Файловый архив студентов. Файловый архив студентов.
1301 вуз, 5089 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Харьковский национальный университет радиоэлектроники
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
diplom_pz.doc
Скачиваний:
19
Добавлен:
02.09.2019
Размер:
1.89 Mб
Скачать
►Содержание►

2.3 Мережа передачі даних компанії «Делвей Менеджмент»

За допомогою устаткування Cisco серії PIX була реалізована віртуальна приватна мережа VPN компанії «Делвей Менеджмент». У центрі нового рішення знаходиться Cisco PIX Firewall 515, який забезпечує багаторівневий захист, використовуючи широкий набір інтегрованих захисних можливостей. На віддалених ділянках установлено Cisco PIX Firewall 506. Дане рішення дозволяє реалізувати захист корпоративних мереж на недосяжному раніше рівні, зберігаючи простоту експлуатації (рис. 1).

Центральний офіс, що розташований в місті Тюмені, і три виробничі підприємства клієнти, розташовані в містах Тобольськ, Ноябрьськ, Ніжнєвартовськ, сполучені в єдину керовану інфраструктуру, яка забезпечує передачу будь-яких типів трафіку

(голосу, відео і даних) і володіє високим ступенем захисту інформації.

За рахунок грамотно спроектованого рішення в майбутньому можливе нарощування мережевої інфраструктури, збільшення кількості користувачів і впровадження нових додатків бізнесу без додаткових витрат.

Рис. 1 Структура VPN мережі компанії «Делвей Менеджмент»

Також тут організовано «демілітаризовану зону» і передбачено захист поштових і веб-серверів від мережевих атак. Крім того вирішені завдання передачі даних між локальними мережами і підготовка до

інтеграції телефонних систем.

Корпоративна мережа «Делвей Менеджмент» дозволяє:

  • підвищити продуктивність мережі;

  • забезпечити простоту використання;

  • вирішити проблему браку IP-адрес;

  • забезпечити захищеність даних;

  • надати для мобільних користувачів доступ до всіх сервісів корпоративної мережі через VPN з мережі Інтернет.

Дані рішення мають наступні переваги:

  1. Управління доступом на основі перевірки всієї інформації, що перетинає межі мережі.

  2. Захист від неідентифікованих підозрілих аплетів Java.

  3. Виявлення і захист від основних типів атак в мережі Інтернет на основі перевірки службових заголовків.

  4. Аудит даних про транзакції, реєстрація тимчасових міток, адрес відправників і одержувачів інформації.

  5. Динамічна і статична трансляція адрес.

  6. Підтримка аутентифікації користувачів, що дозволяє надавати доступ через міжмережевий екран тільки після успішної авторизації користувача.

  7. Захист передачі даних через мережі загального користування.

  8. Підтримка шифрування на мережевому рівні, що запобігає витоку або зміні інформації під час її передачі по мережі. [10]

2.4 Корпоративна мережа банку «Урал банк»

Корпоративна мережа банку складається з двох сегментів: сегмент локальної мережі і сегмент зовнішньої мережі.

Сегмент локальної мережі розбитий на три логічні зони: зона ядра, зона призначена для доступу користувача і зона серверів (рис. 2).

Зона ядра здійснює логічне об'єднання зон абонентського доступу, серверів і Інтернету. Також здійснює маршрутизацію трафіку між віртуальними мережами (VLAN) і регулювання руху трафіку за допомогою списків доступу (access lists). Організована на базі комутатора Cisco Catalyst серії 4900. Зона ядра з'єднується з рештою зон дубльованими каналами.

Зона призначена для доступу користувача здійснює підключення ПК користувачів до мережі. Залежно від рівня доступу користувач поміщається у визначений VLAN, маршрутизація між VLAN здійснюється на рівні ядра і обмежується за допомогою списків доступу. Крім того, ряд робочих станцій захищається за допомогою Cisco Security Agent. Організована на базі комутаторів Cisco Catalyst серії 3560. Кожен комутатор підключається каналом Gigabit EtherChannel до зони ядра для підвищення надійності і збільшення пропускної спроможності.

Зона серверів здійснює підключення серверів організації. Також зона серверів включає сегмент управління, де розташовані сервери, що управляють. У сегменті управління розташована система управління мережевою безпекою CiscoWorks VPN Security Management Solution. Сегмент серверів і сегмент, що управляє, розділені за допомогою віртуальних локальних мереж. Маршрутизація між VLAN здійснюється в зоні ядра. Трафік в зону серверів фільтрується за допомогою системи забезпечення адаптивної безпеки Cisco ASA серії 5500. Додатково сервери захищені ПЗ Cisco Secure Agent. Організованих на базі

комутаторів Cisco Catalyst серії 3750.

Зовнішній сегмент мережі включає модуль віртуальних риватних мереж (VPN), модуль доступу в Інтернет, модуль електронної комерції (процесинговий центр) і демілітаризовану зону, в якій розташовані публічні сервіси банку.

Для захисту процесинговог центру використовується система забезпечення адаптивної безпеки Cisco ASA серії 5500. Організована на базі комутаторів Cisco Catalyst серії 3560.

Модуль віртуальних приватних мереж призначений для підключення локальних мереж філіалів до інфраструктури банку. Весь трафік філіалів шифрується за допомогою VPN шлюзів S-Terra CSP VPN

Рис. 2 Логічна схема мережі передачі даних «Кільце Уралу»

Gate. Фільтрація небажаного трафіку здійснюється міжмережевим екраном S-Terra CSP VPN Gate. Доступ в Інтернет для користувачів філіалів здійснюється через центральний офіс: дешифрований трафік з VPN Gate потрапляє на інтерфейс системи забезпечення адаптивної безпеки Cisco ASA серії 5500, де трафік з філіалів проходить додаткову перевірку. Додатково самі сервери VPN шлюзів захищені програмним забезпеченням Cisco Secure Agent.

Демілітаризована зона містить публічні сервіси банку. Доступ в неї контролюється системою забезпечення адаптивної безпеки Cisco ASA серії 5500. Додатково сервери захищені програмним забезпеченням Cisco Secure Agent. Організованих на базі комутаторів Cisco Catalyst серії 3560.

Зона доступу в Інтернет організована на базі двох маршрутизаторів Cisco серії 2800. Кожен маршрутизатор має з'єднання з двома інтернет-провайдерами для забезпечення високої доступності сервісів банку. Зв'язок з двома провайдерами кожного маршрутизатора організовується через групу комутаторів зовнішньої мережі.

Зовнішній сегмент мережі організований на базі двох комутаторів Cisco Catalyst серії 2950, сполучених каналом EtherChannel, він виступає центральною точкою розподілу трафіку зовнішнього сегменту мережі і організує доступ через систему адаптивної безпеки в сегмент локальної мережі.

Система забезпечення адаптивної безпеки організована на базі Cisco ASA серії 5500 в режимі резервування. Цей багатофункціональний пристрій включає систему запобігання вторгненням, високопродуктивний міжмережевий екран і шлюз VPN; воно є основним

елементом захисту мережі передачі даних і здійснює застосування всіх політик безпеки між сегментом локальної мережі і зовнішнім сегментом, а також здійснює безперервний контроль трафіку, що проходить, і блокує розповсюдження комп'ютерних атак, черв'яків, вірусів і різних типів паразитного трафіку (шпигунського/рекламного ПЗ, системи обміну миттєвими повідомленнями, мережі peer-to-peer та інше). [10]

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности