思科自防御安全解决方案综述

2006 Cisco Sy stems, Inc. All rights reserv ed. Cisco Conf idential Presentation_ID 1 思科安全解决方案综述 Version: 20070113 Shen Qi 2014/10/29 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 2 Cisco Confidential /webmoney 内容安排 我们需要改变安全销售的观念 ? 目前客户的安全需求重点是什么 ? 面向客户需求的安全主题销售方案 如何把握安全销售项目的规模与节奏 ? 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 3 Cisco Confidential /webmoney 我们需要改变安全销售的观念 以产品为中心的方式 以需求为中心的方式 客户自己发现问题，提出需求，我们销售特定产品 挖掘用户需求，整合自身产品提出行业定制化的解决方案 客户需要什么我们做什么 , 没有话语权，比较被动 针对用户特定阶段的特定需求，分步骤引导用户的项目 很难把握项目的规模与走向，竞争激烈 主动把握项目的规模与进展，为竞争对手设置障碍 单个项目的安全份额比较小，特定情况下需要平衡客户的内部关系 提升单一客户项目的安全份额，解决用户的 Burning Issue 困惑在于产品太多，不知道怎么去卖 , 很难做到方案级别的销售规模 以方案为主体，弱化单一产品的指标 , 强化 Reference的作用 2006 Cisco Sy stems, Inc. All rights reserv ed. Cisco Conf idential Presentation_ID 4 完美的安全防御包括什么 ? 严密的边界防护 强大的内部控制 灵活的 统一指挥 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 5 Cisco Confidential /webmoney 知己知彼 , 百战不殆 严密的边界防护 : 应用防火墙 , 入侵检测与防护 , 内容安全以及 VPN接入 纵深化的概念 : 安全域 FWM 强大的内部控制 : 用户身份与系统安全的控制 AAA/NAC 终端的防护与安全策略控制 - CSA 灵活的统一指挥 : 基于全局的定位 : MARS 快速有效的响应 : CSM/MARS 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 6 Cisco Confidential /webmoney 内容安排 我们需要改变安全销售的观念 ? 目前客户的安全需求重点是什么 ? 面向客户需求的安全主题销售方案 如何把握安全销售项目的规模与节奏 ? 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 7 Cisco Confidential /webmoney 互联网 局域网 无线接入 数据中心 远程机构 企业园区 我们需要抓住客户的安全需求 DMZ 安全攻击入侵的防护 利用 IPS以及 CSA进行网络与主机的安全防护 关键应用系统的防护 利用防火墙，入侵防护以及认证授权系统完成关键应用系统的防护与控制 企业互联网的业务安全 利用 ASA, Ironport, VPN, CSA以及 NAC技术保证终端用户以及网络系统在接入互联网的安全 安全事件监控与日常维护 利用 CS-MARS以及 CS-Manager进行系统级的策略操作以及威胁监控响应 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 8 Cisco Confidential /webmoney 内容安排 我们需要改变安全销售的观念 ? 目前客户的安全需求重点是什么 ? 面向客户需求的安全主题销售方案 如何把握安全销售项目的规模与节奏 ? 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 9 Cisco Confidential /webmoney 面向客户需求的安全主题销售方案 企业互联网的业务安全 关键应用系统的防护 网络入侵防护、监控与响应系统 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 10 Cisco Confidential /webmoney Business Partner Access Extranet Connections 企业网络 互联网 远程接入系统 远程分支机构 数据中心 管理网段 内部局域网 Internet Connections 企业互联网的业务安全 STOP GO STOP GO GO STOP GO 互联网边界安全控制 应用级别的安全防护 防火墙 入侵防护系统 内容级别的安全防护 Web/AV SPAM防护 统一 VPN接入系统 企业网络安全接入控制 LAN/WLAN/VPN的接入控制 评估终端的安全防护状态 控制终端接入的安全策略 主动终端防护系统 主动适应型终端防护 , 确保终端访问互联网时的安全，抵御互联网蠕虫以及网页木马病毒的攻击 企业安全策略控制 , 防止内部用户的恶意行为 终端与网络入侵防护及监控系统的联动 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 11 Cisco Confidential /webmoney 互联网边界安全控制 应用级别的安全防护：下一代防火墙 防火墙 入侵防护系统 内容级别的安全防护： Iron port Web/AV SPAM防护 统一 VPN接入系统： IPSec/SSL VPN 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 12 Cisco Confidential /webmoney 严密的边界防护 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 13 Cisco Confidential /webmoney 南京中华门城堡 纵深防御体系的典型 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 14 Cisco Confidential /webmoney 纵深化的安全架构是系统稳固的基础 主机接入 CIP路由器 ESCON Director Coupling Facility 快速以太网或 令牌环交换机 DLSW+路由器 IBM主机 Ci sco7507 Catal y st6509 Catal y st5509 Ci sco7507 FC 交换核心 SiSiSiSiCatalyst6513 SNA/IP 网关 IP业务 服务器 SNAsw DLSW 业务服务器群 Catal y st6513 开发测试网区域 主机系统 Ci sco 5350/Cisco5400 外围网关 IP PBX IP自动 语音应答 客户关系管理 数据库 应用网关 CTI服务器 AW管理 工作站 传真系统 IP录音系统 普通业务咨询 专长理财 n* E1 客户 专职业务代表 语音接入 VoIP 网关 ICM PG CTI 客服中心核心系统 Catal y st6509 外联网区域 PIX535 Catal y st 4000 Ci sco IDS PIX 535 Ci sco 7200 拨号访问服务器 Ci sco 3600 Ci sco 7200 DNS 应用服务器 Ci sco IDS 4-7层分析 Ci sco IDS 4-7层分析 WEB协同 服务器 电子邮件 服务器 内容交换机 CSS11500 电子邮件 管理服务器 PIX 535 GSS全局网站定位器 GSS全局网站定位器 CiscoWorks 2000 IDS 管理 Cisco Info Server VPN Solution Center CIC Reporter 运行管理网络区域 网元管理 事件管理中心 事件统计汇报 SNA管理 安全管理 话音管理 广域接入网区域 Catal y st 6513 Catal y st 4500 Catal y st 3550 服务器群 (均衡负载） VoIP关守 HSRP CDM4650 CE 560/CE 590 无线以太 网访问点 E-Learning LMS服务器 WEB 服务器 其它 服务器 IP/TV 内容管理器 Ci sco 3660 VoIP网关 AS5350 MCS V 办公网络区域 内容分发 管理器 CDM 内容路由器 CR 互联网连接区域 访问管理控制 服务器 外层 防火墙 DNS 服务器 Internet ISPA 内层 防火墙 邮件 服务器 邮件网关 (防毒 ) Cisco VPN集中器 Ci sco IDS 4-7层分析 AAA认证 服务器 外网 交换机 Ci sco 7200 拨号访问服务器 Ci sco 3600 PSTN Ci sco 7200 PIX 535 PIX 535 Catal y st4507 Internet ISPB Catal y st 6509 Catal y st 4500 客户服务中心区域 生产 /应用区域 分公司 合作伙伴 分公司 安全管理中心 安全认证中心 入侵监测中心 防病毒服务器 边界防火墙 入侵防范 安全VPN 路由器集成安全防护 边界防火墙 边界防火墙 入侵监测防范 入侵监测防范 安全交换机 网络准入控制 路由器集成安全防护 VPN安全接入 垃圾邮件防护 内容安全控制 防 DDoS攻击 边界防火墙 认证服务器 入侵监测 拨号接入 无线安全接入 动态密码 语音安全 服务器安全加固 入侵监测 边界防 火墙 网络病毒过滤 漏洞扫描 网络准入控制 终端安全防护 防 DDoS攻击 入侵监测 反向地址验证 边界防火墙 二级防 火墙 二级防火墙 流量监测 服务器安全加固 垃圾邮件防范 入侵监测 网络准入控制 防火墙 语音安全 应用安全 流量监控 设备加固 反向地址验证 防火墙 入侵监测 入侵监测 设备加固 应用安全保护 防 DDoS攻击 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 15 Cisco Confidential /webmoney 专门的防火墙硬件 支持 250 个虚拟防火墙 高达 5Gbps/模块 的吞吐能力 每机箱 4个模块 支持 2000 个逻辑网络接口 提供 Layer-2 透明防火墙功能 互联网 Catalyst 6500/7600 A FW SM B C VFW VFW VFW MSFC 业务虚网 利用高性能防火墙模块构架多层次的安全域 安全问题 : 企业内部应用和外部应用在同一个网络上运行，不同部门之间连接在同一个网络上，需要安全隔离，又担心性能瓶颈 方案 : 采用集成于交换机的高性能防火墙模块 办公虚网 客人虚网 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 17 Cisco Confidential /webmoney Cisco ASA 5500 综合安全防护产品 Firewall Technology Cisco PIX IPS Technology Cisco IPS Content Security Trend Micro VPN Technology Cisco VPN 3000 Network Intelligence Cisco Network Services App Inspection, Use Enforcement, Web Control Application Security Malware/Content Defense, Anomaly Detection IPS & Anti-X Defenses Traffic/Admission Control, Proactive Response Network Containment and Control Secure Connectivity IPSec & SSL VPN Market-Proven Technologies Adaptive Threat Defense, Secure Connectivity 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 18 Cisco Confidential /webmoney Cisco ASA 5500 提供内容级别的安全防护 THREAT TYPES PROTECTION Viruses Spyware Malware Phishing Spam Inappropriate URLs Identity Theft Offensive Content Unauthorized Access Intrusions & Attacks Insecure Comms. NEW Anti-X Service Extensions Resource & Information Access Protection Hacker Protection Client Protection DDoS Protection Protected Email Communication Protected Web Browsing Protected File Exchange Unwanted Visitor Control Audit & Regulatory Assistance Non-work Related Web Sites Identity Protection Granular Policy Controls Comprehensive Malware Protection Advanced Content Filtering Integrated Message Security Easy to Use ASA 5500 with CSC-SSM 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 19 Cisco Confidential /webmoney Internet 内部用户 Port 80 Web 服务 Web 应用 IM 流量 多媒体 互联网访问 43% 43% 55% 43% 98% 采用应用级防火墙进行深入的攻击防护 “ 75% 针对 Web 服务器的攻击是基于应用层，而不是网络层次 80 HTTP John Pescatore, VP and Research Director, Gartner, June 2002. Source: Aug 2002 InfoWorld/Network Computing survey of IT Professionals 64% 的企业用户在防火墙上开放 80端口，用于满足其内部基于 Web的各类应用服务流量的需要 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 20 Cisco Confidential /webmoney 基于网络行为特征的攻击判别 Internet Internal Zone 2 Internal Zone 3 利用 AD（ Anomaly detection algorithms）检测并阻止零日攻击（ Day-Zero ） 自动学习网络流量特征 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 21 Cisco Confidential /webmoney Teleworker Branch Office Internet Edge ASA 5550 ASA5500的产品一览 ASA 5580-20 ASA 5580-40 ASA 5505 集成化的安全平台 符合下一代防火墙标准的硬件架构标准 统一的安全管理界面 符合业界高标准的安全认证 还有更多 Data Center ASA 5540 ASA 5520 ASA 5510 Cisco ASA 5500 Platforms New New Campus Segmentation Cisco Confidential NDA Use Only 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 22 Cisco Confidential /webmoney 为什么要升级到 ASA5500？ 更加灵活的部署方式： ASA5500可以按照防火墙、入侵防护、 VPN以及内容安全等不同方式进行部署 更加低廉的部署以及维护成本：因为 ASA5500包括了多种安全防护技术，以统一的平台完成更多的防护任务 更加先进的设计架构：将思科传统的安全产品，包括 PIX500、 IDS4200、 VPN3000集成于一个全新的多 CPU、多总线的硬件架构，在确保系统的稳定基础上提升整体的性能指标 更加强大的防火墙以及 VPN性能：相对传统的 PIX产品而言，ASA5500的防火墙与 VPN性能更加优化 硬件实现的入侵防护以及内容安全功能，在启动多重防护体系时确保系统性能不受影响 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 23 Cisco Confidential /webmoney 05010015020025030035001000200030004000500060007000下一代防火墙 ASA5500的优势体现 下一代防火墙必须同时 高性能 地处理 应用级别的防火墙以及 入侵检测防护 功能 下一代防火墙必须在硬件架构中考虑未来安全防护需求的扩展能力，采用 多核 CPU以及 多总线 的处理模式，兼顾性能与功能的需求 Cisco ASA5520 Vendor “A” Vendor “B” Vendor “C” Firewall Performance (Mbps) with All Attack/Virus Signatures Enabled, 16-Kbyte HTTP Object Size Connections per Second Performance Cisco ASA5520 Vendor “A” Vendor “B” Vendor “C” Source: Miercom, October 2005 UTM Product Comparison 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 24 Cisco Confidential /webmoney 如何发挥 ASA 5500 的安全防护效能？ Corporate Network 远程分支机构 本地互联网访问 数据中心 Extranet: 商业 合作伙伴接入 远程 VPN接入 DMZ: 对外 互联网服务 内部 LAN接入 普通终端的 互联网访问 WLAN接入 Internal Segmentation Cisco ASA 5500 IPS Edition Cisco ASA 5500 SSL & IPSec VPN Edition Cisco ASA 5500 Anti-X Edition Cisco ASA 5500 IPS Edition Cisco ASA 5500 Firewall Edition Cisco ASA 5500 Firewall Edition 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 25 Cisco Confidential /webmoney 怎么定位不同的 ASA5500产品？ 互联网接入： ASA5510/5520/5540 FW/IPS版本 VPN接入： ASA55x0 FW或 VPN版本 内部 WLAN接入： ASA5510/5520/5540 IPS版本 远程分支机构接入： ASA55x0 FW或 CSC版本 内部应用系统防护： ASA55x0 IPS或 5550/5580 FW版本 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 26 Cisco Confidential /webmoney 互联网边界安全控制 应用级别的安全防护：下一代防火墙 防火墙 入侵防护系统 内容级别的安全防护： Iron port Web/AV SPAM防护 统一 VPN接入系统： IPSec/SSL VPN 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 27 Cisco Confidential /webmoney Iron Port ：企业级内容安全产品 Internet C-Series EMAIL安全网关 S-Series WEB安全网关 M-Series 安全 管理设备 IronPort SenderBase 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 28 Cisco Confidential /webmoney IRONPORT 基于消息的安全解决方案 IRONPORT SERVICES Sender-Base Reputational Filtering IRONPORT PLATFORMS Anti-Spam Virus Outbreak Filtering Content Filtering C-Series Email Security Appliance S-Series Web Security Appliance PARTNER SERVICES Anti-Virus Anti-Spyware URL Filtering Instant Messaging & Peer-to-Peer Control Data Leakage Encryption 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 29 Cisco Confidential /webmoney 互联网边界安全控制 应用级别的安全防护：下一代防火墙 防火墙 入侵防护系统 内容级别的安全防护： Iron port Web/AV SPAM防护 统一 VPN接入系统： IPSec/SSL VPN 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 30 Cisco Confidential /webmoney 使用统一 VPN接入系统满足各种客户需求 Public Internet ASA 5500 VPN Edition 网页定制化的 SSL VPN接入 网页定制化 SSL VPN接入 隧道模式的 SSL或 IPSec VPN LAN接入 商业合作伙伴的 VPN接入 Requires “locked-down” access to specific extranet resources and applications 出差员工的远程接入服务 Remote access users require seamless, easy to use, access to corporate network resources 第三方平台临时接入服务 Remote users may require lightweight access to e-mail and web-based applications from a public machine 远程分支机构以及 SOHU型用户的 LAN接入 Day extenders and mobile employees require consistent LAN-like, full-network access, to corporate resources and applications 隧道模式的 SSL或 IPSec VPN客户端接入 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 31 Cisco Confidential /webmoney 隧道模式 VPN接入 : IPSec and SSL VPN Customizable access and streamlined management comprehensive IPSec and SSL VPN solutions on one platform Ease of administration dynamically downloadable SSL VPN client is centrally configured and easy to update Fast initiation and operation multiple delivery methods and small download size ensures broad compatibility and rapid download ASA 5500 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 32 Cisco Confidential /webmoney WEB模式 : Clientless Access Fully clientless web-based network access allows anywhere access to network resources Web content transformation provides excellent compatibility with web pages containing Java, ActiveX, complex HTML and JavaScript Multiple browser support ensures broad connection compatibility Uniform and efficient application delivery via fully clientless Citrix support Customizable user portal for ease of use and enhanced user experience ASA 5500 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 33 Cisco Confidential /webmoney 思科 AnyConnect客户端支持各种平台的接入 Next generation VPN client, available on many platforms including: Windows Vista 32- and 64-bitt, Windows XP 32- and 64-bit, and Windows 2000 Mac OS X 10.4 (Intel and PPC) Intel-based Linux Windows Mobile 5 Pocket PC Edition Stand-alone, Web Launch, and Portal Connection Modes Start before Login (SBL) and DTLS support Windows 2000 and XP only New! 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 35 Cisco Confidential /webmoney Business Partner Access Extranet Connections 企业网络 互联网 远程接入系统 远程分支机构 数据中心 管理网段 内部局域网 Internet Connections 企业互联网的业务安全 STOP GO STOP GO GO STOP GO 互联网边界安全控制 应用级别的安全防护 防火墙 入侵防护系统 内容级别的安全防护 Web/AV SPAM防护 统一 VPN接入系统 企业网络安全接入控制 LAN/WLAN/VPN的接入控制 评估终端的安全防护状态 控制终端接入的安全策略 主动终端防护系统 主动适应型终端防护 , 确保终端访问互联网时的安全，抵御互联网蠕虫以及网页木马病毒的攻击 企业安全策略控制 , 防止内部用户的恶意行为 终端与网络入侵防护及监控系统的联动 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 36 Cisco Confidential /webmoney 主动终端防护系统 Cisco Security Agent 主动适应型终端防护 , 确保终端访问互联网时的安全，抵御互联网蠕虫以及网页木马病毒的攻击 企业安全策略控制 , 防止内部用户的恶意行为 终端与网络入侵防护及监控系统的联动 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 37 Cisco Confidential /webmoney 新一代的主机安全解决方案 服务器和桌面系统的威胁防范机制 在恶意行为 之前 识别和防止 独特的行为检测手段分析已知或未知威胁 防范 : Mydoom W32.Blaster Fizzer Bugbear Sobig.E SQL Slammer Sircam.A CodeRed Nimda W32.Netsky 更多 , 不需要签名更新 ! Cisco安全代理 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 38 Cisco Confidential /webmoney CSA 逻辑结构 集中式安全管理器 SNMP Traps 客户程序 本地文件 策略 / 更新 报警 基于浏览器的管理界面 配置 报告，事件 桌面代理 桌面代理 桌面代理 服务器代理 服务器代理 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 39 Cisco Confidential /webmoney 恶意代码的共性 - 攻击流程分析 被攻击 的目标 1 2 3 4 5 探测 渗透 寄生 传播 发作 地址探测 端口扫描 密码猜测 邮件用户猜测 恶意邮件 缓冲区溢出 恶意 ActiveX 控件 自动软件安装 利用已有后门 创建新文件 修改已有文件 修改注册表 安装新的网络服务 建立系统后门 邮件传播 Web传播 IRC 传播 FTP传播 文件传播 删除文件 修改文件 使计算机瘫痪 拒绝服务 攻击准备 攻击实施 攻击后续 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 40 Cisco Confidential /webmoney August 2005， Zotob 蠕虫爆发 从微软公布漏洞到病毒爆发只有短短 5天 的时间 思科内部 IT紧急发布 Patch，但是仍有大约 18000台终端没有进行更新升级，在此期间全部依赖 CSA完成终端的防护 在整个事件中，全球 58000台 IT管理的桌面终端中，仅有319位用户受到影响，其原因在于关闭了 CSA的防护功能或者是采取了错误操作 这 319名员工的系统在 2天 内得到了全面的恢复 Cisco 安全代理 思科 实际案例分析 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 41 Cisco Confidential /webmoney 利用 CSA防止终端用户的数据泄漏 限制移动介质的数据复制 USB, floppy disk, CD Burner 限制通过非授权接口的进行数据传送 Modem, Bluetooth, IRDA 限制通过 webmail, p2p或 IM发送关键数据 限制系统的 cut & paste clipboard误操作 EMAIL Security Appliance WEB Security Appliance 企业级别的安全 内容识别与数据保护 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 43 Cisco Confidential /webmoney Network Scanner A Windows Server Linux Server Not Vulnerable Filter Event Vulnerable Increase Risk Rating Event / Action Filtering Monitoring Console: Non-relevant events filtered Attacker initiates IIS attack destined for servers Contextual information on attack target used to refine security response Contextual information gathered through: Passive OS fingerprinting Static OS mapping for exception handling Dynamic Risk Rating adjustment based on attack relevance Result: More appropriate and effective security response actions 针对终端防护的关联评估 New! 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 44 Cisco Confidential /webmoney CSA应用案例二 : Unmanaged Agent Unmanaged Network Ships standalone CSA on 50K+ ATM devices per year New enhancements added to 5.2: Local IP address configuration Local registry protection configuration CSA Team Focus: Contact Phuong Nguyen (pvnguyen) with standalone opportunities 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 45 Cisco Confidential /webmoney 企业网络安全接入控制 LAN/WLAN/VPN的接入控制 评估终端的安全防护状态 控制终端接入的安全策略 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 46 Cisco Confidential /webmoney 无线网络下的网络准入控制 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 47 Cisco Confidential /webmoney 访客控制的说明 GUEST The visitor who needs network access (usually internet only, but could be more) SPONSOR The internal user who wants to be able to provide internet access to their guest NETWORK ENFORCEMENT DEVICE Web re-direction, authentication and provides access. Wireless LAN Controller or NAC Appliance NAC GUEST SERVER Enables sponsor to create guest account； audits； provisions account on network enforcement device 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 48 Cisco Confidential /webmoney Guest Sponsor Internet Wired or Wireless NAC Appliance Cisco Guest Server 1. Sponsor accesses Cisco Guest Server, such as 2. Sponsor authenticates using corporate credentials 3. Sponsor Creates Account on the Cisco Guest Server 4. Sponsor gives guest account details (email/print/sms) 5. Guest Server Provisions Account on the Cisco NAC Appliance Active Directory 1. 2. 3. 4. 5. 访客控制的说明 : 内部员工预先创建帐号 2006 Cisco Sy stems, Inc. All rights reserv ed. Presentation_ID 49 Cisco Confidential /webmoney 访客接入并接受检查与授权 Guest Sponsor Internet Wired or Wireless 1. Guest opens Web browser 2. Web traffic is intercepted by Network Enforcement Device and redirected to login page (captive portal) 3. Guest logs in with details p