cisco公司安全管理实例教案分析.ppt

技术培训班 CISCO公司安全管理实例2007年6月 构建自防御数据中心 安全域划分 安全域组件 安全域间 安全域内 实施建议 安全工具 安全域 定义网络边界 在安全域之间执行策略 通常安全域越多越好: 更精确的访问控制 但增加管理复杂性 安全域的定义基于安全策略 安全域 (继续.) 如何定义网络边界? 需要完成存取控制 信任等级不一样 隔离安全事件 注意: 防火墙不能在同一边界内执行策略 定义安全域 安全域划分方案 物理分离 多层体系结构的安全域（1） 各安全域 防火墙分离 多层体系结构的安全域（2） 一个防火墙提供多个 DMZ提供安全域的分离 Web 服务器能够与app服务器通信 App服务器能够与DB服务器通信 安全子域与PVLAN 同一安全域内　服务器之间进行过滤 可以采用VACL 或采用PVLAN 构建自防御数据中心 安全域划分 安全域组件 安全域间 安全域内 实施建议 安全域组件 网络设备安全 安全设备安全 应用安全 数据安全 管理安全 数据中心基础架构L2/L3 安全 L 2 区域　数据中心汇聚层与存取层之间 L 3 区域　数据中心汇聚层与核心层之间 消除即插即用 Catalyst 交换机支持rogue BPDU 过滤: BPDU Guard,Root Guard BPDU GuardPrevent Loops via WLAN (Windows XP Bridging) L2安全基于MAC的攻击 DHCP Snooping预防 Rogue/恶意 DHCP服务器 跟踪DHCP Requests (Discover)与Responses (Offer) 在信任端口对请求作速率限制; 在DHCP服务器限制DOS攻击 在不信任接口拒绝responses (Offers) L2安全基于ARP的攻击 动态ARP Inspection预防ARP 攻击(ettercap, dsnif, arpspoof) 使用DHCP snooping binding 表 从DHCP过程跟踪MAC到IP 在客户端口限制ARP请求;停止端口扫描 丢弃欺骗gratuitous ARP IP Source Guard预防欺骗IP地址 使用DHCP snooping binding表 跟踪IP地址到端口 动态设定端口ACL去丢弃欺骗IP地址的流量 Catalyst 集成安全 Port Security 预防 MAC攻击 DHCP snooping 预防客户攻击 动态ARP Inspection预防ARP攻击 IP Source Guard 预防IP源地址欺骗 L2安全：总结 L3安全:路由过滤与认证 路由过滤 路由器认证 构建自防御数据中心 安全域划分 安全域组件 安全域间 安全域内 实施建议 安全域间 认证身份 认证状态 执行策略 Cisco IBNS　基于身份的网络服务决定 “WHO” 能够存取及能够做“WHAT” 相当于在每一个交换机端口防一个保卫 仅仅授权用户获得网络存取 未授权用户放在 “客人” VLAN 防止未授权 AP IBNS 认证我可以接入网络吗? 执行策略: 分配VLAN Cisco 身份标识—RADIUS 扩展 动态安全策略指定　使用ACL 动态QoS指定　使用ACL含动态 per-user/per-port策略 基于IBNS 用户/端口记账 Identity—NAC 网络存取控制 问题: 策略能否有更多的属性 CISCO解决方案: 属性如antivirus 主机IDS 及 .dat 文件能够传递 除了userid/pw credentials 从“healthy”用户中分离 “unhealthy”用户 防病毒架构 Cisco NAC 网络,主机,策略　共生关系 网络存取设备 进入网络之前　保证主机兼容公司策略 (如 AV 策略) 一旦连接便预防攻击 在网络设备上执行 – 不依靠主机 类似于 802.1x/AAA服务 存取之前隔离主机(L3/4 ACLs L2 VLANS) 覆盖所有进出网络方法 有线　无线　L3网关, 拨号,及IPsec远程访问 提供一致的方法 分割用户,设备与网络 问题: 企业范围的VLAN并不总是最优的设计 CISCO方案: 一旦“identity”建立,映射 VLAN 到 “policy domains”或 internal virtual 网络s 内部网络使用同样的基础架构,但不能彼此“see”; security, QoS及 管理策略被维护 NAC: 如何工作 NAC: 如何工作 NAC 时间表 构建自防御数据中心 安全域划分 安全域组件 安全域间 安全域内 实施建议 安全域内 特征检测 异常检测 行为检测 执行策略 入侵管理为什么NIDS? 入侵管理N