收藏
下载资源 加入VIP免费专享

思科网络准入控制管理.ppt

上传人:牧羊曲112 文档编号:6047878 上传时间:2023-09-18 格式:PPT 页数:44 大小:3.97MB
返回 下载 相关 举报
思科网络准入控制管理.ppt_第1页
第1页 / 共44页
思科网络准入控制管理.ppt_第2页
第2页 / 共44页
思科网络准入控制管理.ppt_第3页
第3页 / 共44页
思科网络准入控制管理.ppt_第4页
第4页 / 共44页
思科网络准入控制管理.ppt_第5页
第5页 / 共44页
点击查看更多>>
资源描述

《思科网络准入控制管理.ppt》由会员分享,可在线阅读,更多相关《思科网络准入控制管理.ppt(44页珍藏版)》请在三一办公上搜索。

1、思科网络准入控制管理,Network Access Control(NAC),安全趋势与网络准入控制思科网络准入控制管理简介思科网络准入控制功能介绍思科网络准入控制部署和应用,议程,全球电子犯罪率上升迅速!,Malicious Software Strains exploded from 30K/40K per month to 170,000 from February to March 2008Phishing e-mails doubled 400,000 a day in August to nearly 800,000 a day in November)Ads for stolen

2、 identity information doubled or tripled in price in Fall 2008(stolen identity that once cost$5,for instance,now sells for$15).Over 100 million credit/debit card transactions compromised due to malware at a large US Payment Processor possibly the largest data breach to date(WashingtonP-Jan 20,2009),

3、Theres been a marked increase in the number of attacks and the number of successful fraud attemptsThis is the busiest practice has ever been.”Gartner 2008,“In periods of recession or slow growth,companies are going to turn their attentions to customer retention rather than customer acquisitionThe la

4、st thing you need in that environment is a data breach and the associated brand damage.“Forrester 2008,企业重要数据泄漏统计,Unauthorized application use:70%of IT say the use of unauthorized programs result in as many as half of data loss incidents.Misuse of corporate computers:44%of employees share work devic

5、es with others without supervision.Unauthorized access:39%of IT said they have dealt with an employee accessing unauthorized parts of a companys network or facility.Remote worker security:46%of employees to transfer files between work and personal computers.Misuse of passwords:18%of employees share

6、passwords with co-workers.That rate jumps to 25 percent in China,India,and Italy.,终端应用安全现状,终端遭受严重安全威胁,各种恶意代码攻击,如病毒、蠕虫、木马及混合安全威胁,非法访问,黑客攻击,如何防范?,网络准入控制的好处,Source:Infonetics Research,May 2008,网络准入控制实例统计,安全趋势与网络准入控制思科网络准入控制管理简介思科网络准入控制功能介绍思科网络准入控制部署和应用,议程,思科网络准入控制NAC领先、创新!,4000+customers,41%market shar

7、e1,1 Infonetics,June 20082 Frost&Sullivan April 2008,Gartner March 2008,IDC Dec 2007,Infonetics June 20083 April 2008 http:/May,Gold Award:Information Security Readers Choice Awards3,#1 NAC Vendorleading analysts2,Pioneered NAC launched in 2004,业务策略治理Governance,2003,2009,2004:$92m,2006:$207m,安全访客登录S

8、ecure Guest,用户身份识别User Identity,设备特征识别Device Profiling,Whoareyou?,Whatson yourdevice?,What otherdevices areconnected?,Who else isconnecting?,What are theconditionsof access?,2005:$131m,2007:$354m,Market Size(source:IDC,June 2007),Value-Add,安全状态评估Posture Assessment,First to the marketComprehensive so

9、lutionFlexible deployment choices and options,思科网络准入控制NAC领先、不断创新!,2008:$570m,思科NAC功能一览,基于角色的访问控制 强制终端安全策略遵从,检测用户权限和终端健康状况,提供员工/访客网络访问,Cisco NAC完善的企业终端网络准入控制!,识别非PC终端,实时监控,终端修复,思科NAC组件,NAC Manager,Centralized management,configuration,reporting,and policy store,Posture,services and enforcement,NAC Ser

10、ver,NAC Profiler,NAC Guest Server,Profiles unmanageddevices,Full-featured guest provisioning server,802.1x Supplicant,CSSC or Vista embedded supplicant,NAC Agent,No-cost client:Persistent,dissolvable,or web,ACS Server,Access policy system for 802.1x termination,EndpointComponents(Optional),NAC Profi

11、ler,Guest Server and ACS(Optional),NAC Manager and Server(Required),思科NAC可部署于各种场景,Endpoint ComplianceNetwork access only for compliant devices,Guest ComplianceRestricted internet access only for guest users,Wireless ComplianceSecured network access only for compliant wireless devices,VPN User Compli

12、anceIntranet access only for compliant remote access users,Governance ComplianceEnsure user compliance to governance and risk user acceptable policies,802.1Q,Conference Roomin Building 3,思科NAC部署规模选择,3500 users each,SuperManager,manages up to 40,Enterprise andBranch Servers,Enterprise andBranch Serve

13、rs,1500 users each,StandardManager,manages up to 20,Branch Officeor SMB Servers,100 users,250 users,500 users,ManagerLite,manages up to 3,Users=online,concurrent,2500 users each,50/100 Users(ISR NM),安全趋势与网络准入控制思科网络准入控制管理简介思科网络准入控制功能介绍思科网络准入控制部署和应用,议程,Cisco NAC四项基本功能,Using the network to enforce poli

14、cies ensures that incoming devices are compliant.,目标,内部网/网络,思科NAC用户流程概述,2.,用户被重导向到登录页面Clean Access验证用户名和密码,并执行设备和网络扫描。以评估设备上的安全漏洞,设备不符合安全策略或登录信息不正确拒绝用户接入,向其分配一个隔离角色,使其访问在线修复资源,3a.,隔离,Clean AccessServer,Clean Access Manager,验证服务器,终端体验,4.,LoginScreen,Scan is performed(types of checks depend on user ro

15、le),Scan fails,Remediate,两种终端模式 CCA 和 Web agents,Deploy different agents for different Users/Roles,Clean Access agent for Employees,Web agent for Guests and Contractors,思科NAC特点,支持所有用户环境统一整合的解决方案满足wired,wireless,VPN,remote LANs的需求,Cisco NAC战略,注重互操作性最广泛的支持当前的OS、各类型设备、各种第三方应用程序,创新、创新、再创新!率先实现SSO,rulese

16、ts,profiling,network module,etc.,利用现有的网络平台最优化支持思科install base,同时可协同其它平台良好工作,思科 NAC 身份认证与状态评估,认证方式:Cisco NAC 支持本地认证、Kerberos、LDAP、RADIUS、Active Directory、等集成;支持VPN、无线客户端和AD域的SSO设备安全状态评估:拥有众多NAC战略合作伙伴,预定义将近3万条的规则集,检测多种应用,可定期从Cisco站点更新,同时提供强大的自定义功能,思科NAC集成自动升级的规则集,Automated Cisco rulesets 简化管理操作,支持超过35

17、0+厂家的应用软件提供近30,000条预定义检查,AutoUpdates Hotfixes,Service Packs(direct to WSUS Server),Cisco NAC Appliance Manager,思科NAC创新优势设备特征识别,设备信息简表Device Profiling Cisco Profile Server 能够智能判别100多种设备类型,根据接入网络的设备类型执行不同的准入控制策略,Non-PC devices,Cisco创新:采用device profile 技术实现接入设备自动类型识别与管理,解决了存在的安全隐患,如何实现打印机、传真机等非PC设备安全上网

18、?,思科NAC Profiler自动设备特征识别和接入控制,思科NAC 创新优势访客生命周期管理,Cisco创新:Guest Server实现访客生命周期管理,为业务伙伴、访客提供安全的互联世界,访客生命周期管理,Guest policy,访客登陆界面,访客管理创建访客账号,访客管理审计与报告,SponsorInformation,GuestInformation,AccountInformation,安全趋势与网络准入控制思科网络准入控制简介思科网络准入控制功能介绍思科网络准入控制部署和应用,议程,思科NAC灵活的部署模式,VPN,wireless,campus,and remote LAN

19、sEnforcement via Appliance,Optimized for Cisco campus LANs(L2,L3)SNMP as control plane,Optimized for Cisco campus LANs(802.1x)RADIUS as control plane,IP WAN,802.1q,NAC Server,NAC Manager,VPN,NAC NM,In-Band,L3,802.1q,NAC Server,NAC Manager,SNMP,Out-of-Band,NACServer,NAC Manager,ACS,Radius,802.1x,802.

20、1x,RADIUS,全球及国内成功案例,制造业:青岛海尔、四川长虹能源:神华集团总部及多个矿站电力:上海电力、浙江电力、贵州天生桥发电厂汽车:东风康明思发动机厂研究院:中冶南方政府:江苏地税局、天津港、洋浦港企业:上海烟草,长兴船务公司,上海公共交通卡股份公司 Cisco NAC拥有中国最大的NAC实施案例:青岛海尔12000用户Cisco NAC在以高速度增长:over 500%Y/Y growthCY08 Q4 NAC4.6将支持双字节,全面支持中文,案例分享1:某集团主营能源交通,问题和需求:上市需要遵从Sarbanes法案桌面终端维护工作量大需要强制更新系统、病毒库和软件升级等规范员工

21、上网行为,二层OOB 方案演示-1,某PC连接到接入交换机Fa0/12口,CAM,CAS,LDAP/DHCP,Cisco 二层交换机,A大楼交换机,Vlan6CAM管理,Vlan598Untrust vlan,SVI Vlan599,A大楼网络,核心网络,Vlan598,TrunkCAS 管理vlan60Vlan599 通讯vlan,Fa0/12,接入交换机Fa0/12口分入untrust vlan598,PC发起的DHCP请求到达CAS,CAS上vlan598和vlan599做映射,DHCP请求,DHCP relay,DHCP 响应并返回vlan599段地址,DHCP获得,DNS通过CAS向

22、PC分配通讯vlan599的IP地址,PatchServer,Anti-vServer,OOB 方案演示-2,CAM,CAS,LDAP/DHCP,Cisco 二层交换机,A大楼交换机,Vlan6CAM管理,Vlan598Untrust vlan,SVI Vlan599,A大楼网络,核心网络,Vlan598,Fa0/12,PatchServer,Anti-vServer,PC试图访问网络,CAS对其认证,当PC试图访问网络资源时,必须经过CAS,这时CAS对其进行认证和安全检查,当认证和安全检查没有通过时CAS提示PC只能访问相应的服务器资源,在打补丁或安装防病毒软件后可用重新发起认证,PC未通

23、过,CAS限制PC只能访问补丁服务器等有限资源,当PC通过了CAS的认证和安全检查后,CAM会调整接入交换机,使PC所接入的F0/12端口划分到正常用户的通讯vlan 599中,Vlan599认证通讯vlan,PC直接访问核心网络,进入新Vlan后PC重新通过DHCP获得新地址,并直接通过核心交换机访问核心网络,不再经过CAS,分入新Vlan重新获得地址,DHCP服务器再次收到请求,分发新vlan内的IP地址给PC,TrunkCAS 管理vlan60Vlan599 通讯vlan,二层IB 方案演示,某PC连接到接入交换机Fa0/13口,CAM,CAS,LDAP/DHCP,Cisco 二层交换机

24、,A大楼交换机,Vlan6CAM管理,Vlan698,SVI Vlan599,A大楼网络,核心网络,Vlan698,TrunkCAS 管理vlan60Vlan699 通讯vlan,Fa0/13,接入交换机Fa0/13口属于认证 vlan698,CAS上对认证vlan和通讯vlan699做了映射,CAS在vlan698模拟vlan699的网关,PC发起的所有流量都必须经过CAS完成对外访问,DHCP请求,DHCP relay,DHCP 响应并返回vlan599段地址,DHCP获得,通过将用户分到不同的role完成访问控制,PatchServer,Anti-vServer,演示,User logi

25、n through the browser web interface,NAC authentication interface,Health check,find no system patch,Patch interface,users need only click on the bottom left corner of the button,the system prompts the user to install,Pass the health check,login interface,案例分享2:某集团世界第四大白色家电制造商,面临的问题:每年大量的桌面终端维护工作大量员工安

26、装下载工具和代理工具集团推行的软件很少安装网络带宽占用严重病毒横行,网络扫描无处不在急需规范员工上网行为,&端点安全防护,思科的优势:适应多种网络环境,多种操作系统能够对各种类型的接入终端进行检测 提供灵活多样的认证方式,支持多种验证形式基于角色的用户验证,实现分级分权限管理对终端设备的全面的安全检测提供有效的隔离,并有多种手段帮助用户进行修复易于实施,易于维护,适合大规模应用,支持HA,实施效果:规范了用户上网的行为,推广了集团AD域和软件安装策略,使加入NAC的用户都符合集团统一规范。,案例分享2:某集团世界第四大白色家電製造商,三层IB 方案演示,客户PC保持原有vlan不变。,CAM,

27、CAS,LDAP/DHCP,Cisco 二层交换机,A大楼交换机,Vlan6CAM管理,SVI Vlan599,A大楼网络,核心网络,Vlan61,Vlan60,由CAS做身份验证后对客户PC分配到不同的Role,通过将用户分到不同的role完成访问控制,PatchServer,Anti-vServer,Int Vlan 699PBR,Vlan 699,在网关位置作PBR将用户数据导向到CAS的untrust端口,NAC部署示意图,运行管理区,核心交换机6509,应用服务区,Cisco 4506,Cisco 3750,测试开发区,Cisco 3750,Cisco 3750,Cisco 3560

28、,网通,电信,F5-3400,Fortigate 1000A,ASA 5550,IDS 4215,DMZ区,互联网接入区,合作伙伴专网,接入路由器,合作伙伴接入子区,广域网接入区,MPLS接入路由器7606,MPLS,各地分支机构,汇聚交换机6509,创牌大楼交换机6509,ASA 5550,2台 CAM,4台 CAS,NAC管理区,2台 CAS,案例分享3:某公司主营汽車、铸造,1250个用户,HA配置,实现了局域网用户及VPN用户的准入控制。成功实现项目目标:能判断接入网络的设备的操作系统授权版本;能判断接入网络的设备是否安装了要求的操作系统补丁;能判断接入网络的设备是否安装并运行了认可的

29、防病毒软件及其病毒库是否为最新;能够结合域帐号对接入网络的设备的身份进行验证;可针对上述14的判断结果对交换机的端口进行切换控制,并将端口划分至策略定义的VLAN中;系统应可同时控制局域网接入用户和VPN连接接入用户;,NAC项目网络拓扑VPN部分,NAC实施经验,NAC实施前准备NAC的需求要细化用户分类,制定访问控制策略调查终端用户技术水平掌握网络基础条件NAC实施注意事项先小规模搭建,逐步推广在实施过程中,需要修改状态检测内容时,预先给所有人下发通知和遇到问题的处理建议,网络流量、网络的详细拓扑结构、域和桌面标准化的进展情况,杀毒软件、补丁的处理、程序的监控及防间谍软件,Questions?,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号