思科高级网络技术实验室解决方案(网络安全).pptx

思科高级网络技术实验室解决方案TDM Version 1.0 -2005商业市场事业部思科系统中国公司网络安全实验室Presentation_ID? 2003, Cisco Systems, Inc. All rights reserved.网络安全实验室广域网或Internet防火墙防火墙入侵保护路由器入侵保护路由器用户认证授权服务器网络入侵检测(IDS)网络准入实验主机入侵保护IPv6IPv6IPv4IPv4网络安全实验室结构和功能用户集中认证和访问控制实验防火墙实验室网络入侵检测、防范实验室主机入侵检测、防范实验室网络准入控制（NAC）实验室VPN 实验室高级防火墙设计、部署实验室Who are you?I am Joe CiscoUnauthorized UserAuthorized Vendor非法用户和非法电脑的入网控制Cisco 基于身份的网络服务（IBNS）OK用户面临的挑战:非法用户的电脑可以轻易接入网络，并获取重要数据Cisco 的解决方案:通过部署基于用户身份的802.1x 认证，防止非法用户和非法电脑的接入局域网和无线网也可以将非法用户的电脑接入一个特定网段(Guest VLAN)，限制访问的资源CiscoSecure ACSMicrosoft ADAuthorized APAuthorized UserCisco 入侵监测和在线入侵保护（IDS/IPS）网管服务器01在线监测入侵，并可将攻击实时阻断黑客Cisco IDSCatalyst3750InternetIDS/IPS 路由器Write the ACL园区网络Detect the attackDeny在汇聚交换机中动态下载访问控制列表 ACL，实现动态的入侵防御汇聚交换机Catalyst3750内部黑客0112473568NAC网络准入实验室IPNetworkACSEAPoUDPVendorServerEAPoRADIUSRouterCTAHCAP1. 用户端发起对Internet或受保护网段的访问，触发路由器（网络准入设备）上的初始访问控制列表2. 路由器发起对用户端的状态验证（EAPoUDP），要求用户端的CTA进行相应3. CTA向路由器发送状态证书（EAPoUDP）4. 路由器将证书发往ACS（访问控制服务器）5. ACS与后端认证服务器一起进行用户端的证书验证（HCAP）6. ACS确定用户端状态，决定其访问授权7. ACS向路由器发送授权策略（包括ACL和URL），并在用户端屏幕上显示通知信息8. 路由器根据授权策略决定对用户端的访问控制NAC 实验内容“健康”用户 – 符合安全策略 用户端的操作系统信息和反病毒软件更新版本与安全策略一致，发出“欢迎”信息框，并准许访问。2. “危险”的“未知”型用户 – 完全不符合安全策略 无法探测到用户端的操作系统信息和反病毒软件信息，不能确定其是否符合安全策略，可能是“访客”或“危险”的“未知”用户，浏览页面将被转向特定的通知页面。3. “受感染”的用户 – 部分不符合安全策略 用户端的反病毒软件不符合安全策略，可能未升级到最新的版本，也可能未安装反病毒软件，因此拒绝它对网络的访问，并在其屏幕上弹出通知信息，通知其与网管中心联系。Easy VPN实验室Cisco IPSec VPN 实验室动态多点VPN实验室Dynamic Multipoint IPSec VPNsIPSec承载路由实验室Enhanced Service业界标准 IPSec VPN实验室Improved ProductivityEasy VPN实验室分支办公室总部Cisco IOS 路由器或 PIX防火墙Cisco IOS 路由器, PIXInternetHome OfficeCisco VPN 用户端软件IPSec承载路由实验室主接入点分支机构Cisco IOS 路由器Cisco IOS RouterInternet备份接入点Linux, MAC, MS-Windows PCWLANDataVPN Gateway 2DataVPN Gateway 1Access to Corporate ResourcesInternet分支机构PC, Linux, etc.WLANVPN Gateway内部网络网络管理 ISC, IE2100PKI, AAA分支机构动态多点VPN实验室思科高级网络实验室为实现网络学院提供基础平台Presentation_ID? 2003, Cisco Systems, Inc. All rights reserved.思科网络技术学院项目 思科网络技术学院项目是思科公司回馈社会、完全非赢利的网络技术教育项目为学校而专门设立包括了CCNA、CCNP、网络安全和无线局域网络等总计15门、1050小时的电子教程采