ImageVerifierCode 换一换
格式:DOCX , 页数:9 ,大小:97.50KB ,
资源ID:8758506      下载积分:10 金币
快捷注册下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

开通VIP
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.zixin.com.cn/docdown/8758506.html】到电脑端继续下载(重复下载【60天内】不扣币)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

开通VIP折扣优惠下载文档

            查看会员权益                  [ 下载后找不到文档?]

填表反馈(24小时):  下载求助     关注领币    退款申请

开具发票请登录PC端进行申请

   平台协调中心        【在线客服】        免费申请共赢上传

权利声明

1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前可先查看【教您几个在下载文档中可以更好的避免被坑】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时联系平台进行协调解决,联系【微信客服】、【QQ客服】,若有其他问题请点击或扫码反馈【服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【版权申诉】”,意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:0574-28810668;投诉电话:18658249818。

注意事项

本文(Cisco ACS 网络安全设备管理.docx)为本站上传会员【pc****0】主动上传,咨信网仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知咨信网(发送邮件至1219186828@qq.com、拔打电话4009-655-100或【 微信客服】、【 QQ客服】),核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载【60天内】不扣币。 服务填表

Cisco ACS 网络安全设备管理.docx

1、 思科ACS网络设备安全管理方案 一、网络设备安全管理需求概述 就北京中行网络布局来看,网络的基础设施现包含几百个网络设备。在网络上支撑的业务日益关键,对网络安全和可靠性要求更为严格。 可以预测的是,大型网络管理需要多种网络管理工具协调工作,不同的网络管理协议、工具和技术将各尽其力,同时发挥着应有的作用。比如:对于Telnet网络管理手段。有些人可能会认为,今后这些传统的设备管理手段,会减少使用甚或完全消失。但实际上,Telnet命令行设备管理仍因其速度、强大功能、熟悉程度和方便性而广受欢迎。尽管其他网络设备管理方式中有先进之处,基于Telnet的管理在未来依然会是一种常用管理

2、方式。 随着BOC网络设备数量的增加,为维持网络运作所需的管理员数目也会随之增加。这些管理员隶属于不同级别的部门,系统管理员结构也比较复杂。网络管理部门现在开始了解,如果没有一个机制来建立整体网络管理系统,以控制哪些管理员能对哪些设备执行哪些命令,网络基础设施的安全性和可靠性问题是无法避免的。 二、设备安全管理解决之道 建立网络设备安全管理的首要出发点是定义和规划设备管理范围, 从这一点我门又可以发现,网络设备安全管理的重点是定义设备操作和管理权限。对于新增加的管理员,我们并不需要对个体用户进行权限分配,而是通过分配到相应的组中,继承用户组的权限定义。 通过上面的例子,我们可以发现网络

3、安全管理的核心问题就是定义以下三个概念:设备组、命令组和用户组。设备组规划了设备管理范围;命令组制定了操作权限;用户组定义了管理员集合。根据BOC的设备管理计划,将它们组合在一起,构成BOC所需要的设备安全管理结构。 安全设备管理包括身份验证Authentication、授权Authorization和记帐Accounting三个方面的内容。例如:管理员需要通过远程Login或是本地Login到目标设备,能否进入到设备上,首先要通过严格的身份认证;通过身份验证的管理员能否执行相应的命令,要通过检查该管理员的操作权限;管理员在设备上的操作过程,可以通过记帐方式记录在案。 AAA的应用

4、大大简化了大型网络复杂的安全管理问题,提高了设备集中控制强度。目前AAA在企业网络中越来越成为网络管理人员不可缺少的网络管理工具。 Cisco Secure ACS 3.1以后的版本提供的Shell壳式授权命令集提供的工具可使用思科设备支持的高效、熟悉的TCP/IP协议及实用程序,来构建可扩展的网络设备安全管理系统。 三、Cisco ACS帮助BOC实现设备安全管理 熟悉Cisco IOS的用户知道,在IOS软件中,定义了16个级别权限,即从0到15。在缺省配置下,初次连接到设备命令行后,用户的特权级别就设置为1。为改变缺省特权级别,您必须运行enable启用命令,提供用户的enab

5、le password和请求的新特权级别。如果口令正确,即可授予新特权级别。请注意可能会针对设备上每个权利级别而执行的命令被本地存储于那一设备配置中。超级管理员可以在事先每台设备上定义新的操作命令权限。例如:可修改这些级别并定义新级别,如图1所示。 图1 启用命令特权级别示例 当值班的管理员enable 10之后,该管理员仅仅拥有在级别10规定之下的授权命令集合,其可以执行clear line、debug PPP等命令。这种方式是“分散”特权级别授权控制。这种应用方式要求在所有设备都要执行类似同样的配置,这样同一个管理员才拥有同样的设备操作权限,这显然会增加超级管理员的工作负担。 为

6、解决这种设备安全管理的局限性,Cisco ACS提出了可扩展的管理方式---“集中”特权级别授权控制,Cisco ACS通过启用TACACS+,就可从中央位置提供特权级别授权控制。TACACS+服务器通常允许各不同的管理员有自己的启用口令并获得特定特权级别。 下面探讨如何利用Cisco ACS实现设备组、命令集、用户组的定义与关联。 3.1 设备组定义 根据北京行的网络结构,我们试定义以下设备组: (待定)交换机组---包含总行大楼的楼层交换机Cisco65/45; 试定义以下设备组: (待定)交换机组---Cisco Catalyst6500或Catalyst4xxx (待定)

7、网络设备组---Cisco2811 3.2 Shell授权命令集(Shell Authorization Command Sets)定义 壳式授权命令集可实现命令授权的共享,即不同用户或组共享相同的命令集。如图2所示,Cisco Secure ACS图形用户界面(GUI)可独立定义命令授权集。 图2 壳式命令授权集GUI 命令集会被赋予一个名称,此名称可用于用户或组设置的命令集。 基于职责的授权(Role-based Authorization) 命令集可被理解为职责定义。实际上它定义授予的命令并由此定义可能采取的任务类型。如果命令集围绕BOC内部不同的网络管理职责定义,

8、用户或组可共享它们。当与每个网络设备组授权相结合时,用户可为不同的设备组分配不同职责。 BOC网络设备安全管理的命令集,可以试定义如下: 超级用户命令组---具有IOS第15特权级别用户,他/她可以执行所有的配置configure、show和Troubleshooting命令; 故障诊断命令组---具有所有Ping、Trace命令、show命令和debug命令,以及简单的配置命令; 网络操作员命令组---具有简单的Troubleshooting命令和针对特别功能的客户定制命令; 3.3 用户组定义(草案) 用户组的定义要根据BOC网络管理人员的分工组织构成来确定,可以试定义如下:

9、 运行管理组---负责管理控制大楼网络楼层设备,同时监控BOC骨干网络设备。人员包括分行网络管理处的成员; 操作维护组---对于负责日常网络维护工作的网络操作员,他们属于该组。 3.4 设备安全管理实现 完成了设备组、命令组和用户组的定义之后,接下来的工作是在用户组的定义中,将设备组和命令组对应起来。 TACAS+要求AAA的Clients配置相应的AAA命令,这样凡是通过远程或本地接入到目标设备的用户都要通过严格的授权,然后TACAS+根据用户组定义的权限严格考察管理员所输入的命令。 四、TACAS+的审计跟踪功能 由于管理人员的不规范操作,可能会导致设备接口的down,或是

10、路由协议的reset,或许更严重的设备reload。所以设备操作审计功能是必须的。 我们可以在网络相对集中的地方设立一个中央审计点,即是可以有一个中央点来记录所有网络管理活动。这包括那些成功授权和那些未能成功授权的命令。可用以下三个报告来跟踪用户的整个管理进程。 · TACACS+记帐报告可记录管理进程的起始和结束。在AAA客户机上必须启动记帐功能; · TACACS+管理报告记录了设备上发出的所有成功授权命令;在AAA客户机上必须启动记帐功能; · 尝试失败报告记录了设备的所有失败登录尝试和设备的所有失败命令授权;在AAA客户机上必须启动记帐功能;。 图4 审计示例——登录

11、当管理员在某一设备上开始一个新管理进程时,它就被记录在TACACS+记帐报告中。当管理进程结束时,也创建一个数值。Acct-Flags字段可区分这两个事件。 图5 审计示例——计帐报告节选 [按文本给出] 当管理员获得对设备的接入,所有成功执行的命令都作为TACACS+记帐请求送至TACACS+服务器。TACACS+服务器随后会将这些记帐请求记录在TACACS+管理报告中。图6为管理进程示例。 图6 审计示例——记帐请求 图7 中显示的TACACS+管理报告节选以时间顺序列出了用户在特定设备上成功执行的所有命令。 图7 审计示例——管理报告节选 注:本报告仅包含成功授权

12、和执行的命令。它不包括含排字错误或未授权命令的命令行。 在图8显示的示例中,用户从执行某些授权命令开始,然后就试图执行用户未获得授权的命令(配置终端)。 图8 审计示例——未授权请求 图8 为TACACS+管理报告节选,具体说明了用户andy在网关机上执行的命令。 图9 审计示例——管理报告节选 当Andy试图改变网关机器的配置,TACACS+服务器不给予授权,且此试图记录在失败试图报告中(图10)。 图10 审计示例——失败试图报告节选 提示:如果失败试图报告中包括网络设备组和设备命令集栏,您可轻松确定用户andy为何被拒绝使用配置命令。 这三个报告结合起来提供了

13、已试图和已授权的所有管理活动的完整记录。 五、Cisco ACS在北京中行网络中的配置方案 在各个分行中心配置两台ACS服务器(数据库同步,保证配置冗余),由个分行控制和管内所辖的网络设备。 我们建议Cisco ACS安装在网络Firewall保护的区域。参见下图: 六、TACAS+与RADIUS协议比较 网络设备安全管理要求的管理协议首先必须是安全的。RADIUS验证管理员身份过程中使用的是明文格式,而TACAS使用的是密文格式,所以TACAS可以抵御Sniffer的窃听。 TACAS使用TCP传输协议,RADIUS使用UDP传输协议,当AAA的客户端和服务器端之间有l

14、ow speed的链接时,TCP机制可以保证数据的可靠传输,而UDP传输没有保证。 TACAS和RADIUS都是IETF的标准化协议,Cisco在TACAS基础上开发了TACAS增强型协议---TACAS+,所以Cisco ACS可以同时支持TACAS+和RADIUS认证协议。 RADIUS对授权Authorization和记帐Accounting功能有限,而Cisco的TACAS+的授权能力非常强,上面介绍的RBAC(基于职责的授权控制)是TACAS+所特有的。同时TACAS+的记帐内容可以通过管理员制定AV值,来客户花客户所需要的记帐报告。 在BOC这样复杂的网络环境,我们建议启

15、动Cisco ACS的TACAS+和RADIUS服务。对于Cisco的网络设备,我们强烈加以采用TACAS+ AAA协议;对于非Cisco网络设备,建议使用RADIUS协议。 七、Cisco ACS其它应用环境 除了设备安全管理使用AAA认证之外,我们还可以在RAS---远程访问接入服务、VPN接入安全认证控制、PIX防火墙In/Out控制、有线/无线LAN的802.1x安全接入认证、VOIP记帐服务等领域使用Cisco ACS。 Cisco ACS可以结合第三方数据库比如Sybase、Oracle和Microsoft NT Domain Database、Microsoft SQL。同时Cisco ACS支持与OTP---One-time-password集成,为用户提供更为安全的身份认证方式,该功能在数据中心有应用实例。

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2026 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服