电脑技术学习

Catalyst 6500交换机:增强企业园区网络的安全性

dn001

  当前先进的智能企业网络使企业能够有效地部署电子商务等应用,以促进劳动力优化及全球化等工作。这些强韧的网络可通过连接远端站点、分支办公室、移动工作人员、合作伙伴及客户来支持数千名用户。然而,它也存在缺陷-所有网络都越来越轻易受到企业园区及互联网中普遍存在的安全性威胁的攻击。此外,市场对电子商务应用需求的激增以及公共域上的服务融合也对网络中传输的流量造成了威胁,因此需要尽量加密流量。
  
  Cisco Catalyst? 6500系列交换机是帮您保护网络免受来自园区及公共域的安全威胁攻击的解决方案。本文将概述这些硬件解决方案。
  
  安全风险呈上扬趋势
  
  实时信息保护公司Riptech日前开展的一次调查表明,2001年下半年到2002年上半年期间,网络安全攻击率高达28%。此外,一份2002年的FBI报告显示,85%的企业在过去12个月中曾检测出计算机安全性故障。
  
  "只有看到熟人被盗,才会购买防盗报警器"这句广为人知的格言在当前的电子商务经济形势下得到了新的诠释。身受安全威胁之害、却又不可能完全消除此类攻击的企业,经常选择部署有效的缓解技术。
  
    网络的多样性
  
  我们应为不同的网络制定不同的安全策略并部署不同的威胁缓解技术,具体取决于网络规模、预算及商业要求。当企业设计其网络安全性架构时,必须考虑许多因素,包括成本效益分析、商业需求、安全策略、以及需要保护的网络区域等。
  
  全面的安全性是保护整个网络不受攻击的最有效的方式。对网络核心的成功攻击将危害到整个网络,因此,企业必须保护构成企业园区网络的每个重要区域(见图1)以保证卓越的网络完整性。
  
  Cisco Catalyst 6500系列交换机不仅能在企业园区边缘提供针对互联网攻击的防火墙保护;而且还能保护内部网络免受恶意设备或用户的攻击,检测攻击并躲避攻击者。思科建议企业通过Cisco Catalyst 6500系列交换机实施安全服务,以便保证企业园区的完整性。
  Catalyst 6500交换机:增强企业园区网络的安全性
  借助Cisco Catalyst 6500系列交换机为企业园区网络提供先进的集成网络安全性
  
  
  面向企业园区的全新的智能安全性服务
  
  随着网络安全性攻击变得越来越危险、普遍且易于在企业园区中部署,网络完整性也日益受到威胁。企业越来越迫切需要保护IT投资免受这些威胁攻击的安全技术,就象保护企业本身一样重要。因此,思科将Cisco Catalyst 6500系列交换机与一套先进的安全性模块相集成,藉此完善现有的软件安全产品,从而增强了面向整个网络的安全性。
  
  思科这套全新的先进安全模块包括防火墙服务模块(FWSM)、安全套接字层(SSL)、IP安全性虚拟专用网络 (IPSec VPN)服务模块及网络分析模块(NAM)。这些模块与现有的入侵检测系统模块(IDSM)一起,使客户能够在交换机上部署集成的安全性,而不是治理单独的设备并将其与基本的基础设施相连接,从而提高了性能、可治理性并降低了系统的总体成本。
  
  面向Catalyst 6500交换机的思科安全性服务模块
  Cisco IPSec VPN服务模块是面向Cisco Catalyst 6500交换机及Cisco 7600互联网路由器的高速模块,提供了基础设施集成的IPSec VPN服务以满足客户对普遍连接及增加带宽的需求。
  
  IPSec VPN服务模块可在Cisco Catalyst 6500系列交换机上提供经济高效的VPN性能,适用于各种部署环境。例如,在WAN边缘部署中,VPN模块可在WAN汇聚器路由器上提供VPN端接服务。
  
  主要特性包括:
  
  · 与网络基础设施相集成-将VPN合并到Catalyst 6500交换机与7600互联网路由器中可保护网络安全,无需其他的网络覆盖设备或网络改造。
  · 高性能及高可扩展性-IPSec VPN模块采用最先进的加密硬件加速技术,在大规模数据包的情况下(500字节以上)可提供近1.9 Gbps的三倍数据加密标准(3DES)流量;在中等规模的数据包情况下(300字节),可提供近1.6 Gbps的3DES流量。与当前产品相比,该模块可以更快的速度同时端接8,000条IPSec隧道。
  · 先进的安全性服务-将加密、验证及完整性集成到网络服务中,可简化安全的园区、供给商边缘、VPN端接及安全的融合网络服务(如IP语音VoIP及存储区域网等)的部署工作。
  
  思科防火墙服务模块(FWSM)安装在Cisco Catalyst 6500系列交换机中,最适用于部署在数据中心及外联网的边缘分配层以及网络治理层中来定义服务器流量策略。Cisco Catalyst 6500是需要防火墙功能、入侵检测、虚拟专用网络、以及多层LAN、WAN及MAN交换功能等智能服务的客户的首选IP服务交换机。
  
  Cisco FWSM是业界性能最高的防火墙解决方案,配备多个模块,可提供5 GB以上的吞吐量/模块,并可扩展到20GB的带宽。FWSM全面集成在Cisco Catalyst 6500系列交换机中,十分了解VLAN,可提供动态路由。FWSM 基于Cisco PIX?防火墙技术,因此与获奖的Cisco PIX?安全性家族产品提供了相同的安全性与可靠性。FWSM基于答应通过软件下载来增强特性的网络处理器技术,因此具备最大的灵活性来支持新特性的部署,以满足未来的客户需求。
  
  主要特性包括:
  
  · 可扩展性-能够以业界最快的速度创建受状态防火墙保护的多个安全域,以抵御企业园区日益严重的安全威胁。FWSM提供5 GB的吞吐量/模块并可扩展到20 GB带宽/机箱(安装了多个模块)。
  · 可靠性-FWSM基于Cisco PIX技术,使用同一种久经考验的Cisco PIX操作系统(安全强韧的实时操作系统)。FWSM将性能与安全性独特地结合在同一个平台上,使用公认的Cisco PIX机制来检查数据包。此外,它还在主用/备用FWSM环境中提供了基于LAN的故障切换功能。
  · 易于使用性-FWSM使用为大家所熟悉的公认的Cisco PIX治理界面,保持安全与网络治理界面相分离。FWSM的配置与监视由思科治理架构及Cisco AVVID (语音、视频与数据集成架构)合作伙伴提供支持。
  
  面向Cisco Catalyst 6500系列的思科安全套接字层(SSL)服务模块最适用于数据中心部署,可大幅度提高基于Web的应用的性能及安全性,提供全面的安全内容网络,同时保证快速持久的客户体验。它通过以下方法实现了该目标:卸载与受SSL协议约束的安全流量相关的处理器密集型任务,藉此增加由Web站点支持的安全连接的数量。
  
  SSL与思科内容交换模块(CSM)相集成,可同时加速加密的和非加密的流量,并从Web服务器上卸载资源密集型功能,是高性能且可扩展的安全的服务器负载均衡解决方案。
  
  主要特性包括:
  
  · 证书优化-加密到Web服务器的用户数据,提供私密性、保密性及验证功能。SSL使用保存在该模块上的广泛的证书,因此可集中进行证书治理工作,无需单独治理每个服务器上的证书。它只要求对所有服务器使用一个证书拷贝,而不是为每个服务器拷贝证书,因此降低了成本。
  · 确定的性能-提供业界最快的SSL话路安装速度和海量加密吞吐量:3,000条连接设置/每秒/模块(12,000)/机箱);300-Mbps的海量加密吞吐量/模块(1.2-Gbps/机箱),同时保持50,000条的并行客户机连接(200,000/机箱)。
  · 持久稳定的连接-保持持久稳定性,即使客户在运行Cisco CSM情况下(集成模式)需要全新的话路ID时也不例外。
  · 服务器SSL卸载-集成SSL处理功能并开展所有与SSL相关的工作,答应服务器处理高速纯文本流量。
  
  全新的高性能思科网络分析模块(NAM-1及NAM-2)最适合部署在数据中心、企业边缘及分配层,也可选择性地部署在网络的要害任务接入层,提供到网络流量的应用级可视性,以便在千兆环境中开展实时流量分析、性能监视及排障。
  
  主要特性包括:
  · 应用级可视性-NAM在网络基础设施中实现了应用级可视性,以进行性能监视、排障及容量规划。除了统计数据收集功能外,它还提供NAM流量分析器(NAM Traffic Analyzer)进行流量监视与分析。此外,NAM还是在Cisco LAN网络中定义多业务交换的Cisco AVVID的组件。NAM收集发送到应用层的数据与语音流的多层信息,帮助简化当前复杂的多业务交换LAN(支持各种数据、语音和视频应用)的治理工作。
  · 高性能-全新的高性能NAM-1和NAM-2可以更好地监视以千兆速度运行的可扩展的交换环境。
  · 易于使用性-基于Web的嵌入式流程分析器可对数据、VoIP及QoS进行全面的流量监视与数据捕捉。
  
  现有的面向Catalyst 6500系列的入侵检测系统模块最适合部署在分配层及数据中心,是抵御非法入侵、恶意的互联网蠕虫病毒以及带宽和电子商务应用攻击的全面且普遍深入的安全解决方案。Cisco IDS利用状态形式识别、协议分析、启发式检测及异常情况检测等全新的先进入侵检测技术,为防止各种已知及未知的计算机威胁提供了全面保护。
  
  该服务模块集成在Cisco Catalyst 6500系列交换机中,当部署在建议的网络层并与Cisco Catalyst 6500交换机的软件安全产品一起使用时,能够防止内部网络免受恶意设备或用户的攻击,同时保护网络免于外界安全威胁的攻击。Cisco Catalyst 6500系列交换机是面向来自公共源的企业园区的全面的安全性解决方案。