摘要:现在已经是移动互联网经济的时代，网络技术的快速发展催生了许多大型的互联网公司。随着中国经济的快速发展，很多公司已经在全国各地开设了分支结构，甚至还同国外的公司进行跨国合股。基于互联网的经济有一点非常的重要就是安全，眼下各种各样的数据泄漏，网站被攻破等安全事件，将网络安全提升到了一个全新的高度。良好的网络安全环境，保障着一个公司正常的开展业务为客户提供优质的服务。因此网络安全的重要性已经越来越受到互联网公司的重视。

在安全问题越发严重的今天，如何保障公司的网络安全，已经是一个迫在眉睫的问题。本课题就基于互联网公司的网络安全进行研究和设计，在一定程度上保障公司的网络安全。为了达到最佳的实验效果，本课题全部采用真实的网络设备进行实现。包括Cisco最新的ASA 5515-X，企业级的路由器和交换机，还有IPS、身份服务引擎ISE等等。能够真实的展示当前网络安全流行技术。

本次设计的网络部署分为内网和分部网络。安全包括路由器加密通信，内网和外网采用ASA防火墙进行，访问网络经过ISE的身份验证，总部和分支机构的通信全部采用VPN加密。

关键词 Cisco；网络安全；VPN；Firewall

目录

摘要

Abstract

1 绪论-4

1.1 系统设计背景与意义-4

  1.1.1 系统设计背景-4

  1.1.2 系统设计意义-4

1.2 系统设计内容-4

1.3 论文组织结构-4

2 实验环境和相关技术介绍-5

2.1实验环境和相关技术介绍-5

2.2 防火墙技术介绍-7

  2.2.1 防火墙简介-7

  2.2.2 Cisco ASA特性-7

  2.2.3 ASA的初始化-8

  2.2.4 ASA高可用性-9

  2.2.5 A/A Failover-10

2.3 ACL访问控制技术-11

  2.3.1 ACL介绍-11

  2.3.2 ACL分类和作用-11

  2.3.3 ACL的功能和部署原则-11

2.4 VPN技术-12

  2.4.1 VPN介绍-12

  2.4.2 IKEv2-13

  2.4.3 DMVPN-13

  2.4.4 GETVPN-14

3 安全系统设计-15

3.1 系统设计思想和原则-15

3.2 网络系统综述-17

  3.2.1 Inside区域网络-17

  3.2.2 Outside区域网络-17

  3.2.3 DMZ区域网络-17

3.3网络拓扑设计概述-18

  3.3.1 总部网络拓扑设计-18

  3.3.2 分部网络拓扑-19

3.4 核心网络的设计-20

  3.4.1 多模墙的使用-20

  3.4.2 WSA网页防护-20

  3.4.3 ISE身份认证-20

3.5网络入口流控设计-20

3.6双DMZ区域设计-21

3.7内部通信安全设计-21

  3.7.1 VPN加密通信-21

  3.7.2 SLA静态路由跟踪技术-22

4 设备选型-23

4.1设备选型原则-23

  4.1.1 适用性-23

  4.1.2 经济合理性-23

  4.1.3 技术先进性-23

  4.1.4 工艺和质量-23

  4.1.5 安全性-24

  4.1.6 操作性-24

  4.1.7 扩展性-24

  4.1.8 售服务后与技术支持-24

4.2 Cisco Router-25

  4.2.1 Cisco 2900系列集成多业务路由器-25

  4.2.2 Cisco 3725系列集成多业务路由器-26

4.3 Cisco Switch-27

  4.3.1 Cisco Catalyset 3550系列交换机-27

  4.3.2 Cisco Catalyst 3560-E企业级交换机-28

  4.3.3 Cisco Catalyst 3750-X企业级三层交换机-29

4.4 Cisco Firewall-30

  4.4.1 Cisco ASA 5510 Security+系列安全防火墙-30

  4.4.2 Cisco ASA 5515-X系列安全防火墙-31

4.5 Cisco WSA-S160-K9系列网页防火墙-32

4.6 Cisco Aironet 1600系列无线接入点-33

4.7 Cisco Unified CP-7965G IP Phone-34

4.8 Cisco ISE-3395-K9系列身份服务引擎-35

4.9 Cisco AIR-WLC2500-K9系列无线控制器-36

4.10 设备选型-37

5设备配置与安全系统实现-38

5.1 物理安全-38

  5.1.1 物理位置的选择-38

  5.1.2 物理访问控制-38

  5.1.3 防盗和防破坏-38

  5.1.4 防火、防水、防雷击和防潮-38

  5.1.5 静电和电磁防护-38

  5.1.6 温度控制和电源供应-39

5.2 总部安全-39

  5.2.1 ASA3单模防火墙配置-39

  5.2.2 NTP时间同步-40

  5.2.3 ASA1多模墙配置-41

  5.2.4 ASA1和ASA2 配置A/A FO-44

  5.2.5 ASA3 Inside区域进行NAT转换-45

  5.2.6 IPS初始化-46

  5.2.7 为IPS配置在线接口对儿-47

  5.2.8为IPS配置杂合模式-48

  5.2.9 为IPS定义signature 62000-48

  5.2.10 SW1配置WCCP流量重新定向-49

  5.2.11 为DMZ区域配置Site-to-Site VPN-50

  5.2.12 为DMZ区域配置GETVPN-50

5.3 分部安全-51

  5.3.1 ASA4 单模墙配置-51

  5.3.2 配置OSPF路由-52

  5.3.3 配置ASA LSA静态路由跟踪技术-53

  5.3.4 ASA4 inside区域配置NAT转换-54

  5.3.5 配置OSPFv2 认证-55

  5.3.6 交换机防欺骗安全配置-55

  5.3.7 WLC对shun的学习-56

结论-57

致谢-58

参考文献-59