思科交换产品

Catalyst 6500入侵检测系统模块

互联网与电子商务的出现使企业机构进入了一个开放通信时代,但这种开放性同时也带来了一些问题和风险性,因此企业和电信服务供应商不得不采取措施保护其数据免受入侵者、黑客和内部人员的攻击。与此同时,市场对更高网络性能的需求也推动着传统共享网络向交换型网络的迁移。随着我们开始越来越多地在交换基础设施中部署内容感知型服务,用户对安全性和入侵检测的需求也越来越强烈,因为只有这样才能确保互联网商务与Web应用的可靠性。在使用当今市场上的多数入侵检则系统(IDS)产品时,设备必须放在交换端口分析器(SPAN)端口上才能监控网络流量。尽管SPAN端口能够提供对网络流量的访问,但它有某些局限性(例如,SPAN会话数量有限,流量中断)。Catalyst 6500 IDS模块专门用于交换环境,它可以将IDS功能直接集成到交换机中并使流量脱离交换背板,从而将交换和安全功能集成到了同一个机箱中。

图1 Catalyst 6500入侵检测系统模块

Catalyst 6500入侵检测系统模块

企业机构现在仍将防火墙作为其主要的关守,用于防止未授权用户进入他们的网络。但是,网络安全在许多方面与物理安全是相似的,那就是,没有哪种技术能够满足所有的需求,最好的方法是采用分层防御。

企业机构开始越来越多地采用其它安全技术抵御防火墙所无法阻挡的问题和攻击。入侵检测系统提供了全天候的网络监控,它能够分析网络中的分组数据流、搜寻未授权活动,如黑客的攻击,从而使用户能够迅速地针对安全侵犯作出反应。IDS系统的作用相当于录像机和活动检测器,它能够检测出未授权的和可疑的活动。

为了满足用户对交换型局域网(LAN)中的入侵检测的需求,全球互联网领域的领先厂商思科系统公司为其屡获大奖的高性能Catalyst 6500交换机系列提供了一个带有IDS模块的集成解决方案(除全系列的Cisco安全IDS应用检测器之外)。IDS模块可使安全与网络管理员从交换机背板监控网络流量,而不是使用与一个交换机SPAN端口连接的外部IDS检测器。这样就可以对网络流量进行更细化的访问并克服与SPAN端口相连的外部 IDS检测器的局限性。

与Cisco安全IDS应用检测器的运作方式一样,IDS模块也将检测网上的未授权活动(如黑客攻击)并向管理控制台发送告警,提供所发现的活动的详细信息。安全或网络管理员将指明IDS模块必须利用Catalyst OS虚拟LAN(VLAN)访问控制列表(ACL)捕获特性或SPAN功能来检查的网络流量,从而实现了严密的流量监控。此外,IDS模块可以由与Cisco安全IDS检测器相同的管理控制台管理和监控,从而使客户能够同时部署应用检测器和IDS模块,以监控整个企业网络中的关键子网。

应用

入侵检测应用已成为确保内容联网和Web托管基础设施成功运作的基本条件。IDS模块专门用于为安全与网络管理员提供灵活性,使其能够监控流经网络中Catalyst 6500系列交换机的流量。IDS模块有助于识别拒绝服务攻击,包括分布或拒绝服务攻击(DDos)。

图2 Catalyst 6500 W/IDS模块

Catalyst 6500 W/IDS模块

高速缓存引擎 互联网 黑客 Catalyst 6500 W/IDS模块 数据库服务器 Web服务器

IDS模块具有最广泛的攻击识别功能,提供了世界最佳的实时入侵检测解决方案。由于网络核心流量的类型与数量特点, IDS模块在网络的分布与访问层最有效。

主要特性与优点

IDS模块可以部署在任何Catalyst 6500系列机箱中,它具备以下优点:

  • 一个思科端到端解决方案的一部分——IDS模块是一个有效的深层防御安全战略的必要组成部分,可以对其它的安全机制(例如,防火墙,加密和认证)构成补充。
  • 集成化解决方案——这一IDS模块安全集成在Catalyst 6500中,在其中占用一个插槽。这一模块特别适合部署在机架空间有限的环境。IDS还可以完全集成到Cisco安全IDS管理基础设备中,以实现运作一致性与支持。
  • 透明运作——IDS模块不影响交换机的性能。它是一种被动式的监控模块,在检查分组副本的过程中不会影响交换传送流程。
  • 投资保护——在其产品中增加IDS模块后,思科又一次证明了其交换基础设施的投资保护特点。IDS模块可使客户在同一个机箱中执行安全监控与交换功能。
  • 实时入侵检测——IDS模块提供了实时的全天侯网络监测。IDS模块专门用于满足用户对安全可视化、拒绝服务保护,防黑客检测以及电子商务业务防御的需求,可以从交换背板监控网络流量,并针对恶意或未授权的活动发出告警。
  • 广泛的攻击识别/签名功能——IDS模块能够检测各种攻击,而且利用新的“黑客签名”可以轻松地对IDS模块上的签名引擎进行更新,同时不会影响交换机。IDS模块还具有高级的IP分段重组智能特性。
  • 能够同时监控多个VLAN——利用VLAN ACL捕获特性或SPAN功能,IDS模块能够同时监控多个VLAN上的流量(ISL与加密802.1g)。这种功能消除了在交换环境中运行IDS的一些传统局限性。
  • 拥有成本较低——IDS模块非常容易安装、配置与维护。由于该模块完全能够与其它Cisco安全IDS设备与管理控制台互操作,因此IDS模块可以说是传统交换环境与安全运作架构的延伸。

性能总结

  • 监控100Mbps流量
  • 每秒47,000个分组,流到达速率为每秒1000个

Catalyst交换平台要求

  • 要求Catalyst操作系统6.1(1)版或更高版本(不受本机Cisco IDS软件支持)
  • VLAN ACL“捕获”功能要求政策特性卡(PFC)
  • 与Supervisor 1A和Supervisor 2引擎兼容
  • 与纵横交换结构不兼容
  • 与多层交换特性卡(MSFC)和MSFC2兼容,但无此要求

IDS管理平台(必备)

  • Cisco Secure Policy Mannager(CSPM)v2.2版或更高版本,或
  • Cisco Secure Intrusion Detection Director

物理规格

  • 可使用Catalyst 6500机箱中的任何插槽
  • 高度:3.0厘米(1.2英寸)
  • 宽度:35.6厘米(14.4英寸)
  • 深度:40.6厘米(16英寸)
  • 重量:2.27千克(5磅)

运作环境

  • 工作温度:0-40°C(32-104.5°F)
  • 非工作温度:-40-70°C(-40-158°F)
  • 工作相对温度:10-90%(非冷凝)
  • 非工作相对温度:10-95%(非冷凝)
  • 工作与非工作高度:海拔3050米以下(1000英尺)

机构认可

  • 辐射:FCC Part 15(CFR 47)Class a,ICES-003 Class A,EN55022 Class A,CISPR22 Class A,AS/NZS 3548 Class A,VCCI Class A with UTP cables,EN55022 Class B,CISPR22 Class B,AS/NZS 3548 Class B,VCCI Class B with FTP cables
  • 安全性:CE Marking according to UL 1950,CSA 22.2 No.950,EN 60950,TS001,AS/NZS 3260

联系我们