思科自防御网络安全方案典型配置

 

1. 用户需求分析

客户规模：

• 客户有一个总部，具有一定规模的园区网络；
• 一个分支机构，约有20－50名员工；
• 用户有很多移动办公用户

客户需求：

• 组建安全可靠的总部和分支LAN和WAN；
• 总部和分支的终端需要提供安全防护，并实现网络准入控制，未来实现对VPN用户的网络准入检查；
• 需要提供IPSEC/SSLVPN接入；
• 在内部各主要部门间，及内外网络间进行安全区域划分，保护企业业务系统；
• 配置入侵检测系统，检测基于网络的攻击事件，并且协调设备进行联动；
• 网络整体必须具备自防御特性，实现设备横向联动抵御混合式攻击；
• 图形化网络安全管理系统，方便快捷地控制全网安全设备，进行事件分析，结合拓扑发现攻击，拦截和阻断攻击；
• 整体方案要便于升级，利于投资保护；

思科建议方案：

• 部署边界安全：思科IOS 路由器及ASA 防火墙，集成SSL/IPSec VPN；
• 安全域划分：思科FWSM防火墙模块与交换机VRF及VLAN特性配合，完整实现安全域划分和实现 业务系统之间的可控互访；
• 部署终端安全：思科准入控制NAC APPLIANCE及终端安全防护CSA解决方案紧密集成；
• 安全检测：思科IPS42XX、IDSM、ASA AIP模块，IOS IPS均可以实现安全检测并且与网络设备进行联动；
• 安全认证及授权：部署思科ACS 4.0认证服务器；
• 安全管理：思科安全管理系统MARS，配合安全配置管理系统CSM使用。

2. 思科建议方案设计图

点击放大

3. 思科建议方案总体配置概述

• 安全和智能的总部与分支网络
  • LAN： 总部，核心层思科Cat6500；分布层Cat4500；接入层Cat3560和CE500交换机，提供公司总部园区网络用户的接入； 分支可以采用思科ASA5505 防火墙内嵌的8FE接口连接用户，同时其头两个LAN端口支持POE以太网供电，可以连接AP及IP电话等设备使用，并且ASA5505留有扩展槽为便于以后对于业务模块的支持。
  • WAN： 总部ISR3845 路由器，分支ISR2811或者ASA防火墙，实现总部和分支之间安全可靠地互联，可以采用专线，也可以经由因特网，采用VPN实现；并且为远程办公用户提供IPSEC/SSL VPN的接入。
• 总部和分支自防御网络部署说明
  • 总部和分支路由器或者ASA防火墙，IPS，及 IPSec VPN和WEB VPN功能，实现安全的网络访问和应用传输，以及高级的应用控制； 另外，可利用思科Auto-Secure功能快速部署基本的安全功能。
  • 安全域划分：实现行业用户内部业务系统逻辑隔离，并且保证在策略允许的情况下实现可控的互访，可以利用思科FWSM防火墙模块与C6K交换机完美集成，并且思科交换机VRF特性相结合，二层VLAN隔离，三层VRF隔离，最终利用VRF终结业务对应不同的虚拟防火墙，并且配置各个业务网段专用虚拟防火墙实现不同安全区域业务之间的可控互访。
  • 终端安全：终端安全＝NAC+CSA，利用思科NAC APPLINACE 解决方案通过配置CAM/CAS两台设备实现思科NAC解决方案保证对于网络内主机的入网健康检查，利用思科CSA软件对于用户服务器及客户机进行安全加固、病毒零天保护、限制非法应用（P2P)、限制U盘使用