寻找与ACS类似的AAA认证软件
我们这边是一个月业务量认证发票少于25张的,没有要求购买认证软件及设备。
会计可以拿到税务窗口代为扫描认证。
业务多的则窗口会建议你去购买。
不过现在我们当地的国税大厅配备了自主认证发票的设备,像ATM差不多。
如果你们当地税务局也有这样的服务就可免去购买设备及交服务费的费用购买后会计就轻松些,可以少跑跑国税
CiscoACS替代方案是什么?
Cisco的ACS服务器可以提供完善AAA服务,包括认证、授权和记账的功能。
但价格较高,不适合中小企业使用。
其实我们可以让Cisco网络设备本身记录配置的变更,并将变更的内容发送到syslog服务器上,然后由syslog定时将相关的记录过滤出来,通过邮件发送到指定的邮箱来实现记账的功能。
在这里我使用Splunk作为syslog服务器,splunk是linux下一款优秀的日志收集和分析软件,免费版可以提供每天500M的日志索引量,对于中小企业已经足够了。
下面我们以cisco的交换机和防火墙为例: 1)cisco交换机配置 achive log config logging enale logging size 200 hidekeys notify syslog logging tap notifications logging x.x.x.x 2) cisco ASA5500配置 logging enale logging host inside x.x.x.x logging class config tap notifications 3)splunk基本配置 linux下splunk的安装具体见www.splunk.com,同时需要安装smtp邮件系统,我使用的是postfix。
安装完成后通过IE访问splunk管理页面。
在admin页面中定义使用udp 514端口接受syslog日志。
4)splunk报警配置 在搜索框中输入以下条件,并点击搜索框左边的小箭头,选择'save seach'。
%ASA-5-111008 OR %PARSER-5-CFGLOG_LOGGEDCMD statminutesago=60 在'save seach'的定义页面中选择以下选项, 选中 Run this seach on a schedule schedule:un evey hou alet:alet when nume of event geate than 1 send email : xxx@xxx.com 选中 include esults 5)验证邮件报警功能 在交换机或者防火墙上修改配置,splunk将每隔60分钟搜寻一下前60分钟收到的日志,将与配置变更有关的内容自动发送到你指定的邮箱中,邮件范例如下: Fom: splunk@localhost To: xxx@xxx.com Content:Saved seach esults. Name: 'Config Change' Quey Tems: 'now=1242100800 %ASA-5-111008 OR %PARSER-5-CFGLOG_LOGGEDCMD statminutesago=60' Alet was tiggeed ecause of: 'Saved Seach [Config Change]: nume of events(16) geate than 1' Seach esults attached: attachment: %PARSER-5-CFGLOG_LOGGEDCMD: Use:xxx logged command:sevice timestamps log datetime
Cisco Secure Access Control System 请问这个软件是免费的吗 怎么下...
安装之前,你需要下载由思科提供的ACS 5.2 ISO映像您可以将其刻录到DVD或直接使用ISO文件安装。
详见虚拟机软件配置的注意事项。
思科Cisco Secure ACS 5.2安装 虚拟机启动后?在选择下列选项:[1] Cisco Secure ACS Installation (Keyboard/Monitor)然后开始安装操作系统,花费时间和硬件配置相关,从几分钟到十几分钟不等。
?操作系统安装完成并重新启动后,在登录屏幕输入用户名setup 开始配置ACS的参数 ?提供你的主机名,IP地址,掩码,默认网关,域名后缀,DNS服务器IP地址,系统用户名和密码后ACS开始安装自身的应用,花费时间和硬件配置相关,从几分钟到十几分钟不等。
?ACS应用安装完成后系统重启,在登录提示输入您之前设置的用户名/密码,然后键入以下命令: show application status acs ,你应该看到如下结果:ACS role: PRIMARYProcess 'view-logprocessor' running 如果上述结果显示没有出现,可能是您的硬件配置较低,需要多等待一些时间,然后再试一次。
?接下来,您可以登录ACS 5.2的配置界面:?通过默认的Web管理员用户名和密码:ACSAdmin / default登录,系统会要求你更改默认管理员的密码?登陆后,系统要求你配置ACS的授权文件,如果你的目的是测试和自学可以到CCO申请试用license。
申请地址为cisco.com/go/license,选择 ,接着在Network Mgmt Products下选择。
输入必要的信息并提交,稍后一段时间license文件就会生成并下载,同时一份副本也会发送到申请人的电子邮箱里。
使用该文件上载到ACS 5.2服务器你就可以在90天内试用ACS 5.2的全部功能!
思科的交换机到底有些什么特殊功能
你好,我是CCIE,玩思科的设备有很多年的时间了,思科的设备为什么要比其他的设备贵的,我自己的感觉首先是他质量很好,在我们做系统集成的时候,用过很多的设备,包括华为的,思科的,神码的,还有juniper的,你会发现国产的设备一般用不了多久就会出现各种各样奇怪的问题,比如风扇,板卡,引擎板有莫名其妙的问题,让现场的工程师都无可奈何,又如国产的某个品牌的路由器,宣称做了IPSEC-***后带宽能达到10g,但是只有1g多点,这样的情况我看得多了,所以对咱们国家的设备都有点无可奈何。
但是思科的设备,我只说一个,90年代的25系列的路由器,到了现在,一点问题都没有,非常好用,像原来我考CCIE的时候,实验室的机房温度有的时候到了50度,其他品牌的设备都冒烟了,思科的一点问题都没有,作为世界上网络设备的帝国,质量绝对没有问题。
第二,思科的设备是ALL-IN-ONE,就是说思科希望将很多服务器的功能都集成到它的IOS里面,所以思科有丰富的feature,比如你可以在IOS上配置dhcp服务器,可以与他的ACS(AAA服务的软件)做联动,可以与他的IP电话做联动,可以做IOS安全让一台路由器充当防火墙的功能,甚至你可以下载pdlm模块来限制BT下载,功能是非常非常强大的。
也是绝非一般的设备能比的。
第三,思科的设备凝聚着这个世界上最伟大的研发人员的心血,他引领着整个网络设备的发展,比如他发明了很多技术,MPLS,CEF,还有很多各种各样的私有技术都颠覆了网络技术的方向,当然也被华为,锐捷这样的厂商抄进了自己的设备。
所以,如果你资金允许,我很推荐你买思科的设备。
思科的路由器命令怎么使用?
CISCO路由器配置手册任务命令设置用户名和密码username username password password设置用户的IP地址池ip local pool {default | pool-name low-ip-address [high-ip-address]}指定地址池的工作方式ip address-pool [dhcp-proxy-client | local]基本接口设置命令:任务命令设置封装形式为PPPencapsulation ppp启动异步口的路由功能async default routing设置异步口的PPP工作方式async mode {dedicated | interactive}设置用户的IP地址peer default ip address {ip-address | dhcp | pool [pool-name]}设置IP地址与Ethernet0相同ip unnumbered ethernet0line拨号线设置:任务命令设置modem的工作方式modem {inout|dialin}自动配置modem类型modem autoconfig discovery设置拨号线的通讯速率speed speed设置通讯线路的流控方式flowcontrol {none | software [lock] [in | out] | hardware [in | out]}连通后自动执行命令autocommand command访问服务器设置如下:Router:hostname Routerenable secret 5 $1$EFqU$tYLJLrynNUKzE4bx6fmH//!interface Ethernet0ip address 10.111.4.20 255.255.255.0!interface Async1ip unnumbered Ethernet0encapsulation pppkeepalive 10async mode interactivepeer default ip address pool Cisco2511-Group-142!ip local pool Cisco2511-Group-142 10.111.4.21 10.111.4.36!line con 0exec-timeout 0 0password cisco!line 1 16modem InOutmodem autoconfigure discoveryflowcontrol hardware!line aux 0transport input allline vty 0 4password cisco!end 相关调试命令:show interfaceshow line1.2. Access Server通过Tacacs服务器实现安全认证:使用一台WINDOWS NT服务器作为Tacacs服务器,地址为10.111.4.2,运行Cisco2511随机带的Easy ACS 1.0软件实现用户认证功能.相关设置:任务命令激活AAA访问控制aaa new-model用户登录时默认起用Tacacs+做AAA认证aaa authentication login default tacacs+列表名为no_tacacs使用ENABLE口令做认证aaa authentication login no_tacacs enable
ACS认证 是怎么回事?
1. 外部网络的安全威胁 企业网络与外网有互连。
基于网络系统的范围大、函盖面广,内部网络将面临更加严重的安全威胁,入侵者每天都在试图闯入网络节点。
网络系统中办公系统及员工主机上都有涉密信息。
假如内部网络的一台电脑安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。
透过网络传播,还会影响到与本系统网络有连接的外单位网络。
如果系统内部局域网与系统外部网络间没有采取一定的安全防护措施,内部网络容易遭到来自外网一些不怀好意的入侵者的攻击。
2.内部局域网的安全威胁 据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。
来自机构内部局域网的威胁包括:误用和滥用关键、敏感数据;内部人员故意泄漏内部网络的网络结构;内部不怀好意的员工通过各种方式盗取他人涉密信息传播出去。
3.网络设备的安全隐患 网络设备中包含路由器、交换机、防火墙等,它们的设置比较复杂,可能由于疏忽或不正确理解而使这些设备可用但安全性不佳。
二、操作系统的安全风险分析 所谓系统安全通常是指操作系统的安全。
操作系统的安装以正常工作为目标,一般很少考虑其安全性,因此安装通常都是以缺省选项进行设置。
从安全角度考虑,其表现为装了很多用不着的服务模块,开放了很多不必开放的端口,其中可能隐含了安全风险。
目前的操作系统无论是Windows还是UNIX操作系统以及其它厂商开发的应用系统,其开发厂商必然有其Back-Door。
而且系统本身必定存在安全漏洞。
这些后门和安全漏洞都将存在重大安全隐患。
系统的安全程度跟安全配置及系统的应用有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击技术的人都可能入侵得手。
如果进行安全配置,填补安全漏洞,关闭一些不常用的服务,禁止开放一些不常用而又比较敏感的端口等,那么入侵者要成功进入内部网是不容易的,这需要相当高的技术水平及相当长时间。
三、应用的安全风险分析 应用系统的安全涉及很多方面。
应用系统是动态的、不断变化的。
应用的安全性也是动态的。
这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。
文件服务器的安全风险:办公网络应用通常是共享网络资源。
可能存在着员工有意、无意把硬盘中重要信息目录共享,长期暴露在网络邻居上,可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密,因为缺少必要的访问控制策略。
数据库服务器的安全风险:内网服务区部署着大量的服务器作为数据库服务器,在其上运行数据库系统软件,主要提供数据存储服务。
数据库服务器的安全风险包括:非授权用户的访问、通过口令猜测获得系统管理员权限、数据库服务器本身存在漏洞容易受到攻击等。
数据库中数据由于意外(硬件问题或软件崩溃)而导致不可恢复,也是需要考虑的安全问题。
病毒侵害的安全风险:网络是病毒传播的最好、最快的途径之一。
病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。
因此,病毒的危害的不可以轻视的。
网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。
数据信息的安全风险:数据安全对企业来说尤其重要,数据在公网线路上传输,很难保证在传输过程中不被非法窃取、篡改。
现今很多先进技术,黑客或一些企业间谍会通过一些手段,设法在线路上做些手脚,获得在网上传输的数据信息,也就造成的泄密。
四、管理的安全分析 管理方面的安全隐患包括:内部管理人员或员工图方便省事,不设置用户口令,或者设置的口令过短和过于简单,导致很容易破解。
责任不清,使用相同的用户名、口令,导致权限管理混乱,信息泄密。
把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。
内部不满的员工有的可能造成极大的安全风险。
管理是网络中安全得到保证的重要组成部分,是防止来自内部网络入侵必须的部分。
责权不明,管理混上乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。
即除了从技术下功夫外,还得依靠安全管理来实现。
三. XX企业方案设计 该企业信息安全防护方案和策略主要由以下各部分组成: 1.Internet安全接入 采用PIX515作为外部边缘防火墙,其内部用户登录互联网时经过NetEye防火墙,再由PIX映射到互联网。
PIX与NetEye之间形成了DMZ区,需要提供互联网服务的邮件服务器、Web 服务器等防止在该DMZ区内。
该防火墙安全策略如下: (1) 从Internet上只能访问到DMZ内Web服务器的80端口和邮件服务器的25端口; (2) 从Internet和DMZ区不能访问内部网任何资源; (3) 从Internet访问内部网资源只能通过***系统进行。
为了防止病毒从Internet进入内部网,该企业在DMZ区部署了网关防病毒系统。
采用Symantec Web Security 3.0防病毒系统,对来自互联网的网页内容和附件等信息设定了合理的过滤规则,阻断来自互联网的...
怎样让公司各部门随时更新的信息共享?
【为保护隐私,公司原名用XX代替。
内容涉及企业网络安全防护,入侵检测,***加密、数据安全、用户认证等企业信息安全案例,供参考】 XX企业信息安全综合解决方案设计 一. 引言 随着全球信息化及宽带网络建设的飞速发展,具有跨区域远程办公及内部信息平台远程共享的企业越来越多,并且这种企业运营模式也逐渐成为现代企业的主流需求。
企业总部和各地的分公司、办事处以及出差的员工需要实时地进行信息传输和资源共享等,企业之间的业务来往越来越多地依赖于网络。
但是由于互联网的开放性和通信协议原始设计的局限性影响,所有信息采用明文传输,导致互联网的安全性问题日益严重,非法访问、网络攻击、信息窃取等频频发生,给公司的正常运行带来安全隐患,甚至造成不可估量的损失。
因此必须利用信息安全技术来确保网络的安全问题,这就使得网络安全成了企业信息化建设中一个永恒的话题。
目前企业信息化的安全威胁主要来自以下几个方面:一是来自网络攻击的威胁,会造成我们的服务器或者工作站瘫痪。
二是来自信息窃取的威胁,造成我们的商业机密泄漏,内部服务器被非法访问,破坏传输信息的完整性或者被直接假冒。
三是来自公共网络中计算机病毒的威胁,造成服务器或者工作站被计算机病毒感染,而使系统崩溃或陷入瘫痪,甚至造成网络瘫痪。
如前段时间在互联网上流行的“熊猫烧香”、“灰鸽子”等病毒就造成了这样的后果。
那么如何构建一个全面的企业网络安全防护体系,以确保企业的信息网络和数据安全,避免由于安全事故给企业造成不必要的损失呢? 二. XX企业需求分析 该企业目前已建成覆盖整个企业的网络平台,网络设备以Cisco为主。
在数据通信方面,以企业所在地为中心与数个城市通过1M帧中继专线实现点对点连接,其他城市和移动用户使用ADSL、CDMA登录互联网后通过***连接到企业内网,或者通过PSTN拨号连接。
在公司的网络平台上运行着办公自动化系统、SAP的ERP系统、电子邮件系统、网络视频会议系统、VoIP语音系统、企业Web网站,以及FHS自动加油系统接口、互联网接入、网上银行等数字化应用,对企业的日常办公和经营管理起到重要的支撑作用。
1. 外部网络的安全威胁 企业网络与外网有互连。
基于网络系统的范围大、函盖面广,内部网络将面临更加严重的安全威胁,入侵者每天都在试图闯入网络节点。
网络系统中办公系统及员工主机上都有涉密信息。
假如内部网络的一台电脑安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。
透过网络传播,还会影响到与本系统网络有连接的外单位网络。
如果系统内部局域网与系统外部网络间没有采取一定的安全防护措施,内部网络容易遭到来自外网一些不怀好意的入侵者的攻击。
2.内部局域网的安全威胁 据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。
来自机构内部局域网的威胁包括:误用和滥用关键、敏感数据;内部人员故意泄漏内部网络的网络结构;内部不怀好意的员工通过各种方式盗取他人涉密信息传播出去。
3.网络设备的安全隐患 网络设备中包含路由器、交换机、防火墙等,它们的设置比较复杂,可能由于疏忽或不正确理解而使这些设备可用但安全性不佳。
二、操作系统的安全风险分析 所谓系统安全通常是指操作系统的安全。
操作系统的安装以正常工作为目标,一般很少考虑其安全性,因此安装通常都是以缺省选项进行设置。
从安全角度考虑,其表现为装了很多用不着的服务模块,开放了很多不必开放的端口,其中可能隐含了安全风险。
目前的操作系统无论是Windows还是UNIX操作系统以及其它厂商开发的应用系统,其开发厂商必然有其Back-Door。
而且系统本身必定存在安全漏洞。
这些后门和安全漏洞都将存在重大安全隐患。
系统的安全程度跟安全配置及系统的应用有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击技术的人都可能入侵得手。
如果进行安全配置,填补安全漏洞,关闭一些不常用的服务,禁止开放一些不常用而又比较敏感的端口等,那么入侵者要成功进入内部网是不容易的,这需要相当高的技术水平及相当长时间。
三、应用的安全风险分析 应用系统的安全涉及很多方面。
应用系统是动态的、不断变化的。
应用的安全性也是动态的。
这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。
文件服务器的安全风险:办公网络应用通常是共享网络资源。
可能存在着员工有意、无意把硬盘中重要信息目录共享,长期暴露在网络邻居上,可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密,因为缺少必要的访问控制策略。
数据库服务器的安全风险:内网服务区部署着大量的服务器作为数据库服务器,在其上运行数据库系统软件,主要提供数据存储服务。
数据库服务器的安全风险包括:非授权用户的访问、通过口令猜测获得系统管理员权限、数据库服务器本身存在漏洞容易受到攻击等。
数据库中数据由于意外(硬件问题或软件崩溃)而导致不可恢复,也是需要考虑的安全...