返回
思科ACS网络设备安全管理方案

思科ACS网络设备安全管理方案

ID:40187056

大小:164.50 KB

页数:10页

时间:2019-07-24

思科ACS网络设备安全管理方案_第1页
思科ACS网络设备安全管理方案_第2页
思科ACS网络设备安全管理方案_第3页
思科ACS网络设备安全管理方案_第4页
思科ACS网络设备安全管理方案_第5页
资源描述:

《思科ACS网络设备安全管理方案》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、思科ACS网络设备安全管理方案一、网络设备安全管理需求概述就北京中行网络布局来看,网络的基础设施现包含几百个网络设备。在网络上支撑的业务日益关键,对网络安全和可靠性要求更为严格。可以预测的是,大型网络管理需要多种网络管理工具协调工作,不同的网络管理协议、工具和技术将各尽其力,同时发挥着应有的作用。比如:对于Telnet网络管理手段。有些人可能会认为,今后这些传统的设备管理手段,会减少使用甚或完全消失。但实际上,Telnet命令行设备管理仍因其速度、强大功能、熟悉程度和方便性而广受欢迎。尽管其他网络设备管理方式中有先进之处,基于Telnet的管理在未来依然会是一种常用管理方式。随着BOC网络设

2、备数量的增加,为维持网络运作所需的管理员数目也会随之增加。这些管理员隶属于不同级别的部门,系统管理员结构也比较复杂。网络管理部门现在开始了解,如果没有一个机制来建立整体网络管理系统,以控制哪些管理员能对哪些设备执行哪些命令,网络基础设施的安全性和可靠性问题是无法避免的。二、设备安全管理解决之道建立网络设备安全管理的首要出发点是定义和规划设备管理范围,从这一点我门又可以发现,网络设备安全管理的重点是定义设备操作和管理权限。对于新增加的管理员,我们并不需要对个体用户进行权限分配,而是通过分配到相应的组中,继承用户组的权限定义。通过上面的例子,10我们可以发现网络安全管理的核心问题就是定义以下三个

3、概念:设备组、命令组和用户组。设备组规划了设备管理范围;命令组制定了操作权限;用户组定义了管理员集合。根据BOC的设备管理计划,将它们组合在一起,构成BOC所需要的设备安全管理结构。安全设备管理包括身份验证Authentication、授权Authorization和记帐Accounting三个方面的内容。例如:管理员需要通过远程Login或是本地Login到目标设备,能否进入到设备上,首先要通过严格的身份认证;通过身份验证的管理员能否执行相应的命令,要通过检查该管理员的操作权限;管理员在设备上的操作过程,可以通过记帐方式记录在案。AAA的应用大大简化了大型网络复杂的安全管理问题,提高了设备

4、集中控制强度。目前AAA在企业网络中越来越成为网络管理人员不可缺少的网络管理工具。CiscoSecureACS3.1以后的版本提供的Shell壳式授权命令集提供的工具可使用思科设备支持的高效、熟悉的TCP/IP协议及实用程序,来构建可扩展的网络设备安全管理系统。三、CiscoACS帮助BOC实现设备安全管理熟悉CiscoIOS的用户知道,在IOS软件中,定义了16个级别权限,即从0到15。在缺省配置下,初次连接到设备命令行后,用户的特权级别就设置为1。为改变缺省特权级别,您必须运行enable启用命令,提供用户的enablepassword和请求的新特权级别。如果口令正确,即可授予新特权级别

5、。10请注意可能会针对设备上每个权利级别而执行的命令被本地存储于那一设备配置中。超级管理员可以在事先每台设备上定义新的操作命令权限。例如:可修改这些级别并定义新级别,如图1所示。图1启用命令特权级别示例当值班的管理员enable10之后,该管理员仅仅拥有在级别10规定之下的授权命令集合,其可以执行clearline、debugPPP等命令。这种方式是“分散”特权级别授权控制。这种应用方式要求在所有设备都要执行类似同样的配置,这样同一个管理员才拥有同样的设备操作权限,这显然会增加超级管理员的工作负担。为解决这种设备安全管理的局限性,CiscoACS提出了可扩展的管理方式---“集中”特权级别授

6、权控制,CiscoACS通过启用TACACS+,就可从中央位置提供特权级别授权控制。TACACS+服务器通常允许各不同的管理员有自己的启用口令并获得特定特权级别。下面探讨如何利用CiscoACS实现设备组、命令集、用户组的定义与关联。3.1设备组定义根据北京行的网络结构,我们试定义以下设备组:(待定)交换机组---包含总行大楼的楼层交换机Cisco65/45;试定义以下设备组:(待定)交换机组---CiscoCatalyst6500或Catalyst4xxx(待定)网络设备组---Cisco2811103.2Shell授权命令集(ShellAuthorizationCommandSets)定

7、义壳式授权命令集可实现命令授权的共享,即不同用户或组共享相同的命令集。如图2所示,CiscoSecureACS图形用户界面(GUI)可独立定义命令授权集。图2壳式命令授权集GUI命令集会被赋予一个名称,此名称可用于用户或组设置的命令集。基于职责的授权(Role-basedAuthorization)命令集可被理解为职责定义。实际上它定义授予的命令并由此定义可能采取的任务类型。如果命令集围绕BOC内部不同的网络

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。