思科自防备网络安全方案典型配置思科自防备网络安全方案典型配置1. 用户需求分析客户规模:客户有一个总部,具有一定规模的园区网络; 一个分支机构,约有 20-50 名员工; 用户有很多移动办公用户 客户需求:组建安全可靠的总部和分支 LAN 和 WAN; 总部和分支的终端需要提供安全防护,并实现网络准入控制,未来实现对 VPN 用户的网络准入检查; 需要提供 IPSEC/SSLVPN 接入; 在内部各主要部门间,及内外网络间进行安全区域划分,保护企业业务系统; 配置入侵检测系统,检测基于网络的攻击事件,而且协调设备进行联动; 网络整体必须具备自防备特性,实现设备横向联动抵御混合式攻击; 图形化网络安全管理系统,方便快捷地控制全网安全设备,进行事件分析,结合拓扑发现攻击,拦截和阻断攻击; 整体方案要便于升级,利于投资保护; 思科建议方案:部署边界安全:思科 IOS 路由器及 ASA 防火墙,集成 SSL/IPSec VPN; 安全域划分:思科 FWSM 防火墙模块与交换机 VRF 及 VLAN 特性配合,完整实现安全域划分和实现 业务系统之间的可控互访; 部署终端安全:思科准入控制 NAC APPLIANCE 及终端安全防护 CSA 解决方案紧密集成; 安全检测:思科 IPS42XX、IDSM、ASA AIP 模块,IOS IPS 均能够实现安全检测而且与网络设备进行联动; 安全认证及授权:部署思科 ACS 4.0 认证服务器; 安全管理:思科安全管理系统 MARS,配合安全配置管理系统CSM 使用。 2. 思科建议方案设计图点击放大3. 思科建议方案总体配置概述安全和智能的总部与分支网络 oLAN: 总部,核心层思科 Cat6500;分布层 Cat4500;接入层 Cat3560 和 CE500 交换机,提供公司总部园区网络用户的接入; 分支能够采纳思科 ASA5505 防火墙内嵌的8FE 接口连接用户,同时其头两个 LAN 端口支持 POE 以太网供电,能够连接 AP 及 IP 电话等设备使用,而且ASA5505 留有扩展槽为便于以后对于业务模块的支持。 oWAN: 总部 ISR3845 路由器,分支 ISR2811 或者 ASA 防火墙,实现总部和分支之间安全可靠地互联,能够采纳专线,也能够经由因特网,采纳 VPN 实现;而且为远程办公用户提供 IPSEC/SSL VPN 的接入。 总部和分支自防备网络部署说明 o总部和分支路由器或者 ASA 防火墙,IPS,及 IPSec VPN和 WEB VPN 功能,实现安全的网络访问和应用传输,以及高级的应用控制; 另外,可利用思科 Auto-Secure 功能快速部署基本的...
