思科网络自身安全解决方案,通过设备及网络两个层面的安全保护,各自分工,系统协作,全面部署,从网络到主机,从核心层到分布层、接入层,我们要采取全面的企业安全策略来保护整个网络基础构架和其所连接的系统,即使当攻击,蠕虫和病毒发生时,我们的网络基础设施要具备相当的抵抗和承受能力,在自动适应“变化”的基础上,充分利用网络基础平台的优势,协助专门的安全系统,定位问题,提供数据,有效隔离,快速清楚,确保整体网络的稳定运行。
目录
1 网络自身安全威胁和问题 2
2 普通技术解决方案和不足 3
3 思科网络自身安全解决方案 4
3.1 设备级保护 4
3.1.1 控制平面保护 4
3.1.1.1 控制平台保护 4
3.1.1.2 安全高效的交换转发机制CEF 5
3.1.2 管理平面保护 6
3.1.2.1 “一键”保护设备安全Cisco AutoSecure 6
3.1.2.2 基于角色权限的管理访问CLI/SDM 7
3.1.2.3 Console 和Telnet 的安全管理AAA 8
3.1.2.4 SNMP版本3安全管理协议SNMP V3 8
3.1.2.5 安全Shell管理保护Secure Shell 8
3.1.2.6 USB 安全令牌和Flash存储 8
3.1.3 数据平面保护 9
3.1.3.1 端口安全控制合理MAC地址Port Security 9
3.1.3.2 DHCP窥探保护DHCP服务正常工作DHCP Snooping 10
3.1.3.3 动态ARP检查确保“合法”ARP信息传递 DAI 12
3.1.3.4 IP源地址保护阻止DoS、蠕虫和木马攻击IP Source Guard 13
3.1.3.5 阻挡不明交换设备的接入BPDU/Root Guard 14
3.1.3.6 丰富的访问控制Access Control Lists 15
3.1.3.7 专用VLAN“深度”隔离交换端口Private VLANs 15
3.1.4 思科安全交换机 16
3.1.4.1 面向应用的集成防火墙Firewall SM 16
3.1.4.2 迅速发现恶意攻击的集成入侵检测/保护IDS/IPS SM 17
3.1.4.3 抵御DDos攻击AG/AD SM 19
3.1.4.4 安全集成的链路加密保护VPN SM 20
3.1.4.5 数据中心部署内容交换和应用加密(CSM/SSL SM) 21
3.1.4.6 网络流量深度分析NAM SM 21
3.1.5 思科安全路由器 23
3.1.5.1 安全加速硬件 23
3.1.5.2 DMVPN, V3PN, SRTP安全协议 23
3.1.5.3 路由器集成的入侵防范系统NM-CIDS/IOS IPS 25
3.1.5.4 路由器集成的透明防火墙LAN交换IOS Firewall 25
3.2 网络级保护 27
3.2.1 单播逆向路径转发检查URPF Check 27
3.2.2 基于网络的应用识别NBAR 27
3.2.3 Cisco 流量统计分析Netflow 27
3.2.4 针对不同级别用户的服务质量User-Based QoS ACL 30
3.2.5 网络准入控制NAC 30
3.2.6 无线局域网安全性保障Wireless LAN Security 33
4 思科网络自身安全的部署 38
5 案例分析 40
5.1 SQL SLAMMER的背景和功能 40
5.2 思科对于抵御SQL SLAMMER的建议 41
5.3 未来的蠕虫 42
5.4 运用网络自身安全实现蠕虫防护 43
5.5 总结 46
点击下载 《思科网络自身安全解决方案》