Jan2003©2004,CiscoSystems,Inc.Allrightsreserved.思科高级网络技术实验室解决方案TDMVersion1.0-2005商业市场事业部思科系统中国公司©2002,CiscoSystems,Inc.Allrightsreserved.2网络安全实验室2©2003,CiscoSystems,Inc.Allrightsreserved.Presentation_ID©2002,CiscoSystems,Inc.Allrightsreserved.3网络安全实验室结构和功能•用户集中认证和访问控制实验•防火墙实验室•网络入侵检测、防范实验室•主机入侵检测、防范实验室•网络准入控制(NAC)实验室•VPN实验室广域网或InternetIPv4IPv6用户认证授权服务器IPv4IPv6网络入侵检测(IDS)入侵保护路由器防火墙入侵保护路由器防火墙网络安全实验室网络准入实验主机入侵保护©2002,CiscoSystems,Inc.Allrightsreserved.4高级防火墙设计、部署实验室©2002,CiscoSystems,Inc.Allrightsreserved.5非法用户和非法电脑的入网控制Cisco基于身份的网络服务(IBNS)CiscoSecureACSMicrosoftADAuthorizedUserAuthorizedVendorUnauthorizedUserAuthorizedAPWhoareyou?IamJoeCiscoOK用户面临的挑战:非法用户的电脑可以轻易接入网络,并获取重要数据Cisco的解决方案:通过部署基于用户身份的802.1x认证,防止非法用户和非法电脑的接入局域网和无线网也可以将非法用户的电脑接入一个特定网段(GuestVLAN),限制访问的资源©2002,CiscoSystems,Inc.Allrightsreserved.6Cisco入侵监测和在线入侵保护(IDS/IPS)WritetheACLDetecttheattack在线监测入侵,并可将攻击实时阻断在汇聚交换机中动态下载访问控制列表ACL,实现动态的入侵防御黑客111.1.76.8InternetSiSiCatalyst3750园区网络Deny172.29.29.2汇聚交换机Catalyst3750IDS/IPS路由器CiscoIDS内部黑客7.7.7.101网管服务器11.1.72.101©2002,CiscoSystems,Inc.Allrightsreserved.7CTARouterNetworkACSVendorServerIPEAPoUDPEAPoRADIUSHCAP123456781.用户端发起对Internet或受保护网段的访问,触发路由器(网络准入设备)上的初始访问控制列表2.路由器发起对用户端的状态验证(EAPoUDP),要求用户端的CTA进行相应3.CTA向路由器发送状态证书(EAPoUDP)4.路由器将证书发往ACS(访问控制服务器)5.ACS与后端认证服务器一起进行用户端的证书验证(HCAP)6.ACS确定用户端状态,决定其访问授权7.ACS向路由器发送授权策略(包括ACL和URL),并在用户端屏幕上显示通知信息8.路由器根据授权策略决定对用户端的访问控制NACNAC网络准入实验室网络准入实验室©2002,CiscoSystems,Inc.Allrightsreserved.81.“健康”用户–符合安全策略用户端的操作系统信息和反病毒软件更新版本与安全策略一致,发出“欢迎”信息框,并准许访问。2.“危险”的“未知”型用户–完全不符合安全策略无法探测到用户端的操作系统信息和反病毒软件信息,不能确定其是否符合安全策略,可能是“访客”或“危险”的“未知”用户,浏览页面将被转向特定的通知页面。3.“受感染”的用户–部分不符合安全策略用户端的反病毒软件不符合安全策略,可能未升级到最新的版本,也可能未安装反病毒软件,因此拒绝它对网络的访问,并在其屏幕上弹出通知信息,通知其与网管中心联系。NACNAC实验内容实验内容©2002,CiscoSystems,Inc.Allrightsreserved.9CiscoIPSecVPN实验室ImprovedProductivityEasyVPN实验室动态多点VPN实验室DynamicMultipointIPSecVPNsEnhancedService业界标准IPSecVPN实验室IPSec承载路由实验室©2002,CiscoSystems,Inc.Allrightsreserved.131313思科高级网络实验室为实现网络学院提供基础平台131313©2003,CiscoSystems,Inc.Allrightsreserved.Presentation_ID©2002,CiscoSystems,Inc.Allrightsreserved.141414思科网络技术学院项目思科网络技术学院项目是思科公司回馈社会、完全非赢利的网络技术教育项目–为学校而专门设立–包括了CCNA、CCNP、网络安全和无线局域网络等总计15门、1050小时的电子教程–采用先进的E-Learning学习方式–培养学生掌握从设计、建立到运行计算机网络全面的知识体系和实际动手操作能力©2002,CiscoSystems,Inc.Allrightsreserved.151515思科网络技术学院提供全面的IT技术电子教程©2003,C...
