内置、集成的网络解决方案安全性讨论 (2)

解决方案集成

最终，网络的所有组件都必须可以互操作，并能够作为一个统一的整体发挥作用。

• 首先让我们考虑一下数据中心。它包含多个通过交换机和路由器连接到外界环境的服务器。这些服务器必须获得保护。路由器和交换机必须拥有它们自己的防御措施。此外，整个架构必须具有足够的可用性和可扩展性，并具有一个用于控制它的集成化管理子系统。
• 接着让我们考虑一下基于LAN的无线部署。很多安全威胁都是由这种日益流行的技术带来的。无线流量必须获得保护，以防止被阻截。网络必须像防御无线威胁一样防范无线入侵者。此外，由于对企业缺乏了解而创建的无用接入点可能缺乏强大的保护措施。只有集成化的网络安全方式才能保护这种环境。有线等效加密（WEP）、思科轻型可扩展身份认证协议（LEAP）和IPSec可以提供更高级别的访问控制和加密，从而为无线接入点提供安全的通道。部署在接入点之后的VLAN可以将流量限制在适当的域之内。入侵保护和防火墙功能可以在流量被解密之后提供保护。

[page]

思科的集成战略

在整个网络中进行安全集成是思科的开发和市场战略的重要组成部分。思科的集成计划包括下列组件：

• 在Cisco IOS软件中集成越来越多的安全功能。该软件覆盖了思科的所有平台--从远程办公人员和远程分支机构解决方案直至网络终端。
• 在分散的安全设备和集成化的网络设备中提供安全功能，这些网络设备同时也可以提供LAN和WAN连接。
• 提供一个能够方便地部署集成、内置的安全性的管理和监控基础设施。
• 提供一个可扩展、高度可用的安全框架。网络现在已经成为一个可以不停工作的重要业务工具。
• 最后，为希望部署集成、内置的安全的客户和机构提供一种部署模式。这就是Cisco SAFE发展计划的作用。

Cisco IOS中的集成化浪潮

Cisco IOS软件是一种控制着思科所有路由器和交换机的增值软件。它具有范围广泛的安全功能，而且这些功能还在随着每个新版本的推出而不断增加。Cisco IOS功能已经从最初的允许－拒绝接入技术（例如访问控制列表（ACL））发展到支持多种VPN类型、入侵防范，先进的身份识别服务和防火墙功能。

Cisco IOS软件现在可以提供三层功能：

• 强大的安全服务
• 全面的IP服务，例如路由、服务质量（QoS）、组播和IP语音（VoIP）
• 安全管理，保护设备上的管理流量和Cisco IOS软件管理功能

这三个层次的集成让Cisco IOS软件具有与众不同的特点。思科语音和视频增强IPSec VPN（V3PN）解决方案就是各种能够从Cisco IOS软件的集成性获得很大利益的解决方案的一个典型例子。这种解决方案可以利用Cisco IOS软件中新推出的低延时QoS功能，为加密的语音和视频流量提供值得信赖的质量和弹性，并可以通过IPSec状态故障切换功能消除丢弃呼叫。

集成化工具和网络设备

安全工具是一种针对用途定制的安全系统，集成了一种或者多种安全功能--例如，一个同时支持VPN或者入侵检测功能的防火墙。Cisco PIX防火墙支持一种VPN模块插件，以及VPN和入侵检测系统（IDS）软件。

集成化网络设备可以提供网络连接（LAN、WAN或者两者兼而有之）、IP服务和安全服务--例如，同时可以提供防火墙功能的路由器。Cisco SOHO 90和831路由器是思科新推出的、可以提供集成化安全和以太网、ADSL连接的远程分支机构解决方案。（如图1所示）

Cisco IOS软件中的集成化功能的另外一个例子是同时可以提供第二层和第三层交换和安全功能的智能化交换机。Cisco Catalyst 6500交换机现在可以支持入侵防范、防火墙、VPN、安全套接字层（SSL）和其他安全模块。

今天的机构可以在一个工具和一个集成化网络设备之间进行选择。在决定时，必须考虑下列因素：

• 预算。在现有的网络设备上部署安全功能可以提供最低的部署成本和最低的长期整体运营成本。此外，现有的管理基础设施可以继续用于管理附加的安全功能。
• 简便性。单一功能或者专用的安全设备可能最便于部署和管理。顾名思义，多功能设备拥有多个需要配置和管理的组成部分，这可能会提高发生配置错误的可能性。相比之下，单一功能安全工具需要设置的功能少得多。
• 模块性。对于一个分支地点来说，可以通过单一平台提供安全性和连接性的集成化网络设备可能是最理想的选择。但是对于头端或者更大规模的部署而言，更适于采用一种模块化的方法。例如，Cisco Catalyst 6500拥有一个灵活、自适应、模块化的架构，因而可以适应未来的需要。
• 机构控制。SecOps可能需要一个只有该团队才能监控、设置和管理的平台，这可能会促使该团队选择一个工具，而不是一个集成化的网络设备。相比之下，当NetOps负责安全部署时，该团队可能会选择一个集成化的网络设备，以便于部署。

可扩展、可用的网络

一个可扩展的网络可以随着需求的变化而不断发展。可用性确保了用户一直能够使用关键性的应用和服务，而不会出现服务中断的情况。从业务运营的角度来说，必须使用一个弹性的网络。今天的机构可以通过很多方法来提供可扩展、高度可用的基础设施：

• 在多个交换机和服务器，甚至数据中心之间对网络流量和服务请求进行负载均衡。这样做的好处包括能够满足流量高峰期的需要，降低支持某个特定流量负载所需要的网络设备的数量。负载均衡解决方案的例子包括用于Cisco Catalyst 6500交换机、Cisco CSS 11000和11500内容交换机的模块。
• 状态故障切换有助于在某个设备发生故障时提供备份，从而不会让与终端用户的连接发生任何明显的中断。Cisco IOS路由器和Cisco VPN 3000集中器平台是可以提供状态故障切换功能的产品的典型例子。 状态故障切换功能可以提供一种备份功能，但是可能会在故障切换时丢失连接。
• 冗余。冗余是指设备的备用品。因此，在发生故障时，网络设备--或者多个冗余网络设备中的冗余模块可以接替这些发生故障的设备的工作。
• 灾难恢复。可以利用Cisco GSS 4480 Global Site Selector中提供的全球服务器负载均衡（GSLB）功能，进行多地点灾难恢复。通过不断地监控Cisco服务器负载均衡工具的负载和运行状况，如果某个主数据中心发生过载或者中断，用户可以被迅速地路由到某个备用的数据中心。

  标签：

  版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
  特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有