CISCO安全技术建议书-中国安全网.DOC

XXX网络安全 技术建议书 1. 基于用户身份的网络接入控制的网络资源动态分配 3 1.1 基于802.1x的用户接入认证 3 1.2 思科基于802.1x的扩展功能(IBNS) 4 2．网络的安全 6 2.1 防火墙的配置及介绍 6 2.1.1 防火墙的设置策略 7 2.1.2 安全管理的重要性 10 1）防火墙的配置 12 2）防火墙的实现 12 3）常用反黑策略 13 4）主机和服务器网络安全保护 14 5）网络准入服务 15 6）网络整体安全设计 18 3．网络管理系统 19 3.1 网络分析模块NAM 19 3.2 CiscoWorks2000网管软件 21 总结 24 1. 基于用户身份的网络接入控制的网络资源动态分配 1.1 基于802.1x的用户接入认证 对于网络用户的动态接入认证，本方案选用基于802.1x国际标准的网络接入层用户认证协议，并在此基础上进一步利用思科公司的扩展功能对用户的VLAN划分，带宽资源分配和访问限制等进行动态设置。从而实现用户可以在园区网内的任何位置用自己的用户名和密码登陆网络，并获得相应的网络访问权限和工作组划分。 标准的802.1x协议的流程如下图： 当用户的电脑通过网线连入接入交换机时，交换机会向用户的电脑发送认证请求。用户的用户名和密码等认证信息有交换机传送到网络中的思科认证服务器ACS进行用户认证，当用户的信息通过认证后，交换机才会开放用户所连接的网络设备端口，从而用户才可以获得对网络的访问许可。 1.2 思科基于802.1x的扩展功能(IBNS) 思科支持IEEE 802.1x标准，并且可以提供下述扩展功能以进一步增强基于802.1x的用户认证服务： 基于802.1x的用户VLAN动态划分： Cisco IBNS可以提供这种功能使基于用户的身份动态地将VLAN分配给相应端口。采用标准的802.1 X方案，认证成功后的用户被置于预先配置好的VLAN中，该VLAN已经分配到某个端口。这种新的特性使得管理员可以维护RADIUS内从用户名到VLAN的数据库。在成功地完成802.1 X鉴别之后，RADIUS还可以将VLAN发送到用于特定用户的交换机，交换机就可以为指定的VLAN配置附加端口。这样，经过802.1 X认证的端口就可以将基于用户的身份指派到VLAN上。 带端口安全性的802.1x 这种特性可以在802.1x端口上配置端口安全性。如果端口上只有一个介质接入控制(MAC)地址能够实现端口安全性，那么只有该MAC地址才能够通过RADIUS服务器认证。所有其它MAC用户将被拒绝访问，这样就能够消除其它用户连接到某个集线器上以绕开认证的安全性风险。在多种认证模式中采用代端口安全性功能的802.1 X时，所有尝试通过交换机端口连接的主机都必需要求采用802.1 X进行认证。 802.1x访客VLAN 这种特性有助于让XXX提供访客级网络接入，如对于那些不支持802.1x的用户主机(Windows98, WindowsMe等)。在启用这种特性之后，那些没有802.1 X兼容主机的网络的用户将被置于访客VLAN中,他们可以获得Internet的访问权限或只可以访问XXX主页信息等。需要访问敏感资源的用户可以通过VPN连接来进行数据安全访问。 带ACL分配的802.1 X 基于身份的访问控制列表(ACL)使网络可以根据用户的802.1 X认证结果，动态地将访问控制策略分配到某个接口上。您可以使用这种特性来严格限制用户对网络中某些网段的访问，限制对敏感服务器的访问，甚至限制可能使用到的协议和应用。这样，不需损害用户的移动性或者造成管理损耗，就能够实现专门基于身份的安全性。 基于802.1x的机器认证 机器认证可以使用户对接入网络的终端设备进行安全控制，当PC在其董事会通过802.1x协议向ACS传送认证信息，只有通过认证的机器才可以接入网络中。机器的认证信息和认证密码由中心ACS设置和更新，机器的用户无法得到机器的认证密码或证书信息。机器人正可以与用户认证相结合提高系统的安全可靠性。 2．网络的安全 对于企业内部网来说，建立了网络，必然会有人对它进行攻击，目前企业网络的安全主要受到两方面的威胁，一个是来自黑客的诸如DoS之类的攻击和黑客入侵，另外一个是有可能被病毒感染，例如2003年造成很多企业园区网络中心路由器瘫痪的sql蠕虫病毒等。对于前者，最有效的解决安全的方法是设置内外网间防火墙（firewall）和入侵检测系统。而保证网络不受各种病毒的侵害，保证网络的正常运行，后者则应该配置网络防病毒软件。 2.1 防火墙的配置及介绍 随着网络技术的普及化，网络安全已经成为网络建设中的一个重要环节，特别是XXX作为保证的重要机构，对于网络安全的防护就更为重要。防火墙作为网络防护的手段之一，对