思科自防御网络安全方案
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
思科自防御网络安全方案
概述
客户规模: :
–客户有一个总部, 具有一定规模的园区网络; –一个分支机构, 约有 20-50 名员工; –有总计十几个移动办公用户
客户需求: 客户需求:
–组建安全可靠的总部和分支 LAN 和 WAN; –在内部各主要部门间, 及内外网络间进行安全区域划分, 保护企业业务系统; –配置入侵检测系统, 检测基于网络的攻击事件,并且协调设备进行联动; –总部和分支的终端需要提供安全防护, 并实现网络准入控制,未来实现对VPN 用户的网络准入检查; –需要提供 IPSEC/Web VPN 接入; –网络整体必须具备自防御特性,实现设备横向联动抵御混合式攻击; –图形化网络安全管理系统,方便快捷地控制全网安全设备,进行事件分析, 结合拓扑发现攻击,拦截和阻断攻击; –整体方案要便于升级, 利于投资保护;
LI JIAN HUA Guangzhou
2
wenku.baidu.com
建议方案: 建议方案:
–部署边界安全:思科 IOS 路由器及 ASA 防火墙,集成 SSL/IPSec VPN; –安全域划分:思科 FWSM 防火墙模块与交换机VRF及VLAN特性配合,完整实现安全域 划分和实现 业务系统之间的可控互访; –安全检测:思科 IPS42XX,IDSM,ASA AIP模块,IOS IPS均可以实现安全检测并且与 网络设备进行联动; –部署终端安全:思科准入控制NAC APPLIANCE及终端安全防护CSA解决方案紧密集成; –安全认证及授权:部署思科ACS 4.0认证服务器; –安全管理:思科安全管理系统MARS,配合安全配置管理系统CSM使用.
LI JIAN HUA Guangzhou
5
终端安全: 终端安全:
终端安全=NAC+CSA,利用思科NAC APPLINACE解决方案通过配置CAM/CAS两台设备实现思科 解决方案通过配置CAM/CAS 终端安全=NAC+CSA,利用思科NAC APPLINACE解决方案通过配置CAM/CAS两台设备实现思科 =NAC+CSA,利用思科 NAC解决方案保证对于网络内主机的入网健康检查 利用思科CSA 解决方案保证对于网络内主机的入网健康检查, CSA软件对于用户服务器及客 NAC解决方案保证对于网络内主机的入网健康检查,利用思科CSA软件对于用户服务器及客 户机进行安全加固,病毒零天保护,限制非法应用(P2P) 限制U盘使用等操作, (P2P), 户机进行安全加固,病毒零天保护,限制非法应用(P2P),限制U盘使用等操作,两套解决 方案可以实现完美结合,并且CSA可以与MARS IPS进行横向联动 自动拦截攻击. CSA可以与MARS及 进行横向联动, 方案可以实现完美结合,并且CSA可以与MARS及IPS进行横向联动,自动拦截攻击.
总部和分支自防御网络部署说明
总部和分支路由器或者ASA防火墙,IPS,及 VPN和 VPN功能 功能, 总部和分支路由器或者ASA防火墙,IPS,及IPSec VPN和WEB VPN功能,实现安全的网络访 ASA防火墙,IPS, 问和应用传输,以及高级的应用控制;另外,可利用思科Auto Secure功能快速部署设备 Auto问和应用传输,以及高级的应用控制;另外,可利用思科Auto-Secure功能快速部署设备 自身的安全. 自身的安全.
安全认证及授权: 安全认证及授权:
部署思科ACS 4.0认证服务器 实现网管认证,并且可以实现有线及无线用户DOT1X 认证服务器, DOT1X认证需求 部署思科ACS 4.0认证服务器,实现网管认证,并且可以实现有线及无线用户DOT1X认证需求
安全管理: 安全管理:
CSM,可以监控 配置和管理总部和分支所有安全设备, 可以监控, 图形化思科安全管理器 CSM,可以监控,配置和管理总部和分支所有安全设备,包括防火墙 ,VPN和IPS等 思科安全响应系统MARS,随时获取全网范围内的所有报告, MARS,随时获取全网范围内的所有报告 ,VPN和IPS等;思科安全响应系统MARS,随时获取全网范围内的所有报告,进行智能的关联和 分析,进而结合网络拓扑图,分析出当前正在发生的攻击路径,并给出响应方案, 分析,进而结合网络拓扑图,分析出当前正在发生的攻击路径,并给出响应方案,也可调用网 阻断. 络设备对攻击进行拦截和 阻断.
LI JIAN HUA Guangzhou
3
建议方案设计图 建议方案设计图
LI JIAN HUA Guangzhou
4
建议方案总体配置概述
安全和智能的总部与分支网络: 安全和智能的总部与分支网络:
总部, 核心层思科Cat6500;分布层Cat4500;接入层Cat3560 Cat2960交换机 Cat6500;分布层Cat4500;接入层Cat3560和 交换机, LAN: 总部, 核心层思科Cat6500;分布层Cat4500;接入层Cat3560和Cat2960交换机,提供 公司总部园区网络用户的接入;分支可以采用思科ASA5505防火墙内嵌的8FE ASA5505防火墙内嵌的8FE接口连接用户 公司总部园区网络用户的接入;分支可以采用思科ASA5505防火墙内嵌的8FE接口连接用户 同时其头两个LAN端口支持POE以太网供电,可以连接AP IP电话等设备使用 并且ASA LAN端口支持POE以太网供电 AP及 电话等设备使用, ,同时其头两个LAN端口支持POE以太网供电,可以连接AP及IP电话等设备使用,并且ASA 5505留有扩展槽为便于以后对于业务模块的支持 留有扩展槽为便于以后对于业务模块的支持. 5505留有扩展槽为便于以后对于业务模块的支持. 总部ISR3845路由器,分支ISR2811或者ASA防火墙, ISR3845路由器 ISR2811或者ASA防火墙 WAN: 总部ISR3845路由器,分支ISR2811或者ASA防火墙,实现总部和分支之间安全可靠地 互联,可以采用专线,也可以经由因特网,采用VPN实现; VPN实现 互联,可以采用专线,也可以经由因特网,采用VPN实现;并且为远程办公用户提供 VPN的接入 的接入. IPSEC/SSL VPN的接入.
LI JIAN HUA Guangzhou
6
�
安全检测: 安全检测:
思科IPS42XX,IDSM, AIP模块均可以实现安全检测并与网络设备进行联动 模块均可以实现安全检测并与网络设备进行联动, 思科IPS42XX,IDSM,ASA AIP模块均可以实现安全检测并与网络设备进行联动,思科安全 IPS42XX IPS设备支持并联和串连模式 旁路配置时可以监控各个安全域划分区域内部业务, 设备支持并联和串连模式, IPS设备支持并联和串连模式,旁路配置时可以监控各个安全域划分区域内部业务,识别安 全风险, MARS联动 也可以与思科网络设备防火墙,C6K交换机 路由器等进行联动, 联动, 交换机, 全风险,与MARS联动,也可以与思科网络设备防火墙,C6K交换机,路由器等进行联动,自动 推送配置给设备实现攻击的拦截工作.ISR启用NETFLOW功能与MARS进行联动进行异常流量 启用NETFLOW功能与MARS 推送配置给设备实现攻击的拦截工作.ISR启用NETFLOW功能与MARS进行联动进行异常流量 及行为监控
安全域划分: 安全域划分:
实现行业用户内部业务系统逻辑隔离, 实现行业用户内部业务系统逻辑隔离,并且保证在策略允许的情况下实现可控的互 可以利用思科FWSM防火墙模块与C6K交换机完美集成,并且思科交换机VRF FWSM防火墙模块与C6K交换机完美集成 访,可以利用思科FWSM防火墙模块与C6K交换机完美集成,并且思科交换机VRF 特性 相结合,二层VLAN隔离,三层VRF隔离,最终利用VRF VLAN隔离 VRF隔离 VRF终结业务对应不同的虚拟防火墙 相结合,二层VLAN隔离,三层VRF隔离,最终利用VRF终结业务对应不同的虚拟防火墙 并且配置各个业务网段专用虚拟防火墙实现不同安全区域业务之间的可控互访. ,并且配置各个业务网段专用虚拟防火墙实现不同安全区域业务之间的可控互访.
概述
客户规模: :
–客户有一个总部, 具有一定规模的园区网络; –一个分支机构, 约有 20-50 名员工; –有总计十几个移动办公用户
客户需求: 客户需求:
–组建安全可靠的总部和分支 LAN 和 WAN; –在内部各主要部门间, 及内外网络间进行安全区域划分, 保护企业业务系统; –配置入侵检测系统, 检测基于网络的攻击事件,并且协调设备进行联动; –总部和分支的终端需要提供安全防护, 并实现网络准入控制,未来实现对VPN 用户的网络准入检查; –需要提供 IPSEC/Web VPN 接入; –网络整体必须具备自防御特性,实现设备横向联动抵御混合式攻击; –图形化网络安全管理系统,方便快捷地控制全网安全设备,进行事件分析, 结合拓扑发现攻击,拦截和阻断攻击; –整体方案要便于升级, 利于投资保护;
LI JIAN HUA Guangzhou
2
wenku.baidu.com
建议方案: 建议方案:
–部署边界安全:思科 IOS 路由器及 ASA 防火墙,集成 SSL/IPSec VPN; –安全域划分:思科 FWSM 防火墙模块与交换机VRF及VLAN特性配合,完整实现安全域 划分和实现 业务系统之间的可控互访; –安全检测:思科 IPS42XX,IDSM,ASA AIP模块,IOS IPS均可以实现安全检测并且与 网络设备进行联动; –部署终端安全:思科准入控制NAC APPLIANCE及终端安全防护CSA解决方案紧密集成; –安全认证及授权:部署思科ACS 4.0认证服务器; –安全管理:思科安全管理系统MARS,配合安全配置管理系统CSM使用.
LI JIAN HUA Guangzhou
5
终端安全: 终端安全:
终端安全=NAC+CSA,利用思科NAC APPLINACE解决方案通过配置CAM/CAS两台设备实现思科 解决方案通过配置CAM/CAS 终端安全=NAC+CSA,利用思科NAC APPLINACE解决方案通过配置CAM/CAS两台设备实现思科 =NAC+CSA,利用思科 NAC解决方案保证对于网络内主机的入网健康检查 利用思科CSA 解决方案保证对于网络内主机的入网健康检查, CSA软件对于用户服务器及客 NAC解决方案保证对于网络内主机的入网健康检查,利用思科CSA软件对于用户服务器及客 户机进行安全加固,病毒零天保护,限制非法应用(P2P) 限制U盘使用等操作, (P2P), 户机进行安全加固,病毒零天保护,限制非法应用(P2P),限制U盘使用等操作,两套解决 方案可以实现完美结合,并且CSA可以与MARS IPS进行横向联动 自动拦截攻击. CSA可以与MARS及 进行横向联动, 方案可以实现完美结合,并且CSA可以与MARS及IPS进行横向联动,自动拦截攻击.
总部和分支自防御网络部署说明
总部和分支路由器或者ASA防火墙,IPS,及 VPN和 VPN功能 功能, 总部和分支路由器或者ASA防火墙,IPS,及IPSec VPN和WEB VPN功能,实现安全的网络访 ASA防火墙,IPS, 问和应用传输,以及高级的应用控制;另外,可利用思科Auto Secure功能快速部署设备 Auto问和应用传输,以及高级的应用控制;另外,可利用思科Auto-Secure功能快速部署设备 自身的安全. 自身的安全.
安全认证及授权: 安全认证及授权:
部署思科ACS 4.0认证服务器 实现网管认证,并且可以实现有线及无线用户DOT1X 认证服务器, DOT1X认证需求 部署思科ACS 4.0认证服务器,实现网管认证,并且可以实现有线及无线用户DOT1X认证需求
安全管理: 安全管理:
CSM,可以监控 配置和管理总部和分支所有安全设备, 可以监控, 图形化思科安全管理器 CSM,可以监控,配置和管理总部和分支所有安全设备,包括防火墙 ,VPN和IPS等 思科安全响应系统MARS,随时获取全网范围内的所有报告, MARS,随时获取全网范围内的所有报告 ,VPN和IPS等;思科安全响应系统MARS,随时获取全网范围内的所有报告,进行智能的关联和 分析,进而结合网络拓扑图,分析出当前正在发生的攻击路径,并给出响应方案, 分析,进而结合网络拓扑图,分析出当前正在发生的攻击路径,并给出响应方案,也可调用网 阻断. 络设备对攻击进行拦截和 阻断.
LI JIAN HUA Guangzhou
3
建议方案设计图 建议方案设计图
LI JIAN HUA Guangzhou
4
建议方案总体配置概述
安全和智能的总部与分支网络: 安全和智能的总部与分支网络:
总部, 核心层思科Cat6500;分布层Cat4500;接入层Cat3560 Cat2960交换机 Cat6500;分布层Cat4500;接入层Cat3560和 交换机, LAN: 总部, 核心层思科Cat6500;分布层Cat4500;接入层Cat3560和Cat2960交换机,提供 公司总部园区网络用户的接入;分支可以采用思科ASA5505防火墙内嵌的8FE ASA5505防火墙内嵌的8FE接口连接用户 公司总部园区网络用户的接入;分支可以采用思科ASA5505防火墙内嵌的8FE接口连接用户 同时其头两个LAN端口支持POE以太网供电,可以连接AP IP电话等设备使用 并且ASA LAN端口支持POE以太网供电 AP及 电话等设备使用, ,同时其头两个LAN端口支持POE以太网供电,可以连接AP及IP电话等设备使用,并且ASA 5505留有扩展槽为便于以后对于业务模块的支持 留有扩展槽为便于以后对于业务模块的支持. 5505留有扩展槽为便于以后对于业务模块的支持. 总部ISR3845路由器,分支ISR2811或者ASA防火墙, ISR3845路由器 ISR2811或者ASA防火墙 WAN: 总部ISR3845路由器,分支ISR2811或者ASA防火墙,实现总部和分支之间安全可靠地 互联,可以采用专线,也可以经由因特网,采用VPN实现; VPN实现 互联,可以采用专线,也可以经由因特网,采用VPN实现;并且为远程办公用户提供 VPN的接入 的接入. IPSEC/SSL VPN的接入.
LI JIAN HUA Guangzhou
6
�
安全检测: 安全检测:
思科IPS42XX,IDSM, AIP模块均可以实现安全检测并与网络设备进行联动 模块均可以实现安全检测并与网络设备进行联动, 思科IPS42XX,IDSM,ASA AIP模块均可以实现安全检测并与网络设备进行联动,思科安全 IPS42XX IPS设备支持并联和串连模式 旁路配置时可以监控各个安全域划分区域内部业务, 设备支持并联和串连模式, IPS设备支持并联和串连模式,旁路配置时可以监控各个安全域划分区域内部业务,识别安 全风险, MARS联动 也可以与思科网络设备防火墙,C6K交换机 路由器等进行联动, 联动, 交换机, 全风险,与MARS联动,也可以与思科网络设备防火墙,C6K交换机,路由器等进行联动,自动 推送配置给设备实现攻击的拦截工作.ISR启用NETFLOW功能与MARS进行联动进行异常流量 启用NETFLOW功能与MARS 推送配置给设备实现攻击的拦截工作.ISR启用NETFLOW功能与MARS进行联动进行异常流量 及行为监控
安全域划分: 安全域划分:
实现行业用户内部业务系统逻辑隔离, 实现行业用户内部业务系统逻辑隔离,并且保证在策略允许的情况下实现可控的互 可以利用思科FWSM防火墙模块与C6K交换机完美集成,并且思科交换机VRF FWSM防火墙模块与C6K交换机完美集成 访,可以利用思科FWSM防火墙模块与C6K交换机完美集成,并且思科交换机VRF 特性 相结合,二层VLAN隔离,三层VRF隔离,最终利用VRF VLAN隔离 VRF隔离 VRF终结业务对应不同的虚拟防火墙 相结合,二层VLAN隔离,三层VRF隔离,最终利用VRF终结业务对应不同的虚拟防火墙 并且配置各个业务网段专用虚拟防火墙实现不同安全区域业务之间的可控互访. ,并且配置各个业务网段专用虚拟防火墙实现不同安全区域业务之间的可控互访.