Cisco 安全全景指南 v4.1

Cisco Security Omni-Guide v4.1

NIST CSF · Splunk · XDR · SASE · Zero Trust

⚠️ 攻防演练:勒索病毒入侵

为了让您直观理解各个产品的作用,我们模拟一次攻击。请点击下方按钮,观察 Cisco 全栈如何协同工作。

00:00:00 System Ready. Monitoring...

第一章:方法论与框架 (Common Ground)

NIST CSF

网络安全不是买个防火墙就结束了。它是一个基于风险管理的生命周期。

IDENTIFY 知道你有什么资产 (Cyber Vision, ISE)
PROTECT 筑墙防御 (Firewall, Duo, Umbrella)
DETECT 发现绕过防御的威胁 (SNA, XDR)
RESPOND 自动化隔离与阻断 (ISE, Splunk)

Cisco + Splunk

NEW

数据就是安全。 以前,Cisco 强在网络和控制。现在有了 Splunk,我们拥有了业界最强的大数据分析平台 (SIEM/SOAR)。

  • Splunk: 收集所有日志(服务器、应用、云、防火墙)。
  • Cisco Security Cloud: 提供遥测数据并执行 Splunk 下达的指令。

Cisco Security Cloud 全景架构

USER / EDGE NETWORK / CAMPUS CLOUD / APP SOC / OPS Secure Access Duo FW ISE SNA Workload Splunk + XDR

图解:用户 (Edge) 通过 SASE 接入,网络层 (Network) 由 ISE/FW 保护,云端 (Cloud) 由 Workload 隔离。所有数据汇聚至 Splunk/XDR 进行分析。

第二章:核心产品深度解析 (Deep Dive)

Cisco Secure Firewall (FMC/FTD)

PROTECT

“安全的一道防线”。不仅仅是访问控制,更是搭载了 Snort 3 引擎的 IPS(入侵防御系统)。

技术规格与亮点
  • Snort 3 Engine: 相比 Snort 2,采用多线程处理,吞吐量提升显著,规则语法更灵活。
  • TLS 1.3 Decryption: 硬件加速解密,看见加密流量中的威胁。
  • Virtual Patching: 在服务器打补丁之前,通过防火墙规则拦截针对该漏洞的 CVE 攻击。
  • Dynamic Objects: 与 Azure/AWS 联动,基于云标签(Tag)而不是 IP 写策略。

Identity Services Engine (ISE)

IDENTIFY

“零信任的大脑”。负责网络准入(NAC)、设备健康检查(Posture)和微分段(Segmentation)。

技术规格与亮点
  • 802.1X / MAB: 有线无线统一认证标准。
  • pxGrid (Platform Exchange Grid): Cisco 的独门绝技。ISE 知道“IP 1.1.1.1 是财务部的 Bob”。它通过 pxGrid 把这个信息告诉防火墙,防火墙就能写“允许 Bob 访问数据库”的策略,而不是基于 IP。
  • SGT (Security Group Tag): 在数据包头打上标签,实现与 IP 无关的隔离。

Secure Network Analytics (NDR)

DETECT

“全网监控摄像头”。不需要在服务器装代理,通过交换机发送的 NetFlow 分析流量行为。

技术规格与亮点
  • ETA (Encrypted Traffic Analytics): 不需要解密,通过分析数据包的长度、到达时间间隔、初始握手特征,识别加密流量中的恶意软件(准确率 >99%)。
  • Behavioral Modeling: 自动学习基线。如果一台打印机半夜突然向海外 IP 发送 1GB 数据,立即报警。

Cisco Cyber Vision (OT Security)

IDENTIFY

“听懂机器语言”。运行在工业交换机上的传感器,解析工控协议 (Modbus, DNP3)。

技术规格与亮点
  • Deep Packet Inspection (DPI): 能看懂“PLC 正在对离心机下达‘停止’指令”。
  • No Extra Hardware: 传感器是软件容器 (IOx),直接跑在 Cisco IE3300/3400 交换机上,无需旁路部署额外的探针硬件。

Cisco Secure Access (SASE/SSE)

CLOUD

“未来的 VPN”。基于云的安全服务边缘。无论用户在哪里,都通过 Cisco 云网关访问互联网或内网应用。

技术规格与亮点
  • ZTNA (Zero Trust Network Access): 只有应用连接,没有网络连接。黑客无法利用受损的终端扫描内网。
  • SWG (Secure Web Gateway): 云端代理,过滤网页恶意内容。
  • Experience Monitoring: 集成了 ThousandEyes,当用户喊慢时,知道是 WiFi 还是 App 的问题。

第三章:行业纵深 - 制造业 (Manufacturing)

The Purdue Model Alignment (普渡模型)

制造业安全的核心是将 IT(企业网)与 OT(工业网)进行分层防御。

Level 4-5: Enterprise (IT) - Protected by Firewall / Umbrella Level 3.5: Industrial DMZ - Cisco ISA 3000 Firewall Level 0-3: OT/ICS - Visibility by Cyber Vision
制造业销售痛点与对策
  • 痛点: “我们不能在 PLC 上装杀毒软件,会导致停机。”
  • 对策: “没错。所以您需要 Cyber Vision。它是无代理(Agentless)的被动监听,完全不影响生产,但能告诉您哪台 PLC 的固件有漏洞。”
  • 痛点: “设备供应商需要远程连进来修机器。”
  • 对策: “使用 Cisco Secure Equipment Access (SEA)。不要给 VPN 账号。SEA 允许他们只远程桌面到那一台机器,无法访问其他网络。”

第四章:销售实战 (Sales Playbook)

发掘机会 (Discovery)

  • 问 CIO (IT 经理):
    “您现在有多少种不同的安全工具?当发生警报时,您的团队需要切换多少个控制台?”
    Pitch: Platform / XDR
  • 问 Network Team:
    “如果有人绕过了防火墙,在内网横向移动,您的交换机能告诉您吗?”
    Pitch: SNA / ISE
  • 问 OT/Plant Manager:
    “上次因为勒索病毒导致的停产造成了多少损失?您知道现在工厂里有多少台 WinXP 裸奔吗?”
    Pitch: Cyber Vision

术语表 (Glossary)

XDR: Extended Detection and Response. 跨产品(端点、网络、云)的威胁检测与响应平台。

SASE: Secure Access Service Edge. 网络(SD-WAN)与安全(SSE)的云端融合。

SSE: SASE 中剥离掉 SD-WAN 的纯安全部分 (SWG, CASB, ZTNA)。

SOAR: Security Orchestration, Automation and Response. 比如 Splunk Phantom,负责把“封锁IP”这种动作自动化。

NDR: Network Detection and Response. 即 Cisco SNA。

Talos: Cisco 的威胁情报团队,世界上最大的非政府安全研究组织。