Cisco网络集成解决方案Word格式.docx
《Cisco网络集成解决方案Word格式.docx》由会员分享,可在线阅读,更多相关《Cisco网络集成解决方案Word格式.docx(56页珍藏版)》请在冰点文库上搜索。
由于Internet的开放性,世界各地的Internet用户,包括黑客,病毒,间谍软件都可能访问到内部网络。
4.可扩充性
利用已有的资源,通过良好的技术标准与产品架构,可以很容易的升级到更高层次,而不需要很高的投资。
5.可管理性
选用易于操作和维护的网络操作系统,大大减轻网络运营时的管理和维护负担。
采用智能化网络管理,最大程度地降低网络的运行成本和维护。
6.高性能价格比
结合日益进步的科技新技术和环境保护局的具体情况,制定合乎经济效益的解决方案,在满足需求的基础上,充分保障劳动局的经济效益。
坚持经济性原则,在不降低需求的同时力争用最少的钱办更多的事,以获得最大的效益。
二、网络拓扑分析
网络整体结构并不复杂,通过简单的部署达到安全高效的目的。
网络拓扑如下所示:
网络主干采用全千兆连接(图中的红线标示),2台CiscoCatalyst6500在网络核心提供冗余,然后千兆到接入交换机,最后百兆到桌面。
在网络出口使用CiscoASA5540加CiscoASA5500系列内容安全和控制安全服务模块(CSC-SSM)在互联网边缘提供了业界领先的威胁防御和内容控制,是由业界领先公司提供的、全面、易于管理的解决方案,包括了防病毒、防间谍软件、文件阻挡、防垃圾邮件、防泄密、URL阻挡和过滤,以及内容过滤等功能。
CSC-SSM增强了CiscoASA5500系列的强大安全功能,使客户能更好地保护和控制企业通信的内容。
三、VPN解决方案介绍
思科®
ASA5500系列自适应安全设备是结合了一流安全性与VPN服务的专用平台,面向中小型企业(SMB)应用。
ASA5500系列提供基于防火墙、入侵防御系统(IPS)和网络反病毒功能的自适应威胁防御解决方案,它可以与这些服务一起使用,或者作为专门功能的VPN平台独立使用。
在VPN服务方面,思科ASA5500系列采用灵活的技术,能够提供量身定做的解决方案,满足远程接入和站点到站点的连接要求。
思科ASA5500系列能够提供易于管理的IP安全(IPSec)和基于VPN的安全套接层(SSL)远程接入,以及网络感知的站点到站点VPN连接,使企业能在公共网络上建立到移动用户、远程站点、业务合作伙伴的安全连接。
借助ASA5500系列,企业能够享受到互联网的连接和成本优势,而不会影响到企业安全策略的完整性。
通过将VPN服务与全面的威胁缓解服务相结合,ASA5500系列能够提供安全的VPN连接和通信。
集成的自适应威胁防御功能可以提供统一的防御,帮助确保VPN部署不会成为蠕虫、病毒、恶意软件或黑客攻击等网络攻击的渠道。
此外,还可以对VPN流量实施详细的应用和访问控制策略,使个人和用户组能够访问他们获得授权的应用、网络服务和资源(图1)。
图1.适用于所有部署方案的VPN服务:
带有威胁防御的强大IPSec和SSLVPN服务
远程接入
思科ASA5500系列提供完整的远程接入VPN解决方案,支持大量连接方式,包括WebVPN(SSLVPN)、思科VPN客户端(IPSecVPN),以及NokiaSymbian移动无线与PDA客户端的连接。
利用思科在远程接入领域的专业技术,企业能够部署单个集成平台,该平台广泛支持各种核心企业应用,并具备易管理性和部署灵活性。
用户可从支持SSL的Web浏览器或VPN客户端建立安全的远程连接,从而实现最大的灵活性和应用访问,而无需部署和管理单独的设备。
借助思科ASA5500系列安全设备,企业可为每类用户选择最合适的技术(IPSec或SSLVPN),而无需部署并行解决方案。
这样就消除了为SSL和IPSecVPN分别部署不同的平台所导致的低效率和额外成本。
3.1基于IPSec的远程接入
使用IPSec来提供远程接入,用户可以获得最稳健的可定制连接。
通过IPSec,用户可以访问任何应用,如同他们实际连接到总部局域网一样。
基于思科IPSec的远程接入具有高度的可定制性,它提供API,管理员可向其中写入执行例程和其它定制程序。
思科ASA5500系列提供了思科系统公司功能最丰富的基于IPSec的远程接入。
在IPSec部署方面,ASA5500系列利用了思科VPN3000系列集中器的特性和功能,能够提供几乎相同的功能,却具有更高的每用户吞吐量。
此外,ASA5500系列还与现有的VPN3000系列集中器集群无缝整合,使两种平台都能为相同的用户群服务。
思科ASA5500系列支持创新的思科EasyVPN远程接入功能,这些功能在其它思科安全解决方案中也能找到,如思科PIX®
安全设备、思科IOS®
路由器和思科VPN3000系列集中器。
思科EasyVPN提供了可扩展、经济高效、易于管理的独特远程接入VPN架构,能够消除传统VPN解决方案通常需要的远程设备配置维护的运营成本。
思科ASA5500系列设备能够动态地将最新的VPN安全策略推送到远程VPN设备和客户端,帮助确保这些远程端点在连接建立之前就拥有最新策略,从而提供最佳的灵活性、可扩展性和易用性。
思科ASA5500系列安全设备支持VPN客户端的安全状况检查。
当客户端试图连接VPN时,它会进行安全检查,包括企业规定的主机安全产品(例如思科安全代理或个人防火墙软件)的使用、版本号和状态,然后才允许远程用户接入企业网络。
根据客户端类型、安装的操作系统和思科VPN客户端软件版本,它可以禁止思科VPN客户端连接到网络。
这样可以防止不符合安全策略的VPN客户端接入企业网络。
ASA5500能为思科VPN客户端和思科VPN3002硬件客户端进行自动软件更新,还能在建立VPN连接时启动更新,或者根据目前连接的VPN客户端的请求启动更新。
这为远程用户提供了一种轻松更新客户端软件的方式。
可以使用RADIUS或TACACS+,根据设备上的内部用户数据库或者通过外部源,对远程接入用户进行验证。
由于本地集成了很多常用的验证服务,包括MicrosoftActiveDirectory、MicrosoftWindowsDomains、Kerberos、轻量级目录访问协议(LDAP)和RSASecurID,因而它无需单独的RADIUS/TACACS+服务器作为中介,就能进行用户验证。
3.2WebVPN
思科ASA5500系列提供了核心SSLVPN功能,用于无客户端的部署,如外联网接入和未管理桌面。
思科VPN3000系列集中器仍是思科功能最丰富的SSLVPN解决方案。
只需使用Web浏览器和本地SSL加密,SSLVPN就能提供从几乎任何拥有互联网的地点的远程资源访问——而无需预安装的VPN客户端软件。
思科ASA5500系列可以支持WebVPN,从而提供对广泛的企业应用的轻松访问,包括Web资源、支持Web的应用、NT/ActiveDirectory文件共享(支持Web)、电子邮件和其它基于TCP的应用(如Telnet或WindowsTerminalServices),用户可从任何连接到互联网并能到达HTTP互联网站点的计算机访问这些应用。
WebVPN使用SSL以及后来的传输层安全(TLS)来提供远程用户与中央站点支持的特定内部资源之间的安全连接。
使用WebVPN来提供安全连接,可以实现从几乎所有系统的访问,而无需安装额外的桌面软件。
3.3站点到站点
利用思科ASA5500系列安全设备提供的网络感知的IPSec站点到站点VPN功能,企业能够通过低成本的互联网连接,安全地将其网络延伸到全球的业务合作伙伴和远程与小型分支机构。
ASA5500系列是思科功能最丰富的基于设备的站点到站点VPN解决方案。
凭借无可比拟的网络功能集成,思科IOS路由器能够提供业界最先进、最灵活的站点到站点VPN连接。
分支机构和远程办事处将企业的触角延伸到关键的市场和位置。
基于思科ASA5500系列的VPN解决方案能够实现多个地点之间的高速安全通信,提供企业通信所需的性能、可靠性和可用性。
可以使用从数字证书到共享私密等多种方法,对VPN连接进行验证。
思科ASA5500系列安全设备为当前的应用提供了一种VPN基础设施,能够在安全的IPSec网络上传输融合的语音、视频和数据。
强大的站点到站点VPN服务,结合丰富的检验功能和服务质量(QoS)功能,使企业能够利用融合网络提供的诸多好处。
使用思科ASA5500系列设备,将VPN与QoS功能和丰富的检验功能相结合,企业能够安全地将语音和多媒体服务扩展到远程办事处环境,从而利用融合网络提供的众多好处,包括提高生产力、降低运营成本和增强竞争力。
延迟、抖动和信息包丢失都会导致语音和视频质量下降。
思科ASA5500系列具有低延迟排队(LLQ)和流量警管功能,能够支持具有严格QoS要求的应用(如语音和数据),帮助确保端到端的网络QoS策略。
延迟敏感的流量的优先级可以排列在文件传输和其它延迟容忍度更高的流量之前。
排队性能可以通过一系列配置参数进行优化。
在VPN上部署语音和视频时,必须全状态地检验通过网络的所有多业务流量,这一点十分关键。
思科ASA5500系列安全设备能够为多种VoIP和其它多媒体标准提供市场领先的保护。
它支持的VoIP和多媒体标准包括:
H.323第4版、会话发起协议(SIP)、思科小型客户端控制协议(SCCP)、实时流协议(RTSP)和媒体网关控制协议(MGCP),这有助于企业安全地部署多种现有和下一代的VoIP和多媒体应用。
思科ASA5500系列还提供网络拓扑的感知,以实现易配置性和弹性。
ASA5500系列支持VPN隧道上的开放最短路径优先(OSPF)路由,因而能够了解网络可达性,以确保高效的数据流。
此外,子网自动发现功能可以识别每个VPN网关后的全部主机,从而简化配置。
思科ASA5500广泛支持各种X.509数字证书,包括用于具有多层认证中心等级的环境的n层证书链、使用简单认证登记协议(SCEP)的简易自动证书登记、用于认证机关离线时部署的手动登记。
它支持的RSA证书密钥大小可达到4096比特,而基于数字签名算法(DSA)的X.509证书密钥大小最高可达1024比特。
思科ASA5500系列还支持思科IOS软件认证中心的在线登记。
轻量级的X.509认证中心能够简化支持公钥基础架构(PKI)的站点到站点VPN的推出。
VPN连接的威胁缓解
威胁缓解:
蠕虫、病毒、间谍软件、广告软件、木马、拒绝服务
蠕虫、病毒、嵌入应用程序的攻击和应用滥用被视为当今网络中最严峻的安全挑战。
由于VPN目前的设计方式,远程接入和远程办事处VPN连接是这类攻击的常见入口。
人们部署的VPN通常没有在总部位置的隧道终端点实施适当的检测和威胁缓解,从而使得来自远程办事处或用户的恶意软件渗透到网络中,并广泛传播。
借助思科ASA5500系列,用户可以设计适当的检测和威胁缓解,作为VPN解决方案的组成部分,而不会产生任何额外成本,也不会加大设计、部署和运营复杂性。
凭借ASA5500系列的融合威胁缓解功能,客户可以检测到恶意软件,并在其进入网络内部并传播之前进行拦截。
对于应用嵌入式攻击,如通过文件共享对等网络传播的间谍软件或广告软件,ASA5500系列能够深入检验应用流量,识别危险的有效载荷,并在其到达目标并造成破坏之前丢弃它的内容。
思科ASA5500系列安全设备的应用层检验功能可以保护VPN部署,防御拒绝服务(DoS)攻击,例如SYN泛滥、互联网控制信息协议(ICMP)泛滥、Teardrop、端口扫描、PingofDeath和其它许多常见的攻击。
3.4应用滥用和访问控制
正确的VPN安全设计不只是防御威胁,还要控制哪些类型的VPN流量能够使用网络资源和带宽,并且控制对网络资源的访问。
以HTTP端口80为例。
端口80最初是为Web流量设计的,目前用于即时消息、对等程序(如Kazaa)和其它应用。
思科ASA5500系列能够识别、检验和控制端口80应用的所有方面。
它能够完全拦截某些流量或文件类型,或者具体地限制某些行为,例如在即时消息应用中传输文件。
应用感知的检验引擎提供了丰富的状态检测服务,能够跟踪所有授权网络通信的状态,防止非法的网络接入。
这些集成功能为当今不断变化的网络环境构建了强大的多层防御。
对VPN流量实施详细的安全策略,以便用户个人和群组能够访问他们有权访问的服务和资源。
全部VPN流量都经过解密和检验,以确保只有适当的内容才允许通过设备。
这就使网络管理员能够定义远程办事处和员工的安全和连接策略。
该策略可以提供无与伦比的安全性,并保持可访问的网络环境。
思科ASA5500系列安全设备提供了一种实现安全性的完整方法,使企业能够享受到互联网的连接和成本优势,而不会影响企业安全策略的完整性。
(图2)
图2.思科ASA5500系列融合了威胁缓解和VPN功能,以提供安全的VPN连接
弹性
思科ASA5500系列安全设备支持大量弹性功能,有助于确保VPN部署的最高可靠性和稳健性。
弹性集群功能可在所有思科ASA5500系列和VPN3000系列设备上平均分配VPN会话,从而使远程接入部署能够经济高效地扩展。
集群提供了集成负载平衡,能够帮助用户确保远程接入连接的分配,而无需任何用户干预,也无需安装外部负载分配器。
不同型号的思科ASA5500系列安全设备和VPN3000系列集中器能够在一个集群中共存,负载则根据每台设备的容量分配。
这种具有高度弹性的功能消除了单点故障,并使用户能根据企业需求量身定做解决方案,从而帮助他们保护客户的投资。
VPN状态故障切换能够最大化VPN连接的正常运行时间,以确保网络中的弹性和冗余。
凭借思科ASA5500系列安全设备的状态故障切换功能,所有VPN安全连接状态信息和会话密钥材料都能在故障切换对成员之间自动同步,从而提供具有高弹性的VPN解决方案。
被配置为故障切换对的设备能够连续同步它们的连接状态和设备配置数据。
同步也可以在高速LAN连接上进行,通过地域分离的故障切换对提供另一个保护层。
在发生系统或网络故障的情况下,网络会话自动从活动设备转移到备用设备,并对用户具有完全的透明度。
OSPF动态路由服务支持VPN隧道上的邻居,为VPN连接网络提供更高的网络可靠性。
它能在几秒之内检测到网络中断,以便流量绕开故障点进行路由。
思科ASA5500系列也支持反向路由注入(RRI),能够提高网络性能和可靠性。
集成管理
集成的思科自适应安全设备管理器提供了基于Web的世界级管理界面,能够显著简化单个思科ASA5500系列安全设备的部署、长期配置和监控,而无需在管理员的计算机上安装任何软件(除标准Web浏览器和Java插件以外)。
VPN和智能设置向导能够轻松集成到任何网络环境中,而包括控制板和实时系统日志浏览器在内的信息监控功能则能提供对重要的设备/网络健康状态和事件监控的浏览。
集成的Web管理提供了一个简单易用的界面,用于配置和监控所有VPN业务,从而能够在IPSec和SSLVPN用户环境中进行轻松管理。
通过基于角色的管理,管理员能够为每个远程接入用户/组配置所有的访问控制、安全策略和验证方法。
此外,思科ASA5500系列安全设备提供了多达16个级别的可定制管理角色,这样企业就可以授予管理员和操作人员访问每台设备的相应级别的权限(例如,只能进行VPN服务配置、只能进行防火墙服务配置、只能进行监控,或配置的只读访问)。
思科自适应安全设备管理器还提供对所有威胁缓解功能的完全管理,只需使用一个控制台,即可配置和保护VPN连接的所有方面。
3.5总结
思科ASA5500系列提供了一个灵活的全功能平台,用于VPN部署。
可从支持SSL的Web浏览器或VPN客户端建立安全的远程接入会话,从而实现最大的灵活性和应用接入。
强大的站点到站点VPN服务、丰富的检验功能以及QoS功能为当前应用提供了一个VPN基础架构,能够在安全IPSec网络上传输融合的语音、视频和数据。
借助思科ASA5500系列,用户可以设计适当的检测和威胁缓解,作为VPN解决方案的组成部分,而不会产生任何额外的成本,也不会加大设计、部署和运营复杂性。
管理员可以定义一个网络策略,以提供无与伦比的安全性,并维持可访问的网络环境。
通过利用思科丰富的VPN专业知识,企业能够部署一个支持广泛的核心企业应用、具有易管理性和部署灵活性的集成平台。
四、安全服务模块(CSC-SSM)(以后扩展)
CiscoASA5500系列内容安全和控制安全服务模块(CSC-SSM)结合了全面的恶意软件防御以及CiscoASA系列多功能安全设备先进的流量和消息策略符合性。
因此可为客户提供一个强大的解决方案,有力地保护和控制企业网络通信,终止病毒、蠕虫、间谍软件、垃圾邮件和泄密等网络威胁,拦截不受欢迎的访客和Web内容,且与部署和管理多个单点解决方案相比,降低了运营成本和复杂度。
4.1产品概述
CiscoASA5500系列内容安全和控制安全服务模块(CSC-SSM)在互联网边缘提供了业界领先的威胁防御和内容控制,是由业界领先公司提供的、全面、易于管理的解决方案,包括了防病毒、防间谍软件、文件阻挡、防垃圾邮件、防泄密、URL阻挡和过滤,以及内容过滤等功能。
该服务模块在思科屡获大奖的CiscoASA5500系列设备的功能及部署的基础上,提供了更高灵活性和更多选择。
CiscoASA5500系列CSC-SSM可通过以下特性,帮助企业更有效地保护网络、提高网络可用性和员工生产率:
∙全面恶意软件保护--包含TrendMicro开发的屡获大奖的防病毒和防间谍软件技术。
CSC-SSM几乎可以防止所有已知恶意代码进入网络和在网络中传播,因而能避免关键业务应用和服务遭到破坏,保证关键系统和员工能够正常工作,并减少成本高昂的感染后的清除工作。
∙高级内容过滤--将URL过滤、内容过滤和防泄露技术集成在一起,防止企业和员工盗窃保密信息,并减少因内容违反了网络使用规定而需要承担的法律责任。
该模块可以帮助企业遵守网络内容法规,例如医疗保险便携与责任法案(HIPAA)、Sarbanes-Oxley(SOX)和数据保护法案。
∙集成信息安全--集成了防垃圾邮件技术,可以在垃圾电子邮件进入邮件服务器之前就删除其中的绝大部分,不但能提高员工的生产率,还能防止浪费宝贵的网络带宽和存储资源。
∙定制和调试功能--使管理员能够对垃圾邮件和内容功能实施定制控制,以满足特殊公司策略或网络环境的要求。
∙易于管理和自动更新功能--为简化初始配置、部署和持续运行,该产品提供智能缺省设置以及与自适应安全设备管理器(ASDM)集成的直观界面。
由于所有CSC-SSM组件都能自动更新,包括扫描引擎和模式文件,因此,只需少量管理投入就能使网络免受最新威胁的入侵。
4.2主要特性和优势
CSC-SSM提供了丰富的安全和控制功能,其中部分如表1所示。
表1CSC-SSM的特性和优势
特性
优势
防病毒
屡获大奖的防病毒技术可在您的基础设施中最有效的防御点-互联网网关处防止内部网络资源遭受病毒攻击的影响。
在周边清洁电子邮件和互联网流量有助于确保业务连续性,避免了耗费大量资源的对恶意软件感染进行清除的工作。
防间谍软件
阻挡间谍软件随同互联网Web和电子邮件流量进入网络。
不必再将IT支持资源用于成本高昂的间谍软件删除工作,并可通过在网关阻挡间谍软件而提高员工生产率。
防垃圾邮件
有效阻挡垃圾邮件,且误报率极低,有助于保持电子邮件通信的高效性—使得与客户、厂商和合作伙伴的联系不受干扰。
防泄密
防止伪装身份,并对泄密攻击进行根源查找,因此可防止通常会导致经济损失的、员工无意中泄漏公司或个人信息的现象。
从TrendLabs自动更新
获得业界最庞大的防病毒、间谍软件和垃圾邮件专家团队之一的支持,全天候工作以确保您的解决方案可自动提供最新防御功能。
集中管理
通过一个可远程访问的Web控制台和自动更新功能,实现“即设即忘”式管理,缩短部署时间、减少投入和重复性的IT支持成本。
为Web访问、邮件和文件传输提供实时保护
即使已对公司电子邮件进行了保护,但许多员工仍会通过公司PC或笔记本电脑访问他们的私人邮箱,从而为互联网炸弹威胁带来了另一个入点。
员工也有可能直接下载被感染的程序或文件。
在互联网网关对所有Web流量进行的实时保护可大大减少这一常被忽略的安全易损点。
利用类别、排程和缓存提供的全面URL过滤功能
URL过滤可有效阻拦员工访问不适当的或与工作无关的Web站点,从而控制员工对于互联网的使用,籍此提高员工的生产率,并减少因访问了不应访问的Web内容而承担法律责任的机会。
电子邮件内容过滤
电子邮件过滤减少了因收到通过电子邮件传输的攻击信息而承担法律责任的机会,且有助于符合法律法规,可帮助机构达到GrahamLeachBliley和数据保护法案等的要求。
五、思科安全MARS
5.1概述
思科安全监控、分析和响应系统(思科安全MARS)是一款基于设备的全功能解决方案,可提供针对您现有安全部署的、前所未有的了解和控制能力。
思科安全MARS是思科安全管理生命周期的一个关键组件,可帮助您的安全和网络机构识别、管理和抵御安全威胁。
它可充分利用您现有的网络和安全投资,来识别、隔离被攻击的组件和建议对其精确删除的方式。
它也有助于保持内部策略符合性,可作为整体法规符合性解决方案工具中一个不可缺少的部件。
安全和网络管理员所面临的问题有:
∙安全和网络信息过载
∙性能不佳的攻击和故障识别、优先级划分和响应
∙更高攻击先进程度、速度和修复成本
∙满足法规符合性和审查要求
∙较少的安全人员和预算
思科安全MARS可通过以下功能满足其需要:
∙集成网络智能,进行网络异常事件和安全事件的先进关联
∙察看校正后的事件并自动执行调查
∙通过全面充分利用网络和安全基础设施来防御攻击
∙监控系统、网络和安全运行来帮助企业达到法规符合性
∙以最低TCO提供一个易于部署和使用的、可扩展的设备
思科安全MARS可将原始网络和安全数据转化为可操作的智能特性,以提交正确有效的安全事件并保持法规符合性。
这一易于使用的威胁防御设备系列可利用已部署在您的基础设施中的网络和安全设备,使操作员可集中、检测、防御和报告重要威胁。
深度防御问题
信息安全已从互联网、周边防护发展为深度防御模式,在基础设施中部署了多项措施来抵御安全漏洞和攻击。
鉴于攻击频率日益增加、攻击复杂度各不相同,以及攻击非常迅速,网络内部和周边间的界线逐渐模糊,因此这些措施是非常必要的。
为试图利用漏洞
升级会员 