ciscoAIM(ASA+IPS+MARS)部署

 

 

         随着网络设备越来越多，应用和信息的运作越来越广泛，保护整个系统的安全成为了当务之急。思科网络安全产品中的AIM（ASA+IPS+MARS）为一个覆盖面很广的系统方案，不但能增强对网络的总体安全保护，还能更有效地为种类日益广泛的端点、应用及内容提供安全防御。

      Asa防火墙是部署在两个不同的网络（外网+内网）中间，将其逻辑划分开，根据内网的业务需求，保障在策略允许的前提下实现可控的互访，使企业能够安全、可靠地部署关键业务应用和网络，实现方法---分别配置接口的安全级别，保证连接企业网络一端接口的安全级别为最高，在接入控制区域防火墙上连接不同的网络部署不同的安全级别，将连接外网网络连接接口安全级别配置为低，连接企业内网络接口安全级别为高。访问控制是防火墙的主要功能，利用NAT控制和ACL来实现，对于应用可以识别3层IP和4层端口来进行访问控制。

     IPS入侵检测系统是防火墙之后的第二道安全阀门，在不影响网络性能的情况下对网络进行检测，部署在防火墙和企业内网中间，检测外网到企业内网的数据流量，发现危险流量时候给予阻塞并报警，使用户能够深入洞悉网络的运行状况，它采用了Cisco IPS Manager Express, 这是一种用于IPS调配、监控和报告的新型一体式应用；

     MARS提供了安全运作实时可视性，能够通过汇聚来自思科和包括非思科设备的安全信息，并确定正确的反攻击措施来应对安全威胁，包括monitoring监控、analysis分析、response响应，通过syslog和snmp监控网络流量，通过对网络设备的系统日志进行分析，获得网络状态，并建立网络拓扑，对网络中存在的恶网络攻击或者病毒进行一系列的操作。

思科AIM安全架构，具体如下图：

 

 

1.1      访问控制

一个有效的企业内网NAC（网络访问控制）方案，可以提供一个可信任网络架构，这个架构对威胁具有免疫性，以及恰当使用的可控制性并能够为所有用户保护数据和完整性。NAC的一个关键特性是访问的安全性，可以通过限制哪些用户拥有对内部网络系统的访问以及他们如何通过有线或无线的方法连接，来提前防止安全性受到破坏。网络访问控制帮助企业网络保证只有授权的用户可以获得对网络的访问权。而且，它保证用户只能访问被授权使用的资源。

一个有效的网络访问控制策略可以将那些不法之徒阻挡在外，并只能根据内部人员的身份、所连接的地点、所连接的时间等，确保其访问网络资源。同时，一个有效的网络访问控制应该使企业网络保持灵活性。

1.2      入侵检测

入侵检测是对入侵行为的检测。检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检测系统是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。它从计算机网络系统中的收集信息，并分析这些信息，能够看到企业网络中是否有违反安全策略的行为和遭到袭击的迹象。

1.3      病毒防御

在企业网络中，病毒对企业生产的危害是十分巨大的。一旦主机感染病毒，那么整个公司都可能面临着停产的危险。另外内部服务器主机感染了木马，那么一些企业的机密数据将面临着泄露的危险。

1.4      安全隔离

所有安全保障技术手段都不是绝对安全，为了生产网络相对的安全性，我们必须要具有隔离措施，安全隔离就是将相对高危险网络与企业易受攻击的网络隔离开，即使单台PC感染了病毒也不至于感染整个网络，保障网络的其他部分能够正常的工作。

1.5      安全设备选型

设备型号	设备数量	基本描述	设备接口类型	接口数量
ASA5540-BUN-K9	1	防火墙	10/100/1000BASE-TX	4
IPS-4255-K9	1	入侵检测	10/100/1000BASE-TX	4
CS-MARS-55-K9	1	安全管理	10/100/1000BASE-TX	2

 

 

 

 

本文出自 “在路上。。。” 博客，谢绝转载！