1、信息化項目Cisco網絡建設方案1核心層設計我們釆用的Cisco公司核心路由交換機C6513,提供13個擴展插槽，提供高達720G的背板帶寬，滿足核心數據快速交換的要求。提供QoS保證能力，保證不同類型的數據根據優先級不同進行傳輸。1、支持引擎、電源等關鍵部件冗余設計，支持多種路由協議、HSRP協議,保證設備的高安全性、可靠性；2、全面支持分布式IP/MPLSVPN業務轉發，保證高性能；3、支持Radius、802.lxSERVER等入認證服務和第三方的系統軟件；4、硬件支持IPv6,支持10GRPR高速環網數據接口，滿足未來構建企業大型核心環網要求；2匯聚層設計匯聚層在骨干網絡中起到承上啟下

2、的作用，應具備可靠性、高性能和多業務兼顧的特點。我們采用的Cisco公司核心路由交換機C6506,提供高達720G的背板帶寬，滿足核心數據快速交換的要求。提供QoS保證能力，保證不同類型的數據根據優先級不同進行傳輸。：1、支持雙引擎、雙電源等關鍵部件冗余設計，支持多種路由協議、HSRP協議，保證設備的高安全性、可靠性；2、全面支持分布式IP/MPLSVPN業務轉發，保證高性能；3、支持Radius.802.lxSERVER等入認證服務和第三方的系統軟件；4、完善的ACL、流量監管、ToS等安全機制；5、硬件支持IPv6,支持10GRPR高速環網數據接口，滿足未來構建企業大型核心環網要求;3數據

3、中心設計我們采用Cisco公司的髙度集成的解決方案，釆用內置入侵防御、內置數據中心交換模塊，實現簡單的網絡結構和管理。核心防火墻：防火墻釆用PIX535防火墻，釆用專用的平臺，吞吐量=l.2Gbps,整機并發連接數=65萬塊，部署在核心交換機上。核心入侵防御系統：釆用內置的IPS4260,能夠較好的解決應用層安全隱患。4接入層設計我們選用的CiscoC3750系列三層接入交換機，具備如下優勢：1、支持堆疊技術，支持堆疊虛擬管理，使堆疊組可看作一個設備，使可管理性大幅度提高。2、具有良好的端點控制能力，支持豐富的MAC、IP、端口的靈活綁定。3、支持網絡管理。4、支持多達4096個VLAN；5I

4、nternet接入設計我們采用路由器+防火墻+入侵防御系統的方式來構建對外訪問區。路由器：采用Cisco7609；提供內部網絡用戶對外網訪問要求，具備高性能的NAT轉發能力。部署在AA重型機械公司網絡的互聯網出口。該設備在本項目中的技術優勢如下：1、高性能：具備15Mpps的包轉發性能，滿足未來千兆線路（千兆鏈路線速轉發理論值1.488Mpps）的全線速轉發。2、強大的NAT能力：設備具備600萬并發NAT連接的能力，整機每秒并發連接可達6萬，且支持豐富的NAT特性，提供NAT日志的輸出，可配合日志審計系統，做到對于對外訪問的紀錄和跟蹤。防火墻：使用原有Juniper防火墻，劃分DMZ區域，通

5、過原有華為5000千兆交換機，連接門戶服務器及EMAIL服務器等。配置策略偏重安全區劃分，安全抵御由入侵防御系統著重完成。入侵防御系統：使用ASA-5520,具備150M處理性能，滿足當前接入帶寬。重點配置對于黑客入侵、蠕蟲病毒、木馬程序的防范。6網絡管理、接入認證、日志審計系統1、CiscoWorksLMS網絡管理軟件CiscoWorks是思科公司推出的網絡管理產品，LMS(LANManagementSolution)是定位于局域網的網絡管理產品，它能夠對LAN環境中的設備進行維護、監測、排錯，也能夠讓網絡管理員通過自己的網絡瀏覽器有效的管理整個網絡及其設備。它采用了基于Web的客戶端/服務

6、器模式，也能夠與其它廠商的網絡管理工具集成使用。思科公司的網管產品是按照不同的使用環境分類的。比如，我們介紹的LMS是在局域網環境中使用的；在廣域網環境中使用的是RWAN(CiscoWorksRoutedWANManagement),它主要適合廣域網中對響應時間和訪問控制的管理需要;在IP語音環境中是ITEM(IPTelephonyEnvironmentMonitor),它主要適用于管理傳輸IP語音流量網絡；在VPN環境中是VMS(VPN/SecurityManagementSolution),它用于管理和監測VPN及其安全措施。現在局域網已經成為網絡架構中的關鍵系統。對局域網的管理已經從以設

7、備為中心過渡到管理數據流量和語音流量。所以，對網絡設備的分離以便排錯,監測管理就顯得更重要了。CiscoWorksLMS具有先進的設備發現技術、端口配置工具、先進的連接分析、配置管理，設備和網絡診斷能力。CiscoWorksLMS包括一組應用程序和工具對局域網進行配置、監測和排錯。這些工具包括錯誤管理，網絡拓撲的察看，設備配置的管理，二層/三層路由分析，語音路由追蹤，流量監測，端站點的流量追蹤，設備的排錯等等。我們介紹一下LMS中的幾個主要的應用程序：CiscoWorksCampusManager-這是一組基于Web的應用程序，用來管理局域網中的思科交換機。包括二層設備及其連接的發現，數據流的

8、發現和管理，詳細的拓撲圖示，VLAN/LANE的配置，端站點的追蹤，二/三層的路由分析和IP電話用戶及其路由信息等。CiscoWorksDeviceFaultManager-本應用程序能夠實時的給岀思科出錯設備的錯誤分析，并及時采用各種方式通知網絡管理員。nGeniusReal-TimeMonitor-這是一個基于Web的多用戶流量管理工具。能夠實時的監測、排錯和維護網絡活動。它釆用圖形化的分析和報告，使管理員對網絡活動一目了然。CiscoWorksRME(ResourceManagerEssentials)-對網絡中思科設備的管理。它會維護網絡中的設備清單，對設備及其配置和軟件所產生的變化做

9、出紀錄。CiscoView-圖形化實時顯示思科設備的工具，使管理員如身臨其境。CiscoWorksManagementServer-是大多數網管軟件的運行平臺，它同時提供與第三方管理軟件集成的接口。2、接入認證系統思科？安全訪問控制服務器為思科智能信息網絡提供基于身份的全面的訪問控制解決方案。它是用于管理企業網絡用戶、管理員和網絡基礎設施資源的集成和控制層。思科？安全訪問控制服務器為思科智能信息網絡提供基于身份的全面的訪問控制解決方案。它是用于管理企業網絡用戶、管理員和網絡基礎設施資源的集成和控制層。產品概述現在，網絡訪問方法越來越多，使遵守安全制度和不可控的網絡訪問成為企業擔心的主要問題。隨

10、著IEEE802.11無線局域網和普遍寬帶互聯網連接的廣泛部署，安全問題不但存在于網絡外圍，還存在于網絡內部。能夠防御這些安全漏洞的身份識別網絡技術現已成為吸引全球客戶注重的主要技術。企業越來越多地使用公共密鑰基礎設施(PKI)和一次性密碼(0TP)等更嚴格的驗證方式來控制用戶從公共網絡訪問企業資源。網絡管理員希望解決方案能夠結合用戶身份、網絡訪問類型和網絡訪問設備的安全性來提供靈活的授權策略。最后，集中跟蹤并監控網絡用戶連接的能力對于杜絕不適當地或過度地使用寶貴的網絡資源至關重要。Cisco?SecureACS(ACS)是具高可擴展性的高性能訪問控制服務器，可作為集中的RADIUS和TACA

11、CS+服務器運行。CiscoSecureACS將驗證、用戶訪問和管理員訪問與策略控制結合在一個集中的身份識別網絡解決方案中，所以提高了靈活性、移動性、安全性和用戶生產率，從而進一步增強了訪問安全性。它針對所有用戶執行統一安全策略，不受用戶網絡訪問方式的影響。它減輕了與擴展用戶和網絡管理員訪問權限相關的管理負擔。通過對所有用戶帳戶使用一個集中數據庫，CiscoSecureACS可集中控制所有的用戶權限并將他們分配到網絡中的幾百甚至幾千個接入點。對于記帳服務，CiscoSecureACS針對網絡用戶的行為提供具體的報告和監控功能，并記錄整個網絡上毎次的訪問連接和設備配置變化。這個特性對于企業遵守S

12、arbanesOxley法規尤其重要。CiscoSecureACS支持廣泛的訪問連接，包括有線和無線局域網、寬帶、內容、存儲、IP上的語音(VoIP)、防火墻和VPN等。CiscoSecureACS是思科基于身份的網絡服務(IBNS)架構的重要組件。CiscoIBNS基于802.lx(用于基于端口的網絡訪問控制的IEEE標準)和可擴展驗證協議(EAP)等端口安全標準，并將安全驗證、授權和記帳(AAA)從網絡外圍擴展到了LAN中的每個連接點。您可在這個全新架構中部署新的策略控制工具(如每個用戶的配額、VLAN分配和訪問控制列表ACL),這是因為思科交換機和無線接入點的擴展功能可用于在RADIUS

13、協議上查詢CiscoSecureACSOCiscoSecureACS也是思科網絡準入控制(NAC)架構的重要組件。思科NAC是思科系統公司？贊助的業界計劃，使用網絡基礎設施迫使企圖訪問網絡計算資源的所有設備遵守安全策略，進而防止病毒和蠕蟲造成損失。通過NAC,客戶只允許遵守安全策略的可信的端點設備訪問網絡(如PC、服務器和個人數字助理等)，并可限制違規設備的訪問。思科NAC是思科自防御網絡計劃的一部分，為在第二層和第三層網絡上實現網絡準入控制奠定了基礎。我們計劃進一步擴展端點和網絡安全性的互操作性，以便將動態的事故抑制功能包含在內。這個創新將允許遵守安全策略的系統組件報告攻擊期間因惡意系統或受

14、感染的系統導致的資源誤用。所以，用戶可將受感染的系統與其他網絡部分動態隔離開，從而大大減少病毒、蠕蟲及混合攻擊的傳播。CiscoSecureACS是功能強大的訪問控制服務器，為正在增加其WAN或LAN連接的機構提供了很多高性能和可擴展性特性。表1列出了CiscoSecureACS的主要優勢。表1.CiscoSecureACS的主要優勢優勢說明易用性基于Web的用戶界面可簡化并分發用戶資料、組資料和CiscoSecureACS的配置?？蓴U展性CiscoSecureACS可通過支持冗余服務器、遠程數據庫以及數據庫復制和備份服務來支持大型網絡環境。可擴容性輕型目錄訪問協議(LDAP)驗證轉發功能支持

15、對著名目錄供應商保存在目錄中的用戶資料進行驗證，包括Sun、Novell和Microsoft等。管理WindowsActiveDirectory支持結合了Windows用戶名和密碼管理功能，并使用WindowsPerformanceMonitor來查看實時統計數據。系統管理為每個CiscoSecureACS管理員分配不同的訪問權限一以及對網絡設備進行分組的能力一能夠更輕松地控制網絡訪問并最大限度地提高靈活性，從而方便地對網絡中的所有設備執行并更改安全策略。產品靈活性CiscoI0S?軟件內嵌了對于AAA的支持，所以，CiscoSecureACS幾乎能在思科銷售的任何網絡接入服務器上使用(Cis

16、coI0S軟件版本必須支持RADIUS或TACACS+)0集成與Cisco10S路由器和VPN解決方案緊密集成，提供了多機箱多鏈路點到點協議(PPP)和CiscoIOS軟件命令授權等特性。第三方支持CiscoSecureACS為提供滿足RFC要求的RADIUS接口(如RSA、PassGo、安全計算、ActiveCard、Vasco或CryptoCard)的所有OTP供應商提供令牌服務器支持?？刂艭iscoSecureACS為一天中的時間點、網絡使用、登錄的會話數量和一周中每天的訪問限制提供動態配額。特性和優勢CiscoSecureACS4.0提供以下全新特性和優勢：CiscoNAC支持一Cis

17、coSecureACS4.0用作NAC部署中的策略決策點。使用可配置的策略，它能評估思科可信代理提交的憑證、決定主機狀態、并向網絡訪問設備發送逐用戶的授權信息：ACL、基于策略的ACL或專用的VLAN分配。評估主機憑證可執行很多特定策略，如操作系統補丁級別和防病毒DAT文件版本等。CiscoSecureACS記錄策略評估結果以供監控系統使用。CiscoSecureACS4.0還允許第三方審查供應商對沒有釆用適當代理技術的主機進行審查，然后再決定是否準許它訪問網絡。您可通過作為CiscoSecureACS轉發憑證目的地的外部策略服務器擴展CiscoSecureACS策略。例如，防病毒供應商特定的

18、憑證可被轉發至供應商的防病毒策略服務器，審查策略請求可被轉發至審查供應商?？蓴U展性改進一CiscoSecureACS4.0升級之后可使用業界標準的RDMBS系統，將支持的設備（AAA客戶端）和用戶數量分別增加了10倍和3倍。同時也大幅度改進了CiscoSecureACS支持的系列協議的性能（每秒的交易數）?；谫Y料的策略一CiscoSecureACS4.0支持名為網絡訪問資料庫的新特性，允許管理員根據網絡位置、網絡設備組成員關系、協議類型或用戶網絡設備發送的其他特定的RADIUS屬性值對訪問請求進行分類，可將驗證、訪問控制和授權策略映射到特定的資料庫中。例如，基于資料庫的策略允許為無線訪問與遠

19、程（VPN）訪問釆用不同的訪問策略。擴展的復制組件一CiscoSecureACS4.0改進并增強了復制功能。管理員現已能夠復制網絡訪問資料庫和所有相關的配置，包括狀態驗證設置、AAA客戶端和主機、外部數據庫配置、全局驗證配置、網絡設備組、詞典、共享資料庫組件和其他登錄屬性。EAP-FAST增強支持一EAP-FAST是思科開發的可供公開訪問的新型IEEE802.lxEAP,用于支持無法執行強大的密碼策略或希望部署無需數字證書的802.lxEAP的客戶。它支持各類用戶和密碼數據庫并支持密碼到期和變更機制,是易于部署、易于管理的靈活EAPo例如，未實施強大的密碼策略且不希望使用證書的客戶可移植到EA

20、P-FAST以防詞典攻擊。CiscoSecureACS4.0在大量的無線客戶端適配器上添加了對EAP-FAST申請人的支持。可下載的IPACLCiscoSecureACS4.0將每用戶的ACL支持擴展到了支持這個特性的所有第三層網絡設備，包括CiscoPIX?安全產品、思科VPN解決方案和CiscoIOS路由器。您可定義每用戶或每用戶群應用的一系列ACL。這個特性允許執行適當的ACL策略，藉此補充了NAC支持。當與網絡訪問過濾器一起使用時，您可通過不同方式每設備的應用可下載的ACL,從而每用戶或每訪問設備的定制ACL。.認證撤銷列表（CRL）比較一CiscoSecureACS4.0使用X.50

21、9CRL資料庫支持證書撒銷機制。CRL是記錄已撤銷證書的加蓋時間標記的列表，由證書授權機構或CRL發放人簽字并免費提交到公共信息庫中。CiscoSecureACS4.0從設置好的CRL分配點使用LDAP或HTTP定期檢索CRL,并保存它們以便在EAP傳輸層安全性(EAP-TLS)驗證中使用。如果用戶在EAP-TLS驗證期間提供的證書位于已檢索的CRL中，將無法通過CiscoSecureACS驗證，CiscoSecureACS將拒絕用戶訪問網絡。這個功能對組織變更頻繁的客戶來說非常重要，可防止寶貴的網絡資產遭到欺騙性的使用。設備訪問限制一作為Windows設備驗證的增強特性，CiscoSecur

22、eACS4.0提供設備訪問限制功能。當打開Windows設備驗證功能時，您可使用設備訪問限制機制來控制EAP-TLS授權，以及通過Windows外部用戶數據庫驗證的Microsoft受保護的可擴展身份驗證協議(PEAP)的用戶。如果用戶用于訪問網絡的計算機沒有在您為該用戶組授權的可配置的時間段內通過設備驗證，您可根據需要為用戶配置訪問權限限制。您也可選擇拒絕用戶訪問網絡。網絡訪問過濾器(NAF)CiscoSecureACS4.0包括NAF,作為新型的共享資料庫組件。NAF為在網絡設備名、網絡設備組或其IP地址上應用網絡訪問控制及可下載的ACL提供了靈活的方法。根據IP地址應用的NAF可使用IP

23、地址范圍和通配符。這個特性提供精確的應用網絡訪問限制及可下載的ACL,而在以前，所有設備只能應用相同的訪問限制或ACL。NAF允許定義靈活的網絡設備限制策略，滿足大型環境中最常見的要求。思科硬件設備的其他支持一CiscoSecureACS4.0支持思科無線局域網控制器和思科自適合安全產品。3、CS-MARS日志審計系統思科？安全監控分析和響應系統(MARS)是一個高性能、可擴展的威脅管理、監控和防御設備系列，將傳統安全事件監控與網絡智能、上下文關聯、因素分析、異常流量檢測、熱點識別和自動防御功能相結合，可幫助客戶更為高效地使用網絡和安全設備。通過結合這些功能，思科安全MARS可幫助公司準確識別

24、和消除網絡攻擊，且保持網絡的安全策略符合性。主要優勢集中監控思科安全MARS通過各種設備記錄、報警和NetFlow通信，提供了具體的網絡基礎設施信息，包括路由器、交換機、防火墻、VPN集中器和終端設備。這使思科安全MARS可處理IP和MAC地址以及最鄰近的交換機端口等威脅信息，并提供網絡中的攻擊路徑。集中事件庫思科安全MARS可作為一個中央庫，存儲安全設備，如防火墻、驗證服務器、網絡入侵檢測和防御服務及代理服務器等所生成的所有事件。此外，它也收集網絡設備事件和工作站及服務器記錄。所有收集的事件實時相互關聯。數據減少思科安全MARS可大幅減少所收集到的數百萬安全事件，僅向用戶報告實際發生的少量網

25、絡事故。及時攻擊防御該系統具有出色性能和內置豐富經驗，可在攻擊影響整個網絡前發現它們并提出建議的防御措施。高度可擴展的部署充分利用已有投資進行防御先進的報告功能端到端網絡感知利用所有類型的網絡設備和終端系統的全面配置，思科安全MARS集成了網絡地址轉換/端口地址轉換(NAT/PAT)和MAC地址信息，以圖形方式識別攻擊者、攻擊目標和網絡熱點，以便快速釆取行動。它可顯示NAT前和NAT后的地址。集成漏洞評估思科安全MARS可確定網絡攻擊是真的還是誤報，進一步減少了報警數目，縮短了釆取行動所需的時間。更低部署和運營成本在引導和連接到網絡后，系統可發現和映射拓撲。系統能在極短時間內投入運營。自動防御

26、自動防御功能可識別攻擊路徑上的阻塞點，使用戶能自動使用正確的設備命令來防御攻擊。此外，它還能自動發現很多重要屬性，如MAC地址、Windows工作站名稱、VPN用戶名和攻擊的第一跳物理交換端口。這些可用于快速、準確地阻止攻擊和降低受損程度。網絡智能事件關聯思科安全MARS可了解路由器、交換機、漏洞分析工具和防火墻的拓撲及設備配置，以及網絡流量配置，從而獲得網絡智能。該系統的集成網絡搜索功能可構建一個拓撲圖，其中包括設備配置和當前安全策略，使思科安全MARS可對您網絡中的分組流建模。因為此設備不在內部運行，且極少使用現有軟件代理,它不會影響網絡或系統性能。SureVector分析SureVect

27、or分析特性支持更為廣泛的管理范圍、更快的調查和響應速度。利用SureVector分析，管理員可查看并準確跟蹤攻擊路徑，獲得事故發生前原始事件的具體細節，并指岀異常流量和攻擊行為的來源。所以，能實時提供更為全面、準確的分析，從而抵御攻擊。Netflow數據分析思科安全MARS以每秒30萬數據流的速度，從路由器收集NetFlow數據。NetFlow和防火墻記錄可用于分析各工作站的網絡利用率。這使管理員可發現并對病毒和蠕蟲等異常行為采取措施。上下文關聯上下文關聯使用網絡級智能，將跨NAT邊界的安全事件和網絡行為分組，并通過向其使用系統和用戶定義的關聯規則，來識別有效的故障。思科安全MARS配備了一

28、套全面的預定義規則，Protego會經常更新這些規則，它們可識別大量混合攻擊、零日攻擊和蠕蟲。一個圖形化規則定義框架可簡化用戶為任意應用創建定制規則的過程。上下文關聯大大減少了原始事件數據、支持響應的優先級劃分，可使已部署的措施發揮最大效果。高性能的可擴展架構思科安全MARS可在單一機箱中以每秒高達10,000個的速度捕獲事件。當需要多個機箱時，可在中央地點部署CiscoSecurityMARSGlobalController0GlobalController能匯總各LocalController的事件。LocalController負責此架構的大多數工作，所以每部署一個LocalContro

29、ller,都能獲得近乎線性的性能提高。參數表思科產品編號（Protego型號）|性能|電源每秒事件數每秒NetFlowCS-MARS-20-K950015,000120GB（非RAID）1RUx16in.300WCS-MARS-50-K9100030,000240GBRAID01RUx25.6in.300WCS-MARS-100E-K9300075,000750GBRAID10口熱插拔3RUx25.6in.500W雙冗余CS-MARS-100-K95000150,000750GBRAID10口熱插拔3RUx25.6in.500W雙冗余CS-MARS-200-K910,000300,0001TBRAID10口熱插拔4RUx25.6in.500W雙冗余思科產品編號口(Proteg。GlobalController型號)分布式監控存