思科高級網(wǎng)絡(luò)技術(shù)實驗室解決方案網(wǎng)絡(luò)安全.ppt

思科高級網(wǎng)絡(luò)技術(shù)實驗室解決方案,TDM Version 1.0 -2005 商業(yè)市場事業(yè)部 思科系統(tǒng)中國公司,網(wǎng)絡(luò)安全實驗室,2,2,2, 2003, Cisco Systems, Inc. All rights reserved.,Presentation_ID,網(wǎng)絡(luò)安全實驗室結(jié)構(gòu)和功能,用戶集中認證和訪問控制實驗 防火墻實驗室 網(wǎng)絡(luò)入侵檢測、防范實驗室 主機入侵檢測、防范實驗室 網(wǎng)絡(luò)準(zhǔn)入控制（NAC）實驗室 VPN 實驗室,高級防火墻設(shè)計、部署實驗室,非法用戶和非法電腦的入網(wǎng)控制 Cisco 基于身份的網(wǎng)絡(luò)服務(wù)（IBNS）,CiscoSecure ACS,Microsoft AD,Authorized User,Authorized Vendor,Unauthorized User,Authorized AP,OK,用戶面臨的挑戰(zhàn): 非法用戶的電腦可以輕易接入網(wǎng)絡(luò)，并獲取重要數(shù)據(jù) Cisco 的解決方案: 通過部署基于用戶身份的802.1x 認證，防止非法用戶和非法電腦的接入局域網(wǎng)和無線網(wǎng) 也可以將非法用戶的電腦接入一個特定網(wǎng)段(Guest VLAN)，限制訪問的資源,Cisco 入侵監(jiān)測和在線入侵保護（IDS/IPS）,Write the ACL,Detect the attack,在線監(jiān)測入侵，并可將攻擊實時阻斷,在匯聚交換機中動態(tài)下載訪問控制列表 ACL，實現(xiàn)動態(tài)的入侵防御,黑客1 ,Internet,Catalyst3750,園區(qū)網(wǎng)絡(luò),Deny ,匯聚交換機 Catalyst 3750,IDS/IPS 路由器,Cisco IDS,內(nèi)部黑客 01,網(wǎng)管服務(wù)器 01,CTA,Router,Network,ACS,Vendor Server,IP,EAPoUDP,EAPoRADIUS,HCAP,1. 用戶端發(fā)起對Internet或受保護網(wǎng)段的訪問，觸發(fā)路由器（網(wǎng)絡(luò)準(zhǔn)入設(shè)備）上的初始訪問控制列表 2. 路由器發(fā)起對用戶端的狀態(tài)驗證（EAPoUDP），要求用戶端的CTA進行相應(yīng) 3. CTA向路由器發(fā)送狀態(tài)證書（EAPoUDP） 4. 路由器將證書發(fā)往ACS（訪問控制服務(wù)器） 5. ACS與后端認證服務(wù)器一起進行用戶端的證書驗證（HCAP） 6. ACS確定用戶端狀態(tài)，決定其訪問授權(quán) 7. ACS向路由器發(fā)送授權(quán)策略（包括ACL和URL），并在用戶端屏幕上顯示通知信息 8. 路由器根據(jù)授權(quán)策略決定對用戶端的訪問控制,NAC網(wǎng)絡(luò)準(zhǔn)入實驗室,“健康”用戶 符合安全策略 用戶端的操作系統(tǒng)信息和反病毒軟件更新版本與安全策略一致，發(fā)出“歡迎”信息框，并準(zhǔn)許訪問。 2. “危險”的“未知”型用戶 完全不符合安全策略 無法探測到用戶端的操作系統(tǒng)信息和反病毒軟件信息，不能確定其是否符合安全策略，可能是“訪客”或“危險”的“未知”用戶，瀏覽頁面將被轉(zhuǎn)向特定的通知頁面。 3. “受感染”的用戶 部分不符合安全策略 用戶端的反病毒軟件不符合安全策略，可能未升級到最新的版本，也可能未安裝反病毒軟件，因此拒絕它對網(wǎng)絡(luò)的訪問，并在其屏幕上彈出通知信息，通知其與網(wǎng)管中心聯(lián)系。,NAC 實驗內(nèi)容,Cisco IPSec VPN 實驗室,Improved Productivity,動態(tài)多點VPN實驗室 Dynamic Multipoint IPSec VPNs,Enhanced Service,業(yè)界標(biāo)準(zhǔn) IPSec VPN 實驗室,IPSec承載路由實驗室,總部,Cisco IOS 路由器, PIX,Cisco VPN 用戶端軟件,Internet,Cisco IOS 路由器或 PIX防火墻,Easy VPN實驗室,分支辦公室,Home Office,主接入點,Cisco IOS 路由器,Internet,Cisco IOS Router,IPSec承載路由實驗室,分支機構(gòu),備份接入點,動態(tài)多點VPN實驗室,思科高級網(wǎng)絡(luò)實驗室為實現(xiàn)網(wǎng)絡(luò)學(xué)院提供基礎(chǔ)平臺,13,13,13, 2003, Cisco Systems, Inc. All rights reserved.,Presentation_ID,思科網(wǎng)絡(luò)技術(shù)學(xué)院項目,思科網(wǎng)絡(luò)技術(shù)學(xué)院項目是思科公司回饋社會、完全非贏利的網(wǎng)絡(luò)技術(shù)教育項目 為學(xué)校而專門設(shè)立 包括了CCNA、CCNP、網(wǎng)絡(luò)安全和無線局域網(wǎng)絡(luò)等總計15門、1050小時的電子教程 采用先進的E-Learning學(xué)習(xí)方式 培養(yǎng)學(xué)生掌握從設(shè)計、建立到運行計算機網(wǎng)絡(luò)全面的知識體系和實際動手操作能力,思科網(wǎng)絡(luò)技術(shù)學(xué)院提供全面的IT技術(shù)電子教程, 2003, Cisco Systems, Inc. All rights reserved.,15,15,15,CCNA, CCNP, 網(wǎng)絡(luò)安全基礎(chǔ), 無線局域網(wǎng)絡(luò) Unix基礎(chǔ), Web基礎(chǔ), Java編程 語音和數(shù)據(jù)布線, IT技術(shù)基礎(chǔ),E-learning 教學(xué)平臺 (),思科網(wǎng)絡(luò)技術(shù)學(xué)院教材和實驗環(huán)境：CCNA,思科網(wǎng)絡(luò)技術(shù)學(xué)院教材和實驗環(huán)境：網(wǎng)絡(luò)安全基礎(chǔ),思科網(wǎng)絡(luò)技術(shù)學(xué)院的教與學(xué),動手實踐,教師授課,實驗室,E-learning教學(xué)平臺實現(xiàn)“循環(huán)式的上升的教學(xué)模式”,每個學(xué)生參加每一次的在線測試，評估系統(tǒng)會自動產(chǎn)生一份 “Personalized Feedback” 針對每個學(xué)生沒有掌握的知識點的列表 鼠標(biāo)點擊相應(yīng)的知識點可以直接回到相應(yīng)章節(jié)的電子教材 教師可以根據(jù)全班學(xué)生掌握知識點的情況，進行有針對性的調(diào)整。,思科網(wǎng)絡(luò)技術(shù)學(xué)院帶來的好處,對學(xué)生： 獲得權(quán)威國際認證 提高就業(yè)競爭力 鍛煉實踐技能，增強了自信心 獲得了進入IT領(lǐng)域的敲門磚 對學(xué)校/教師： 多媒體的教材和完善的課件 豐富有效的實驗講義 教材每三個月更新一次 E-learning在線工具，可以掌握到每一個學(xué)生的情況而不需要過多的紙面工作 參與到跨全球范圍的教育項目中，拓寬交流領(lǐng)域,思科網(wǎng)絡(luò)技術(shù)學(xué)院現(xiàn)狀,10,025所學(xué)校 162個國家,地區(qū) 449,622名在校學(xué)習(xí)的學(xué)生 296,092名畢業(yè)學(xué)生,214所學(xué)校 19,399名在校學(xué)習(xí)學(xué)生 27,637名畢業(yè)生,中國,全球,截至2005年2月6日,如何申請加入？,凡購買思科網(wǎng)絡(luò)實驗室的學(xué)校將具備優(yōu)先申請的資格。 申請單位需要符合的條件： 1、學(xué)校（高等院校、職業(yè)學(xué)院和高中）。 2、承諾開課（培訓(xùn)、選修課或者必修課）。 3、在確保教學(xué)質(zhì)量的情況下，每年要保證一定數(shù)量的學(xué)生完成思科網(wǎng)絡(luò)技術(shù)學(xué)院課程的學(xué)習(xí)（具體數(shù)量視開課形式而定）。 4、指派至少兩名教師參加教師培訓(xùn)，開展具體的教學(xué)工作。 申請步驟（申請周期不超過1個月）： 1、填寫申請表格。 2、審核。 3、批準(zhǔn)和授權(quán)。 從獲得授權(quán)，參加教師培訓(xùn)到開展教學(xué)的準(zhǔn)備周期為36月時間。,思科網(wǎng)絡(luò)技術(shù)學(xué)院預(yù)算考慮,1、電子教材、電子講義、輔助教學(xué)軟件、e-learning學(xué)習(xí)平臺（免費）。 2、師資培訓(xùn)： 注：思科為每所新申請學(xué)院提供兩名免費的CCNA師資培訓(xùn)名額。 差旅費學(xué)校自理、其它課程培訓(xùn)價格請參照思科網(wǎng)絡(luò)技術(shù)學(xué)院理事會網(wǎng)站。 3、實驗室建設(shè)預(yù)算。 4、思科網(wǎng)絡(luò)技術(shù)學(xué)院理事會提供后續(xù)技術(shù)支持服務(wù)，會員費每年1500元人民幣。（詳情請參照理事會網(wǎng)站 ）,實驗室機房布置案例,實驗室設(shè)備機架案例,本科生課程 針對本科生開設(shè)必修課程計算機網(wǎng)絡(luò) 采用教材為思科網(wǎng)絡(luò)技術(shù)學(xué)院教程（CCNA） 課程為4學(xué)分，其中每周進行3學(xué)時課堂講授, 2學(xué)時實驗(實際超過2學(xué)時)，每學(xué)期為17周 研究生課程 針對一年級碩士研究生開設(shè)選修課程高級計算機網(wǎng)絡(luò) 主要的教學(xué)內(nèi)容來自思科CCNP教程 包括多區(qū)域OSPF、組播、IPv6、多層交換、園區(qū)網(wǎng)等 課程為3學(xué)分，其中每周進行2學(xué)時課堂講授, 2學(xué)時實驗 每學(xué)期為12-13周 南京大學(xué)軟件學(xué)院網(wǎng)站：,網(wǎng)絡(luò)學(xué)院案例必修課模式：南京大學(xué)軟件學(xué)院,網(wǎng)絡(luò)學(xué)院開展案例職業(yè)技術(shù)學(xué)院,溫州大學(xué) 將思科網(wǎng)絡(luò)技術(shù)學(xué)院課程全面納入計算機網(wǎng)絡(luò)工程專業(yè)，取得了良好的效果, 獲得教育部國家精品課程 /,項目開展案例 培訓(xùn)模式,學(xué)校：清華大學(xué)、北京郵電大學(xué) 培訓(xùn)對象：學(xué)生及社會人員 課程周期：CCNA課程 46個月 收費標(biāo)準(zhǔn)：CCNA課程 15002000元 詳細情況請參照網(wǎng)站： ,成功故事,葉婧 電子科技大學(xué)學(xué)生。現(xiàn)在上海證券交易所工作。曾代表中國思科網(wǎng)絡(luò)技術(shù)學(xué)院的學(xué)生，參加聯(lián)合國婦女大會（2000）,楊月 （右二） 天津耀華中學(xué)學(xué)生，擔(dān)任了天津華冠中學(xué)思科網(wǎng)絡(luò)技術(shù)學(xué)院的教師助理，輔導(dǎo)了多名中學(xué)生獲得CCNA認證。她自己也已經(jīng)被美國麻省理工學(xué)院錄取，全額獎學(xué)金。,思科高級網(wǎng)絡(luò)技術(shù)實驗室 設(shè)備清單,32,32,32, 2003, Cisco Sys