最新Cisco网络集成解决方案.doc

《最新Cisco网络集成解决方案.doc》由会员分享，可在线阅读，更多相关《最新Cisco网络集成解决方案.doc（207页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-dateCisco网络集成解决方案Cisco网络集成解决方案网络解决方案目录一、总述3二、网络拓扑分析4三、VPN解决方案介绍53.1 基于IPSec的远程接入73.2 WebVPN83.3 站点到站点93.4 应用滥用和访问控制113.5 总结13四、安全服务模块(CSC-SSM)144.1 产品概述144.2 主要特性和优势15五、思科安全MARS165.1 概述165.

2、2 思科安全MARS的主要特性和优势18六、网络准入控制(NAC)226.1 概述226.2 NAC的优势22七、产品介绍287.1 Cisco ASA 5500系列简介287.1.1 概述287.1.2 产品特点297.2 Catalyst 6500系列交换机317.2.1 概述317.2.2 Cisco Catalyst 6500系列的优点327.3 Supervisor Engine 720介绍357.3.1 概述357.3.2 Cisco Supervisor Engine 720的特性397.4 Cisco Catalyst 2960系列交换机427.4.1 产品概述427.4.2

3、特性和优点47一、总述本次网络方案采用CISCO全系列产品，包括防火墙、核心交换和网络接入设备，同时使用思科管理软件和安全准入控制，并且提供VPN的接入。方案中从硬件介绍入手，并根据实际情况分析不同的解决方案，以便满足用户的需求。在整个方案规划实施过程中我们严格遵循以下原则，从全局考虑保证用户投资。实用性应当从实际情况出发，使之达到使用方便且能发挥效益的目的。采用成熟的技术和产品来建设该系统。要能将新系统与已有的系统兼容，保持资源的连续性和可用性。系统是安全的，可靠的。使用相当方便，不需要太多的培训即可容易的使用和维护。 先进性 采用当前国际先进成熟的主流技术，采用业界相关国际标准。设备选型要

4、是先进和系列化的，系统应是可扩充的。便于进行升级换代。利用当前的设备可以为以后的发展打下良好的扩充基础。安全性 采用各种有效的安全措施，保证网络系统和服务器的安全运行。安全包括4个层面网络安全，操作系统安全，数据库安全，应用系统安全。由于Internet的开放性，世界各地的Internet用户，包括黑客，病毒，间谍软件都可能访问到内部网络。可扩充性 利用已有的资源，通过良好的技术标准与产品架构，可以很容易的升级到更高层次，而不需要很高的投资。 可管理性 选用易于操作和维护的网络操作系统，大大减轻网络运营时的管理和维护负担。采用智能化网络管理，最大程度地降低网络的运行成本和维护。 高性能价格比

5、结合日益进步的科技新技术和环境保护局的具体情况，制定合乎经济效益的解决方案，在满足需求的基础上，充分保障劳动局的经济效益。坚持经济性原则，在不降低需求的同时力争用最少的钱办更多的事，以获得最大的效益。二、网络拓扑分析网络整体结构并不复杂，通过简单的部署达到安全高效的目的。网络拓扑如下所示：网络主干采用全千兆连接（图中的红线标示），2台Cisco Catalyst 6500在网络核心提供冗余，然后千兆到接入交换机，最后百兆到桌面。在网络出口使用Cisco ASA 5540加Cisco ASA 5500系列内容安全和控制安全服务模块(CSC-SSM)在互联网边缘提供了业界领先的威胁防御和内容控制，

6、是由业界领先公司提供的、全面、易于管理的解决方案，包括了防病毒、防间谍软件、文件阻挡、防垃圾邮件、防泄密、URL阻挡和过滤，以及内容过滤等功能。CSC-SSM增强了Cisco ASA 5500系列的强大安全功能，使客户能更好地保护和控制企业通信的内容。三、VPN解决方案介绍思科ASA 5500系列自适应安全设备是结合了一流安全性与VPN服务的专用平台，面向中小型企业（SMB）应用。ASA 5500系列提供基于防火墙、入侵防御系统（IPS）和网络反病毒功能的自适应威胁防御解决方案，它可以与这些服务一起使用，或者作为专门功能的VPN平台独立使用。在VPN服务方面，思科ASA 5500系列采用灵活的

7、技术，能够提供量身定做的解决方案，满足远程接入和站点到站点的连接要求。思科ASA 5500系列能够提供易于管理的IP安全（IPSec）和基于VPN的安全套接层（SSL）远程接入，以及网络感知的站点到站点VPN连接，使企业能在公共网络上建立到移动用户、远程站点、业务合作伙伴的安全连接。借助ASA 5500系列，企业能够享受到互联网的连接和成本优势，而不会影响到企业安全策略的完整性。通过将VPN服务与全面的威胁缓解服务相结合，ASA 5500系列能够提供安全的VPN连接和通信。集成的自适应威胁防御功能可以提供统一的防御，帮助确保VPN部署不会成为蠕虫、病毒、恶意软件或黑客攻击等网络攻击的渠道。此外

8、，还可以对VPN流量实施详细的应用和访问控制策略，使个人和用户组能够访问他们获得授权的应用、网络服务和资源（图1）。图1. 适用于所有部署方案的VPN服务：带有威胁防御的强大IPSec和SSL VPN服务远程接入思科ASA 5500系列提供完整的远程接入VPN解决方案，支持大量连接方式，包括WebVPN（SSL VPN）、思科VPN客户端（IPSec VPN），以及Nokia Symbian移动无线与PDA客户端的连接。利用思科在远程接入领域的专业技术，企业能够部署单个集成平台，该平台广泛支持各种核心企业应用，并具备易管理性和部署灵活性。用户可从支持SSL的Web浏览器或VPN客户端建立安全的

9、远程连接，从而实现最大的灵活性和应用访问，而无需部署和管理单独的设备。借助思科ASA 5500系列安全设备，企业可为每类用户选择最合适的技术（IPSec或SSL VPN），而无需部署并行解决方案。这样就消除了为SSL和IPSec VPN分别部署不同的平台所导致的低效率和额外成本。3.1 基于IPSec的远程接入使用IPSec来提供远程接入，用户可以获得最稳健的可定制连接。通过IPSec，用户可以访问任何应用，如同他们实际连接到总部局域网一样。基于思科IPSec的远程接入具有高度的可定制性，它提供API，管理员可向其中写入执行例程和其它定制程序。思科ASA 5500系列提供了思科系统公司功能最丰

10、富的基于IPSec的远程接入。在IPSec部署方面，ASA 5500系列利用了思科VPN 3000系列集中器的特性和功能，能够提供几乎相同的功能，却具有更高的每用户吞吐量。此外，ASA 5500系列还与现有的VPN 3000系列集中器集群无缝整合，使两种平台都能为相同的用户群服务。思科ASA 5500系列支持创新的思科Easy VPN远程接入功能，这些功能在其它思科安全解决方案中也能找到，如思科PIX安全设备、思科IOS路由器和思科VPN 3000系列集中器。思科Easy VPN提供了可扩展、经济高效、易于管理的独特远程接入VPN架构，能够消除传统VPN解决方案通常需要的远程设备配置维护的运营

11、成本。思科ASA 5500系列设备能够动态地将最新的VPN安全策略推送到远程VPN设备和客户端，帮助确保这些远程端点在连接建立之前就拥有最新策略，从而提供最佳的灵活性、可扩展性和易用性。思科ASA 5500系列安全设备支持VPN客户端的安全状况检查。当客户端试图连接VPN时，它会进行安全检查，包括企业规定的主机安全产品（例如思科安全代理或个人防火墙软件）的使用、版本号和状态，然后才允许远程用户接入企业网络。根据客户端类型、安装的操作系统和思科VPN客户端软件版本，它可以禁止思科VPN客户端连接到网络。这样可以防止不符合安全策略的VPN客户端接入企业网络。ASA 5500能为思科VPN客户端和思

12、科VPN3002硬件客户端进行自动软件更新，还能在建立VPN连接时启动更新，或者根据目前连接的VPN客户端的请求启动更新。这为远程用户提供了一种轻松更新客户端软件的方式。可以使用RADIUS或TACACS+，根据设备上的内部用户数据库或者通过外部源，对远程接入用户进行验证。由于本地集成了很多常用的验证服务，包括Microsoft Active Directory、Microsoft Windows Domains、Kerberos、轻量级目录访问协议（LDAP）和RSA SecurID，因而它无需单独的RADIUS/TACACS+服务器作为中介，就能进行用户验证。3.2 WebVPN思科ASA

13、 5500系列提供了核心SSL VPN功能，用于无客户端的部署，如外联网接入和未管理桌面。思科VPN 3000系列集中器仍是思科功能最丰富的SSL VPN解决方案。只需使用Web浏览器和本地SSL加密，SSL VPN就能提供从几乎任何拥有互联网的地点的远程资源访问而无需预安装的VPN客户端软件。思科ASA 5500系列可以支持WebVPN，从而提供对广泛的企业应用的轻松访问，包括Web资源、支持Web的应用、NT/Active Directory文件共享（支持Web）、电子邮件和其它基于TCP的应用（如Telnet或Windows Terminal Services），用户可从任何连接到互联网

14、并能到达HTTP互联网站点的计算机访问这些应用。WebVPN使用SSL以及后来的传输层安全（TLS）来提供远程用户与中央站点支持的特定内部资源之间的安全连接。使用WebVPN来提供安全连接，可以实现从几乎所有系统的访问，而无需安装额外的桌面软件。33 站点到站点利用思科ASA 5500系列安全设备提供的网络感知的IPSec站点到站点VPN功能，企业能够通过低成本的互联网连接，安全地将其网络延伸到全球的业务合作伙伴和远程与小型分支机构。ASA 5500系列是思科功能最丰富的基于设备的站点到站点VPN解决方案。凭借无可比拟的网络功能集成，思科IOS路由器能够提供业界最先进、最灵活的站点到站点VPN

15、连接。分支机构和远程办事处将企业的触角延伸到关键的市场和位置。基于思科ASA 5500系列的VPN解决方案能够实现多个地点之间的高速安全通信，提供企业通信所需的性能、可靠性和可用性。可以使用从数字证书到共享私密等多种方法，对VPN连接进行验证。思科ASA 5500系列安全设备为当前的应用提供了一种VPN基础设施，能够在安全的IPSec网络上传输融合的语音、视频和数据。强大的站点到站点VPN服务，结合丰富的检验功能和服务质量（QoS）功能，使企业能够利用融合网络提供的诸多好处。使用思科ASA 5500系列设备，将VPN与QoS功能和丰富的检验功能相结合，企业能够安全地将语音和多媒体服务扩展到远程

16、办事处环境，从而利用融合网络提供的众多好处，包括提高生产力、降低运营成本和增强竞争力。延迟、抖动和信息包丢失都会导致语音和视频质量下降。思科ASA 5500系列具有低延迟排队（LLQ）和流量警管功能，能够支持具有严格QoS要求的应用（如语音和数据），帮助确保端到端的网络QoS策略。延迟敏感的流量的优先级可以排列在文件传输和其它延迟容忍度更高的流量之前。排队性能可以通过一系列配置参数进行优化。在VPN上部署语音和视频时，必须全状态地检验通过网络的所有多业务流量，这一点十分关键。思科ASA 5500系列安全设备能够为多种VoIP和其它多媒体标准提供市场领先的保护。它支持的VoIP和多媒体标准包括：

17、H.323第4版、会话发起协议（SIP）、思科小型客户端控制协议（SCCP）、实时流协议（RTSP）和媒体网关控制协议（MGCP），这有助于企业安全地部署多种现有和下一代的VoIP和多媒体应用。思科ASA 5500系列还提供网络拓扑的感知，以实现易配置性和弹性。ASA 5500系列支持VPN隧道上的开放最短路径优先（OSPF）路由，因而能够了解网络可达性，以确保高效的数据流。此外，子网自动发现功能可以识别每个VPN网关后的全部主机，从而简化配置。思科ASA 5500广泛支持各种X.509数字证书，包括用于具有多层认证中心等级的环境的n层证书链、使用简单认证登记协议（SCEP）的简易自动证书登记

18、、用于认证机关离线时部署的手动登记。它支持的RSA证书密钥大小可达到4096比特，而基于数字签名算法（DSA）的X.509证书密钥大小最高可达1024比特。思科ASA 5500系列还支持思科IOS软件认证中心的在线登记。轻量级的X.509认证中心能够简化支持公钥基础架构（PKI）的站点到站点VPN的推出。VPN连接的威胁缓解威胁缓解：蠕虫、病毒、间谍软件、广告软件、木马、拒绝服务蠕虫、病毒、嵌入应用程序的攻击和应用滥用被视为当今网络中最严峻的安全挑战。由于VPN目前的设计方式，远程接入和远程办事处VPN连接是这类攻击的常见入口。人们部署的VPN通常没有在总部位置的隧道终端点实施适当的检测和威胁

19、缓解，从而使得来自远程办事处或用户的恶意软件渗透到网络中，并广泛传播。借助思科ASA 5500系列，用户可以设计适当的检测和威胁缓解，作为VPN解决方案的组成部分，而不会产生任何额外成本，也不会加大设计、部署和运营复杂性。凭借ASA 5500系列的融合威胁缓解功能，客户可以检测到恶意软件，并在其进入网络内部并传播之前进行拦截。对于应用嵌入式攻击，如通过文件共享对等网络传播的间谍软件或广告软件，ASA 5500系列能够深入检验应用流量，识别危险的有效载荷，并在其到达目标并造成破坏之前丢弃它的内容。思科ASA 5500系列安全设备的应用层检验功能可以保护VPN部署，防御拒绝服务（DoS）攻击，例如

20、SYN泛滥、互联网控制信息协议（ICMP）泛滥、Teardrop、端口扫描、Ping of Death和其它许多常见的攻击。3.4 应用滥用和访问控制正确的VPN安全设计不只是防御威胁，还要控制哪些类型的VPN流量能够使用网络资源和带宽，并且控制对网络资源的访问。以HTTP端口80为例。端口80最初是为Web流量设计的，目前用于即时消息、对等程序（如Kazaa）和其它应用。思科ASA 5500系列能够识别、检验和控制端口80应用的所有方面。它能够完全拦截某些流量或文件类型，或者具体地限制某些行为，例如在即时消息应用中传输文件。应用感知的检验引擎提供了丰富的状态检测服务，能够跟踪所有授权网络通信

21、的状态，防止非法的网络接入。这些集成功能为当今不断变化的网络环境构建了强大的多层防御。对VPN流量实施详细的安全策略，以便用户个人和群组能够访问他们有权访问的服务和资源。全部VPN流量都经过解密和检验，以确保只有适当的内容才允许通过设备。这就使网络管理员能够定义远程办事处和员工的安全和连接策略。该策略可以提供无与伦比的安全性，并保持可访问的网络环境。思科ASA 5500系列安全设备提供了一种实现安全性的完整方法，使企业能够享受到互联网的连接和成本优势，而不会影响企业安全策略的完整性。（图2）图2. 思科ASA 5500系列融合了威胁缓解和VPN功能，以提供安全的VPN连接弹性思科ASA 550

22、0系列安全设备支持大量弹性功能，有助于确保VPN部署的最高可靠性和稳健性。弹性集群功能可在所有思科ASA 5500系列和VPN 3000系列设备上平均分配VPN会话，从而使远程接入部署能够经济高效地扩展。集群提供了集成负载平衡，能够帮助用户确保远程接入连接的分配，而无需任何用户干预，也无需安装外部负载分配器。不同型号的思科ASA 5500系列安全设备和VPN 3000系列集中器能够在一个集群中共存，负载则根据每台设备的容量分配。这种具有高度弹性的功能消除了单点故障，并使用户能根据企业需求量身定做解决方案，从而帮助他们保护客户的投资。VPN状态故障切换能够最大化VPN连接的正常运行时间，以确保网

23、络中的弹性和冗余。凭借思科ASA 5500系列安全设备的状态故障切换功能，所有VPN安全连接状态信息和会话密钥材料都能在故障切换对成员之间自动同步，从而提供具有高弹性的VPN解决方案。被配置为故障切换对的设备能够连续同步它们的连接状态和设备配置数据。同步也可以在高速LAN连接上进行，通过地域分离的故障切换对提供另一个保护层。在发生系统或网络故障的情况下，网络会话自动从活动设备转移到备用设备，并对用户具有完全的透明度。OSPF动态路由服务支持VPN隧道上的邻居，为VPN连接网络提供更高的网络可靠性。它能在几秒之内检测到网络中断，以便流量绕开故障点进行路由。思科ASA 5500系列也支持反向路由注

24、入（RRI），能够提高网络性能和可靠性。集成管理集成的思科自适应安全设备管理器提供了基于Web的世界级管理界面，能够显著简化单个思科ASA 5500系列安全设备的部署、长期配置和监控，而无需在管理员的计算机上安装任何软件（除标准Web浏览器和Java插件以外）。VPN和智能设置向导能够轻松集成到任何网络环境中，而包括控制板和实时系统日志浏览器在内的信息监控功能则能提供对重要的设备/网络健康状态和事件监控的浏览。集成的Web管理提供了一个简单易用的界面，用于配置和监控所有VPN业务，从而能够在IPSec和SSL VPN用户环境中进行轻松管理。通过基于角色的管理，管理员能够为每个远程接入用户/组配

25、置所有的访问控制、安全策略和验证方法。此外，思科ASA 5500系列安全设备提供了多达16个级别的可定制管理角色，这样企业就可以授予管理员和操作人员访问每台设备的相应级别的权限（例如，只能进行VPN服务配置、只能进行防火墙服务配置、只能进行监控，或配置的只读访问）。思科自适应安全设备管理器还提供对所有威胁缓解功能的完全管理，只需使用一个控制台，即可配置和保护VPN连接的所有方面。3.5 总结思科ASA 5500系列提供了一个灵活的全功能平台，用于VPN部署。可从支持SSL的Web浏览器或VPN客户端建立安全的远程接入会话，从而实现最大的灵活性和应用接入。强大的站点到站点VPN服务、丰富的检验功

26、能以及QoS功能为当前应用提供了一个VPN基础架构，能够在安全IPSec网络上传输融合的语音、视频和数据。借助思科ASA 5500系列，用户可以设计适当的检测和威胁缓解，作为VPN解决方案的组成部分，而不会产生任何额外的成本，也不会加大设计、部署和运营复杂性。管理员可以定义一个网络策略，以提供无与伦比的安全性，并维持可访问的网络环境。通过利用思科丰富的VPN专业知识，企业能够部署一个支持广泛的核心企业应用、具有易管理性和部署灵活性的集成平台。四、安全服务模块(CSC-SSM)(以后扩展)Cisco ASA 5500系列内容安全和控制安全服务模块(CSC-SSM)结合了全面的恶意软件防御以及Ci

27、sco ASA系列多功能安全设备先进的流量和消息策略符合性。因此可为客户提供一个强大的解决方案，有力地保护和控制企业网络通信，终止病毒、蠕虫、间谍软件、垃圾邮件和泄密等网络威胁，拦截不受欢迎的访客和Web内容，且与部署和管理多个单点解决方案相比，降低了运营成本和复杂度。4.1 产品概述Cisco ASA 5500系列内容安全和控制安全服务模块(CSC-SSM)在互联网边缘提供了业界领先的威胁防御和内容控制，是由业界领先公司提供的、全面、易于管理的解决方案，包括了防病毒、防间谍软件、文件阻挡、防垃圾邮件、防泄密、URL阻挡和过滤，以及内容过滤等功能。CSC-SSM增强了Cisco ASA 550

28、0系列的强大安全功能，使客户能更好地保护和控制企业通信的内容。该服务模块在思科屡获大奖的Cisco ASA 5500系列设备的功能及部署的基础上，提供了更高灵活性和更多选择。Cisco ASA 5500 系列 CSC-SSM 可通过以下特性，帮助企业更有效地保护网络、提高网络可用性和员工生产率： 全面恶意软件保护-包含Trend Micro开发的屡获大奖的防病毒和防间谍软件技术。CSC-SSM几乎可以防止所有已知恶意代码进入网络和在网络中传播，因而能避免关键业务应用和服务遭到破坏，保证关键系统和员工能够正常工作，并减少成本高昂的感染后的清除工作。 高级内容过滤-将URL过滤、内容过滤和防泄露技

29、术集成在一起，防止企业和员工盗窃保密信息，并减少因内容违反了网络使用规定而需要承担的法律责任。该模块可以帮助企业遵守网络内容法规，例如医疗保险便携与责任法案（HIPAA）、Sarbanes-Oxley（SOX）和数据保护法案。 集成信息安全-集成了防垃圾邮件技术，可以在垃圾电子邮件进入邮件服务器之前就删除其中的绝大部分，不但能提高员工的生产率，还能防止浪费宝贵的网络带宽和存储资源。 定制和调试功能-使管理员能够对垃圾邮件和内容功能实施定制控制，以满足特殊公司策略或网络环境的要求。 易于管理和自动更新功能-为简化初始配置、部署和持续运行，该产品提供智能缺省设置以及与自适应安全设备管理器（ASDM

30、）集成的直观界面。由于所有CSC-SSM组件都能自动更新，包括扫描引擎和模式文件，因此，只需少量管理投入就能使网络免受最新威胁的入侵。 4.2 主要特性和优势CSC-SSM提供了丰富的安全和控制功能，其中部分如表1所示。表1 CSC-SSM的特性和优势特性优势防病毒屡获大奖的防病毒技术可在您的基础设施中最有效的防御点互联网网关处防止内部网络资源遭受病毒攻击的影响。在周边清洁电子邮件和互联网流量有助于确保业务连续性，避免了耗费大量资源的对恶意软件感染进行清除的工作。防间谍软件阻挡间谍软件随同互联网Web和电子邮件流量进入网络。不必再将IT支持资源用于成本高昂的间谍软件删除工作，并可通过在网关阻挡

31、间谍软件而提高员工生产率。防垃圾邮件有效阻挡垃圾邮件，且误报率极低，有助于保持电子邮件通信的高效性使得与客户、厂商和合作伙伴的联系不受干扰。防泄密防止伪装身份，并对泄密攻击进行根源查找，因此可防止通常会导致经济损失的、员工无意中泄漏公司或个人信息的现象。从 TrendLabs自动更新获得业界最庞大的防病毒、间谍软件和垃圾邮件专家团队之一的支持，全天候工作以确保您的解决方案可自动提供最新防御功能。集中管理通过一个可远程访问的Web控制台和自动更新功能，实现“即设即忘”式管理，缩短部署时间、减少投入和重复性的IT支持成本。为Web访问、邮件和文件传输提供实时保护即使已对公司电子邮件进行了保护，但许

32、多员工仍会通过公司PC或笔记本电脑访问他们的私人邮箱，从而为互联网炸弹威胁带来了另一个入点。员工也有可能直接下载被感染的程序或文件。在互联网网关对所有Web流量进行的实时保护可大大减少这一常被忽略的安全易损点。利用类别、排程和缓存提供的全面URL过滤功能URL过滤可有效阻拦员工访问不适当的或与工作无关的Web站点，从而控制员工对于互联网的使用，籍此提高员工的生产率，并减少因访问了不应访问的Web内容而承担法律责任的机会。电子邮件内容过滤电子邮件过滤减少了因收到通过电子邮件传输的攻击信息而承担法律责任的机会，且有助于符合法律法规，可帮助机构达到Graham Leach Bliley 和数据保护法

33、案等的要求。五、思科安全MARS5.1 概述思科安全监控、分析和响应系统（思科安全MARS）是一款基于设备的全功能解决方案，可提供针对您现有安全部署的、前所未有的了解和控制能力。思科安全MARS是思科安全管理生命周期的一个关键组件，可帮助您的安全和网络机构识别、管理和抵御安全威胁。它可充分利用您现有的网络和安全投资，来识别、隔离被攻击的组件和建议对其精确删除的方式。它也有助于保持内部策略符合性，可作为整体法规符合性解决方案工具中一个不可缺少的部件。安全和网络管理员所面临的问题有： 安全和网络信息过载 性能不佳的攻击和故障识别、优先级划分和响应 更高攻击先进程度、速度和修复成本 满足法规符合性和

34、审查要求 较少的安全人员和预算 思科安全MARS可通过以下功能满足其需要： 集成网络智能，进行网络异常事件和安全事件的先进关联 察看校正后的事件并自动执行调查 通过全面充分利用网络和安全基础设施来防御攻击 监控系统、网络和安全运行来帮助企业达到法规符合性 以最低TCO提供一个易于部署和使用的、可扩展的设备 思科安全MARS可将原始网络和安全数据转化为可操作的智能特性，以提交正确有效的安全事件并保持法规符合性。这一易于使用的威胁防御设备系列可利用已部署在您的基础设施中的网络和安全设备，使操作员可集中、检测、防御和报告重要威胁。深度防御问题信息安全已从互联网、周边防护发展为深度防御模式，在基础设施

35、中部署了多项措施来抵御安全漏洞和攻击。鉴于攻击频率日益增加、攻击复杂度各不相同，以及攻击非常迅速，网络内部和周边间的界线逐渐模糊，因此这些措施是非常必要的。为试图利用漏洞发动攻击，每天攻击者都会对网络接入点和系统进行数千次探测。先进的混合攻击使用多种欺骗式攻击方法，以便从机构内外获得未授权系统访问和控制。蠕虫、零日攻击、病毒、特洛伊木马、间谍软件和攻击工具的普及可对最为坚固的基础设施构成挑战导致防御作用时间缩短、出现停运和昂贵的修复措施。除服务器和网络设备数量较多外，每个安全组件都提供独立的事件记录和报警功能，以用于异常流量检测、威胁响应和分析。不幸的是，这就生成了大量的干扰、报警、日志文件和

36、误报，需操作员辨别或高效利用它们但这样的前提是有足够的时间和资源来分析和了解这些信息。此外，法规也要求严格数据保密、更高运营安全性和进行持续审查。先进的安全信息管理安全信息/事件管理（SIM）产品从逻辑上看来避免了这一问题因为您无法对您不能测量出的信息加以管理。SIM使操作员拥有了集中操作的能力：汇总安全事件和记录，通过有限关联和查询技术来分析数据，并针对独立事件生成报警和报告。但是，许多第一代和第二代SIM不具备足够的网络智能和性能属性，无法更精确地识别和确认关联事件、更好地指出攻击路径、有效地消除威胁或应对高事件负荷。思科系统公司通过一个可扩展的企业威胁防御设备系列，解决了这些安全问题，弥

37、补了管理的不足。思科安全MARS提供了一个易于部署和使用、经济有效、性能出众的安全命令和控制解决方案，对您的网络和安全基础设施投资构成补充。思科安全MARS是一个性能出众的可扩展威胁防御设备系列，通过结合网络智能、ContextCorrelationTM、SureVectorTM分析和AutoMitigateTM功能，来使公司能作好准备，识别、管理和消除网络攻击并保持法规符合性，从而增强已部署的网络设备和安全措施。5.2 思科安全MARS的主要特性和优势网络智能事件汇总和性能处理思科安全MARS了解路由器、交换机和防火墙的拓扑和设备配置，以及网络流量配置，实现了网络智能。通过该系统的集成网络发

38、现功能，可构建一个包括设备配置和当前安全策略的拓扑图，使思科安全MARS能对您网络中的分组流建模。因为此设备不在内部运行，极少使用现有软件代理，所以对网络或系统性能的影响极小。这一设备集中汇总了来自各种常用网络设备（如路由器和交换机）、安全设备和应用（如防火墙、入侵检测、漏洞扫描器和防病毒软件）、主机（如Windows、Solaris和Linux系统日志）、应用（如数据库、Web服务器和验证服务器）以及网络流量（如Cisco NetFlow）的日志和事件。ContextCorrelationTM在接收到事件和数据时，可针对网络拓扑、所发现的设备配置、相同的源和目的地应用（跨NAT边界）和类似的

39、攻击类型，来对信息进行标准化。相似的事件会进行实时分组，随后对其运用由系统和用户定义的关联规则，来识别事故。系统配备了全面的预定义规则，Protego会经常更新这些规则，它们能识别大多数混合攻击、零日攻击和蠕虫。一个图形化规则定义框架简化了用户为任何应用创建定制规则的过程。ContextCorrelation大大减少了原始事件数据、实现了响应优先级划分并可最大限度地发挥所部署的措施的作用。高性能汇总和整合。思科安全MARS解决方案可获取数千个原始事件，高效地对事件分类，实现前所未有的数据减少，并压缩这些信息以进行归档。管理大量安全事件需要一个安全、稳定的集中记录平台。思科安全MARS设备可安全

40、地优化，接收极其大量的事件流量每秒超过10000个事件或每秒超过30万个NetFlow事件。通过即将荣获专利的Protego内部处理逻辑和采用内嵌Oracle，这一切成为可能。所有数据库功能和调整都对用户透明。板载存储并可将历史数据档案持续压缩到NFS备用存储设备的功能，使思科安全MARS成为一个强大的安全日志/事件汇总解决方案。事件查看和有效防御思科安全MARS有助于加速和简化威胁识别、调查、校正和防御的过程。安全人员通常面临着所提交的事件需要耗时的分析才能解决问题和进行修复的情况。思科安全MARS具有一个功能强大的交互式安全管理控制台。操作员GUI提供了一个由实时热点、事故、攻击路径和具体

41、调查组成的拓扑图，可使用户完全了解事件立即确认有效威胁。SureVectorTM分析事件进程等过程，通过评估直至终端MAC地址的整个攻击路径，来确定威胁是否有效或是否已进行了防御。这一自动过程是由分析防火墙和入侵防御应用等设备记录、分析第三方漏洞评估数据，以及籍由思科安全MARS终端扫描来消除误报而完成的。用户可快速、精确地调整系统，来进一步减少误报。所有安全计划的最终目标是保持系统在线并正常运作即防御安全违背、抑制事件并进行修复。凭借思科安全MARS，操作员可迅速了解攻击中涉及的所有组件，这可具体到受破坏的系统MAC地址。AutoMitigateTM功能可识别攻击路径上的阻塞点设备，并自动提

42、供用户可用以防御威胁的适当设备命令。通过充分利用基础设施，可快速、准确地防御和抑制攻击。实时调查和法规符合性报告思科安全MARS具有一个易于使用的分析框架，简化了传统的安全工作流程，在日常运作和特殊审查时实现了自动的案例分配、调查、提交、通知和说明。它可图形化地重现攻击并检索所存储的事件数据，来分析以前的事件。此系统完全支持临时查询，可进行实时和持续数据采集。思科安全MARS提供大量的预定义报告，来满足运营需要，有助于达到法规符合性要求，包括Sarbox、GLBA、HTPPA、FISMA和Basel II。一个直观的报告生成器可以修改80多种标准报告或生成新报告，以一种无限制的方式，用数据、趋

43、势和图表格式构建安全措施和修复计划、事件和网络活动、安全状态和审查，以及部门报告。此系统也能提供批报告和电子邮件报告。迅速部署和可扩展管理思科安全MARS置于一个TCP/IP网络上，可发送和接收系统日志、SNMP捕获，并通过标准安全协议或厂商特定协议，与已部署的网络和安全设备建立安全连接。只需将其插入网络即可。安装和部署思科安全MARS时无需其他硬件、操作系统补丁、许可或冗长的专业服务部署过程。您只需配置您的日志源，指向MARS设备，并通过基于Web的GUI定义任意网络和数据源。该设备由一个安全、基于Web的界面集中管理，它支持基于角色的管理。可选思科安全MARS GC设备集中了广泛的安全操作

44、，可提供整个企业的单一视图，分发访问权限、配置、更新、定制规则和报告模板，并将复杂的调查与本地处理的加速查询和报告相结合。因为本地思科安全MARS设备可在整个企业中执行查询和规则，因此能高效地获得整合结果，快速、集中地在思科安全MARS GC中进行分析。这一可扩展架构提供了一个附加的分布处理和存储层。因此可实现更为经济有效的部署和更高可管理性，满足地理位置分散的大型机构的需求。基于动态连接的关联 包括NetFlow的异常流量检测 基于行为和基于规则的事件关联 全面的内置规则和用户定义的规则 自动NAT标准化 拓扑搜索 第三层和第二层：路由器，交换机，防火墙 网络IDS：刀片和设备 手动和事先安

45、排的搜索 SSH，SNMP，Telnet和特定设备通信 漏洞分析 由事件触发、基于目标网络和主机的识别 交换机、路由器、防火墙和NAT配置分析 自动漏洞（VA）扫描器数据获取 自动和可由用户调整的误报分析 事件分析和响应 个性化安全事件管理控制台 基于连接的事件整合，配有全规则上下文 图形化攻击路径显示，带具体调查结果 攻击路径设备简况，带终端MAC识别 图形化的具体顺序攻击模式显示 事件细节：规则，原始事件，CVE和防御选项 立即事件调查和误报确定 GUI规则定义支持定制规则和关键字分析 事件提交，带基于用户的“执行”工作列表 通知：电子邮件，寻呼机，系统日志，SNMP 查询和报告 GUI支

46、持大量缺省查询和定制查询 80多种常用报告：管理、运营和法规 直观的报告生成可产生无限的定制报告 数据、表格和趋势格式支持HTML和CSV输出 实时、批、模板和电子邮件转发报告系统 管理 Web界面（HTTPS）：基于角色的管理，有预定义权限 多个思科安全MARS的思科安全MARS GC（Global Controller）层次化管理 自动进行经过验证的更新：设备支持，新规则和特性 持续地将原始数据和事件档案压缩到离线NFS存储中 六、网络准入控制(NAC)6.1 概述病毒、蠕虫和间谍软件等新兴网络安全威胁继续损害客户利益并使机构损失大量的金钱、生产率和机会。与此同时，移动计算的普及进一步加剧

47、了威胁。移动用户能够从家里或公共热点连接互联网或办公室网络 常在无意中轻易地感染病毒并将其带进企业环境，进而感染网络。网络准入控制(NAC) 进行了专门设计，可确保为访问网络资源的所有终端设备(如PC、笔记本电脑、服务器、智能电话或PDA等)提供足够保护，以防御网络安全威胁。作为著名防病毒、安全性和管理产品制造商共同参与的市场领先的计划，NAC引起了媒体、分析公司及各规模机构的广泛关注。本文将解释作为基于策略的安全战略的一部分，NAC将发挥怎样的关键作用，同时描述并定义可用的NAC方法。6.2 NAC的优势据2005 CSI/FBI安全报告称，虽然安全技术多年来一直在发展且安全技术的实施更是耗资数百万美元，但病毒、蠕虫、间谍软件和其他形式的恶意软件仍然是各机构现在面临的主要问题。机构每年遭遇的大量安全事故造成系统中断、收入损失、数据损坏或毁坏以及生产率降低等问题，给机构带来了巨大的经济影响。 显然，仅凭传统的安全解决方案无法解决这些问题。思科系统公司 开发出了将领先的