摘要:现在已经是移动互联网经济的时代,网络技术的快速发展催生了许多大型的互联网公司。随着中国经济的快速发展,很多公司已经在全国各地开设了分支结构,甚至还同国外的公司进行跨国合股。基于互联网的经济有一点非常的重要就是安全,眼下各种各样的数据泄漏,网站被攻破等安全事件,将网络安全提升到了一个全新的高度。良好的网络安全环境,保障着一个公司正常的开展业务为客户提供优质的服务。因此网络安全的重要性已经越来越受到互联网公司的重视。
在安全问题越发严重的今天,如何保障公司的网络安全,已经是一个迫在眉睫的问题。本课题就基于互联网公司的网络安全进行研究和设计,在一定程度上保障公司的网络安全。为了达到最佳的实验效果,本课题全部采用真实的网络设备进行实现。包括Cisco最新的ASA 5515-X,企业级的路由器和交换机,还有IPS、身份服务引擎ISE等等。能够真实的展示当前网络安全流行技术。
本次设计的网络部署分为内网和分部网络。安全包括路由器加密通信,内网和外网采用ASA防火墙进行,访问网络经过ISE的身份验证,总部和分支机构的通信全部采用VPN加密。
关键词 Cisco;网络安全;VPN;Firewall
目录
摘要
Abstract
1 绪论-4
1.1 系统设计背景与意义-4
1.1.1 系统设计背景-4
1.1.2 系统设计意义-4
1.2 系统设计内容-4
1.3 论文组织结构-4
2 实验环境和相关技术介绍-5
2.1实验环境和相关技术介绍-5
2.2 防火墙技术介绍-7
2.2.1 防火墙简介-7
2.2.2 Cisco ASA特性-7
2.2.3 ASA的初始化-8
2.2.4 ASA高可用性-9
2.2.5 A/A Failover-10
2.3 ACL访问控制技术-11
2.3.1 ACL介绍-11
2.3.2 ACL分类和作用-11
2.3.3 ACL的功能和部署原则-11
2.4 VPN技术-12
2.4.1 VPN介绍-12
2.4.2 IKEv2-13
2.4.3 DMVPN-13
2.4.4 GETVPN-14
3 安全系统设计-15
3.1 系统设计思想和原则-15
3.2 网络系统综述-17
3.2.1 Inside区域网络-17
3.2.2 Outside区域网络-17
3.2.3 DMZ区域网络-17
3.3网络拓扑设计概述-18
3.3.1 总部网络拓扑设计-18
3.3.2 分部网络拓扑-19
3.4 核心网络的设计-20
3.4.1 多模墙的使用-20
3.4.2 WSA网页防护-20
3.4.3 ISE身份认证-20
3.5网络入口流控设计-20
3.6双DMZ区域设计-21
3.7内部通信安全设计-21
3.7.1 VPN加密通信-21
3.7.2 SLA静态路由跟踪技术-22
4 设备选型-23
4.1设备选型原则-23
4.1.1 适用性-23
4.1.2 经济合理性-23
4.1.3 技术先进性-23
4.1.4 工艺和质量-23
4.1.5 安全性-24
4.1.6 操作性-24
4.1.7 扩展性-24
4.1.8 售服务后与技术支持-24
4.2 Cisco Router-25
4.2.1 Cisco 2900系列集成多业务路由器-25
4.2.2 Cisco 3725系列集成多业务路由器-26
4.3 Cisco Switch-27
4.3.1 Cisco Catalyset 3550系列交换机-27
4.3.2 Cisco Catalyst 3560-E企业级交换机-28
4.3.3 Cisco Catalyst 3750-X企业级三层交换机-29
4.4 Cisco Firewall-30
4.4.1 Cisco ASA 5510 Security+系列安全防火墙-30
4.4.2 Cisco ASA 5515-X系列安全防火墙-31
4.5 Cisco WSA-S160-K9系列网页防火墙-32
4.6 Cisco Aironet 1600系列无线接入点-33
4.7 Cisco Unified CP-7965G IP Phone-34
4.8 Cisco ISE-3395-K9系列身份服务引擎-35
4.9 Cisco AIR-WLC2500-K9系列无线控制器-36
4.10 设备选型-37
5设备配置与安全系统实现-38
5.1 物理安全-38
5.1.1 物理位置的选择-38
5.1.2 物理访问控制-38
5.1.3 防盗和防破坏-38
5.1.4 防火、防水、防雷击和防潮-38
5.1.5 静电和电磁防护-38
5.1.6 温度控制和电源供应-39
5.2 总部安全-39
5.2.1 ASA3单模防火墙配置-39
5.2.2 NTP时间同步-40
5.2.3 ASA1多模墙配置-41
5.2.4 ASA1和ASA2 配置A/A FO-44
5.2.5 ASA3 Inside区域进行NAT转换-45
5.2.6 IPS初始化-46
5.2.7 为IPS配置在线接口对儿-47
5.2.8为IPS配置杂合模式-48
5.2.9 为IPS定义signature 62000-48
5.2.10 SW1配置WCCP流量重新定向-49
5.2.11 为DMZ区域配置Site-to-Site VPN-50
5.2.12 为DMZ区域配置GETVPN-50
5.3 分部安全-51
5.3.1 ASA4 单模墙配置-51
5.3.2 配置OSPF路由-52
5.3.3 配置ASA LSA静态路由跟踪技术-53
5.3.4 ASA4 inside区域配置NAT转换-54
5.3.5 配置OSPFv2 认证-55
5.3.6 交换机防欺骗安全配置-55
5.3.7 WLC对shun的学习-56
结论-57
致谢-58
参考文献-59