思科园区安全解决方案网络安全解决方案
着计算机技术断进步企业开始越越计算机网络进行通信数存储时网络攻击已变成种游戏病毒传播速度破坏程度超出时候――样确保网络需时候正常工作?
加强网络安全性时机
网络设计目成开放公设施网络安全考虑决属关注问题20 世纪90 年代前网络安全指物理安全终端网络服务器型机位保卫森严建筑物中网络安全
20 世纪90 年代越越企业开始接入互联网连接网络中创造出新弱点仅仅锁建筑物门足保护网络安全企业开始部署新网络安全技术策略
外部网络周边安全通防火墙网络策略保护设备策略设计目保护网络部时支持越越开放访问权限满足业务需求着蠕虫病毒(例SlammerSoBig MSBlaster)复杂程度提高策略已法效保护网络
部安全基户ID密码集成受保护应中员工计算机(通常台式机)网络视信现笔记电脑开始迅速普便携式计算机设计目
提高生产率带更高安全风险员工返网络部外部间时会意中携带威胁网络安全病毒蠕虫够类似周边入侵方式破坏关键务型业务应基础外部攻击断增心怀满诚实员工发送病毒黑客攻击现占企业遭遇网络安全威胁半线网络普催生员工行安装安全线接入点潜攻击者敞开门变化进展显然网络安全模式已满足网络需求
入侵者采取种攻击形式
互联网早期发展阶段发送网络攻击需高知识技术水少数具样专业力攻击数量非常限现验丰富黑客增加免费便(先进)黑客工具互联网获工具实际利互联网固工作方式然新手轻松学会工具素幅度增加网络面安全威胁
较危险攻击类型包括:
中间――未授权设备充某合法网络设备(例网关)身份(MAC 者IP址)发该合法设备流量未授权设备入侵者扫描分组中信息例密码者设备址
拒绝服务(DoS)――驻留某未授权情况获网络访问权限设备者某感染合法设备程序会网络产生量流量导致设备(例网关)法合法请求做出响应DoS 攻击会专门针网络服务器者类似设备种攻击会量流量导致整网络陷入瘫痪会造成特定设备堪重负法正常分布式拒绝服务(DDoS)攻击种更具破坏性新型攻击利DDoS攻击者时网络设备发送攻击
基MAC 攻击――中间攻击样种攻击目获受保护流量访问权限程序者脚导致交换机址表载阻止交换机获知续合法址会导致交换机广播方式端口发出流量次黑客监听分组扫描中信息外某工具――例macof工具――导致MAC 泛洪攻击会产生DoS 效果
业务中断会造成严重损失
攻击产生果带便会导致网络陷瘫痪保密信息窃危企业盈利力业绩天攻击传播速度造成损失时候高20 世纪80 年代90 年代网络理员拥天甚周时间针某种特定攻击制定策略2000 年2002 年着病毒蠕虫复杂程度提高响应时间缩短时现网络理员秒钟响应时间例爆发SQL Slammber 蠕虫感染机隔85 秒会增加倍三分钟秒进行5500 万次扫描分钟导致条1Gbps链路陷瘫痪
果数中心网络攻击中断时会造成样损失?根Meta Group 统计数中心应中断时导致均成33 万美元根Strategic Research Corporation 统计果该数中心隶属某信卡授权公司损失金额高达260 万美元果隶属纪公司损失高达650 万美元
外果您网络中保密数窃取新制定隐私保护法律会您处严厉惩罚
例果保密电子医疗信息失窃医疗保险携带责法案(HIPAA)规定起事件处高25 万美元罚款5 年刑期会发生身您会想统计数表明种观念错误根CSIFBI 2002 年400 家公司进行计算机犯罪安全调查超90受访企业表示遭受安全攻击估计总损失超455 亿美元单保密信息失窃项导致超17 亿美元损失75受访企业心怀满员工发动部攻击视攻击源
目前应策略
显然需种全新动网络安全模式种全面模式应采特殊设计通外部入侵者拒门外保持部员工诚实性防范安全攻击
目标包括:
防止外部黑客进入网络
允许授权户进入网络
防止网络部户发动意者恶意攻击
类型户提供等级访问权限
真正发挥作安全策略必须种户透明方便理会中断业务方式实现目标
实现目标解决方案需提供:
完全嵌入网络基础设施中覆盖整网络安全性
保护防御愈力
控制谁访问网络网络做什
思科园区安全解决方案
思科园区安全解决方案组防止您网络遭受潜破坏性攻击(部外部意者意攻击)设计思科产品功套件思科园区安全解决方案系列IP 网络安全技术组合助该解决方案IP 服务(例路交换数话音视频线存储)结合起
灵活定制部署利企业种台(例专安全设备基路器安全基交换机安全)种技术(例防火墙威胁防范身份验证授权记录[AAA]URL 滤8021x)投资
解决方案通提供集成台(包括PC 服务器)中安全功整网络中提供全面覆盖包括LAN线LAN园区网城域网网络边缘服务供应商分支机构
注意:文着重介绍针园区网络安全必须记住果项安全策略广泛部署网络区域真正发挥作果您公司拥分支机构者某服务供应商合作务必确保网络样安全保护
思科园区解决方案组件解决部分安全问题包括防御威胁建立信边界验证身份保护业务通信等
威胁防御――防止网络受意者意攻击威胁防御细分列目标:
保护网络边缘――利思科集成化防火墙入侵检测系统(IDS)加固网络边缘防范入侵攻击
保护网络部――利Catalyst 集成化安全功防止网络遭受日益增部攻击
保护终端――利思科安全代理动防范机感染破坏
信关系身份识――控制谁访问网络网络做什种控制力思科身份识思科线LAN 安全套件提供者防范线网络未授权访问
安全通信――保护部外部话音数通信安全性思科集成化IP 安全(IPSec)VPN 话音数提供必保护
外服务质量(QoS)确保网络DoS 攻击期间访问性思科新推出网络准入控制(NAC)解决方案防止您网络
受移动户意外感染
思科园区安全解决方案组件
思科园区安全解决方案包括:
思科集成化防火墙服务
思科集成化入侵检测系统
思科集成化IPSec VPN
Catalyst 集成化安全功
思科身份识
思科安全代理
思科线安全套件
思科结构化线感知网络(SWAN)
Cisco Catalyst 6500 系列交换机提供面列出组件――包括思科集成化防火墙模块思科集成化IDS 模块思科集成化IPSec VPN 模块Catalyst 集成化安全功成园区安全理想台
思科集成化防火墙服务
目前防火墙传统角色已发生变化防火墙现作防止企业网络遭受未授权外部访问防止未授权户访问企业网络中某特定子网工作组者LAN
Cisco Catalyst 6500 防火墙服务模块(FWSM)该设备端口充防火墙端口状态化防火墙安全集成网络基础设施部思科FWSM 采思科PIX 技术思科PIX 操作系统(OS)――种实时加固嵌入式系统消安全漏洞时避免性降低开销系统核心保护机制提供面状态化连接防火墙功控制外流量FWSM 根源目址机TCP序列号端口号连接TCP
标记进程执行预定策略
思科集成化入侵检测系统
检测防范外部攻击者入侵保护网络边缘安全具极重意义思科提供组全面IDS 产品监控进入网络流量发现疑活动时立通知理员Catalyst 6500系列提供集成化IDS 模块IDS 系列产品新成员网络理员必须利连接某交换机SPAN 端口外部IDS 传感器监控网络流量Catalyst IDS 模块直接IDS 功集成交换机中通交换机背板监控流量仅更加精确监控网络流量 克服连接SPAN 端口外部IDS 传感器限制
利Cisco IDS 网络设备相代码Catalyst IDS 模块检测种攻击IDS 模块特征引擎交换机产生影响情况方便集成新黑客特征外IDS 模块
时监控VLAN 流量(包括交换机间连接[ISL]流量采8021q 编码流量)
Catalyst IDS 模块够检测列攻击:
洞利攻击活动表示试图获访问权限者威胁您网络系统例登陆失败TCP 劫持
DoS 活动表示试图消耗带宽者计算资源中断网络正常运行例TrinooTFNSYN 泛洪攻击
侦察活动表示试图探测者映射您网络发现目标例ping 扫描者端口扫描种活动通常某实际漏洞攻击活动前兆
滥活动表示试图破坏企业策略检测种活动方法:通传感器进行设置网络流量中寻找特定字符串
思科集成化IPSec VPN
关键高带宽业务应催生连接提高型办公室带宽需求企业两间者远程接入VPN 补充者更换传统VPN期更满足新连接求通VPN 集成Cisco Catalyst 6500 系列交换机中您增加额外设备者代网络情况保障网络安全通加密身份验证完整性功集成网络服务中IPSec VPN 模块简化安全园区边缘VPN 端接安全集成化网络服务――例IP 话音(VoIP)存储局域网――部署IPSec 集成租线路者帧中继环境转济效VPN 互联提供条稳途径 Catalyst 集成化安全功
Cisco Catalyst 交换机系列采新安全功助防范通常防火墙部攻击攻击某充效网络设备IP 址者机名称员发动功
包括:
端口安全
DHCP 监听
动态址解析协议(ARP)检测
IP 源保护
端口安全
端口安全防范基MAC 攻击端口安全网络理员限制允许MAC 址者端口允许MAC 址数量某特定端口MAC 址理员静态配置者交换机动态学
果某指定端口MAC 址超允许数量者该端口发现带安全源MAC 址帧违反安全策略该端口会关闭者会生成SNMP 陷阱动态者静态安全MAC 址利端口安全设置址没活动时者段预定间隔失效端口安全关闭某端口阻止某终端MAC
址前该端口设定址符访问
DHCP 监听
某情况入侵者DHCP 服务器加入网络令充网段DHCP 服务器入侵者缺省网关域名服务器(DNS WINS)提供错误DHCP 信息客户端指黑客机种误导黑客成中间获保密信息访问权限例户名密码终户攻击知防止出现种情况您DHCP 监听DHCP 监听种针端口安全机制区分连接终户信交换机端口连接DHCP 服务器者交换机信交换机端口VLAN 基础启
DHCP 监听允许授权DHCP 服务器响应DHCP 请求客户端分发网络信息提供客户端端口DHCP 请求进行速率限制力减轻单客户端接入端口DHCP DOS 攻击影响力
动态ARP 检测
ARP 具身份验证功恶意户轻松修改VLAN 机ARP表典型攻击中恶意户动子网机发送ARP 答复(没ARP 分组)中包含攻击者MAC 址缺省网关IP 址种ARP 修改行会导致中间攻击网络安全构成威胁
动态ARP 检测避免效者没ARP 答复转发VLAN 中端口防范中间攻击图3 示拦截信端口ARP 请求答复阻截分组会检验否存效IPMAC 捆绑关系(通DHCP 监听搜集)
拒绝ARP 分组交换机进行记录审核信端口输入ARP 分组会检查
IP 源保护
IP 源保护种Catalyst 交换机独Cisco IOS 软件功助避免IP 伪装攻击阻止恶意机通盗邻居IP 址攻击网络IP 源保护够提供基端口分配源IP 址进行线速IP 流量滤根IPMAC
交换机端口捆绑关系动态维护基端口VLAN ACL捆绑表DHCP 监听功者静态配置填充IP 源保护通常接入层信交换机端口
思科身份识
普通网络中部分资源滥未授权访问部思科身份识解决方案汇集款思科产品集成化解决方案提供身份验证访问控制户策略保护网络连接资源
思科身份识利8021X 扩展身份验证协议(EAP)身份验证信息(例户ID密码安全密钥)发送某身份验证服务器例台远程身份验证拨号户服务(RADIUS)服务器
通企业提供理户移动性降低授予理网络资源访问权限导致理成安全身份识框架思科帮助企业提高户生产率降低运营成
思科身份识解决方案提供列优势:
智适应力层次户提供更高灵活性移动性――机构利定义户网络资源间信关系策略创建户者群组档案轻松线者线网络户进行身份验证授权记录种助提高架构安全性灵活性实现网络化虚拟机构(NVO)重基础
身份验证访问控制户策略结合助保护网络连接资源――策略针户机针物理端口户获更高移动力度IT 理简化通执行策略动态设置提高扩展性简化理
提高户生产率降低运营成――通线线网络访问提供安全性更高灵活性企业够更快建立跨部门者新项目团队合作伙伴者供应商提供安全访问实现安全会议室连接通基集中策略理提高灵活性保护网络访问减少媒体访问控制级端口安全技术需时间复杂性精力
Cisco Catalyst 交换机(包括Catalyst 650045003550 2950 交换机)思科ACS 服务器Cisco Aironet 接入点支持身份识8021X 思科安全代理
果服务器台式机(终端)妥善保护项安全策略会发挥作终端攻击通常分阶段进行:侦察进入持续传播瘫痪部分终端安全技术提供早期阶段防护(特征已知情况)思科安全代理攻击阶段动防范某机破坏外采专门设计防范特征未知新型攻击
思科安全代理功超出传统终端安全解决方案范畴恶意行发生前早发现防范消危企业网络应已知未知安全风险思科安全代理包括基机代理部署关键务型台式机服务器运行CiscoWorks VPN安全理解决方案(VMS)理中心报告代理HTTP 安全套接字层(SSL)协议(128 位SSL)理接口代理理中心间通信
某应试图执行某项操作时代理会根该应安全策略检查该操作实时做出允许者拒绝决定判断否需记录该请求保护建立阻止恶意行基础缺省策略需升级情况阻止已知未知攻击代理理中心控制台会执行关联操作
代理级进行关联操作会导致准确性幅度提高阻止合法活动情况识出真正攻击滥行理中心进行关联发现全局攻击例网络蠕虫分布式扫描
WLAN 安全
没正确部署线网络会潜攻击者敞开门显示户利免费运行线扫描应数字助理(PDA)辆正常速度行驶汽车搜集线网络信号例子中该户发现68 网络中部分没采取安全限制措施意访问
通常安全网络更加方便访问网络行安装接入点员工导致幸安装接入点员知道防止外部攻击者访问企业网络需网络安全功外户部署线网络中消费级接入点通常提供必企业级安全法阻止攻击者获企业网络访问权限恶意接入点
网络安全威胁实实避免检测肯定非常必事先防止员工安装未授权接入点安装进行检测
列方法纳防范威胁关键点:
企业员工提供安全WLAN 基础设施该基础设施IT 部门提供支持采思科线安全套件8021XTKIP 功消员工行安装恶意接入点动机部署思科结构化线感知网络(SWAN)利恶意接入点干扰检测功分析RF 检测恶意接入点者定期线电监听设备巡查整网络找出恶意设备企业边缘交换机部署8021X通制止网络访问全面防范恶意接入点
思科线安全套件
思科园区WLAN(整企业WLAN)解决方案通面Cisco Aironet 系列产品思科线安全套件思科兼容WLAN 客户端设备提供种安全部署选项该解决方案全面支持称WiFi 受保护访问(WPA)WiFi 联盟安全标准正确部署思科线安全套件网络理员确信部署WLAN 获企业级安全保护
思科线安全套件支持IEEE 8021X 种类型EAP 针户会话双身份验证改进思科安全解决方案支持思科LEAPEAP-传输层安全(EAPTLS)种基EAPTLS 类型例受保护扩展身份验证协议(PEAP)EAP 隧道TLS(EAPTTLS)等8021X 线线网络进行身份验证IEEE 标准WLAN 中该标准客户端身份验证服务器间提供严格双身份验证提供针户会话动态加密密钥消静态加密密钥导致理负担安全问题
支持IEEE 8021X EAP 接入点充线客户端身份验证服务器――例思科安全访问控制服务器(ACS)――间接口外接入点VLAN 支持安全策略时获支持利VLAN网络理员根种安全选项划分户――例线等效加密(WEP)8021XTKIP开放访问者高级加密标准(AES)
思科结构化线感知网络
思科SWAN 基思科线感知基础设施产品安全集成化WLAN 解决方案通Cisco Aironet 接入点进行优化安全部署理限度降低WLAN 总拥成
思科SWAN 包括四核心组件:
运行Cisco IOS 软件Cisco Aironet 接入点
CiscoWorks 线LAN 解决方案引擎(WLSE)
IEEE 8021X 身份验证服务器例思科安全访问控制服务器(ACS)
通WiFi 认证线LAN 客户端适配器
思科SWAN 助确保WLAN 具线LAN 相等级安全性扩展性性部署方便性理性利思科SWAN户单理控制台理成百千集中者远程Cisco Aironet 接入点WLAN 理复杂性降低助提高网络安全性
作思科SWAN 部分CiscoWorks WLSE 检测定位制止心怀满员工者恶意外部入侵者安装接入点
恶意接入点位置显示CiscoWorks WLSE 点理器列出关接入点连接交换机端口详细信息
QoS 作安全工具
攻击目标混乱流量占满设备间连接阻止合法流量抵达目Cisco IOS
软件QoS 功您划分流量类设定流量优先级防止连接受种攻击影响例典型户流量通常会超20Mbps 速度发送般言攻击流量发送速度会超20Mbps确保合法户数遭遇攻击时利达目超20Mbps 流量优先级设1(低)低20MBps 流量优先级设2(较高)外确保网络理员控制关键设备――存少户流量者否发生攻击SSHTelnet SNMP 流量优先级设4QoS
助确保理流量总够利传输普通户流量优先级高攻击导致流量消击波型攻击影响
外种网络风险发生员工离开企业网络某提供线热点服务咖啡厅某提供互联网接入宾馆者家中连接网络公网络具企业网络相保护等级员工设备容易遭受感染
思科NAC 网络检测隔离受感染户设备防止网络安全问题准入决策基设备防病毒状态操作系统补丁等级等信息思科NAC 符合安全策略终端设备(PC服务器PDA)提供网络访问限制符合策略设备访问权限
思科NAC 包括列组件:
思科信代理――种驻留终端系统中软件安全软件客户端(例防病毒客户端)搜集安全状态信息然信息发送执行准入控制思科网络接入设备
网络接入设备――负责执行网络准入控制策略网络设备(包括路器交换机线接入点安全设备)设备会求机提供安全证信息转发策略服务器指定网络准入控制决策
策略服务器――负责评估网络接入设备终端安全信息决定适准入策略思科安全ACS
理系统――包括负责设置思科NAC 组件CiscoWorks VPN安全理解决方案(VMS)负责提供监控报告工具CiscoWorks 安全信息理器解决方案(SIMS)
综述
部分企业中网络正迅速成重性仅次员工宝贵资产必须妥善保护现攻击传播速度破坏程度非常惊会变更加严重企业决继续采动网络安全策略现必须采取提前
动安全措施实现目标理想方法安全智集成网络基础设施环节中记住您网络安全性取决网络中薄弱环节
思科仅开发部署网络安全策略实践验开发套全面园区安全解决方案提供威胁防御确保信关系身份识保护通信安全思科满足企业目前安全需求
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
着计算机技术断进步企业开始越越计算机网络进行通信数存储时网络攻击已变成种游戏病毒传播速度破坏程度超出时候――样确保网络需时候正常工作?
加强网络安全性时机
网络设计目成开放公设施网络安全考虑决属关注问题20 世纪90 年代前网络安全指物理安全终端网络服务器型机位保卫森严建筑物中网络安全
20 世纪90 年代越越企业开始接入互联网连接网络中创造出新弱点仅仅锁建筑物门足保护网络安全企业开始部署新网络安全技术策略
外部网络周边安全通防火墙网络策略保护设备策略设计目保护网络部时支持越越开放访问权限满足业务需求着蠕虫病毒(例SlammerSoBig MSBlaster)复杂程度提高策略已法效保护网络
部安全基户ID密码集成受保护应中员工计算机(通常台式机)网络视信现笔记电脑开始迅速普便携式计算机设计目
提高生产率带更高安全风险员工返网络部外部间时会意中携带威胁网络安全病毒蠕虫够类似周边入侵方式破坏关键务型业务应基础外部攻击断增心怀满诚实员工发送病毒黑客攻击现占企业遭遇网络安全威胁半线网络普催生员工行安装安全线接入点潜攻击者敞开门变化进展显然网络安全模式已满足网络需求
入侵者采取种攻击形式
互联网早期发展阶段发送网络攻击需高知识技术水少数具样专业力攻击数量非常限现验丰富黑客增加免费便(先进)黑客工具互联网获工具实际利互联网固工作方式然新手轻松学会工具素幅度增加网络面安全威胁
较危险攻击类型包括:
中间――未授权设备充某合法网络设备(例网关)身份(MAC 者IP址)发该合法设备流量未授权设备入侵者扫描分组中信息例密码者设备址
拒绝服务(DoS)――驻留某未授权情况获网络访问权限设备者某感染合法设备程序会网络产生量流量导致设备(例网关)法合法请求做出响应DoS 攻击会专门针网络服务器者类似设备种攻击会量流量导致整网络陷入瘫痪会造成特定设备堪重负法正常分布式拒绝服务(DDoS)攻击种更具破坏性新型攻击利DDoS攻击者时网络设备发送攻击
基MAC 攻击――中间攻击样种攻击目获受保护流量访问权限程序者脚导致交换机址表载阻止交换机获知续合法址会导致交换机广播方式端口发出流量次黑客监听分组扫描中信息外某工具――例macof工具――导致MAC 泛洪攻击会产生DoS 效果
业务中断会造成严重损失
攻击产生果带便会导致网络陷瘫痪保密信息窃危企业盈利力业绩天攻击传播速度造成损失时候高20 世纪80 年代90 年代网络理员拥天甚周时间针某种特定攻击制定策略2000 年2002 年着病毒蠕虫复杂程度提高响应时间缩短时现网络理员秒钟响应时间例爆发SQL Slammber 蠕虫感染机隔85 秒会增加倍三分钟秒进行5500 万次扫描分钟导致条1Gbps链路陷瘫痪
果数中心网络攻击中断时会造成样损失?根Meta Group 统计数中心应中断时导致均成33 万美元根Strategic Research Corporation 统计果该数中心隶属某信卡授权公司损失金额高达260 万美元果隶属纪公司损失高达650 万美元
外果您网络中保密数窃取新制定隐私保护法律会您处严厉惩罚
例果保密电子医疗信息失窃医疗保险携带责法案(HIPAA)规定起事件处高25 万美元罚款5 年刑期会发生身您会想统计数表明种观念错误根CSIFBI 2002 年400 家公司进行计算机犯罪安全调查超90受访企业表示遭受安全攻击估计总损失超455 亿美元单保密信息失窃项导致超17 亿美元损失75受访企业心怀满员工发动部攻击视攻击源
目前应策略
显然需种全新动网络安全模式种全面模式应采特殊设计通外部入侵者拒门外保持部员工诚实性防范安全攻击
目标包括:
防止外部黑客进入网络
允许授权户进入网络
防止网络部户发动意者恶意攻击
类型户提供等级访问权限
真正发挥作安全策略必须种户透明方便理会中断业务方式实现目标
实现目标解决方案需提供:
完全嵌入网络基础设施中覆盖整网络安全性
保护防御愈力
控制谁访问网络网络做什
思科园区安全解决方案
思科园区安全解决方案组防止您网络遭受潜破坏性攻击(部外部意者意攻击)设计思科产品功套件思科园区安全解决方案系列IP 网络安全技术组合助该解决方案IP 服务(例路交换数话音视频线存储)结合起
灵活定制部署利企业种台(例专安全设备基路器安全基交换机安全)种技术(例防火墙威胁防范身份验证授权记录[AAA]URL 滤8021x)投资
解决方案通提供集成台(包括PC 服务器)中安全功整网络中提供全面覆盖包括LAN线LAN园区网城域网网络边缘服务供应商分支机构
注意:文着重介绍针园区网络安全必须记住果项安全策略广泛部署网络区域真正发挥作果您公司拥分支机构者某服务供应商合作务必确保网络样安全保护
思科园区解决方案组件解决部分安全问题包括防御威胁建立信边界验证身份保护业务通信等
威胁防御――防止网络受意者意攻击威胁防御细分列目标:
保护网络边缘――利思科集成化防火墙入侵检测系统(IDS)加固网络边缘防范入侵攻击
保护网络部――利Catalyst 集成化安全功防止网络遭受日益增部攻击
保护终端――利思科安全代理动防范机感染破坏
信关系身份识――控制谁访问网络网络做什种控制力思科身份识思科线LAN 安全套件提供者防范线网络未授权访问
安全通信――保护部外部话音数通信安全性思科集成化IP 安全(IPSec)VPN 话音数提供必保护
外服务质量(QoS)确保网络DoS 攻击期间访问性思科新推出网络准入控制(NAC)解决方案防止您网络
受移动户意外感染
思科园区安全解决方案组件
思科园区安全解决方案包括:
思科集成化防火墙服务
思科集成化入侵检测系统
思科集成化IPSec VPN
Catalyst 集成化安全功
思科身份识
思科安全代理
思科线安全套件
思科结构化线感知网络(SWAN)
Cisco Catalyst 6500 系列交换机提供面列出组件――包括思科集成化防火墙模块思科集成化IDS 模块思科集成化IPSec VPN 模块Catalyst 集成化安全功成园区安全理想台
思科集成化防火墙服务
目前防火墙传统角色已发生变化防火墙现作防止企业网络遭受未授权外部访问防止未授权户访问企业网络中某特定子网工作组者LAN
Cisco Catalyst 6500 防火墙服务模块(FWSM)该设备端口充防火墙端口状态化防火墙安全集成网络基础设施部思科FWSM 采思科PIX 技术思科PIX 操作系统(OS)――种实时加固嵌入式系统消安全漏洞时避免性降低开销系统核心保护机制提供面状态化连接防火墙功控制外流量FWSM 根源目址机TCP序列号端口号连接TCP
标记进程执行预定策略
思科集成化入侵检测系统
检测防范外部攻击者入侵保护网络边缘安全具极重意义思科提供组全面IDS 产品监控进入网络流量发现疑活动时立通知理员Catalyst 6500系列提供集成化IDS 模块IDS 系列产品新成员网络理员必须利连接某交换机SPAN 端口外部IDS 传感器监控网络流量Catalyst IDS 模块直接IDS 功集成交换机中通交换机背板监控流量仅更加精确监控网络流量 克服连接SPAN 端口外部IDS 传感器限制
利Cisco IDS 网络设备相代码Catalyst IDS 模块检测种攻击IDS 模块特征引擎交换机产生影响情况方便集成新黑客特征外IDS 模块
时监控VLAN 流量(包括交换机间连接[ISL]流量采8021q 编码流量)
Catalyst IDS 模块够检测列攻击:
洞利攻击活动表示试图获访问权限者威胁您网络系统例登陆失败TCP 劫持
DoS 活动表示试图消耗带宽者计算资源中断网络正常运行例TrinooTFNSYN 泛洪攻击
侦察活动表示试图探测者映射您网络发现目标例ping 扫描者端口扫描种活动通常某实际漏洞攻击活动前兆
滥活动表示试图破坏企业策略检测种活动方法:通传感器进行设置网络流量中寻找特定字符串
思科集成化IPSec VPN
关键高带宽业务应催生连接提高型办公室带宽需求企业两间者远程接入VPN 补充者更换传统VPN期更满足新连接求通VPN 集成Cisco Catalyst 6500 系列交换机中您增加额外设备者代网络情况保障网络安全通加密身份验证完整性功集成网络服务中IPSec VPN 模块简化安全园区边缘VPN 端接安全集成化网络服务――例IP 话音(VoIP)存储局域网――部署IPSec 集成租线路者帧中继环境转济效VPN 互联提供条稳途径 Catalyst 集成化安全功
Cisco Catalyst 交换机系列采新安全功助防范通常防火墙部攻击攻击某充效网络设备IP 址者机名称员发动功
包括:
端口安全
DHCP 监听
动态址解析协议(ARP)检测
IP 源保护
端口安全
端口安全防范基MAC 攻击端口安全网络理员限制允许MAC 址者端口允许MAC 址数量某特定端口MAC 址理员静态配置者交换机动态学
果某指定端口MAC 址超允许数量者该端口发现带安全源MAC 址帧违反安全策略该端口会关闭者会生成SNMP 陷阱动态者静态安全MAC 址利端口安全设置址没活动时者段预定间隔失效端口安全关闭某端口阻止某终端MAC
址前该端口设定址符访问
DHCP 监听
某情况入侵者DHCP 服务器加入网络令充网段DHCP 服务器入侵者缺省网关域名服务器(DNS WINS)提供错误DHCP 信息客户端指黑客机种误导黑客成中间获保密信息访问权限例户名密码终户攻击知防止出现种情况您DHCP 监听DHCP 监听种针端口安全机制区分连接终户信交换机端口连接DHCP 服务器者交换机信交换机端口VLAN 基础启
DHCP 监听允许授权DHCP 服务器响应DHCP 请求客户端分发网络信息提供客户端端口DHCP 请求进行速率限制力减轻单客户端接入端口DHCP DOS 攻击影响力
动态ARP 检测
ARP 具身份验证功恶意户轻松修改VLAN 机ARP表典型攻击中恶意户动子网机发送ARP 答复(没ARP 分组)中包含攻击者MAC 址缺省网关IP 址种ARP 修改行会导致中间攻击网络安全构成威胁
动态ARP 检测避免效者没ARP 答复转发VLAN 中端口防范中间攻击图3 示拦截信端口ARP 请求答复阻截分组会检验否存效IPMAC 捆绑关系(通DHCP 监听搜集)
拒绝ARP 分组交换机进行记录审核信端口输入ARP 分组会检查
IP 源保护
IP 源保护种Catalyst 交换机独Cisco IOS 软件功助避免IP 伪装攻击阻止恶意机通盗邻居IP 址攻击网络IP 源保护够提供基端口分配源IP 址进行线速IP 流量滤根IPMAC
交换机端口捆绑关系动态维护基端口VLAN ACL捆绑表DHCP 监听功者静态配置填充IP 源保护通常接入层信交换机端口
思科身份识
普通网络中部分资源滥未授权访问部思科身份识解决方案汇集款思科产品集成化解决方案提供身份验证访问控制户策略保护网络连接资源
思科身份识利8021X 扩展身份验证协议(EAP)身份验证信息(例户ID密码安全密钥)发送某身份验证服务器例台远程身份验证拨号户服务(RADIUS)服务器
通企业提供理户移动性降低授予理网络资源访问权限导致理成安全身份识框架思科帮助企业提高户生产率降低运营成
思科身份识解决方案提供列优势:
智适应力层次户提供更高灵活性移动性――机构利定义户网络资源间信关系策略创建户者群组档案轻松线者线网络户进行身份验证授权记录种助提高架构安全性灵活性实现网络化虚拟机构(NVO)重基础
身份验证访问控制户策略结合助保护网络连接资源――策略针户机针物理端口户获更高移动力度IT 理简化通执行策略动态设置提高扩展性简化理
提高户生产率降低运营成――通线线网络访问提供安全性更高灵活性企业够更快建立跨部门者新项目团队合作伙伴者供应商提供安全访问实现安全会议室连接通基集中策略理提高灵活性保护网络访问减少媒体访问控制级端口安全技术需时间复杂性精力
Cisco Catalyst 交换机(包括Catalyst 650045003550 2950 交换机)思科ACS 服务器Cisco Aironet 接入点支持身份识8021X 思科安全代理
果服务器台式机(终端)妥善保护项安全策略会发挥作终端攻击通常分阶段进行:侦察进入持续传播瘫痪部分终端安全技术提供早期阶段防护(特征已知情况)思科安全代理攻击阶段动防范某机破坏外采专门设计防范特征未知新型攻击
思科安全代理功超出传统终端安全解决方案范畴恶意行发生前早发现防范消危企业网络应已知未知安全风险思科安全代理包括基机代理部署关键务型台式机服务器运行CiscoWorks VPN安全理解决方案(VMS)理中心报告代理HTTP 安全套接字层(SSL)协议(128 位SSL)理接口代理理中心间通信
某应试图执行某项操作时代理会根该应安全策略检查该操作实时做出允许者拒绝决定判断否需记录该请求保护建立阻止恶意行基础缺省策略需升级情况阻止已知未知攻击代理理中心控制台会执行关联操作
代理级进行关联操作会导致准确性幅度提高阻止合法活动情况识出真正攻击滥行理中心进行关联发现全局攻击例网络蠕虫分布式扫描
WLAN 安全
没正确部署线网络会潜攻击者敞开门显示户利免费运行线扫描应数字助理(PDA)辆正常速度行驶汽车搜集线网络信号例子中该户发现68 网络中部分没采取安全限制措施意访问
通常安全网络更加方便访问网络行安装接入点员工导致幸安装接入点员知道防止外部攻击者访问企业网络需网络安全功外户部署线网络中消费级接入点通常提供必企业级安全法阻止攻击者获企业网络访问权限恶意接入点
网络安全威胁实实避免检测肯定非常必事先防止员工安装未授权接入点安装进行检测
列方法纳防范威胁关键点:
企业员工提供安全WLAN 基础设施该基础设施IT 部门提供支持采思科线安全套件8021XTKIP 功消员工行安装恶意接入点动机部署思科结构化线感知网络(SWAN)利恶意接入点干扰检测功分析RF 检测恶意接入点者定期线电监听设备巡查整网络找出恶意设备企业边缘交换机部署8021X通制止网络访问全面防范恶意接入点
思科线安全套件
思科园区WLAN(整企业WLAN)解决方案通面Cisco Aironet 系列产品思科线安全套件思科兼容WLAN 客户端设备提供种安全部署选项该解决方案全面支持称WiFi 受保护访问(WPA)WiFi 联盟安全标准正确部署思科线安全套件网络理员确信部署WLAN 获企业级安全保护
思科线安全套件支持IEEE 8021X 种类型EAP 针户会话双身份验证改进思科安全解决方案支持思科LEAPEAP-传输层安全(EAPTLS)种基EAPTLS 类型例受保护扩展身份验证协议(PEAP)EAP 隧道TLS(EAPTTLS)等8021X 线线网络进行身份验证IEEE 标准WLAN 中该标准客户端身份验证服务器间提供严格双身份验证提供针户会话动态加密密钥消静态加密密钥导致理负担安全问题
支持IEEE 8021X EAP 接入点充线客户端身份验证服务器――例思科安全访问控制服务器(ACS)――间接口外接入点VLAN 支持安全策略时获支持利VLAN网络理员根种安全选项划分户――例线等效加密(WEP)8021XTKIP开放访问者高级加密标准(AES)
思科结构化线感知网络
思科SWAN 基思科线感知基础设施产品安全集成化WLAN 解决方案通Cisco Aironet 接入点进行优化安全部署理限度降低WLAN 总拥成
思科SWAN 包括四核心组件:
运行Cisco IOS 软件Cisco Aironet 接入点
CiscoWorks 线LAN 解决方案引擎(WLSE)
IEEE 8021X 身份验证服务器例思科安全访问控制服务器(ACS)
通WiFi 认证线LAN 客户端适配器
思科SWAN 助确保WLAN 具线LAN 相等级安全性扩展性性部署方便性理性利思科SWAN户单理控制台理成百千集中者远程Cisco Aironet 接入点WLAN 理复杂性降低助提高网络安全性
作思科SWAN 部分CiscoWorks WLSE 检测定位制止心怀满员工者恶意外部入侵者安装接入点
恶意接入点位置显示CiscoWorks WLSE 点理器列出关接入点连接交换机端口详细信息
QoS 作安全工具
攻击目标混乱流量占满设备间连接阻止合法流量抵达目Cisco IOS
软件QoS 功您划分流量类设定流量优先级防止连接受种攻击影响例典型户流量通常会超20Mbps 速度发送般言攻击流量发送速度会超20Mbps确保合法户数遭遇攻击时利达目超20Mbps 流量优先级设1(低)低20MBps 流量优先级设2(较高)外确保网络理员控制关键设备――存少户流量者否发生攻击SSHTelnet SNMP 流量优先级设4QoS
助确保理流量总够利传输普通户流量优先级高攻击导致流量消击波型攻击影响
外种网络风险发生员工离开企业网络某提供线热点服务咖啡厅某提供互联网接入宾馆者家中连接网络公网络具企业网络相保护等级员工设备容易遭受感染
思科NAC 网络检测隔离受感染户设备防止网络安全问题准入决策基设备防病毒状态操作系统补丁等级等信息思科NAC 符合安全策略终端设备(PC服务器PDA)提供网络访问限制符合策略设备访问权限
思科NAC 包括列组件:
思科信代理――种驻留终端系统中软件安全软件客户端(例防病毒客户端)搜集安全状态信息然信息发送执行准入控制思科网络接入设备
网络接入设备――负责执行网络准入控制策略网络设备(包括路器交换机线接入点安全设备)设备会求机提供安全证信息转发策略服务器指定网络准入控制决策
策略服务器――负责评估网络接入设备终端安全信息决定适准入策略思科安全ACS
理系统――包括负责设置思科NAC 组件CiscoWorks VPN安全理解决方案(VMS)负责提供监控报告工具CiscoWorks 安全信息理器解决方案(SIMS)
综述
部分企业中网络正迅速成重性仅次员工宝贵资产必须妥善保护现攻击传播速度破坏程度非常惊会变更加严重企业决继续采动网络安全策略现必须采取提前
动安全措施实现目标理想方法安全智集成网络基础设施环节中记住您网络安全性取决网络中薄弱环节
思科仅开发部署网络安全策略实践验开发套全面园区安全解决方案提供威胁防御确保信关系身份识保护通信安全思科满足企业目前安全需求
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
