网络安全产品

借助当今先进的智能企业网，企业能够有效地部署电子商务等应用，因而能实现劳动力的优化组合以及业务的全球化。这些强大的网络能够将许多远程站点、分支办公室、移动员工、合作伙伴和客户连接在一起，从而能够为数千用户提供服务。但是，还存在一个问题--所有网络都越来越多地受到了企业园区网和互联网上越来越多的安全隐患的威胁。另外，对电子商务应用需求的增加，以及服务向公共领域的集中也增加了流量经过网络时的危险，在可能的地方，都需要对流量进行加密。

Cisco Catalyst® 6500系列交换机提供的解决方案能够防止网络受到来自园区网和公共网的安全隐患的侵害。本文将介绍这些硬件解决方案。

不断增加的安全风险

实时信息保护公司Riptech最近进行的一项调查显示，从2001年下半年到2002年上半年，网络安全问题增加了28%。另外，FBI 2002年年报显示，在过去12个月里，有85%的企业都遇到过计算机安全问题。

古语说得好："只有邻居被盗，才会购买报警器。"当今的电子商务经济也是如此。通常情况下，企业都遭受过因安全问题带来的损失，虽然完全消除安全隐患是不可能的，但许多机构都会开始部署有效的预防技术。

网络各具特性

不同的安全措施和预防技术适用于大小、预算和企业要求不同的网络。机构在设计网络安全体系结构时，必须考虑多种因素，包括成本-利益分析、企业需求、安全策略以及需要保护的网络类型等。

综合安全性是防止整个网络遭受袭击的最有效的方式。成功的核心袭击将破坏整个网络，因此，为保持整个网络的完整性，必须保护组成企业园区网的所有主要部分（见图1所示）。

除防火墙保护外，Cisco Catalyst6500系列交换机还在企业园区网边缘提供其它保护。它不但能防止内部网络遭受非法设备和用户的侵入，还能检测并防止袭击。思科建议，为维护企业园区网的完整性，最好在Cisco Catalyst 6500系列中实施安全服务。

图1 利用Cisco Catalyst 6500系列在企业园区网中提供综合网络安全性

管理层 配置和管理 服务器 服务器 服务器 服务器	接入层 笔记本 IBNS 高可用性 VACL信任度 分类端口 安全性 启动警卫 BPDU警卫 速率限制 NBAR 扩展边缘 ARP检查	设备管理 SSHIP 许可表 本地认证 认证过滤 企业边缘 服务器 VPN FW NAM 单播RPF	带MSFC的Catalyst 6500 Catalyst 6500
服务器集群/数据中心 FW CSM SSL NAM 高可用性 Cisco IOS ACL 单播RPF检查 RP保护 速率限制	核心		CSM SSL IDSN AM Cisco IOS ACL 高可用性 PVLAN 单播RPF检查 RP保护 速率限制 服务器 电子商务/数据中心

管理层配置和管理服务器服务器服务器服务器 接入层笔记本IBNS高可用性VACL信任度分类端口安全性启动警卫BPDU警卫速率限制NBAR扩展边缘ARP检查 设备管理SSHIP许可表本地认证认证过滤企业边缘服务器VPNFWNAM单播RPF 带MSFC的Catalyst 6500Catalyst 6500

服务器集群/数据中心FWCSMSSLNAM高可用性Cisco IOS ACL单播RPF检查RP保护速率限制 核心 CSMSSLIDSNAMCisco IOS ACL高可用性PVLAN单播RPF检查RP保护速率限制服务器电子商务/数据中心

为企业园区网开发的新型智能安全服务

由于网络安全问题的危害越来越大，覆盖面越来越广，而且越来越容易在企业园区网内部署，因此，网络完整性受到的威胁将越来越大。因此，几乎所有机构都需要采用适当的安全技术保护其IT投资和企业声誉免受影响。为补充现有软件安全产品的不足，Cisco Catalyst 6500交换机将一套先进的安全模块集成在一起，以便进一步增强网络安全性。

新型Cisco高级安全模块包括防火墙服务模块（FWSM）、安全套接层（SSL）、IP安全虚拟专用网（IPSec VPN）服务模块和网络分析模块（NAM）。如果将这些模块与现有的入侵检测系统模块（IDSM）结合在一起，客户将能够在交换机上部署综合安全性，而无需分别管理的不同设备，然后再与基本的基础设施相连，因此，这种方式可以大大提高性能、可管理性和整个系统的性价比。

为Catalyst 6500设计的Cisco安全服务模块

Cisco IPSec VPN服务模块是为Cisco Catalyst 6500交换机和Cisco 7600 互联网路由器设计的高速模块，能够提供基础设施集成的IPSec VPN服务，不但能提供强有力的连接，还能增加带宽。

IPSec VPN服务模块在Cisco Catalyst 6500系列上提供经济有效的VPN性能，适合进行多种部署。例如，在WAN边缘部署中，VPN模块能够在WAN集中路由器上提供VPN终端服务。

主要特性包括：

• 与网络基础设施集成在一起--将VPN融入Catalyst 6500交换机和7600 互联网路由器中，无需添加设备或修改网络就能保护网络。
• 高性能和可扩展性--采用最新的加密硬件加速技术之后，IPSec VPN模块能够为大型分组（500字节以上）提供1.9Gbps的三数据加密标准（3DES）流量，为普通分组（300字节）提供1.6Gbps的3DES流量。与当前产品相比，这个模块能以加速速率同时端接8,000 IPSec通道。
• 高级安全服务--能够将加密、认证和完整性集成为网络服务，因而可以简化安全园区网、提供商边缘、VPN终端和安全综合网络服务的部署，例如IP语音（VoIP）和存域网。

Cisco防火墙服务模块（FWSM）安装在Cisco Catalyst 6500系列交换机中，不但适合作为数据中心和外部网的边缘分布层，制定服务器流量策略，还适合作为网络管理层。对于需要防火墙功能、入侵检测、虚拟专用网，以及多层LAN、WAN和MAN交换功能的客户来讲，Cisco Catalyst 6500是其首选IP服务交换机。

Cisco FWSM是业界性能最高的防火墙解决方案，每个模块的吞吐量能够扩展到5GB以上。借助多个模块，带宽可高达20GB。FWSM完全支持VLAN，提供动态路由，而且可以完全集成在Cisco Catalyst 6500系列交换机内。FWSM基于Cisco PIXTM Firewall技术，因而能够提供与屡获大奖的Cisco PIXTM安全设备系列相同的安全性和可靠性。FWSM采用了通过软件下载增强特性的网络处理器技术，能最大限度地适应未来需求和特性。

主要特性包括：

• 可扩展性--能够以业界最高的性能生成受状态防火墙保护的多个安全域，从而消除来自企业园区网的越来越多的安全威胁。每个FWSM模块提供5GB吞吐量。如果安装多个模块，每个机箱的总带宽可以扩展到20GB。
• 可靠性--以Cisco PIX技术为基础，FWSM使用了同一个经过时间检验的Cisco PIX 操作系统，这是一种安全的硬化实时操作系统。借助切实可行的Cisco PIX分组检查机制，FWSM能够在一个平台上同时提供高性能和高安全性。另外，它还能在活跃/等待FWSM环境中提供基于LAN的故障恢复。
• 易于使用--FWSM使用大家非常熟悉切实可行的Cisco PIX管理界面保持安全性及网络管理界面的独立性。Cisco管理框架和Cisco AVVID（集成化视频、视频和数据体系结构）合作伙伴都支持FWSM的配置和监控。

为Cisco Catalyst 6500系列设计的Cisco安全插接层（SSL）服务模块非常适合部署在数据中心内，它能够提高Web应用的性能和安全性，提供综合安全内容联网，并保证最优客户体验。由于能卸载与利用SSL协议保护流量相关的处理器密集型任务，因而能增加Web站点支持的安全连接数量。

如果将SSL与Cisco内容交换模块（CSM）集成在一起，将能够加速加密和非加密流量，同时从Web服务器卸载资源密集型功能，从而提供高性能、可扩展、安全的服务器负载均衡解决方案。

主要特性包括：

• 证书优化--对传输到Web服务器的用户数据进行加密，提供私密性、保密性和认证。SSL使用驻留在模块上的多种证书，能集中证书管理。由于无需在单独的服务器上管理证书，只需一份证书就能完成管理，因而能显著降低成本。
• 确定性能--提供业界最快的SSL对话建立速度和最高的加密吞吐量：每个模块每秒建立3,000个连接（每个机箱12,000个），每个模块的加密吞吐量高达300Mbps（每个机箱1.2Gbps），能同时保留50,000个客户机连接（每个机箱200,000个）。
• 永久连接--用Cisco CSM（集成模式）操作时，及时客户机请求新对话ID时，也能保持永久连接。
• 服务器SSL卸载--集成SSL处理，执行与SSL相关的所有任务，使服务器能处理高速纯文本流量。

新型高性能Cisco网络分析模块（NAM-1和NAM-2）非常适合数据中心、企业边缘、分布层使用，也可以作为网络的关键业务接入层，为网络提供应用级可视性，在千兆位环境中实现实时流量分析、性能监控和故障排除。

主要特性包括：

• 应用级可视性--NAM能够为网络基础设施提供应用级可视性，以便实现性能监控、故障排除和容量规划。它提供NAM Traffic Analyzer，除统计数据收集功能外，还能提供流量监控和分析功能。

另外，NAM还是在Cisco LAN网络中确定多服务交换方式的Cisco AVVID的一个组件。NAM能够收集以各种方式到达应用层的数据和语音的多层信息，以便以更简单的方式管理当今支持多种数据、语音和视频应用的复杂的多服务交换LAN。

• 高性能--新型高性能NAM-1和NAM-2能够以千兆位速度为可扩展的交换环境提供更强大的流量监控。
• 易于使用--基于Web的嵌入式流量分析器能够为数据、VoIP和QoS提供全面的流量监控和数据获取功能。

为Cisco Catalyst 6500系列开发的当前的入侵检测系统模块可以部署在分布层和数据中心内，提供全面的预防性安全解决方案，防止非授权入侵、恶意互联网病毒以及带宽和电子商务应用袭击。

Cisco IDS利用了全新的入侵检测技术，包括状态样式识别、协议解析、启发式检测和异常情况检测等，能够防止多种已知和未知计算机安全问题带来的威胁。

集成在Cisco Catalyst 6500系列交换机中的这些服务模块，如果能够部署在推荐的网络层中，并与Cisco Catalyst 6500交换机的软件安全产品一起使用，将能够有效防止内部网络遭受非法设备和用户的侵害，使网络免受外部安全隐患的威胁。Cisco Catalyst 6500系列交换机能够为企业园区网提供全面的安全解决方案。

如果想详细了解为Cisco Catalyst 6500系列交换机和Cisco 7600系列互联网路由器开发的安全服务模块，请访问：www.URLTOCOME.com。