搜索
IBA无边界网络部署指南智能业务平台IBA2012年8月系列防火墙与IPS部署指南,前言2012年8月系列前言本指南的目标受众Cisco®智能业务平台(IBA)指南主要面向承担以下职务的读者:• 需要用标准程序来实施方案时的系统工程师• 需要撰写思科IBA实施项目工作说明书的项目经理• 需要销售新技术或撰写实施文档的销售合作伙伴• 需要课堂讲授或在职培训材料的培训人员一般来说,您也可以将思科IBA指南作为增加工程师和项目实施统一性的指导文件,或利用它更好地规划项目成本预算和项目工作范围。版本系列思科将定期对IBA指南进行更新和修订。在开发新的思科IBA指南系列时,我们将会对 其进行整体评测。为确保思科IBA指南中各个设计之间的兼容性,您应当使用同一系列 中的设计指南文档。每一个系列的Release Notes(版本说明)提供了增加和更改内容的总结。所有思科IBA指南的封面和每页的左下角均标有指南系列的名称。我们以某系列指南发 布时的年份和月份来对该系列命名,如下所示:年 月 系列例如,我们把于2011年8月发布的系列指南命名为: “2012年8月系列”您可以在以下网址查看最新的IBA指南系列: 如何阅读命令许多思科IBA指南详细说明了思科网络设备的配置步骤,这些设备运行着Cisco IOS、 Cisco NX-OS或其他需要通过命令行界面(CLI)进行配置的操作系统。下面描述了系 统命令的指定规则,您需要按照这些规则来输入命令:在CLI中输入的命令如下所示:configureterminal为某个变量指定一个值的命令如下所示:ntpserver10.10.48.17包含您必须定义的变量的命令如下所示:class-map[highestclassname]以交互示例形式显示的命令(如脚本和包含提示的命令)如下所示:Router#enable包含自动换行的长命令以下划线表示。应将其作为一个命令进行输入:wrr-queuerandom-detectmax-threshold1100100100100100100100100系统输出或设备配置文件中值得注意的部分以高亮方式显示,如下所示:interfaceVlan64ipaddress10.5.204.5255.255.255.0问题和评论如果您需要评论一个指南或者提出问题,请使用 IBA反馈表。如果您希望在出现新评论时获得通知,我们可以发送RSS信息。目录目录2012年8月系列防火墙与IPS部署指南 ..........................................1简介 .......................................................5相关内容 ..............................................5设计目标 ..............................................5架构概述 ...................................................7互联网边缘连接性 .......................................7防火墙 ....................................................10业务概述 .............................................10技术概述 .............................................10部署详情 .............................................11配置防火墙 ...........................................11配置防火墙高可用性 .....................................15配置管理DMZ .........................................16配置防火墙互联网边缘 ...................................23配置Web DMZ ........................................36防火墙总结 ...........................................40入侵防御 ..................................................41业务概述 .............................................41技术概述 .............................................41部署详情 .............................................43部署IPS ..............................................43入侵防御总结 ..........................................53附录A:产品列表 .............................................54附录B:配置示例 .............................................56附录C:变更 ................................................74关于本指南本部署指南包括一个或多个部署章节,其中包含如下内容:• 业务概述——描述本设计的商业用例,业务决策者可通过本章内容来了解解决方案与企业运营的相关性。• 技术概述——描述该商业用例的技术设计,包含思科产品如何应对业务挑战。技术决策者可利用本章节理解该设计如何实现。• 部署详情——提供解决方案的逐步实施和配置的指导。系统工程师可以在这些步骤的指导下快速和可靠的设计和部署网络。 您可以在以下网址查看最新的IBA指南系列:本IBA指南的内容关于IBA无边界网络思科IBA能帮助您设计和快速部署一个全服务企业网络。IBA系统是一种规范式设计,即购即用,而且具备出色的可扩展性和灵活性。思科IBA在一个综合的解决方案中集成了局域网、广域网、无线、安全、数据中心、应用优化和统一通信技术,并对其进行了严格测试,确保能实现无缝协作。IBA采用的模块化分类简化了多技术系统集成的复杂度,使您能够根据需要解决企业需求,而无需担心技术复杂性。思科IBA无边界网络是一个稳固的网络基础架构,为拥有250至10,000名用户的企业网络设计。IBA无边界网络架构集成了有线和无线局域网接入、广域网连接、广域网应用加速以及互联网边缘的安全架构。成功部署路线图为确保您能够按照本指南中的设计成功完成部署,您应当阅读本指南所依据的所有相关指南——即如下路线中本指南之前的所有指南。4本IBA指南包含的内容2012年8月系列互联网边缘设计概览防火墙与IPS部署指南额外的部署指南无边界网络您在这里预备知识以本指南为依据的指南您在这里5简介2012年8月系列简介思科IBA智能业务平台无边界网络是一个稳固的网络基础架构,旨在为拥有最多10,000名联网用户的网络提供出色的灵活性,使企业能够无需重新设计网络,即可支持新的用户或网络服务。我们撰写了一份详细全面并可直接使用的部署指南,它以最佳实践设计原则为基础,并提供了灵活性和可扩展性。 《防火墙和IPS部署指南》重点介绍了保护贵企业互联网网关的互联网边缘防火墙和入侵防御系统(IPS)安全服务。互联网服务提供商连接和路由选项为本设计方案提供了永续性。本指南将介绍怎样为面向互联网的服务(例如web互动)创建和使用DMZ网段。IPS指南将涵盖互联网边缘内嵌式部署和内部分布层IDS(混杂式)部署。 相关内容《互联网边缘设计概述》将向您介绍整体的思科IBA智能业务平台设计,并对选择具体产品时需要考虑的要求做了阐述。 《远程接入VPN部署指南》关注于如何设置网络,以提供远程接入(RA)服务。该部署方案包括将VPN接入作为互联网边缘防火墙的一部分,以及在不同专用设备上部署RA VPN服务。《利用WSA的Web安全部署指南》介绍了如何为需要访问互联网的客户端部署Cisco Web安全设备。其中涉及了防范恶意软件和病毒,以及对哪些网站可以访问,进行适当的使用控制。《使用ESA的电子邮件安全部署指南》 涵盖了如何通过部署电子邮件安全设备,为企业的电子邮件系统提供安全保障。该部署方案重点关注于检查入站电子邮件中的垃圾邮件和恶意内容。它还介绍了如何为互联网防火墙添加一个电子邮件隔离区(DMZ),以提高总体安全性。设计目标本架构以收集自客户、合作伙伴及思科现场人员的需求为基础,旨在服务于拥有最多10000名联网用户的企业。在设计架构时,我们考虑了收集到的需求和以下设计目标。易于部署、灵活性和可扩展性拥有多达10000名用户的企业通常在多个不同地点设有业务运营机构,这使得灵活性和可扩展性成为其网络的关键要求。在此设计中,我们采用了几种方法来创建和维护一个可扩展的网络。• 通过为网络通用部分保持少量标准设计,支持人员能够更高效地实施、支持这些网络并为其设计服务。 • 我们采用了模块化设计方法来增强可扩展性。从一系列标准的全局构建模块开始,我们能够组建一个满足多种需求的可扩展网络。 • 对于一些服务区域来说,许多插件模块看上去是相同的,这提供了一致性和可扩展性,从而可使用相同的支持方法来维持多个网络区域。这些模块遵循标准的核心层-分布层-接入层网络设计方法,并进行了分层,以确保正确定义插件间的接口。 永续性和安全性要维护一个高度可用的网络,关键之一是为网络链路和平台构筑适当的永续性,以防范网络中出现单点故障。IBA互联网边缘架构精心平衡了永续性和冗余系统固有的复杂性这两个因素。 随着语音和视频会议等对延迟和丢包敏感的流量大量出现,我们还将恢复时间作为了一个重要考虑因素。选择能够缩短从发现故障到恢复正常所需时间的设计,对于确保网络在发生链路或组件故障时仍保持可用非常关键。 网络安全性也是本架构的一个重要组成部分。在大型网络中有许多入口点,我们要确保它们尽可能安全,同时不会对网络易用性造成较大影响。保护网络不仅能防止网络受到攻击,而且对于实现网络级永续性也至关重要。 易于管理虽然本指南关注的重点是网络基础的部署,但本设计方案也考虑到了下一个阶段,即管理和运行。部署指南中的配置既允许通过诸如安全外壳(SSH)协议和HTTPS等普通的设备管理连接进行设备管理,也允许经由网络管理系统(NMS)管理设备。本指南中不包括NMS的配置。 支持先进技术灵活性、可扩展性、永续性和安全性都是可以支持未来先进技术的网络特性。本架构的模块化设计意味着,当企业作好了部署准备时,将能够随时添加这些技术。此外,由于本架构中的产品和配置从部署之初就能够随时支持协作,所以诸如6简介2012年8月系列协作等先进技术的部署得以简化。例如:• 接入交换机为电话部署提供了以太网供电(PoE),无需本地电源插座• 整个网络预配置了服务质量(QoS),能够支持高质量语音。 • 为支持高效的语音和广播视频交付,在网络中配置了组播。 • 为通过无线局域网发送语音流量的设备预配置了无线网络,可以在所有地点通过802.11 Wi-Fi(即移动技术)提供IP电话功能。 互联网边缘已经准备就绪,能够提供基于VPN的软电话,以及传统的硬电话或桌面电话,如在远程办公人员部署中所配置的那样。图 1 - 无边界网络概览接入交换机WAAS分布交换机接入交换机WAN路由器WAN路由器网页安全设备RA-VP