1、ISCW 网络安全,Implementing Secure Converged Wide 实现安全的可汇聚网络,ISCW 网络安全,前 言几年前,网络的脆弱性还没有引起太多的关注。毕竟,当时人们还不清楚网络基础设施中的设备多久会遭受一次攻击,而且还认为攻击的目标通常是服务器和缺乏安全措施的工作站而不是路由器、交换机、防火墙或其他网络基础设施。现在情况已发生了变化。随着网络变得日益复杂,攻击者也是处心积虑并试图入侵它们。因此,现在的网络安全已不再只限于保护服务器和工作站了,而是需要从整体角度理解网络,同时还要考虑边缘和核心两方面的网络脆弱性。攻击者变得越来越老练,他们所使用的入侵网络的工具也越来
2、越高级。这些工具大多可以免费获得,并已被放到聊天室和一些网站上,这就使那些不具备多少网络知识的人可更容易地对单个网络或多个网络发动攻击。现在这些攻击一般来自一些不满现状的年轻人、愤怒的顾客、前公司职员或那些只想试试这些攻击是否奏效的人。所有这些情况交织在一起使安全和网络专职人员的工作变得更加困难。一方面,需要保护的设备数量增加了,另一方面,安全预算却维持在原来的水平甚至比原来缩减了。现在网络安全管理员还必须花时间判断攻击是出自那些知道自己正在干什么,并且想获取秘密情报的人的蓄意行为,还是出自某个想试试最新的拒绝服务(Denial of Service, DoS)攻击工具是否好用的小孩的杰作。,
3、第一课:安全产品介绍,层次化网络设计 Cisco认证培训体系,局域网与广域网常见设备与作用 安全产品介绍 IOS 安全介绍 VPN介绍,第一课:安全产品介绍,安全是什么?,简单的说在网络环境里的安全指的是一种能够识别和消除不安全因素的能力。安全的一般性定义也必须解决保护公司财产的需要,包括信息和物理设备(例如计算机本身)。安全的想法也涉及到适宜性和从属性概念。负责安全的任何一个人都必须决定谁在具体的设备上进行合适的操作,以及什么时候。当涉及到公司安全的时候什么是适宜的在公司与公司之间是不同的,但是任何一个具有网络的公司都必须具有一个解决适宜性、从属性和物理安全问题的安全政策。,第一课:安全产品
4、介绍,黑客活动,尽管在“黑客帝国”等影片中,黑客只有浪漫色彩,黑客活动被证明是代价高昂的。根据计算机安全机构和CERT(计算机紧急事件响应组)黑客活动日见增多,并且越来越具有破坏性。CERT曾提供下列数据以显示黑客活动的效果。,第一课:安全产品介绍,风 险,收集数据是一门并不完美的艺术,被不同的专家收集到的数据真正意味着什么总是引起争议的,http:这个站点在新兴的黑客中极受欢迎,它是许多提供方便可用的资源给新兴的Internet用户的站点之一。,第一课:安全产品介绍,百分之百的安全?,连通性就意味村危险,如果你允许合法的用户访问你的计算机或网络就存在着被误用的危险,一种流行的说法是只有与网络
5、无连接并且被关闭的锁在一个安全的地方(钥匙被扔掉)的计算机,才是真正唯一安全的计算机,尽管这种方法使得计算机很安全,但也使得计算机毫无用处。,第一课:安全产品介绍,安全即寻求平衡,一个关键的安全原则是使用有效的但是并不会给那些想要真正想要获取信息的合法用户增加负担的方案,寻找出一条实际应用此原则的途径经常是一个困难的寻求平衡举动。使用过于繁杂的安全技术使得合法用户厌烦和规避你的安全协议是非常容易的。黑客时刻准备着和用这样一些看上去无害的行动,因此拥有一个过分繁杂的安全政策将导致比没有安全政策还要低效的安全。你总是需要考虑一下你的安全政策给合法用户带来的影响在很多情况下如果你的用户所感受到的不方
6、便大于所产生的安全上的提高,则你的政策是实际降低了你公司的安全有效性。,第一课:安全产品介绍,建立有效的安全矩阵,尽管一个安全系统的成分和构造在公司之间是不同的,但某些特征是一致的,一个可行的安全矩阵是高度安全的和容易使用的,它实际上也需要一个合情合理的开销。,一个安全矩阵由单个操作系统安全特征、日志服务和其他的装备包括防火墙,入侵检测系统,审查方案构成。,第一课:安全产品介绍,保 护 资 源,你现在已经学会了一个安全系统的一般性原则,接下来应该讨论什么资源需要被保护为你的网络构建安全构架的时候,把你的资产划分为4个资源组是很有帮助的,第一课:安全产品介绍,终端用户资源,确保你已经使得你公司的
7、职员保护他们的工作站,对于你的资源来说并不是所有的损害都来自于带有恶意的用户的操作或黑客攻入你的系统。,第一课:安全产品介绍,网络资源,网络对于一个公司来说是一个主要的通讯媒介,如果一个黑客获得访问权限或者控制了公司的网络,他将能访问几乎所以的公司数据。,第一课:安全产品介绍,服务器资源,Internet上的E-mail和FTP服务器都易受到几种类型攻击,一般的,服务器给网络架构提供存储区域,并且成为枢纽。它们也控制全部的系统安全。黑客试图获得服务器资源的访问权限,这样他们就能够访问和控制其它资源。,第一课:安全产品介绍,信息存储资源,任何公司最重要的功能是它如何组织和传播信息。一个黑客最终的
8、目标是发现信息并且篡改帮助建立和传输信息的网络和方法黑客。由于多种原闪,黑客想要获得信息,有些是怀有恶意,还行一些是为了进行工业间谍刺探,表l-2列举出了一个网络潜在的易受攻击的部分。,第一课:安全产品介绍,黑客的分类,流行文化经常把黑客描写成为才华横溢、蔑视权威、未完全成熟的男性。尽管这种描述有时的正确的,但是根据他们的态度和动机来给黑客分类可能是更加实用的。,第一课:安全产品介绍,偶然的破坏者,偶然的破坏者有时是一个信息寻求者,但更多的时候是一个另人恐怖的“猎手“。这种偶然的破坏者拥有超人的智慧,换句话说,偶然的破坏者可以轻松的闯入你的系统但并不一定有任何目的,大多数的黑客都属于这类范畴。
9、,第一课:安全产品介绍,坚定的破坏者,坚定的破坏者不管后果和困难要获得你系统的访问权,这种类别的黑客正通过互联网或者一个员工来达到目的。黑客能够获得被专门设计为能够进入你的网络的方法和工具,尽管你拥有有效的设备和清晰的安全政策,这种类型的黑客使用任何方法和决心和意志将最终导致成功。,第一课:安全产品介绍,间谍,有着非常明确的目标,想要获得信息或者摧毁服务,他们有着很好的资金来源,对于资源几乎不加限制的访问权限,间谍的动机是获取财富和意识形态的信仰。,第一课:安全产品介绍,安全标准,在完成关于一些引起安全基础的讨论之后,我们必须注意几种已存在的安全标准。国际标准化组织(ISO)7498-2安全体
10、系结构文献定义了安全就是最小化资产和资源的漏洞。,第一课:安全产品介绍,安全服务,ISO 7498-2文献此外还定义了几种安全服务。表1-3作了一些总结。这些服务将在后面的章节中详细介绍。,第一课:安全产品介绍,安全机制,根据ISO提出的,安全机制是一种技术,一些软件或实施一个或更多安全服务的过程。ISO把机制分成特殊的和普遍的。,第一课:安全产品介绍,额外的安全标准,除了ISO 7498-2还存在一些其它政府和工业标准。,IPsec VPNs,IPsec Virtual Private Network 加密的虚拟专用网络,第一课:安全产品介绍,从单一到融合路由技术产业发展之路,24,24,2
11、4, 2003, Cisco Systems, Inc. All rights reserved.,2005,思科路由器,线速并发多业务的 集成通信时代,集成多业务路由器,1980s,路由启蒙的 简单数据传输时代,路由技术完善成型的 集成数据传输时代,以数据为主的多应用初步集成时代,在同一个平台上支持数据/语音/安全/视频: 配置举例,双快速以太网端口,小型闪存, USB 支持(前端),控制台端口/AUX端口(前端),集成的语音留言 AIMCisco Unity Express,广域网接口插槽,用于T1/E1/ BRI/PRI, 调制解调器等,用于帧中继,ATM, PPP等,完全集成的2800
12、路由器,配备Cisco IOS软件和Cisco CallManager Express呼叫处理功能,数字与模拟中继,如 T1/E1, PRI, FXO, FXS,集成式电源 面向电话和PC的10/100交换机,集成的CSU/ DSU, NT1, EC,高密度语音 NM或 可选内容引擎, NAM,集成式安全/VPN,语音 DSP (内部),AC/DC 冗余电源 (前端),IPSec VPN 9大优势,IPSec VPN 技术在IP 传输上通过加密隧道,在用公网传送内部专网的内容的同时,保证内部数据的安全性,从而实现企业总部与各分支机构之间的数据、话音、视频业务互通。如今,许多世界500 强的企业
13、已经把VPN 作为远端分支和移动用户连接的主要手段,构建企业虚拟业务网,而国内大量企业也已开始考虑现在这种方式,并逐渐开始实施。,IPSec VPN 9大优势,优势一 经济 优势二 灵活 优势三 广泛 优势四 多业务 优势五 安全 优势六 冗余设计 优势七 通道分离 优势八 动、静态路由 优势九 管理特性,优势一 经济,不再承担昂贵的固定线路的租费。DDN、帧中继、SDH的异地收费随着通讯距离的增加而递增,分支越远,租费越高。而Internet的接入费用则只承担本地的接入费用,无论分支多远,费用却是一样的。因此,连接长途分支时,采用Internet作为传输骨干是非常便宜的,但带宽却可以较高。此
14、外,VPN 设备功能强劲但造价低廉。,优势二 灵活,连接Internet 的方式可以是10M 、100M 端口,也可以是2M 或更低速的端口,还可以是便宜的DSL 连接,甚至于拨号连接都可以连接Internet ,因而成为选择种类众多的端口连接方式。一个IPSec VPN 网络可以连接任意地点的分支,即使跨越大洋也毫不受限制。,优势三 广泛,IPSec VPN 可以以低廉的价格连接少量的分支,也适合连接众多的分支。IPSec VPN 的核心设备的扩展性好,一个端口可以同时连接成千上万的分支,包括分支部门和移动办公的用户,而不需要SDH、DDN 等一个端口对应一个远端用户。,优势四 多业务,远程
15、的IP话音业务和视频也可传送到远端分支和移动用户,连通数据业务一起,为现代化办公提供便利条件,节省大量长途话费。,优势五 安全,IPSec VPN 的显著特点就是它的安全性,这是它保证内部数据安全的根本。在VPN 交换机上,通过支持所有领先的通道协议、数据加密、过滤/防火墙、通过RADIUS、LDAP和 SecurID实现授权等多种方式保证安全。同时,VPN 设备提供内置防火墙功能,可以在VPN通道之外,从公网到私网接口传输流量。此外,该技术还可通过RADIUS、 PAP、CHAP、Tokens、X.509、 LDAP 和 SecurID、证书等认证方式。,优势六 冗余设计,VPN 设备可提供
16、冗余机制,保证链路和设备的可靠性。在中心节点VPN 核心设备提供冗余CPU 、冗余电源的硬件冗余设计。而在链路发生故障时,VPN 交换机支持静态隧道故障恢复功能,其安全IP 服务网关可以在多条路由选择路径以及多个交换机之间实现负载均衡。此外在连接时,VPN 客户端会自动选择通讯列表中设置的本区域的骨干节点,当本区域节点故障时,自动依列表上的设置选择连接其他VPN 交换机,从而达到连接的目的。,优势七 通道分离,VPN交换机的分离通道特性为 IPSec 客户端提供同时对Internet、 Extranet和本地网络访问的支持。该技术可以设置权限,允许用户的访问权限,如允许本地打印和文件共享访问,
17、允许直接Internet 访问和允许安全外网访问,该特性使用户在安全条件下合理方便地使用网络资源,既有安全性又有灵活性。,优势八 动、静态路由,众多的用户和复杂的路由需要路由协议的支持使得整个网络的地址管理方便有效,RIP和OSPF协议使得VPN设备之间象路由器一样连接和扩展,适合网络规模的不断扩大。并且动态路由协议可在加密隧道中支持。,优势九 管理特性,管理人员可以通过管理软件或直接登陆设备,远程配置达到对远端节点的管理。,第一课:安全产品介绍,本章小结: 通过本课的学习,相信你已经对于安全的概念有了清晰的认识,并了解关于需要保护资源的分类,并详细介绍建立一个有效的安全矩阵所应具备的属性:对于安全标准的理解有助于我们日后制定完整的符合国际化标准的策略。 问题讨论: 制定有效的安全矩阵应具备什么属性? 资源分类的重要性及其优点? 几种常见的安全标准的定义?,
