文档介绍:-2005商业市场事业部思科系统中国公司网络安全实验室222©2003,CiscoSystems,、防范实验室主机入侵检测、防范实验室网络准入控制(NAC)IPv4IPv6用户认证授权服务器IPv4IPv6网络入侵检测(IDS)入侵保护路由器防火墙入侵保护路由器防火墙网络安全实验室网络准入实验主机入侵保护高级防火墙设计、部署实验室非法用户和非法电脑的入网控制�Cisco基于身份的网络服务(IBNS)CiscoSecureACSMicrosoftADAuthorizedUserAuthorizedVendorUnauthorizedUserAuthorizedAPWhoareyou?IamJoeCiscoOK用户面临的挑战:非法用户的电脑可以轻易接入网络,并获取重要数据Cisco的解决方案:,防止非法用户和非法电脑的接入局域网和无线网也可以将非法用户的电脑接入一个特定网段(GuestVLAN),限制访问的资源Cisco入侵监测和在线入侵保护(IDS/IPS)WritetheACLDetecttheattack在线监测入侵,并可将攻击实时阻断在汇聚交换机中动态下载访问控制列表ACL,.,触发路由器(网络准入设备)(EAPoUDP),(EAPoUDP)(访问控制服务器)(HCAP),(包括ACL和URL),“健康”用户–符合安全策略 用户端的操作系统信息和反病毒软件更新版本与安全策略一致,发出“欢迎”信息框,并准许访问。2.“危险”的“未知”型用户–完全不符合安全策略 无法探测到用户端的操作系统信息和反病毒软件信息,不能确定其是否符合安全策略,可能是“访客”或“危险”的“未知”用户,浏览页面将被转向特定的通知页面。3.“受感染”的用户–部分不符合安全策略 用户端的反病毒软件不符合安全策略,可能未升级到最新的版本,也可能未安装反病毒软件,因此拒绝它对网络的访问,并在其屏幕上弹出通知信息,通知其与网管中心联系。NAC实验内容CiscoIPSecVPN实验室ImprovedProductivityEasyVPN实验室动态多点VPN实验室DynamicMultipointIPSecVPNsEnhancedService业界标准IPSecVPN实验室IPSec承载路由实验室总部CiscoIOS路由器,CiscoIOS路由器或PIX防火墙EasyVPN实验室分支办公室HomeOffice