1、 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID1学习情境4:拓展任务思科自防御安全解决方案综述培训 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID2 严密的边界防护:应用防火墙,入侵检测与防护,内容安全以及VPN接入纵深化的概念:安全域FWM 强大的内部控制:用户身份与系统安全的控制 AAA/NAC终端的防护与安全策略控制-CSA 灵活的统一指挥:基于全局的定位:MARS快速有效的响应:CSM/MARS 2006 Cisco Systems,Inc.Al
2、l rights reserved.Presentation_ID3互联网互联网局域网局域网无线接入无线接入数据中心数据中心远程机构远程机构企业园区企业园区客户的安全需求客户的安全需求DMZ安全攻击入侵的防护安全攻击入侵的防护利用利用IPSIPS以及以及CSACSA进行网络与主机进行网络与主机的安全防护的安全防护关键应用系统的防护关键应用系统的防护利用防火墙,入侵防护以利用防火墙,入侵防护以及认证授权系统完成关键及认证授权系统完成关键应用系统的防护与控制应用系统的防护与控制企业互联网的业务安全企业互联网的业务安全利用利用ASA,Ironport,VPN,CSAASA,Ironport,VPN,
3、CSA以及以及NACNAC技术保证终端用户以技术保证终端用户以及网络系统在接入互联网的安全及网络系统在接入互联网的安全 安全事件监控与日常维护安全事件监控与日常维护利用利用CS-MARSCS-MARS以及以及CS-CS-ManagerManager进行系统级的策略操进行系统级的策略操作以及威胁监控响应作以及威胁监控响应 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID4BusinessPartnerAccessExtranet Connections企业网络企业网络互联网互联网远程接入系统远程接入系统远程分支机构远程分支机构数
4、据中心数据中心管理网段管理网段内部局域网内部局域网Internet Connections企业互联网的业务安全企业互联网的业务安全STOPGOSTOPGOGOSTOPGO互联网边界安全控制互联网边界安全控制应用级别的安全防护应用级别的安全防护防火墙防火墙入侵防护系统入侵防护系统内容级别的安全防护内容级别的安全防护Web/AVWeb/AVSPAMSPAM防护防护统一统一VPNVPN接入系统接入系统企业网络安全接入控制企业网络安全接入控制LAN/WLAN/VPNLAN/WLAN/VPN的接入控制的接入控制评估终端的安全防护状态评估终端的安全防护状态控制终端接入的安全策略控制终端接入的安全策略主动终
5、端防护系统主动终端防护系统主动适应型终端防护主动适应型终端防护,确确保终端访问互联网时的安保终端访问互联网时的安全,抵御互联网蠕虫以及全,抵御互联网蠕虫以及网页木马病毒的攻击网页木马病毒的攻击企业安全策略控制企业安全策略控制,防止防止内部用户的恶意行为内部用户的恶意行为终端与网络入侵防护及监终端与网络入侵防护及监控系统的联动控系统的联动 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID5互联网边界安全控制互联网边界安全控制应用级别的安全防护:下一代防火墙应用级别的安全防护:下一代防火墙防火墙防火墙入侵防护系统入侵防护系统内容级
6、别的安全防护:内容级别的安全防护:Iron portIron portWeb/AVWeb/AVSPAMSPAM防护防护统一统一VPNVPN接入系统:接入系统:IPSec/SSL VPNIPSec/SSL VPN 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID6纵深化的安全架构是系统稳固的基础纵深化的安全架构是系统稳固的基础主机接入CIP路由器ESCON DirectorCoupling Facility快速以太网或令牌环交换机DLSW+路由器IBM主机ESCON/FICONCisco7507Catalyst6509Catal
7、yst5509Cisco7507FC交换核心交换核心SiSiSiSiSiSiSiSiCatalyst6513SNA/IP网关IP业务服务器SNAswDLSW业务服务器群Catalyst6513开发测试网区域主机系统Cisco 5350/Cisco5400外围网关IP PBXIP自动语音应答客户关系管理数据库应用网关CTI服务器AW管理工作站传真系统IP录音系统普通业务咨询专长理财n*E1客户专职业务代表语音接入VoIP网关ICMPGIP IVRCTI客服中心核心系统Catalyst6509外联网区域PIX535Catalyst 4000Cisco IDSPIX 535Cisco 7200拨号访
8、问服务器Cisco 3600Cisco 7200DNS应用服务器Cisco IDS4-7层分析Cisco IDS4-7层分析WEB协同服务器电子邮件服务器内容交换机CSS11500电子邮件管理服务器PIX 535GSS全局网站定位器GSS全局网站定位器CiscoWorks 2000 IDS 管理Cisco Info ServerVPN Solution CenterCIC Reporter运行管理网络区域网元管理事件管理中心事件统计汇报SNA管理安全管理话音管理广域接入网区域Catalyst 6513Catalyst 4500Catalyst 3550服务器群(均衡负载)VoIP关守HSRPC
9、DM4650CE560/CE590无线以太网访问点E-LearningLMS服务器WEB服务器其它服务器IP/TV内容管理器Cisco 3660VoIP网关AS5350MCSV V 办公网络区域内容分发管理器CDM内容路由器CR互联网连接区域访问管理控制服务器外层防火墙DNS服务器InternetISPA内层防火墙邮件服务器邮件网关(防毒)Cisco VPN集中器Cisco IDS4-7层分析AAA认证服务器外网交换机Cisco 7200拨号访问服务器Cisco 3600PSTNCisco 7200PIX 535PIX 535Catalyst4507InternetISPBCatalyst 6
10、509Catalyst 4500客户服务中心区域生产/应用区域分公司分公司合作伙伴合作伙伴分公司分公司安全管理中心安全认证中心入侵监测中心防病毒服务器边界防火墙入侵防范安全VPN路由器集成安全防护边界防火墙边界防火墙入侵监测防范入侵监测防范安全交换机网络准入控制路由器集成安全防护VPN安全接入垃圾邮件防护内容安全控制防DDoS攻击边界防火墙认证服务器入侵监测拨号接入无线安全接入动态密码语音安全服务器安全加固入侵监测边界防火墙网络病毒过滤漏洞扫描网络准入控制终端安全防护防DDoS攻击入侵监测反向地址验证边界防火墙二级防火墙二级防火墙流量监测服务器安全加固垃圾邮件防范入侵监测网络准入控制防火墙语音
11、安全应用安全流量监控设备加固反向地址验证防火墙入侵监测入侵监测设备加固应用安全保护防DDoS攻击 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID7 专门的防火墙硬件专门的防火墙硬件 支持支持 250 个虚拟防火墙个虚拟防火墙 高达高达 5Gbps/模块模块 的吞吐能力的吞吐能力 每机箱每机箱4个模块个模块 支持支持 2000 个逻辑网络接口个逻辑网络接口 提供提供 Layer-2 透明防火墙功能透明防火墙功能互联网互联网Catalyst 6500/7600AFW SMBCVFWVFWVFWMSFC业务虚网利用高性能防火墙模块
12、构架多层次的安全域利用高性能防火墙模块构架多层次的安全域 安全问题安全问题:企业内部应用和外部应用在同一个网络上运行,不同部门之间连接在同企业内部应用和外部应用在同一个网络上运行,不同部门之间连接在同一个网络上,需要安全隔离,又担心性能瓶颈一个网络上,需要安全隔离,又担心性能瓶颈 方案方案:采用集成于交换机的高性能防火墙模块采用集成于交换机的高性能防火墙模块办公虚网客人虚网 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID8 2006 Cisco Systems,Inc.All rights reserved.Presenta
13、tion_ID9Cisco ASA 5500 综合安全防护产品综合安全防护产品 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID10Cisco ASA 5500 提供内容级别的安全防护提供内容级别的安全防护THREAT TYPESPROTECTIONVirusesSpywareMalwarePhishingSpamInappropriate URLsIdentity TheftOffensive ContentUnauthorized AccessIntrusions&AttacksInsecure Comms.NEW Ant
14、i-X Service ExtensionsResource&Information Access ProtectionHacker ProtectionClient ProtectionDDoS ProtectionProtected Email CommunicationProtected Web Browsing Protected File ExchangeUnwanted Visitor ControlAudit&Regulatory AssistanceNon-work Related Web SitesIdentity Protection Granular Policy Con
15、trolsComprehensive Malware ProtectionAdvanced Content FilteringIntegrated Message SecurityEasy to UseASA 5500 with CSC-SSM 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID11Internet内部用户Port 80Web 服务Web 应用IM 流量多媒体互联网访问43%43%55%43%98%采用应用级防火墙进行深入的攻击防护采用应用级防火墙进行深入的攻击防护“75%针对 Web 服务器的攻击是基于应用层,
16、而不是网络层次80 HTTPJohn Pescatore,VP and Research Director,Gartner,June 2002.Source:Aug 2002 InfoWorld/Network Computing survey of IT Professionals64%的企业用户在防火墙上开放的企业用户在防火墙上开放80端口,端口,用于满足其内部基于用于满足其内部基于Web的各类应用服务的各类应用服务流量的需要流量的需要 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID12基于网络行为特征的攻击判别基于网络
17、行为特征的攻击判别InternetInternal Zone 2Internal Zone 3利用利用AD(Anomaly detection algorithms)检测并阻止零日攻击()检测并阻止零日攻击(Day-Zero)自动学习网络流量特征自动学习网络流量特征 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID13TeleworkerBranch OfficeInternetEdgeASA 5550ASA5500的产品一览的产品一览ASA 5580-20ASA 5580-40ASA 5505Data CenterASA 5
18、540ASA 5520ASA 5510Cisco ASA 5500 PlatformsNewNewCampusSegmentationCisco Confidential NDA Use Only 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID14下一代防火墙下一代防火墙ASA5500的优势体现的优势体现 下一代防火墙必须同时高性能地处理应用级别的防火墙以及入侵检测防护功能 下一代防火墙必须在硬件架构中考虑未来安全防护需求的扩展能力,采用多核CPU以及多总线的处理模式,兼顾性能与功能的需求Cisco ASA5520Vendo
19、r“A”Vendor“B”Vendor“C”Firewall Performance(Mbps)with All Attack/Virus Signatures Enabled,16-Kbyte HTTP Object SizeConnections per Second PerformanceCisco ASA5520Vendor“A”Vendor“B”Vendor“C”Source:Miercom,October 2005 UTM Product Comparison 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID15如
20、何发挥如何发挥ASA 5500 的安全防护效能?的安全防护效能?Corporate Network远程分支机构远程分支机构本地互联网访问本地互联网访问数据中心数据中心Extranet:商业商业合作伙伴接入合作伙伴接入远程远程VPN接入接入DMZ:对外对外互联网服务互联网服务 内部内部LAN接入接入普通终端的普通终端的互联网访问互联网访问WLAN接入接入Internal SegmentationCisco ASA 5500 IPSEditionCiscoASA 5500SSL&IPSecVPN EditionCisco ASA 5500 Anti-X EditionCiscoASA 5500IP
21、SEditionCiscoASA 5500FirewallEditionCiscoASA 5500FirewallEdition 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID16怎么定位不同的怎么定位不同的ASA5500产品?产品?互联网接入:ASA5510/5520/5540 FW/IPS版本 VPN接入:ASA55x0 FW或VPN版本 内部WLAN接入:ASA5510/5520/5540 IPS版本 远程分支机构接入:ASA55x0 FW或CSC版本 内部应用系统防护:ASA55x0 IPS或 5550/5580 F
22、W版本 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID17互联网边界安全控制互联网边界安全控制应用级别的安全防护:下一代防火墙应用级别的安全防护:下一代防火墙防火墙防火墙入侵防护系统入侵防护系统内容级别的安全防护:内容级别的安全防护:Iron portIron portWeb/AVWeb/AVSPAMSPAM防护防护统一统一VPNVPN接入系统:接入系统:IPSec/SSL VPNIPSec/SSL VPN 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID1
23、8Iron Port:企业级内容安全产品:企业级内容安全产品InternetC-SeriesEMAIL安全网关安全网关S-SeriesWEB安全网关安全网关M-Series安全安全 管理设备管理设备IronPortSenderBase 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID19IRONPORT 基于消息的安全解决方案基于消息的安全解决方案C-SeriesC-SeriesEmailEmail Security Appliance Security ApplianceS-SeriesS-SeriesWebWeb Secu
24、rity Appliance Security Appliance 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID20互联网边界安全控制互联网边界安全控制应用级别的安全防护:下一代防火墙应用级别的安全防护:下一代防火墙防火墙防火墙入侵防护系统入侵防护系统内容级别的安全防护:内容级别的安全防护:Iron portIron portWeb/AVWeb/AVSPAMSPAM防护防护统一统一VPNVPN接入系统:接入系统:IPSec/SSL VPNIPSec/SSL VPN 2006 Cisco Systems,Inc.All ri
25、ghts reserved.Presentation_ID21使用统一使用统一VPN接入系统满足各种客户需求接入系统满足各种客户需求Public InternetASA 5500 VPN Edition网页定制化的网页定制化的SSL VPN接入接入网页定制化网页定制化SSL VPN接入接入隧道模式的隧道模式的SSL或或IPSec VPN LAN接入接入商业合作伙伴的商业合作伙伴的VPN接入接入Requires“locked-down”access to specific extranet resources and applications出差员工的远程接入服务出差员工的远程接入服务Remot
26、e access users require seamless,easy to use,access to corporate network resources第三方平台临时接入服务第三方平台临时接入服务Remote users may require lightweight access to e-mail and web-based applications from a public machine远程分支机构以及远程分支机构以及SOHU型用户的型用户的LAN接入接入Day extenders and mobile employees require consistent LAN-li
27、ke,full-network access,to corporate resources and applications隧道模式的隧道模式的SSL或或IPSec VPN客户端接入客户端接入 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID22BusinessPartnerAccessExtranet Connections企业网络企业网络互联网互联网远程接入系统远程接入系统远程分支机构远程分支机构数据中心数据中心管理网段管理网段内部局域网内部局域网Internet Connections企业互联网的业务安全企业互联网的业务
28、安全STOPGOSTOPGOGOSTOPGO互联网边界安全控制互联网边界安全控制应用级别的安全防护应用级别的安全防护防火墙防火墙入侵防护系统入侵防护系统内容级别的安全防护内容级别的安全防护Web/AVWeb/AVSPAMSPAM防护防护统一统一VPNVPN接入系统接入系统企业网络安全接入控制企业网络安全接入控制LAN/WLAN/VPNLAN/WLAN/VPN的接入控制的接入控制评估终端的安全防护状态评估终端的安全防护状态控制终端接入的安全策略控制终端接入的安全策略主动终端防护系统主动终端防护系统主动适应型终端防护主动适应型终端防护,确确保终端访问互联网时的安保终端访问互联网时的安全,抵御互联网
29、蠕虫以及全,抵御互联网蠕虫以及网页木马病毒的攻击网页木马病毒的攻击企业安全策略控制企业安全策略控制,防止防止内部用户的恶意行为内部用户的恶意行为终端与网络入侵防护及监终端与网络入侵防护及监控系统的联动控系统的联动 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID23主动终端防护系统主动终端防护系统 Cisco Security AgentCisco Security Agent主动适应型终端防护主动适应型终端防护,确保终端访问互联网时的确保终端访问互联网时的安全,抵御互联网蠕虫以及网页木马病毒的攻击安全,抵御互联网蠕虫以及网页
30、木马病毒的攻击企业安全策略控制企业安全策略控制,防止内部用户的恶意行为防止内部用户的恶意行为终端与网络入侵防护及监控系统的联动终端与网络入侵防护及监控系统的联动 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID24 新一代的主机安全解决方案新一代的主机安全解决方案服务器和桌面系统的威胁防范机制服务器和桌面系统的威胁防范机制 在恶意行为在恶意行为之前之前识别和防止识别和防止 独特的行为检测手段分析已知或未知威独特的行为检测手段分析已知或未知威胁胁 防范防范:Mydoom W32.Blaster Fizzer Bugbear So
31、big.E SQL Slammer Sircam.A CodeRed Nimda W32.Netsky更多更多,不需要签名更新不需要签名更新!Cisco安全代理安全代理 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID25CSA 逻辑结构逻辑结构集中式安全管理器集中式安全管理器SNMPTraps客户程序客户程序本地文件本地文件策略策略/更新更新报警报警基于浏览器的管理界面基于浏览器的管理界面配置配置报告,事件报告,事件桌面代理桌面代理桌面代理桌面代理桌面代理桌面代理服务器代理服务器代理服务器代理服务器代理 2006 Cisco
32、 Systems,Inc.All rights reserved.Presentation_ID26恶意代码的共性恶意代码的共性-攻击流程分析攻击流程分析被攻击被攻击的目标的目标12345探测探测渗透渗透寄生寄生传播传播发作发作 地址探测地址探测 端口扫描端口扫描 密码猜测密码猜测 邮件用户猜测邮件用户猜测 恶意邮件恶意邮件 缓冲区溢出缓冲区溢出 恶意恶意ActiveX 控件控件 自动软件安装自动软件安装 利用已有后门利用已有后门 创建新文件创建新文件 修改已有文件修改已有文件 修改注册表修改注册表 安装新的网络服务安装新的网络服务 建立系统后门建立系统后门 邮件传播邮件传播 Web传播传播
33、IRC 传播传播 FTP传播传播 文件传播文件传播 删除文件删除文件 修改文件修改文件 使计算机瘫痪使计算机瘫痪 拒绝服务拒绝服务攻击准备攻击实施攻击后续 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID27利用利用CSACSA防止终端用户的数据泄漏防止终端用户的数据泄漏限制移动介质的数据复制USB,floppy disk,CD Burner限制通过非授权接口的进行数据传送Modem,Bluetooth,IRDA限制通过webmail,p2p或IM发送关键数据限制系统的cut&paste clipboard误操作EMAILSe
34、curity ApplianceWEBSecurityAppliance企业级别的安全企业级别的安全内容识别与数据保护内容识别与数据保护 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID28终端与网络终端与网络IPSIPS的联合防御系统的联合防御系统 1.Hacker 1.Hacker 尝试攻击内尝试攻击内部主机部主机2.2.CSACSA向管理中心汇向管理中心汇报攻击的特征情况报攻击的特征情况4.CSA 4.CSA 管理中心与网络管理中心与网络入侵防护系统沟通相关入侵防护系统沟通相关HackerHacker的入侵特征,利的入侵
35、特征,利用网络用网络IPSIPS进行攻击阻断进行攻击阻断3.3.管理中心调整管理中心调整每个安全终端的每个安全终端的防护策略,阻止防护策略,阻止HackerHacker的进一的进一步攻击步攻击 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID29企业网络安全接入控制企业网络安全接入控制LAN/WLAN/VPNLAN/WLAN/VPN的接入控制的接入控制评估终端的安全防护状态评估终端的安全防护状态控制终端接入的安全策略控制终端接入的安全策略 2006 Cisco Systems,Inc.All rights reserved.P
36、resentation_ID30无线网络下的网络准入控制无线网络下的网络准入控制 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID31什么是网络准入控制?什么是网络准入控制??Please enter username:设备安全设备安全网络安全网络安全使用网络准入安全策略,确保进入网络的设备符合策略。使用网络准入安全策略,确保进入网络的设备符合策略。身份识别身份识别SiSiSiSiq 用户是谁用户是谁?q 用户是否得到了授权用户是否得到了授权?q 用户的角色是什么用户的角色是什么?q MS是否进行了修补是否进行了修补?q 是否
37、存在是否存在A/V或或A/S?q 是否正在运行是否正在运行?q 是否提供服务是否提供服务?q 所需文件是否存在所需文件是否存在?以及以及q 是否建立了策略是否建立了策略?q 不符合策略的设备是否被隔离不符合策略的设备是否被隔离?q 是否需要修复是否需要修复?q 是否提供修复是否提供修复?以及以及 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID32NAC Appliance 的工作重点的工作重点认证与授权 Enforces authorization policies and privileges Supports multi
38、ple user roles评估 Agent scan for required versions of hotfixes,AV,and other software Network scan for virus and worm infections and port vulnerabilities隔离 Isolate non-compliant devices from rest of network MAC and IP-based quarantine effective at a per-user level更新与升级 Network-based tools for vulnerab
39、ility and threat remediation Help-desk integrationAll-in-One Policy Complianceand Remediation Solution 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID33NAC L3 OOB ACL ImplementationNAC L3 OOB ACL Implementation互联网互联网互联网出口区域L3核心交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域L3链路L2链路逻
40、辑链路网络准入服务器群TUT 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID34NAC L3 OOB ACL ImplementationNAC L3 OOB ACL Implementation互联网互联网互联网出口区域L3核心交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域L3链路L2链路逻辑链路网络准入服务器群用户接入交换机端口,端口处于认证VLANTUT 2006 Cisco Systems,Inc.All rights reserved.Presentati
41、on_ID35NAC L3 OOB ACL ImplementationNAC L3 OOB ACL Implementation互联网互联网互联网出口区域L3核心交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域L3链路L2链路逻辑链路在认证VLAN的接口上通过ACL控制用户仅可以访问开放服务器区域以及CAS服务器的控制服务IPTUT网络准入服务器群 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID36NAC L3 OOB ACL ImplementationNAC L
42、3 OOB ACL Implementation互联网互联网互联网出口区域L3核心交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域L3链路L2链路逻辑链路网络准入服务器群TUT客户端完成DHCP以及DNS请求,从而获得本机IP地址以及相应CAS服务器的控制服务IP地址(由域名解析而来)2006 Cisco Systems,Inc.All rights reserved.Presentation_ID37NAC L3 OOB ACL ImplementationNAC L3 OOB ACL Implementation互联网互联网互联网出
43、口区域L3核心交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域L3链路L2链路逻辑链路网络准入服务器群TUT在此前后,客户端完成AD域的登陆以及脚本执行等工作 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID38NAC L3 OOB ACL ImplementationNAC L3 OOB ACL Implementation互联网互联网互联网出口区域L3核心交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域L3链
44、路L2链路逻辑链路网络准入服务器群TUT客户端向CAS服务器的服务IP地址发送UDP 8905数据包,可以由C6K完成自动负载均衡转发,并获得CAS服务器的响应,从而激活认证以及策略检查过程 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID39NAC L3 OOB ACL ImplementationNAC L3 OOB ACL Implementation互联网互联网互联网出口区域L3核心交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域L3链路L2链路逻辑链路网络准入
45、服务器群TUT客户设备需要进行系统补丁或AV软件升级等工作流量,可以直接访问开放服务器区域 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID40NAC L3 OOB ACL ImplementationNAC L3 OOB ACL Implementation互联网互联网互联网出口区域L3核心交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域L3链路L2链路逻辑链路网络准入服务器群TUTCAS服务器通知CAM该客户端已经符合所有安全检查策略,可以接入网络 2006 Cis
46、co Systems,Inc.All rights reserved.Presentation_ID41NAC L3 OOB ACL ImplementationNAC L3 OOB ACL Implementation互联网互联网互联网出口区域L3核心交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域L3链路L2链路逻辑链路网络准入服务器群TUTCAM服务器将相关接入交换机的端口按照用户认证的身份转入相关VLAN 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID42NA
47、C L3 OOB ACL ImplementationNAC L3 OOB ACL Implementation互联网互联网互联网出口区域L3核心交换区域DNS/DHCP服务器AD域服务器WSUS/AV服务器开放服务器区域冗余的CAM带外/带内网管区域L3链路L2链路逻辑链路网络准入服务器群TUT系统在特定VLAN接口上面通过ACL方式,预设相关的安全访问控制策略 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID43关键应用系统的防护:纵深化防御体系的构架关键应用系统的防护:纵深化防御体系的构架主机接入CIP路由器ESCON
48、DirectorCoupling Facility快速以太网或令牌环交换机DLSW+路由器IBM主机ESCON/FICONCisco7507Catalyst6509Catalyst5509Cisco7507FC交换核心交换核心SiSiSiSiSiSiSiSiCatalyst6513SNA/IP网关IP业务服务器SNAswDLSW业务服务器群Catalyst6513开发测试网区域主机系统Cisco 5350/Cisco5400外围网关IP PBXIP自动语音应答客户关系管理数据库应用网关CTI服务器AW管理工作站传真系统IP录音系统普通业务咨询专长理财n*E1客户专职业务代表语音接入VoIP网关
49、ICMPGIP IVRCTI客服中心核心系统Catalyst6509外联网区域PIX535Catalyst 4000Cisco IDSPIX 535Cisco 7200拨号访问服务器Cisco 3600Cisco 7200DNS应用服务器Cisco IDS4-7层分析Cisco IDS4-7层分析WEB协同服务器电子邮件服务器内容交换机CSS11500电子邮件管理服务器PIX 535GSS全局网站定位器GSS全局网站定位器CiscoWorks 2000 IDS 管理Cisco Info ServerVPN Solution CenterCIC Reporter运行管理网络区域网元管理事件管理中
50、心事件统计汇报SNA管理安全管理话音管理广域接入网区域Catalyst 6513Catalyst 4500Catalyst 3550服务器群(均衡负载)VoIP关守HSRPCDM4650CE560/CE590无线以太网访问点E-LearningLMS服务器WEB服务器其它服务器IP/TV内容管理器Cisco 3660VoIP网关AS5350MCSV V 办公网络区域内容分发管理器CDM内容路由器CR互联网连接区域访问管理控制服务器外层防火墙DNS服务器InternetISPA内层防火墙邮件服务器邮件网关(防毒)Cisco VPN集中器Cisco IDS4-7层分析AAA认证服务器外网交换机Ci