中国安全网.docVIP

1 网络自身安全威胁和问题 2 2 普通技术解决方案和不足 3 3 思科网络自身安全解决方案 4 3.1 设备级保护 4 3.1.1 控制平面保护 4 控制平台保护 4 安全高效的交换转发机制CEF 5 3.1.2 管理平面保护 6 “一键”保护设备安全Cisco AutoSecure 6 基于角色权限的管理访问CLI/SDM 7 Console 和Telnet 的安全管理AAA 8 SNMP版本3安全管理协议SNMP V3 8 安全Shell管理保护Secure Shell 8 USB 安全令牌和Flash存储 8 3.1.3 数据平面保护 9 端口安全控制合理MAC地址Port Security 9 DHCP窥探保护DHCP服务正常工作DHCP Snooping 10 动态ARP检查确保“合法”ARP信息传递 DAI 12 IP源地址保护阻止DoS、蠕虫和木马攻击IP Source Guard 13 阻挡不明交换设备的接入BPDU/Root Guard 14 丰富的访问控制Access Control Lists 15 专用VLAN“深度”隔离交换端口Private VLANs 15 3.1.4 思科安全交换机 16 面向应用的集成防火墙Firewall SM 16 迅速发现恶意攻击的集成入侵检测/保护IDS/IPS SM 17 抵御DDos攻击AG/AD SM 19 安全集成的链路加密保护VPN SM 20 数据中心部署内容交换和应用加密(CSM/SSL SM) 21 网络流量深度分析NAM SM 21 3.1.5 思科安全路由器 23 安全加速硬件 23 DMVPN, V3PN, SRTP安全协议 23 路由器集成的入侵防范系统NM-CIDS/IOS IPS 25 路由器集成的透明防火墙LAN交换IOS Firewall 25 3.2 网络级保护 27 3.2.1 单播逆向路径转发检查URPF Check 27 3.2.2 基于网络的应用识别NBAR 27 3.2.3 Cisco 流量统计分析Netflow 27 3.2.4 针对不同级别用户的服务质量User-Based QoS ACL 30 3.2.5 网络准入控制NAC 30 3.2.6 无线局域网安全性保障Wireless LAN Security 33 4 思科网络自身安全的部署 38 5 案例分析 40 5.1 SQL Slammer的背景和功能 40 5.2 思科对于抵御SQL Slammer的建议 41 5.3 未来的蠕虫 42 5.4 运用网络自身安全实现蠕虫防护 43 5.5 总结 46 网络自身安全威胁和问题 今天的企业越来越多地把关键业务应用、语音、视频等新型应用融合到IP网络上，一个安全、可靠的网络是企业业务成功的关键。 但是随着网络应用的不断深入和广泛，网络自身安全的威胁和问题也愈发严重和复杂。 蠕虫/病毒/垃圾邮件在网上泛滥， 黑客恶意攻击，DDoS拒绝服务攻击 管理人员对网络设备的简单配置和随意部署 内部用户任意下载/拷贝 内部人员无意或有益尝试闯入敏感区域 等等 这些问题，都对网络自身的稳定运行带来了极大的安全隐患，问题一旦发作，会导致网络设备资源耗尽，网络带宽被塞满，网络系统无法正常工作，使得企业业务不能有效进行，应用系统被侵入或篡改，造成的损失非常巨大，后果极为严重。 普通技术解决方案和不足 如何应对现在新的网络安全环境呢？如何在我们的网络上确保安全，及时地发现问题、跟踪定位和阻止泛滥，是每个网络管理人员所思考的问题。　 /蠕虫软件； 经常性升级代码库和操作系统的补丁； 网络出口安装防火墙； 网络中心或关键区域安装IDS入侵监测； 网络接入增加加密设备； 等等。 由于在网络设计的初期，缺少对网络安全的整体考虑，特别是没有网络自身层面去规划安全的要素，导致“头痛医头，脚痛医脚”，完全是“救火式”网络安全保护，结果自然是： 网络安全各个部分相互独立，各行其事； 网络设备没有安全保护，只是区域的边界安全； 安全防范效果不明显，原有安全问题依然存在； 对于新出现的攻击、病毒和蠕虫不能适应，难以承受，被动响应； 即使发现问题，也缺乏跟踪定位，有效隔离，快速消除的能力 因此，我们需要从网络自身基础架构的层面上，考虑安全，规划安全，部署安全和实施安全。 安全已经不是网络中的一个选项，安全是网络中必不可少的重要组成部分，通过智能集成，分工协作，全局部署，做到真正融于网络内部，真正成为网络规划的核心，真正确保整体网络的稳定、可靠、高效运营。 思科网络自身安全解决方案 思科网络自身安全解决方案，通过设备及网络两个层面的安全保护，各自分工，系统协作，全面部署，从网络到主机，从核心层到分布层、接入层，我们