資源描述:
《網(wǎng)絡(luò)自身安全威脅和問題 2》由會員上傳分享,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1����、1網(wǎng)絡(luò)自身安全威脅和問題22普通技術(shù)解決方案和不足33思科網(wǎng)絡(luò)自身安全解決方案43.1設(shè)備級保護(hù)43.1.1控制平面保護(hù)43.1.1.1控制平臺保護(hù)43.1.1.2安全高效的交換轉(zhuǎn)發(fā)機(jī)制CEF53.1.2管理平面保護(hù)63.1.2.1“一鍵”保護(hù)設(shè)備安全CiscoAutoSecure63.1.2.2基于角色權(quán)限的管理訪問CLI/SDM73.1.2.3Console和Telnet的安全管理AAA83.1.2.4SNMP版本3安全管理協(xié)議SNMPV383.1.2.5安全Shell管理保護(hù)SecureShell83.1.2.6USB安全令牌和Flash存儲83.1.3數(shù)據(jù)平面保護(hù)9
2、3.1.3.1端口安全控制合理MAC地址PortSecurity93.1.3.2DHCP窺探保護(hù)DHCP服務(wù)正常工作DHCPSnooping103.1.3.3動態(tài)ARP檢查確?�!昂戏ā盇RP信息傳遞DAI123.1.3.4IP源地址保護(hù)阻止DoS、蠕蟲和木馬攻擊IPSourceGuard133.1.3.5阻擋不明交換設(shè)備的接入BPDU/RootGuard143.1.3.6豐富的訪問控制AccessControlLists153.1.3.7專用VLAN“深度”隔離交換端口PrivateVLANs153.1.4思科安全交換機(jī)163.1.4.1面向應(yīng)用的集成防火墻Firewall
3���、SM163.1.4.2迅速發(fā)現(xiàn)惡意攻擊的集成入侵檢測/保護(hù)IDS/IPSSM173.1.4.3抵御DDos攻擊AG/ADSM193.1.4.4安全集成的鏈路加密保護(hù)VPNSM203.1.4.5數(shù)據(jù)中心部署內(nèi)容交換和應(yīng)用加密(CSM/SSLSM)213.1.4.6網(wǎng)絡(luò)流量深度分析NAMSM213.1.5思科安全路由器233.1.5.1安全加速硬件233.1.5.2DMVPN,V3PN,SRTP安全協(xié)議233.1.5.3路由器集成的入侵防范系統(tǒng)NM-CIDS/IOSIPS253.1.5.4路由器集成的透明防火墻LAN交換IOSFirewall253.2網(wǎng)絡(luò)級保護(hù)273.2.1單
4�����、播逆向路徑轉(zhuǎn)發(fā)檢查URPFCheck273.2.2基于網(wǎng)絡(luò)的應(yīng)用識別NBAR273.2.3Cisco流量統(tǒng)計分析Netflow273.2.4針對不同級別用戶的服務(wù)質(zhì)量User-BasedQoSACL303.2.5網(wǎng)絡(luò)準(zhǔn)入控制NAC303.2.6無線局域網(wǎng)安全性保障WirelessLANSecurity334思科網(wǎng)絡(luò)自身安全的部署385案例分析405.1SQLSlammer的背景和功能405.2思科對于抵御SQLSlammer的建議415.3未來的蠕蟲425.4運(yùn)用網(wǎng)絡(luò)自身安全實現(xiàn)蠕蟲防護(hù)435.5總結(jié)461網(wǎng)絡(luò)自身安全威脅和問題今天的企業(yè)越來越多地把關(guān)鍵業(yè)務(wù)應(yīng)用�、語音����、視頻
5���、等新型應(yīng)用融合到IP網(wǎng)絡(luò)上��,一個安全����、可靠的網(wǎng)絡(luò)是企業(yè)業(yè)務(wù)成功的關(guān)鍵�。但是隨著網(wǎng)絡(luò)應(yīng)用的不斷深入和廣泛,網(wǎng)絡(luò)自身安全的威脅和問題也愈發(fā)嚴(yán)重和復(fù)雜���?���!と湎x/病毒/垃圾郵件在網(wǎng)上泛濫,·黑客惡意攻擊�����,DDoS拒絕服務(wù)攻擊·管理人員對網(wǎng)絡(luò)設(shè)備的簡單配置和隨意部署·內(nèi)部用戶任意下載/拷貝·內(nèi)部人員無意或有益嘗試闖入敏感區(qū)域等等這些問題���,都對網(wǎng)絡(luò)自身的穩(wěn)定運(yùn)行帶來了極大的安全隱患���,問題一旦發(fā)作,會導(dǎo)致網(wǎng)絡(luò)設(shè)備資源耗盡��,網(wǎng)絡(luò)帶寬被塞滿�����,網(wǎng)絡(luò)系統(tǒng)無法正常工作�����,使得企業(yè)業(yè)務(wù)不能有效進(jìn)行��,應(yīng)用系統(tǒng)被侵入或篡改��,造成的損失非常巨大,后果極為嚴(yán)重�����。1普通技術(shù)解決方案和不足如何應(yīng)對現(xiàn)在新的網(wǎng)絡(luò)安全
6�、環(huán)境呢?如何在我們的網(wǎng)絡(luò)上確保安全��,及時地發(fā)現(xiàn)問題����、跟蹤定位和阻止泛濫,是每個網(wǎng)絡(luò)管理人員所思考的問題�。為了應(yīng)對網(wǎng)絡(luò)平臺日益泛濫的安全問題����,普通的技術(shù)解決方案是針對問題的出現(xiàn)區(qū)域增加專門的安全設(shè)備,包括:·服務(wù)器和桌面系統(tǒng)安裝防病毒/蠕蟲軟件���;·經(jīng)常性升級代碼庫和操作系統(tǒng)的補(bǔ)?����?;·網(wǎng)絡(luò)出口安裝防火墻;·網(wǎng)絡(luò)中心或關(guān)鍵區(qū)域安裝IDS入侵監(jiān)測���;·網(wǎng)絡(luò)接入增加加密設(shè)備��;等等�����。由于在網(wǎng)絡(luò)設(shè)計的初期�����,缺少對網(wǎng)絡(luò)安全的整體考慮���,特別是沒有網(wǎng)絡(luò)自身層面去規(guī)劃安全的要素,導(dǎo)致“頭痛醫(yī)頭�,腳痛醫(yī)腳”,完全是“救火式”網(wǎng)絡(luò)安全保護(hù)�,結(jié)果自然是:·網(wǎng)絡(luò)安全各個部分相互獨(dú)立,各行其事�;·網(wǎng)絡(luò)設(shè)備沒
7、有安全保護(hù)�����,只是區(qū)域的邊界安全;·安全防范效果不明顯�,原有安全問題依然存在;·對于新出現(xiàn)的攻擊�����、病毒和蠕蟲不能適應(yīng)�����,難以承受���,被動響應(yīng)�;·即使發(fā)現(xiàn)問題��,也缺乏跟蹤定位����,有效隔離��,快速消除的能力因此����,我們需要從網(wǎng)絡(luò)自身基礎(chǔ)架構(gòu)的層面上���,考慮安全,規(guī)劃安全��,部署安全和實施安全���。安全已經(jīng)不是網(wǎng)絡(luò)中的一個選項�,安全是網(wǎng)絡(luò)中必不可少的重要組成部分��,通過智能集成�����,分工協(xié)作���,全局部署�,做到真正融于網(wǎng)絡(luò)內(nèi)部���,真正成為網(wǎng)絡(luò)規(guī)劃的核心�����,真正確保整體網(wǎng)絡(luò)的穩(wěn)定���、可靠�、高效運(yùn)營��。1思科網(wǎng)絡(luò)自身安全解決方案思科網(wǎng)絡(luò)自身安全解決方案���,通過設(shè)備
