Портфоліо з мережевої безпеки Cisco
Огляд проекту
Це портфоліо демонструє комплексну реалізацію безпеки корпоративної мережі з використанням Cisco Packet Tracer. Проект показує передові мережеві концепції та механізми безпеки, які захищають від різних загроз, забезпечуючи при цьому високу доступність та продуктивність.
Мережа спроектована з акцентом на безпеку, надлишковість та масштабованість, що робить її придатною для середніх та великих корпоративних середовищ. Вона включає найкращі галузеві практики з сегментації мережі, контролю доступу та зниження загроз.
Топологія мережі та сегментація
Мережа побудована з ієрархічним дизайном, що включає рівні ядра, розподілу та доступу. Ця архітектура забезпечує чіткі шляхи потоку трафіку, спрощене усунення несправностей та підвищену безпеку через ізоляцію.
Сегментація VLAN
Мережа розділена на кілька VLAN для ізоляції різних відділів та сервісів:
- VLAN 10: Адміністрація
- VLAN 20: Фінанси
- VLAN 30: HR
- VLAN 40: Інженерія
- VLAN 50: Гостьова мережа
Маршрутизація між VLAN
Реалізована з використанням багаторівневих комутаторів (MLS1 та MLS2), які функціонують як рівень розподілу. Ці комутатори виконують маршрутизацію між VLAN, застосовуючи списки контролю доступу для обмеження несанкціонованого трафіку між сегментами.
Реалізація DMZ
Демілітаризована зона (DMZ) налаштована для розміщення загальнодоступних сервісів, таких як веб-сервери, забезпечуючи їх ізоляцію від внутрішньої мережі для запобігання бічному переміщенню у випадку компрометації.
Комплексні функції безпеки
У мережі реалізовані множинні рівні засобів контролю безпеки для захисту від зовнішніх та внутрішніх загроз. Ці механізми працюють разом, створюючи стратегію глибокого захисту.
Списки контролю доступу (ACL)
Розширені ACL реалізовані на маршрутизаторах та багаторівневих комутаторах для фільтрації трафіку на основі адрес джерела/призначення, протоколів та портів. Це гарантує, що між сегментами мережі проходить лише авторизований трафік.
Port Security
Налаштований на комутаторах доступу для обмеження кількості MAC-адрес на порт та використання sticky learning для запобігання атакам з підміною MAC-адрес та несанкціонованих підключень пристроїв.
Демонстрація блокування несанкціонованих MAC-адрес за допомогою Port Security
DHCP Snooping
Реалізований для запобігання атакам з використанням підроблених DHCP-серверів шляхом розрізнення довірених та недовірених джерел DHCP, захищаючи клієнтів від отримання шкідливих IP-конфігурацій.
Dynamic ARP Inspection
Налаштований для запобігання атакам з підміною ARP шляхом перевірки ARP-пакетів по базі даних прив'язок DHCP snooping, гарантуючи, що тільки легітимні ARP-відповіді досягають клієнтів.
Аутентифікація 802.1X
Реалізована для контролю доступу до мережі на основі портів, вимагаючи від користувачів аутентифікації перед отриманням доступу до мережі, запобігаючи несанкціонованим підключенням.
Надлишковість та висока доступність
Мережа спроектована з надлишковістю на кількох рівнях для усунення єдиних точок відмови та забезпечення безперервної роботи навіть під час апаратних збоїв або обслуговування.
Hot Standby Router Protocol (HSRP)
Реалізований між MLS1 та MLS2 для забезпечення надлишковості шлюзів для всіх VLAN. Це гарантує, що якщо один багаторівневий комутатор виходить з ладу, інший бере на себе роль шлюзу за замовчуванням без порушення мережевого підключення.
Нормальна робота HSRP з відповідями від основного шлюзу
Демонстрація відмовостійкості HSRP - резервний шлюз бере на себе роботу при відмові основного
EtherChannel
Кілька фізичних з'єднань об'єднані в логічні з'єднання EtherChannel між комутаторами, забезпечуючи як збільшену пропускну здатність, так і надлишковість з'єднань. Якщо одне з'єднання виходить з ладу, трафік продовжує проходити через решту з'єднань.
Spanning Tree Protocol
Rapid PVST+ налаштований для запобігання комутаційним петлям, забезпечуючи швидку конвергенцію у випадку змін топології. Root guard та BPDU guard увімкнені для захисту топології spanning tree від несанкціонованих модифікацій.
Демонстрації функцій
Портфоліо включає демонстрації ключових функцій безпеки та надлишковості в дії, показуючи, як вони захищають мережу від різних загроз та забезпечують безперервну роботу.
GIF-анімації вище демонструють:
- Відмовостійкість HSRP: Демонстрація того, як мережеве підключення залишається безперервним при відмові основного шлюзу
- Port Security: Показує, як несанкціоновані пристрої блокуються при спробі підключення до мережі
Ці демонстрації підтверджують ефективність реалізованих засобів контролю безпеки та механізмів високої доступності в реальних сценаріях.
Завантаження проекту
Завантажте повний файл проекту Cisco Packet Tracer разом з документацією по паролям, щоб детально вивчити конфігурацію мережі.
Завантажити файли проекту