SecurityEducation.pptVIP

安全网络解决方案李江城 系统工程师Cisco Systems Inc. 思科系统公司2003.8 议程 认识网络安全 思科网络安全解决方案 SAFE蓝图 案例分析 安全事件发展趋势… 我们是否需要不断地学习？ 黑客工具: 越来越危险,攻击越来越简单 对我们的影响? 尽管存在威胁，但并不能阻挡网络的发展 业务需求要求网络提供越来越多的服务… Converged Networks, VPNs, SANs, QoS 安全威胁与网络发展趋势 构成矛盾的统一体 安全被纳入到管理的日常工作中 什么是安全? 安全的目标不是阻止我们业务的发展, 而是为业务应用的成功提供保障 理解安全首先要理解业务应用特性 没有 100%的安全 如何安全实施? 安全状况—Internet 几乎每个人都在使用防火墙和过滤技术 允许穿越防火墙的服务是防护薄弱环节 一旦透过应用突破 DMZ 一台主机, 通常危及整个 DMZ 。 不仅威胁到企业服务器和数据库，甚至 长驱直入到内部网络 安全状况—Internet 安装维护周期漫长 经常在发生安全事件后(蠕虫病毒)才初始我们进行修补工作 跨平台的管理经常会采用一致的口令集, 导致攻击蔓延 (从 NT到 routers, routers 到 Unix, 等等.) 安全状况—Wireless and Dial 集中管理的接入和拨号服务并不意味不被恶意利用 一个$90 的接入点(或者 $20的 modem) 就可以轻易绕过$9,000 的防火墙 即使在设备中具备安全功能, 但很少被使用 传统安全模式 边界保护 “外强中干” 一点突破全线崩溃 新的安全模型 安全岛 不单纯考虑边界安全 内部不再全开放 内外都要强韧 防御层次 Security is like an onion OSI 模型 = 隐含的信任层次 多米诺效应 Unfortunately this means if one layer is hacked, communications are compromised without the other layers being aware of the problem Security is only as strong as your weakest link When it comes to networking, any layer can be your weak link 层次化解决方案 应用层 加密保护 策略管理 (资源控制) Web 应用保护 缓冲区溢出 网络攻击 与侦察检测 拒绝服务检测 小结: 层次化纵深防御 安全不能完全依赖一种工具 应采取多层防御措施 边界 设备/主机 应用 议程 认识网络安全 思科网络安全解决方案 SAFE蓝图 案例分析 谁是我们主要的敌人? 今天我们面料的最大威胁来自于自动化攻击: 蠕虫 (Code Red, Nimda, Slammer) 病毒 (Love Bug, …, …) 其次是好奇者, 使用得不断获得工具攻击任何站点 主要的网络漏洞 Cisco 信息安全目标 “在保证关键信息和资产完整性、机密性和可用性，同时将因执行安全过程和策略对业务应用效率的影响降到最低.” 网络安全组成 思科网络安全解决方案 保护交换机和路由器 用户认证 Local passwords (username, password) TACACS+/RADIUS Privilege levels 使用Enable Secret 通过单向算法对 “enable secret”密码进行加密 enable secret removed no enable password service password-encryption SSH加密 Secure Shell supported from Cisco IOS 12.0S Obtain, load and run appropriate crypto images on router Set up SSH on router Beta7200(config)#crypto key generate rsa Add it as input transport line vty 0 4 transport input ssh 日志功能 上载日志信息到日志服务器 使用详细的功能 精确跟踪活动细节 logging buffered 16384 logging trap debugging logging fa