安全网络设计指南VIP免费

第1页共87页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第1页共87页安全网络设计指南安全性目录简介术语安全性基本原理安全技术鉴别技术完整性和保密性技术虚拟专用拨号网络技术目录业务和命名技术创建企业安全策略内部园区网接入目前Cisco的企业网安全性解决方案Cisco防火墙鉴别当前企业安全实施方案总结附录A：Cisco安全性信息来源第2页共87页第1页共87页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第2页共87页简介企业网络安全一词在网络产业中越来越盛行。网络安全是一个复杂的课题，一部分原因是今天世界上有许多安全技术，许多都解决相同的安全问题，而且渐向更全面的安全战略演进。本文对安全技术进行综合的介绍；读者将对网络的安全性以及Cisco产品和特性如何被用来实现安全的企业网有一个前瞻的认识。这篇论文应该与Cisco的白皮书及详细介绍下文中提到的产品和特性的资料结合使用。关于Cisco产品和特性的整个章节可以查询相关Cisco文件资料。第一个章节定义了基本词汇，讨论了今天的网络需要安全性的原因；然后详细介绍了密码学的基本原理，并讨论了各种安全技术。这些安全技术今天已广泛地应用于业界，目前，Cisco系统公司也正在销售或开发它们。大多数技术都是从IETF(InternetEngineeringTaskForce)产生的，适合IP网络协议。一般地，当一个解决方案想在其它没有基于标准的安全解决方案的联网协议上提供安全业务时，它必须在IP中传输该协议。技术介绍完后，文章接着具体讨论了如向建立企业安全策略、Cisco提供的产品以及Cisco的产品和特性如何适应安全的企业网络的设计。最后一部分，给出了一些网络安全策略实例，以及相应的Cisco产品系列上的配置。术语在了解安全的基本原理之前，我们必须知道安全领域广泛使用的术语。以下是一些基本的专用词语以及它们的定义。鉴别身份：确认从终端用户或设备，如主机、服务器、交换机、路由器等处送来的信息的出处。数据完整性：确保数据在传输过程中未被改动。数据保密性：确保只有获准能够阅读数据的实体以有效的形式阅读数据。加密：一种挠乱信息，使之不能被除预期的接收者以外的任何人阅读，而预期接收者必须解密以后才能阅读。解密：一种恢复加密信息，使之可读的方法。密钥：一种可以用来加密、解密和标记信息的数字代码。共用密钥：一种用来加密/解密信息，并核对数字签名的数字代码，这种密码可被广泛使用，它还有相应的专用密钥。专用密钥：一种用来加密/解密信息并提供数字签名的数字代码；这种密钥由其所有者秘密保存，它有对应的共用密钥。秘密钥：一种只有两方共享的数字代码，它用来加密、解密数据。密钥指纹：一种共用密钥独有的可读代码，它可用来核查共用密码的所有者。hash函数：一种数学计算法，它可产生一串位（数字代码）；这个函数不能反推出原始数。hash原始数：由hash函数产生的位串。报文提要：由一个hash函数（同hash）返回的值。密码：任何加密数据的方法。数字签名：附加到一个报文（一个加密的hash）的位串，它提供鉴别和数据完整性。第3页共87页第2页共87页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第3页共87页当今网络的安全要求安全性一直是计算机网络关心的一个问题，而且企业网络基础设施的计算机网络安全的重要性也受到越来越多的关注。拥有一个健全的安全策略（参见“创建一个企业安全策略”部分），应该是所有企业网的要求。这个策略是对风险进行了分析，列出关键的资产和可能的威胁后制定出来的。有一些威胁是我们主要关心的问题：伪装一个用户假装是另一名用户。这种情况可导致目标系统上的非法使用和非法特权。对用户和网络设备使用鉴别和授权机制来识别通信方的身份和可信度，并且允许访问系统。窃听用户身份标识可被后面的盗用者获得，如偷窥用户ID/口令，或将保密信息在不安全的媒体上传输时被偷窥。加密技术可打乱这些数据，从而避免这种威胁。篡改数据数据在传输过程中或存储时被修改，许多加密技术可以采用各种手段确保数据的完整性，保证数据不受非法的改动。拒绝服务拒绝服务(DoS)使重要系统不能被使用，如使系统充满...