思科高級(jí)網(wǎng)絡(luò)技術(shù)實(shí)驗(yàn)室網(wǎng)絡(luò)安全解決方案

Jan 2003 2004, Cisco Systems, Inc. All rights reserved. 思科高級(jí)網(wǎng)絡(luò)技術(shù)實(shí)驗(yàn)室解決方案 TDM Version 1.0 -2005 商業(yè)市場(chǎng)事業(yè)部 思科系統(tǒng)中國(guó)公司 2002, Cisco Systems, Inc. All rights reserved. 2 網(wǎng)絡(luò)安全實(shí)驗(yàn)室 2003, Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 2002, Cisco Systems, Inc. All rights reserved. 3 網(wǎng)絡(luò)安全實(shí)驗(yàn)室結(jié)構(gòu)和功能 用戶集中認(rèn)證和訪問(wèn)控制實(shí)驗(yàn) 防火墻實(shí)驗(yàn)室 網(wǎng)絡(luò)入侵檢測(cè)、防范實(shí)驗(yàn)室 主機(jī)入侵檢測(cè)、防范實(shí)驗(yàn)室 網(wǎng)絡(luò)準(zhǔn)入控制（ NAC）實(shí)驗(yàn)室 VPN 實(shí)驗(yàn)室 廣域網(wǎng) 或Internet IPv4 IPv6 用戶認(rèn)證 授權(quán)服務(wù)器 IPv4 IPv6 網(wǎng)絡(luò)入侵 檢測(cè) (IDS) 入侵保護(hù) 路由器 防火墻 入侵保護(hù) 路由器 防火墻 網(wǎng)絡(luò)安全實(shí)驗(yàn)室 網(wǎng)絡(luò)準(zhǔn)入 實(shí)驗(yàn) 主機(jī) 入侵保護(hù) 2002, Cisco Systems, Inc. All rights reserved. 4 高級(jí)防火墻設(shè)計(jì)、部署實(shí)驗(yàn)室 2002, Cisco Systems, Inc. All rights reserved. 5 非法用戶和非法電腦的入網(wǎng)控制 Cisco 基于身份的網(wǎng)絡(luò)服務(wù)（ IBNS） CiscoSecure ACS Microsoft AD Authorized User Authorized Vendor Unauthorized User Authorized AP Who are you? I am Joe Cisco OK 用戶面臨的挑戰(zhàn) : 非法用戶的電腦可以輕易接入網(wǎng)絡(luò)，并獲取重要數(shù)據(jù) Cisco 的解決方案 : 通過(guò)部署基于用戶身份的 802.1x 認(rèn)證，防止非法用戶和非法電腦的接入局域網(wǎng)和無(wú)線網(wǎng) 也可以將非法用戶的電腦接入一個(gè)特定網(wǎng)段(Guest VLAN)，限制訪問(wèn)的資源 2002, Cisco Systems, Inc. All rights reserved. 6 Cisco 入侵監(jiān)測(cè)和在線入侵保護(hù)（ IDS/IPS） Write the ACL Detect the attack 在線監(jiān)測(cè)入侵，并可將攻擊實(shí)時(shí)阻斷 在匯聚交換機(jī)中動(dòng)態(tài)下載訪問(wèn)控制列表 ACL，實(shí)現(xiàn)動(dòng)態(tài)的入侵防御 黑客 1 Internet Si Catalyst3750 園區(qū)網(wǎng)絡(luò) Deny 匯聚交換機(jī) Catalyst 3750 IDS/IPS 路由器 Cisco IDS 內(nèi)部黑客 01 網(wǎng)管服務(wù)器 01 2002, Cisco Systems, Inc. All rights reserved. 7 CTA Router Network ACS Vendor Server IP EAPoUDP HCAP 1 2 3 4 5 6 7 8 1. 用戶端發(fā)起對(duì) Internet或受保護(hù)網(wǎng)段的訪問(wèn)，觸發(fā)路由器（網(wǎng)絡(luò)準(zhǔn)入設(shè)備）上的初始訪問(wèn)控制列表 2. 路由器發(fā)起對(duì)用戶端的狀態(tài)驗(yàn)證（ EAPoUDP），要求用戶端的 CTA進(jìn)行相應(yīng) 3. CTA向路由器發(fā)送狀態(tài)證書（ EAPoUDP） 4. 路由器將證書發(fā)往 ACS（訪問(wèn)控制服務(wù)器） 5. ACS與后端認(rèn)證服務(wù)器一起進(jìn)行用戶端的證書驗(yàn)證（ HCAP） 6. ACS確定用戶端狀態(tài)，決定其訪問(wèn)授權(quán) 7. ACS向路由器發(fā)送授權(quán)策略（包括 ACL和 URL），并在用戶端屏幕上顯示通知信息 8. 路由器根據(jù)授權(quán)策略決定對(duì)用戶端的訪問(wèn)控制 NAC網(wǎng)絡(luò)準(zhǔn)入實(shí)驗(yàn)室 2002, Cisco Systems, Inc. All rights reserved. 8 1. 健康”用戶 符合安全策略 用戶端的操作系統(tǒng)信息和反病毒軟件更新版本與安全策略一致，發(fā)出“歡迎”信息框，并準(zhǔn)許訪問(wèn)。 2. 危險(xiǎn)”的“未知”型用戶 完全不符合安全策略 無(wú)法探測(cè)到用戶端的操作系統(tǒng)信息和反病毒軟件信息，不能確定其是否符合安全策略，可能是“ 訪客 ”或“ 危險(xiǎn) ”的“ 未知 ”用戶，瀏覽頁(yè)面將被轉(zhuǎn)向特定的通知頁(yè)面。 3. 受感染”的用戶 部分不符合安全策略 用戶端的反病毒軟件不符合安全策略，可能 未升級(jí)到最新的版本 ，也可能 未安裝反病毒軟件 ，因此拒絕它對(duì)網(wǎng)絡(luò)的訪問(wèn)，并在其屏幕上彈出通知信息，通知其與網(wǎng)管中心聯(lián)系。 NAC 實(shí)驗(yàn)內(nèi)容 2002, Cisco Systems, Inc. All rights reserved. 9 Cisco IPSec VPN 實(shí)驗(yàn)室 Improved Productivity Easy VPN實(shí)驗(yàn)室 動(dòng)態(tài)多點(diǎn) VPN實(shí)驗(yàn)室 Dynamic Multipoint IPSec VPNs Enhanced Service 業(yè)界標(biāo)準(zhǔn) IPSec VPN 實(shí)驗(yàn)室 IPSec承載路由實(shí)驗(yàn) 室 2002, Cisco Systems, Inc. All rights reserved. 13 思科高級(jí)網(wǎng)絡(luò)實(shí)驗(yàn)室為實(shí)現(xiàn)網(wǎng)絡(luò)學(xué)院提供基礎(chǔ)平臺(tái) 2003, Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 2002, Cisco Systems, Inc. All rights reserved. 14 思科網(wǎng)絡(luò)技術(shù)學(xué)院項(xiàng)目 思科網(wǎng)絡(luò)技術(shù)學(xué)院項(xiàng)目是思科公司 回饋社會(huì) 、 完全非贏利 的網(wǎng)絡(luò)技術(shù)教育項(xiàng)目 為 學(xué)校 而專門設(shè)立 包括了 CCNA、 CCNP、 網(wǎng)絡(luò)安全和無(wú)線局域網(wǎng)絡(luò) 等總計(jì) 15門 、1050小時(shí)的電子教程 采用先進(jìn)的 E-Learning學(xué)習(xí)方式 培養(yǎng)學(xué)生掌握從設(shè)計(jì) 、 建立到運(yùn)行計(jì)算機(jī)網(wǎng)絡(luò)全面的知識(shí)體系和實(shí)際動(dòng)手操作能力 2002, Cisco Systems, Inc. All rights reserved. 15 思科網(wǎng)絡(luò)技術(shù)學(xué)院提供全面的 IT技術(shù)電子教程 2003, Cisco Sy stems, Inc. All rights reserv ed. CCNA, CCNP, 網(wǎng)絡(luò)安全基礎(chǔ) , 無(wú)線局域網(wǎng)絡(luò) Unix基礎(chǔ) , Web基礎(chǔ) , Java編程 語(yǔ)音和數(shù)據(jù)布線 , IT技術(shù)基礎(chǔ) 2002, Cisco Systems, Inc. All rights reserved. 16 E-learning 教學(xué)平臺(tái) () 電子教程 實(shí)驗(yàn)手冊(cè) 教學(xué)論壇 考試與評(píng)估 2002, Cisco Systems, Inc. All rights reserved. 17 思科網(wǎng)絡(luò)技術(shù)學(xué)院教材和實(shí)驗(yàn)環(huán)境： CCNA 廣域網(wǎng) 或Internet IPv4 IPv6 IPv4 IPv6 IPv4 IPv6 Cat3750 Cat3750 SiIPv4 IPv6 SiIPv4 IPv6 IPv4 IPv6 2002, Cisco Systems, Inc. All rights reserved. 18 思科網(wǎng)絡(luò)技術(shù)學(xué)院教材和實(shí)驗(yàn)環(huán)境：網(wǎng)絡(luò)安全基礎(chǔ) 廣域網(wǎng) 或Internet IPv4 IPv6 用戶認(rèn)證 授權(quán)服務(wù)器 IPv4 IPv6 網(wǎng)絡(luò)入侵 檢測(cè) (IDS) 入侵保護(hù) 路由器 防火墻 入侵保護(hù) 路由器 防火墻 網(wǎng)絡(luò)安全實(shí)驗(yàn)室 網(wǎng)絡(luò)準(zhǔn)入 實(shí)驗(yàn) 主機(jī) 入侵保護(hù) 2002, Cisco Systems, Inc. All rights reserved. 19 思科網(wǎng)絡(luò)技術(shù)學(xué)院的教與學(xué) 動(dòng)手實(shí)踐 教師授課 實(shí)驗(yàn)室 2002, Cisco Systems, Inc. All rights reserved. 20 E-learning教學(xué)平臺(tái)實(shí)現(xiàn)“循環(huán)式的上升教學(xué)?！?每個(gè)學(xué)生參加每一次的在線測(cè)試，評(píng)估系統(tǒng)會(huì)自動(dòng)產(chǎn)生一份 “ Personalized Feedback 針對(duì)每個(gè)學(xué)生沒(méi)有掌握的知識(shí)點(diǎn)的列表 鼠標(biāo)點(diǎn)擊相應(yīng)的知識(shí)點(diǎn)可以直接回到相應(yīng)章節(jié)的電子教材 教師可以根據(jù)全班學(xué)生掌握知識(shí)點(diǎn)的情況，進(jìn)行有針對(duì)性的調(diào)整。 2002, Cisco Systems, Inc. All rights reserved. 21 思科網(wǎng)絡(luò)技術(shù)學(xué)院帶來(lái)的好處 對(duì)學(xué)生： 獲得權(quán)威國(guó)際認(rèn)證 提高就業(yè)競(jìng)爭(zhēng)力 鍛煉實(shí)踐技能，增強(qiáng)了自信心 獲得了 進(jìn)入 IT領(lǐng)域 的敲門磚 對(duì)學(xué)校 /教師： 多媒體的教材和完善的課件 豐富有效的實(shí)驗(yàn)講義 教材每三個(gè)月更新一次 E-learning在線工具，可以掌握到每一個(gè)學(xué)生的情況而不需要過(guò)多的紙面工作 參與到跨全球范圍的教育項(xiàng)目中，拓寬交流領(lǐng)域 2002, Cisco Systems, Inc. All rights reserved. 22 思科網(wǎng)絡(luò)技術(shù)學(xué)院現(xiàn)狀 10,025所學(xué)校 162個(gè)國(guó)家 ,地區(qū) 449,622名在校學(xué)習(xí)的學(xué)生 296,092名畢業(yè)學(xué)生 214所學(xué)校 19,399名在校學(xué)習(xí)學(xué)生 27,637名畢業(yè)生 中國(guó) 全球 截至 2005年 2月 6日 2002, Cisco Systems, Inc. All rights reserved. 23 2002, Cisco Systems, Inc. All rights reserved. 24 如何申請(qǐng)加入？ 凡購(gòu)買思科網(wǎng)絡(luò)實(shí)驗(yàn)室的學(xué)校 將具備優(yōu)先申請(qǐng)的資格 。 申請(qǐng)單位需要符合的條件： 1、學(xué)校（高等院校、職業(yè)學(xué)院和高中）。 2、承諾開(kāi)課（培訓(xùn)、選修課或者必修課）。 3、在確保教學(xué)質(zhì)量的情況下，每年要保證一定數(shù)量的學(xué)生完成思科網(wǎng)絡(luò)技術(shù)學(xué)院課程的學(xué)習(xí)（具體數(shù)量視開(kāi)課形式而定）。 4、指派至少兩名教師參加教師培訓(xùn)，開(kāi)展具體的教學(xué)工作。 申請(qǐng)步驟 （申請(qǐng)周期不超過(guò) 1個(gè)月） ： 1、填寫 申請(qǐng)表格 。 2、審核。 3、批準(zhǔn)和授權(quán)。 從獲得授權(quán)，參加教師培訓(xùn)到開(kāi)展教學(xué)的 準(zhǔn)備周期為 3 6月時(shí)間。 2002, Cisco Systems, Inc. All rights reserved. 25 思科網(wǎng)絡(luò)技術(shù)學(xué)院預(yù)算考慮 1、電子教材、電子講義、輔助教學(xué)軟件、 e-learning學(xué)習(xí)平臺(tái)（ 免費(fèi) ）。 2、師資培訓(xùn)： 注：思科為每所新申請(qǐng)學(xué)院提供兩名免費(fèi)的 CCNA師資培訓(xùn)名額。 差旅費(fèi)學(xué)校自理、其它課程培訓(xùn)價(jià)格請(qǐng)參照思科網(wǎng)絡(luò)技術(shù)學(xué)院理事會(huì)網(wǎng)站。 3、實(shí)驗(yàn)室建設(shè)預(yù)算。 4、思科網(wǎng)絡(luò)技術(shù)學(xué)院理事會(huì)提供后續(xù)技術(shù)支持服務(wù)，會(huì)員費(fèi)每年 1500元人民幣。（詳情請(qǐng)參照理事會(huì)網(wǎng)站 ） 培訓(xùn)費(fèi)每人 天數(shù) CCNA 3600元 22天 CCNP 8000元 40天 網(wǎng)絡(luò)安全基礎(chǔ) 2500元 12天 無(wú)線局域網(wǎng)絡(luò)基礎(chǔ) 2500元 10天 2002, Cisco Systems, Inc. All rights reserved. 26 實(shí)驗(yàn)室機(jī)房布置案例 2002, Cisco Systems, Inc. All rights reserved. 27 實(shí)驗(yàn)室設(shè)備機(jī)架案例 2002, Cisco Systems, Inc. All rights reserved. 28 本科生課程 針對(duì)本科生開(kāi)設(shè)必修課程計(jì)算機(jī)網(wǎng)絡(luò) 采用教材為思科網(wǎng)絡(luò)技術(shù)學(xué)院教程（ CCNA） 課程為 4學(xué)分，其中每周進(jìn)行 3學(xué)時(shí)課堂講授 , 2學(xué)時(shí)實(shí)驗(yàn) (實(shí)際超過(guò) 2學(xué)時(shí) )，每學(xué)期為 17周 研究生課程 針對(duì)一年級(jí)碩士研究生開(kāi)設(shè)選修課程高級(jí)計(jì)算機(jī)網(wǎng)絡(luò) 主要的教學(xué)內(nèi)容來(lái)自思科 CCNP教程 包括多區(qū)域 OSPF、組播、 IPv6、多層交換、園區(qū)網(wǎng)等 課程為 3學(xué)分，其中每周進(jìn)行 2學(xué)時(shí)課堂講授 , 2學(xué)時(shí)實(shí)驗(yàn) 每學(xué)期為 12-13周 南京大學(xué)軟件學(xué)院網(wǎng)站： 網(wǎng)絡(luò)學(xué)院案例 必修課模式：南京大學(xué)軟件學(xué)院 2002, Cisco Systems, Inc. All rights reserved. 29 網(wǎng)絡(luò)學(xué)院開(kāi)展案例 職業(yè)技術(shù)學(xué)院 溫州大學(xué) 將思科網(wǎng)絡(luò)技術(shù)學(xué)院課程全面納入計(jì)算機(jī)網(wǎng)絡(luò)工程專業(yè)，取得了良好的效果 , 獲得教育部國(guó)家精品課程 / 2002, Cisco Systems, Inc. All rights reserved. 30 項(xiàng)目開(kāi)展案例 培訓(xùn)模式 學(xué)校：清華大學(xué)、北京郵電大學(xué) 培訓(xùn)對(duì)象：學(xué)生及社會(huì)人員 課程周期： CCNA課程 4 6個(gè)月 收費(fèi)標(biāo)準(zhǔn)： CCNA課程 15002000元 詳細(xì)情況請(qǐng)參照網(wǎng)站： 2002, Cisco Systems, Inc. All rights reserved. 31 成功故事 葉婧 電子科技大學(xué)學(xué)生?，F(xiàn)在上海證券交易所工作。曾代表中國(guó)思科網(wǎng)絡(luò)技術(shù)學(xué)院的學(xué)生，參加聯(lián)合國(guó)婦女大會(huì)（ 2000） 楊月 （右二） 天津耀華中學(xué)學(xué)生，擔(dān)任了天津華冠中學(xué)思科網(wǎng)絡(luò)技術(shù)學(xué)院的教師助理，輔導(dǎo)了多名中學(xué)生獲得 CCNA認(rèn)證。她自己也已經(jīng)被美國(guó)麻省理工學(xué)院錄取，全額獎(jiǎng)學(xué)金。 2002, Cisco Systems, Inc. All rights reserved. 32 思科高級(jí)網(wǎng)絡(luò)技術(shù)實(shí)驗(yàn)室 設(shè)備清單 2003, Cisco Sy stems, Inc. All