企业自防御网络设计框架.ppt

企业自防御网络设计框架卓越品质引领安全,企业自防御网络部署建议用户需求概要,客户规模:客户有一个总部,具有一定规模的园区网络;一个分支机构,约有2050名员工;用户有很多移动办公用户客户需求:组建安全可靠的总部和分支lan和wan;总部和分支部署主机需要进行终端安全防护及终端准入控制，并且未来实现对于vpn用户的检查；需要网络设备支持ipsec/sslvpn接入，分支机构需要性价比较高设备组网，并且注重安全性；需要利用网络设备保护企业对外业务发布系统，需要对网内业务分类并且进行相应安全区域划分;需要配置入侵检测系统检测基于网络的攻击事件，并且协调设备进行联动;图形化的网络安全管理系统，控制全网安全设备，进行事件分析，结合拓扑发现攻击，拦截阻断攻击；整体方案要便于以后升级,体现设备间横向联动，以利于投资保护；网络整体必须具备一定自防御特性，实现设备横向联动抵御混合式攻击；思科建议方案概述:边界安全：isr路由器及asa防火墙，实现ssl/ipsecvpn集成。安全域划分：思科fwsm防火墙模块与交换机vrf及vlan特性配合，完整实现安全域划分业务可控互访终端安全：思科准入控制nacappliance及终端安全防护csa解决方案紧密集成安全检测：思科ips42xx、idsm、asaaip模块均可以实现安全检测并且与网络设备进行联动安全认证及授权:部署思科acs4.0认证服务器安全管理：思科安全管理系统mars，配合配置管理系统csm结合使用。mars-50或以上分支机构：asa5505组网、一台设备实现交换路由安全功能三合一。,企业自防御网络部署建议结构图,安全区越a,fwsm核心交换机,分布层交换机,楼层交换机,管理中心,sdh专网ipsec/sslvpn,边界安全区域,业务服务器组群,isr,asa,无线ap,ip电话,打印机,文件服务器,asa5505,cas,cam,acs4.x,csamc,cs-mars,小型分支机构,安全区越b,安全区越c,移动办公用户,ips42xx,企业自防御网络部署建议-方案总体功能特点概述:,安全和智能的总部与分支网络:lan:总部思科核心c6k；分布可以采用c4500；接入采用c3560和ce500交换机,提供约公司总部园区网络用户的接入;分支思科asa5505防火墙内嵌8fe接口连接用户主机,内嵌连歌poe接口可以连接ap及ip电话使用,并且asa5505留有扩展槽为便于以后对于业务模块的支持。wan:总部isr路由器,分支isr2811或者asa防火墙,实现总部和分支之间安全可靠地互联,可以采用专线,也可以经由因特网,采用vpn实现;并且为远程办公用户提供ipsec/sslvpn的接入。总部和分支自防御网络特性部署说明:利用总部和分支路由器或者asa防火墙的iosfw和iosips,及ipsecvpn和webvpn功能,实现安全的网络访问和应用传输,以及高级的应用控制;另外,可利用思科auto-secure功能快速部署基本的安全功能。安全域划分：实现行业用户内部业务系统逻辑隔离，并且保证在策略允许的情况下实现可控的互访，可以利用思科fwsm防火墙模块与c6k交换机完美集成，并且思科交换机vrf特性相结合，二层vlan隔离，三层vrf隔离，最终利用vrf终结业务对应不同的虚拟防火墙，并且配置各个业务网段专用虚拟防火墙实现不同安全区域业务之间的可控互访。终端安全：终端安全nac+csa，利用思科nacapplinace解决方案通过配置cam/cas两台设备实现思科nac解决方案保证对于网络内主机的入网健康检查，利用思科csa软件对于用户服务器及客户机进行安全加固、病毒零天保护、限制非法应用（p2p)、限制u盘使用等操作，并且两套解决方案可以实现完美结合，并且csa和与mars以及ips进行横向联动，自动拦截攻击。安全检测：思科ips42xx、idsm、asaaip模块均可以实现安全检测并且与网络设备进行联动，思科安全ips设备支持并联和串连模式，旁路配置时可以配置ips监控各个安全域划分区域内部业务，发现识别安全风险与mars联动，与思科网络设备防火墙、c6k交换机、路由器进行联动，自动推送配置给设备实现攻击的拦截工作。isr启用netflow功能与mars进行联动进行异常流量及行为监控。安全认证及授权:部署思科acs4.0认证服务器，实现网管认证，并且可以实现有线及无线用户dot1x认证需求。安全管理：图形化思科网络助理cna,可以监控,配置和管理总部或者分支网络中的所有设备,包括交换机,路由器和ip电话机;cna中调用思科sdm管理软件,对路由器上的所有功能,包括防火墙,vpn和ips等进行图形化的配置管理;思科安全管理系统mars，管理全网安全设备，汇总及分析时间，调用全网设备进行普遍计算，并且结合网络拓扑图现实安全威胁及攻击时间，最终调用网络设备对于攻击进行拦截和阻断。分支机构：asa5505组网、一台设备实现交换路由安全功能三合一，并且满足用户对于ipsec/sslvpn的接入要求。asa本身良好稳定的操作系统，也可以从根本上保证网络安全稳定运行的重要。,lan:总部c6k交换机为主干,分布层交换机c4500，接入层交换机ce500-24pc为桌面交换机,可提供用户以100m接入,同时提供ip电话机的电源供应;wan:采用isr3800系列路由器,小型分支机构建议利用asa5505直接组网即可;自防御网络安全产品:公司总部涉及产品边界安全：推荐使用isr路由器及asa5500防火墙，实现ssl/ipsecvpn集成。同时建议配置asaaip模块捆绑方式放置与网络的边界实现基于网络攻击的拦截。必须同时购买相应的ips模块smartnet服务。安全域划分：思科fwsm防火墙模块与核心c6k交换机配合组网，并且与交换机vrf及vlan特性配合，完整实现安全域划分业务可控互访。终端安全：配置两台cam及cas（冗余配置）实现nac部署(cam旁路配置），根据用户规模选择适当cam型号，并且根据同时在线管理的客户机数量选择cas的授权、配置csamc服务器并且根据用户实际需求购买相应数量的服务器及终端机保护授权，必须同时购买相应的smartnet服务。安全检测：可以单独配置思科ips42xx、c6k集成idsm入侵检测模块、asa集成的aip模块等均可以实现安全检测并且与网络设备进行联动。安全认证及授权:部署思科acs4.0认证服务器，两台配置acs可以实现冗余配置。安全管理：思科安全管理系统mars，配合配置管理系统csm结合使用。mars型号小型企业建议购买mars-20r可以今后通过授权升级至mars20，中型企业园区网络建议mars-50或以上型号。分支机构：小型分支机构建议利用asa5505组网、一台设备实现交换路由安全功能三合一。规模较大分支机构可以推荐用户利用isr集成组网。,企业自防御网络部署建议-方案总体设备配置概述:,企业自防御网络部署建议-总部边界安全配置建议israndasa,isr3825100用户sslvpn授权服务,asa5520+aip模块服务,企业自防御网络部署建议-总部安全域划分配置建议:,catalyst6506+fwsm+2个虚拟防火墙授权,企业自防御网络部署建议-总部终端安全之终端安全防护csa配置建议:,mc管理软件,csa250个客户端授权为例,csa25服务器授权为例,企业自防御网络部署建议-总部安全检测思科ips产品线配置建议:,硬件为例：ips4240服务,集成模块为例：idsm服务,ws-svc-ids2-bun-k9600midsm-2modforc6k,con-su1-widsbnk9ipssvc,arnbd600midsm-2mod,企业自防御网络部署建议-总部安全管理思科安全认证管理产品线配置建议（mars/cca/acs）:,mars,acs4.0,cca冗余配置cam*2+cas*2,企业自防御网络部署建议-小型分支机构asa5505安全产品配置建议:,asa5505+10sslvpn授权,为了方便大家阅读和使用思科自防御网络安全产品，请参阅论坛中我们撰写的思科安全at产品中文配置实施指南，获得相应产品的更多咨询。思科自防御网络之思科全线ips产品配置部署指南思科自防御网络之终端安全实施配置指南思科自防御网络之边界安全asa产品配置部署指南思科自防御网络之思科安全管理系统mars配置部署指南思科自防御网络之思科ddosguard配置部署指南2.提供在线支持工具，提供便捷的技术交流平台，共享经验通过联系pho获得更多安全相关产品的售前支持，具体方式如下：ciscochina,企业自防御网络相应设备详细部署指南-思科自防御网络安全at设备实施配置指南:,vision/mission-beyondwormsandviruses,theftofcustomerdata,fraud,e