见招拆招，轻松实现万物互联环境下的安全接入！

19 万亿美元的经济效益是个什么概念？这个数字等同于美国未来十年的经济总量！

当然，这都归功于万物互联——所有事物都在实现互联。但是，随着万物互联以及大量移动设备和 BYOD 自带办公设备的发展，不但打破了园区网的设备边界，而且大量的安全漏洞，零日威胁以及恶意软件正对此“虎视眈眈”。

class="fancybox_content" href="/uploads/images/2016/235/lihkJOH1sx6Cw.jpg?rand=7" 

从安全的角度来考虑，对于园区网的终端接入，我们要保证的是正确的人，在正确的时间，正确的地点，使用正确的设备，访问正确的资源。面向威胁，我们怎样具体来构建以威胁防护为中心的思科网络安全解决方案及服务呢？

• 思科面向企业园区网的安全解决方案

ü 思科园区网安全解决方案

为了应对企业园区网发展的较新变化，思科也推出了基于情景感知技术的全新的园区网安全解决方案，旨在对接入园区网的终端进行全面的准入和访问控制，并且提供实时的安全防护。

class="fancybox_content" href="/uploads/images/2016/218/liV93KBFv84iY.png?rand=178"

思科的新一代园区网安全解决方案，主要涵盖如下几个方面：

• 针对接入终端的安全准入：利用思科的 ISE 和 ASA 下一代防火墙技术，对园区网接入终端实现情景感知的准入控制，保证正确的终端才可以接入网络，获得正确的访问权限；
• 针对接入终端的安全防护：利用思科的下一代防火墙云智能技术，对园区网的接入终端的互联网访问做出威胁防御，保证终端的安全性；
• 园区网的安全扩展：利用思科连线的链路安全技术，如 MACSec/IPSec/SSL 等数据封装加密技术，保证园区网的安全扩展以及数据传输的安全性。

ü 基于情景感知的准入控制

思科的 ISE 可以与主流的 MDM（移动设备管理）平台协同工作，实现了为用户提供基于智能终端全面状态的有效网络准入控制。

思科 ISE 可以全面了解终端的所有信息，包括使用该终端的用户的身份，终端设备的类型、终端设备的安全状况、该终端所处的位置以及访问的时间等等，并且基于以上的这些信息，对终端的接入和访问权限做出细粒度的定义和授权，保证了正确的终端可以获得正确的访问权限。

class="fancybox_content" href="/uploads/images/2016/206/liAnSQLKQSNg2.jpg?rand=190"

借助于各种类型的设备探测与识别，灵活的终端访问控制，以及与 MDM（移动设备管理系统）的紧密的结合，思科提供了全面的 BYOD 解决方案，可以帮助企业用户为种类繁多的 BYOD 设备提供访问灵活的策略。

ü 基于云安全智能的自动防护

Cisco ASA 下一代防火墙将业界部署较广泛的状态检测防火墙与下一代网络安全服务综合套件相结合，可提供不打折扣的全面安全性，并能够在组织内实现一致的安全实施。除了全面的状态检测防火墙功能，可选功能还包括基于云和基于软件的集成安全服务，如思科应用可视性与可控性（AVC），入侵防御 IPS 功能，恶意软件防护（AMP）功能等。

class="fancybox_content" href="/uploads/images/2016/0/liaXd5iqcvS3A.jpg?rand=166"

作为业界一流的威胁情报组织，Talos 每天大约分析 150 万个恶意软件事件，每年可帮助阻止 7.2 万亿次攻击。并且，Talos 的研究成果，将会通过动态的更新，应用于众多的思科安全产品和服务当中，包括业界的 ASA+Firepower 下一代防火墙技术，可以在多个层面保护思科的用户，从而在较早的时间，全面的阻挡威胁，包括：

如果有了较新的安全漏洞公布，如 OpenSSL 滴血漏洞等，Talos 可以当日更新部署在用户网络边界的安全设备，阻挡针对该漏洞的攻击，用户甚至无需快速的为系统打上补丁，便可以高枕无忧。

思科的下一代防火墙可以与 Talos 实现动态的更新，可以做到较小间隔为 4 分钟的信誉度的更新，根据这些信誉度数据，ASA 防火墙可以动态对一些恶意网站，病毒网站以及挂马网站进行自动的拦截，保证了在该园区网接入的用户，不会因为访问了外部的恶意网站而导致被攻击和信息的泄露

ü 园区网的安全扩展

当今企业员工的移动性日益增强，在家或在其他地方上班，或者移动作业的的员工数目不断增加，他们通过笔记本电脑和其他移动设备（如智能手机）访问信息。这也要求我们的园区网能够提供一个安全的扩展，能够实现我们的接入终端可以实现跨区域和安全接入。

Cisco 提供全面的远程安全扩展解决方案，可以将我们的园区网的访问扩展到任何我们需要的位置，这些技术包括：

• Anyconnect Mobility 的远程安全接入，我们的员工可以利用这个技术在任何的电脑和智能终端上，安全的连接到部署在网络边界的 Cisco 的 ASA 平台上，从而实现智能、无缝且无间断的连接体验；
• 利用 ASA 的 IPSec VPN技术，可以将多个远程园区网安全的连接在一起，实现网络层面的安全互联；
• 利用思科交换机提供的 MACSec 技术，可以在链路层对数据进行封装和加密，保证数据在链路传输过程中的安全性和机密性。

那么，数字化时代下，思科还有那些以威胁防护为中心的网络安全解决方案呢？针对不同的威胁问题，我们又该运用怎样的安全技术来解决呢？

不着急，思科高级安全架构师徐洪涛他将与大家一起在线探讨全数字化时代下可能会遇见的安全问题及解决方案~

当然，参与微话题讨论，不仅可以得到思科安全专家徐洪涛的在线答疑，更能获得以下大礼包：

• 《应对高级网络威胁》；
• 《思科安全智能研究与分析团队Talos》；
• 《适用于网络的思科高级恶 意软件防护》；
• 《CiscoCybe Range 安全服务》。

参与方式

关注思科中国官方微信公众号 “思科联天下”，回复 “S002”，即可参与实时互动~

class="fancybox_content" href="/uploads/images/2016/134/lifzwPOkX805I.jpg?rand=146"