思科自防御网络安全方案典型配置精编版[6页].docx

《思科自防御网络安全方案典型配置精编版[6页].docx》由会员分享，可在线阅读，更多相关《思科自防御网络安全方案典型配置精编版[6页].docx（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、最新资料推荐思科自防御网络安全方案典型配置1. 用户需求分析客户规模： 客户有一个总部，具有一定规模的园区网络； 一个分支机构，约有2050名员工； 用户有很多移动办公用户 客户需求： 组建安全可靠的总部和分支LAN和WAN； 总部和分支的终端需要提供安全防护，并实现网络准入控制，未来实现对VPN用户的网络准入检查； 需要提供IPSEC/SSLVPN接入； 在内部各主要部门间，及内外网络间进行安全区域划分，保护企业业务系统； 配置入侵检测系统，检测基于网络的攻击事件，并且协调设备进行联动； 网络整体必须具备自防御特性，实现设备横向联动抵御混合式攻击； 图形化网络安全管理系统，方便快捷地控制全网

2、安全设备，进行事件分析，结合拓扑发现攻击，拦截和阻断攻击； 整体方案要便于升级，利于投资保护； 思科建议方案： 部署边界安全：思科IOS 路由器及ASA 防火墙，集成SSL/IPSec VPN； 安全域划分：思科FWSM防火墙模块与交换机VRF及VLAN特性配合，完整实现安全域划分和实现 业务系统之间的可控互访； 部署终端安全：思科准入控制NAC APPLIANCE及终端安全防护CSA解决方案紧密集成； 安全检测：思科IPS42XX、IDSM、ASA AIP模块，IOS IPS均可以实现安全检测并且与网络设备进行联动； 安全认证及授权：部署思科ACS 4.0认证服务器； 安全管理：思科安全管理

3、系统MARS，配合安全配置管理系统CSM使用。 2. 思科建议方案设计图点击放大3. 思科建议方案总体配置概述 安全和智能的总部与分支网络 o LAN： 总部，核心层思科Cat6500；分布层Cat4500；接入层Cat3560和CE500交换机，提供公司总部园区网络用户的接入； 分支可以采用思科ASA5505 防火墙内嵌的8FE接口连接用户，同时其头两个LAN端口支持POE以太网供电，可以连接AP及IP电话等设备使用，并且ASA5505留有扩展槽为便于以后对于业务模块的支持。 o WAN： 总部ISR3845 路由器，分支ISR2811或者ASA防火墙，实现总部和分支之间安全可靠地互联，可以

4、采用专线，也可以经由因特网，采用VPN实现；并且为远程办公用户提供IPSEC/SSL VPN的接入。 总部和分支自防御网络部署说明 o 总部和分支路由器或者ASA防火墙，IPS，及 IPSec VPN和WEB VPN功能，实现安全的网络访问和应用传输，以及高级的应用控制； 另外，可利用思科Auto-Secure功能快速部署基本的安全功能。 o 安全域划分：实现行业用户内部业务系统逻辑隔离，并且保证在策略允许的情况下实现可控的互访，可以利用思科FWSM防火墙模块与C6K交换机完美集成，并且思科交换机VRF特性相结合，二层VLAN隔离，三层VRF隔离，最终利用VRF终结业务对应不同的虚拟防火墙，并

5、且配置各个业务网段专用虚拟防火墙实现不同安全区域业务之间的可控互访。 o 终端安全：终端安全NAC+CSA，利用思科NAC APPLINACE 解决方案通过配置CAM/CAS两台设备实现思科NAC解决方案保证对于网络内主机的入网健康检查，利用思科CSA软件对于用户服务器及客户机进行安全加固、病毒零天保护、限制非法应用（P2P)、限制U盘使用等操作，并且两套解决方案可以实现完美结合，并且CSA和与MARS以及IPS进行横向联动，自动拦截攻击。 o 安全检测：思科IPS42XX、IDSM、ASA AIP模块均可以实现安全检测并与网络设备进行联动，思科安全IPS设备支持并联和串连模式，旁路配置时可以

6、监控各个安全域划分区域内部业务，识别安全风险，与MARS联动，也可以与思科网络设备防火墙、C6K交换机、路由器等进行联动，自动推送配置给设备实现攻击的拦截工作。ISR启用NETFLOW功能与MARS进行联动进行异常流量及行为监控； o 安全认证及授权： 部署思科ACS 4.0认证服务器，实现网管认证，并且可以实现有线及无线用户DOT1X认证需求 o 安全管理：图形化思科安全管理器CSM，可以监控，配置和管理总部和分支所有安全设备，包括防火墙，VPN和IPS等； 思科安全响应系统MARS，随时获取全网范围内的所有报告，进行智能的关联和分析，进而结合网络拓扑图，分析出当前正在发生的攻击路径，并给出

7、响应方案，也可调用网络设备对攻击进行拦截和阻断。 4. 方案产品配置详述 LAN o 总部C6K交换机为主干，分布层交换机C4500，接入层交换机 CE500-24PC为桌面交换机，可提供用户以100M接入，同时提供IP电话机的电源供应； WAN o 采用ISR3800系列路由器，小型分支机构建议利用ASA5505直接组网即可； SDN自防御网络安全 o 边界安全：ISR 路由器及ASA 5500防火墙；配置ASAAIP模块实现基于网络攻击的拦截，同时购买相应的IPS 模块SMARTNET服务。 o 安全域划分：在核心的Cat6500交换机配置FWSM防火墙模块，与交换机VRF及VLAN特性配

8、合，完整实现安全域划分以及 业务可控互访。 o 终端安全：配置两台CAM及CAS（冗余配置）实现NAC部署(CAM旁路配置），根据用户规模选择适当CAM型号，并且根据同时在线管理的客户机数量选择CAS的授权、配置CSAMC服务器，根据用户实际需求购买相应数量的服务器及终端机保护授权，必须同时购买相应的SMARTNET服务。 o 安全检测：可以单独配置思科IPS42XX、C6K集成 IDSM入侵检测模块、ASA 集成的AIP模块等均可以实现安全检测并且与网络设备进行联动。 o 安全认证及授权：部署思科ACS 4.0认证服务器，配置两台ACS可以实现冗余 o 安全管理：思科安全响应系统MARS，安

9、全管理系统CSM； 小型企业购买MARS-20R，可以通过授权升级至MARS20，中型企业园区网络建议MARS-50或以上型号。 o 分支机构：小型分支机构建议利用ASA5505组网、一台设备实现交换路由安全功能三合一。规模较大分支机构可以推荐用户利用ISR集成组网。 总部和分支方案产品清单总部边界安全配置CISCO3825-SEC/K93825 Security Bundle，Advanced Security，64F/256DAIM-VPN/SSL-3DES/3DES/AES/SSL VPN Encryption/CompressionFL-WEBVPN-100-K9Feature Lic

10、ense IOS SSL VPN Up To 100 Users (Incremental)CAB-ACAPlug，Power Cord，Australian，10ACON-SNT-3825SECSMARTNET 8X5XNBD 3825 Security Bundle，Advanced SecurityASA 5520+AIP模块服务ASA5520-AIP20-K8ASA 5520 Appliance w/ AIP-SSM-20，SW，HA，4GE+1FE，DESCAB-ACAPlug，Power Cord，Australian，10ASF-ASA-7.2-K8ASA 5500 Series

11、 Software v7.2ASA-VPN-CLNT-K9Cisco VPN Client Software (Windows，Solaris，Linux，Mac)CON-SU1-AS2A20K8IPS SVC，AR NBD ASA5520-AIP20-K8总部安全域划分配置建议： Cat6506 + FWSM+2个虚拟防火墙授权 WS-C6506-E-FWM-K9Cisco Catalyst 6506E Firewall Security SystemS733AISK9-12218SXECisco CAT6000-SUP720 IOS ADVANCED IP SERVICES SSHMEM-

12、C6K-CPTFL128MCat6500 Sup720/Sup32 Compact Flash Mem 128MBWS-CAC-3000WCatalyst 6500 3000W AC power supplyCAB-AC16A-CH16A AC Power Cord For ChinaCON-SNT-C6506FWMSMARTNET 8X5XNBD Cisco Catalyst 6506总部安全域划分配置建议：Cat6506 + FWSM+2个虚拟防火墙授WS-C6506-E-FWM-K9Cisco Catalyst 6506E Firewall Security SystemS733AISK

13、9-12218SXECisco CAT6000-SUP720 IOS ADVANCED IP SERVICES SSHMEM-C6K-CPTFL128MCat6500 Sup720/Sup32 Compact Flash Mem 128MBWS-CAC-3000WCatalyst 6500 3000W AC power supplyCAB-AC16A-CH16A AC Power Cord For ChinaCON-SNT-C6506FWMSMARTNET 8X5XNBD Cisco Catalyst 6506总部终端安全之终端安全防护CSA配置建议：CSA 25服务器授权CSA-B25-SR

14、VR-K9Cisco Security Agent 25 Server Agent BundleCON-SAU-CSA-B25SSW APP SUPP Cisco Security Server Agent - 25 AgentsCSA 250个客户端授权CSA-B250-DTOP-K9Cisco Security Agent 250 Desktop Agent BundleCON-SAU-CSA-B250DSW APP SUPP Cisco Security Desktop Agent - 250 Agent MC 管理软件CSA-START-5.1-K9=CSA 5.1 Starter K

15、it MC，1 Server，and 10 Desktop AgentsCON-SAU-CSA-STRTSW APP SUPP CSA Starter Bundle 总部安全检测 思科IPS产品线配置建议 硬件为例：IPS 4240服务IPS-4240-K9IPS 4240 Appliance SensorIPS-SW-5.0 IPS 5.0 Software for IDS 4215，IPS 4240 and 4255 seriesCAB-ACAPlug，Power Cord，Australian，10ACON-SU1-IPS4240IPS SVC，AR NBD IPS 4240 Appli

16、ance S集成模块为例：IDSM服务WS-SVC-IDS2-BUN-K9600M IDSM-2 Mod for C6KCON-SU1-WIDSBNK9 IPS SVC，AR NBD 600M IDSM-2 Mod 总部安全管理 思科安全认证管理产品线配置建议（MARS/CCA/ACS）：MARSCS-MARS-50-K9PN-MARS 50 1RU Appliance，1，000 EPS，240GB RAID0，HW/SWCON-SNT-MARS50SMARTNET 8X5XNBD PN-MARS 50 1RU AppliACS 4.0CSACS-4.0-WIN-K9Cisco Secure

17、 ACS 4.0 for WindowsCON-SAS-CSACS4.0SW APP SUPP Cisco Secure ACS 4.0 for WindowsCCA 冗余配置 CAM*2+CAS*2NAC3310-250-K9NAC Appliance 3310 Server -max 250 usersCAB-ACAPlug，Power Cord，Australian，10ACON-SNT-NAC250SMARTnet 8x5xNBD Svc - NAC250NAC3310-250FB-K9NAC Appliance 3310 Server Failover Bundle -max 250

18、 usersCAB-ACAPlug，Power Cord，Australian，10ACON-SNT-NAC250FSMARTnet 8x5xNBD Svc - NAC250FNACMGR-3-K9NAC Appliance 3310 Manager -max 3 ServersCAB-ACAPlug，Power Cord，Australian，10ACON-SNT-NACM3SMARTnet 8x5xNBD Svc - MGR 3NACMGR-3FB-K9NAC Appliance 3310 Manager Failover Bundle -max 3 ServersCAB-ACAPlug，

19、Power Cord，Australian，10ACON-SNT-NACM3FSMARTnet 8x5xNBD Svc - MGR 3 FB小型分支机构 ASA5505安全产品配置建议：ASA5505+10 SSLVPN 授权ASA5505-50-BUN-K8ASA 5505 Appliance with SW，50 Users，8 ports，DESCAB-AC-C5-CHIAC Power Cord，Type C5，ChinaASA-VPN-CLNT-K9Cisco VPN Client Software (Windows，Solaris，Linux，Mac)CON-SNT-AS5B50K8SMARTNET 8X5XNBD ASA5505-50-BUN-K8最新精品资料整理推荐，更新于二二一年一月十八日2021年1月18日星期一17:52:16