|
|
典型配置清单推荐总结
- 总部安全管理 思科安全认证管理产品线配置建议(MARS/CCA/ACS/IPS):
再次感谢LeoLi的配置撰写和检查工作
企业自防御网络部署建议�用户需求概要
客户规模:
客户有一个总部, 具有一定规模的园区网络;
一个分支机构, 约有20-50名员工;
用户有很多移动办公用户
客户需求:
组建安全可靠的总部和分支LAN和WAN;
总部和分支部署主机需要进行终端安全防护及终端准入控制,并且未来实现对于VPN用户的检查;
需要网络设备支持IPSEC/SSLVPN接入,分支机构需要性价比较高设备组网,并且注重安全性;
需要利用网络设备保护企业对外业务发布系统,需要对网内业务分类并且进行相应安全区域划分;
需要配置入侵检测系统检测基于网络的攻击事件,并且协调设备进行联动;
图形化的网络安全管理系统,控制全网安全设备,进行事件分析,结合拓扑发现攻击,拦截阻断攻击;
整体方案要便于以后升级, 体现设备间横向联动,以利于投资保护;
网络整体必须具备一定自防御特性,实现设备横向联动抵御混合式攻击;
思科建议方案概述:
边界安全:ISR 路由器及ASA 防火墙,实现SSL/IPSECVPN集成。
安全域划分:思科FWSM防火墙模块与交换机VRF及VLAN特性配合,完整实现安全域划分 业务可控互访
终端安全:思科准入控制NAC APPLIANCE及终端安全防护CSA解决方案紧密集成
安全检测:思科IPS42XX、IDSM、ASA AIP模块均可以实现安全检测并且与网络设备进行联动
安全认证及授权:部署思科ACS 4.0认证服务器
安全管理:思科安全管理系统MARS,配合配置管理系统CSM结合使用。MARS-50或以上
分支机构:ASA5505组网、一台设备实现交换路由安全功能三合一。
企业自防御网络部署建议�-方案总体功能特点概述:
安全和智能的总部与分支网络:
LAN: 总部思科核心C6K;分布可以采用C4500;接入采用C3560和CE500交换机, 提供约公司总部园区网络用户的接入; 分支思科ASA5505 防火墙内嵌8FE接口连接用户主机, 内嵌连歌POE接口可以连接AP及IP电话使用,并且ASA5505留有扩展槽为便于以后对于业务模块的支持。
WAN: 总部ISR 路由器, 分支ISR2811或者ASA防火墙, 实现总部和分支之间安全可靠地互联, 可以采用专线, 也可以经由因特网, 采用VPN实现;并且为远程办公用户提供IPSEC/SSL VPN的接入。
总部和分支自防御网络特性部署说明:
利用总部和分支路由器或者ASA防火墙的IOS FW和IOS IPS, 及 IPSec VPN和WEB VPN功能, 实现安全的网络访问和应用传输, 以及高级的应用控制; 另外, 可利用思科Auto-Secure功能快速部署基本的安全功能。
安全域划分:实现行业用户内部业务系统逻辑隔离,并且保证在策略允许的情况下实现可控的互访,可以利用思科FWSM防火墙模块与C6K交换机完美集成,并且思科交换机VRF特性相结合,二层VLAN隔离,三层VRF隔离,最终利用VRF终结业务对应不同的虚拟防火墙,并且配置各个业务网段专用虚拟防火墙实现不同安全区域业务之间的可控互访。
终端安全:终端安全=NAC+CSA,利用思科NAC APPLINACE 解决方案通过配置CAM/CAS两台设备实现思科NAC解决方案保证对于网络内主机的入网健康检查,利用思科CSA软件对于用户服务器及客户机进行安全加固、病毒零天保护、限制非法应用(P2P)、限制U盘使用等操作,并且两套解决方案可以实现完美结合,并且CSA和与MARS以及IPS进行横向联动,自动拦截攻击。
安全检测:思科IPS42XX、IDSM、ASA AIP模块均可以实现安全检测并且与网络设备进行联动,思科安全IPS设备支持并联和串连模式,旁路配置时可以配置IPS监控各个安全域划分区域内部业务,发现识别安全风险与MARS联动,与思科网络设备防火墙、C6K交换机、路由器进行联动,自动推送配置给设备实现攻击的拦截工作。ISR启用NETFLOW功能与MARS进行联动进行异常流量及行为监控。
安全认证及授权: 部署思科ACS 4.0认证服务器,实现网管认证,并且可以实现有线及无线用户DOT1X认证需求。
安全管理:图形化思科网络助理CNA, 可以监控,配置和管理总部或者分支网络中的所有设备, 包括交换机,路由器和IP电话机;CNA中调用思科SDM管理软件,对路由器上的所有功能, 包括防火墙, VPN和IPS等进行图形化的配置管理;思科安全管理系统MARS,管理全网安全设备,汇总及分析时间,调用全网设备进行普遍计算,并且结合网络拓扑图现实安全威胁及攻击时间,最终调用网络设备对于攻击进行拦截和阻断。
分支机构:ASA5505组网、一台设备实现交换路由安全功能三合一,并且满足用户对于IPSEC/SSLVPN的接入要求。ASA本身良好稳定的操作系统,也可以从根本上保证网络安全稳定运行的重要。
LAN:
总部C6K交换机为主干, 分布层交换机C4500,接入层交换机 CE500-24PC为桌面交换机, 可提供用户以100M接入, 同时提供IP电话机的电源供应;
WAN:
采用ISR3800系列路由器,小型分支机构建议利用ASA5505直接组网即可;
自防御网络安全产品:
公司总部涉及产品
边界安全:推荐使用ISR 路由器及ASA 5500防火墙,实现SSL/IPSECVPN集成。同时建议配置ASA+AIP模块捆绑方式放置与网络的边界实现基于网络攻击的拦截。必须同时购买相应的IPS 模块SMARTNET服务。
安全域划分:思科FWSM防火墙模块与核心C6K交换机配合组网,并且与交换机VRF及VLAN特性配合,完整实现安全域划分 业务可控互访。
终端安全:配置两台CAM及CAS(冗余配置)实现NAC部署(CAM旁路配置),根据用户规模选择适当CAM型号,并且根据同时在线管理的客户机数量选择CAS的授权、配置CSA-MC服务器并且根据用户实际需求购买相应数量的服务器及终端机保护授权,必须同时购买相应的SMARTNET服务。
安全检测:可以单独配置思科IPS42XX、C6K集成 IDSM入侵检测模块、ASA 集成的AIP模块等均可以实现安全检测并且与网络设备进行联动。
安全认证及授权:部署思科ACS 4.0认证服务器,两台配置ACS可以实现冗余配置。
安全管理:思科安全管理系统MARS,配合配置管理系统CSM结合使用。MARS型号小型企业建议购买MARS-20R可以今后通过授权升级至MARS20,中型企业园区网络建议MARS-50或以上型号。
分支机构:小型分支机构建议利用ASA5505组网、一台设备实现交换路由安全功能三合一。规模较大分支机构可以推荐用户利用ISR集成组网。
Cisco自防御网络设计框架v1.rar
(1.6 MB, 下载次数: 214)
 该贴已经同步到 goodluck的微博 |
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2013-4-11 11:30:55
置顶卡
喧嚣卡
变色卡
千斤顶
发表于 2013-4-24 00:14:02
