2020年（安全生产）思科自防御网络安全方案典型配置.pdfVIP

（安全生产）思科自防御网 络安全方案典型配置 思科自防御网络安全方案典型配置 1.用户需求分析 客户规模： • 客户有一个总部，具有一定规模的园区网络； • 一个分支机构，约有 20－50 名员工； • 用户有很多移动办公用户 客户需求： • 组建安全可靠的总部和分支 LAN 和 WAN ； • 总部和分支的终端需要提供安全防护，并实现网络准入控制，未来实现对VPN 用户的网络准入检查； • 需要提供 IPSEC/SSLVPN 接入； • 在内部各主要部门间，及内外网络间进行安全区域划分，保护企业业务系统； • 配置入侵检测系统，检测基于网络的攻击事件，并且协调设备进行联动； • 网络整体必须具备自防御特性，实现设备横向联动抵御混合式攻击； • 图形化网络安全管理系统，方便快捷地控制全网安全设备，进行事件分析，结合拓扑发现攻击，拦 截和阻断攻击； • 整体方案要便于升级，利于投资保护； 思科建议方案： • 部署边界安全：思科 IOS 路由器及 ASA 防火墙，集成SSL/IPSecVPN ； • 安全域划分：思科 FWSM 防火墙模块与交换机VRF 及 VLAN 特性配合，完整实现安全域划分和实现业 务系统之间的可控互访； • 部署终端安全：思科准入控制 NACAPPLIANCE 及终端安全防护 CSA 解决方案紧密集成； • 安全检测：思科 IPS42XX 、IDSM 、ASAAIP 模块，IOSIPS 均可以实现安全检测并且与网络设备进行 联动； • 安全认证及授权：部署思科 ACS4.0 认证服务器； • 安全管理：思科安全管理系统 MARS ，配合安全配置管理系统CSM 使用。 2.思科建议方案设计图 点击放大 3.思科建议方案总体配置概述 • 安全和智能的总部与分支网络 o LAN ：总部，核心层思科Cat6500 ；分布层Cat4500 ；接入层Cat3560 和 CE500 交换机，提 供公司总部园区网络用户的接入；分支可以采用思科 ASA5505 防火墙内嵌的8FE 接口连接用户，同时其头两 个 LAN 端口支持 POE 以太网供电，可以连接AP 及 IP 电话等设备使用，并且ASA5505 留有扩展槽为便于以后 对于业务模块的支持。 o WAN ：总部ISR3845 路由器，分支 ISR2811 或者 ASA 防火墙，实现总部和分支之间安全可 靠地互联，可以采用专线，也可以经由因特网，采用VPN 实现；并且为远程办公用户提供 IPSEC/SSLVPN 的 接入。 • 总部和分支自防御网络部署说明 o 总部和分支路由器或者ASA 防火墙，IPS ，及IPSecVPN 和 WEBVPN 功能，实现安全的网络 访问和应用传输，以及高级的应用控制；另外，可利用思科 Auto-Secure 功能快速部署基本的安全功能。 o 安全域划分：实现行业用户内部业务系统逻辑隔离，并且保证在策略允许的情况下实现可 控的互访，可以利用思科 FWSM 防火墙模块与C6K 交换机完美集成，并且思科交换机VRF 特性相结合，二层VLAN 隔离，三层VRF 隔离，最终利用VRF 终结业务对应不同的虚拟防火墙，并且配置各个业务网段专用虚拟防火 墙实现不同安全区域业务之间的可控互访。 o 终端安全：终端安全＝NAC+CSA ，利用思科NACAPPLINACE 解决方案通过配置 CAM/CAS 两台 设备实现思科 NAC 解决方案保证对于网络内主机的入网健康检查，利用思科 CSA 软件对于用户服务器及客户 机进行安全加固、病毒零天保护、限制非法应用（P2P) 、限制U 盘使用等操作，并且两套解决方案可以实现 完美结合，并且CSA 和与 MARS 以及 IPS 进行横向联动，自动拦截攻击。 o 安全检测：思科IPS42XX 、IDSM 、ASAAIP 模块均可以实现安全检测并与网络设备进行联动， 思科安全 IPS 设备支持并联和串连模式，旁路配置时可以监控各个安全域划分区域内部业务，识别安全风险， 与 MARS 联动，也可以与思科网络设备防火墙、C6K 交换机、路由器等进行联动，自动推送配置给设备实现 攻击的拦截工作。ISR 启用 NETFLOW 功能与 MARS 进行联动进行异常流量及行为监控； o