁多的 BYOD 設(shè)備提供訪問(wèn)靈活的策略。

基于云安全智能的自動(dòng)防護(hù)

Cisco ASA 下一代防火墻將業(yè)界部署最廣泛的狀態(tài)檢測(cè)防火墻與下一代網(wǎng)絡(luò)安全服務(wù)綜合套件相結(jié)合，可提供不打折扣的全面安全性，并能夠在組織內(nèi)實(shí)現(xiàn)一致的安全實(shí)施。除了全面的狀態(tài)檢測(cè)防火墻功能，可選功能還包括基于云和基于軟件的集成安全服務(wù)，如思科應(yīng)用可視性與可控性(AVC)，入侵防御 IPS 功能，惡意軟件防護(hù)(AMP)功能等。

作為業(yè)界一流的威脅情報(bào)組織，Talos 每天大約分析 150 萬(wàn)個(gè)惡意軟件事件，每年可幫助阻止 7.2 萬(wàn)億次攻擊。并且，Talos 的研究成果，將會(huì)通過(guò)動(dòng)態(tài)的更新，應(yīng)用于眾多的思科安全產(chǎn)品和服務(wù)當(dāng)中，包括業(yè)界領(lǐng)先的 ASA+Firepower 下一代防火墻技術(shù)，可以在多個(gè)層面保護(hù)思科的用戶，從而在最早的時(shí)間，全面的阻擋威脅，包括：

如果有了最新的安全漏洞公布，如 OpenSSL 滴血漏洞等，Talos 可以當(dāng)日更新部署在用戶網(wǎng)絡(luò)邊界的安全設(shè)備，阻擋針對(duì)該漏洞的攻擊，用戶甚至無(wú)需快速的為系統(tǒng)打上補(bǔ)丁，便可以高枕無(wú)憂。

思科的下一代防火墻可以與 Talos 實(shí)現(xiàn)動(dòng)態(tài)的更新，可以做到最小間隔為 4 分鐘的信譽(yù)度的更新，根據(jù)這些信譽(yù)度數(shù)據(jù)，ASA 防火墻可以動(dòng)態(tài)對(duì)一些惡意網(wǎng)站，病毒網(wǎng)站以及掛馬網(wǎng)站進(jìn)行自動(dòng)的攔截，保證了在該園區(qū)網(wǎng)接入的用戶，不會(huì)因?yàn)樵L問(wèn)了外部的惡意網(wǎng)站而導(dǎo)致被攻擊和信息的泄露

園區(qū)網(wǎng)的安全擴(kuò)展

當(dāng)今企業(yè)員工的移動(dòng)性日益增強(qiáng)，在家或在其他地方上班，或者移動(dòng)作業(yè)的的員工數(shù)目不斷增加，他們通過(guò)筆記本電腦和其他移動(dòng)設(shè)備(如智能手機(jī))訪問(wèn)信息。這也要求我們的園區(qū)網(wǎng)能夠提供一個(gè)安全的擴(kuò)展，能夠?qū)崿F(xiàn)我們的接入終端可以實(shí)現(xiàn)跨區(qū)域和安全接入。

Cisco 提供全面的遠(yuǎn)程安全擴(kuò)展解決方案，可以將我們的園區(qū)網(wǎng)的訪問(wèn)擴(kuò)展到任何我們需要的位置，這些技術(shù)包括：

1.Anyconnect Mobility 的遠(yuǎn)程安全接入，我們的員工可以利用這個(gè)技術(shù)在任何的電腦和智能終端上，安全的連接到部署在網(wǎng)絡(luò)邊界的 Cisco 的 ASA 平臺(tái)上，從而實(shí)現(xiàn)智能、無(wú)縫且無(wú)間斷的連接體驗(yàn);

2.利用 ASA 的 IPSec VPN技術(shù)，可以將多個(gè)遠(yuǎn)程園區(qū)網(wǎng)安全的連接在一起，實(shí)現(xiàn)網(wǎng)絡(luò)層面的安全互聯(lián);

3.利用思科交換機(jī)提供的 MACSec 技術(shù)，可以在鏈路層對(duì)數(shù)據(jù)進(jìn)行封裝和加密，保證數(shù)據(jù)在鏈路傳輸過(guò)程中的安全性和機(jī)密性。

那么，數(shù)字化時(shí)代下，思科還有那些以威脅防護(hù)為中心的網(wǎng)絡(luò)安全解決方案呢?針對(duì)不同的威脅問(wèn)題，我們又該運(yùn)用怎樣的安全技術(shù)來(lái)解決呢?

不著急，思科高級(jí)安全架構(gòu)師徐洪濤他將與大家一起在線探討全數(shù)字化時(shí)代下可能會(huì)遇見的安全問(wèn)題及解決方案。

當(dāng)然，參與微話題討論，不僅可以得到思科安全專家徐洪濤的在線答疑，更能獲得以下大禮包：

《應(yīng)對(duì)高級(jí)網(wǎng)絡(luò)威脅》;

《思科安全智能研究與分析團(tuán)隊(duì)Talos》;

《適用于網(wǎng)絡(luò)的思科高級(jí)惡 意軟件防護(hù)》;

《CiscoCybe Range 安全服務(wù)》。

崔歡歡