КРАТКОЕ СОДЕРЖАНИЕ

Встроенные механизмы безопасности маршрутизаторов, предлагаемые компанией Cisco, обеспечивают предоставление наибольшего числа полнофункциональных и экономичных в отрасли сервисов безопасности, гибко интегрируя функции маршрутизации и безопасности, которые служат для обеспечения высокоскоростной, масштабируемой работы важнейших бизнес-приложений. Применяя маршрутизаторы Cisco 7301 и серии Cisco 7200, корпоративные клиенты могут выгодно использовать это решение Cisco Systems, чтобы изменить основные характеристики сети, повысить доходность инвестиций (ROI) и снизить операционные затраты. Это решение позволяет добиться такой результативности и такого масштабирования, которые учитывали бы рост компании и деловых партнеров.

В маршрутизаторах Cisco 7301 и серии Cisco 7200 апробированные функции программного обеспечения Cisco IOS и лучшие в отрасли возможности связи в сетях LAN и WAN дополняются функциями обеспечения безопасности мирового класса, что приносит следующие преимущества:

  • Группирование VPN-сетей для связи между площадкам (site-to-site) и удаленного VPN-доступа на основе единой сетевой платформы для упрощения операций и снижения расходов на обучение.
  • Более высокая безопасность, включая выявление распределенных атак с отказом в обслуживании (DDoS) на корпоративных серверах и других объектах и принятие ответных мер.
  • Обеспечение высокой надежности граничных маршрутизаторов, гарантия их доступности даже в том случае, если они становятся мишенью атаки.

Интегрированные механизмы безопасности маршрутизаторов Cisco для центральных офисов компаний включают полный набор сервисов защиты для надежного расширения области использования бизнес-ресурсов с охватом удаленных площадок, бизнес-партнеров, удаленных и мобильных работников. Центральные офисы компаний часто нуждаются в высокопроизводительных решениях большого масштаба, которые также обеспечивали бы гибкость предлагаемых бизнес-услуг. Решения, предлагаемые для компаний, должны отвечать жестким требованиям к поддержанию работоспособности, которые предъявляет крупная быстро меняющаяся рабочая среда.


КРАТКАЯ ИНФОРМАЦИЯ О ПРОДУКТЕ

Маршрутизаторы Cisco 7301 и серии Cisco 7200 идеально подходят для больших и средних компаний. Это многофункциональное интегрированное решение по обеспечению безопасности служит для соединения сетей удаленных офисов, мобильных пользователей и партнеров компании. Интегрированный компонент набора функций безопасности - модуль Cisco VPN Acceleration Module 2+ (VAM2+) – предоставляет высокопроизводительные сервисы шифрования, сжатия и генерирования ключей для работы ВЧС приложений (протокол IPSec). Маршрутизаторы Cisco 7301 и серии Cisco 7200 созданы для центральных офисов компаний. В них реализованы функции обеспечения безопасности и усовершенствованные сетевые сервисы. Это обеспечивает гибкий интегрированный подход для работы даже в самых разнородных рабочих средах.


САМОЗАЩИЩАЮЩАЯСЯ СЕТЬ CISCO

Маршрутизаторы Cisco 7301 и серии Cisco 7200 являются встроенными элементами самозащищающейся cети Cisco (Cisco Self-Defending Network, SDN). Эта стратегия дает компаниям возможность выявлять и предотвращать угрозы безопасности сети и противодействовать им. Самозащищающаяся сеть Cisco построена на базе систем интегрированной безопасности, коллективной безопасности и адаптивной защиты Cisco (Cisco Integrated Security, Cisco Collaborative Security и Cisco Adaptive Threat Defense).

Исходной опорной структурой служит система базисной защиты сети Cisco Network Foundation Protection (NFP). Механизмы интегрированной безопасности Cisco SDN внесли революционные изменения в безопасность сетей, превратив в оборонительный рубеж защиты каждый сетевой элемент, в том числе маршрутизаторы, коммутаторы, встраиваемые модули и конечные узлы. Центральные элементы в системе интегрированной безопасности Cisco, благодаря которым маршрутизаторы становятся важнейшими устройствами обеспечения безопасности сети, включая Cisco Secure Connectivity, Cisco ATD и Cisco Trust and Identity. Это:

  • Cisco Secure Connectivity – Эта функция обеспечивает надежное и масштабируемое сетевое взаимодействие, включая различные типы трафика. Примеры: IPSec VPN (ВЧС), динамические многоточечные VPN (Dynamic Multipoint VPN, DMVPN), Easy VPN, VPN с голосовыми и видео-функциями (V3PN), а также высоконадежная голосовая связь.
  • Cisco Threat Defense – Эта функция предотвращает сетевые атаки и угрозы и принимает против них ответные меры, используя сетевые сервисы. Примеры: NetFlow, Система предотвращения вторжений Cisco IOS Intrusion Prevention System (IPS) и межсетевой экран Cisco IOS Firewall.
  • Cisco Trust and Identity – Эта функция позволяет применять в сети интеллектуальные механизмы защиты конечных узлов с использованием таких технологий, как аутентификация, авторизация и аудит (AAA), инфраструктура открытых ключей (PKI) и сервисы идентификации на базе 802.1x.
  • Благодаря системам коллективной безопасности Cisco SDN система безопасности становится общесетевой, охватывая конечные узлы, сеть и правила политик. В качестве примера можно привести такие решения, как контроль доступа в сеть (NAС), в котором сервисы и устройства скоординировано отражают атаки благодаря активному управлению доступом.

Система Cisco SDN ATD дополнительно снижает риски, угрожающие безопасности. Она динамично анализирует угрозы на различных уровнях, помогая ужесточить контроль над сетевым трафиком, конечными точками, пользователями и приложениями. Кроме того, эта система делает архитектуру менее сложной и снижает операционные расходы, размещая сервисы на меньшем количестве устройств. При таком инновационном подходе надежная многоуровневая интеллектуальная логика, защита приложений, контроль в масштабах всей сети и локализация угроз реализуются в рамках высокопроизводительных решений. В числе важных составляющих ATD – более скоординированная система нейтрализации угроз, в которой применяются механизмы защиты Anti-X, обеспечения безопасности приложений, сетевого контроля и локализации.

Cisco NFP – это интегрированный элемент Cisco SDN с широкой областью действия, который защищает сетевую инфраструктуру от атак и угроз, особенно на уровне сети. Примеры: защита уровня контроля маршрутизатора, сетевое распознавание приложений (network-based application recognition, NBAR) и AutoSecure.


ВОЗМОЖНОСТИ ЗАЩИТЫ И ПРЕИМУЩЕСТВА МАРШРУТИЗАТОРОВ CISCO 7301 И СЕРИИ CISCO 7200

В маршрутизаторах Cisco 7301 и серии Cisco 7200, созданных для предоставления надежных сервисов, реализовано уникальное сочетание аппаратных и программных функций безопасности. В Таблице 1 перечислены некоторые аппаратные функции безопасности, предусмотренные в этих маршрутизаторах.

Таблица 1. Аппаратные функции безопасности для коммутаторов Cisco 7301 и серии Cisco 7200 в комплекте ресурсов безопасности.

Функция Комплект ресурсов безопасности Cisco 7206 NPE-400 Комплект ресурсов безопасности Cisco 7206 NPE-G1 Комплект ресурсов безопасности Cisco 7301
Аппаратное ускорение шифрования данных в VPN (IPSec Data Encryption Standard [DES], Triple DES [3DES], Advanced Encryption Standard [AES] 128, 192, and 256) VAM2+ (включен) VAM2+ (включен) VAM2+ (включен)

В Таблице 2 указаны интегрированные функции безопасности и характеристики маршрутизаторов Cisco 7301 и серии Cisco 7200. Многие из этих функций также предусмотрены в маршрутизаторах серий Cisco 800, 1800, 2800 и 3800 с интегрированными сервисами. Для большинства перечисленных функций даны ссылки на дополнительную информацию, приведенную в этом документе.

Таблица 2. Основные интегрированные возможности и преимущества безопасности маршрутизаторов Cisco 7301 и серии Cisco 7200

Возможности Описание
ЗАЩИЩЕННОЕ ВЗАИМОДЕЙСТВИЕ
IPSec Ускорение шифрования данных в VPN между двумя узлами при работе в IPSec (DES, 3DES и AES 128, 192 и 256).
Dynamic Multipoint VPN (DMVPN) Динамические многоточечные виртуальные частные сети (Dynamic Multipoint VPN) – это масштабируемый и гибкий способ создания виртуальных связанных между собой IPSec туннелей для филиалов. При добавлении новых ветвей не требуется никакая конфигурация на концентраторе.
V3PN V3PN – это экономичная интегрированная передача голосовой информации, видеоматериалов и данных по VPN в любую точку.
Virtual Tunnel Interface (VTI) Эта функция упрощает конфигурирование и создание VPN.
Безопасность маршрутизации и пересылки между несколькими VPN и многопротокольной коммутации на основе меток (Multi-VPN Routing and Forwarding (VRF) and Multiprotocol Label Switching (MPLS) Secure Contexts) Эта функция поддерживает виртуальные межсетевые экраны (адресацию, маршрутизацию и интерфейсы) для разграничения отделов, дочерних структур или клиентов. Все они могут иметь одно соединение с центральным офисом (например, IPSec VPN или Frame Relay или ATM), но надежно разграничены между собой.
Поддержка клиента и серверов Easy VPN Эта функция упрощает администрирование и управление сетями VPN, которые связывают различные узлы сети между собой, за счет активного продвижения новых политик безопасности из головного узла в сети на удаленные площадки.
Высокий уровень доступности При помощи таких опций как восстановление после сбоев с учетом параметров состояния (IPSec Stateful Failover) и протокол маршрутизации высокой готовности (Hot Standby Router Protocol, HSRP) с обратным вводом трафика (Reverse Route Injection, RRI) сети Cisco VPN поддерживают целый ряд функций развертывания с резервированием и балансировки нагрузки.
ЗАЩИТА ОТ УГРОЗ
NetFlow NetFlow обеспечивает выявление атак DDoS на основании аномалий и предоставляет данные, которые помогают отследить источник атаки и отреагировать на атаку в реальном времени.
Дистанционно инициируемая фильтрация на базе источников со сбросом в черные дыры (Source-based Remotely Triggered Blackhole, RTBH) Эта возможность обеспечивает защиту на уровне скорости канала (wire-rate) в реальном времени от атак DDoS при помощи комбинации функций IP-маршрутизации.
Межсетевой экран Cisco IOS Firewall Межсетевой экран Cisco IOS Firewall – это идеальное решение по обеспечению безопасности и маршрутизации на базе одного устройства, служащее для защиты точки выхода WAN в сеть. Теперь в нем предусмотрена поддержка IPv6.
Система предотвращения вторжений Cisco IOS Intrusion Prevention System (IPS) Cisco IOS IPS – это линейно подключаемое решение, основанное на углубленном инспектировании пакетов, которое, действуя совместно с программным обеспечением Cisco IOS Software, эффективно подавляет сетевые атаки. Эта система может сбрасывать трафик, посылать сигналы тревоги, локально блокировать или сбрасывать соединения, помогая маршрутизатору мгновенно отреагировать на угрозы безопасности и защитить сеть.
ДОВЕРИТЕЛЬНЫЕ ОТНОШЕНИЯ И ИДЕНТИФИКАЦИЯ
Поддержка стандарта 802.1x на интегрированном коммутаторе В приложениях, соответствующих стандарту 802.1x, требуются действующие мандаты доступа, которые затрудняют несанкционированный доступ к защищенным информационным ресурсам и развернутым незащищенным точкам беспроводного доступа.
Сервер сертификатов Cisco IOS Certificate Server и клиент Эта функция дает маршрутизатору возможность действовать в сети в качестве центра сертификации.
Аутентификация, авторизация и аудит (AAA) AAA позволяет администраторам динамически конфигурировать желаемый тип аутентификации и маршрутизации индивидуально для каждого соединения (для каждого пользователя) или для каждого сервиса (например, IP, межсетевой пакетный обмен (Internetwork Packet Exchange, IPX), или виртуальная частная коммутируемая сеть (private dialup network, VPDN)).
Поддержка стандарта 802.1x на интегрированном коммутаторе В приложениях, соответствующих стандарту 802.1x, требуются действующие мандаты доступа, которые затрудняют несанкционированный доступ к защищенным информационным ресурсам и развертывание незащищенных точек беспроводного доступа.
КОНТРОЛЬ И ЛОКАЛИЗАЦИЯ В СЕТИ
Контроль доступа в сеть (NAC) NAC ограничивает распространение вирусов и червей в сети, предоставляя доступ только безопасным устройствам, которые соответствуют установленным политикам доступа и безопасности.
БАЗОВАЯ ЗАЩИТА СЕТИ
Защита уровня контроля маршрутизатора Эта функция снижает результативность атаки DDoS, контролируя соблюдение политик по объему входящего трафика на уровне контроля маршрутизатора. Это помогает сохранить доступность сети, даже когда она подвергается атаке.
AutoSecure AutoSecure упрощает конфигурацию функций безопасности на маршрутизаторах и снижает риск ошибок конфигурации.
Сетевое распознавание приложений (Network-Based Application Recognition, NBAR) Этот механизм классификации в программном обеспечении Cisco IOS Software способен распознавать широкий спектр приложений. Когда приложение распознано, сеть может инициировать конкретные сервисы специально для данного приложения, обеспечив должный уровень контроля.
Установление пороговых лимитов для CPU и памяти Резервируя ресурсы CPU и памяти, эта функция обеспечивает поддержание работоспособности маршрутизатора при высоких нагрузках, например, возникающих при атаках.
Протокол SSH (Secure Shell Protocol) версии 2 SSH v2 обеспечивает защищенный доступ администратора к устройствам, включая аутентификацию и шифрование.
Простой SNMP (Simple Network Management Protocol), версия 3 SNMP обеспечивает надежное, основанное на стандартах управление и контроль над устройствами для клиентских приложений.
Ролевой доступ к интерфейсу командной строки (CLI) Эта функция обеспечивает основанный на различных видах представления доступ интерфейсу командной строки (CLI), предоставляя возможность высоконадежного логического разграничения на маршрутизаторе между сетевыми операциями, операциями безопасности и конечными пользователями.
УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ
Управление встроенными сервисами в маршрутизаторах Cisco и Cisco SDM (Security Device Manager) Интуитивно-понятный, простой в использовании вэб-инструмент управления встроенный в маршрутизаторы с программным обеспечением Cisco IOS Software, с ним можно работать удаленно по защищенным протоколам HTTPS и SSH.
Решение CiscoWorks VPN/Security Management Solution (VMS) CiscoWorks VMS – это полнофункциональный инструмент управления для развертывания VPN среднего и большого масштаба; в нем предусмотрена возможность конфигурации правил для туннелей IPSec и межсетевых экранов.

ЗАЩИЩЕННОЕ ВЗАИМОДЕЙСТВИЕ

IPSec VPN туннелирование и шифрование

Сети VPN – это наиболее быстро развивающаяся форма соединения сетей и, поскольку применение VPN расширяется, также повышаются требования к производительности, масштабируемости и функциональным возможностям, в особенности в динамичных рабочих средах центральных офисов компаний. Подходящими решениями для таких “требовательных” сетей часто становятся отдельные устройства, в которых можно объединить VPN, служащие для связи между площадками и для удаленного доступа, предоставляя при этом различные сервисы безопасности. В пакеты ресурсов безопасности маршрутизаторов Cisco 7301 и серии Cisco 7200 входят аппаратные механизмы ускорения шифрования, которые снимают нагрузку при шифровании AES, DES и 3DES в IPSec и обеспечивая VPN-процессам, при этом повышенную пропускную способность с минимальным воздействием на CPU маршрутизаторов.

Основные функции ускорителя VPN VAM2+, включенного в комплект ресурсов безопасности маршрутизаторов Cisco 7301 и серии Cisco 7200, перечислены ниже:

  • Ускорение IPSec вплоть до OC-3.
  • Аппаратное ускорение для алгоритмов шифрования DES, 3DES и AES (128, 192 и 256).
  • Поддержка подписей для алгоритмов RSA и Diffie-Hellman при аутентификации.
  • Использование алгоритмов хеширования SHA-1 или MD5 при обеспечении целостности данных.
  • Поддержка сжатия на уровне 3 (Сжатие по протоколу компрессии полезной нагрузки IP [IP Payload Compression Protocol, IPPCP]) в аппаратуре при помощи модуля шифрования VPN.

Центральные офисы компаний – это, как правило, крупные площадки со сложной структурой, предъявляющие целый ряд требований к сети. Устойчивость работы сети часто играет важную роль. IPSec с туннелированием с общей маршрутной инкапсуляцией (generic-routing-encapsulation, GRE) позволяет пересылать протоколы с динамической маршрутизацией поверх VPN. В этом случае сеть оказывается более устойчивой, чем при использовании только решений IPSec. Помимо обеспечения механизма отказоустойчивости, туннели GRE дают возможность шифрования multicast и широковещательных пакетов и не-IP протоколов. Используя GRE с IPSec, корпоративные клиенты могут обеспечить поддержку протоколов, в частности, AppleTalk и Novell IPX, а также multicast и широковещательных приложений, например, видео-приложений.

Динамическая многоточечная VPN (Dynamic Multipoint VPN, DMVPN)

Компания Cisco заняла ведущие позиции в отрасли, первой предложив маршрутизаторы с функциями DMVPN. DMVPN компании Cisco помогает создать работающую по требованию, масштабируемую полностью объединенную VPN для сокращения времени ожидания, сохранения полосы пропускания и упрощения развертывания сетей VPN. Функция DMVPN создана на базе опыта специалистов Cisco по IPSec и маршрутизации. Она помогает обеспечить динамическую конфигурацию туннелей GRE, шифрования IPSec, протокола NHRP (Next Hop Resolution Protocol), протокола выбора кратчайшего пути OSPF (Open Shortest Path First) и протокола маршрутизации EIGRP (Enhanced Interior Gateway Routing Protocol). Преимущества, заложенные в DMVPN, в полной мере реализуются в центральных офисах компаний, где динамическая конфигурация VPN туннелей в сочетании с такими технологиями как качество обслуживания (QoS) и IP Multicast, оптимизирует работу приложений, чувствительных к времени ожидания, в частности, голосовых и видео-приложений. Помимо этого, DMVPN упрощает администрирование, поскольку при добавлении новых ветвей или установлении соединений между ветвями не требуется никакая конфигурация на концентраторе.

V3PN

V3PN создает инфраструктуру VPN, способную объединять данные, голосовую и видео информацию в рамках высоконадежной сети IPSec с функциями QoS. Это дает клиентам возможность надежным и эффективным путем добиться такого же быстродействия голосовых и видео-приложений в сети с IP-транспортировкой, которое было бы получено на альтернативном защищенном канале связи WAN. В отличие от многих устройств VPN, предлагаемых на рынке, в маршрутизаторах Cisco 7301 и серии Cisco 7200 реализована разнообразная сетевая топология и требования к трафику, которые дают возможность использования сетей VPN с различными сервисами IPSec. В сквозной (end-to-end) сетевой архитектуре V3PN используются маршрутизаторы Cisco с функциями безопасности и программным обеспечением Cisco IOS для обеспечения безопасности голосового трафика.

Виртуальный туннельный интерфейс (VTI)

Сети VPN все чаще признают основополагающим решением по обеспечению надежных соединений WAN. Они заменяют или дополняют существующие частные сети, в которых используются выделенные линии, Frame Relay или ATM, и обеспечивают более экономичное и гибкое соединение удаленных или филиалов и центральных офисов. Этот новый статус требует, чтобы устройства VPN обеспечивали более высокое быстродействие, поддерживали интерфейсы LAN и WAN и высокую доступность сети.

Cisco IPSec VTI – это новый инструмент, которым клиенты могу воспользоваться для конфигурирования сети VPN для связи площадок на базе IPSec. Это интерфейс с возможностями маршрутизации, служащий для настройки туннелей IPSec и упрощения конфигурации. Туннели Cisco IPSec VTI обеспечивают выделенный путь следования по совместно используемой WAN и инкапсуляцию трафика с новыми заголовками пакетов. Это помогает гарантировать доставку данных в конкретные адреса назначения. Сеть частная, поскольку трафик может входить в туннель только в конечной точке. Помимо этого, IPSec (как и шифрование) обеспечивает реальную конфиденциальность и может передавать зашифрованный трафик.

При помощи Cisco IPSec VTI компании могут в полной мере использовать рентабельные VPN и продолжать добавление голосовой и видео информации без ущерба для качества и надежности в сеть данных. Эта технология обеспечивает высоконадежное соединение для сетей VPN, служащих для связи между площадками. Ее можно скомбинировать с Cisco AVVID (Architecture for Voice, Video and Integrated Data) для передачи по IP-сетям смешанной информации – голосовой, видео и данных.

Аспекты безопасности Multi-VRF и MPLS для провайдеров услуг

Multi-VRF (другое название - VRF-Lite) дает возможность конфигурировать и поддерживать несколько таблиц маршрутизации и пересылки на одном физическом маршрутизаторе. В сочетании с технологиями Ethernet VLAN и технологиями WAN VPN, например, Frame Relay, помогает обеспечить возможность для создания нескольких логических сервисов с использованием одной физической сети. При этом область безопасности и конфиденциальности расширяется и охватывает до границы клиентской зоны.

Один маршрутизатор Cisco с Multi-VRF может обеспечить поддержку нескольких компаний с частично пересекающимися IP-адресами, сохраняя при этом разграничение данных, маршрутизации и физических интерфейсов. Дополнительные сведения о Multi-VRF даны в информации о продукте.

Easy VPN

Для простоты, высокой масштабируемости, требований удаленного доступа Cisco предлагает решение Easy VPN, в котором для упрощения конфигурации применяется технология “проталкивания политики” ("policy-push"), но при этом сохраняется широкий спектр настроек и контроль над соблюдением политики. Сервер Easy VPN, конфигурированный в центральном офисе компании, передает политики безопасности на удаленные устройства VPN, обеспечивая реализацию на таких соединениях действующих политик еще до установки соединения.

Преимущества Easy VPN:

  • Easy VPN поддерживается на аппаратуре (маршрутизаторах доступа) в составе оборудования на объекте клиента (CPE) и в программном обеспечении, используя тот же маршрутизатор в центральном офисе. Клиентское программное обеспечение Cisco VPN Client можно инсталлировать без дополнительных затрат на компьютерах PC, Mac и в системах UNIX, для удаленного доступа к VPN маршрутизатору. Поскольку одна и та же технология (Easy VPN) используется на аппаратуре у клиента (CPE) и программном обеспечении, общая стоимость владения снижается за счет упрощения и унификации в обслуживании, мониторинге и сервисов AAA.
  • В Easy VPN предусмотрены опции локальной, на базе маршрутизаторов, и централизованной аутентификации RADIUS и AAA для CPE маршрутизаторов и индивидуальных пользователей. Аутентификацию на базе стандарта 802.1x также можно использовать для аутентификации хостов в каждом местоположении CPE.
  • Easy VPN предлагает цифровые сертификаты, повышая уровень безопасности по сравнению с предраспределенными ключами (preshared keys).
  • Балансировка нагрузки для нескольких находящихся на центральной площадке концентраторов Easy VPN автоматически распределяет нагрузку между несколькими серверами Easy VPN. Принудительная передача политик с резервных концентраторов на CPE позволяет компаниям масштабировать решение без переконфигурации CPE.
  • Виртуальный Easy VPN сервер дает провайдерам услуг возможность предлагать сервисы VPN нескольким клиентам с одной платформы.
  • Easy VPN предлагает полнофункциональную интеграцию, включая динамическое назначение политики QoS, межсетевые экраны и IPS, раздельное туннелирование, Cisco Service Assurance Agent и NetFlow для мониторинга.
  • Cisco SDM дает возможность на базе мастер-программы быстро развернуть Easy VPN совместно с сервисами AAA и межсетевого экрана, а также возможность графического мониторинга в реальном времени удаленных клиентов Easy VPN.
  • Easy VPN поддерживается во всех линейках продуктов Cisco VPN: в программном обеспечении Cisco IOS, межсетевых экранах Cisco PIX и концентраторах серии Cisco VPN 3000.

Высокая доступность и балансировка нагрузки для центральных офисов компаний

Сети Cisco VPN поддерживают широкий спектр функций для развертывания с резервированием и для балансировки нагрузки. Для головных структур IPSec меньшего масштаба можно использовать в целях резервирования HSRP и RRI, а при большем масштабе для обеспечения резервирования и балансировки нагрузки можно применять инструмент Cisco балансировки нагрузки на серверы (SLB):

  • Отказоустойчивые IPSec сохранением параметров состояния (IPSec Stateful Failover) - отказоустойчивые IPSec сохранением параметров состояния дает клиентам возможность развернуть резервный сервер IPSec, чтобы продолжить обработку и пересылку пакетов IPSec после планового или незапланированного простоя в работе. Резервный (вторичный) сервер IPSec автоматически берет на себя выполнение задач активного (первичного) маршрутизатора без потери защищенных соединений с устройствами в том случае, если по какой-либо причине утрачивается способность к соединению активного маршрутизатора. Этот процесс прозрачен для конечного пользователя и не требует настройки или переконфигурации любых удаленных устройств. Восстановление IPSec после сбоев с учетом параметров состояния предназначено для работы совместно с механизмом переключения, учитывающего параметры состояния переключение (SSO), и HSRP. HSRP дает возможность резервирования сетевых ресурсов для сетей IP. Это помогает обеспечить немедленное и прозрачное восстановление пользовательского трафика после сбоев на граничных сетевых устройствах или в контурах доступа. Восстановление IPSec после сбоев с учетом параметров состояния обеспечивает защиту туннелей IPSec, IPSec с GRE, Cisco IOS Easy VPN.
  • HSRP и RRI - RRI работает с обеими динамическими и статическими криптографическими таблицами. Это упрощает структуру сети для тех VPN, в которых требуется либо высокая доступность, либо балансировка нагрузки. Маршруты создаются для каждой удаленной сети или хоста на головном устройстве для обеспечения возможности распространения динамических маршрутов. HSRP и IPSec динамически перераспределяют трафик для обеспечения максимальной доступности сервисов. Для хостов, не имеющих возможности переключиться на другой маршрутизатор, если возникает сбой первичного маршрутизатора, HSRP обеспечивает непрерывный сетевой доступ. В этом случае, виртуальный IP-адрес HSRP используется как оконечная точка туннеля VPN, чтобы обеспечить непрерывную доступность для отказоустойчивости без учета параметров состояния.
  • Балансировка нагрузки (Server Load Balancing, SLB) – Виртуальные серверы можно описать как группу физических серверов в кластере сетевых серверов (ферму серверов). Когда клиент инициирует соединение с виртуальным сервером, программное обеспечение Cisco IOS выбирает физический сервер для соединения на базе алгоритма балансировки нагрузки. В случае неисправности физического сервера SLB выполняет динамическое перераспределение всех входящих новых сеансов IPSec на другой сервер, тем самым обеспечивая резервирование.

ЗАЩИТА ОТ УГРОЗ

NetFlow

NetFlow – это основная отраслевая технология выявления аномалий в сетях, предоставляющая телеметрические данные для анализа IP-трафика. В частности, это информация о том, какие объекты связывались между собой, какие протоколы и порты использовались, в течение какого времени и с какой скоростью.

Атаки DDoS создают внезапные пиковые нагрузки в использовании сети. Их можно быстро идентифицировать как аномальные сетевые “события” в сравнении с типовыми образцами поведения трафика, которые составлены из ранее собранных профилей и базовых параметров.

Анализируя детальную информацию о потоках NetFlow, также можно классифицировать атаку (т.е. источник и цель атаки), длительность атаки и размер пакетов, используемых при атаке. В число инструментов анализа входят продукты партнеров Cisco в области безопасности - Arbor Networks, а также система мониторинга, анализа и ответных действий по обеспечению безопасности Cisco (Cisco Security Monitoring, Analysis and Response System (MARS).

Рис. 1. Пример выявления атак DDoS на базе аномалий с применением NetFlow и Arbor Networks


Фильтрация RTBH на источниках (Source-Based RTBH Filtering)

Если компания знает, откуда исходит атака (например, из анализа данных NetFlow), она может применить механизмы локализации, например, списки контроля доступа (ACL). Когда трафик атаки выявлен и классифицирован, можно создать и применить ACL на тех маршрутизаторах, где это необходимо. Поскольку этот механический процесс может оказаться сложным и длительным, многие клиенты применяют протокол BGP (Border Gateway Protocol) для быстрого и эффективного распространения информации о сбросе трафика на всех маршрутизаторах. Этот прием под названием RTBH задает в качестве ближайшей следующего узла для IP-адреса жертвы нулевой интерфейс. Трафик, адресованный жертве атаки, сбрасывается на входе в сеть.

Другой возможный вариант – сброс трафика, поступающего из конкретного источника. Этот метод аналогичен сбросу трафика, описанному выше, однако он опирается на существующий ранее развернутый механизм проверки передачи по обратному пути (Unicast Reverse Path Forwarding, URPF), который сбрасывает пакет, если его источник “некорректный”. В число таких ”некорректных” входят маршруты на null0. С использованием этого же механизма сброса на базе адресов назначения передается обновление BGP. Это обновление задает null0 в качестве ближайшего следующего узла для источника. После этого из всего трафика, входящего в интерфейс, на котором действует URPF, сбрасывается трафик из этого конкретного источника. Однако масштабируемые, инициируемые протоколом BGP механизмы сброса ограничивают доступный уровень детализации при реакции на атаку: они сбрасывают весь трафик в “черную дыру” или по источнику, или по адресату, как описано ранее. Во многих случаях такая реакция на крупномасштабную атаку эффективна, и она, безусловно, уменьшает сопутствующий ущерб.

Рис. 2. Защита на скорости канала и в режиме реального времени от атак DDoS с фильтрацией RTBH на источниках.


Межсетевой экран Cisco IOS

Межсетевой экран Cisco IOS – это межсетевой экран с инспектированием, учитывающим параметры состояния, предлагаемый для маршрутизаторов Cisco. Он создан на базе передовых технологий межсетевых экранов Cisco PIX Firewall и является идеальным реализованным в одном устройстве решением по безопасности и маршрутизации для защиты точек WAN входа в сеть.

Основные характеристики межсетевых экранов Cisco IOS:

  • Межсетевой экран, учитывающий параметры состояния и обеспечивающий защиту от атак DDoS.
  • Усовершенствованные функции инспектирования и контроля HTTP, включая способность задать и применять политику безопасности для порта 80; он отслеживает случаи ненадлежащего использования порта 80, отмечая те приложения, которые туннелируют трафик внутри http для избежания проверки.
  • Инспектирование электронной почты по следующим протоколам: протокол передачи почты SMTP, расширенный SMTP (ESMTP), почтовый протоколы POP3 и IMAP.
  • Усовершенствованное инспектирование по протоколу для голосовых, видео и других приложений (поддерживает H.323 v1 и v2).
  • Прозрачная сегментация 2-го уровня, которая позволяет легко добавлять межсетевой экран в существующие сети без перенумерации подсетей.
  • Возможность работы в смешанных средах IPv6 и IPv4.
  • Политики безопасности, устанавливаемые индивидуально для каждого пользователя, интерфейса или субинтерфейса (subinterface).
  • Тесно интегрированные сервисы идентификации для обеспечения аутентификации и авторизации пользователей.
  • Фильтрация URL (с применением внешнего сервера Websense или N2H2), которая блокирует доступ пользователей к конкретным вэб-сайтам в соответствии с корпоративной политикой безопасности.
  • Простое, основанное на политиках управление межсетевым экраном при помощи Firewall Policy View в Cisco SDM.
  • Отдельные виды представления для разных ролей, например, для сетевых операций, операций безопасности, определение политик безопасности и для конечных пользователей. Это позволяет нескольким командам специалистов осуществлять частное управление одним устройством.

Система предотвращения вторжений (IPS) Cisco IOS

Компания Cisco первой в отрасли предложила маршрутизаторы с функциями IPS. Cisco IOS IPS – это линейно подключаемое решение, основанное на глубокой проверке пакетов, которая помогает программному обеспечению Cisco IOS эффективно нейтрализовывать сетевые атаки. Cisco IOS IPS применяется для предотвращения вторжений и оповещения о событиях. В этой системе используются технологии, реализованные в продуктах системы выявления проникновений (IDS) компании Cisco, в числе которых датчики серии Cisco IDS 4200, сервисный модуль (IDSM) серии Cisco IDS Catalyst 6500 и устройства IDS аппаратуры сетевых модулей. Поскольку система IPS программного обеспечения Cisco IOS подключается линейно, она может сбрасывать трафик, помогая маршрутизатору мгновенно реагировать на угрозы безопасности и защищать сеть.

Cisco IOS IPS дает маршрутизаторам возможность сбрасывать трафик, посылать сигналы тревоги, локально сбрасывать или сбрасывать соединения, чтобы остановить трафик атаки в точке возникновения и как можно скорее удалить его из сети. Эти операции можно конфигурировать индивидуально для каждой сигнатуры. Теперь, когда решение IPS интегрировано в существующий маршрутизатор доступа, можно внедрить эту дополнительную линию обороны на границе сети, без дополнительных вложений кроме затрат на сам маршрутизатор.

Получаемые преимущества:

  • Возможность загружать и активировать избранные сигнатуры IPS так же, как в устройствах с датчиками Cisco IDS.
  • Поддержка постоянно растущего количества сигнатур, предоставляемых на выбор; в настоящее время платформы датчиков Cisco IPS поддерживают более 1200 сигнатур.
  • Пользователи получают возможность модифицировать существующую сигнатуру или создать новую сигнатуру для борьбы с новыми выявленными угрозами (каждую операцию сигнатур можно активировать индивидуально).
  • Возможность использовать ресурсы глобального обнаружения вирусов от Trend Micro, партнера Cisco по AVVID.
  • IPS 3-го уровня для соединений 2-го уровня, что позволяет легко добавлять IPS в существующие сети без необходимости перенумерации подсетей.
  • Помимо этого, Cisco IOS IPS дает тем пользователям, которые хотят получить максимальную защиту от проникновений, возможность выбрать легкий в использовании файл сигнатур, в котором содержатся “ наиболее правдоподобные” сигнатуры червей и атак. В конфигурации задается сброс трафика, который соответствует этим высокоточным сигнатурам червей и атак. В Cisco SDM предусмотрен интуитивный пользовательский интерфейс для создания таких сигнатур, включая возможность загружать новые сигнатуры с Cisco.com без необходимости изменять образ программного обеспечения, и соответствующая конфигурация маршрутизатора для этих сигнатур.

ДОВЕРИТЕЛЬНЫЕ ОТНОШЕНИЯ И ИДЕНТИФИКАЦИЯ

Сервисы идентификации на базе стандарта 802.1x

В приложениях, соответствующих стандарту 802.1x, неавторизованный доступ к защищенным информационным ресурсам затруднен, поскольку для этого требуются действующие мандаты доступа. Развертывая приложения, соответствующие стандарту 802.1x, администраторы сетей также могут фактически исключить возможность создания пользователями незащищенных точек беспроводного доступа, т.е. решить одну из важнейших проблем в применении легко развертываемого оборудования WLAN.

Сервер сертификатов Cisco IOS и клиенты

Сервер сертификатов Cisco IOS Certificate Server внедрен в программное обеспечение Cisco IOS, который дает маршрутизатору возможность действовать в сети в качестве центра сертификации.

Сервер сертификатов Cisco IOS дает возможность выпускать и отзывать цифровые сертификаты. Традиционно, генерирование криптографической информации и управление ею было непростой задачей по мере роста количества VPN. Сервер сертификатов Cisco IOS решает эти проблемы при помощи простого, масштабируемого, несложного в управлении центра сертификации, который встроен в ту же аппаратуру поддержки IPSec VPN. Сервер сертификатов Cisco IOS – это весомая альтернатива схемам развертывания с простыми симметричными ключами.

Программное обеспечение Cisco IOS также поддерживает встроенные клиентские функции PKI, которые взаимодействуют с сервером сертификатов и с центрами сертификатов сторонних производителей. Возможности PKI клиента:

  • Поддержка локальных списков ACL для принятия или отклонения сертификатов на основании содержимого полей сертификатов.
  • Интеграция с AAA для авторизации сертификатов на базе имени пользователя и других атрибутов.
  • Поддержка онлайнового протокола статуса сертификата OCSP (Online Certificate Status Protocol).
  • Поддержка списков отзыва сертификатов и автоматического переиздания.

Аутентификация, авторизация и аудит (AAA)

Сервисы сетевой безопасности AAA программного обеспечения Cisco IOS создают архитектуру для построения контроля доступа на маршрутизаторе или сервере доступа. AAA дает администраторам возможность динамически конфигурировать желаемый тип аутентификации и авторизации индивидуально для каждого пользователя или для каждого сервиса (например, IP, IPX или VPDN), используя списки методов, применяемые к конкретным сервисам или интерфейсам.


КОНТРОЛЬ И ЛОКАЛИЗАЦИЯ В СЕТИ

Контроль доступа в сеть (NAC)

NAC (Network Admission Control) – это общеотраслевая совместная разработка под руководством Cisco Systems, которая обеспечивает проверку соответствия каждого конечного узла политикам сетевой безопасности до того, как ему будет предоставлен доступ в сеть. Это ограничивает ущерб, причиняемый вирусами и червями. Контроль доступа в сеть осуществляется путем опроса устройств, соединенных с сетью, для проверки их соответствия политикам сетевой безопасности.

NAC позволяет сетям выявлять уязвимые системы и принудительно применять эффективные меры управления доступом в сеть. Доступ предоставляется только тем безопасным периферийным устройствам, которые соответствуют корпоративной политике внесения последних обновлений по антивирусам и операционным системам. Уязвимые и не отвечающие требованиям хосты изолируются или получают ограниченный сетевой доступ для внесения программных обновлений и обеспечения их безопасности. Так исключается риск того, что эти хосты могут стать источником или мишенью червей и вирусов.

NAC обладает следующими возможностями:

  • Широкая область контроля – Охвачены обычные методы доступа, используемые хостами для соединения с сетью, включая каналы WAN маршрутизаторов, удаленный доступ IPSec и коммутируемый доступ.
  • Мультивендорное решение - NAC разработан под руководством Cisco коллективом производителей, включая ведущих поставщиков антивирусных ресурсов, в числе которых Network Associates, Symantec и Trend Micro.
  • Расширение существующих технологий и стандартов - NAC расширяет применение существующих коммуникационных протоколов и технологий сетевой безопасности, в числе которых протокол аутентификации Extensible Authentication Protocol (EAP), 802.1x и сервисы RADIUS.
  • Развитие существующих инвестиций на сетевые и антивирусные сервисы - NAC связывает воедино существующие инвестиции в сетевую инфраструктуру и антивирусные технологии для создания ресурсов управления доступом.

Защита сети NFP (Network Foundation Protection)

Непрерывная доступность устройств сетевой инфраструктуры играет исключительно важную роль в центральных офисах компаний. Если сетевой маршрутизатор или коммутатор компрометирован, мошенники получают полный доступ ко всей сети. Помимо различных продуманных защитных механизмов, которые могут применяться для защиты от атак, необходимо защищаться и от неизвестных угроз.

Описанные ниже технологии подчеркивают важность мощной базисной защиты сети, включая механизмы самозащиты для устройств с программным обеспечением Cisco IOS на случай атак DDoS, и надежный административный доступ, чтобы свести к минимуму возможность атак на интерфейс управления и контроля путем получения доступа с помощью обмана (spoofing).

Защита уровня контроля маршрутизатора

Даже самое надежное программное обеспечение и аппаратная архитектура уязвимы для атак DDoS. Атаки DDoS – это злоумышленные действия, цель которых – парализовать инфраструктуру сети, наводнив ее бессмысленным трафиком, замаскированным под контрольные пакеты определенного типа, которые направляются в процессор контроля маршрутизатора. Для блокирования таких и аналогичных угроз, которые нацелены в самый центр сети, в программное обеспечение Cisco IOS заложены программируемые функции контроля соблюдения политики на маршрутизаторах, которые ограничивают интенсивность трафика, направляемого в уровень контроля маршрутизатора. Эту функцию, которая называется контроль соблюдения политики в уровне контроля маршрутизатора, можно конфигурировать для идентификации и ограничения определенных типов трафика, полностью или в случае превышения заданного порогового уровня.

Рис. 3. Политика уровня контроля маршрутизатора.


AutoSecure

Функция программного обеспечения Cisco IOS AutoSecure упрощает конфигурацию атрибутов безопасности на маршрутизаторах и снижает риск ошибок конфигурации. В интерактивном режиме, который подходит для опытных пользователей, пользователям выдаются подсказки по индивидуальной настройке атрибутов безопасности и сервисов на маршрутизаторах. Это обеспечивает больший контроль над функциями безопасности маршрутизаторов. Неопытным пользователям AutoSecure дает возможность быстро обеспечить безопасность маршрутизатора без значительного ручного вмешательства, в неинтерактивном режиме работы, который автоматически активирует функции безопасности маршрутизаторов на базе настроек, заданных Cisco Systems по умолчанию. Одна команда мгновенно конфигурирует профиль безопасности маршрутизаторов и дезактивирует не требующиеся системные процессы и сервисы, устраняя потенциальные угрозы для безопасности сети.

Сетевое распознавание приложений (Network-Based Application Recognition, NBAR)

NBAR – это механизм классификации, встроенный в программное обеспечение Cisco IOS, в котором применяется углубленное, учитывающее параметры состояния инспектирование пакетов для распознавания широкого спектра приложений, включая вэб-протоколы и другие трудно классифицируемые протоколы, в которых применяется динамическое назначение портов по TCP/UDP. При использовании в контексте безопасности NBAR может выявлять червей на основании сигнатур полезной нагрузки. Когда приложение распознано и классифицировано с помощью NBAR, сеть может инициировать сервисы конкретно для данного приложения. Эта технология также помогает обеспечить эффективное использование сетевой полосы пропускания, работая совместно с функциями QoS для обеспечения гарантированной полосы пропускания, лимитов полосы пропускания, структурирования трафика и маркировки пакетов. В Cisco SDM (см. раздел "Cisco SDM - Управление встроенными сервисами") применяется простая в использовании мастер-программа, которая активирует NBAR и предоставляет графическую информацию о трафике приложений.

Установление пороговых ограничений для CPU и памяти

Программное обеспечение Cisco IOS позволяет задать глобальные пороговые ограничения по использованию памяти маршрутизатора и генерировать уведомления при достижении этих пороговых ограничений. Резервируя ресурсы CPU и памяти, эта функция обеспечивает поддержание работоспособности маршрутизатора при высоких нагрузках, например, возникающих при атаке.

Secure Shell Protocol (SSH), Версия 2

SSHv2 обеспечивает мощные новые возможности аутентификации и шифрования. Теперь доступно большее количество опций для туннелирования дополнительных типов трафика в шифрованном соединении, включая протоколы копирования файлов и электронной почты. Безопасность сети усиливается за счет более широкого спектра функций аутентификации, включая цифровые сертификаты и дополнительные опции двухфакторной аутентификации.

Протокол сетевого управления SNMP (Simple Network Management Protocol), версия 3 (SNMPv3)

SNMPv3 – это поддерживающий взаимодействие, основанный на стандартах протокол сетевого управления. Он обеспечивает надежный доступ к устройствам, соединяя пакеты аутентификации и шифрования в сети. В SNMPv3 предусмотрены следующие функции обеспечения безопасности:

  • Целостность сообщений – Помогает исключить риск взлома пакетов во время пересылки.
  • Аутентификация – Подтверждает то, что сообщение поступило из корректного источника.
  • Шифрование - Шифрует содержимое пакета, чтобы исключить возможность его просмотра неавторизованным источником.

В SNMPv3 предусмотрены как модели безопасности, так и уровни безопасности. Модель безопасности – это стратегия аутентификации, которая настраивается для пользователя и группы, в которой находится пользователь. Уровень безопасности – это допустимый уровень безопасности в рамках модели безопасности. Комбинация модели безопасности и уровня безопасности определяет, какой механизм безопасности применяется при обработке пакета SNMP. Предусмотрены три модели безопасности: SNMPv1, SNMPv2c и SNMPv3.

Ролевой доступ к интерфейсу командной строки (CLI)

Ролевой доступ к интерфейсу командной строки (CLI) позволяет администратору сети задать “представления”, т.е. набор операционных команд и ресурсов конфигурации, которые предусматривают выборочный или частичный доступ к программному обеспечению Cisco IOS. Виды просмотра ограничивают пользовательский доступ к CLI и конфигурационной информации и могут определять, какие команды допустимы и какая конфигурационная информация находится в видимой области. Ролевой доступ к CLI могут применять, в частности, администраторы сети, предоставляющие сотрудникам доступ к конкретным функциям. Помимо этого, провайдеры услуг могут применять эту функцию для предоставления ограниченного доступа конечным пользователям с целью помощи в устранении сетевых неполадок. Cisco SDM поставляется со стандартными заводскими профилями доступа для администраторов, только для чтения (для конечных пользователей), политикой работы межсетевых экранов и Easy VPN. Пользователи, регистрирующиеся в Cisco SDM с конкретным ролевым доступом, могут просматривать только экраны GUI, разрешенные для их ролей.


УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ

Маршрутизатор Cisco и Cisco SDM (Security Device Manager) - управление встроенными сервисами

Каждый пакет ресурсов безопасности маршрутизаторов Cisco 7301 и серии Cisco 7200 поступает с инсталлированным на предприятии-изготовителе Cisco SDM. Этот интуитивный, простой в использовании вэб-инструмент управления устройствами (GUI) для развертывания маршрутизаторов Cisco и управления ими. Cisco SDM помогает создать несложную конфигурацию и мониторинг маршрутизаторов, применяя мастер-программу установки для быстрого развертывания и установки фиксированных функциональных возможностей маршрутизаторов, интеллектуальные мастер-программы, помогающие активировать функции безопасности и маршрутизации, конфигурации маршрутизаторов, утвержденные Центром Технической Поддержки Cisco TAC (Cisco Technical Assistance Center), а также тематические учебные материалы.

В Cisco SDM управление сервисами маршрутизации и безопасности сочетается с простыми в использовании интеллектуальными мастер-программами и ресурсами углубленного устранения неисправностей. В результате создается инструмент, поддерживающий преимущества интеграции сервисов на маршрутизаторе. Теперь у клиентов есть возможность синхронизировать политические правила маршрутизации и безопасности в масштабах всей сети, получить более полную картину статуса сервисов на маршрутизаторах и сократить операционные расходы.

Основные новые возможности Cisco SDM включают:

  • Поддержку Cisco SDM на ПК (без необходимости присутствия файлов Cisco SDM во флэш-памяти маршрутизатора).
  • Конфигурация протокола PPPoA (Point-to-Point Protocol over ATM).
  • Поддержка ОС Windows на японском языке.
  • Пользовательский интерфейс Cisco SDM переведен на японский, упрощенный китайский, французский, немецкий, итальянский и испанский язык (доступно по состоянию на июнь 2005 г.).

Основные функции Cisco SDM для маршрутизаторов Cisco 7301 и серии Cisco 7200 включают:

  • Ролевой доступ к маршрутизаторам.
  • Сервер Easy VPN и AAA.
  • Цифровые сертификаты для сетей VPN IPSec.
  • Предоставление безопасных устройств, что позволяет неопытным администраторам вводить в работу новые удаленные устройства с начальной или с полной конфигурацией.
  • Поиск неисправностей в соединениях VPN и WAN.
  • Конфигурация политики QoS и мониторинг трафика приложений на базе NBAR.
  • Линейно подключаемая IPS с обновляемыми сигнатурами и индивидуально настраиваемым динамическим обновлением сигнатур, а так же индивидуальной настройкой сигнатур (см. раздел "Cisco IOS IPS").

Решение CiscoWorks по VPN и управлению безопасностью (VMS)

CiscoWorks VMS – это неотъемлемый элемент SAFE Blueprint компании Cisco, передовое интегрированное решение Cisco по управлению безопасностью. В нем на базе вэб-инструментов объединены функции конфигурации, мониторинга и поиска неисправностей VPN, межсетевых экранов и функции IPS для линейки продуктов обеспечения безопасности Cisco, включая маршрутизаторы Cisco 7301 и серии Cisco 7200.

В CiscoWorks VMS учтены потребности VPN и систем безопасности малого и большого масштаба, это решение помогает поддержать производительность и снизить операционные затраты. В отличие от точечных продуктов обеспечения безопасности, предлагаемых разными производителями, которые могут оставлять незащищенные участки, CiscoWorks VMS – это комплексное решение, которое объединяет технологии обеспечения безопасности и VPN в единую защищенную сеть.


СЕРТИФИКАЦИЯ

Компания Cisco реализует программу активной сертификации и экспертизы продуктов для клиентов во всем мире. Cisco IOS VPN получила сертификацию по Федеральному стандарту обработки информации FIPS 140-2 (Federal Information Processing Standards), межсетевой экран Cisco IOS сертифицирован Интернет-ассоциацией компьютерной безопасности ICSA (Internet Computer Security Association). Идет сертификация по Common Criteria EAL4+. Компания Cisco рассматривает такое признание как важнейший элемент своей интегрированной стратегии обеспечения безопасности и непрерывно работает над сертификацией по FIPS, ICSA и Common Criteria маршрутизаторов Cisco 7301 и серии Cisco 7200. Дополнительную информацию вы найдете на странице http://www.cisco.com/go/securitycert.

Federal Information Processing Standards (FIPS)

Маршрутизаторы Cisco 7301 и серии 7200 разработаны с соблюдением стандартов безопасности FIPS 140-1 2-го уровня. Институт NIST поднял стандарты от FIPS 140-1 до FIPS 140-2. Теперь Cisco будет направлять многие свои маршрутизаторы на сертификацию FIPS 140-2 2-го уровня.

Internet Computer Security Association (ICSA)

ICSA – это коммерческий орган сертификации систем безопасности, который предлагает сертификацию ICSA IPSec и ICSA межсетевых экранов для различных продуктов, обеспечивающих безопасность. Cisco участвует в программе ICSA по IPSec, а также в программе по межсетевым экранам.

Common Criteria

Common Criteria – это международный стандарт, служащий для оценки безопасности IT. Он был разработан группой стран для замены большого количества отдельных процессов экспертизы безопасности, существующих в разных странах и предназначен для введения единого стандарта для международного использования. В настоящее время Common Criteria официально признаны в 14 странах. Сейчас несколько версий IPSec программного обеспечения Cisco IOS и маршрутизаторов Cisco проходят экспертизу в рамках австралийской программы экспертной оценки безопасности информации AISEP (Australasian Information Security Evaluation Program) по критериям оценки безопасности компьютерных систем ITSEC (Information Technology Security Evaluation Criteria) и Common Criteria.


ИНФОРМАЦИЯ О РАЗМЕЩЕНИИ ЗАКАЗОВ

Для размещения заказов посетите страницу отдела размещения заказов Cisco . В Таблице 3 приведена информация о размещении заказов на комплекты ресурсов безопасности маршрутизаторов Cisco 7301 и серии Cisco 7200. Ассортимент комплектов безопасности доступа и головных структур Cisco описан на странице http://www.cisco.com/go/securitybundles. Таблица 3. Информация о размещении заказов на маршрутизаторы Cisco 7301 и серии Cisco 7200

Название продукта Номенклатурный номер
Шасси Cisco 7206VXR, процессор Cisco NPE-400 с 512 МБ системной памяти, контроллер ввода/вывода с двумя портами Ethernet 10/100, VAM2+, питание переменным током, межсетевой экран Cisco IOS IP с программным обеспечением IPS IPSec 3DES. 7206VXR400/2+VPNK9
Шасси Cisco 7206VXR, процессор Cisco NPE-G1 с 512 МБ системной памяти, три размещенных на плате порта Ethernet 100/1000, VAM2+, питание переменным током, межсетевой экран Cisco IOS IP с программным обеспечением IPS IPSec 3DES. 7206VXRG1/2+VPNK9
Шасси Cisco 7301 с тремя расположенными на плате портами Ethernet 100/1000, VAM2+, 512 МБ системной памяти, питание переменным током, межсетевой экран Cisco IOS IP с программным обеспечением IPSec 3DES. CISCO7301/2+VPNK9


ОБСЛУЖИВАНИЕ И СОПРОВОЖДЕНИЕ

Компания Cisco предлагает широкий спектр сервисных программ помощи клиентам. Эти инновационные сервисные программы – результат совместной работы людей, процессов, инструментов и партнерских продуктов, и в результате обеспечивается высокая удовлетворенность клиентов. Услуги компании Cisco помогают вам защитить сетевые инвестиции, оптимизировать сетевые операции и подготовить сеть к работе с новыми приложениями, чтобы расширить ресурсы сети и возможности вашего бизнеса. Более подробные сведения об услугах компании Cisco вы найдете в описании услуг Cisco по техническому сопровождению и услуг Cisco высокого уровня на странице http://www.cisco.com/go/services.


ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ

Дополнительную информацию об обеспечении безопасности сетей на маршрутизаторах Cisco 7301 и серии Cisco 7200 и маршрутизаторах для филиалов серий Cisco 800, 1800, 2800 и 3800 вы сможете найти на странице http://www.cisco.com/web/RU/products/hw/routers/ или получить у местного представителя Cisco.