收藏
下载资源

思科自防御安全解决方案综述

上传人:豆浆 文档编号:35577829 上传时间:2018-03-17 格式:PDF 页数:135 大小:4.71MB
返回 下载 相关 举报
思科自防御安全解决方案综述_第1页
第1页 / 共135页
思科自防御安全解决方案综述_第2页
第2页 / 共135页
思科自防御安全解决方案综述_第3页
第3页 / 共135页
思科自防御安全解决方案综述_第4页
第4页 / 共135页
思科自防御安全解决方案综述_第5页
第5页 / 共135页
点击查看更多>>
资源描述

《思科自防御安全解决方案综述》由会员分享,可在线阅读,更多相关《思科自防御安全解决方案综述(135页珍藏版)》请在金锄头文库上搜索。

1、 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID1思科自防御网络安全 解决方案综述Version: 20070113PDF created with pdfFactory Pro trial version 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID2Cisco Confidential内容安排内容安排 什么是自防御网络安全? 思科的基础安全网络 思科应用防护解决方案 思科入侵攻击的检测与防护 思科内容安全

2、控制技术 思科安全连接的控制 思科终端安全防护 思科网络准入控制 思科一体化安全管理PDF created with pdfFactory Pro trial version 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID3Cisco Confidential自防御网络安全 解决方案PDF created with pdfFactory Pro trial version 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID4Cisco Confid

3、ential网络攻击工具唾手可得网络攻击工具唾手可得Connected to PDF created with pdfFactory Pro trial version 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID5Cisco Confidential网络攻击威胁能力:网络攻击威胁能力: 工具更危险,更易于使用工具更危险,更易于使用黑客工具的黑客工具的 先进程度先进程度分组伪装分组伪装/欺骗欺骗19901980密码猜测密码猜测自复制代码自复制代码密码破解密码破解利用已知弱点利用已知弱点使审查失效使审查失效后门后门扫地

4、者扫地者勤杂工勤杂工秘密诊断秘密诊断所需的所需的 技术知识技术知识高高低低2002DDOS互联网互联网 蠕虫蠕虫2006PDF created with pdfFactory Pro trial version 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID6Cisco Confidential利用利用DDOS 工具的攻击危害工具的攻击危害Entire data center: Servers, security devices, routers Ecommerce, web, DNS, email,Provider

5、infrastructure: DNS, routers and linksAccess lineAttack ombies: Use valid protocols Spoof source IP Massively distributed Variety of attacksPDF created with pdfFactory Pro trial version 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID7Cisco Confidential危害的目标危害的目标 和范围和范围危害的目标危害的目标 和范围和范围

6、全球网络范全球网络范 围内基础设围内基础设 施的冲击施的冲击地区网络地区网络多个网络多个网络单单个网络个网络单单个个计算机计算机全球网络范全球网络范 围内基础设围内基础设 施的冲击施的冲击地区网络地区网络多个网络多个网络单单个网络个网络单单个个计算机计算机第一第一代代 引导型病毒引导型病毒第一第一代代 引导型病毒引导型病毒周周周周周周第二第二代代 宏病毒宏病毒 电子邮件电子邮件 DoS 有限有限的黑客攻击的黑客攻击第二第二代代 宏病毒宏病毒 电子邮件电子邮件 DoS 有限有限的黑客攻击的黑客攻击天天天天天天第三第三代代 网络网络 DoS 混合混合威胁威胁 (蠕虫蠕虫 + 病毒病毒+ 特洛伊特洛

7、伊 木马木马) Turbo蠕虫蠕虫 广泛广泛的的系统系统黑客黑客 攻击攻击第三第三代代 网络网络 DoS 混合混合威胁威胁 (蠕虫蠕虫 + 病毒病毒+ 特洛伊特洛伊 木马木马) Turbo蠕虫蠕虫 广泛广泛的的系统系统黑客黑客 攻击攻击分分钟钟分分钟钟分分钟钟下一下一代代 基础设施黑客基础设施黑客 攻击攻击 瞬间瞬间威胁威胁 大规模大规模蠕虫蠕虫 DDoS 破破坏有坏有效效负载负载 的的病毒病毒和蠕虫和蠕虫下一下一代代 基础设施黑客基础设施黑客 攻击攻击 瞬间瞬间威胁威胁 大规模大规模蠕虫蠕虫 DDoS 破破坏有坏有效效负载负载 的的病毒病毒和蠕虫和蠕虫秒秒秒秒秒秒20世纪世纪80年年代代20

8、世纪世纪80年年代代20世纪世纪90年年代代20世纪世纪90年年代代今天今天今天今天未来未来未来未来人人工工特征判别特征判别 的的防御时防御时代代系统特征判别系统特征判别的的 防御时防御时代代主动主动自自适应适应网络网络防御时防御时 代代网络安全威胁的网络安全威胁的演演进进PDF created with pdfFactory Pro trial version 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID8Cisco Confidential自自防御防御网络网络构想构想的的起源起源 - “人体人体” IT基础设施和

9、网络应象“活”系统一样运行 病毒是永远存在的不争事实我们携带着病毒我们从各种接触中感染病毒 人体虽然携带着病毒和病原体,但人体机 能仍可正常运行 自体免疫概念是思科安全构想与战略的构 建基础PDF created with pdfFactory Pro trial version 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID9Cisco Confidential访问控访问控制,制,数据包数据包 检检测测 防火墙服务防火墙服务访问控访问控制,制,数据包数据包 检检测测 防火墙服务防火墙服务应应用用智智能,内容能,内容检

10、检测,测, 病毒防御病毒防御 IPS 和和 NW- AV 服务服务应应用用智智能,内容能,内容检检测,测, 病毒防御病毒防御 IPS 和和 NW- AV 服务服务身份身份识识别别,虚拟化虚拟化, QoS 流量流量可可视性视性 网络网络智智能能身份身份识识别别,虚拟化虚拟化, QoS 流量流量可可视性视性 网络网络智智能能PIXPIXCSACSANACNAC隔离隔离VLAN隔离隔离VLAN思科路由器思科路由器思科路由器思科路由器CSACSAVPN 接接入入VPN 接接入入VPNCisco DDoSCisco DDoSCSACSA思科路由器思科路由器思科路由器思科路由器Catalyst Catal

11、yst CatalystCatalyst基于基于身份身份的联网的联网基于基于身份身份的联网的联网Cisco IPSCisco IPS应应用用检检测,测,强强制制策略策略, Web控控制制 应应用安全用安全应应用用检检测,测,强强制制策略策略, Web控控制制 应应用安全用安全恶意恶意代码代码/内容内容防御防御, 异常事异常事件检件检测测 Anti -X 防御防御恶意恶意代码代码/内容内容防御防御, 异常事异常事件检件检测测 Anti -X 防御防御流量流量/准入准入控控制,制,主动主动响响应应遏遏制制/ 控控制制流量流量/准入准入控控制,制,主动主动响响应应遏遏制制/ 控控制制正在实正在实施的

12、施的智智能能化化自自适应适应威胁威胁防御防御: 产品、产品、服务服务和和架架构构示例示例PDF created with pdfFactory Pro trial version 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID10Cisco Confidential101010思科的基础安全网络PDF created with pdfFactory Pro trial version 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID11Cisco

13、 ConfidentialL2网络安全攻击类型说明网络安全攻击类型说明 类型一:利用ETTERCAP完成ARP攻击以及MAC攻击利用ETTERCAP进行ARP攻击之后,可以实现中间人式攻击, 从而获取用户的系统信息利用ETTERCAP可以进行DOS攻击,并且伪造源IP地址利用ETTERCAP进行MAC攻击,将交换机的MAC表充满,从而 实现DOS以及中间人攻击 类型二:利用YERSINIA完成STP的攻击利用虚假的CONF BPDU实现针对交换机环境的DOS攻击利用虚假的ROOT协商,成为交换机STP的ROOT结点PDF created with pdfFactory Pro trial ve

14、rsion 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID12Cisco Confidential端口端口安全安全控控制制合合理理MAC地地址址 Port Security1 MAC地地址址1 MAC地地址址X X额外额外的的 MAC 地地址址额外额外的的 MAC 地地址址限限制制单单个个端口端口所所连连接接MAC地地址址的的数数目可目可以保护交换以保护交换机机CAM地地址表不址表不 被恶意填满被恶意填满,有有效效防防止类似止类似macof工具和工具和SQL蠕虫蠕虫病毒病毒发发起起的攻击的攻击PDF created w

15、ith pdfFactory Pro trial version 2006 Cisco Systems, Inc. All rights reserved.Presentation_ID13Cisco ConfidentialDHCP窥探保护窥探保护DHCP服务服务正常正常工工作作 DHCP SnoopingDHCP 客客户端户端DHCP 服务器服务器SiSi虚虚假假DHCP 服务器服务器TrustedDHCP Snooping 功功能能启启用用DHCP RequestX XDHCP ACKcat4507#sh ip dhcp snooping binding MacAddressIpAddressLease(sec) Type VLAN Interface - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号