思科自防御网络安全方案汇.pptVIP

* LI JIAN HUA Guangzhou * Presentation_ID ? 2000, Cisco Systems, Inc. 思科自防御网络安全方案 概述 客户规模: –客户有一个总部, 具有一定规模的园区网络; –一个分支机构, 约有 20-50 名员工; –有总计十几个移动办公用户 客户需求: –组建安全可靠的总部和分支 LAN 和 WAN; –在内部各主要部门间, 及内外网络间进行安全区域划分, 保护企业业务系统; –配置入侵检测系统, 检测基于网络的攻击事件,并且协调设备进行联动; –总部和分支的终端需要提供安全防护, 并实现网络准入控制,未来实现对VPN 用户的网络准入检查; –需要提供 IPSEC/Web VPN 接入; –网络整体必须具备自防御特性,实现设备横向联动抵御混合式攻击; –图形化网络安全管理系统,方便快捷地控制全网安全设备,进行事件分析, 结合拓扑发现攻击,拦截和阻断攻击; –整体方案要便于升级, 利于投资保护; 建议方案： –部署边界安全:思科 IOS 路由器及 ASA 防火墙,集成 SSL/IPSec VPN; –安全域划分:思科 FWSM 防火墙模块与交换机VRF及VLAN特性配合,完整实现安全域 划分和实现 业务系统之间的可控互访; –安全检测:思科 IPS42XX、IDSM、ASA AIP模块,IOS IPS均可以实现安全检测并且与 网络设备进行联动; –部署终端安全:思科准入控制NAC APPLIANCE及终端安全防护CSA解决方案紧密集成; –安全认证及授权:部署思科ACS 4.0认证服务器; –安全管理:思科安全管理系统MARS,配合安全配置管理系统CSM使用。 建议方案设计图 安全和智能的总部与分支网络: LAN: 总部, 核心层思科Cat6500;分布层Cat4500;接入层Cat3560和Cat2960交换机,提供公司总部园区网络用户的接入;分支可以采用思科ASA5505防火墙内嵌的8FE接口连接用户,同时其头两个LAN端口支持POE以太网供电,可以连接AP及IP电话等设备使用,并且ASA 5505留有扩展槽为便于以后对于业务模块的支持。 WAN: 总部ISR3845路由器,分支ISR2811或者ASA防火墙,实现总部和分支之间安全可靠地互联,可以采用专线,也可以经由因特网,采用VPN实现;并且为远程办公用户提供 IPSEC/SSL VPN的接入。 建议方案总体配置概述 总部和分支自防御网络部署说明 总部和分支路由器或者ASA防火墙,IPS,及IPSec VPN和WEB VPN功能,实现安全的网络访问和应用传输,以及高级的应用控制;另外,可利用思科Auto-Secure功能快速部署设备自身的安全。 安全域划分: 实现行业用户内部业务系统逻辑隔离,并且保证在策略允许的情况下实现可控的互访,可以利用思科FWSM防火墙模块与C6K交换机完美集成,并且思科交换机VRF 特性相结合,二层VLAN隔离,三层VRF隔离,最终利用VRF终结业务对应不同的虚拟防火墙,并且配置各个业务网段专用虚拟防火墙实现不同安全区域业务之间的可控互访。 终端安全: 终端安全=NAC+CSA,利用思科NAC APPLINACE解决方案通过配置CAM/CAS两台设备实现思科NAC解决方案保证对于网络内主机的入网健康检查,利用思科CSA软件对于用户服务器及客户机进行安全加固、病毒零天保护、限制非法应用(P2P)、限制U盘使用等操作,两套解决方案可以实现完美结合,并且CSA可以与MARS及IPS进行横向联动,自动拦截攻击。 安全检测: 思科IPS42XX、IDSM、ASA AIP模块均可以实现安全检测并与网络设备进行联动,思科安全IPS设备支持并联和串连模式,旁路配置时可以监控各个安全域划分区域内部业务,识别安全风险,与MARS联动,也可以与思科网络设备防火墙、C6K交换机、路由器等进行联动,自动推送配置给设备实现攻击的拦截工作。ISR启用NETFLOW功能与MARS进行联动进行异常流量及行为监控 安全认证及授权: 部署思科ACS 4.0认证服务器,实现网管认证,并且可以实现有线及无线用户DOT1X认证需求 安全管理: 图形化思科安全管理器 CSM,可以监控,配置和管理总部和分支所有安全设备,包括防火墙,VPN和IPS等;思科安全响应系统MARS,随时获取全网范围内的所有报告,进行智能的关联和分析,进而结合网络拓扑图,分析出当前正在发生的攻击路径,并给出响应方案,也可调用网络设备对攻击进行拦截和 阻断。 * Copyright ? 2000, Cisco Systems, Inc. All rights reserved. Printed in