- 1、本文档共14页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
企业自防御网络设计框架参考
企业自防御网络设计框架卓越品质引领安全 企业自防御网络部署建议用户需求概要 企业自防御网络部署建议结构图 企业自防御网络部署建议-方案总体功能特点概述: 企业自防御网络部署建议-方案总体设备配置概述: 企业自防御网络部署建议- 总部边界安全配置建议 ISR and ASA 企业自防御网络部署建议- 总部安全域划分配置建议: 企业自防御网络部署建议- 总部终端安全 之终端安全防护CSA配置建议: 企业自防御网络部署建议- 总部安全检测 思科IPS产品线配置建议: 企业自防御网络部署建议- 总部安全管理 思科安全认证管理产品线配置建议(MARS/CCA/ACS): 企业自防御网络部署建议- 小型分支机构 ASA5505安全产品配置建议: 企业自防御网络相应设备详细部署指南-思科自防御网络安全AT设备实施配置指南: Vision / Mission - Beyond Worms and Viruses ? 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID * ? 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID * 客户规模: 客户有一个总部, 具有一定规模的园区网络; 一个分支机构, 约有20-50名员工; 用户有很多移动办公用户 客户需求: 组建安全可靠的总部和分支LAN和WAN; 总部和分支部署主机需要进行终端安全防护及终端准入控制,并且未来实现对于VPN用户的检查; 需要网络设备支持IPSEC/SSLVPN接入,分支机构需要性价比较高设备组网,并且注重安全性; 需要利用网络设备保护企业对外业务发布系统,需要对网内业务分类并且进行相应安全区域划分; 需要配置入侵检测系统检测基于网络的攻击事件,并且协调设备进行联动; 图形化的网络安全管理系统,控制全网安全设备,进行事件分析,结合拓扑发现攻击,拦截阻断攻击; 整体方案要便于以后升级, 体现设备间横向联动,以利于投资保护; 网络整体必须具备一定自防御特性,实现设备横向联动抵御混合式攻击; 思科建议方案概述: 边界安全:ISR 路由器及ASA 防火墙,实现SSL/IPSECVPN集成。 安全域划分:思科FWSM防火墙模块与交换机VRF及VLAN特性配合,完整实现安全域划分 业务可控互访 终端安全:思科准入控制NAC APPLIANCE及终端安全防护CSA解决方案紧密集成 安全检测:思科IPS42XX、IDSM、ASA AIP模块均可以实现安全检测并且与网络设备进行联动 安全认证及授权:部署思科ACS 4.0认证服务器 安全管理:思科安全管理系统MARS,配合配置管理系统CSM结合使用。MARS-50或以上 分支机构:ASA5505组网、一台设备实现交换路由安全功能三合一。 安全区越A FWSM 核心交换机 分布层交换机 楼层交换机 管理中心 SDH专网 IPSEC/SSL VPN 边界安全区域 业务服务器组群 ISR ASA 无线AP IP电话 打印机 文件 服务器 ASA 5505 CAS CAM ACS 4.X CSA-MC CS-MARS 小型分支机构 VFW VFW 安全区越B 安全区越C 移动办公用户 IPS 42XX 安全和智能的总部与分支网络: LAN: 总部思科核心C6K;分布可以采用C4500;接入采用C3560和CE500交换机, 提供约公司总部园区网络用户的接入; 分支思科ASA5505 防火墙内嵌8FE接口连接用户主机, 内嵌连歌POE接口可以连接AP及IP电话使用,并且ASA5505留有扩展槽为便于以后对于业务模块的支持。 WAN: 总部ISR 路由器, 分支ISR2811或者ASA防火墙, 实现总部和分支之间安全可靠地互联, 可以采用专线, 也可以经由因特网, 采用VPN实现;并且为远程办公用户提供IPSEC/SSL VPN的接入。 总部和分支自防御网络特性部署说明: 利用总部和分支路由器或者ASA防火墙的IOS FW和IOS IPS, 及 IPSec VPN和WEB VPN功能, 实现安全的网络访问和应用传输, 以及高级的应用控制; 另外, 可利用思科Auto-Secure功能快速部署基本的安全功能。 安全域划分:实现行业用户内部业务系统逻辑隔离,并且保证在策略允许的情况下实现可控的互访,可以利用思科FWSM防火墙模块与C6K交换机完美集成,并且思科交换机VRF特性相结合,二层VLAN隔离,三层VRF隔离,最终利用VRF终结业务对应不同的虚拟防火墙,并且配置各个业务网段专用虚拟防火
文档评论(0)