徐洪涛：思科设计无边界网络安全环境

Cisco Plus北京站第二日，思科安全顾问徐洪涛介绍了在无边界网络环境下的安全设计理念及方案。

　　徐洪涛指出，传统的边界防护已经不能适用目前位置边界、设备边界、应用边界的变化。无边界企业用户的网络安全目标是正确的人员、正确的终端、正确的时间访问正确的资源。

(图)Cisco Secure X防护云架构的网络

　徐洪涛表示，思科推出的Secure X防护云架构的网络，基于情景感知的可见性和可控性可以有效应对无边界企业面临的威胁与挑战。思科SecureX涵盖全面的网络安全方案，实现在全网范围增强可见性与安全的执行。它提供基于身份、终端状态、位置、设备和时间的动态策略，集成于网络设备进行访问控制。对终端、网络和数据流提供端到端的加密安全连接。保护虚拟化的云数据中心，提供全球智能威胁感知与防御。

单点防御方面，徐洪涛介绍了思科基于情景感知的下一代防火墙技术。通过“5W(who what where when how)”的模式，实现基于身份的策略控制，基于位置感知，实现应用和设备的识别和控制，做到威胁智能感知功能。

全网防御方面，做到可信网络接入控制。徐洪涛分享了两个用户场景。

用户场景1——基于用户接入位置的访问授权

·接入位置可以包括：交换机位置、WLC的位置、AP位置

·802.1x或者CWA

·授权策略可以根据NAS-IP-ADDRESS或者calling-station-id来配;

·用PC机连接SSID ISE-open，用户在浏览器输入3.3.3.3，流量被拦截，弹出认证Portal，用户输入用户名/密码;

·当用户名属于是教工组且连接到AP1时(可在WLC查看)用户认证通过后，在控制器上可以看到该用户适用的ACL为intranet，下发的QOS策略为Silver;

·当用户名属于教工组且连接到AP2时，用户认证通过后，在控制器上可以看到该用户适用的ACL为internet_only，下发的QOS策略为Gold;

用户场景2——自有移动终端注册

·用户用一个新终端ipad链接到公司的SSID，ISE-open，用户在浏览器中输入3.3.3.3，流量被拦截，弹出ISE的自注册认证Portal，用户认证后，会在ipad上安装一个含有该设备MAC地址和用户信息的证书;

·Ipad上下载一个profile让用户使用基于EAP-TLS的认证方式;

·当用户再次用已注册终端连接的时候，可以用证书认证，直接被授权访问;

徐洪涛还强调了思科安全移动的解决方案，保证端到端的安全。通过ASA防护墙和可选的IPS模块、WSA实现身份验证与授权、终端安全评估和攻击威胁防御、WEB安全控制功能。