Cisco网络集成解决方案

网络解决方案

目录

一、总述 (3)

二、网络拓扑分析 (4)

三、VPN解决方案介绍 (5)

3.1 基于IPSec的远程接入 (7)

3.2 WebVPN (8)

3.3 站点到站点 (9)

3.4 应用滥用和访问控制 (11)

3.5 总结 (13)

四、安全服务模块(CSC-SSM) (14)

4.1 产品概述 (14)

4.2 主要特性和优势 (15)

五、思科安全MARS (16)

5.1 概述 (16)

5.2 思科安全MARS的主要特性和优势 (18)

六、网络准入控制(NAC) (22)

6.1 概述 (22)

6.2 NAC的优势 (23)

七、产品介绍 (28)

7.1 Cisco ASA 5500系列简介 (28)

7.1.1 概述 (28)

7.1.2 产品特点 (30)

7.2 Catalyst 6500系列交换机 (33)

7.2.1 概述 (33)

7.2.2 Cisco Catalyst 6500系列的优点 (34)

7.3 Supervisor Engine 720介绍 (40)

7.3.1 概述 (40)

7.3.2 Cisco Supervisor Engine 720的特性 (44)

7.4 Cisco Catalyst 2960系列交换机 (46)

7.4.1 产品概述 (47)

7.4.2 特性和优点 (52)

一、总述

本次网络方案采用CISCO全系列产品，包括防火墙、核心交换和网络接入设备，同时使用思科管理软件和安全准入控制，并且提供VPN的接入。方案中从硬件介绍入手，并根据实际情况分析不同的解决方案，以便满足用户的需求。在整个方案规划实施过程中我们严格遵循以下原则，从全局考虑保证用户投资。

１．实用性

应当从实际情况出发，使之达到使用方便且能发挥效益的目的。采用成熟的技术和产品来建设该系统。要能将新系统与已有的系统兼容，保持资源的连续性和可用性。系统是安全的，可靠的。使用相当方便，不需要太多的培训即可容易的使用和维护。

２．先进性

采用当前国际先进成熟的主流技术，采用业界相关国际标准。设备选型要是先进和系列化的，系统应是可扩充的。便于进行升级换代。利用当前的设备可以为以后的发展打下良好的扩充基础。

３．安全性

采用各种有效的安全措施，保证网络系统和服务器的安全运行。安全包括4个层面网络安全，操作系统安全，数据库安全，应用系统安全。由于Internet 的开放性，世界各地的Internet用户，包括黑客，病毒，间谍软件都可能访问到内部网络。

４．可扩充性

利用已有的资源，通过良好的技术标准与产品架构，可以很容易的升级到更高层次，而不需要很高的投资。

５．可管理性

选用易于操作和维护的网络操作系统，大大减轻网络运营时的管理和维护负担。采用智能化网络管理，最大程度地降低网络的运行成本和维护。

６．高性能价格比

结合日益进步的科技新技术和环境保护局的具体情况，制定合乎经济效益的解决方案，在满足需求的基础上，充分保障劳动局的经济效益。坚持经济性原则，在不降低需求的同时力争用最少的钱办更多的事，以获得最大的效益。

二、网络拓扑分析

网络整体结构并不复杂，通过简单的部署达到安全高效的目的。网络拓扑如下所示：

网络主干采用全千兆连接（图中的红线标示），2台Cisco Catalyst 6500在网络核心提供冗余，然后千兆到接入交换机，最后百兆到桌面。在网络出口使用Cisco ASA 5540加Cisco ASA 5500系列内容安全和控制安全服务模块(CSC-SSM)在互联网边缘提供了业界领先的威胁防御和内容控制，是由业界领先公司提供的、全面、易于管理的解决方案，包括了防病毒、防间谍软件、文件阻挡、防垃圾邮件、防泄密、URL阻挡和过滤，以及内容过滤等功能。CSC-SSM 增强了Cisco ASA 5500系列的强大安全功能，使客户能更好地保护和控制企业通信的内容。

三、VPN解决方案介绍

思科?ASA 5500系列自适应安全设备是结合了一流安全性与VPN服务的专用平台，面向中小型企业（SMB）应用。ASA 5500系列提供基于防火墙、入侵防御系统（IPS）和网络反病毒功能的自适应威胁防御解决方案，它可以与这些服务一起使用，或者作为专门功能的VPN平台独立使用。

在VPN服务方面，思科ASA 5500系列采用灵活的技术，能够提供量身定做的解决方案，满足远程接入和站点到站点的连接要求。思科ASA 5500系列能够提供易于管理的IP安全（IPSec）和基于VPN的安全套接层（SSL）远程接入，以及网络感知的站点到站点VPN连接，使企业能在公共网络上建立到移动用户、远程站点、业务合作伙伴的安全连接。借助ASA 5500系列，企业能够享受到互联网的连接和成本优势，而不会影响到企业安全策略的完整性。通过将VPN服务与全面的威胁缓解服务相结合，ASA 5500系列能够提供安全的VPN连接和通信。集成的自适应威胁防御功能可以提供统一的防御，帮助确保VPN部署不会成为蠕虫、病毒、恶意软件或黑客攻击等网络攻击的渠道。此外，还可以对VPN流量实施详细的应用和访问控制策略，使个人和用户组能够访问他们获得授权的应用、网络服务和资源（图1）。

图1. 适用于所有部署方案的VPN服务：带有威胁防御的强大IPSec和SSL

VPN服务

远程接入

思科ASA 5500系列提供完整的远程接入VPN解决方案，支持大量连接方式，包括WebVPN（SSL VPN）、思科VPN客户端（IPSec VPN），以及Nokia Symbian移动无线与PDA客户端的连接。利用思科在远程接入领域的专业技术，企业能够部署单个集成平台，该平台广泛支持各种核心企业应用，并具备易管理性和部署灵活性。

用户可从支持SSL的Web浏览器或VPN客户端建立安全的远程连接，从而实现最大的灵活性和应用访问，而无需部署和管理单独的设备。借助思科ASA 5500系列安全设备，企业可为每类用户选择最合适的技术（IPSec或SSL VPN），而无需部署并行解决方案。这样就消除了为SSL和IPSec VPN分别部署不同的平台所导致的低效率和额外成本。

3.1 基于IPSec的远程接入

使用IPSec来提供远程接入，用户可以获得最稳健的可定制连接。通过IPSec，用户可以访问任何应用，如同他们实际连接到总部局域网一样。基于思科IPSec的远程接入具有高度的可定制性，它提供API，管理员可向其中写入执行例程和其它定制程序。

思科ASA 5500系列提供了思科系统公司功能最丰富的基于IPSec的远程接入。在IPSec部署方面，ASA 5500系列利用了思科VPN 3000系列集中器的特性和功能，能够提供几乎相同的功能，却具有更高的每用户吞吐量。此外，ASA 5500系列还与现有的VPN 3000系列集中器集群无缝整合，使两种平台都能为相同的用户群服务。

思科ASA 5500系列支持创新的思科Easy VPN远程接入功能，这些功能在其它思科安全解决方案中也能找到，如思科PIX?安全设备、思科IOS?路由器和思科VPN 3000系列集中器。思科Easy VPN提供了可扩展、经济高效、易于管理的独特远程接入VPN架构，能够消除传统VPN解决方案通常需要的远程设备配置维护的运营成本。思科ASA 5500系列设备能够动态地将最新的VPN安全策略推送到远程VPN设备和客户端，帮助确保这些远程端点在连接建立之前就拥有最新策略，从而提供最佳的灵活性、可扩展性和易用性。

思科ASA 5500系列安全设备支持VPN客户端的安全状况检查。当客户端试图连接VPN时，它会进行安全检查，包括企业规定的主机安全产品（例如思科安全代理或个人防火墙软件）的使用、版本号和状态，然后才允许远程用户接入企业网络。根据客户端类型、安装的操作系统和思科VPN客户端软件版本，它可以禁止思科VPN客户端连接到网络。这样可以防止不符合安全策略的VPN 客户端接入企业网络。

ASA 5500能为思科VPN客户端和思科VPN3002硬件客户端进行自动软件更新，还能在建立VPN连接时启动更新，或者根据目前连接的VPN客户端的请求启动更新。这为远程用户提供了一种轻松更新客户端软件的方式。

可以使用RADIUS或TACACS+，根据设备上的内部用户数据库或者通过外部源，对远程接入用户进行验证。由于本地集成了很多常用的验证服务，包括Microsoft Active Directory、Microsoft Windows Domains、Kerberos、轻量级目录访问协议（LDAP）和RSA SecurID，因而它无需单独的

RADIUS/TACACS+服务器作为中介，就能进行用户验证。

3.2 WebVPN

思科ASA 5500系列提供了核心SSL VPN功能，用于无客户端的部署，如外联网接入和未管理桌面。思科VPN 3000系列集中器仍是思科功能最丰富的SSL VPN解决方案。

只需使用Web浏览器和本地SSL加密，SSL VPN就能提供从几乎任何拥有互联网的地点的远程资源访问——而无需预安装的VPN客户端软件。思科ASA 5500系列可以支持WebVPN，从而提供对广泛的企业应用的轻松访问，包括Web资源、支持Web的应用、NT/Active Directory文件共享（支持Web）、电子邮件和其它基于TCP的应用（如Telnet或Windows Terminal Services），用户可从任何连接到互联网并能到达HTTP互联网站点的计算机访问这些应用。WebVPN使用SSL以及后来的传输层安全（TLS）来提供远程用户与中央站点支持的特定内部资源之间的安全连接。使用WebVPN来提供安全连接，可以实现从几乎所有系统的访问，而无需安装额外的桌面软件。

3．3 站点到站点

利用思科ASA 5500系列安全设备提供的网络感知的IPSec站点到站点VPN功能，企业能够通过低成本的互联网连接，安全地将其网络延伸到全球的业务合作伙伴和远程与小型分支机构。ASA 5500系列是思科功能最丰富的基于设备的站点到站点VPN解决方案。凭借无可比拟的网络功能集成，思科IOS路由器能够提供业界最先进、最灵活的站点到站点VPN连接。

分支机构和远程办事处将企业的触角延伸到关键的市场和位置。基于思科ASA 5500系列的VPN解决方案能够实现多个地点之间的高速安全通信，提供企业通信所需的性能、可靠性和可用性。可以使用从数字证书到共享私密等多种方法，对VPN连接进行验证。

思科ASA 5500系列安全设备为当前的应用提供了一种VPN基础设施，能够在安全的IPSec网络上传输融合的语音、视频和数据。强大的站点到站点VPN 服务，结合丰富的检验功能和服务质量（QoS）功能，使企业能够利用融合网络提供的诸多好处。使用思科ASA 5500系列设备，将VPN与QoS功能和丰富的检验功能相结合，企业能够安全地将语音和多媒体服务扩展到远程办事处环境，从而利用融合网络提供的众多好处，包括提高生产力、降低运营成本和增强竞争力。

延迟、抖动和信息包丢失都会导致语音和视频质量下降。思科ASA 5500系列具有低延迟排队（LLQ）和流量警管功能，能够支持具有严格QoS要求的应用（如语音和数据），帮助确保端到端的网络QoS策略。延迟敏感的流量的优先级可以排列在文件传输和其它延迟容忍度更高的流量之前。排队性能可以通过一系列配置参数进行优化。

在VPN上部署语音和视频时，必须全状态地检验通过网络的所有多业务流量，这一点十分关键。思科ASA 5500系列安全设备能够为多种VoIP和其它多媒体标准提供市场领先的保护。它支持的VoIP和多媒体标准包括：H.323第4版、会话发起协议（SIP）、思科小型客户端控制协议（SCCP）、实时流协议（RTSP）和媒体网关控制协议（MGCP），这有助于企业安全地部署多种现有和下一代的VoIP和多媒体应用。

思科ASA 5500系列还提供网络拓扑的感知，以实现易配置性和弹性。ASA 5500系列支持VPN隧道上的开放最短路径优先（OSPF）路由，因而能够了解网络可达性，以确保高效的数据流。此外，子网自动发现功能可以识别每个VPN 网关后的全部主机，从而简化配置。

思科ASA 5500广泛支持各种X.509数字证书，包括用于具有多层认证中心等级的环境的n层证书链、使用简单认证登记协议（SCEP）的简易自动证书登记、用于认证机关离线时部署的手动登记。它支持的RSA证书密钥大小可达到4096比特，而基于数字签名算法（DSA）的X.509证书密钥大小最高可达1024比特。思科ASA 5500系列还支持思科IOS软件认证中心的在线登记。轻量级的X.509认证中心能够简化支持公钥基础架构（PKI）的站点到站点VPN 的推出。

VPN连接的威胁缓解

威胁缓解：蠕虫、病毒、间谍软件、广告软件、木马、拒绝服务

蠕虫、病毒、嵌入应用程序的攻击和应用滥用被视为当今网络中最严峻的安全挑战。由于VPN目前的设计方式，远程接入和远程办事处VPN连接是这类攻击的常见入口。人们部署的VPN通常没有在总部位置的隧道终端点实施适当的检测和威胁缓解，从而使得来自远程办事处或用户的恶意软件渗透到网络中，并广泛传播。

借助思科ASA 5500系列，用户可以设计适当的检测和威胁缓解，作为VPN 解决方案的组成部分，而不会产生任何额外成本，也不会加大设计、部署和运营复杂性。凭借ASA 5500系列的融合威胁缓解功能，客户可以检测到恶意软件，并在其进入网络内部并传播之前进行拦截。对于应用嵌入式攻击，如通过文件共享对等网络传播的间谍软件或广告软件，ASA 5500系列能够深入检验应用流量，识别危险的有效载荷，并在其到达目标并造成破坏之前丢弃它的内容。

思科ASA 5500系列安全设备的应用层检验功能可以保护VPN部署，防御拒绝服务（DoS）攻击，例如SYN泛滥、互联网控制信息协议（ICMP）泛滥、Teardrop、端口扫描、Ping of Death和其它许多常见的攻击。