|
|
 详 细 内 容 |
|
|
| 思科自防御网络安全方案 |
|
1、 用户需求分析
◇ 客户规模:
— 客户有一个总部,具有一定规模的园区网络;
— 一个分支机构,约有20-50名员工;
— 有总计十几个移动办公用户。
◇ 客户需求:
— 组件安全可靠的总部和分支LAN和WAN;
— 在内部各主要部门间,及内外网络间进行安全区域划分,保护企业业务系统;
— 配置入侵检测系统,检测基于网络的攻击事件,并且协调设备进行联动;
— 总部和分支的终端需要提供安全防护,并实现网络准入控制,未来实现对VPN用户的网络准入检查;
— 需要提供IPSEC/WEB VPN接入;
— 网络整体必须具备自防御特性,实现设备横向联动抵御混合式攻击;
— 图形化网络安全管理系统,方便快捷地控制全网安全设备,进行事件分析,结合拓扑发现攻击,拦截和阻断攻击;
— 整体方案要便于升级,利于投资保护;
◇ 天丝建议方案:
— 部署边界安全:思科IOS路由器及ASA防火墙,集成SSL/IPSEC VPN;
— 安全域划分:思科FWSM防火墙模块与交换机VRF及VLAN特性配合,完整实现安全域划分和实现业务系统之间的可控互访;
— 安全检测:思科IPS42XX、IDSM、ASA AIP模块,ISO IPS均可以实现安全检测并且与网络设备进行联动;
— 部署终端安全:思科准入控制NAC APPLIANCE及终端安全防护CSA解决方案紧密集成;
— 安全认证及授权:部署思科ACS4.0认证服务器;
— 安全管理:思科安全管理系统MARS,配合安全配置管理系统CSM使用。 2、 天丝建议方案设计图 
3、 天丝建议方案总体配置: ◆ 安全和智能的总部与分支网络:
◇ LAN:总部,核心层思科Cat6500;分布层Cat4500;接入层Cat3560和Cat2960交换机,提供公司总部园区网络用户的接入,分支可以采用思科ASA5505防火墙内嵌的8FE接口连接用户,同时其头两个LAN端口支持POE以太网供电,可以连接AP及IP电话等设备使用,并且ASA505留有扩展槽为便于以后对于业务模块的支持。
◇ WAN:总部ISR3845路由器,分支ISR2811或者ASA防火墙,实现总部和分支之间安全可靠地互联,可以采用专线,也可以经由因特网,采用VPN实现,并且为远程办公室用户提供IPSEC/SSL VPN的接入。
◆ 总部和分支防御网络部署说明
◇ 总部和分支路由器或者ASA防火墙,IPS,及IPSEC VPN和WEB VPN功能,实现安全的网络访问和应用传输,以及高级的应用控制,另外,可利用思科Auto-Secure功能快速部署设备自身的安全。
◇ 安全域划分:实现行业用户内部业务系统逻辑隔离,并且保证在策略允许的情况下实现可控的互访,可以利用思科FWSM防火墙模块与C6K交换机完美集成,并且思科交换机VRF特性相结合,二层VLAN隔离,三层VRF隔离,最终利用VRF终结业务对应不同的虚拟防火墙,并且配置各个业务网段专业虚拟防火墙实现不同安全区域业务之间的可控可访。
◇ 终端安全:终端安全=NAC+CSA,利用思科NAC APPLINACE解决方案通过配置CAM./CAS两台设备实现思科NAC解决方案保证对于网络内主机的入网健康检查,利用思科CSA软件对于用户服务器保及客户机进行安全加固、病毒零天保护、限制非法应用(P2P)、限制U盘使用等操作,两套解决方案可以实现完美结合,并且CSA可以与MARS及IPS进行横向联动,自行拦截攻击。
◇ 安全检测:思科IPS42XX、IDSM、ASA AIP模块均可以实现安全检测并与网络设备进行联动,思科安全IPS设备支持并联和串连模式,旁路配置时可以监控各个安全域划分区域内部业务,识别安全风险,与MARS联动,也可以与思科网络设备防火墙、C6K交换机、路由器等进行联动,自动推送配置给设备实现攻击的拦截工作。ISR启用NETFLOW功能与MARS进行联动进行异常流量及行为监控;
◇ 安全认证及授权:部署思科ACS4.0认证服务器,实现网管认证,并且可以实现有线及无线用户DOT1X认证需求
◇ 安全管理:图形化思科安全管理器CSM,可以监控,配置和管理总部和分支所有安全设备,包括防火墙,VPN和IPS等,思科安全响应系统MARS,随时获取全网范围内的所有报告,进行智能的关联和分析,进而结合网络拓扑图,分析出当前正在发生的攻击路径,并给出响应方案,也可调用网络设备对攻击拦截和阻断。 4、 方案产品配置详述
◆ LAN:
◇ 总部C6K交换机为主干,分布层交换机C4500,接入层交换机CE500-24PC为桌面交换机,可提供用户以100M接入,同时提供IP电话机的电源供应;
◆ WAN:
◇ 采用ISR3800系统路由器,小型分支机构建议利用ASA5505直接组网即可;
◆ SDN自防御网络安全:
◇ 边界安全:ISR路由器及ASA 5500防火墙,配置ASA+AIP模块实现基于网络攻击的拦截,同时购买相应的IPS模块SMARTNET服务。
◇ 安全域划分:在核心的Cat6500交换机配置FWSM防火墙模块,与交换机VRF及VLAN特性配合,完整实现安全域划分以及业务可控互访。
◇ 终端安全:配置两台CAM及CAS(冗余配置)实现NAC部署(CAM旁路配置),根据用户规模选择适当CAM型号,并且根据同时在线管理的客户机数量选择CAS的授权、配置CSA-MC服务器,根据用户实际需求购买相应数量的服务器及终端机保护授权,必须同时购买相应的SMARTNET服务。
◇ 安全检测:可以单独配置思科IPS42XX、C6K集成IDSM入侵检测模块、ASA集成的AIP模块等均可以实现安全检测并且与网络设备进行联动。
◇ 安全认证及授权:部署思科ACS4.0认证服务器,配置两台ACS可以实现冗余
◇ 安全管理:思科安全响应系统MARS,安全管理系统CSM,小型企业购买MARS-20R,可以通过授权升级至MARS20,中型企业园区网络建议MARS-50或以上型号。
◇ 分支机构:小型分支机构建议利用ASA5505组网、一台设备实现交换路由安全功能三合一。规模较大分支可以推荐用户利用ISR集成组网。 5、 总部和分支方案产品清单 总部边界安全配置: | CISCO3825-SEC/K9 | 3825 Security Bundle,Advanced Security,64F/256D | | AIM-VPN/SSL-3 | DES/3DES/AES/SSL VPN Encryption/Compression | | FL-WEBVPN-100-K9 | Feature License IOS SSL VPN Up To 100 Users(Incremental) | | CAB-ACA | Plug,Power Cord,Australian,10A | ASA 5520+AIP模块+服务 | ASA552-AIP20-K8 | ASA5520 Appliance W/AIP-SSM-20,SW,HA | | CAB-ACA | Plug Power Cord,Australian,10A | | SF-ASA-7.2-K8 | ASA5500 Series Software v7.2 | | ASA-VPN-CLNT-K9 | Cisco VPN Client Software(Windows,Solaris,Linux,Mac) | | CON-SU1-AS2A20K8 | IPS SVC, AR NBD ASA 5520-AIP20-K8 | 总部安全域划分配置建议:Cat506+FWSM+2个虚拟防火墙授权 | WS-C6506-E-FWM-K9 | Cisco Catalyst 6506E Firewall Security System | | S733AISK9-12218SXE | Csico CAT6000-SUP720 IOS ADVANCED IP SERVICES SSH | | MEM-C6K-CPTFL128M | Cat6500 Sup 720/Sup32 Compact Flash Mem 128MB | | WS-CAC-3000W | Catalyst 6500 3000W AC Power supply | | CAB-AC16A-CH | 16A AC Power Cord For China | 总部终端安全之终端安全防护CSA配置建议:CSA 25服务器授权 | CSA-B25-SRVR-K9 | Cisco Security Agent [25 Server Agent Bundle | | CON-SAU-CSA-B25S | SW APP SUPP Cisco Security Server Agent – 25 Agents | CSA 250个客户端授权 | CSA-B250-DTOP-K9 | Cisco Security Agent [250 Desktop Agent Bundle | | CON-SAU-CSA-B250D | SW APP SUPP Cisco Security Desktop Agent - 250 Agents | CSA MC管理软件 | CSA-START-5.1-K9 | CSA 5.1 Starter Kit [MC, 1 Server, and 10 Desktop Agents | | CON-SAU-CSA-STRT | SW APP SUPP CSA Starter Bundle | 总部安全检测 思科IPS产品线配置建议 硬件为例:IPS 4240+服务 | IPS-4240-K9 | IPS 4240 Appliance Sensor | | IPS-SW-5.0 | IPS 5.0 Software for IDS 4215, IPS 4240 and 4255 series | | CAB-ACA | Plug,Power Cord,Australian,10A | | CON-SU1-IPS4240 | IPS SVC, AR NBD IPS 4240 Appliance S | 集成模块为例:IDSM+服务 | WS-SVC-IDS2-BUN-K9 | 600M IDSM-2 Mod for C6K | | CON-SU1-WIDSBNK9 | IPS SVC, AR NBD 600M IDSM-2 Mod | 总部安全管理 思科安全认证管理产品线配置建议(MARS/CCA/ACS) MARS | CS-MARS-50-K9 | PN-MARS 50 1RU Appliance, 1,000 EPS, 240GB RAID0, HW/SW | ACS4.0 | CSACS-4.0-WIN-K9 | Cisco Secure ACS 4.0 for Windows | CCA 冗余配置 CAM*2+CAS*2 | NAC3310-250-K9 | NAC Appliance 3310 Server -max 250 users | | CAB-ACA | Plug,Power Cord,Australian,10A | | NAC3310-250FB-K9 | NAC Appliance 3310 Server Failover Bundle -max 250 users | | CAB-ACA | Plug,Power Cord,Australian,10A | | NACMGR-3-K9 | NAC Appliance 3310 Manager -max 3 Servers | | CAB-ACA | Plug,Power Cord,Australian,10A | | NACMGR-3FB-K9 | NAC Appliance 3310 Manager Failover Bundle -max 3 servers | | CAB-ACA | Plug,Power Cord,Australian,10A | 小型分支机构ASA5505安全产品配置建议:ASA5505+10SSL VPN授权 | ASA5505-50-BUN-K8 | ASA 5505 Appliance with SW, 50 Users, 8 ports, DES | | CAB-AC-C5-CHI | AC Power Cord, Type C5, China | | ASA-VPN-CLNT-K9 | Cisco VPN Client Software (Windows, Solaris, Linux, Mac) | |
| |
信息来源:tslink/阅读:8394次 |
 打印本页 |  关闭窗口 |
|
|
