网络解决方案

思科集成多业务路由器: 集成化安全对中小型企业和大企业的分支机构价值何在

思科集成多业务路由器: 集成化安全对中小型企业和大企业的分支机构价值何在

在过去20年中,网络已从封闭的基础设施发展成为集成的系统,使企业能够通过业务流程和应用与全球的员工、合作伙伴、客户和供应商开展更密切的协作。基于Web的应用大幅度提高了生产率和利润——但也加剧了恶意攻击的风险。

安全威胁可从多个方面攻击企业,包括公司自己的联网PC和服务器,新的蠕虫和病毒还针对网络端点。因此,IT资源有限的小企业或分支机构需要专为他们设计的解决方案来迎接这些挑战。

思科系统®公司能够帮助这些机构构建自防御网络,以便大幅度提高识别、防护和响应威胁的能力,从而抵御攻击。新一代思科集成多业务路由器是不断发展的思科®自防御网络的重要基础。这些路由器在业界率先为中小型企业和大企业的分支机构提供了安全的线速数据、语音、视频和其他高级服务。

本白皮书将重点介绍不断变化的安全市场和Cisco 800、1800、2800及3800系列集成多业务路由器中的嵌入式安全特性。白皮书将基于小企业和分支机构日益增长的对并发集成服务的需求这一市场趋势,简要介绍路由器提供的集成化安全的价值。同时阐述思科如何通过独特的系统方法有效解决现在和将来的安全问题。

本白皮书不用作技术部署指南,而是解释思科如何将最佳的网络安全技术与20多年的路由经验相结合,重新定义网络安全并为客户提供端到端的网络保护。

空前的网络安全挑战

在过去,内外部威胁相对速度缓慢,攻击易于牵制。20世纪80年代首次出现的安全挑战——影响单个计算机和网络的引导病毒——需要几周时间进行传播。20世纪90年代出现的第二代安全挑战可在几天内传播,包括宏病毒、电子邮件病毒、拒绝服务(DoS)攻击和有限的黑客攻击尝试等。

当今的环境中,网络安全威胁和破坏性攻击的速度和手段都以惊人的速度发展。互联网蠕虫、病毒和特洛伊木马等混合攻击能在几分钟内传播到全世界的多个地区网络,造成大范围的入侵和惨重的损失。

网络安全威胁和攻击的代价极高

按安全威胁划分的平均损失:

  • 保密信息被盗损失:1,136,409美元
  • 病毒引发的服务中断和破坏性损失:61,729美元
  • 蓄意破坏数据网络:535,750美元
  • 外部人员侵入系统:172,448美元
  • 拒绝服务:108,107美元
  • 内部人员的非法访问:1,008,050美元

来源:CSI FBI 2004年计算机犯罪和安全调查

法律责任要求更高的网络安全性

越来越多的政府制度和标准也在推动企业提高网络安全性。这些制度和法律专门用于增强保密性,国家安全,并在许多情况下用于迫使公有企业履行责任。

例如,医疗保健行业的健康信息和病人信息保密法(HIPPA),金融服务业的金融服务现代化法案(GLBA)以及会计行业的Sarbanes-Oxley法案。欧盟的保密法“数据保护条例”要求只向提供可接受的私密性保护的非欧盟国家传输个人数据。

对安全路由器的需求不断增长

对安全和私密性的需求不断升温,致使对创新安全解决方案的需求日益迫切。在《Enemy at the Gates: The Evolution of Network Security》文章中 (Business Communication Review,2004年12月),Infonetics Research首席分析师Jeff Wilson写到:“虽然许多人始终饶有兴趣地观察安全产品市场,但他们常忽略路由器和交换机实际提供的安全水平。就像分散的互联网连接和网络安全保护要求推动企业将多种安全技术集成到单个产品中一样,相同的因素也在推动网络产品制造商将安全集成到路由器和交换机中。”这篇文章中引用的Infonetics调查称“在被调查的人中,计划部署安全产品和安全路由器的各占一半。”

图1. 安全采购计划

安全采购计划

Infonetics Research提供的数据也证明了安全路由器是快速增长的市场领域。在一份2004年终报告中,Infonetics Research企业语音和数据分析师Matthias Machowinski指出:“12%的第四季度企业路由器收入来自安全路由器,比第三季度增长了1%。”作者继续写到“我们预计安全路由器收入占路由器总收入的比例将继续提高,到2008年底约占到路由器总收入的29%。”

返回顶部

不断发展的思科安全解决方案

安全解决方案一直在不断发展,以满足不断变化的安全需求,而思科始终在提供市场领先的最佳安全解决方案。

Synergy Research援引了Investors.com 2005年3月14日发表的社论“Hybrid Products Lead Security’s Advance”。文章中写到“去年,网络安全产品市场收入增长了28%,超过了40亿美元(2004)”。Synergy分析师Aaron Vance指出:“我预计今年将有更大幅度的增长,将防火墙、VPN和其他安全特性相结合的混合产品将是最大的推动力。思科系统公司(CSCO)是首屈一指的网络安全产品生产商,将在此类混合安全产品的销售上一路领先。”

今天,思科将网络安全嵌入到了每个集成多业务路由器的硬件中,并通过适当的Cisco IOS®软件特性集提供端到端的保护。思科集成多业务路由器能与Cisco 7200系列和7301汇聚路由器互操作,拥有全面的Cisco IOS软件高级安全特性集。

基于路由器的集成化安全解决方案的价值

集成化安全是思科自防御网络的基本组件。基于路由器的集成化安全解决方案采用了思科市场领先的防火墙和入侵防护系统(IPS)技术,将强大的Cisco IOS软件功能和业界领先的LAN和WAN连接与一流的安全功能结合在了一起。

将Cisco IOS软件的安全性直接集成到路由器中提供了许多优势。首先,它能利用现有网络基础设施,通过Cisco IOS软件在路由器上实现全新的安全特性,无需部署其他硬件。这可以帮助节省时间和金钱,因为它减少了网络中的设备数量,从而降低了培训和管理成本,进而降低了总投资成本(TCO)。路由器网络模块也包含在现有的思科SMARTnet®路由器维护合同中,进一步简化了可管理性。

其次,它为在整个网络中应用安全功能提供了灵活性——如防火墙、入侵防护和VPN等——确保针对安全威胁提供最佳防御。思科基于路由器、交换机和安全产品的综合功能,为整个网络提供端到端的安全保护。

第三,将Cisco IOS软件的安全性直接集成到路由器中可保护网关,因为路由器是进入网络的第一个关口,而WAN汇聚路由器则是数据中心的入口。这种允许在保护网络的位置——所有网络入口部署的安全功能,是最佳的。

路由器上的安全功能不仅保护网络入口,还可将路由器智能用作流量的“可信处理器”,集成更高级的安全、服务质量(QoS)和路由特性,为共享信息提供安全并针对威胁协调提供快速正确的响应,以确保网络的高可用性。集成化安全不仅保护路由器本身,还针对分布式DoS (DDoS)攻击等直接面向网络基础设施的威胁创建了一道防线。

许多单点产品安全解决方案都只保护特定的网络段,几乎没有任何安全解决方案能像思科安全解决方案一样,通过保护整个网络来保护整个基础设施。

使用思科系统方法的价值

在考察Cisco 800、1800、2800、3800和7200系列集成多业务路由器提供的特定集成化安全特性之前,请先考虑使用思科方法的价值。

在分支机构提供高可用性

思科为保持分支机构的高可用性提供了真正强大的功能套件。思科的端到端理念从一开始就坚决支持始终可供访问的网络,为IT提供了可轻松部署和维护的自防御网络架构。集成多业务路由器允许同时使用更多接口和特性,同时提高了多个同步运行的安全、管理和集成服务的性能,进一步增强了这种方法。

通过集成多业务路由器,思科为实现分支机构的高可用性提供了面向未来的全面解决方案,最大限度地避免了网络中断并确保始终能访问最关键的商业应用。思科注重将全新的基础设施服务与性能相集成,以帮助企业客户创建更智能、更永续、更可靠的网络。

关于面向分支和小型机构的思科高可用性解决方案的更多信息,请访问http://www.cisco.com/go/isr。

性能

利用系统方法,思科集成多业务路由器提供了适当的WAN线速性能。这意味着当客户添加语音或安全等更多服务时,性能不会低于相应的WAN接口的速度。集成多业务路由器可用于同时运行一定CPU功耗的并发服务,将VPN等CPU密集型服务卸载给专用加速器。

思科委托Mier Communications, Inc.对全新的集成多业务路由器开展独立的配置、运行和性能验证。通过对这些系统进行彻底的测试,Miercom证明在传输大量数据的情况下,在为繁忙的分支机构同时提供多种重要的高级网络服务时,包括Cisco IOS状态防火墙和网络地址转换(NAT)、IPS、IP语音(VoIP)和模拟电话服务,这些系统可提供卓越的性能。

特别需要指出的是,测试证明了Cisco 3845能够装载一条T3 IP-WAN链路,并在全T3链路上传输流量时使用高级加密标准(AES)和IP安全(IPSec) VPN。除了Cisco 3845外,Miercom还测试了Cisco 2851、2811、2801、1841和1812无线集成多业务路由器以及基于Web的思科路由器和安全设备管理器(SDM)。如需阅读全部的Miercom总结报告,请访问:http://www.miercom.com。

“经测试,Cisco 3845可同时以全T3 WAN速率传输多个应用。其嵌入式加密处理器可同时轻松处理128位AES和 IPSec VPN,以最大的WAN链路速度同时提供防火墙、入侵防护、QoS和数据路由功能。此外,Cisco 3845可处理72个语音流量流,包括代码转换、语音留言、自动接听、传真和远程电话应急呼叫等,但不影响性能,给我们留下了深刻的印象。”—Ed Mier,Mier Communications, Inc.总裁

智能

系统方法一开始是基于思科集成多业务路由器等单一的永续性平台,但随后便扩展到“单一产品”范围之外。系统方法在服务内部或服务之间进行智能服务打包。这些服务通过良好的协作提供优势,如动态多点VPN (DMVPN),以实现动态隧道或基于语音和视频的VPN(V3PN),如图2所示。

图2. 采用了DMVPN和V3PN的安全的、具有长话级品质的IP电话

安全采购计划

要求

优势

  • 网状配置、集中星形拓扑的简便性
  • 线速加密
  • 语音和视频优先级分配
  • 带宽预留
  • 并发服务VPN
  • 安全的RTP
  • 轻松管理和配置
  • 加密流量吞吐量
  • 长话级品质、无抖动的语音和视频
  • 根据需要设置DMVPN隧道
  • 抵御WAN黑客、降低成本
  • 抵御LAN黑客

系统方法将语音、安全、路由和应用服务结合在一起,使流程变得更加自动化、智能化,进而使安全性普遍深入到网络和应用中;提高了数据、语音和视频流量的QoS;缩短了响应时间,提高了生产率和网络资源利用率。

通过将最佳软件和应用结合到一个平台上,客户能够:

  • 更快速地部署基本和高级服务
  • 使用通用工具和界面来管理这些服务,以实现运行简便性
  • 最大限度地减少需要锁定的分散设备的数量,从而提高网络安全性
  • 利用现有的和将来的接口及网络模块,加快数据传输并释放硬件用于新应用
  • 快速排障、轻松“备份”、快速培训员工——均有助于降低运行成本
  • 利用捆绑打包服务和服务协议来降低资本成本

返回顶部

别具一格的全新思科集成多业务路由器的安全特性

Cisco 800、1800、2800和3800系列集成多业务路由器基于思科20多年的领导地位与创新,提供了业界最全面的安全服务,以智能方式将数据、安全和语音嵌入到一个永续性系统中,用于快速、可扩展地交付关键任务商业应用。

思科集成多业务路由器将基于硬件的加密作为标准特性提供,以便将安全结合到每个路由器中。基于硬件的内置加密加速特性可卸载VPN流程以提高VPN吞吐量,只对路由器CPU产生最小的影响。如果需要更高的VPN吞吐量或可扩展性(如VPN隧道数量),可选的VPN加密高级集成模块(AIM)可提供帮助。

思科自防御网络为新的路由器提供四类保护:信任和身份识别、网络基础设施保护、安全连接和威胁防御(见图3)。

图3. 集成多业务路由器和自防御网络

集成多业务路由器和自防御网络

自适应威胁防御 

协作的安全系统 

 

网络基础保护 

集成化安全 


安全服务+网络智能
主动响应
安全的应用交付
防御蠕虫、病毒和间谍软件
URL过滤、内容保护、电子邮件检测;


安全是全网络系统:端点+网络+策略服务和设备协调
网络准入控制(NAC)虚拟化服务;

集成化安全服务
自防御网络


防护、保护并管理网络基础设施免遭攻击
控制板监管、自动安全管理、NBAR


路由器、交换机、安全产品和端点,每个网络组件都是防御点
安全连接、入侵防护、防火墙。

 

信任和身份识别

信任和身份识别服务允许网络使用网络准入控制(NAC);身份识别服务以及验证、授权和记账(AAA)等技术智能地保护端点。

网络准入控制

NAC是以思科为首的、整个业界协同努力的结果,它确保了每个端点都必须遵守网络安全策略才能获准访问网络。NAC考察联网设备以查看其是否符合最新的公司防病毒和操作系统补丁策略,然后再决定是否允许其接入网络,因此限制了病毒和蠕虫造成的损失。NAC将隔离存在安全漏洞和不符合策略的主机并限制它们的网络访问,直到安装了补丁确保安全为止,从而防止它们成为蠕虫和病毒的感染源或攻击目标。

作为进入思科自防御网络的第一步,您可打开Cisco 800、1800、2800和3800系列集成多业务路由器以及Cisco 7200和7301系列汇聚路由器上的NAC和Cisco IOS软件的其他集成化安全服务,利用Cisco IOS软件的高级安全、高级IP服务和高级企业服务特性集。

验证、授权和记账

Cisco IOS软件的AAA网络安全服务为在路由器或接入服务器上设置访问控制标准提供了主要框架。 AAA允许管理员使用面向特定服务或接口的方法列表,每线路(每用户)或每服务(即IP、Novell网络间分组交换机[IPX]或虚拟专用拨号网络[VPDN])的动态配置验证和授权类型。

802.1x标准

符合802.1x标准的应用需要有效的访问凭证,从而进一步阻止了非法访问受保护的信息资源。通过部署802.1x应用,网络管理员还能有效地避免用户部署不安全的接入点,解决了易于部署的无线局域网 (WLAN)设备最棘手的一个问题。

USB端口/可移动的凭证

Cisco 800、1800、2800和3800系列集成多业务路由器带有集成的主板上USB 1.1端口,能够提供重要的安全和存储功能。这些功能支持安全的用户验证、为建立安全的VPN连接保存可移动的凭证、安全地分发配置文件、并为文件和配置提供大量的闪存容量。

网络基础保护

网络基础保护(NFP)确保了网络基础设施免遭攻击且不暴露安全漏洞,尤其是在网络级别。例如,控制层监管、自动安全保护和基于网络的应用识别(NBAR)等。

控制层面监管

即使最强大的软件实施和硬件架构也难以抵御专门通过无用流量造成泛滥以致网络基础设施瘫痪的恶意DoS攻击。为了阻止伪装成特定类型的控制数据包直插网络心脏的类似威胁,Cisco IOS软件在路由器上提供了可编程的监管功能,以限制目的地为控制层面处理器的流量的速度。这个名为‘控制层面监管(CoPP)’的特性可用于识别特定类型的流量并对其进行完全或一定程度的限制。

AutoSecure

AutoSecure是Cisco IOS软件的一个特性,简化了路由器安全的配置流程并降低配置错误的风险。互动模式适合于有经验的用户,促使用户定制安全设置和路由器服务,从而对路由器的安全功能加大控制力度。AutoSecure的非互动模式的默认设置遵循思科和由国际计算机安全协会(ICSA)建议的自动打开路由器的安全功能。 通过一条命令即时配置路由器的安全状态并关闭不重要的系统程序和服务,从而消除了潜在的网络安全威胁。

基于网络的应用识别

NBAR是Cisco IOS软件中的分类引擎,使用深层和状态数据包检测来识别大量应用,包括基于Web的和其他难以分类的协议。当在安全环境中使用时,NBAR能够检测基于有效负荷蠕虫。当NBAR识别并分类应用时,网络可激活面向这个特定应用的服务。Cisco SDM为NBAR提供了易用的向导,同时提供应用流量的图形视图。

Cisco SDM

每个Cisco 800、1800、2800和3800系列路由器以及Cisco 7200和7301系列汇聚路由器出厂时都安装了Cisco SDM。 Cisco SDM是基于Web的直观设备管理器(GUI),用于思科路由器的部署和管理。Cisco SDM提供了启动向导以帮助快速完成路由器的部署和锁定,并提供智能向导以帮助打开安全和路由特性 -思科技术支持中心(TAC)批准的路由器配置以及与对象相关的培训内容- 从而轻松实现路由器的配置与监视。

安全连接

安全连接特性支持安全、可扩展的网络连接,将多类流量结合在一起。例如,VPN隧道挖掘和加密、DMVPN、Easy VPN、V3PN、虚拟隧道接口(VTI)、多虚拟路由转发(VRF)、多协议标签交换(MPLS)和安全的上下文等。

VPN隧道挖掘和加密

VPN一直是发展速度最快的网络连接形式。所有的Cisco 800、1800、2800和3800系列集成多业务路由器都提供基于硬件的固有的VPN加密加速功能,通过卸载IPSec加密和VPN流程来提高VPN吞吐量,只对路由器的CPU产生最小的影响。这个特性支持IPSec、AES、数字加密标准(DES)和三重DES (3DES)加密,不占用AIM插槽。

可选的VPN加密AIM为企业提供了进一步提高VPN吞吐量或可扩展性,从而提高了VPN性能并降低了路由器CPU的总体使用量。可选AIM的加密性能和隧道可扩展性最多可达上一代产品的10倍。

集成多业务路由器还使用结合了IPSec与通用路由加密(GRE) 协议的备用隧道挖掘技术。IPSec-GRE隧道挖掘技术是独特的思科解决方案,可通过VPN发送动态路由协议,从而提供了优于纯IPSec解决方案的网络永续性。除了提供故障切换机制外,GRE隧道还能加密组播和广播数据包以及非IP协议。

动态多点VPN

思科DMVPN使可扩展的点播式全网状VPN能够缩短延时、节约带宽并简化VPN部署流程。DMVPN特性的基础是思科专业的IPSec和路由知识,可实现动态的GRE隧道配置、IPSec加密、下一跳解析协议(NHRP)、开放最短路径优先(OSPF)和增强的内部网关路由协议(EIGRP)。

这种动态的VPN隧道配置技术与QoS和IP组播等其他技术结合在一起,优化了语音和视频等延迟敏感型应用。此外,DMVPN还能减轻管理负担,因为您在周边添加新设备或设置周边设备间的连接时无需在中央位置进行配置。

安全的语音

思科集成业务接入路由器提供的媒体验证和加密特性确保了语音终接在时分多路复用(TDM)或模拟语音网关上的语音会话不被窃听。这个可靠、可扩展的特性为LAN或WAN上的IP通信提供了安全环境。

使用安全的实时传输机制(SRTP)的媒体加密可加密语音会话,使已经获准进入语音区域的内外部攻击人无法解读。作为IETF RFC 3711标准,SRTP专为语音数据包设计,支持AES加密算法。使用SRTP的媒体加密的带宽效率高于IPSec加密方法。

Easy VPN

Easy VPN是IPSec解决方案, 用于轻松支持集中星形VPN拓扑并提供高可扩展性。Easy VPN简化了各类Cisco PIX®防火墙、Cisco VPN 3000客户机及路由器之间的VPN解决方案的设置和管理流程。Easy VPN使用“策略推进”技术来简化配置,同时保持了特性丰富性和策略控制,这些特性已在几千个实地部署中得到验证。

基于语音和视频的IPSec

Cisco 800、1800、2800和3800系列路由器以及Cisco 7200和7301系列汇聚路由器都支持V3PN,提供了能够在基于QoS的安全的IPSec网络上融合数据、语音和视频的VPN基础设施;同时允许客户在IP传输上获得与WAN链路相同的语音和视频应用性能——安全而高效。不同于市场中的许多VPN产品,思科集成多业务路由器支持多样的网络拓扑和流量要求,以实现多业务IPSec VPN。V3PN端到端的网络架构利用思科基于安全性的路由器和Cisco IOS软件来确保语音流量的安全。

在IPSec VPN上提供长话级品质的语音和视频不仅需要加密流量,还需要混合使用高级多业务和IPSec VPN技术。帮助实现思科V3PN的主要Cisco IOS软件技术包括:以多业务为中心的QoS、多种流量类型支持、多业务网络拓扑支持、增强网络故障切换能力等。

虚拟隧道接口

Cisco IPSec VTI是一种新的工具,供客户在站点间的设备之间配置基于IPSec的VPN。IPSec VTI隧道在共享WAN上提供了指定路径并以全新的数据包报头封装流量,确保将流量交付到特定的目的地。网络是专用的,因为流量只能接入端点的隧道。此外,IPSec还提供了真正的保密性(像加密一样)并传输加密流量。

面向电信运营商的多VRF和MPLS安全

多VRF是站点间IPSec VPN的扩展,可帮助企业确保流量在穿过运营商网络时的安全性和保密性。然而,在传统LAN网络上保证分别传输隔离的流量是更加复杂的工作。当部署到多个分支机构站点时,这一点尤其重要。多VRF旨在以价格合理的最佳方式保证流量间的机密性。

威胁防御

威胁防御服务使用网络服务防止并响应网络攻击。例如,思科IOS防火墙和Cisco IOS IPS。

Cisco IOS防火墙

Cisco IOS防火墙是面向思科路由器的状态检测防火墙选项。Cisco IOS防火墙与市场领先的思科PIX防火墙使用相同的状态防火墙技术,可部署在全部的集成多业务路由器上,提供Cisco IOS软件的高级安全或更高的特性集。Cisco IOS防火墙是理想的单一设备安全和路由解决方案,用于保护到网络的WAN入口。虽然中央站点是安装防火墙并检测流量攻击的常见位置,但远程机构也是部署安全的主要位置。

思科通过应用防火墙支持增强了Cisco IOS防火墙。应用防火墙为Cisco IOS防火墙提供了智能,不仅允许它阻断非HTTP流量,还可确保被认为是HTTP的流量是支持web浏览的合法浏览,而不是即时消息传递或试图穿过防火墙的类似流量。这使网络管理员能够对穿过防火墙的应用进行更严密的控制。

Cisco IOS防火墙不仅在网络外围提供单点保护,还允许将安全策略作为网络的固有组件加以执行。专用和集成策略执行的灵活性与经济高效性可促进面向外联网和内联网外围的安全解决方案以及面向分支或远程机构的互联网连接。Cisco IOS防火墙通过Cisco IOS软件集成到网络中,还允许客户使用相同路由器中的高级QoS特性。

Cisco IOS防火墙支持IPv6防火墙并允许IPv4与IPv6共存。Cisco IOS防火墙的IPv6为IPv6数据包提供状态协议检测(异常检测)并可牵制IPv6 DoS攻击。

透明防火墙

除了第3层状态防火墙外,Cisco 800、1800、2800和3800系列路由器以及Cisco 7200和7301系列汇聚路由器还支持透明防火墙,进而为相同路由器上的L2连接提供L3防火墙支持。透明防火墙支持子接口和VLAN中继段、生成树协议、所有标准的管理工具和动态主机配置协议(DHCP)直通功能,以便在对面的接口上分配DHCP地址(双向)。由于无需接口上的IP子网重新编号或IP地址,因此可轻松添加到现有网络上。

线内入侵防御系统

思科以提供第一款带有线内IPS功能的路由器而领先业界。Cisco IOS IPS是基于深层数据包检测的解决方案,使得Cisco IOS软件能够有效牵制网络攻击。Cisco IOS IPS利用思科入侵检测系统(IDS)传感产品的先进技术,提供入侵防护和事件识别,包括Cisco IDS 4200系列产品、Cisco Catalyst® 6500 IDS业务模块及IDS硬件产品等网络模块。

由于运行Cisco IOS软件的IPS,入侵防御系统能够丢弃流量、发送告警信号或重新设置连接,进而帮助路由器即时响应安全威胁并保护网络。与IPSec VPN、GRE和Cisco IOS防火墙结合在一起,Cisco IOS IPS在业界率先允许在网络的第一个入口(分支机构或总部)开展解密、隧道终接、防火墙和流量检测等工作。Cisco IOS IPS尽量保证在源头阻断攻击流量。

与Cisco 800、1800、2800和3800系列路由器结合在一起,Cisco IOS IPS现已能够与Cisco IDS传感产品一样装载并运行选定的IPS签名,从而允许客户从思科IDS传感平台支持的1200多个签名中进行选择。客户还可修改现有签名或创建新签名以应对新发现的威胁。如果希望提供最好的入侵防护,客户可选择包含“可能的”蠕虫和攻击签名的易用的签名文件,将与这些高度保密的蠕虫和攻击签名相符的流量配置为“丢弃”。Cisco SDM为设置这些签名提供了易用的直观用户界面,包括允许从Cisco.com加载新签名等,无需更换软件版本。Cisco SDM还可为这些签名适当地配置路由器。

URL过滤(机载和单独选项)

思科提供的URL过滤功能可支持Cisco IOS防火墙,允许客户与思科安全路由器一起使用Websense 或 N2H2 URL过滤产品。Websense URL过滤特性允许企业部署的Cisco IOS防火墙与Websense 或N2H2 URL过滤软件互动,以便根据安全策略防止用户访问某些网站。Cisco IOS防火墙与Websense 和 N2H2服务器协作,以决定允许还是拒绝(阻断)特殊的URL。

高级安全网络模块(Cisco 2800和3800系列选项)

如果希望为IDS和内容安全提供基于硬件的专用解决方案,企业可选择向Cisco 2800和3800系列路由器中添加两个网络安全模块。

Cisco IDS网络模块可实现完整的IDS系统,该系统可与其他IDS组件协作,以便有效地保护数据和信息基础设施。Cisco IDS网络模块为IDS提供了专用的CPU,并为日志记录提供一个20-GB的硬盘驱动器,支持超过1000个IPS签名。思科内容引擎网络模块提供了路由器集成的内容交付系统和内容安全特性。除了智能缓存和内容路由外,它还可用作URL过滤(Websense、SmartFilter)应用服务器。

选择专用安全产品还是集成化安全路由器?

部署防火墙的客户能选择思科一流的专用PIX安全产品或Cisco IOS防火墙。路由器集成的Cisco IOS防火墙结合了Cisco PIX防火墙技术与20多年的专业路由经验。

思科将继续通过路由器和专用安全产品提供一流的嵌入式安全,以允许客户选择如何为网络提供最佳的安全保护。虽然集成化安全产品与单独产品之间的界限越来越模糊,但客户在选择时总是有据可依的(选择一款产品还是同时选择两款产品)。

返回顶部

集成化安全最适用于小企业或分支机构

待保护的网络地点是一个重要考虑因素。许多公司都选择将安全集成到其边缘汇聚路由器中。然而,大企业更希望通过单独产品保护头端安全并通过集成到Cisco Catalyst交换机中的防火墙服务模块(FWSM)保护数据中心的安全,因为这些网络区域需要更高的吞吐量。然而,相同的企业可能还会选择在分支机构添加提供集成化安全的路由器,藉此保护网络中所有点的安全。

中小型企业和大企业的分支机构与大型企业总部面临许多相同的安全问题,但他们通常只能提供极其有限的(或根本无法提供)用于管理安全解决方案的本地IT资源。由于IT资源有限,小企业不适于使用大企业部署和管理多个产品的支持模式。在这种情况下,将多个产品集成到一个可集中管理的平台上能够简化小企业的排障和维护工作,同时降低TCO。

Cisco 800、1800、2800和3800系列集成多业务路由器最适用于小企业和大企业的分支机构,为连接远程机构、移动用户及合作伙伴外联网或电信运营商管理的客户端设备(CPE)提供了特性丰富的集成解决方案。通过基于Cisco IOS软件的VPN、防火墙、IPS以及可选的增强型VPN加速、IDS和内容引擎网络模块(Cisco 2800 和 3800系列),思科为分支办事处的路由器提供了业界最强韧的自适应安全解决方案。

例如,一家大型百货连锁机构通过专线在每个商店与公司总部之间提供WAN连接。将超市的客户数据安全保存在总部是至关重要的,特别是联邦和州政府法律都要求当记录遭到破坏时必须通知全部客户。为了使公司网络免遭百货商店内部发动的有害攻击,这家连锁店决定在现有路由器中添加Cisco IOS防火墙。

客户喜好

是选择网络集成化安全还是专用安全解决方案,同时也受到客户喜好的影响:客户是希望利用现有的基础设施、部署和运行架构,还是需要特定的特性,某些公司只希望“让路由器和交换机各尽其责”;或者从管理的角度看,公司可能选择将安全和VPN基础设施与网络基础设施相分离,因为公司有专门人员负责安全和VPN管理。

未来成本评估

利用现有的路由器或交换机来提供安全——通过添加Cisco IOS软件的安全版本和VPN模块——是延长基础设施部署寿命的经济高效的选择,可最大限度地提高原始投资回报并大幅度降低因采用不成熟设备带来的未来成本和业务中断。与计划中和意外中断相关的成本是评估未来成本时最重要的考虑因素。

提高集成服务能力还可允许网络支持未来的融合多媒体部署,从而增强整个网络的灵活性及可用性。此外,这些功能还使客户能够提高响应速度以避免丢失机会,缩短部署新业务所需的总时间,减少不必要的近期设备升级,并通过提高可扩展性来降低TCO。

特性差别

思科将Cisco PIX安全产品的技术集成到了Cisco IOS防火墙中,使两个安全解决方案的特性集变得越来越相似。也就是说,思科将继续使用安全产品来改进并验证新技术,并将它们结合到集成多业务路由器中。对于需要最先进的创新安全特性的机构来说, Cisco PIX安全产品通常在全新安全特性作为Cisco IOS防火墙选项提供之前交付。

总结

现在,网络仍是大多数企业的核心。由于安全威胁日益猖獗,负责网络保护的IT经理仍把网络安全视为重中之重。随着客户日益需要更集成的安全解决方案来保护所有网络入口,思科将不断增强其安全解决方案以便大幅度提高网络识别、抵御和响应威胁的能力。

新一代思科集成多业务路由器采用嵌入式安全硬件加速技术,将Cisco IOS VPN、防火墙和IPS服务结合到全部的思科路由器产品中,提供了业界最全面的自适应安全解决方案。这些路由器专门用于满足小型和远程机构的集成化安全要求,帮助他们最大限度地减少操作系统和设备数量,以克服IT资源有限的难题。

通过将强大的Cisco IOS软件功能和业界领先的LAN和WAN连接与一流的安全功能结合在一起,思科集成化安全解决方案使客户能够利用现有网络基础设施并在最需要的位置部署安全。Cisco IOS软件允许客户在其路由器上使用全新的集成特性并将这些安全功能应用到任意网络位置,无需添加硬件。思科集成多业务路由器可保护所有网络入口,同时抵御直接针对网络基础设施的攻击。

返回顶部

路由器集成服务引起市场的浓厚兴趣

思科看到,无论是小企业还是大企业都对路由器集成服务产生了浓厚兴趣。

Ann Taylor

Ann Taylor是总资产超过十亿美元的服装零售商,在美国和波多黎各经营着600家商店。为了支持其扩展计划,Ann Taylor决定更换其拨号网络以实现网络销售和库存应用、确保即时信用卡交易的安全、并在将来在店内安装语音和视频信息台。

Ann Taylor迅速在全新的网络中部署了思科路由器和集成VPN,以便为所有零售商店提供内联网、电子邮件、在线销售和订单履行系统、信贷转换和信用卡清算系统、全国性的库存系统和销售绩效应用。

他们取得了显著的成效。全新的库存系统使销售人员能够访问准确的实时商品信息并能够与同事协作,以便更轻松地处理商品。经理能访问销售表格和销售手册、检查销售数据并更新商品展示。新系统帮助所有地点的销售人员实现了生产率最大化。

GST

GST是交通运输和物流解决方案供应商,下设34家机构,拥有员工380人。公司希望将数据和语音网络融合在一起,以扩展互联网访问并降低成本,简化供应商和网络管理工作,并降低与电话挪动、添加和更换等相关的成本及复杂性。

利用思科交换机和路由器,GST将数据、VPN、安全和IP电话集成在一起,在不到3年的时间内,将月平均开销从19家机构的52,000美元降至34家机构的57,000美元。公司还向网络中新添了15家新机构,并使远程员工能像总部员工一样访问网络。客户现已能够通过网站直接提交并跟踪订单。

返回顶部

更多信息

关于Cisco 1800、2800和3800系列模块化集成多业务路由器的安全特性的更多信息,请浏览以下文件。

白皮书

通过集成多业务路由器最大限度提高分支机构的可用性
http://www.cisco.com/en/US/products/ps5854/products_white_paper0900aecd80173e40.shtml

Miercom实验室测试总结报告

思科集成多业务路由器
http://www.miercom.com

NAC

http://www.cisco.com/en/US/netsol/ns466/networking_solutions_package.html

网络基础设施保护

http://www.cisco.com/en/US/products/sw/iosswrel/ps5207/products_data_sheet09186a00801f98de.html

思科路由器和安全设备管理器

http://www.cisco.com/go/sdm

返回顶部

联系我们