1. Архитектура и стратегия информационной безопасности Cisco



страница9/24
Дата24.04.2018
Размер1.89 Mb.
Название файлаЧерновой вариант.doc
1   ...   5   6   7   8   9   10   11   12   ...   24
3.2. Схема сети
В сети, спроектированной мной, мы имеем сеть компании, защищаемую Cisco ASA 5505 от угроз с стороны интернета. Cisco ASA 5505  установлена на границы между локальной сетью предприятия и средой Интернет. В результате настройки периметр делится на три части.

Первой зоной является локальная сеть предприятия Lan, где находятся сотрудники компании и сервисы, которые предполагается защищать от несанкционированного доступа из сети Интернет.

Вторая зона - это так называемая DMZ демилитаризованная зона – (сегмент сети, который содержит общедоступные сервисы и отделяющий их от частных). На нашем предприятии таким сегментом является Web, Ftp. Такие зоны организовываются при наличии сервисов, которые не смотря на угрозу проникновения с внешней среды обязаны быть доступными для клиентов сети интернета. Наша организация специализируется на продаже деталей для автомобилей, и если web-сервер компании будет спрятан за каменной стеной то наши клиенты не смогут иметь к нему доступ из любой точки мира что бы выбрать запчасти для своих машин. Поэтому мы организовываем специальную зону DMZ для того что бы уменьшить возможные последствия проникновения злоумышленников на наш сервер.

Третья зона это WAN к этой зоне мы относимся как к самой опасной, весь трафик из такой сети мы пресекаем для обеспечения безопасности.




Зеленая зона это наша локальная сеть , в ней трафик может двигаться как в сторону провайдера так в сторону нашего DMZ. При попытке передачи любого типа трафика из сети интернет или dmz в нашу локальную сеть произойдет его уничтожение.

Добавим на ISP router провайдера маршрут в нашу сеть ip route 192.168.1.0 255.255.255.0 fastEthernet0/0




При попытке пинговать узел 192.168.1.50 с ISP мы видим картину выше, видно что ip пакет дошел до ASA видим что она находит маршрут к узлу 192.168.1.50 но уничтожает такой пакет согласно security level .(The ASA does not allow any traffic from a lower security interface to a higher security interface unless it is explicitly permitted by an extended access list. ASA не разрешает трафик от более низкого интерфейса безопасности к более высокому интерфейсу безопасности, если он явно не разрешен расширенным списком доступа).

Также из зоны DMZ трафик не может попасть в нашу сеть поскольку он находится в более низком.

Security level такой подход более надежный нежели access list.Если мы устанавливаем соединения из нашей сети такой трафик сможет вернутся в нашу сеть если ASA знает что он разрешен (inspect icmp) Маршрутизатор будет запоминать те сессии, которые были инициированы изнутри, и пропускать снаружи только те пакеты, которые «заказаны».

Если же пришедший пакет не соответствует никакой сессии, то дальше маршрутизатор проверяет ACL, висящий на интерфейсе, на предмет наличия разрешающего правила для этого пакета так работает на DMZ.

На cisco ASA поднят dhcp сервер который раздает ip адреса в нашей сети.

Dynamic Host Configuration Protocol является сетевым протоколом, который позволяет компьютерам автоматически получать IP-адрес и иные параметры, требуемые для работы в сети TCP/IP.


dhcpd dns 192.168.1.100

dhcpd address 192.168.1.2-192.168.1.20 Lan

dhcpd dns 192.168.1.100 interface Lan

dhcpd enable Lan


На cisco ASA поднят NAT(PAT)

NAT (от англ. Network Address Translation – «преобразование сетевых адресов») – это механизм в сетях TCP/IP, который позволяет преобразовывать IP-адреса транзитных пакетов. Также носит названия IP Masquerading, Network Masquerading и Native Address Translation


object network NAT

subnet 192.168.1.0 255.255.255.0

nat (Lan,Wan) dynamic interface
Для доступа из локальной сети к cisco ASA поднят безопасный протокол ssh

username admin password Qn2pDL07UUCs0vlq encrypted

aaa authentication ssh console LOCAL

ssh 192.168.1.0 255.255.255.0 Lan






Поделитесь с Вашими друзьями:
1   ...   5   6   7   8   9   10   11   12   ...   24

Похожие:

1. Архитектура и стратегия информационной безопасности Cisco iconИнформационная безопасность и способы ее обеспечения. Важность Информационной безопасности на предприятии
Именно принятие предупредительных мер по обеспечению конфиденциальности, целостности, а также доступности информации и является наиболее...
1. Архитектура и стратегия информационной безопасности Cisco iconРазработка информационной безопасности на предприятии
Целью настоящего Положения является обеспечение безопасности объектов защиты предприятия от всех видов угроз, внешних и внутренних,...
1. Архитектура и стратегия информационной безопасности Cisco iconМаршрутизаторы Cisco
Филиалы: удаленные работники, небольшие предприятия и филиалы среднего размера. Используются маршрутизаторы Cisco G2 с интегрированными...
1. Архитектура и стратегия информационной безопасности Cisco icon4. Структура условной интегрированной информационной системы
Архитектура системы и реализация основных функций
1. Архитектура и стратегия информационной безопасности Cisco iconОбеспечение безопасности персональных данных
Гост "Защита информации. Основные термины и определения" вводит понятие информационной безопасности как состояние защищенности информации,...
1. Архитектура и стратегия информационной безопасности Cisco icon1 Проблема определения понятия «Стратегия перевода»
Целью работы является выявить влияние жанра текста на выбор переводческой стратегии. В связи с этим требуется решить следующие задачи:...
1. Архитектура и стратегия информационной безопасности Cisco iconРеализация информационной безопасности
Двухэтажное здание имеющее два входа, на данный момент пропускной режим на предприятии реализован с помощью электронных ключей
1. Архитектура и стратегия информационной безопасности Cisco iconНормативно-правовая основа концепции информационной безопасности
Правовые документы – это документ, содержащий правовую информацию служащие для регулирования отношений между субъектами права. Включает...
1. Архитектура и стратегия информационной безопасности Cisco iconИнформационная безопасность
Отдельные сферы деятельности (системы государственного управления, банки, информационные сети и т п.) требуют специальных мер обеспечения...
1. Архитектура и стратегия информационной безопасности Cisco iconПояснительная записка программа учебной дисциплины «Архитектура ЭВМ и вычислительных систем»
Учебная дисциплина «Архитектура ЭВМ и вычислительных систем» является общепрофессиональной дисциплиной, формирующей базовый уровень...




База данных защищена авторским правом ©refnew.ru 2020
обратиться к администрации

    Главная страница
Контрольная работа
Курсовая работа
Теоретические основы
Методические указания
Методические рекомендации
Лабораторная работа
Рабочая программа
Общая характеристика
Теоретические аспекты
Учебное пособие
Практическая работа
История развития
Пояснительная записка
Дипломная работа
Самостоятельная работа
Общие положения
Экономическая теория
Методическая разработка
Физическая культура
Методическое пособие
Исследовательская работа
Направление подготовки
Общая часть
Теоретическая часть
Общие сведения
Техническое задание
Общие вопросы
Образовательная программа
Управления государственных
Федеральное государственное
Экономическая безопасность
Конституционное право
реакция казахского
Основная часть
Организация работы
Техническое обслуживание
Российская академия
Понятие сущность
Усиление колониальной
прохождении производственной
Обеспечение безопасности
программное обеспечение
Выпускная квалификационная
квалификационная работа
муниципальное управление
Теория государства
Уголовное право
Математическое моделирование
Административное право
Название дисциплины
Земельное право