cisco公司安全管理实例教案分析.ppt

技术培训班 CISCO公司安全管理实例2007年6月 构建自防御数据中心 安全域划分 安全域组件 安全域间 安全域内 实施建议 安全工具 安全域 定义网络边界 在安全域之间执行策略 通常安全域越多越好: 更精确的访问控制 但增加管理复杂性 安全域的定义基于安全策略 安全域 (继续.) 如何定义网络边界? 需要完成存取控制 信任等级不一样 隔离安全事件 注意: 防火墙不能在同一边界内执行策略 定义安全域 安全域划分方案 物理分离 多层体系结构的安全域（1） 各安全域 防火墙分离 多层体系结构的安全域（2） 一个防火墙提供多个 DMZ提供安全域的分离 Web 服务器能够与app服务器通信 App服务器能够与DB服务器通信 安全子域与PVLAN 同一安全域内　服务器之间进行过滤 可以采用VACL 或采用PVLAN 构建自防御数据中心 安全域划分 安全域组件 安全域间 安全域内 实施建议 安全域组件 网络设备安全 安全设备安全 应用安全 数据安全 管理安全 数据中心基础架构L2/L3 安全 L 2 区域　数据中心汇聚层与存取层之间 L 3 区域　数据中心汇聚层与核心层之间 消除即插即用 Catalyst 交换机支持rogue BPDU 过滤: BPDU Guard,Root Guard BPDU GuardPrevent Loops via WLAN (Windows XP