思科自防御网络安全方案典型配置26126.docx

《思科自防御网络安全方案典型配置26126.docx》由会员分享，可在线阅读，更多相关《思科自防御网络安全方案典型配置26126.docx（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、思科自防防御网络络安全方方案典型型配置1. 用用户需求求分析客户规模模： 客户有一一个总部部，具有有一定规规模的园园区网络络； 一个分支支机构，约约有200500名员工工； 用户有很很多移动动办公用用户 客户需求求： 组建安全全可靠的的总部和和分支LLAN和和WANN； 总部和分分支的终终端需要要提供安安全防护护，并实实现网络络准入控控制，未未来实现现对VPPN用户户的网络络准入检检查； 需要提供供IPSSEC/SSLLVPNN接入； 在内部各各主要部部门间，及及内外网网络间进进行安全全区域划划分，保保护企业业业务系系统； 配置入侵侵检测系系统，检检测基于于网络的的攻击事事件，并并且协调调设备

2、进进行联动动； 网络整体体必须具具备自防防御特性性，实现现设备横横向联动动抵御混混合式攻攻击； 图形化网网络安全全管理系系统，方方便快捷捷地控制制全网安安全设备备，进行行事件分分析，结结合拓扑扑发现攻攻击，拦拦截和阻阻断攻击击； 整体方案案要便于于升级，利利于投资资保护； 思科建议议方案： 部署边界界安全：思科IIOS 路由器器及ASSA 防防火墙，集集成SSSL/IIPSeec VVPN； 安全域划划分：思思科FWWSM防防火墙模模块与交交换机VVRF及及VLAAN特性性配合，完完整实现现安全域域划分和和实现 业务系系统之间间的可控控互访； 部署终端端安全：思科准准入控制制NACC APPP

3、LIIANCCE及终终端安全全防护CCSA解解决方案案紧密集集成； 安全检测测：思科科IPSS42XXX、IIDSMM、ASSA AAIP模模块，IIOS IPSS均可以以实现安安全检测测并且与与网络设设备进行行联动； 安全认证证及授权权：部署署思科AACS 4.00认证服服务器； 安全管理理：思科科安全管管理系统统MARRS，配配合安全全配置管管理系统统CSMM使用。 2. 思思科建议议方案设设计图点击放大大3. 思思科建议议方案总总体配置置概述 安全和智智能的总总部与分分支网络络o LAN： 总部部，核心心层思科科Catt65000；分分布层CCat445000；接入入层Caat35560

4、和和CE5500交交换机，提提供公司司总部园园区网络络用户的的接入； 分支支可以采采用思科科ASAA55005 防防火墙内内嵌的88FE接接口连接接用户，同同时其头头两个LLAN端端口支持持POEE以太网网供电，可可以连接接AP及及IP电电话等设设备使用用，并且且ASAA55005留有有扩展槽槽为便于于以后对对于业务务模块的的支持。 o WAN： 总部部ISRR38445 路路由器，分分支ISSR28811或或者ASSA防火火墙，实实现总部部和分支支之间安安全可靠靠地互联联，可以以采用专专线，也也可以经经由因特特网，采采用VPPN实现现；并且且为远程程办公用用户提供供IPSSEC/SSLL V

5、PPN的接接入。 总部和分分支自防防御网络络部署说说明o 总部和分分支路由由器或者者ASAA防火墙墙，IPPS，及及 IPPSecc VPPN和WWEB VPNN功能，实实现安全全的网络络访问和和应用传传输，以以及高级级的应用用控制； 另外外，可利利用思科科Autto-SSecuure功功能快速速部署基基本的安安全功能能。 o 安全域划划分：实实现行业业用户内内部业务务系统逻逻辑隔离离，并且且保证在在策略允允许的情情况下实实现可控控的互访访，可以以利用思思科FWWSM防防火墙模模块与CC6K交交换机完完美集成成，并且且思科交交换机VVRF特特性相结结合，二二层VLLAN隔隔离，三三层VRRF隔

6、离离，最终终利用VVRF终终结业务务对应不不同的虚虚拟防火火墙，并并且配置置各个业业务网段段专用虚虚拟防火火墙实现现不同安安全区域域业务之之间的可可控互访访。 o 终端安全全：终端端安全NACC+CSSA，利利用思科科NACC APPPLIINACCE 解解决方案案通过配配置CAAM/CCAS两两台设备备实现思思科NAAC解决决方案保保证对于于网络内内主机的的入网健健康检查查，利用用思科CCSA软软件对于于用户服服务器及及客户机机进行安安全加固固、病毒毒零天保保护、限限制非法法应用（PP2P)、限制制U盘使使用等操操作，并并且两套套解决方方案可以以实现完完美结合合，并且且CSAA和与MMARS

7、S以及IIPS进进行横向向联动，自自动拦截截攻击。 o 安全检测测：思科科IPSS42XXX、IIDSMM、ASSA AAIP模模块均可可以实现现安全检检测并与与网络设设备进行行联动，思思科安全全IPSS设备支支持并联联和串连连模式，旁旁路配置置时可以以监控各各个安全全域划分分区域内内部业务务，识别别安全风风险，与与MARRS联动动，也可可以与思思科网络络设备防防火墙、CC6K交交换机、路路由器等等进行联联动，自自动推送送配置给给设备实实现攻击击的拦截截工作。IISR启启用NEETFLLOW功功能与MMARSS进行联联动进行行异常流流量及行行为监控控； o 安全认证证及授权权： 部部署思科科A

8、CSS 4.0认证证服务器器，实现现网管认认证，并并且可以以实现有有线及无无线用户户DOTT1X认认证需求求 o 安全管理理：图形形化思科科安全管管理器CCSM，可可以监控控，配置置和管理理总部和和分支所所有安全全设备，包包括防火火墙，VVPN和和IPSS等； 思科安安全响应应系统MMARSS，随时时获取全全网范围围内的所所有报告告，进行行智能的的关联和和分析，进进而结合合网络拓拓扑图，分分析出当当前正在在发生的的攻击路路径，并并给出响响应方案案，也可可调用网网络设备备对攻击击进行拦拦截和阻阻断。 4. 方方案产品品配置详详述 LANo 总部C66K交换换机为主主干，分分布层交交换机CC450

9、00，接接入层交交换机 CE5500-24PPC为桌桌面交换换机，可可提供用用户以1100MM接入，同同时提供供IP电电话机的的电源供供应； WANo 采用ISSR38800系系列路由由器，小小型分支支机构建建议利用用ASAA55005直接接组网即即可； SDN自自防御网网络安全全o 边界安全全：ISSR 路路由器及及ASAA 55500防防火墙；配置AASAAIPP模块实实现基于于网络攻攻击的拦拦截，同同时购买买相应的的IPSS 模块块SMAARTNNET服服务。 o 安全域划划分：在在核心的的Catt65000交换换机配置置FWSSM防火火墙模块块，与交交换机VVRF及及VLAAN特性性配

10、合，完完整实现现安全域域划分以以及 业业务可控控互访。 o 终端安全全：配置置两台CCAM及及CASS（冗余余配置）实实现NAAC部署署(CAAM旁路路配置），根根据用户户规模选选择适当当CAMM型号，并并且根据据同时在在线管理理的客户户机数量量选择CCAS的的授权、配配置CSSAMMC服务务器，根根据用户户实际需需求购买买相应数数量的服服务器及及终端机机保护授授权，必必须同时时购买相相应的SSMARRTNEET服务务。 o 安全检测测：可以以单独配配置思科科IPSS42XXX、CC6K集集成 IIDSMM入侵检检测模块块、ASSA 集集成的AAIP模模块等均均可以实实现安全全检测并并且与网网

11、络设备备进行联联动。 o 安全认证证及授权权：部署署思科AACS 4.00认证服服务器，配配置两台台ACSS可以实实现冗余余 o 安全管理理：思科科安全响响应系统统MARRS，安安全管理理系统CCSM； 小型型企业购购买MAARS-20RR，可以以通过授授权升级级至MAARS220，中中型企业业园区网网络建议议MARRS-550或以以上型号号。 o 分支机构构：小型型分支机机构建议议利用AASA555055组网、一一台设备备实现交交换路由由安全功功能三合合一。规规模较大大分支机机构可以以推荐用用户利用用ISRR集成组组网。 总部和分分支方案案产品清清单总部边界界安全配配置CISCCO38825

12、-SECC/K9938255 Seecurrityy Buundlle，AAdvaanceed SSecuuritty，664F/2566DAIM-VPNN/SSSL-33DES/3DEES/AAES/SSLL VPPN EEncrrypttionn/CoomprresssionnFL-WWEBVVPN-1000-K99Featturee Liicennse IOSS SSSL VVPN Up To 1000 Usserss (IIncrremeentaal)CAB-ACAAPlugg，Poowerr Coord，AAusttralliann，100ACON-SNTT-38825SSECSMA

13、RRTNEET 88X5XXNBDD 38825 Seccuriity Bunndlee，Addvanncedd SeecurrityyASA 55220+AAIP模模块服服务ASA555200-AIIP200-K88ASA 55220 AApplliannce w/ AIPP-SSSM-220，SSW，HHA，44GE+1FEE，DEESCAB-ACAAPlugg，Poowerr Coord，AAusttralliann，100ASF-AASA-7.22-K88ASA 55000 SSeriies Sofftwaare v7.2ASA-VPNN-CLLNT-K9Ciscco VVPN Cli

14、ientt Sooftwwaree (WWinddowss，Soolarris，LLinuux，MMac)CON-SU11-ASS2A220K88IPS SVCC，ARR NBBD AASA555200-AIIP200-K88总部安全全域划分分配置建建议： Catt65006 + FWWSM+2个虚虚拟防火火墙授权权 WS-CC65006-EE-FWWM-KK9Ciscco CCataalysst 665066E FFireewalll SSecuuritty SSysttemS7333AISSK9-122218SSXECiscco CCAT660000-SUUP7220 IIOS ADVVA

15、NCCED IP SERRVICCES SSHHMEM-C6KK-CPPTFLL1288MCat665000 Suup7220/SSup332 CComppactt Fllashh Meem 1128MMBWS-CCAC-30000WCataalysst 665000 30000WW ACC poowerr suuppllyCAB-AC116A-CH16A AC Powwer Corrd FFor ChiinaCON-SNTT-C665066FWMMSMARRTNEET 88X5XXNBDD Ciiscoo Caatallystt 65506总部安全全域划分分配置建建议：Cat665066 +

16、 FWSSM+22个虚拟拟防火墙墙授WS-CC65006-EE-FWWM-KK9Ciscco CCataalysst 665066E FFireewalll SSecuuritty SSysttemS7333AISSK9-122218SSXECiscco CCAT660000-SUUP7220 IIOS ADVVANCCED IP SERRVICCES SSHHMEM-C6KK-CPPTFLL1288MCat665000 Suup7220/SSup332 CComppactt Fllashh Meem 1128MMBWS-CCAC-30000WCataalysst 665000 30000WW

17、 ACC poowerr suuppllyCAB-AC116A-CH16A AC Powwer Corrd FFor ChiinaCON-SNTT-C665066FWMMSMARRTNEET 88X5XXNBDD Ciiscoo Caatallystt 65506总部终端端安全之之终端安安全防护护CSAA配置建建议：CSA 25服服务器授授权CSA-B255-SRRVR-K9Ciscco SSecuuritty AAgennt 25 Serrverr Aggentt BuundlleCON-SAUU-CSSA-BB25SSSW AAPP SUPPP CCiscco SSecuuritty SS

18、ervver Ageent - 225 AAgenntsCSA 2500个客户户端授权权CSA-B2550-DDTOPP-K99Ciscco SSecuuritty AAgennt 2500 Deeskttop Ageent BunndleeCON-SAUU-CSSA-BB2500DSW AAPP SUPPP CCiscco SSecuuritty DDeskktopp Aggentt - 2500 Aggentt MC 管管理软件件CSA-STAART-5.11-K99=CSA 5.11 Sttartter Kitt MMC，11 Seerveer，aand 10 Dessktoop AAg

19、enntsCON-SAUU-CSSA-SSTRTTSW AAPP SUPPP CCSA Staarteer BBunddle 总部安全全检测 思科IIPS产产品线配配置建议议 硬件为例例：IPPS 442400服务务IPS-42440-KK9IPS 42440 AApplliannce SennsorrIPS-SW-5.00 IPS 5.00 Sooftwwaree foor IIDS 42115，IIPS 42440 aand 42555 sseriiesCAB-ACAAPlugg，Poowerr Coord，AAusttralliann，100ACON-SU11-IPPS42240IPS

20、SVCC，ARR NBBD IIPS 42440 AApplliannce S集成模块块为例：IDSSM服服务WS-SSVC-IDSS2-BBUN-K9600MM IDDSM-2 MMod forr C66KCON-SU11-WIIDSBBNK99 IPSS SVVC，AAR NNBD 6000M IIDSMM-2 Modd 总部安全全管理 思科安安全认证证管理产产品线配配置建议议（MAARS/CCAA/ACCS）：MARSSCS-MMARSS-500-K99PN-MMARSS 500 1RRU AApplliannce，11，0000 EEPS，2240GGB RRAIDD0，HHW/SSW

21、CON-SNTT-MAARS550SMARRTNEET 88X5XXNBDD PNN-MAARS 50 1RUU ApppliiACS 4.00CSACCS-44.0-WINN-K99Ciscco SSecuure ACSS 4.0 ffor WinndowwsCON-SASS-CSSACSS4.00SW AAPP SUPPP CCiscco SSecuure ACSS 4.0 ffor WinndowwsCCA 冗余配配置 CCAM*2+CCAS*2NAC333100-2550-KK9NAC Apppliaancee 33310 Serrverr -mmax 2500 usserssCAB-

22、ACAAPlugg，Poowerr Coord，AAusttralliann，100ACON-SNTT-NAAC2550SMARRTneet 88x5xxNBDD Svvc - NAAC2550NAC333100-2550FBB-K99NAC Apppliaancee 33310 Serrverr Faailooverr Buundlle -maxx 2550 uuserrsCAB-ACAAPlugg，Poowerr Coord，AAusttralliann，100ACON-SNTT-NAAC2550FSMARRTneet 88x5xxNBDD Svvc - NAAC2550FNACMMGR-

23、3-KK9NAC Apppliaancee 33310 Mannageer -maxx 3 SerrverrsCAB-ACAAPlugg，Poowerr Coord，AAusttralliann，100ACON-SNTT-NAACM33SMARRTneet 88x5xxNBDD Svvc - MGGR 33NACMMGR-3FBB-K99NAC Apppliaancee 33310 Mannageer FFailloveer BBunddle -maax 33 SeerveersCAB-ACAAPlugg，Poowerr Coord，AAusttralliann，100ACON-SNTT-NA

24、ACM33FSMARRTneet 88x5xxNBDD Svvc - MGGR 33 FBB小型分支支机构 ASAA55005安全全产品配配置建议议：ASA555055+100 SSSLVPPN 授授权ASA555055-500-BUUN-KK8ASA 55005 AApplliannce witth SSW，550 UUserrs，88 poortss，DEESCAB-AC-C5-CHIIAC PPoweer CCordd，Tyype C5，CChinnaASA-VPNN-CLLNT-K9Ciscco VVPN Cliientt Sooftwwaree (WWinddowss，Soolarris，LLinuux，MMac)CON-SNTT-ASS5B550K88SMARRTNEET 88X5XXNBDD ASSA55505-50-BUNN-K88