(圖)Cisco Secure X防護(hù)云架構(gòu)的網(wǎng)絡(luò)

徐洪濤表示，思科推出的Secure X防護(hù)云架構(gòu)的網(wǎng)絡(luò)，基于情景感知的可見性和可控性可以有效應(yīng)對(duì)無邊界企業(yè)面臨的威脅與挑戰(zhàn)。思科SecureX涵蓋全面的網(wǎng)絡(luò)安全方案，實(shí)現(xiàn)在全網(wǎng)范圍增強(qiáng)可見性與安全的執(zhí)行。它提供基于身份、終端狀態(tài)、位置、設(shè)備和時(shí)間的動(dòng)態(tài)策略，集成于網(wǎng)絡(luò)設(shè)備進(jìn)行訪問控制。對(duì)終端、網(wǎng)絡(luò)和數(shù)據(jù)流提供端到端的加密安全連接。保護(hù)虛擬化的云數(shù)據(jù)中心，提供全球智能威脅感知與防御。

單點(diǎn)防御方面，徐洪濤介紹了思科基于情景感知的下一代防火墻技術(shù)。通過“5W(who what where when how)”的模式，實(shí)現(xiàn)基于身份的策略控制，基于位置感知，實(shí)現(xiàn)應(yīng)用和設(shè)備的識(shí)別和控制，做到威脅智能感知功能。

全網(wǎng)防御方面，做到可信網(wǎng)絡(luò)接入控制。徐洪濤分享了兩個(gè)用戶場(chǎng)景。

用戶場(chǎng)景1——基于用戶接入位置的訪問授權(quán)

·接入位置可以包括：交換機(jī)位置、WLC的位置、AP位置

·802.1x或者CWA

·授權(quán)策略可以根據(jù)NAS-IP-ADDRESS或者calling-station-id來配;

·用PC機(jī)連接SSID ISE-open，用戶在瀏覽器輸入3.3.3.3，流量被攔截，彈出認(rèn)證Portal，用戶輸入用戶名/密碼;

·當(dāng)用戶名屬于是教工組且連接到AP1時(shí)(可在WLC查看)用戶認(rèn)證通過后，在控制器上可以看到該用戶適用的ACL為intranet，下發(fā)的QOS策略為Silver;

·當(dāng)用戶名屬于教工組且連接到AP2時(shí)，用戶認(rèn)證通過后，在控制器上可以看到該用戶適用的ACL為internet_only，下發(fā)的QOS策略為Gold;

用戶場(chǎng)景2——自有移動(dòng)終端注冊(cè)

·用戶用一個(gè)新終端ipad鏈接到公司的SSID，ISE-open，用戶在瀏覽器中輸入3.3.3.3，流量被攔截，彈出ISE的自注冊(cè)認(rèn)證Portal，用戶認(rèn)證后，會(huì)在ipad上安裝一個(gè)含有該設(shè)備MAC地址和用戶信息的證書;

·Ipad上下載一個(gè)profile讓用戶使用基于EAP-TLS的認(rèn)證方式;

·當(dāng)用戶再次用已注冊(cè)終端連接的時(shí)候，可以用證書認(rèn)證，直接被授權(quán)訪問;

徐洪濤還強(qiáng)調(diào)了思科安全移動(dòng)的解決方案，保證端到端的安全。通過ASA防護(hù)墻和可選的IPS模塊、WSA實(shí)現(xiàn)身份驗(yàn)證與授權(quán)、終端安全評(píng)估和攻擊威脅防御、WEB安全控制功能。

huanghui