<center id="k5onk"></center>

      1. <center id="k5onk"></center>
        <strike id="k5onk"><video id="k5onk"></video></strike>
          <th id="k5onk"><video id="k5onk"></video></th>

                             
           
                             
           

               詳 細 內 容
          思科自防御網絡安全方案

          1、 用戶需求分析
          ◇ 客戶規模:
          — 客戶有一個總部,具有一定規模的園區網絡;
          — 一個分支機構,約有20-50名員工;
          — 有總計十幾個移動辦公用戶。  
          ◇ 客戶需求:
          — 組件安全可靠的總部和分支LAN和WAN;
          — 在內部各主要部門間,及內外網絡間進行安全區域劃分,保護企業業務系統;
          — 配置入侵檢測系統,檢測基于網絡的攻擊事件,并且協調設備進行聯動;
          — 總部和分支的終端需要提供安全防護,并實現網絡準入控制,未來實現對VPN用戶的網絡準入檢查;
          — 需要提供IPSEC/WEB VPN接入;
          — 網絡整體必須具備自防御特性,實現設備橫向聯動抵御混合式攻擊;
          — 圖形化網絡安全管理系統,方便快捷地控制全網安全設備,進行事件分析,結合拓撲發現攻擊,攔截和阻斷攻擊;
          — 整體方案要便于升級,利于投資保護;
          ◇ 天絲建議方案:
          — 部署邊界安全:思科IOS路由器及ASA防火墻,集成SSL/IPSEC VPN;
          — 安全域劃分:思科FWSM防火墻模塊與交換機VRF及VLAN特性配合,完整實現安全域劃分和實現業務系統之間的可控互訪;
          — 安全檢測:思科IPS42XX、IDSM、ASA AIP模塊,ISO IPS均可以實現安全檢測并且與網絡設備進行聯動;
          — 部署終端安全:思科準入控制NAC APPLIANCE及終端安全防護CSA解決方案緊密集成;
          — 安全認證及授權:部署思科ACS4.0認證服務器;
          — 安全管理:思科安全管理系統MARS,配合安全配置管理系統CSM使用。  

          2、 天絲建議方案設計圖

          3、 天絲建議方案總體配置:

          ◆ 安全和智能的總部與分支網絡:
          ◇ LAN:總部,核心層思科Cat6500;分布層Cat4500;接入層Cat3560和Cat2960交換機,提供公司總部園區網絡用戶的接入,分支可以采用思科ASA5505防火墻內嵌的8FE接口連接用戶,同時其頭兩個LAN端口支持POE以太網供電,可以連接AP及IP電話等設備使用,并且ASA505留有擴展槽為便于以后對于業務模塊的支持。
          ◇ WAN:總部ISR3845路由器,分支ISR2811或者ASA防火墻,實現總部和分支之間安全可靠地互聯,可以采用專線,也可以經由因特網,采用VPN實現,并且為遠程辦公室用戶提供IPSEC/SSL VPN的接入。      
          ◆ 總部和分支防御網絡部署說明
          ◇ 總部和分支路由器或者ASA防火墻,IPS,及IPSEC VPN和WEB VPN功能,實現安全的網絡訪問和應用傳輸,以及高級的應用控制,另外,可利用思科Auto-Secure功能快速部署設備自身的安全。
          ◇ 安全域劃分:實現行業用戶內部業務系統邏輯隔離,并且保證在策略允許的情況下實現可控的互訪,可以利用思科FWSM防火墻模塊與C6K交換機完美集成,并且思科交換機VRF特性相結合,二層VLAN隔離,三層VRF隔離,最終利用VRF終結業務對應不同的虛擬防火墻,并且配置各個業務網段專業虛擬防火墻實現不同安全區域業務之間的可控可訪。
          ◇ 終端安全:終端安全=NAC+CSA,利用思科NAC APPLINACE解決方案通過配置CAM./CAS兩臺設備實現思科NAC解決方案保證對于網絡內主機的入網健康檢查,利用思科CSA軟件對于用戶服務器保及客戶機進行安全加固、病毒零天保護、限制非法應用(P2P)、限制U盤使用等操作,兩套解決方案可以實現完美結合,并且CSA可以與MARS及IPS進行橫向聯動,自行攔截攻擊。
          ◇ 安全檢測:思科IPS42XX、IDSM、ASA AIP模塊均可以實現安全檢測并與網絡設備進行聯動,思科安全IPS設備支持并聯和串連模式,旁路配置時可以監控各個安全域劃分區域內部業務,識別安全風險,與MARS聯動,也可以與思科網絡設備防火墻、C6K交換機、路由器等進行聯動,自動推送配置給設備實現攻擊的攔截工作。ISR啟用NETFLOW功能與MARS進行聯動進行異常流量及行為監控;
          ◇ 安全認證及授權:部署思科ACS4.0認證服務器,實現網管認證,并且可以實現有線及無線用戶DOT1X認證需求
          ◇ 安全管理:圖形化思科安全管理器CSM,可以監控,配置和管理總部和分支所有安全設備,包括防火墻,VPN和IPS等,思科安全響應系統MARS,隨時獲取全網范圍內的所有報告,進行智能的關聯和分析,進而結合網絡拓撲圖,分析出當前正在發生的攻擊路徑,并給出響應方案,也可調用網絡設備對攻擊攔截和阻斷。

          4、 方案產品配置詳述
          ◆ LAN:
          ◇ 總部C6K交換機為主干,分布層交換機C4500,接入層交換機CE500-24PC為桌面交換機,可提供用戶以100M接入,同時提供IP電話機的電源供應;  
          ◆ WAN:
          ◇ 采用ISR3800系統路由器,小型分支機構建議利用ASA5505直接組網即可; 
          ◆ SDN自防御網絡安全:
          ◇ 邊界安全:ISR路由器及ASA 5500防火墻,配置ASA+AIP模塊實現基于網絡攻擊的攔截,同時購買相應的IPS模塊SMARTNET服務。
          ◇ 安全域劃分:在核心的Cat6500交換機配置FWSM防火墻模塊,與交換機VRF及VLAN特性配合,完整實現安全域劃分以及業務可控互訪。
          ◇ 終端安全:配置兩臺CAM及CAS(冗余配置)實現NAC部署(CAM旁路配置),根據用戶規模選擇適當CAM型號,并且根據同時在線管理的客戶機數量選擇CAS的授權、配置CSA-MC服務器,根據用戶實際需求購買相應數量的服務器及終端機保護授權,必須同時購買相應的SMARTNET服務。
          ◇ 安全檢測:可以單獨配置思科IPS42XX、C6K集成IDSM入侵檢測模塊、ASA集成的AIP模塊等均可以實現安全檢測并且與網絡設備進行聯動。
          ◇ 安全認證及授權:部署思科ACS4.0認證服務器,配置兩臺ACS可以實現冗余
          ◇ 安全管理:思科安全響應系統MARS,安全管理系統CSM,小型企業購買MARS-20R,可以通過授權升級至MARS20,中型企業園區網絡建議MARS-50或以上型號。
          ◇ 分支機構:小型分支機構建議利用ASA5505組網、一臺設備實現交換路由安全功能三合一。規模較大分支可以推薦用戶利用ISR集成組網。

          5、  總部和分支方案產品清單        

          總部邊界安全配置:

          CISCO3825-SEC/K9

          3825 Security Bundle,Advanced Security,64F/256D

          AIM-VPN/SSL-3

          DES/3DES/AES/SSL VPN   Encryption/Compression

          FL-WEBVPN-100-K9

          Feature License IOS SSL VPN Up To 100 Users(Incremental)

          CAB-ACA

          Plug,Power Cord,Australian,10A

           

          ASA 5520+AIP模塊+服務

           

          ASA552-AIP20-K8

          ASA5520 Appliance W/AIP-SSM-20,SW,HA

          CAB-ACA

          Plug Power Cord,Australian,10A

          SF-ASA-7.2-K8

          ASA5500 Series Software v7.2

          ASA-VPN-CLNT-K9

          Cisco VPN Client Software(Windows,Solaris,Linux,Mac)

          CON-SU1-AS2A20K8

          IPS SVC, AR NBD ASA 5520-AIP20-K8

           

          總部安全域劃分配置建議:Cat506+FWSM+2個虛擬防火墻授權

          WS-C6506-E-FWM-K9

          Cisco Catalyst 6506E Firewall Security System

          S733AISK9-12218SXE

          Csico CAT6000-SUP720 IOS ADVANCED IP SERVICES SSH

          MEM-C6K-CPTFL128M

          Cat6500 Sup 720/Sup32 Compact Flash Mem 128MB

          WS-CAC-3000W

          Catalyst 6500 3000W AC Power supply

          CAB-AC16A-CH

          16A AC Power Cord For China

           

          總部終端安全之終端安全防護CSA配置建議:CSA 25服務器授權

          CSA-B25-SRVR-K9

          Cisco Security Agent [25 Server Agent Bundle

          CON-SAU-CSA-B25S

          SW APP SUPP Cisco Security Server Agent – 25 Agents

           

          CSA 250個客戶端授權

          CSA-B250-DTOP-K9

          Cisco Security Agent [250 Desktop Agent Bundle

          CON-SAU-CSA-B250D

          SW APP SUPP Cisco Security Desktop Agent - 250 Agents

           

          CSA MC管理軟件

          CSA-START-5.1-K9

          CSA 5.1 Starter Kit [MC, 1 Server, and 10 Desktop Agents

          CON-SAU-CSA-STRT

          SW APP SUPP CSA Starter Bundle

           

          總部安全檢測 思科IPS產品線配置建議 硬件為例:IPS 4240+服務

          IPS-4240-K9

          IPS 4240 Appliance Sensor

          IPS-SW-5.0

          IPS 5.0 Software for IDS 4215,  IPS 4240 and 4255 series

          CAB-ACA 

          Plug,Power Cord,Australian,10A

          CON-SU1-IPS4240 

          IPS SVC, AR NBD IPS 4240 Appliance S

           

          集成模塊為例:IDSM+服務

          WS-SVC-IDS2-BUN-K9 

          600M IDSM-2 Mod for C6K

          CON-SU1-WIDSBNK9

          IPS SVC, AR NBD 600M IDSM-2 Mod

           

          總部安全管理 思科安全認證管理產品線配置建議(MARS/CCA/ACS

          MARS

          CS-MARS-50-K9

          PN-MARS 50 1RU Appliance, 1,000 EPS, 240GB

          RAID0, HW/SW

           

          ACS4.0

          CSACS-4.0-WIN-K9 

          Cisco Secure ACS 4.0 for Windows

          CCA 冗余配置 CAM*2+CAS*2

          NAC3310-250-K9 

          NAC Appliance 3310 Server -max 250 users

          CAB-ACA 

          Plug,Power Cord,Australian,10A

          NAC3310-250FB-K9

          NAC Appliance 3310 Server Failover Bundle -max 250 users

          CAB-ACA 

          Plug,Power Cord,Australian,10A

          NACMGR-3-K9

          NAC Appliance 3310 Manager -max 3 Servers

          CAB-ACA

          Plug,Power Cord,Australian,10A

          NACMGR-3FB-K9

          NAC Appliance 3310 Manager Failover Bundle -max 3 servers

          CAB-ACA

          Plug,Power Cord,Australian,10A

           

          小型分支機構ASA5505安全產品配置建議:ASA5505+10SSL VPN授權

          ASA5505-50-BUN-K8 

          ASA 5505 Appliance with SW, 50 Users, 8 ports, DES

          CAB-AC-C5-CHI 

          AC Power Cord, Type C5, China

          ASA-VPN-CLNT-K9 

          Cisco VPN Client Software (Windows, Solaris, Linux, Mac)

           
          信息來源:tslink/閱讀:7318
          打印本頁 | 關閉窗口
           

          版權所有©廣州市天絲信息技術有限公司
          Copyright© tslink all rights reserved
          電 話:020-87577775 傳 真:020-87575373

          人人做天天爱夜夜爽-亚洲欧美人成网站aaa-久久婷综合五月天啪网-真人牲交视频

            <center id="k5onk"></center>

              1. <center id="k5onk"></center>
                <strike id="k5onk"><video id="k5onk"></video></strike>
                  <th id="k5onk"><video id="k5onk"></video></th>