思科高级网络技术实验室解决方案(网络安全)

Jan2022©2022,CiscoSystems,Inc.Allrightsreserved.思科高级网络技术实验室解决方案 TDMVersion1.0-2022 商业市场事业部 思科系统中国公司网络安全实验室2©2022,CiscoSystems,Inc.Allrightsreserved.CiscoSystems,Inc.Allrightsreserved.Presentation_ID©2022,©2022,CiscoSystems,Inc.Allrightsreserved.3网

络

安全

实验

室

结

构和功能•

用

户

集中

认证

和

访问

控制

实验•

防火

墙实验

室•

网

络

入侵

检测

、防范

实验

室•

主机入侵

检测

、防范

实验

室•

网

络

准入控制（

NAC

）

实验

室•

VPN

实验

室IPv4

IPv6

广域网

或

Internet

防火墙入侵保护

路由器

网络入侵检测

(IDS)

防火墙入侵保护

路由器网络准入

实验

网络安全实验室

IPv4

IPv6

用户认证授权服务器

主机

入侵保护©2022,CiscoSystems,Inc.Allrightsreserved.4高

级

防火

墙设计

、部署

实验

室©2022,CiscoSystems,Inc.Allrightsreserved.5非法用

户

和非法

电脑

的入网控制Cisco

基于身份的网络服务（

IBNS

）Microsoft

ADAuthorized

UserAuthorized

VendorUnauthorized

UserAuthorized

APWhoareyou?I

am

Joe

Cisco

OKCiscoSecure

ACS用户面临的挑战:

非法用户的电脑可以轻易接入网络，并获取重要数据Cisco

的解决方案:通过部署基于用户身份的802.1x

认证，防止非法用户和非法电脑的接入局域网和无线网也可以将非法用户的电脑接入一个特定网段(Guest

VLAN)，限制访问的资源©2022,CiscoSystems,Inc.Allrightsreserved.6Write

the

ACL

在汇聚交换机中动态下载访问控制列表

ACL

，

实现动态的入侵防御

黑客

1

Internet园

Detect

区

网

the

络

attack

Deny汇聚交换机

Catalyst

3750IDS/IPS

路由器在线监测入侵，并可将攻击实时

阻断

Cisco

IDS

内部黑客Cisco

入侵

监测

和在

线

入侵保

护

（

IDS/IPS

）

网管服务器

Catalyst3750138©2022,CiscoSystems,Inc.Allrightsreserved.7CTARouterACSNetwork

Vendor

Server

IPEAPoUDPE

A

P

oR

A

DI

U

SHCAP2457

61.

用户端发起对Internet或受保护网段的访问，触发路由器（网络准入设备）上的初始访问控制列表2.

路由器发起对用户端的状态验证（EAPoUDP），要求用户端的CTA进行相应3.

CTA向路由器发送状态证书（EAPoUDP）4.

路由器将证书发往ACS（访问控制服务器）5.

ACS与后端认证服务器一起进行用户端的证书验证（HCAP）6.

ACS确定用户端状态，决定其访问授权7.

ACS向路由器发送授权策略（包括ACL和URL），并在用户端屏幕上显示通知信息8.

路由器根据授权策略决定对用户端的访问控制NAC

网

络

准入

实验

室8 NAC实验内容 1.“健康”用户–符合安全策略 用户端的操作系统信息和反病毒软件更新版本与安全策略一致，发出“欢迎” 信息框，并准许访问。 2.“危险”的“未知”型用户–完全不符合安全策略 无法探测到用户端的操作系统信息和反病毒软件信息，不能确定其是否符合安 全策略，可能是“访客”或“危险”的“未知”用户，浏览页面将被转向特定 的通知页面。 3.“受感染”的用户–部分不符合安全策略 用户端的反病毒软件不符合安全策略，可能未升级到最新的版本，也可能未安 装反病毒软件，因此拒绝它对网络的访问，并在其屏幕上弹出通知信息，通知 其与网管中心联系。©2022,CiscoSystems,Inc.Allrightsreserved.©2022,CiscoSystems,Inc.Allrightsreserved.9Improved

ProductivityEnhanced

ServiceCisco

IPSec

VPN

实验

室

动态多点

VPN

实验室

Dynamic

Multipoint

IPSec

VPNs

IPSec

承载路由实验

室

Easy

VPN

实验室

业界标准

IPSec

VPN

实验室思科高级网络实验室为实现网络学院提供

基础平台13©2022,CiscoSystems,Inc.Allrightsreserved.CiscoSystems,Inc.Allrightsreserved.Presentation_ID©2022,©2022,CiscoSystems,Inc.Allrightsreserved.14思科网

络

技

术

学院

项

目

思科网

络

技

术

学院

项

目是思科公司

回

馈

社会、完全非

赢

利

的网

络

技

术

教育

项

目

•

为

学校

而

专门设

立

•

包括了

CCNA

、

CCNP

、网

络

安全和无

线

局域网

络

等

总计

15

门

、

1050

小

时

的

电

子教程

•

采用先

进

的

E-Learning

学

习

方式

•

培

养

学生掌握从

设计

、建立到运行

计

算机网

络

全面的知

识

体系和

实际动

手操作能力©2022,CiscoSystems,Inc.Allrightsreserved.CiscoSystems,Inc.Allrightsreserved.©2022,15思科网

络

技

术

学院提供全面的

IT

技

术电

子教程

CCNA,

CCNP,

网络安全基础

,

无线局域网络

Unix

基础

,

Web

基础

,

Java

编程

语音和数据布线

,

IT

技术基础16E-learning

教学平台(.://cisco.acad.) 实验手册 电子教程©2022,CiscoSystems,Inc.Allrightsreserved.考试与评估教学论坛IPv4IPv4IPv4IPv6IPv4广域网IPv6IPv6IPv6或IPv4Cat3750InternetIPv4Cat3750IPv6IPv6©2022,CiscoSystems,Inc.Allrightsreserved.17思科网

络

技

术

学院教材和

实验环

境：

CCNA©2022,CiscoSystems,Inc.Allrightsreserved.18思科网

络

技

术

学院教材和

实验环

境：网

络

安全基

础IPv4

IPv6

广域网

或

Internet

防火墙入侵保护

路由器

网络入侵检测

(IDS)

防火墙入侵保护

路由器网络准入

实验

网络安全实验室

IPv4

IPv6

用户认证授权服务器

主机

入侵保护©2022,CiscoSystems,Inc.Allrightsreserved.19思科网

络

技

术

学院的教与学动手实践教师授课实验室©2022,CiscoSystems,Inc.Allrightsreserved.20E-learning

教学平台

实现

“

循

环

式的上升的教学模式”•

每个学生参加每一次的在线测试，

评估系统会自动产生一份

“Personalized

Feedback”•

—

针对每个学生没有掌握的知识

点的列表•

—

鼠标点击相应的知识点可以直

接回到相应章节的电子教材•

—

教师可以根据全班学生掌握知

识点的情况，进行有针对性的调

整。21 思科网络技术学院带来的好处 对学生： •获得权威国际认证 •提高就业竞争力 •锻炼实践技能，增强了自信心 •获得了进入IT领域的敲门砖 对学校/教师： •多媒体的教材和完善的课件 •丰富有效的实验讲义 •教材每三个月更新一次 •E-learning在线工具，可以掌握到每一 个学生的情况而不需要过多的纸面工作 •参与到跨全球范围的教育项目中，拓宽 交流领域©2022,CiscoSystems,Inc.Allrightsreserved.©2022,CiscoSystems,Inc.Allrightsreserved.22思科网

络

技

术

学院

现

状 全球•10,025所学校•162个国家,地区•449,622名在校学习的学生•296,092名毕业学生 中国 •214所学校 •19,399名在校学习学 生 •27,637名毕业生 截至2022年2月6日©2022,CiscoSystems,Inc.Allrightsreserved.2324 如何申请加入？ 凡购买思科网络实验室的学校将具备优先申请的资格。 申请单位需要符合的条件： 1、学校（高等院校、职业学院和高中）。 2、承诺开课（培训、选修课或者必修课）。 3、在确保教学质量的情况下，每年要保证一定数量的学生完成思科网络技术学院 课程的学习（具体数量视开课形式而定）。 4、指派至少两名教师参加教师培训，开展具体的教学工作。 申请步骤（申请周期不超过1个月）： 1、填写申请表格。 2、审核。 3、批准和授权。 从获得授权，参加教师培训到开展教学的准备周期为3－6月时间。©2022,CiscoSystems,Inc.Allrightsreserved.培训费每人天数CCNA3600元22天CCNP8000元40天网络安全基础2500元12天无线局域网络基础2500元10天©2022,CiscoSystems,Inc.Allrightsreserved.25思科网

络

技

术

学院

预

算考

虑©2022,CiscoSystems,Inc.Allrightsreserved.26实验室机房布置案例©2022,CiscoSystems,Inc.Allrightsreserved.27实验室设备机架案例©2022,CiscoSystems,Inc.Allrightsreserved.28网

络

学院案例

——

必修

课

模式：南京大学

软

件学院

本科生

课

程

•

针对

本科生

开设

必修

课

程

计

算机网

络

•

采用教材

为

思科网

络

技

术

学院教程（

CCNA

）

•

课

程

为

4

学分，其中

每

周

进

行

3

学

时课

堂

讲

授

,

2

学

时实验

(

实际

超

过

2

学

时

)

，

每

学期

为

17

周

研究生

课

程

•

针对

一年

级硕

士研究生

开设选

修

课

程高

级计

算机网

络

•

主要的教学内容来自思科

CCNP

教程

包括多区域

OSPF

、

组

播、

IPv6

、多

层

交

换

、园区网等

•

课

程

为

3

学分，其中

每

周

进

行

2

学

时课

堂

讲

授

,

2

学

时实验

•

每

学期

为

12-13

周

南京大学

软

件学院网站：

©2022,CiscoSystems,Inc.Allrightsreserved.29网

络

学院

开

展案例

——

职业

技

术

学院•

温州大学

将思科网

络

技

术

学院

课

程全面

纳

入

计

算机网

络

工程

专业

，

取得了良好的效果

,

获

得教育部国家精品

课

程

©2022,CiscoSystems,Inc.Allrightsreserved.30项

目

开

展案例

——

培

训

模式

学校：清

华

大学、北京

邮电

大学

培

训对

象：学生及社会人

员

课

程周期：

CCNA

课

程

4

－

6

个月

收

费标

准：

CCNA

课

程

1500—2000

元

详细

情况