技术方案最新 - 图文(6)

3.6.9 防火墙Cisco ASA 5500

Cisco ASA 5500 系列内容安全版让企业不但能充分发挥互联网业务的优势，还能利用全面的网关安全性和VPN连接解决方案。Cisco ASA 5500 系列内容安全版具有集成式防火墙、内容安全和 VPN 功能，能够从电子邮件和互联网流量中删除恶意软件、间谍软件、垃圾邮件和诱骗企图，最大程度地提高业务连续性和安全性。由于Cisco ASA 5500 系列内容安全版与集成式URL过滤结合在一起，使各机构能够限制对非法Web站点的访问，从而控制员工对互联网的使用，因而能够提供灵活、全面的周边安全性和员工生产率管理。另外，由于该解决方案还提供VPN服务，因而能提供威胁防御远程接入。

? 最值得信赖、已广泛部署的防火墙技术--Cisco ASA 5500 系列基于Cisco PIX? 系

列安全设备已经得到市场验证的功能，既允许合法业务流程通过，又能有效阻挡不受欢迎的访问者。利用其应用控制功能，该解决方案能够限制对等共享、即时消息传送和恶意流量，从而减少安全漏洞，防止网络遭受各种威胁。

? 市场领先的内容安全功能--在Cisco ASA 5500 系列中，Trend Micro 提供的屡获

大奖的网关安全技术与思科威胁防御功能有机地结合在一起，提供了全面的恶意软件防护解决方案，通过集成式URL和内容过滤阻止间谍软件、病毒、垃圾邮件和不正当内容进入网络。

? 防病毒和防间谍软件--利用Trend Micro 屡获大奖的防病毒和防间谍软件技术，

Cisco ASA 5500 系列设备几乎能够防止所有已知恶意代码进入互联网边缘，从而防止关键业务应用和服务受到破坏，减少受感染后需要执行的昂贵的清理流程。

? URL和内容过滤以及防诱骗--集成式URL过滤、内容过滤和防诱骗技术能够防止企

业和个人的保密信息被盗，以减轻法律责任。另外，它还能帮助企业提高法规遵从性，例如健康保险便携性和萨班斯法案（HIPAA）、Sarbanes-Oxley（SOX）和数据保护法。

? 防垃圾邮件--集成式防垃圾邮件技术能够发现并阻止非法电子邮件进入邮件服务

器，以提高员工生产率，防止网络带宽和存储浪费。

? 威胁防御VPN--Cisco ASA 5500 系列内容安全版基于Cisco VPN 3000 系列集中器

的经过市场验证的VPN功能，能够提供对公司网络和服务的站点到站点安全访问和远程用户访问。该解决方案将安全套接字层（SSL）和IP Security（IPSec）VPN 功能有机地结合在一个最佳解决方案中，为企业提供了极高的安全连接灵活性。利用 Cisco ASA 5500 系列内

- 21 -

容安全版提供的服务，企业能够实施基于身份的安全性和联网策略，有效预防恶意软件以及很多其它形式的攻击，安全地将网络扩展到员工、合同商和商业合作伙伴。

? 易于部署和管理--Cisco ASA 5500 系列内容安全版提供集中管理和监控套件，只需

少量人力和成本就能支持大型部署和运作。思科不但提供完整的管理和监控解决方案，还能通过Cisco Adaptive Security Device Manager（ASDM）为每种安全设备提供功能强大、易于使用、基于浏览器的管理和监控界面。

业务优势

Cisco ASA 5500 系列内容安全版提供的安全性和连接能够帮助企业：

? 实现业务连续性--防止关键业务应用和服务因恶意软件感染和安全问题而中断。 ? 改善受损现场清理--减少受感染后昂贵的清理流程，将IT支持人员从繁琐的间谍软

件、病毒及其它恶意软件清理任务中解放出来。

? 提高员工生产率--减少垃圾邮件、间谍软件及不利于工作的事件，提高员工的生产

率。

? 提高网络资源的利用率--删除与业务无关的流量和内容，防止浪费网络带宽和存储。

Cisco ASA 5500 系列内容安全版是一个完整的互联网边缘安全性解决方案。由于它与思科管理和监控系统紧密地集成在一起，因而能帮助各机构部署和维护安全解决方案，最大程度地提高网络和员工的价值（见图1）。

图1 解决方案的架构

- 22 -

主要组件

Cisco ASA 5500 系列内容安全版

在网络边缘和远程站点位置提供全面的客户端安全性。

管理

Cisco Security Manager（CS-Manager）为思科安全技术的大规模部署提供企业级管理架构。

监控

思科安全监控、分析和响应系统（CS-MARS）提供实时监控和安全事件响应功能，使各机构能够充分利用 Cisco ASA 5500 系列内容安全版的高级检查服务的效能。

相互补充的解决方案

Cisco? ASA 5500 系列自适应安全设备是一种模块化平台，能够为中小企业和企业应用提供新一代安全性和VPN服务。利用Cisco ASA 5500 系列提供的全面服务，可以通过四个定制软件包产品版本满足不同特定地点的安全需求：防火墙版、VPN版、IPS版和Anti-X版。

- 23 -

由于这些软件包能够为适当的地点提供适当的服务，因而能实现卓越的保护。与此同时，它们还支持 Cisco ASA 5500 系列平台的标准化，以降低管理、培训和备件成本。最后，由于每个版本都提供针对不同位置的预打包安全解决方案，因而能够简化设计和部署。

图2 相互补充的解决方案

思科及其合作伙伴能够为贵企业提供世界级服务和支持。思科采用了全生命期服务方法，以满足客户对部署和操作Cisco ASA 5500 系列安全设备的必需要求，最终提高网络的价值和投资回报。。

3.7 网络设备及服务器详述

3.7.1网络设备

1) 接入层交换机：H3C S3600系列交换机

H3C S3600系列交换机是H3C公司基于IToIP理念设计和开发的智能弹性以太网交换机。系统采用创新的IRF技术，在安全可靠、多业务融合、易管理和维护等方面为用户提供全新

- 24 -

的技术特性和解决方案，是理想的办公网、业务网和驻地网的汇聚、接入交换机以及中小企业、分支机构的核心交换机。

弹性扩展技术--IRF

H3C S3600系列交换机采用H3C公司创新的IRF（ Intelligent Resilient Framework）智能弹性技术，与传统组网技术相比，在扩展性、可靠性、整体架构的性能方面具有强大的优势：

扩展性—IRF技术允许交换机利用互联电缆实现多台设备的扩展，最大扩展至384个10/100M端口；具有即插即用、单一IP管理，同步升级的优点，同时大大降低系统扩展的成本。

可靠性—通过专利的路由热备份技术，在整个堆叠架构内实现控制平面和数据平面所有信息的冗余备份和无间断三层转发，极大的增强了堆叠架构的可靠性和性能，同时消除了单点故障，避免了业务中断。

分布性--通过分布式链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提高整个网络架构的冗余性和链路资源的利用率。

完备的安全策略

当前的园区网面临着越来越多的安全威胁和挑战，如何实现安全的接入控制，防止病从口入？如何对攻击源进行定位和反查？如何监控网络中的各种流量并进行分析控制？H3C S3600系列交换机在安全策略方面为用户提供全新的技术特性和解决方案。

传统的802.1X认证方式只解决了用户的权限问题，对用户终端的安全状态无能为力，病毒可以通过合法用户的感染终端进入网络系统和应用系统。H3C S3600系列交换机支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。

传统交换机对端口的镜像功能都是基于本地实现，镜像数据流无法穿越网络在核心实现统一采集集、监控和分析；H3C S3600支持跨交换机的远程端口镜像功能（RSPAN），可以将接入端口的流量镜像到核心交换机（例如S9500/7500）上，在核心上启动网流分析（Netstream）功能，配合XLOG系统对监控端口的业务和流量进行监控、优化部署和恶意攻击监控。

- 25 -

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说教育文库技术方案最新 - 图文(6)在线全文阅读。