思科高级网络技术试验室解决方案网络安全.pptVIP

Jan 2003 ? 2004, Cisco Systems, Inc. All rights reserved. 思科高级网络技术实验室解决方案 TDM Version 1.0 -2005 商业市场事业部 思科系统中国公司 ? 2002, Cisco Systems, Inc. All rights reserved. 网络安全实验室 2 ? 2003, Cisco Systems, Inc. All rights reserved. Presentation_ID ? 2002, Cisco Systems, Inc. All rights reserved. 3 网络安全实验室结构和功能 ? 用户集中认证和访问控制实验 ? 防火墙实验室 ? 网络入侵检测、防范实验室 ? 主机入侵检测、防范实验室 ? 网络准入控制（ NAC ）实验室 ? VPN 实验室 广域网 或 Internet IPv4 IPv6 用户认证 授权服务器 IPv4 IPv6 网络入侵 检测 (IDS) 入侵保护 路由器 防火墙 入侵保护 路由器 防火墙 网络安全实验室 网络准入 实验 主机 入侵保护 ? 2002, Cisco Systems, Inc. All rights reserved. 4 高级防火墙设计、部署实验室 ? 2002, Cisco Systems, Inc. All rights reserved. 5 非法用户和非法电脑的入网控制 Cisco 基于身份的网络服务（ IBNS ） CiscoSecure ACS Microsoft AD Authorized User Authorized Vendor Unauthorized User Authorized AP Who are you? I am Joe Cisco OK 用户面临的挑战 : 非法用户的电脑可以轻 易接入网络，并获取重 要数据 Cisco 的解决方案 : 通过部署基于用户身份 的 802.1x 认证，防止非法 用户和非法电脑的接入 局域网和无线网 也可以将非法用户的电 脑接入一个特定网段 (Guest VLAN) ，限制访问 的资源 ? 2002, Cisco Systems, Inc. All rights reserved. 6 Cisco 入侵监测和在线入侵保护（ IDS/IPS ） Write the ACL Detect the attack 在线监测入侵， 并可将攻击实时 阻断 在汇聚交换机中动态下 载访问控制列表 ACL ， 实现动态的入侵防御 黑客 1 Internet Si Catalyst3750 园区网络 Deny 汇聚交换机 Catalyst 3750 IDS/IPS 路由器 Cisco IDS 内部黑客 01 网管服务器 01 ? 2002, Cisco Systems, Inc. All rights reserved. 7 CTA Router Network ACS Vendor Server IP EAPoUDP HCAP 1 2 3 4 5 6 7 8 1. 用户端发起对 Internet 或受保护网段的访问，触发路由器（网络准 入设备）上的初始访问控制列表 2. 路由器发起对用户端的状态验证（ EAPoUDP ），要求用户端的 CTA 进 行相应 3. CTA 向路由器发送状态证书（ EAPoUDP ） 4. 路由器将证书发往 ACS （访问控制服务器） 5. ACS 与后端认证服务器一起进行用户端的证书验证（ HCAP ） 6. ACS 确定用户端状态，决定其访问授权 7. ACS 向路由器发送授权策略（包括 ACL 和 URL ），并在用户端屏幕上显 示通知信息 8. 路由器根据授权策略决定对用户端的访问控制 NAC 网络准入实验室 ? 2002, Cisco Systems, Inc. All rights reserved. 8 1. “ 健康”用户 – 符合安全策略 用户端的操作系统信息和反病毒软件更新版本与安全策略一致，发出“欢迎” 信息框，并准许访问。 2. “ 危险”的“未知”型用户 – 完全不符合安全策略 无法探测到用户端的操作系统信息和反病毒