Портфолио по сетевой безопасности Cisco
Обзор проекта
Это портфолио демонстрирует комплексную реализацию безопасности корпоративной сети с использованием Cisco Packet Tracer. Проект показывает продвинутые сетевые концепции и механизмы безопасности, которые защищают от различных угроз, обеспечивая при этом высокую доступность и производительность.
Сеть спроектирована с акцентом на безопасность, избыточность и масштабируемость, что делает её подходящей для средних и крупных корпоративных сред. Она включает в себя лучшие отраслевые практики по сегментации сети, контролю доступа и снижению угроз.
Топология сети и сегментация
Сеть построена с иерархическим дизайном, включающим уровни ядра, распределения и доступа. Эта архитектура обеспечивает четкие пути потока трафика, упрощенное устранение неполадок и повышенную безопасность через изоляцию.
Сегментация VLAN
Сеть разделена на несколько VLAN для изоляции различных отделов и сервисов:
- VLAN 10: Администрация
- VLAN 20: Финансы
- VLAN 30: HR
- VLAN 40: Инженерия
- VLAN 50: Гостевая сеть
Маршрутизация между VLAN
Реализована с использованием многоуровневых коммутаторов (MLS1 и MLS2), которые функционируют как уровень распределения. Эти коммутаторы выполняют маршрутизацию между VLAN, применяя списки контроля доступа для ограничения несанкционированного трафика между сегментами.
Реализация DMZ
Демилитаризованная зона (DMZ) настроена для размещения общедоступных сервисов, таких как веб-серверы, обеспечивая их изоляцию от внутренней сети для предотвращения бокового перемещения в случае компрометации.
Комплексные функции безопасности
В сети реализованы множественные уровни средств контроля безопасности для защиты от внешних и внутренних угроз. Эти механизмы работают вместе, создавая стратегию глубокой защиты.
Списки контроля доступа (ACL)
Расширенные ACL реализованы на маршрутизаторах и многоуровневых коммутаторах для фильтрации трафика на основе адресов источника/назначения, протоколов и портов. Это гарантирует, что между сегментами сети проходит только авторизованный трафик.
Port Security
Настроен на коммутаторах доступа для ограничения количества MAC-адресов на порт и использования sticky learning для предотвращения атак с подменой MAC-адресов и несанкционированных подключений устройств.
Демонстрация блокировки несанкционированных MAC-адресов с помощью Port Security
DHCP Snooping
Реализован для предотвращения атак с использованием поддельных DHCP-серверов путем различения доверенных и недоверенных источников DHCP, защищая клиентов от получения вредоносных IP-конфигураций.
Dynamic ARP Inspection
Настроен для предотвращения атак с подменой ARP путем проверки ARP-пакетов по базе данных привязок DHCP snooping, гарантируя, что только легитимные ARP-ответы достигают клиентов.
Аутентификация 802.1X
Реализована для контроля доступа к сети на основе портов, требуя от пользователей аутентификации перед получением доступа к сети, предотвращая несанкционированные подключения.
Избыточность и высокая доступность
Сеть спроектирована с избыточностью на нескольких уровнях для устранения единых точек отказа и обеспечения непрерывной работы даже во время аппаратных сбоев или обслуживания.
Hot Standby Router Protocol (HSRP)
Реализован между MLS1 и MLS2 для обеспечения избыточности шлюзов для всех VLAN. Это гарантирует, что если один многоуровневый коммутатор выходит из строя, другой берет на себя роль шлюза по умолчанию без нарушения сетевого подключения.
Нормальная работа HSRP с ответами от основного шлюза
Демонстрация отказоустойчивости HSRP - резервный шлюз берет на себя работу при отказе основного
EtherChannel
Несколько физических соединений объединены в логические соединения EtherChannel между коммутаторами, обеспечивая как увеличенную пропускную способность, так и избыточность соединений. Если одно соединение выходит из строя, трафик продолжает проходить через оставшиеся соединения.
Spanning Tree Protocol
Rapid PVST+ настроен для предотвращения коммутационных петель, обеспечивая быструю конвергенцию в случае изменений топологии. Root guard и BPDU guard включены для защиты топологии spanning tree от несанкционированных модификаций.
Демонстрации функций
Портфолио включает демонстрации ключевых функций безопасности и избыточности в действии, показывая, как они защищают сеть от различных угроз и обеспечивают непрерывную работу.
GIF-анимации выше демонстрируют:
- Отказоустойчивость HSRP: Демонстрация того, как сетевое подключение остается непрерывным при отказе основного шлюза
- Port Security: Показывает, как несанкционированные устройства блокируются при попытке подключения к сети
Эти демонстрации подтверждают эффективность реализованных средств контроля безопасности и механизмов высокой доступности в реальных сценариях.
Загрузки проекта
Загрузите полный файл проекта Cisco Packet Tracer вместе с документацией по паролям, чтобы детально изучить конфигурацию сети.
Скачать файлы проекта