论文总字数：31790字

摘 要

一种基于组标记的新型网络安全架构的设计与研究

随着新型社会型经济和科学应用类新型技术的快速发展，高速应用端计算机在世界上，生活中的各个领域的应用也越来越宽泛，信息技术也在不断改变着人们的生活和工作。在此前提下，计算机安全以及网络也因为大数据等其他的新型技术的出现带来了新的产出和新的发展方向。在当今庞大数据时代的情景下，计算机网络，数据，物联网，二进制，密码，逆向，区块链安全方面也出现了一些问题，对这些问题的发生提出相应的解决方案以及对该问题的产生以及可否进行利用进行探讨和分析。

国家的法规和政策,以及技术与市场的发展方向，平台以及未来趋势决定着一个国家是否具有信息安全，是否具有属于本国的网络安全综合防护体系。我们现在的国民民生、经济态势、国家发展等各领域由于信息网络等新产业的新变革从而显现出的注入、合并的趋势愈加快速，提升世界各处上我国在网络以及网络安全上的综合竞争力，遵从了国家以及社会服从可持续发展战略国策, 推动经济社会在新时代新征程上完美转型的强大动力。传统的网络安全方案有很多不足之处，随着二进制、渗透攻防、密码学等新兴产业的普及，普遍习惯了外部世界以及边界防护的传统网络安全设备发现，现代社会所有事物变得那么无法掌握，越来越多的数据存储在集成的云服务中，越过了过去的网络防御边界，越过了防火墙，WAF以及数据库审计系统。而解决这些问题具有重大的现实意义，为此设计一种“零信任架构”，即永远不相信和始终对访客进行验证，不信任任何人、事、物。

具体完成的研究工作如下:

1. 掌握安全准入控制的基本方法
2. 掌握身份验证服务器的搭建和使用
3. 了解CISCO TrustSec的基本原理
4. 掌握CISCO CSR设备的安全和调试
5. 了解安全微分段的基本原理

关键词:Cisco TrustSec基本原理;安全微分段;Cisco CSR调试;安全准入控制

ABSTRACT

W1th the rap1d deve10pment 0f s0c1a1 ec0n0my and sc1ence and techn010gy, the app11cat10n 0f c0mputers 1n var10us f1e1ds has bec0me m0re and m0re extens1ve, and 1nf0rmat10n techn010gy 1s a1s0 c0nstant1y chang1ng pe0p1e's 11ves and w0rk. Under th1s premISE, the emergence 0f b1g data techn010gy has a1s0 br0ught new 0pp0rtun1t1es and cha11enges t0 c0mputer netw0rks. 1n the era 0f b1g data, s0me pr0b1ems have a1s0 appeared 1n c0mputer netw0rk secur1ty. These pr0b1ems are d1scussed and ana1yzed, and c0rresp0nd1ng prevent1ve measures are pr0p0sed.

A c0untry’s 1nf0rmat10n secur1ty system actua11y 1nc1udes nat10na1 1aws and p011c1es, as we11 as techn010gy and market deve10pment p1atf0rms. 1nf0rmat1zat10n and netw0rk1ng have bec0me m0re and m0re 0bv10us 1n the penetrat10n and 1ntegrat10n 0f ec0n0m1c, p011t1ca1, and s0c1a1 f1e1ds. They have bec0me a p0werfu1 dr1v1ng f0rce f0r pr0m0t1ng ec0n0m1c and s0c1a1 transf0rmat10n, ach1ev1ng susta1nab1e deve10pment, and enhanc1ng a c0untry's c0mprehens1ve c0mpet1t1veness. Trad1t10na1 netw0rk secur1ty s01ut10ns have many sh0rtc0m1ngs. W1th the p0pu1ar1zat10n 0f new techn010g1es such as the 1nternet 0f Th1ngs, c10ud c0mput1ng, and b1g data, secur1ty execut1ves wh0 are accust0med t0 b0rder pr0tect10n f1nd that everyth1ng has bec0me s0 unc0ntr011ab1e-m0re and m0re data st0rage 1n the c10ud, bey0nd the trad1t10na1 secur1ty pr0tect10n b0undary. S01v1ng these pr0b1ems 1s 0f great pract1ca1 s1gn1f1cance. F0r th1s purp0se, a "zer0 trust arch1tecture" 1s des1gned, that 1s, never trust and a1ways ver1fy, and d0 n0t trust any pers0n, th1ng, 0r th1ng.

The f0110w1ng research has been c0mp1eted:

1. Master the bas1c meth0ds 0f secur1ty access c0ntr01

2. Master the c0nstruct10n and use 0f authent1cat10n server

3. Understand the bas1c pr1nc1p1es 0f CISCO TrustSec

4. Master the safety and debugg1ng 0f CISCO CSR equ1pment

5. Understand the bas1c pr1nc1p1es 0f secure m1cr0-segmentat10n

Keywords: CISCO TrustSec bas1c pr1nc1p1es; Secure m1cr0-segmentat10n; Cisco CSR debugg1ng; Secur1ty access c0ntr01

目 录

第一章 绪论 1

1.1研究课题背景与意义 1

1.2课程任务要求 1

1.3 Cisco TrustSec的研究现状 1

1.4论文的主要内容和框架 2

第二章:网络平台建设 3

2.1 GNS3 3

2.2虚拟机 4

2.3 I0S互联网操作系统 4

2.4 Cisco Identity Services Engine 6

2.5 Cisco CSR1000V 7

第三章 Cisco TrustSec概述 8

3.1 Cisco TrustSec 的限制 8

3.2 Cisco TrustSec 架构的信息 8

3.3 Cisco TrustSec 身份认证的角色 9

3.4 Cisco TrustSec 认证 10

3.4.1 Cisco TrustSec 对 EAP-FAST 的增强 11

3.4.2 802.1x 角色选择 11

3.4.3 Cisco TrustSec 身份验证摘要 11

3.4.4 Device Identities 12

3.4.5 Device Credentiais 12

3.4.6 User Credentiais 12

3.5 基于安全组的访问控制 12

3.5.1 Security Groups and SGTs 12

3.5.2 Security Group ACL Support 13

3.5.3 SGACL Policies 13

3.5.4 Ingress Tagging and Egress Enforcement 14

3.5.5 Determining the Source Security Group 15

3.5.6 确定目标安全组 16

3.5.7 SGACL 对路由和交换流量的执行 16

3.5.8 授权和策略获取 16

3.5.9 Environment Data Download 17

3.5.10 RADIUS Relay Functionality 17

3.5.11 Link Security 18

第四章 仿真研究过程 19

4.1 基于组标记的新型网络安全架构的设计与研究过程 19

4.2 基于组标记的新型网络安全架构的研究模拟 20

4.2.1网络设备地址配置 20

4.2.2网络设备进行OSPF配置 21

4.2.3 ISE配置 22

4.2.4 设备验证TrustSec配置 24

4.2.5 SXP配置 25

4.3 基于组标记的在新型网络安全架构上策略的配置 27

4.3.1 SGACL配置 27

4.3.2 策略应用到接口 31

第五章 仿真研究与结果分析 32

5.1 SGACL策略telnet的情况分析 32

5.2 SGACL策略http的情况分析 33

5.3 SGACL策略icmp的情况分析 33

5.4 研究成果实现情况 34

5.5 本章小结 34

结束语 35

致 谢 36

参考文献 37

附录A 38

第一章 绪论

1.1 研究课题背景与意义

当今世界各个行业由于随着时间的推移已经逐步的有了发展和扩大的趋势，随着时代的变化，网络，安全，大数据等高新技术的逐步兴起和建设，以通讯，网络安全为代表的各种行业近年来处于一个很高的发展趋势。

Cisco TrustSec 安全体系架构通过建立可信任的网络设备区域来建立安全的网络。包含网络设备的区域中的每个网络设备都需要其对等体来对其进行身份验证。使用深度加解密SHA-256，SHA-1、检验报文完整比例以及保护接收路径重分发机制的组合来保证数据域内设备之间链路上通信的安全。提前使用在身份验证期间获得的device和user ID，Cisco TrustSec对即将进入所选域中的数据参数，对他们绑定上安全组标签来对他们进行微分段分类。这种即将进入域中的数据参数的分类，是通过标记SGT来进行筛选的，使之在设备层面上被其他设备通过确认策略中所描述的信息来识别，同时也可以在数据层面上使用其他策略。这个标记称为安全组标记(SGT)，它是使用SGACL策略操作对绑定SGT的终端设备进行策略的应用来过滤流量，并且域中的绑定了SGT的设备必须应用访问控制策略。

剩余内容已隐藏，请支付后下载全文，论文总字数：31790字