- 1、本文档共111页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
技术培训班 CISCO公司安全管理实例2007年6月 构建自防御数据中心 安全域划分 安全域组件 安全域间 安全域内 实施建议 安全工具 安全域 定义网络边界 在安全域之间执行策略 通常安全域越多越好: 更精确的访问控制 但增加管理复杂性 安全域的定义基于安全策略 安全域 (继续.) 如何定义网络边界? 需要完成存取控制 信任等级不一样 隔离安全事件 注意: 防火墙不能在同一边界内执行策略 定义安全域 安全域划分方案 物理分离 多层体系结构的安全域(1) 各安全域 防火墙分离 多层体系结构的安全域(2) 一个防火墙提供多个 DMZ提供安全域的分离 Web 服务器能够与app服务器通信 App服务器能够与DB服务器通信 安全子域与PVLAN 同一安全域内 服务器之间进行过滤 可以采用VACL 或采用PVLAN 构建自防御数据中心 安全域划分 安全域组件 安全域间 安全域内 实施建议 安全域组件 网络设备安全 安全设备安全 应用安全 数据安全 管理安全 数据中心基础架构L2/L3 安全 L 2 区域 数据中心汇聚层与存取层之间 L 3 区域 数据中心汇聚层与核心层之间 消除即插即用 Catalyst 交换机支持rogue BPDU 过滤: BPDU Guard,Root Guard BPDU GuardPrevent Loops via WLAN (Windows XP Bridging) L2安全基于MAC的攻击 DHCP Snooping预防 Rogue/恶意 DHCP服务器 跟踪DHCP Requests (Discover)与Responses (Offer) 在信任端口对请求作速率限制; 在DHCP服务器限制DOS攻击 在不信任接口拒绝responses (Offers) L2安全基于ARP的攻击 动态ARP Inspection预防ARP 攻击(ettercap, dsnif, arpspoof) 使用DHCP snooping binding 表 从DHCP过程跟踪MAC到IP 在客户端口限制ARP请求;停止端口扫描 丢弃欺骗gratuitous ARP IP Source Guard预防欺骗IP地址 使用DHCP snooping binding表 跟踪IP地址到端口 动态设定端口ACL去丢弃欺骗IP地址的流量 Catalyst 集成安全 Port Security 预防 MAC攻击 DHCP snooping 预防客户攻击 动态ARP Inspection预防ARP攻击 IP Source Guard 预防IP源地址欺骗 L2安全:总结 L3安全:路由过滤与认证 路由过滤 路由器认证 构建自防御数据中心 安全域划分 安全域组件 安全域间 安全域内 实施建议 安全域间 认证身份 认证状态 执行策略 Cisco IBNS 基于身份的网络服务决定 “WHO” 能够存取及能够做“WHAT” 相当于在每一个交换机端口防一个保卫 仅仅授权用户获得网络存取 未授权用户放在 “客人” VLAN 防止未授权 AP IBNS 认证我可以接入网络吗? 执行策略: 分配VLAN Cisco 身份标识—RADIUS 扩展 动态安全策略指定 使用ACL 动态QoS指定 使用ACL含动态 per-user/per-port策略 基于IBNS 用户/端口记账 Identity—NAC 网络存取控制 问题: 策略能否有更多的属性 CISCO解决方案: 属性如antivirus 主机IDS 及 .dat 文件能够传递 除了userid/pw credentials 从“healthy”用户中分离 “unhealthy”用户 防病毒架构 Cisco NAC 网络,主机,策略 共生关系 网络存取设备 进入网络之前 保证主机兼容公司策略 (如 AV 策略) 一旦连接便预防攻击 在网络设备上执行 – 不依靠主机 类似于 802.1x/AAA服务 存取之前隔离主机(L3/4 ACLs L2 VLANS) 覆盖所有进出网络方法 有线 无线 L3网关, 拨号,及IPsec远程访问 提供一致的方法 分割用户,设备与网络 问题: 企业范围的VLAN并不总是最优的设计 CISCO方案: 一旦“identity”建立,映射 VLAN 到 “policy domains”或 internal virtual 网络s 内部网络使用同样的基础架构,但不能彼此“see”; security, QoS及 管理策略被维护 NAC: 如何工作 NAC: 如何工作 NAC 时间表 构建自防御数据中心 安全域划分 安全域组件 安全域间 安全域内 实施建议 安全域内 特征检测 异常检测 行为检测 执行策略 入侵管理为什么NIDS? 入侵管理N
您可能关注的文档
- ch高技术产业中的战略教案分析.ppt
- 房地产基础知识培训-世联讲解.ppt
- Efd详细技术介绍教案分析.ppt
- ch工程建设安全生产管理法规教案分析.ppt
- 房地产基础知识-任晓松讲解.ppt
- e—HR项目—人力资源现状诊断教案分析.ppt
- Ch工程项目管理教案分析.ppt
- eHR项目实施应用教案分析.ppt
- ch管理信息系统的应用教案分析.ppt
- ch国际物流教案分析.ppt
- 云南省建水县建民中学2023-2024学年中考数学最后冲刺模拟试卷含解析.doc
- 云南省红河州个旧市重点名校2024届中考猜题数学试卷含解析.doc
- 云南省红河州建水县2023-2024学年中考试题猜想生物试卷含解析.doc
- 云南省昆明三中、滇池中学2025届初三下学期大联考卷Ⅰ数学试题试卷含解析.doc
- 云南省昆明黄冈实验学校2025年高三模拟考试(三模)物理试题试卷含解析.doc
- 云南省景东县第二中学2024-2025学年高三第一次月考数学试题含解析.doc
- 云南省红河州名校2024届八年级英语第二学期期末质量跟踪监视试题含答案.doc
- 云南省红河州弥勒市达标名校2025年初三考前适应性测试物理试题含解析.doc
- 云南省开远市2025届初三第四次月考试题含答案.doc
- 云南省红河州名校2024届毕业升学考试模拟卷数学卷含解析.doc
文档评论(0)