收藏
下载资源

如何构造安全的企业网络

上传人:豆浆 文档编号:35563045 上传时间:2018-03-17 格式:PDF 页数:78 大小:9.26MB
返回 下载 相关 举报
如何构造安全的企业网络_第1页
第1页 / 共78页
如何构造安全的企业网络_第2页
第2页 / 共78页
如何构造安全的企业网络_第3页
第3页 / 共78页
如何构造安全的企业网络_第4页
第4页 / 共78页
如何构造安全的企业网络_第5页
第5页 / 共78页
点击查看更多>>
资源描述

《如何构造安全的企业网络》由会员分享,可在线阅读,更多相关《如何构造安全的企业网络(78页珍藏版)》请在金锄头文库上搜索。

1、1 2005 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialCHN-0015如何构造安全的企业网络如何构造安全的企业网络YU Chao2 2005 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialCHN-0015汇报提纲汇报提纲 安全技术发展趋势安全技术发展趋势思科自防御安全技术及战略思科自防御安全技术及战略 应对企业主要安全问题应对企业主要安全问题企业安全区域设计企业安全区域设计安全状况了解安全状况了解恶意代码防范(病毒/蠕虫/间谍软件/网络钓鱼等)恶意代

2、码防范(病毒/蠕虫/间谍软件/网络钓鱼等)网络自身安全网络自身安全安全预警及快速响应安全预警及快速响应应用及内容安全应用及内容安全安全接入控制安全接入控制安全管理体系不完善安全管理体系不完善 总结总结3 2005 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialCHN-0015安全技术发展趋势安全技术发展趋势4 2005 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialCHN-0015网络安全威胁的演进网络安全威胁的演进危害的目标 和范围危害的目标 和范围危害

3、的目标 和范围危害的目标 和范围全球网络 基础设施的 冲击地区网络多个网络单个网络单个计算机全球网络 基础设施的 冲击地区网络多个网络单个网络单个计算机全球网络 基础设施的 冲击地区网络多个网络单个网络单个计算机全球网络 基础设施的 冲击地区网络多个网络单个网络单个计算机第一代第一代 引导型病毒引导型病毒第一代第一代 引导型病毒引导型病毒周周周周第二代第二代 宏病毒宏病毒 电子邮件电子邮件 DoS 有限的黑客攻击有限的黑客攻击第二代第二代 宏病毒宏病毒 电子邮件电子邮件 DoS 有限的黑客攻击有限的黑客攻击天天天天第三代第三代 网络网络 DoS 混合威胁混合威胁 (蠕虫蠕虫 + 病毒病毒+ 特

4、洛伊 木马特洛伊 木马) Turbo蠕虫蠕虫 广泛的系统黑客 攻击广泛的系统黑客 攻击第三代第三代 网络网络 DoS 混合威胁混合威胁 (蠕虫蠕虫 + 病毒病毒+ 特洛伊 木马特洛伊 木马) Turbo蠕虫蠕虫 广泛的系统黑客 攻击广泛的系统黑客 攻击分钟分钟分钟分钟下一代下一代 基础设施黑客 攻击基础设施黑客 攻击 瞬间威胁瞬间威胁 大规模蠕虫大规模蠕虫 DDoS 破坏有效负载 的病毒和蠕虫破坏有效负载 的病毒和蠕虫下一代下一代 基础设施黑客 攻击基础设施黑客 攻击 瞬间威胁瞬间威胁 大规模蠕虫大规模蠕虫 DDoS 破坏有效负载 的病毒和蠕虫破坏有效负载 的病毒和蠕虫秒秒秒秒20世纪世纪80

5、年代年代20世纪世纪80年代年代20世纪世纪90年代年代20世纪世纪90年代今天今天未来未来年代今天今天未来未来人工响应,可行人工响应,很困难 自动响应,可行人工响应,不可行 自动响应,较难 主动防御,可行人工响应,可行人工响应,很困难 自动响应,可行人工响应,不可行 自动响应,较难 主动防御,可行5 2005 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialCHN-0015思科安全战略的演进思科安全战略的演进20002000200220022003200320042004深度防护深度防护深度防护深度防护 多种技术多种技术 多

6、个位置多个位置 多种设备多种设备 没有或很少集成没有或很少集成 多种技术多种技术 多个位置多个位置 多种设备多种设备 没有或很少集成没有或很少集成1990s1990s 基本的路由器安全基本的路由器安全 命令行界面命令行界面 基本的路由器安全基本的路由器安全 命令行界面命令行界面基本的安全基本的安全基本的安全基本的安全单点的产品单点的产品单点的产品单点的产品 安全装置安全装置 增强的路由器安全增强的路由器安全 单独的管理软件单独的管理软件 安全装置安全装置 增强的路由器安全增强的路由器安全 单独的管理软件单独的管理软件集成化安全集成化安全集成化安全集成化安全 集成化安全 路由器 交换机 装置 终

7、端集成化安全 路由器 交换机 装置 终端 防火墙防火墙 + VPN + IDS 集成化管理软件集成化管理软件 改进的高级服务改进的高级服务 集成化安全 路由器 交换机 装置 终端集成化安全 路由器 交换机 装置 终端 防火墙防火墙 + VPN + IDS 集成化管理软件集成化管理软件 改进的高级服务改进的高级服务 主动防御主动防御 自动响应自动响应 系统级协作系统级协作 应用安全防护应用安全防护 主动防御主动防御 自动响应自动响应 系统级协作系统级协作 应用安全防护应用安全防护自防御网络自防御网络自防御网络自防御网络6 2005 Cisco Systems, Inc. All rights r

8、eserved.Cisco ConfidentialCHN-0015思科自防御网络战略的演进思科自防御网络战略的演进自防御网络第一阶段自防御网络第一阶段自防御网络第一阶段自防御网络第一阶段- - - - 集成式安全集成式安全集成式安全集成式安全全网安全,包括路由器,交换机,独立安全设备,端点安全全网安全,包括路由器,交换机,独立安全设备,端点安全 安全连接(V3PN, DMVPN), 威胁防御,身份识别和身份信任安全连接(V3PN, DMVPN), 威胁防御,身份识别和身份信任 网络基础保护网络基础保护全网安全,包括路由器,交换机,独立安全设备,端点安全全网安全,包括路由器,交换机,独立安全设

9、备,端点安全 安全连接(V3PN, DMVPN), 威胁防御,身份识别和身份信任安全连接(V3PN, DMVPN), 威胁防御,身份识别和身份信任网络基础保护网络基础保护自防御网络第三阶段 - 自适应威胁防御自防御网络第三阶段 - 自适应威胁防御自防御网络第三阶段自防御网络第三阶段自防御网络第三阶段自防御网络第三阶段 - - - - 自适应威胁防御自适应威胁防御自适应威胁防御自适应威胁防御安全服务和网络智能相互知晓,协作安全服务和网络智能相互知晓,协作 主动防御,主动防御,提高安全防范效能提高安全防范效能 巩固服务,提高实施效率巩固服务,提高实施效率 业务识别,监控安全业务的实施和优化业务识别

10、,监控安全业务的实施和优化安全服务和网络智能相互知晓,协作安全服务和网络智能相互知晓,协作 主动防御,主动防御,提高安全防范效能提高安全防范效能 巩固服务,提高实施效率巩固服务,提高实施效率业务识别,监控安全业务的实施和优化业务识别,监控安全业务的实施和优化自防御网络第二阶段 - 协作式安全系统自防御网络第二阶段 - 协作式安全系统自防御网络第二阶段自防御网络第二阶段自防御网络第二阶段自防御网络第二阶段 - - - - 协作式安全系统协作式安全系统协作式安全系统协作式安全系统安全成为全网的协作系统安全:端点安全网络安全策略安全成为全网的协作系统安全:端点安全网络安全策略 主动的安全管理,将多服

11、务和多设备进行整合,抵御攻击主动的安全管理,将多服务和多设备进行整合,抵御攻击 NAC网络准入控制, IBNS 基于网络的认证服务NAC网络准入控制, IBNS 基于网络的认证服务安全成为全网的协作系统安全:端点安全网络安全策略安全成为全网的协作系统安全:端点安全网络安全策略 主动的安全管理,将多服务和多设备进行整合,抵御攻击主动的安全管理,将多服务和多设备进行整合,抵御攻击 NAC网络准入控制, IBNS 基于网络的认证服务NAC网络准入控制, IBNS 基于网络的认证服务思科自防御网络战略思科自防御网络战略解决方案解决方案解决方案解决方案7 2005 Cisco Systems, Inc.

12、 All rights reserved.Cisco ConfidentialCHN-0015应对企业安全问题应对企业安全问题8 2005 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialCHN-0015企业面临的主要安全问题企业面临的主要安全问题?企业安全区域设计企业安全区域设计?安全状况了解安全状况了解?恶意代码防范(病毒/蠕虫/间谍软 件/网络钓鱼等)恶意代码防范(病毒/蠕虫/间谍软 件/网络钓鱼等)VPN AccessVPN AccessVPN?网络自身安全网络自身安全?安全预警及快速响应安全预警及快速响应?应用及内容

13、安全应用及内容安全?安全接入控制安全接入控制?安全管理体系不完善安全管理体系不完善内部防火墙和部门隔 离内部防火墙和部门隔 离特洛伊马特洛伊马? 边缘防火墙边缘防火墙远程访问和外部网远程访问和外部网入侵和蠕虫防御入侵和蠕虫防御应用和端口应用和端口 80 滥用滥用 ?内容管理内容管理病毒和蠕虫防御病毒和蠕虫防御?混合威胁混合威胁?拒绝服务拒绝服务?基于地点或用户 的策略基于地点或用户 的策略?9 2005 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialCHN-0015企业安全区域设计企业安全区域设计10 2005 Cisco

14、Systems, Inc. All rights reserved.Cisco ConfidentialCHN-0015现有企业网络面临的挑战现有企业网络面临的挑战分支机构分支机构策略服务器策略服务器互联网互联网远程用户远程用户公司总部公司总部病毒蠕虫黑病毒蠕虫黑 客入客入侵分支侵分支 机构机构分支机构分支机构B病毒蠕虫黑病毒蠕虫黑 客入客入侵总部侵总部病毒蠕虫黑病毒蠕虫黑 客入客入侵其他侵其他 分支机构分支机构主要问题:主要问题: ?组网方式随意性很 强,没有统一规划组网方式随意性很 强,没有统一规划 ?安全防护手段部署 原则不明确安全防护手段部署 原则不明确造成的影响:造成的影响:?网段之

15、间边界不清晰,控 制较差,攻击容易扩散, 没有缓冲处理时间网段之间边界不清晰,控 制较差,攻击容易扩散, 没有缓冲处理时间 ?安全设备不能很好的发挥 作用安全设备不能很好的发挥 作用11 2005 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialCHN-0015解决方案:解决方案: 安全域的划分安全域的划分InternetCisco IOS RouterPIXPublic serversVPN 3000Email FilterNIPSCatalyst L3 Ethernet SwitchUser HostsWLAN APsCi

16、sco ACSNIPSInternal ServersCisco IOS VPN RouterCatalyst 6000 w/ security service modules 以思科以思科SDN安全框架为指导原则,使用思科设备集成的 安全功能将网络划分不同等级的安全域,强化域之间的 访问控制,数据保密和攻击检测防范安全框架为指导原则,使用思科设备集成的 安全功能将网络划分不同等级的安全域,强化域之间的 访问控制,数据保密和攻击检测防范管理区域管理区域管理区域管理区域分布层区域分布层区域分布层区域分布层区域核心区域核心区域核心区域核心区域服务器区域服务器区域服务器区域服务器区域电子商务区域电子商务区域电子商务区域电子商务区域互联网区域

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号