Инфраструктура сетевой безопасности — онлайн-презентация (2023)

1.инфраструктура сетевой безопасности

© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
1

2.Брандмауэры устройств безопасности

Некоторые общие свойства брандмауэра:
• Брандмауэры устойчивы к сетевым атакам.
• Весь трафик проходит через брандмауэр.
• Брандмауэры применяют политику контроля доступа.
Несколько преимуществ использования брандмауэра в сети:
• Предотвращает раскрытие конфиденциальных хостов, ресурсов,
и приложений ненадежным пользователям.
• Очистка потока журнала.
• Блокирует вредоносные данные с серверов и клиентов.
• Снижает сложность управления безопасностью.
Брандмауэры также имеют некоторые ограничения:
Неправильно настроенный брандмауэр может иметь серьезные последствия для сети.
Данные многих приложений не могут быть безопасно перенаправлены через брандмауэры.
Пользователи ищут способы обойти брандмауэр, чтобы получить заблокированный материал.
Производительность сети может снизиться.
Несанкционированный трафик может быть туннелирован через брандмауэр как законный трафик.
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
2

3.Описание типов брандмауэров для устройств безопасности

Брандмауэры с фильтрацией пакетов (без сохранения состояния) — обычно часть брандмауэра маршрутизатора, которая разрешает или запрещает
Трафик на основе информации уровней 3 и 4.
Брандмауэры с отслеживанием состояния:
• Разрешает или блокирует трафик в зависимости от состояния, порта и протокола.
• Отслеживает все действия от открытия соединения до его закрытия.
Межсетевые экраны шлюза приложений (прокси-брандмауэры) — фильтруют информацию на уровнях 3, 4, 5 и 7
OSI-Referenzmodell.
Хост-ориентированный (серверный и персональный) брандмауэр — ПК или сервер, на котором запущено программное обеспечение брандмауэра.
Прозрачный брандмауэр — фильтрует IP-трафик между двумя мостовыми интерфейсами.
Гибридный брандмауэр — комбинация различных типов брандмауэров.
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
3

4.Устройства безопасности Фильтрация пакетов Брандмауэры

Обычно это часть брандмауэра маршрутизатора, который
разрешает или запрещает трафик на основе уровня
Информация 3 и уровня 4.
Это межсетевые экраны без сохранения состояния, которые используют простой
Поиск в таблице политик, который фильтрует трафик
по определенным критериям.
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
4

5.Устройства безопасности

Наиболее универсальная и широко используемая технология межсетевого экрана.
Обеспечивает фильтрацию пакетов с отслеживанием состояния с использованием соединения.
Информация, управляемая в таблице состояния.
Классифицируется на сетевом уровне, но также анализирует трафик
Уровень 4 и уровень 5 OSI.
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
5

6.Устройства безопасности Брандмауэры нового поколения

Разверните стандартные функции брандмауэра, такие как проверка состояния.
Включает встроенную защиту от вторжений.
Используйте Application Awareness and Control, чтобы обнаруживать и блокировать опасные приложения.
Обновите пути, чтобы включить будущие каналы информации.
Внедрите методы противодействия развивающимся угрозам безопасности.
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
6

7.Охранные устройства Устройства для предотвращения и обнаружения злоумышленников

© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
7

8.Устройства безопасности Плюсы и минусы IDS и IPS

© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
8

9.Охранные устройства типов IPS

Hostbasiertes IPS (HIPS):
• Программное обеспечение, установленное на одном узле, для мониторинга и анализа подозрительной активности.
• Мониторинг и защита операционной системы и критических системных процессов, характерных для данного хоста.
• Комбинируйте антивирусное программное обеспечение, программное обеспечение для защиты от вредоносных программ и брандмауэр.
Сетевая IPS:
• Реализовано с помощью выделенного или невыделенного устройства IPS.
• Они являются важным компонентом предотвращения вторжений.
• Датчики обнаруживают злонамеренные и несанкционированные действия в режиме реального времени и при необходимости могут принять меры.
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
9

10.Устройства безопасности Специализированные приложения безопасности

Расширенная защита от вредоносных программ Cisco (AMP):
Передовое решение для анализа и защиты от вредоносных программ корпоративного класса.
Обеспечивает комплексную защиту предприятия от вредоносных программ до, во время и после атаки.
Cisco Web Security Appliance (WSA) с облачной веб-безопасностью (CWS):
WSA защищает сеть, автоматически блокируя опасные веб-сайты и тестируя неизвестные веб-сайты, прежде чем разрешить пользователям доступ
Она.
WSA обеспечивает защиту от вредоносных программ, видимость и контроль приложений, приемлемые средства управления политиками использования, подробные отчеты и
безопасная мобильность.
CWS обеспечивает безопасную связь в Интернете и из Интернета.
CWS предлагает удаленным работникам тот же уровень безопасности, что и сотрудникам на месте.
Устройство безопасности электронной почты Cisco (ESA):
Защищает критически важные для бизнеса системы электронной почты.
Обнаруживает и сопоставляет угрозы, используя глобальную систему мониторинга базы данных.
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
10

11.Security Services Traffic Control с ACL

Списки контроля доступа (ACL) — это набор команд, которые управляют тем, будет ли устройство переадресовывать или
отбрасывает пакеты на основе информации, найденной в заголовке пакета:
• Ограничьте сетевой трафик, чтобы расширить сеть
Производительность.
• Обеспечить управление потоком трафика.
• Обеспечение базового уровня безопасности для
доступ к сети.
• Фильтрация трафика по типу трафика.
• Проверьте хосты, чтобы разрешить или запретить доступ
к сетевым службам.
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
11

12.ACL службы безопасности: важные функции

Существует два типа списков ACL Cisco IPv4: Стандартный и Расширенный.
Списки управления доступом по умолчанию можно использовать для разрешения или запрета трафика только с исходных IPv4-адресов. передовой
ACL-списки фильтруют пакеты IPv4 на основе нескольких атрибутов, в том числе:
• Тип журнала
• Исходный IPv4-адрес
• IPv4-адрес назначения
• Исходные порты TCP или UDP
• Порты назначения TCP или UDP
• Дополнительная информация о типе журнала для более точного контроля
Стандартные и расширенные ACL могут быть созданы с использованием либо номера, либо имени для идентификации ACL.
и его список заявлений.
Сообщение ACL может быть сгенерировано и зарегистрировано, когда трафик соответствует критериям разрешения или запрета.
определяется в ACL.
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
12

13.Службы безопасности SNMP

SNMP позволяет администраторам управлять конечными устройствами, такими как серверы, рабочие станции, маршрутизаторы,
выключатели и предохранительные устройства.
Система SNMP состоит из трех элементов:
• Менеджер, работающий с программным обеспечением управления SNMP.
• Агенты, которые являются контролируемыми узлами и
удалось.
• Управленческая информационная база (MIB) –
Это база данных на агенте, в которой хранятся данные
и оперативная статистика об устройстве.
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
13

14.Службы безопасности NetFlow

Технология Cisco IOS, предоставляющая статистику по пакетам, проходящим через маршрутизатор Cisco или
многоуровневый коммутатор.
Предоставляет данные для мониторинга сети и безопасности, планирования сети, анализа трафика и IP-адресов.
Учет для целей выставления счетов.
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
14

пятнадцать.Зеркалирование портов для служб безопасности

Функция, которая позволяет коммутатору создавать дубликаты трафика, проходящего через коммутатор, а затем
Отправка данных через порт с подключенным сетевым монитором.
Исходный трафик перенаправляется обычным образом.
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
пятнадцать

16.Сервер системного журнала служб безопасности

Самый распространенный способ доступа к системным сообщениям.
Позволяет сетевым устройствам отправлять свои системные сообщения на серверы системных журналов по сети.
Служба ведения журналов Syslog предлагает три основные функции:
• Собирать информацию журнала для мониторинга и устранения неполадок.
• Выберите тип собираемой информации журнала.
• Укажите место назначения захваченных сообщений системного журнала.
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
16

17.Службы безопасности НТП

Позволяет маршрутизаторам в сети синхронизировать свои настройки времени с сервером NTP и использовать смены
уровни.
NTP может быть настроен для синхронизации с частными главными часами или с общедоступными.
доступные NTP-серверы в Интернете.
Серверы NTP организованы в уровни, известные как уровни:
• Уровень 0 — Приняты высокоточные устройства измерения времени.
быть точным и практически без задержки.
• Слой 1 – связан с соответствующими источниками времени.
Они действуют как первичный стандарт сетевого времени.
• Уровни 2 и ниже — подключены к устройствам Уровня 1.
по сетевым соединениям. Устройства уровня 2
синхронизировать свое время с помощью NTP-пакетов
Сервер уровня 1. Вы также можете выступать в качестве сервера для
Устройства уровня 3.
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
17

18.Службы безопасности AAA-сервер

Услуги AAA состоят из трех независимых функций безопасности: аутентификации, авторизации и
Бухгалтерский аудит.
• Аутентификация. Пользователи и администраторы должны подтвердить, что они являются теми, за кого себя выдают.
• Комбинации имени пользователя/пароля, вопросы-запросы и ответы, карты-жетоны и другие методы.
• Аутентификация AAA обеспечивает централизованный способ управления доступом к сети.
• Авторизация — после аутентификации определите, к каким ресурсам пользователь может получить доступ, а какие
Операции, которые разрешено выполнять пользователю.
• Бухгалтерский учет и аудит. В бухгалтерском учете фиксируется, что делает пользователь, к чему он обращается и в каком объеме.
Время доступа к ресурсу и внесенных изменений. Бухгалтерский учет следует тому, как
используются сетевые ресурсы.
Протоколы аутентификации ААА
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
18

19.VPN для службы безопасности

• Это частная сеть, созданная поверх общедоступной сети.
• VPN является частной в том смысле, что трафик шифруется для сохранения данных.
конфиденциально при передаче по общедоступной сети.
• Услуги IPsec обеспечивают аутентификацию, целостность, управление доступом и конфиденциальность.
Виртуальная частная сеть
IPsec-VPN
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
19

20.

Сетевые представления
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
20

21.Сетевые топологии Обзор сетевых компонентов

Сетевая инфраструктура содержит три категории сетевых компонентов:
• Устройства
Устройства
• СМИ
• Услуги
Услуги
СМИ
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
21

22.Сетевые топологии Физические и логические топологии

Физическая топология относится к
физические соединения и выявленные
таких как конечные устройства и инфраструктура
устройства соединены друг с другом.
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
22

23.Сетевые топологии Физические и логические топологии (продолжение)

Логическая топология относится к
как сеть
передает кадры из
узел к следующему.
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
23

24.Топологии сети Топологии глобальной сети

Point-to-Point — представляет собой постоянное соединение между двумя конечными точками.
Hub and Spoke — версия звездообразной топологии WAN, в которой центральный узел соединяет филиалы.
Сайты с прямыми ссылками.
Mesh — эта топология обеспечивает высокую доступность, но требует, чтобы каждая конечная система
подключен к любой другой системе.
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
24

25.Топологии сети Топологии ЛВС

Терминалы «звезда» подключены к центральной промежуточной ступени.
Устройство.
Расширенная звезда — в топологии расширенной звезды дополнительные
Коммутаторы Ethernet соединяют вместе другие звездообразные топологии. А
Шина — все конечные системы соединены вместе и
оканчивается в той или иной форме на каждом конце.
Кольцевые концевые системы подключены к соответствующим
Соседи образуют кольцо. В отличие от шинной топологии кольцевая
не надо отменять.
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
25

26.Сетевые топологии Трехуровневая модель проектирования сети

Трехуровневая иерархическая модель
• Уровень доступа:
• Предоставляет конечным точкам и пользователям прямой доступ к сети.
• Пользовательский трафик инициируется на этом уровне.
• Уровень распределения
• Агрегирует уровни доступа.
• Обеспечивает подключение к службам.
• основной слой
• Обеспечивает связь между уровнями распространения.
Свернутое ядро
• Базовый и распределительный слои свернуты.
слой.
• Снижает стоимость и сложность.
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
26

27.Топологии сети Общие архитектуры безопасности

Дизайн брандмауэра в первую очередь касается интерфейсов устройств, разрешающих или запрещающих трафик на основе
Источник, назначение и тип трафика. Некоторые дизайны так же просто, как выбрать один
вне сети и внутри сети. Брандмауэр с двумя интерфейсами настраивается следующим образом:
• Трафик, исходящий из частной сети, принимается и проверяется на пути к общедоступной.
Сеть. Проинспектированный трафик, возвращающийся из общедоступной сети и связанный с исходным трафиком
из частной сети разрешено.
• Трафик данных, исходящий из общедоступной сети и поступающий в частную сеть, обычно блокируется.
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
27

28.Сетевые топологии Общие архитектуры безопасности (продолжение)

Демилитаризованная зона (DMZ) — это конструкция брандмауэра, в которой обычно имеется внутренний интерфейс.
подключенный к частной сети, внешний интерфейс, подключенный к общедоступной сети, и
Интерфейс ДМЗ:
• Трафик из частной сети
проверяться на пути к общественной или DMZ
Сеть. Этот трафик разрешен с небольшим
или без ограничения. Обратный трафик обычно разрешен.
• Трафик из сети DMZ и
Выход в частную сеть обычно блокируется.
• Трафик из сети DMZ и
Поход в общедоступную сеть носит выборочный характер
допускается в связи с требованиями службы.
• Трафик из общедоступной сети и
Движение в сторону демилитаризованной зоны разрешено выборочно.
и осмотрен. Обратный трафик разрешен динамически.
• Трафик из общедоступной сети и
Путешествие в частную сеть заблокировано.
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
28

29.Сетевые топологии Общие архитектуры безопасности (продолжение)

Межсетевые экраны политик на основе зон (ZPF)
Используйте концепцию зон для
обеспечивают дополнительную гибкость.
Зона – это группа из одного или нескольких
Похожие интерфейсы
функции или свойства.
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
29

30.резюме

© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
30

31.Резюме (продолжение)

Существует множество различных типов брандмауэров: брандмауэр с фильтрацией пакетов (без сохранения состояния), брандмауэр с отслеживанием состояния,
Межсетевой экран шлюза приложений (прокси-брандмауэр), межсетевой экран на основе хоста (серверный и персональный), прозрачный
Межсетевой экран и гибридный межсетевой экран.
Брандмауэры с фильтрацией пакетов обычно являются частью брандмауэра маршрутизатора, который разрешает или запрещает трафик на его основе.
Информация уровня 3 и уровня 4.
Брандмауэры с отслеживанием состояния обеспечивают фильтрацию пакетов с отслеживанием состояния, используя информацию о соединении, управляемую в
таблица состояний.
Брандмауэры следующего поколения выходят за рамки брандмауэров с отслеживанием состояния, предоставляя стандартные возможности брандмауэра,
Интегрированное предотвращение вторжений, осведомленность о приложениях, пути обновления для включения будущей информации
Каналы и методы борьбы с развивающимися угрозами безопасности.
При внедрении IDS или IPS важно знать типы доступных систем.
хост-ориентированный и сетевой подходы, размещение этих систем, роль подписи
Категории и возможные действия, которые может предпринять маршрутизатор Cisco IOS при обнаружении атаки.
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
31

32.Резюме (продолжение)

Решение о том, какую реализацию IDS и IPS использовать, основано на целях безопасности
Организация, как указано в ее политике сетевой безопасности.
Доступны два основных типа IPS: на основе хоста и на основе сети.
Специализированные устройства безопасности, такие как устройство веб-безопасности, устройство безопасности электронной почты и т. д.
Генерация брандмауэра обеспечивает комплексную защиту от вредоносных программ и помогает смягчить угрозы, связанные с электронной почтой.
Список управления доступом (ACL) — это набор команд, которые контролируют, будет ли устройство переадресовывать или нет.
отбрасывает пакеты на основе информации, найденной в заголовке пакета.
Списки управления доступом по умолчанию можно использовать для разрешения или запрета трафика только с исходных IPv4-адресов.
Расширенные списки ACL фильтруют пакеты IPv4 на основе различных атрибутов.
Простой протокол управления сетью (SNMP) позволяет администраторам управлять конечными точками на
IP-сеть и это позволяют сетевым администраторам отслеживать и управлять производительностью сети,
Найдите и решите сетевые проблемы и спланируйте рост сети.
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
32

33.Резюме (продолжение)

NetFlow предоставляет данные для мониторинга сети и безопасности, планирования сети и анализа трафика.
включать идентификацию перегрузки сети и учет IP-адресов для целей выставления счетов.
Зеркалирование портов — это функция, позволяющая коммутатору создавать дубликаты трафика, проходящего через порт.
коммутатор, а затем транслировать порт с подключенным сетевым монитором.
Протокол Syslog позволяет сетевым устройствам отправлять свои системные сообщения по сети.
к серверам системного журнала.
Протокол сетевого времени (NTP) позволяет маршрутизаторам в сети синхронизировать свои настройки времени.
с NTP-сервером.
AAA — это архитектурная структура для настройки аутентификации, авторизации и учета.
VPN соединяет две конечные точки, например. B. удаленный офис с центральным офисом в общедоступной сети
образуют логическую связь.
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
33

34.Резюме (продолжение)

Сетевая инфраструктура содержит три категории сетевых компонентов: устройства, носители и
Услуги.
Топологии LAN и WAN (глобальные сети) можно рассматривать двумя способами: физическая топология или
Логическая топология.
Глобальные сети обычно соединяются между собой через двухточечные, узловые и лучевые или ячеистые физические сети.
Топологи.
Конечные устройства могут быть соединены друг с другом по топологии «физическая звезда», «расширенная звезда», «шина» или «кольцо».
Иерархическая структура LAN включает уровни доступа, распределения и ядра.
Дизайн брандмауэра в первую очередь касается интерфейсов устройств, разрешающих или запрещающих трафик на основе
Источник, назначение и тип трафика.
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
34

35.Новые термины и команды

Список контроля доступа (ACL)
уровень доступа
Anwendungs-Gateway-Firewall (прокси-брандмауэр)
Память с адресацией содержимого (CAM)
основной слой
CSMA/CA
CSMA/CD
Демилитаризованная зона (ДМЗ)
слой распределения
Протокол динамической маршрутизации
Универсальная инкапсуляция маршрутизации (GRE)
Hostbasiertes IPS (HIPS)
промежуточное устройство
Система предотвращения вторжений (IPS)
легкие точки доступа (LWAP)
логическая топология
Многоуровневый переключатель
Поток данных, передающихся по сети
Протокол сетевого времени (NTP)
анализатор пакетов
Брандмауэр с фильтрацией пакетов (без сохранения состояния)
пересылка пакетов
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
35

36.Глава 5 Новые термины и команды

определение пути
физическая топология
зеркалирование портов
Служба удаленной аутентификации пользователей с телефонным подключением
(РАДИУС)
Маршрутизируемый порт
Маршрутизатор
Идентификатор набора услуг (SSID)
Простой протокол управления сетью (SNMP)
Протокол связующего дерева (STP)
Stateful-брандмауэр
Статические маршруты
Виртуальный интерфейс коммутатора (SVI)
Журнал системного журнала
Управление доступом к контроллеру доступа к терминалу
Система Плюс (TACACS+)
Виртуальные локальные сети (VLAN)
Виртуальная частная сеть (VPN)
Беспроводная точка доступа (AP)
WLAN-контроллер (WLC)
Беспроводные локальные сети (WLAN)
Зональный брандмауэр политики (ZPF)
© 2016 Cisco и/или ее дочерние компании. Все права защищены. Cisco конфиденциально
36