《2022年网络安全简单概述.docx》由会员分享,可在线阅读,更多相关《2022年网络安全简单概述.docx(16页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选学习资料 - - - - - - - - - 网络安全:内置在网络中,集成于产品中无论从所掩盖的地理范畴和所互联的内部、外部群体而言,今日的网络都特别巨大;它们更加复杂,支持多种应用和服务,可以在有线和无线连接上传输集成化的数据、语音和视频流量;它们仍在变得越来越开放 -它们可以使用不行靠的公共网络,连接合作伙伴, 是一种能够连接客户和供应商的业务工具;事实上,专用网络和公共网络之间的界限已经变得特别模糊;网络环境的广泛性、复杂性和开放性提升了人们对于强大、全面的安全的需要,由于必需对网络所接触到的全部地点进行爱护,同时也要防范从这些地点对网络发动的攻击;本文将探讨和介绍内置、集成的安全性
2、,并认为它是爱护网络的唯独有效的方法;本文将概括介绍采纳集成化方式的主要缘由,随后仍将介绍思科集成化网络安全解决方案的一些现有的和新推出的补充产品;本文主要面对技术决策的制定者;第一,让我们回忆一下集成安全和内置安全的定义:集成安全 表示在某个网络设备(例如路由器、交换机或者无线接入点)上供应的安全功能;当流量经过某个网络设备时,网络设备必需对其进行肯定的扫描和分析,打算让其连续传输、隔离或者拒绝;这要求集成安全设备具有足够的智能、性能和可扩展性;内置安全 表示分布在网络基础设施的某些关键位置的安全功能园区和数据中心;内置、 集成的安全性必需防止网络受到来自外部和内部的威逼,保持均衡;-例如终
3、端用户工作站、远程分支机构、在对于拜访的需求和对于爱护的需求之间这意味着安全功能必需在网络任何地方内置和集成-从园区核心到网络终端,同时它仍必需对于用户和应用保持透亮;名师归纳总结 - - - - - - -第 1 页,共 12 页精选学习资料 - - - - - - - - - 我们的最终目标是部署一套可以共同创建一个智能化防卫网络的安全功能,这种网络可以在发生攻击时准时检测到反常情形,发出必要的警报,并可以在无须用户参加的情形下自动做出反应;实现集成的主要驱动因素本节将介绍促使人们使用集成、内置的网络安全性的主要驱动因素;不断增多的网络威逼网络正在日益成为攻击的目标和源头:实时信息爱护公司
4、Riptech 最近的一项调查说明,从 2001 年下半年到 2002 年上半年, 网络安全漏洞增加了 28%;FBI 在 2002 年发布的一份报告指出,在他们所调查的企业中,有85%的企业在过去12 个月中都曾检测到运算机安全漏洞;网络威逼可能来自于不行靠的外界攻击者或者牢靠的内部员工;FBI 在 2001 年的调查中发觉,91% 的受访者都报告存在内部用户滥用网络的情形;网络威逼可能来自于机构深处,或者来自于网络边缘;这意味着必需在网络的全部节点,而不仅仅是网络周边或者不行靠区域的入口 /出口实行安全措施;只有内置的、完全集成的安全才能供应这种普遍深化的防备;机构动力机构人员在安全策略、
5、部署和选购方面所肩负的职责已经发生了很大的变化;网络治理(NetOps )和安全治理( SecOps )团队不再以一种孤立的方式工作;NetOps 传统的部署模式是购买和组建网络基础设施,而SecOps 拥有的预算和资源相对较少,因而只能充当一个分散的、特别专业的团队;这两个团队扮演的是两种完全不同的角色-NetOps 的作用是供应访问,而 SecOps 的任务是限制拜访;名师归纳总结 - - - - - - -第 2 页,共 12 页精选学习资料 - - - - - - - - - 这导致了机构内部相互牵制;但是,随着威逼等级和人们对于保证新技术(例如无线和 IP 电话)的需求的不断提升,
6、SecOps 和 NetOps 已经开头更加亲密地绽开合作;此外,CxO 级别的治理层也开头越来越多地参加到安全战略和部署工作中,而高层治理人员的加入也促使 NetOps 和 SecOps 更加紧密地团结在一起;在思科于 2002 年 8 月对 400 名思科客户绽开的一项调查中,当被问及谁负责安全事务时,45%的受访者表示由 SecOps 和 NetOps 共同负责( 36%的受访者回答由 NetOps 负责, 7%回答 SecOps,2%就回答由应用管理团队负责) ;目前的趋势是 SecOps负责制定策略,而 NetOps 负责实施策略;机构内部的整合推动了对于集成、内置的安全的需求;假如
7、 SecOps 和 NetOps 联合部署安全,那么当安全解决方案是是一个集成化方案时,部署任务就会大大简化;整体运营成本安全部署是全部机构优先考虑的问题;但是由于目前的经济形势,企业的预算都很紧急;集成化安全可以供应最低的整体运营成本:向一个已经部署的网络设备添加安全服务意味着可以连续使用现有的机箱、电源、LAN/WAN卡和其他组件;假如网络设备本身是模块化的,可以供应可扩展的性能,那么运营成本仍可以进一步降低;现有的治理和监控系统可以治理新的安全服务;现有的支持合同可以涵盖,或者通过经济有效的扩展,涵盖新的安全功能;由于可以 连续使用 现有的系统作为安全平台,可以降低对人员进行培训的需求;
8、在将负载均衡部署为集成化安全解决方案的一部分时,机构可以降低服务器和安全系统(例如防火墙)的数量,从而削减在这方面的投资;不断扩大的规模本文已经介绍了网络范畴的不断扩大,这是规模问题的一个重要方面;今日的网络必需能够满意不断增加的用户、地点和服务的需要;它必需能够处理不断增多的流量,无论是数据、语音仍是视频;现在的网络包括有线和无线连接;如何在可能的情形下有效地治理这种环境是一个特别具有挑战性的问题;唯独的方法就是采纳一种集成化的方法; 例如,假如某个基于一个统一身份识别框架的集成化治理系统可以治理一个由集成化设备组成的网络,那么规模问题就会大大减轻;名师归纳总结 - - - - - - -第
9、 3 页,共 12 页精选学习资料 - - - - - - - - - 产品可用性在 2000 年到 2002 年之间,显现了从单一功能的网络和安全设备向多功能系统进展的重要趋势;网络设备(例如路由器和交换机)现在可以通过添加成熟的安全服务而供应增强的连接和网络服务;同时,单一功能的安全设备(例如防火墙和 VPN 集中器)可以受益于附加的安全服务,例如入侵检测;总而言之,可以供应集成化功能的产品的显现有助于推动,或者至少是满意市场对于集成的需求;解决方案集成最终,网络的全部组件都必需可以互操作,并能够作为一个统一的整体发挥作用;第一让我们考虑一下数据中心;它包含多个通过交换机和路由器连接到外界
10、环境的服务器;这些服务器必需获得爱护;路由器和交换机必需拥有它们自己的防备措施;此外,整个架构必需具有足够的可用性和可扩展性,并具有一个用于掌握它的集成化治理子系统;接着让我们考虑一下基于LAN 的无线部署; 许多安全威逼都是由这种日益流行的技术带来的;无线流量必需获得爱护,以防止被阻截;网络必需像防备无线威逼一样防范无线入侵者;此外,由于对企业缺乏明白而创建的无用接入点可能缺乏强大的爱护措施;只有集成化的网络安全方式才能爱护这种环境;有线等效加密(WEP)、思科轻型可扩展身份认证协议(LEAP )和 IPSec 可以供应更高级别的拜访掌握和加密,从而为无线接入点供应安全的通道;部署在接入点之
11、后的 VLAN可以将流量限制在适当的域之内;入侵爱护和防火墙功能可以在流量被解密之后供应爱护;思科的集成战略在整个网络中进行安全集成是思科的开发和市场战略的重要组成部分;思科的集成方案包括以下组件:在 Cisco IOS 软件中集成越来越多的安全功能;该软件掩盖了思科的全部平台-从远程办公人员和远程分支机构解决方案直至网络终端;在分散的安全设备和集成化的网络设备中供应安全功能,这些网络设备同时也可以供应LAN和WAN 连接;供应一个能够便利地部署集成、内置的安全性的治理和监控基础设施;供应一个可扩展、高度可用的安全框架;网络现在已经成为一个可以不停工作的重要业务工具;最终,为期望部署集成、内置
12、的安全的客户和机构供应一种部署模式;这就是 Cisco SAFE 进展计划的作用;Cisco IOS 中的集成化浪潮Cisco IOS 软件是一种掌握着思科全部路由器和交换机的增值软件;它具有范畴广泛的安全功能,而且这些功能仍在随着每个新版本的推出而不断增加;Cisco IOS 功能已经从最初的答应拒绝接入技术(例如拜访掌握列表( ACL )进展到支持多种 VPN 类型、入侵防范,先进的身份识别服务和防火墙功能;Cisco IOS 软件现在可以供应三层功能:强大的安全服务名师归纳总结 - - - - - - -第 4 页,共 12 页精选学习资料 - - - - - - - - - 全面的 I
13、P 服务,例如路由、服务质量(QoS)、组播和 IP 语音( VoIP)安全治理,爱护设备上的治理流量和 Cisco IOS 软件治理功能这三个层次的集成让 Cisco IOS 软件具有与众不同的特点;思科语音和视频增强 IPSec VPN ( V3PN )解决方案就是各种能够从 Cisco IOS 软件的集成性获得很大利益的解决方案的一个典型例子;这种解决方案可以利用 Cisco IOS 软件中新推出的低延时 QoS 功能,为加密的语音和视频流量供应值得信任的质量和弹性,并可以通过 IPSec 状态故障切换功能排除丢弃呼叫;集成化工具和网络设备安全工具是一种针对用途定制的安全系统,集成了一种
14、或者多种安全功能-例如,一个同时支持 VPN 或者入侵检测功能的防火墙;Cisco PIX 防火墙支持一种 VPN 模块插件,以及 VPN 和入侵检测系统(IDS)软件;集成化网络设备可以供应网络连接(LAN 、WAN 或者两者兼而有之)、IP 服务和安全服务-例如,同时可以供应防火墙功能的路由器;Cisco SOHO 90 和 831 路由器是思科新推出的、可以供应集成化安全和以太网、 ADSL 连接的远程分支机构解决方案;(如图 1 所示)图 1 Cisco 831 安全宽带路由器:2Mbps 硬件加速加密,增强的 QoS 功能、 VPN 和路由功能Cisco IOS 软件中的集成化功能的
15、另外一个例子是同时可以供应其次层和第三层交换和安全功能的智能化交换机; Cisco Catalyst 6500交换机现在可以支持入侵防范、防火墙、VPN 、安全套接字层(SSL )和其他安全模块;今日的机构可以在一个工具和一个集成化网络设备之间进行挑选;在打算时,必需考虑以下因素:预算 ;在现有的网络设备上部署安全功能可以供应最低的部署成本和最低的长期整体运营成本;此外,现有的治理基础设施可以连续用于治理附加的安全功能;简便性 ;单一功能或者专用的安全设备可能最便于部署和治理;顾名思义,多功能设备拥有多个需要配置和治理的组成部分,这可能会提高发生配置错误的可能性;相比之下,单一功能安全工具需要
16、设置的功能少得多;模块性 ;对于一个分支地点来说,可以通过单一平台供应安全性和连接性的集成化网络设备可能名师归纳总结 - - - - - - -第 5 页,共 12 页精选学习资料 - - - - - - - - - 是最抱负的挑选;但是对于头端或者更大规模的部署而言,更适于采纳一种模块化的方法;例如,Cisco Catalyst 6500 拥有一个敏捷、自适应、模块化的架构,因而可以适应将来的需要;机构掌握 ;SecOps可能需要一个只有该团队才能监控、设置和治理的平台,这可能会促使该团队挑选一个工具,而不是一个集成化的网络设备;相比之下,当 能会挑选一个集成化的网络设备,以便于部署;可扩展
17、、可用的网络NetOps 负责安全部署时,该团队可一个可扩展的网络可以随着需求的变化而不断进展;可用性确保了用户始终能够使用关键性的应用和服务,而不会显现服务中断的情形;从业务运营的角度来说,必需使用一个弹性的网络;今日的机构可以通过很多方法来供应可扩展、高度可用的基础设施:在多个交换机和服务器,甚至数据中心之间对网络流量和服务恳求进行负载均衡;这样做的好处包括能够满意流量高峰期的需要,降低支持某个特定流量负载所需要的网络设备的数量;负载均衡解决方案的例子包括用于 模块;Cisco Catalyst 6500 交换机、 Cisco CSS 11000 和 11500 内容交换机的状态故障切换有
18、助于在某个设备发生故障时供应备份,从而不会让与终端用户的连接发生任何明显的中断; Cisco IOS 路由器和 Cisco VPN 3000 集中器平台是可以供应状态故障切换功能的产品的典型例子;状态故障切换功能可以供应一种备份功能,但是可能会在故障切换时丢失连接;冗余; 冗余是指设备的备用品;因此, 在发生故障时,网络设备-或者多个冗余网络设备中的冗余模块可以接替这些发生故障的设备的工作;灾难复原;可以利用 Cisco GSS 4480 Global Site Selector 中供应的全球服务器负载均衡(GSLB )功能,进行多地点灾难复原;通过不断地监控 Cisco 服务器负载均衡工具的
19、负载和运行状况,如果某个主数据中心发生过载或者中断,用户可以被快速地路由到某个备用的数据中心;思科 SAFE 进展方案思科 SAFE 进展方案为安全部署供应了一系列指导方针;该进展方案可以为那些积极寻求部署集成、内置的安全的机构供应有用的步骤;思科 SAFE 进展方案白皮书是从一个独立于产品的角度撰写的,这意味着它们并没有特地建议用户将思科设备作为安全部署的基础;它们仍假定存在一个多样化的环境;思科现在已经发布了面对大型企业和中小型企业的思科SAFE 白皮书;有些特地的白皮书涵盖了VPN 、安全无线和安全IP 电话的部署;例如,思科为那些将网络分为多个模块(由于模块化方式有助于简化部署和节省预
20、算)的大型企业特地提供了一个进展方案; 依据这些模块, 思科 SAFE 进展方案建议了一个有助于确保牢靠网络安全的正确设计;名师归纳总结 企业互联网模块可以供应从园区核心到不行靠互联网域的拜访;为了供应全面的网络安全,网络可以采纳第 6 页,共 12 页- - - - - - -精选学习资料 - - - - - - - - - 由供应拜访掌握的安全路由器、扫描攻击特点的网络和主机入侵检测系统,和组成的重叠层;思科安全产品线VPN 隧道启动及端接设备本节将具体地介绍应当内置于网络中,并且集成到构成网络基础设施的产品中的五种核心网络安全技术;这些安全技术必需同时部署,形成相互重叠的安全措施,以实现
21、所谓的到威逼,网络并不会失去全部的爱护层;扩展的周边安全深度防备 ;假如某种防备方式受今日的防火墙所扮演的角色已经不再仅限于防止企业网络受到未经授权的外部拜访;防火墙仍可以防止未经授权的用户拜访企业网络中的某个特定的子网、工作组或者不再只表示牢靠的内部网络和不行靠的外部网络之间的边界,机构内部;思科供应了以下三个防火墙解决方案:Cisco PIX 500 系列防火墙可以通过一个便于安装、LAN ,爱护被称为 扩展周边 的边界;周边FBI 的统计说明, 70% 的安全问题都来自于高性能的集成化安全设备供应强大的安全功能;Cisco PIX 防火墙系列掩盖了整个安全工具领域,从用于远程办公人员和小
22、型机构的、注意成本的桌面防火墙,到用于要求最严格的大型企业和电信运营商环境的电信级千兆位防火墙;Cisco PIX防火墙可以最多供应多达 50 万个并发连接和将近 1.7Gb/s( Gbps)的总吞吐量 -同时供应世界级的安全、牢靠性和客户服务;Cisco IOS 软件可以供应强大的防火墙、入侵检测和 VPN 功能;这种集成化的安全解决方案让用户可以轻松地在整个网络中实施策略和在思科基础设施中利用机构以前的投资;安装在 Cisco Catalyst 6500 系列交换机或者 Cisco 7600 系列互联网路由器内部的防火墙服务模块让设备上的任何端口都可以充当防火墙端口,在网络基础设施内部集成
23、状态防火墙安全功能(如图2 所示);当机架空间较为不足时,这种模块化特性尤为重要;图 2 用于 Catalyst 6500的防火墙服务模块-每秒 10 万个连接和每个模块5Gbps 的吞吐量名师归纳总结 - - - - - - -第 7 页,共 12 页精选学习资料 - - - - - - - - - Cisco Catalyst 6500是那些需要智能服务 (例如防火墙服务、入侵检测和虚拟专用网)和多层 LAN 、WAN和 MAN 交换功能的客户的主要IP 服务交换机;由于它可以通过一个机箱供应高达20Gbps 的防火墙吞吐量,所以它仍是那些需要最高等级防火墙性能的客户的首选产品;入侵防范入
24、侵防范系统必需为发觉和阻挡未经授权的入侵、恶意的互联网蠕虫病毒,以及针对带宽和电子商务应用的攻击供应全面的安全解决方案;目前主要有两种入侵防范:网络防范,通过在流量经过各个网段时对其进行严格的检查,为各个网段供应安全性主机入侵检测,可以为网络中的主机和服务供应一种有效的防护思科入侵防范产品线包括以下组成部分:思科 IDS 检测器,它可以支持范畴最广泛的网络部署-从小型企业到需要高速、弹性的解决方案的大型企业和电信运营商环境;这种检测器采纳了先进的检测技术,包括状态模式识别、协议分段、启示式检测和反常检测,从而可以针对已知和未知的网络威逼供应全面的防护;用于 Catalyst 6500 系列的入
25、侵检测系统模块,适用于分布式部署和数据中心部署;它可以为阻挡未经授权的入侵、恶意的互联网蠕虫病毒,以及针对带宽和电子商务应用的攻击供应一个全面、深化的安全解决方案;思科 IDS 主机检测器可以利用一组行为规章和特点防范已知的和未知的攻击,而不是在攻击发生之后才发觉和报告它们,从而可以有效地保证服务器的安全;思科 IDS 主机检测器标准版代理可以在处理用户对于 Web 应用、 Web 服务器应用编程界面(API )和操作系统的恳求之前,对它们进行严格的评估,从而主动地爱护 Web 服务器应用的安全;它结合了操作系统和 Web 应用爱护,为防备已知和未知的攻击供应了一种独一无二的深度防备;安全连接
26、基于 Cisco PIX 防火墙的系统和基于 Cisco IOS 软件的系统都可以供应入侵防范功能;在流量经过未受爱护的域和网段时,必需对它们进行爱护;可以供应安全连接的两项主要的技术是:VPN ;VPN 可以供应网络层的安全连接;目前最主要的VPN 协议是 IPSec,它可以供应身份认证、加密和地址隐匿功能;它可以用于两地间安全连接和对总部连接的远程拜访;安全套接字层( SSL),它是一种由 Netscape 开发的协议,用于通过互联网传输私人文件;SSL 的工作方式是用一个公共密钥来加密通过 SSL 连接传输的数据;Netscape Navigator 和 Internet Explore
27、r 都支持 SSL,许多站点也利用该协议来猎取保密的用户信息,例如信号卡号码;依据惯例,需要 SSL 连接的 URL 会以 https 开头,而不是 http;SSL 可以在客户端和服务器之间建立安全连接,用户可以在这条连接上安全地传输大量的数据;互联网工程任务小组(IETF)已经将其批准为一项标准;名师归纳总结 - - - - - - -第 8 页,共 12 页精选学习资料 - - - - - - - - - 思科供应了范畴广泛的网络平台系列,它们都可以供应经集成了安全连接功能;LAN 和 WAN 连接;许多思科路由器和交换机已Cisco PIX 500 系列防火墙中也内置了 VPN 功能;
28、此外, 对于优先考虑可扩展性和治理的便利性的专用远程拜访 VPN 部署而言, Cisco VPN 3000 集中器可以扮演一个特别关键的角色;Cisco 7100 系列 VPN 路由器可以供应硬件加速的 VPN 吞吐量和先进的数据、语音和视频 VPN 网络;另外,思科仍可以通过 SSL 插件模块,在它的网络交换机上,以及多种专用的 SSL 设备和内容交换机上供应 SSL 卸载和端接功能;身份识别身份识别是安全基础设施的关键组成部分;基于身份识别的网络服务让系统可以依据各种参数(例如用户名、 IP 地址和 MAC 地址)识别用户的身份,进而为其供应特定的拜访权限-例如对网络的特定部分、特定应用或
29、者特定网络服务的拜访;身份识别方面的重要趋势包括拜访权限的精确度的不断提高和动态、主动地安排拜访权限的才能;关于身份识别,有两个特别重要的组成部分;第一是制定身份识别策略;其次是实施策略;在思科的身份识别服务中, 策略定义功能是由拜访控降服务器执行的,它可以与一个基于服务器的用户目录进行互动(通过 LDAP );而身份识别的策略实施功能由交换机、路由器或者其他网络设备执行;全部策略和实施的集成让思科的身份识别服务具有与众不同的特点;例如, 思科的交换机和无线接入点可以与思科拜访控降服务器(ACS )合作,精确、动态地供应基于端口的安全;一个通过思科交换机或者接入点连接到网络的用户可以利用 80
30、2.1x 进行身份认证; 思科对于 802.1x 协议的扩展特别重要;用户可以被纳入某个特定的 VLAN ,并安排特定的拜访权限;通过 802.1x ,即使用户在整个网络中四处移动,从一个物理地点转移到另外一个,安全策略也会随着他一同移动;无论用户身在何处,用户都可以获得统一的安全策略和拜访权限;名师归纳总结 - - - - - - -第 9 页,共 12 页精选学习资料 - - - - - - - - - Cisco ACS加强了 802.1x 的部署, 为从基于 Web 的图形化界面对全部用户进行身份认证、授权和记帐提供了一个集中的命令和掌握平台;它仍可以将这些掌握分发到网络中的数百个或者
31、数千个拜访网关;利用Cisco ACS ,机构可以通过 IEEE 802.1x 拜访掌握协议, 治理用户对于 Cisco IOS 路由器、 VPN 、防火墙、拨号和宽带 DSL 、有线电缆接入解决方案、IP 语音( VoIP )、思科无线解决方案和 Cisco Catalyst 交换机的拜访权限;另外,机构仍可以利用相同的 Cisco ACS 拜访框架,掌握全部支持 TACACS+ 的网络设备的治理员权限和配置;安全监控和治理只有在网络具有集成化的策略、治理和监控系统的情形下,集成化的安全基础设施才能真正地发挥作用;治理子系统需要具有四项功能:它必需供应对网络中单个设备和系统的组件治理;它必需
32、支持策略的制定和掌握,即所谓的 智能规章 概念;它必需供应对网络,以及网络中发生的任何安全大事的主动监控;它必需供应能够支持网络安全的长期设计和结构改进的分析功能;CiscoWorks VPN/ 安全管懂得决方案 ( VMS )供应了全部这四项功能,并将其作为一个单一集成化产品的组成部分; CiscoWorks MS 结合了各种用于配置、监控和诊断基于 Cisco IOS 软件的 VPN 、思科防火墙、网络与主机入侵检测系统的 Web 工具;治理基础设施和它的全部连接都必需得到爱护,并且必需通过集中式的、基于职责的拜访掌握功能,严格地掌握治理权限;思科在从一个集中地点爱护组件、基础设施、权益和
33、权限方面具有特殊的优势;治理框架必需可扩展;这种功能是通过自动升级服务器(AUS )供应的,它也是 CiscoWorks VMS 的组成部分;它让设备,甚至远程或者动态寻址的设备,可以定期地 致电 到某个升级服务器,并 猎取 Cisco PIX 防火墙软件的最新安全配置;假如没有这种自动升级功能,用户就必需手动升级全部远程设备;除了更加便利、更加快速的策略升级以外,自动升级服务器仍可以供应统一的策略部署;名师归纳总结 - - - - - - -第 10 页,共 12 页精选学习资料 - - - - - - - - - 思科始终致力于拓展它的安全功能;CiscoWorks主机托管解决方案引擎(H
34、SE )是一个综合的、基于硬件的解决方案, 用于思科所支持数据中心中的电子商务系统;它可以供应关于网络基础设施和第四到第七层服务的最新故障和性能信息,从而节省日常业务所需的时间和资源;它仍可以为不同机构的服务器治理人员供应层次化的用户权限,以便将特定的服务器加入服务或者从服务中抽出;它仍可以供应第四到第七层托管服务的配置信息;对于 IT 部门, CiscoWorks HSE 可以实现集中的网络和服务治理,并由各个业务部门自行进行应用治理;它可以便利地与现有上层 NMS/OSS 集成, 同时可以将可治理性拓展到电子商务系统;示例 -实际工作中的集成本文介绍了对于集成的需求和怎样将安全内置到网络中
35、;本节将介绍一些特定的例子,以说明怎样部署集成化安全;这些例子介绍了一些只有集成化解决方案才能供应有效计策的安全威逼;保证基于 Web 的应用的安全 -基于 Web 的应用的部署速度正在快速加快;但是怎样爱护这些应用所涉及的交易、用户和服务器?对应用流量进行 来很高的 CPU 占用率;网络仍需要检测可能有害的SSL 加密是第一步;但是这种方式会给服务器带 SSL 负载;一个集成安全解决方案可以:o 某个内容服务器分担 SSL 解密任务,例如 Cisco CSS 11500 内容服务交换机或者用于 Cisco Catalyst 6500 系列的内容交换模块(CSM )o 经过解密的流量可以利用
36、IDS 爱护后端服务器o 任务分担功能仍可以通过第四到第七层负载均衡实现优化,包括全球服务器负载均衡( GSLB )解决方案,例如由 Cisco CSS 4480 供应的方案防范未经授权的拜访-802.1x 是一种基于客户端服务器端的掌握和身份认证协议;它可以阻挡未经授权的设备通过公共端口连接到某个 LAN ;每个连接到交换机端口的用户设备在拜访任何服务之间都必需进行身份认证;在认证之后,RADIUS 会向交换机发送一个针对某个特定用户的VLAN 安排命令;该交换机随后可以将附加端口安排给指定的 VLAN ;总而言之,经过身份认证的 802.1x 端口会依据连接到该端口的用户的用户名,安排到某
37、个 VLAN ;例如,RADIUS 服务器、交换机和 802.1x 客户端必需可以互操作,以供应强大的安全性;保证从分支机构到总部的连接 案:-思科可以为全部价格性能容量需求供应集成化的拜访解决方在远程机构,一个基于 Cisco IOS 软件的解决方案(例如 Cisco 830 或者 SOHO 90 系列路由器)可以将安全性、 VPN 和 IP 服务整合到一起;基于设备的解决方案(例如 Cisco PIX 506 防火墙)就可以结合防火墙、 VPN 和入侵检测功能;名师归纳总结 - - - - - - -第 11 页,共 12 页精选学习资料 - - - - - - - - - 对于分支机构,
38、Cisco 2600 、 3600 和 3700 系列路由器现在可以配备能够供应DES 、 3DES 、AES 和硬件压缩功能的下一代 VPN 模块;这可以将 VPN 的吞吐量提高 5 到 10 倍,同时将 CPU 的占用率降低一半;由于这些模块安装在路由器的 AIM 主板上,所以路由器为语音、WAN 和 LAN 接口供应了开放的插槽;结论本白皮书具体地分析了市场对于集成、内置的安全的需求;总而言之,只有一个集成、内置的解决方案才可以爱护目前获得广泛部署、范畴广泛、开放、复杂的网络;本文仍介绍了您的机构为了爱护网络所需的关键性网络安全技术的多个重叠层;最终,本文介绍了思科的集成化网络安全解决方案;思科始终是许多机构建设网络基础设施的积极合作伙伴;思科所供应的集成、内置的安全可以防止他们免受当前和未来的网络安全威逼;名师归纳总结 - - - - - - -第 12 页,共 12 页