第1页共6页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页共6页思科自防御网络安全方案典型配置1.用户需求分析客户规模:客户有一个总部,具有一定规模的园区网络;一个分支机构,约有20-50名员工;用户有很多移动办公用户客户需求:组建安全可靠的总部和分支LAN和WAN;总部和分支的终端需要提供安全防护,并实现网络准入控制,未来实现对VPN用户的网络准入检查;需要提供IPSEC/SSLVPN接入;在内部各主要部门间,及内外网络间进行安全区域划分,保护企业业务系统;配置入侵检测系统,检测基于网络的攻击事件,并且协调设备进行联动;网络整体必须具备自防御特性,实现设备横向联动抵御混合式攻击;图形化网络安全管理系统,方便快捷地控制全网安全设备,进行事件分析,结合拓扑发现攻击,拦截和阻断攻击;整体方案要便于升级,利于投资保护;思科建议方案:部署边界安全:思科IOS路由器及ASA防火墙,集成SSL/IPSecVPN;安全域划分:思科FWSM防火墙模块与交换机VRF及VLAN特性配合,完整实现安全域划分和实现业务系统之间的可控互访;部署终端安全:思科准入控制NACAPPLIANCE及终端安全防护CSA解决方案紧密集成;安全检测:思科IPS42XX、IDSM、ASAAIP模块,IOSIPS均可以实现安全检测并且与网络设备进行联动;安全认证及授权:部署思科ACS4.0认证服务器;安全管理:思科安全管理系统MARS,配合安全配置管理系统CSM使用。第2页共6页第1页共6页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第2页共6页2.思科建议方案设计图点击放大3.思科建议方案总体配置概述安全和智能的总部与分支网络oLAN:总部,核心层思科Cat6500;分布层Cat4500;接入层Cat3560和CE500交换机,提供公司总部园区网络用户的接入;分支可以采用思科ASA5505防火墙内嵌的8FE接口连接用户,同时其头两个LAN端口支持POE以太网供电,可以连接AP及IP电话等设备使用,并且ASA5505留有扩展槽为便于以后对于业务模块的支持。oWAN:总部ISR3845路由器,分支ISR2811或者ASA防火墙,实现总部和分支之间安全可靠地互联,可以采用专线,也可以经由因特网,采用VPN实现;并且为远程办公用户提供IPSEC/SSLVPN的接入。总部和分支自防御网络部署说明o总部和分支路由器或者ASA防火墙,IPS,及IPSecVPN和WEBVPN功能,实现安全的网络访问和应用传输,以及高级的应用控制;另外,可利用思科Auto-Secure功能快速部署基本的安全功能。o安全域划分:实现行业用户内部业务系统逻辑隔离,并且保证在策略允许的情况下实现可控的互访,可以利用思科FWSM防火墙模块与C6K交换机完美集成,并且思科交换机VRF特性相结合,二层VLAN隔离,三层VRF隔离,最终利用VRF终结业务对应不同的虚拟防火墙,并且配置各个业务网段专用虚拟防火墙实现不同安全区域业务之间的可控互访。o终端安全:终端安全=NAC+CSA,利用思科NACAPPLINACE解决方案通过配置CAM/CAS两台设备实现思科NAC解决方案保证对于网络内主机的入网健康检查,利用思科CSA软件对于用户服务器及客户机进行安全加固、病毒零天保护、限制非法应用(P2P)、限制U盘使用等操作,并且两套解决方案可以实现完美结合,并且CSA和与MARS以及IPS进行横向联动,自动拦截攻击。第3页共6页第2页共6页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第3页共6页o安全检测:思科IPS42XX、IDSM、ASAAIP模块均可以实现安全检测并与网络设备进行联动,思科安全IPS设备支持并联和串连模式,旁路配置时可以监控各个安全域划分区域内部业务,识别安全风险,与MARS联动,也可以与思科网络设备防火墙、C6K交换机、路由器等进行联动,自动推送配置给设备实现攻击的拦截工作。ISR启用NETFLOW功能与MARS进行联动进行异常流量及行为监控;o安全认证及授权:部署思科ACS4.0认证服务器,实现网管认证,并且可以实现有线及无线用户DOT1X认证需求o安全管理:图形化思科安全管理器CSM,可以监控,配置和管理总部和分支所有安全设备,包括防火墙,VPN和IPS等;思科安全响应系统MARS,随时获取全网范围内的所有报告,进行智能的关联和分析...
