思科高级网络技术实验室解决方案网络安全.ppt

Jan 2003 2004,Cisco Systems,Inc.All rights reserved.思科高级网络技术实验室解决方案思科高级网络技术实验室解决方案TDM Version 1.0-2005商业市场事业部商业市场事业部思科系统中国公司思科系统中国公司 2002,Cisco Systems,Inc.All rights reserved.2 2 2网络安全实验室网络安全实验室2 2 2 2003,Cisco Systems,Inc.All rights reserved.Presentation_ID 2002,Cisco Systems,Inc.All rights reserved.3 3 3网络安全实验室结构和功能网络安全实验室结构和功能用户集中认证和访问控制实验用户集中认证和访问控制实验防火墙实验室防火墙实验室网络入侵检测、防范实验室网络入侵检测、防范实验室主机入侵检测、防范实验室主机入侵检测、防范实验室网络准入控制（网络准入控制（NAC）实验室）实验室VPN 实验室实验室广域网广域网或或InternetIPv4 IPv6用户认证用户认证授权服务器授权服务器IPv4 IPv6网络入侵网络入侵检测检测(IDS)入侵保护入侵保护路由器路由器防火墙防火墙入侵保护入侵保护路由器路由器防火墙防火墙网络安全实验室网络安全实验室网络准入网络准入实验实验主机主机入侵保护入侵保护 2002,Cisco Systems,Inc.All rights reserved.4 4 4高级防火墙设计、部署实验室高级防火墙设计、部署实验室 2002,Cisco Systems,Inc.All rights reserved.5 5 5非法用户和非法电脑的入网控制非法用户和非法电脑的入网控制Cisco 基于身份的网络服务（基于身份的网络服务（IBNS）CiscoSecure ACSMicrosoft ADAuthorized UserAuthorized VendorUnauthorized UserAuthorized APWho are you?I am Joe CiscoOK用户面临的挑战用户面临的挑战:非法用户的电脑可以轻非法用户的电脑可以轻易接入网络，并获取重易接入网络，并获取重要数据要数据Cisco Cisco 的解决方案的解决方案:通过部署基于用户身份通过部署基于用户身份的的802.1x 802.1x 认证，防止非法认证，防止非法用户和非法电脑的接入用户和非法电脑的接入局域网和无线网局域网和无线网也可以将非法用户的电也可以将非法用户的电脑接入一个特定网段脑接入一个特定网段(Guest VLAN)(Guest VLAN)，限制访问，限制访问的资源的资源 2002,Cisco Systems,Inc.All rights reserved.6 6 6Cisco 入侵监测和在线入侵保护（入侵监测和在线入侵保护（IDS/IPS）Write the ACLDetect the attack在线监测入侵，在线监测入侵，并可将攻击实时并可将攻击实时阻断阻断在汇聚交换机中动态下在汇聚交换机中动态下载访问控制列表载访问控制列表 ACL，实现动态的入侵防御实现动态的入侵防御黑客黑客1InternetCatalyst3750园区网络园区网络Deny汇聚交换机汇聚交换机Catalyst3750IDS/IPS 路由器路由器Cisco IDS内部黑客内部黑客网管服务器网管服务器 2002,Cisco Systems,Inc.All rights reserved.7 7 7CTARouterNetworkACSVendorServerIPEAPoUDPEAPoRADIUSHCAP123456781.用户端发起对Internet或受保护网段的访问，触发路由器（网络准入设备）上的初始访问控制列表2.路由器发起对用户端的状态验证（EAPoUDP），要求用户端的CTA进行相应3.CTA向路由器发送状态证书（EAPoUDP）4.路由器将证书发往ACS（访问控制服务器）5.ACS与后端认证服务器一起进行用户端的证书验证（HCAP）6.ACS确定用户端状态，决定其访问授权7.ACS向路由器发送授权策略（包括ACL和URL），并在用户端屏幕上显示通知信息8.路由器根据授权策略决定对用户端的访问控制NAC网络准入实验室网络准入实验室 2002,Cisco Systems,Inc.All rights reserved.8 8 81.“健康健康”用户用户 符合安全策略符合安全策略用户端的操作系统信息和反病毒软件更新版本与安全策略一致，发出“欢迎”信息框，并准许访问。2.“危险危险”的的“未知未知”型用户型用户 完全不符合安全策略完全不符合安全策略无法探测到用户端的操作系统信息和反病毒软件信息，不能确定其是否符合安全策略，可能是“访客访客”或“危险危险”的“未知未知”用户，浏览页面将被转向特定的通知页面。3.“受感染受感染”的用户的用户 部分不符合安全策略部分不符合安全策略用户端的反病毒软件不符合安全策略，可能未升级到最新的版本未升级到最新的版本，也可能未安未安装反病毒软件装反病毒软件，因此拒绝它对网络的访问，并在其屏幕上弹出通知信息，通知其与网管中心联系。NAC 实验内容实验内容 2002,Cisco Systems,Inc.All rights reserved.9 9 9Cisco IPSec VPN 实验室实验室Improved ProductivityEasy VPN实验室实验室动态多点动态多点VPN实验室实验室Dynamic Multipoint IPSec VPNsEnhanced Service业界标准业界标准 IPSec VPN实验室实验室IPSec承载路由实验承载路由实验室室 2002,Cisco Systems,Inc.All rights reserved.131313思科高级网络实验室思科高级网络实验室为实现网络学院提供为实现网络学院提供基础平台基础平台131313 2003,Cisco Systems,Inc.All rights reserved.Presentation_ID 2002,Cisco Systems,Inc.All rights reserved.141414思科网络技术学院项目思科网络技术学院项目 思思科科网网络络技技术术学学院院项项目目是是思思科科公公司司回回馈馈社社会会、完完全全非赢利非赢利的网络技术教育项目的网络技术教育项目为为学校学校而专门设立而专门设立包包括括了了CCNACCNA、CCNPCCNP、网网络络安安全全和和无无线线局局域域网网络络等等总总计计1515门门、10501050小时的电子教程小时的电子教程采用先进的采用先进的E-LearningE-Learning学习方式学习方式培培养养学学生生掌掌握握从从设设计计、建建立立到到运运行行计计算算机机网网络络全全面面的的知知识识体体系系和和实际动手操作能力实际动手操作能力 2002,Cisco Systems,Inc.All rights reserved.151515思科网络技术学院提供全面的思科网络技术学院提供全面的IT技术电子教程技术电子教程 2003,Cisco Systems,Inc.All rights reserved.151515CCNA,CCNP,网络安全基础网络安全基础,无线局域网络无线局域网络Unix基础基础,Web基础基础,Java编程编程语音和数据布线语音和数据布线,IT技术基础技术基础 2002,Cisco Systems,Inc.All rights reserved.161616E-learning 教学平台教学平台 (http:/)电子教程电子教程实验手册实验手册教学论坛教学论坛考试与评估考试与评估 2002,Cisco Systems,Inc.All rights reserved.171717思科网络技术学院教材和实验环境：思科网络技术学院教材和实验环境：CCNA广域网广域网或或InternetIPv4IPv6IPv4IPv6IPv4IPv6Cat3750Cat3750IPv4IPv6IPv4IPv6IPv4IPv6 2002,Cisco Systems,Inc.All rights reserved.181818思科网络技术学院教材和实验环境：网络安全基础思科网络技术学院教材和实验环境：网络安全基础广域网广域网或或InternetIPv4 IPv6用户认证用户认证授权服务器授权服务器IPv4 IPv6网络入侵网络入侵检测检测(IDS)入侵保护入侵保护路由器路由器防火墙防火墙入侵保护入侵保护路由器路由器防火墙防火墙网络安全实验室网络安全实验室网络准入网络准入实验实验主机主机入侵保护入侵保护 2002,Cisco Systems,Inc.All rights reserved.191919思科网络技术学院的教与学思科网络技术学院的教与学动手实践动手实践教师授课教师授课 实验室实验室 2002,Cisco Systems,Inc.All rights reserved.202020E-learning教学平台实现教学平台实现“循环式的上升的教学模式循环式的上升的教学模式”每个学生参加每一次的在线测试，每个学生参加每一次的在线测试，评估系统会自动产生一份评估系统会自动产生一份“Personalized Feedback”针对每个学生没有掌握的知识针对每个学生没有掌握的知识点的列表点的列表鼠标点击相应的知识点可以直鼠标点击相应的知识点可以直接回到相应章节的电子教材接回到相应章节的电子教材教师可以根据全班学生掌握知教师可以根据全班学生掌握知识点的情况，进行有针对性的调识点的情况，进行有针对性的调整。整。2002,Cisco Systems,Inc.All rights reserved.212121思科网络技术学院带来的好处思科网络技术学院带来的好处 对学生：对学生：获得权威国际认证获得权威国际认证提高就业竞争力提高就业竞争力锻炼实践技能，增强了自信心锻炼实践技能，增强了自信心获得了获得了进入进入ITIT领域领域的敲门砖的敲门砖对学校对学校/教师：教师：多媒体的教材和完善的课件多媒体的教材和完善的课件丰富有效的实验讲义丰富有效的实验讲义教材每三个月更新一次教材每三个月更新一次E-learningE-learning在线工具，可以掌握到每一个在线工具，可以掌握到每一个学生的情况而不需要过多的纸面工作学生的情况而不需要过多的纸面工作参与到跨全球范围的教育项目中，拓宽参与到跨全球范围的教育项目中，拓宽交流领域交流领域 2002,Cisco Systems,Inc.All rights reserved.222222思科网络技术学院现状思科网络技术学院现状10,02510,025所学校所学校162162个国家个国家,地区地区449,622449,622名在校学习的学生名在校学习的学生296,092296,092名毕业学生名毕业学生214214所学校所学校19,39919,399名在校学习学生名在校学习学生27,63727,637名毕业生名毕业生中国中国全球全球截至截至20052005年年2 2月月6 6日日 2002,Cisco Systems,Inc.All rights reserved.232323 2002,Cisco Systems,Inc.All rights reserved.242424如何申请加入？如何申请加入？凡购买思科网络实验室的学校凡购买思科网络实验室的学校将具备优先申请的资格将具备优先申请的资格。申请单位需要符合的条件：申请单位需要符合的条件：1、学校（高等院校、职业学院和高中）。、学校（高等院校、职业学院和高中）。2、承诺开课（培训、选修课或者必修课）。、承诺开课（培训、选修课或者必修课）。3、在确保教学质量的情况下，每年要保证一定数量的学生完成思科网络技术学院、在确保教学质量的情况下，每年要保证一定数量的学生完成思科网络技术学院课程的学习（具体数量视开课形式而定）。课程的学习（具体数量视开课形式而定）。4、指派至少两名教师参加教师培训，开展具体的教学工作。、指派至少两名教师参加教师培训，开展具体的教学工作。申请步骤申请步骤（申请周期不超过（申请周期不超过1个月）个月）：1、填写、填写申请表格申请表格。2、审核。、审核。3、批准和授权。、批准和授权。从获得授权，参加教师培训到开展教学的从获得授权，参加教师培训到开展教学的准备周期为准备周期为36月时间。月时间。2002,Cisco Systems,Inc.All rights reserved.252525思科网络技术学院预算考虑思科网络技术学院预算考虑1、电子教材、电子讲义、辅助教学软件、电子教材、电子讲义、辅助教学软件、e-learning学习平台（学习平台（免费免费）。）。2、师资培训：、师资培训：注：思科为每所新申请学院提供两名免费的注：思科为每所新申请学院提供两名免费的CCNA师资培训名额。师资培训名额。差旅费学校自理、其它课程培训价格请参照思科网络技术学院理事会网站。差旅费学校自理、其它课程培训价格请参照思科网络技术学院理事会网站。3、实验室建设预算。、实验室建设预算。4、思科网络技术学院理事会提供后续技术支持服务，会员费每年、思科网络技术学院理事会提供后续技术支持服务，会员费每年1500元人元人民币。（详情请参照理事会网站民币。（详情请参照理事会网站）培训费每人培训费每人天数天数CCNA3600元元22天天CCNP8000元元40天天网络安全基础网络安全基础2500元元12天天无线局域网络基础无线局域网络基础2500元元10天天 2002,Cisco Systems,Inc.All rights reserved.262626实验室机房布置案例实验室机房布置案例 2002,Cisco Systems,Inc.All rights reserved.272727实验室设备机架案例实验室设备机架案例 2002,Cisco Systems,Inc.All rights reserved.282828本科生课程本科生课程针对本科生开设必修课程计算机网络针对本科生开设必修课程计算机网络采用教材为思科网络技术学院教程（采用教材为思科网络技术学院教程（CCNACCNA）课程为课程为4 4学分，其中每周进行学分，其中每周进行3 3学时课堂讲授学时课堂讲授,2,2学时实验学时实验(实际超过实际超过2 2学学时时)，每学期为，每学期为1717周周研究生课程研究生课程针对一年级硕士研究生开设选修课程高级计算机网络针对一年级硕士研究生开设选修课程高级计算机网络主要的教学内容来自思科主要的教学内容来自思科CCNPCCNP教程教程包括多区域包括多区域OSPFOSPF、组播、组播、IPv6IPv6、多层交换、园区网等、多层交换、园区网等课程为课程为3 3学分，其中每周进行学分，其中每周进行2 2学时课堂讲授学时课堂讲授,2,2学时实验学时实验每学期为每学期为12-1312-13周周南京大学软件学院网站：南京大学软件学院网站：网络学院案例网络学院案例必修课模式：南京大学软件学院必修课模式：南京大学软件学院 2002,Cisco Systems,Inc.All rights reserved.292929网络学院开展案例网络学院开展案例职业技术学院职业技术学院温州大学温州大学 将思科网络技术学院课程全面纳入计算机网络工程专业，将思科网络技术学院课程全面纳入计算机网络工程专业，取得了良好的效果取得了良好的效果,获得教育部国家精品课程获得教育部国家精品课程 2002,Cisco Systems,Inc.All rights reserved.303030项目开展案例项目开展案例 培训模式培训模式 学校：清华大学、北京邮电大学学校：清华大学、北京邮电大学培训对象：学生及社会人员培训对象：学生及社会人员课程周期：课程周期：CCNA课程课程 46个月个月收费标准：收费标准：CCNA课程课程 15002000元元详细情况请参照网站：详细情况请参照网站：2002,Cisco Systems,Inc.All rights reserved.313131成功故事成功故事 叶婧叶婧电子科技大学学生。现在上海电子科技大学学生。现在上海证券交易所工作。曾代表中国证券交易所工作。曾代表中国思科网络技术学院的学生，参思科网络技术学院的学生，参加联合国妇女大会（加联合国妇女大会（20002000）杨月杨月 （右二）（右二）天津耀华中学学生，担任了天津华冠中学思科天津耀华中学学生，担任了天津华冠中学思科网络技术学院的教师助理，辅导了多名中学生获网络技术学院的教师助理，辅导了多名中学生获得得CCNACCNA认证。她自己也已经被美国麻省理工学认证。她自己也已经被美国麻省理工学院录取，全额奖学金。院录取，全额奖学金。2002,Cisco Systems,Inc.All rights reserved.323232思科高级网络技术实验室思科高级网络技术实验室设备清单设备清单323232 2003,Cisco Systems,Inc.All rights reserved.Presentation_ID 2002,Cisco Systems,Inc.All rights reserved.333333思科先进技术实验室总结思科先进技术实验室总结展示了思科先进的网络技术展示了思科先进的网络技术为用户提供教学和科研的高级技术平台为用户提供教学和科研的高级技术平台随时进行相关领域前沿技术的测试试验随时进行相关领域前沿技术的测试试验提高教师和学生的网络科研和应用整体水平提高教师和学生的网络科研和应用整体水平通过结合通过结合Cisco 网络学院计划，您可以提供网络学院计划，您可以提供全球领先的全球领先的IT培训课程，提高学校的知名度，培训课程，提高学校的知名度，提高学生的就业能力提高学生的就业能力Jan 2003 2004,Cisco Systems,Inc.All rights reserved.请您联系请您联系获得进一步信息获得进一步信息谢谢谢谢