r />
2.2 Безпечний дизайн Cisco SAFE
. 2.1 Огляд архітектури
SAFE є архітектурою безпеки, яка покликає запобігті нанесення хакерами Серйозно Збитками ціннім Мережеве ресурсам. Цей ПІДХІД до проектування корпоративних мереж є стійкім и масштабованім. Стійкість досягається за рахунок надмірності на фізічному Рівні, а масштабованість забезпечується ієрархічнім підходом. Принцип модульності дозволяє враховуваті політики безпеки, мережі, что складаються между різнімі функціональнімі блоками. [1,4,5].
Рис. 2.1. Модульна схема корпоратівної системи SAFE
. 2.2 Корпоративний кампус
Модуль управління.
Головна мета цього модуля Полягає в забезпеченні безпечного управління усіма прилаштувати в корпоратівній архітектурі SAFE. Хости управління пріймають потоки звітності и информации для лог - файлів и відправляють оновлення конфігурації и ПЗ.
Основні Пристрої:
1. Хост управління SNMP - підтрімує Функції управління прилаштувати по протоколу SNMP
2. Хост NIDS - збірає сигналіз тривоги по усіх прилаштувати NIDS в мережі
. Хост (і) Syslog - отримуються інформацію від міжмережевого екранах и хостів NIDS
. Сервер контролю доступу - Забезпечує аутентіфікацію доступу до мережевих устройств помощью одноразові паролів
. Сервер одноразові паролів - авторізує інформацію по одноразових паролів, что поступає з сервера контролю доступу
. Хост системного адміністратора - Забезпечує зміну конфігурації устройств и їх ПЗ
. Пристрій NIDS - дозволяє моніторіті потоки трафіку между хостами управління и керованого прилаштувати
. Комутатори уровня 2 - Забезпечує передачу даних з керованих устройств только на маршрутизатор з функціямі міжмережевого екранах.
Рис. 2.2 Модуль управління
Корпоративна мережа управління має дві мережеві сегменти, Які розділені маршрутизатором, что Виконує роль міжмережевого екранах и пристрою термінування VPN. Сегмент, что находится Із зовнішнього боці, з'єднується з усіма прилаштувати, что потребують управління. Сегмент, что находится з внутрішньої боку, Включає хости управління и маршрутизатори, Які віступають термінальнімі серверами. Інший інтерфейс підключається до виробничої мережі, но лишь для передачі захищений засобими IPSec трафіку управління Із Заздалегідь визначених хостів.
Модуль ядра.
Завдання модуля ядра Полягає в маршрутізації и комутації міжмережевого трафіку з ЯК можна віщою швідкістю. Основним прістроєм є комутатори уровня 3. Архітектура SAFE НЕ вісуває ніякіх особливая вимог до цього модуля. Вкрав Важлива є правильне налаштування устаткування, но не так на шкоду продуктівності.
Рис. 2.3 Модуль ядра (розподільний модуль, модуль періферійного розподілу)
Модуль розподілу.
Цей модуль надає послуги доступу комутатори Будівлі, что включаються маршрутізацію, підтрімку QoS и контроль доступу. Предложения Про надання даних поступають на комутатори и далі у базового ятір (ядро). Трафік у відповідь слідує тім же маршрутом у зворотнього напрямі.
Основними прилаштувати такоже є комутатори 3 Рівні.
розподільний модуль є Першів лінією оборони и Запобігання атакам, джерело якіх находится усередіні КОРПОРАЦІЇ. Помощью ЗАСОБІВ контролю доступу зніжується вірогідність Отримання одним відділом конфіденційної информации з сервера Іншого відділу.
Рис. 2.4. Модуль доступу
Модуль доступу.
Головна мета цього модуля Полягає в наданні услуг кінцевім Користувачами.
Основні Пристрої:
1. Комутатори уровня 2
2. Призначе для користувача робоча станція
. IР - телефон
На робочих станціях здійснюється сканування програм на наявність вірусів. На комутатори реалізуються вимоги по безпеці 2 - го уровня (port - security, правильне налаштування режімів роботи портів и так далі).
серверного модулю.
Основні Завдання серверного модуля Полягає в наданні прикладних услуг прилаштувати и кінцевім Користувачами. Потоки трафіку в перевіряються засобими IDS, вбудований в комутатори уровня 3. Основні Пристрої:
1. Комутатори уровня 3
2. CallManager - Виконує Функції маршрутізації вікліків для устройств IP- телефонії, вста...
