思科高级网络技术实验室解决方案(网络安全).ppt

1、Slide Title,Body Text,Second Level,Third Level,Fourth Level,Fifth Level,2002,Cisco Systems,Inc.All rights reserved.,*,*,*,思科高级网络技术实验室解决方案,TDM Version 1.0-2005,商业市场事业部,思科系统中国公司,网络安全实验室,2,2,2,2003,Cisco Systems,Inc.All rights reserved.,Presentation_ID,网络安全实验室结构和功能,用户集中认证和访问控制实验,防火墙实验室,网络入侵检测、防范实验室,主机入

2、侵检测、防范实验室,网络准入控制（,NAC,）实验室,VPN,实验室,广域网,或,Internet,IPv4,IPv6,用户认证,授权服务器,IPv4,IPv6,网络入侵,检测,(IDS),入侵保护,路由器,防火墙,入侵保护,路由器,防火墙,网络安全实验室,网络准入,实验,主机,入侵保护,高级防火墙设计、部署实验室,非法用户和非法电脑的入网控制,Cisco,基于身份的网络服务（,IBNS,）,CiscoSecure ACS,Microsoft AD,Authorized User,Authorized Vendor,Unauthorized User,Authorized AP,Who are

3、 you?,I am Joe Cisco,OK,用户面临的挑战,:,非法用户的电脑可以轻易接入网络，并获取重要数据,Cisco,的解决方案,:,通过部署基于用户身份的,802.1x,认证，防止非法用户和非法电脑的接入局域网和无线网,也可以将非法用户的电脑接入一个特定网段,(Guest VLAN),，限制访问的资源,Cisco,入侵监测和在线入侵保护（,IDS/IPS,）,Write the ACL,Detect the attack,在线监测入侵，并可将攻击实时阻断,在汇聚交换机中动态下载访问控制列表,ACL,，实现动态的入侵防御,黑客,1,11.1.76.8,Internet,Catalys

4、t3750,园区网络,Deny,172.29.29.2,汇聚交换机,Catalyst,3750,IDS/IPS,路由器,Cisco IDS,内部黑客,7.7.7.101,网管服务器,11.1.72.101,CTA,Router,Network,ACS,Vendor,Server,IP,EAPoUDP,EAPoRADIUS,HCAP,1,2,3,4,5,6,7,8,1.,用户端发起对,Internet,或受保护网段的访问，触发路由器（网络准入设备）上的初始访问控制列表,2.,路由器发起对用户端的状态验证（,EAPoUDP,），要求用户端的,CTA,进行相应,3.CTA,向路由器发送状态证书（,E

5、APoUDP,）,4.,路由器将证书发往,ACS,（访问控制服务器）,5.ACS,与后端认证服务器一起进行用户端的证书验证（,HCAP,）,6.ACS,确定用户端状态，决定其访问授权,7.ACS,向路由器发送授权策略（包括,ACL,和,URL,），并在用户端屏幕上显示通知信息,8.,路由器根据授权策略决定对用户端的访问控制,NAC,网络准入实验室,“,健康”用户,符合安全策略,用户端的操作系统信息和反病毒软件更新版本与安全策略一致，发出“欢迎”信息框，并准许访问。,2.“,危险”的“未知”型用户,完全不符合安全策略,无法探测到用户端的操作系统信息和反病毒软件信息，不能确定其是否符合安全策略，可

6、能是“,访客,”或“,危险,”的“,未知,”用户，浏览页面将被转向特定的通知页面。,3.“,受感染”的用户,部分不符合安全策略,用户端的反病毒软件不符合安全策略，可能,未升级到最新的版本,，也可能,未安装反病毒软件,，因此拒绝它对网络的访问，并在其屏幕上弹出通知信息，通知其与网管中心联系。,NAC,实验内容,Cisco IPSec VPN,实验室,Improved Productivity,Easy VPN,实验室,动态多点,VPN,实验室,Dynamic Multipoint IPSec VPNs,Enhanced Service,业界标准,IPSec VPN,实验室,IPSec,承载路由实

7、验,室,总部,Cisco IOS,路由器,PIX,Cisco VPN,用户端软件,Internet,Cisco IOS,路由器或,PIX,防火墙,Easy VPN,实验室,分支办公室,Home Office,主接入点,Cisco IOS,路由器,Internet,Cisco IOS Router,IPSec,承载路由实验室,分支机构,备份接入点,动态多点,VPN,实验室,VPN Gateway,ISC,IE2100PKI,AAA,内部网络,Access to Corporate Resources,Internet,Linux,MAC,MS-Windows PC,WLAN,DataVPN Ga

8、teway 1,DataVPN Gateway 2,分支机构,网络管理,PC,Linux,etc.,WLAN,分支机构,思科高级网络实验室为实现网络学院提供基础平台,13,13,13,2003,Cisco Systems,Inc.All rights reserved.,Presentation_ID,思科网络技术学院项目,思科网络技术学院项目是思科公司,回馈社会、完全非赢利,的网络技术教育项目,为,学校,而专门设立,包括了,CCNA,、,CCNP,、网络安全和无线局域网络,等总计,15,门、,1050,小时的电子教程,采用先进的,E-Learning,学习方式,培养学生掌握从设计、建立到运行

9、计算机网络全面的知识体系和,实际动手操作能力,思科网络技术学院提供全面的,IT,技术电子教程,2003,Cisco Systems,Inc.All rights reserved.,15,15,15,CCNA,CCNP,网络安全基础,无线局域网络,Unix,基础,Web,基础,Java,编程,语音和数据布线,IT,技术基础,E-learning,教学平台,(),电子教程,实验手册,教学论坛,考试与评估,思科网络技术学院教材和实验环境：,CCNA,广域网,或,Internet,IPv4,IPv6,IPv4,IPv6,IPv4,IPv6,Cat3750,Cat3750,IPv4,IPv6,IPv4

10、IPv6,IPv4,IPv6,思科网络技术学院教材和实验环境：网络安全基础,广域网,或,Internet,IPv4,IPv6,用户认证,授权服务器,IPv4,IPv6,网络入侵,检测,(IDS),入侵保护,路由器,防火墙,入侵保护,路由器,防火墙,网络安全实验室,网络准入,实验,主机,入侵保护,思科网络技术学院的教与学,动手实践,教师授课,实验室,E-learning,教学平台实现“循环式的上升的教学模式”,每个学生参加每一次的在线测试，评估系统会自动产生一份“,Personalized Feedback”,针对每个学生没有掌握的知识点的列表,鼠标点击相应的知识点可以直接回到相应章节的电子教

11、材,教师可以根据全班学生掌握知识点的情况，进行有针对性的调整。,思科网络技术学院带来的好处,对学生：,获得权威国际认证,提高就业竞争力,锻炼实践技能，增强了自信心,获得了,进入,IT,领域,的敲门砖,对学校,/,教师：,多媒体的教材和完善的课件,丰富有效的实验讲义,教材每三个月更新一次,E-learning,在线工具，可以掌握到每一个学生的情况而不需要过多的纸面工作,参与到跨全球范围的教育项目中，拓宽交流领域,思科网络技术学院现状,10,025,所学校,162,个国家,地区,449,622,名在校学习的学生,296,092,名毕业学生,214,所学校,19,399,名在校学习学生,27,637

12、名毕业生,中国,全球,截至,2005,年,2,月,6,日,如何申请加入？,凡购买思科网络实验室的学校,将具备优先申请的资格,。,申请单位需要符合的条件：,1,、学校（高等院校、职业学院和高中）。,2,、承诺开课（培训、选修课或者必修课）。,3,、在确保教学质量的情况下，每年要保证一定数量的学生完成思科网络技术学院课程的学习（具体数量视开课形式而定）。,4,、指派至少两名教师参加教师培训，开展具体的教学工作。,申请步骤,（申请周期不超过,1,个月）,：,1,、填写,申请表格,。,2,、审核。,3,、批准和授权。,从获得授权，参加教师培训到开展教学的,准备周期为,3,6,月时间。,思科网络技术学

13、院预算考虑,1,、电子教材、电子讲义、辅助教学软件、,e-learning,学习平台（,免费,）。,2,、师资培训：,注：思科为每所新申请学院提供两名免费的,CCNA,师资培训名额。,差旅费学校自理、其它课程培训价格请参照思科网络技术学院理事会网站。,3,、实验室建设预算。,4,、思科网络技术学院理事会提供后续技术支持服务，会员费每年,1500,元人民币。（详情请参照理事会网站,）,培训费每人,天数,CCNA,3600,元,22,天,CCNP,8000,元,40,天,网络安全基础,2500,元,12,天,无线局域网络基础,2500,元,10,天,实验室机房布置案例,实验室设备机架案例,本科生课

14、程,针对本科生开设必修课程计算机网络,采用教材为思科网络技术学院教程（,CCNA,）,课程为,4,学分，其中每周进行,3,学时课堂讲授,2,学时实验,(,实际超过,2,学时,),，每学期为,17,周,研究生课程,针对一年级硕士研究生开设选修课程高级计算机网络,主要的教学内容来自思科,CCNP,教程,包括多区域,OSPF,、组播、,IPv6,、多层交换、园区网等,课程为,3,学分，其中每周进行,2,学时课堂讲授,2,学时实验,每学期为,12-13,周,南京大学软件学院网站：,网络学院案例,必修课模式：南京大学软件学院,网络学院开展案例,职业技术学院,温州大学,将思科网络技术学院课程全面纳入计算机网络工程专业，取得了良好的效果,获得教育部国家精品课程,设备清单,32,32,32,2003,Cisco Systems,Inc.All rights reserved.,Presentation_ID,思科先进技术实验室总结,展示了思科先进的网络技术,为用户提供教学和科研的高级技术平台,随时进行相关领域前沿技术的测试试验,提高教师和学生的网络科研和应用整体水平,通过结合,Cisco,网络学院计划，您可以提供全球领先的,IT,培训课程，提高学校的知名度，提高学生的就业能力,请您联系,获得进一步信息谢谢,