借助 Cisco Catalyst 6500 系列交换机增强企业园区网的安全性
借助当今先进的智能企业网,企业能够有效地部署电子商务等应用,因而能实现劳动力的优化组合以及业务的全球化。这些强大的网络能够将许多远程站点、分支办公室、移动员工、合作伙伴和客户连接在一起,从而能够为数千用户提供服务。但是,还存在一个问题所有网络都越来越多地受到了企业园区网和互联网上越来越多的安全隐患的威胁。另外,对电子商务应用需求的增加,以及服务向公共领域的集中也增加了流量经过网络时的危险,在可能的地方,都需要对流量进行加密。
Cisco Catalyst 6500 系列交换机提供的解决方案能够防止网络受到来自园区网和公共网的安全隐患的侵害。
为企业园区网开发的新型智能安全服务
由于网络安全问题的危害越来越大,覆盖面越来越广,而且越来越容易在企业园区网内部署,因此,网络完整性受到的威胁将越来越大。因此,几乎所有机构都需要采用适当的安全技术保护其 IT 投资和企业声誉免受影响。为补充现有软件安全产品的不足,Cisco Catalyst 6500 交换机将一套先进的安全模块集成在一起,以便进一步增强网络安全性。
新型 Cisco 高级安全模块包括防火墙服务模块(FWSM)、安全套接层(SSL)、IP安全虚拟专用网(IPSec VPN)服务模块和网络分析模块(NAM)。客户将能够在交换机上部署综合安全性,而无需分别管理的不同设备,然后再与基本的基础设施相连,因此,这种方式可以大大提高性能、可管理性和整个系统的性价比。
为Catalyst 6500设计的Cisco安全服务模块
Cisco IPSec VPN 服务模块是为 Cisco Catalyst 6500 交换机和 Cisco 7600 互联网路由器设计的高速模块,能够提供基础设施集成的IPSec VPN服务,不但能提供强有力的连接,还能增加带宽。
Cisco 防火墙服务模块(FWSM)安装在 Cisco Catalyst 6500 系列交换机中,不但适合作为数据中心和外部网的边缘分布层,制定服务器流量策略,还适合作为网络管理层。对于需要防火墙功能、入侵检测、虚拟专用网,以及多层 LAN、WAN 和 MAN 交换功能的客户来讲,Cisco Catalyst 6500 是其首选IP服务交换机。
Cisco FWSM是业界性能最高的防火墙解决方案,每个模块的吞吐量能够扩展到 5GB 以上。借助多个模块,带宽可高达 20GB。FWSM 完全支持 VLAN,提供动态路由,而且可以完全集成在 Cisco Catalyst 6500 系列交换机内。FWSM 基于 Cisco PIXTM Firewall 技术,因而能够提供与屡获大奖的 Cisco PIXTM 安全设备系列相同的安全性和可靠性。FWSM 采用了通过软件下载增强特性的网络处理器技术,能最大限度地适应未来需求和特性。
主要特性包括:
可扩展性--能够以业界最高的性能生成受状态防火墙保护的多个安全域,从而消除来自企业园区网的越来越多的安全威胁。每个FWSM模块提供5GB吞吐量。如果安装多个模块,每个机箱的总带宽可以扩展到20GB。
可靠性--以 Cisco PIX 技术为基础,FWSM使用了同一个经过时间检验的 Cisco PIX 操作系统,这是一种安全的硬化实时操作系统。借助切实可行的 Cisco PIX 分组检查机制,FWSM能够在一个平台上同时提供高性能和高安全性。另外,它还能在活跃/等待 FWSM 环境中提供基于LAN的故障恢复。
易于使用--FWSM使用大家非常熟悉切实可行的 Cisco PIX 管理界面保持安全性及网络管理界面的独立性。Cisco 管理框架和 Cisco AVVID(集成化视频、视频和数据体系结构)合作伙伴都支持FWSM的配置和监控。
为 Cisco Catalyst 6500 系列设计的 Cisco 安全插接层(SSL)服务模块非常适合部署在数据中心内,它能够提高Web应用的性能和安全性,提供综合安全内容联网,并保证最优客户体验。由于能卸载与利用 SSL 协议保护流量相关的处理器密集型任务,因而能增加Web站点支持的安全连接数量。
如果将 SSL 与 Cisco 内容交换模块(CSM)集成在一起,将能够加速加密和非加密流量,同时从Web服务器卸载资源密集型功能,从而提供高性能、可扩展、安全的服务器负载均衡解决方案。
新型高性能 Cisco 网络分析模块(NAM-2)非常适合数据中心、企业边缘、分布层使用,也可以作为网络的关键业务接入层,为网络提供应用级可视性,在千兆位环境中实现实时流量分析、性能监控和故障排除。
集成在 Cisco Catalyst 6500 系列交换机中的这些服务模块,如果能够部署在推荐的网络层中,并与Cisco Catalyst 6500 交换机的软件安全产品一起使用,将能够有效防止内部网络遭受非法设备和用户的侵害,使网络免受外部安全隐患的威胁。Cisco Catalyst 6500 系列交换机能够为企业园区网提供全面的安全解决方案。
6503/6506/6509高端防火墙一体化安全保护
思科的 Catalyst 6500 交换机通常作为网络的核心交换机,承载了绝大部分的网络流量,可谓是系统中的关键环节。在思科 Catalyst 6500 交换机中可以应用多种安全服务模块,譬如说防火墙模块、入侵检测模块、VPN 模块、SSL 加速模块、网络流量分析模块等等。这些模块的组合应用,可以有效地保证用户网络系统与流量的安全,并且此时我们无须分别管理不同设备,可以大大提高针对安全事件的响应能力,从而提高系统的可管理性和整个安全系统的性价比。同样,由于 Cisco 760 路由器与 Catalyst 6500 具有先天性的兼容性,所以在电信级别的应用中,也可以享受到这一系列服务模块带来的便利。
在骨干网络中使用增值服务模块可以有效降低网络拓扑的复杂程度,提高网络的运行以及管理的效率。最重要的是通过此类模块的使用,使我们对网络的控制程度达到了一个新的境界。
Cisco 的 6503/6506/6509 高端防火墙可以说是业界性能最高的防火墙产品,它的每一个模块的吞吐量可以达到 5GB。在一个机箱当中可以承载多达四个模块,总体的处理带宽最高可达 20GB。FWSM 防火墙模块的最大优势在于其接口完全基于 VLAN,这样就可以突破物理端口的限制,即使本机箱当中没有足够的物理端口,也可以利于 VLAN Trunk 方式将二级交换机纳入防护体系当中。例如图1中所示,在防火墙的接口设置中,我们具有相当大的灵活性。一旦用户的需求发生变化时,只需要更改交换机的内部 VLAN设置即可,不需要进行物理接口的变动。
6503/6506/6509 高端防火墙可以采用虚拟防火墙以及透明防火墙的技术,从而更加有效地支持用户的安全需求。利用虚拟防火墙的特性,将一个或者多个互联网的接入线路直接终结 在 C6500 交换机上,利用一个或两个以上的虚拟防火墙分别完成线路接入、路由处理以及地址翻译等工作,姑且将这一类虚拟防火墙称为外部防火墙。在这些外部防火墙的设 置中,我们通常采用两端口或三端口的方式,后者主要考虑到对外服务器群的DMZ区域连接的问题,如图2所示。
同时我们将外部防火墙的内部端口分别与 C6500 的 MSFC 进行 L3 的连接,注意此处一定是分别连接,在路由处理方面可以采用静态路由的方式即可,这样比较简单有效。
在处理好外部接入与防护问题之后,我们可以有选择性地保护一些内部资源,例如关键性服务器资源以及重要的用户群等。此时,我们可以利用虚拟防火墙去分别连接此类资源,不同的是这些内部防火墙是用外部接口与 MSFC 分别互连,这样它们所保护的对象就处于防火墙的内部网段了,如图3所示。
C6500 作为网络的核心设备,MSFC 是一个中心的 L3 对象。以此为中心,对外可以通过外部防火墙进行外部的互连,此时整个网络均作为被保护对象处于外部防火墙的内部网段;同时,在面对内部需要保护的对象时, FWSM 防火墙模块可以通过 VLAN 的灵活划分,利用内部防火墙有选择性地加以保护,此时的保护连接可以是 L2,也可以是 L3 方式。比如说,普通的汇聚层交换机此时仍然可以通过 L3 的方式与 C6500 的 MSFC 进行连接,双方可以完成动态路由的交换,这样普通用户可以不受限制的接入,与传统网络设计没有什么区别。但是,如果我们认为某一台汇聚交换机所接入的用户安全等级比较高,此时就可以在 MSFC 与该汇聚交换机之间加入一个虚拟防火墙,只是此时防火墙的内部端口接的是汇聚交换机,外部端口接的是 MSFC 而矣。此时,该用户群就可以得到专门的防火墙保护了,任何针对该用户群的攻击都必须首先突破防火墙的防御,这样就可以有效提高内部的安全防护等级。当然,如果说保护的是一些关键性服务器等对象,也是可以采用内部防火墙的防护的,只是此时防火墙内部端口可以通过 VLAN 或 VLAN Trunk 方式连接,只要将服务器的网关设为防火墙内部端口的IP地址就可以了。
当在电信 POP 点应用 6503/6506/6509 高端防火墙时,可以通过 FWSM 的 VFW 功能,提供针对每个用户的安全保护增值服务,例如图4所示,我们可以在PE-CE之间加入VFW的保护,具体的安全策略可以由各个用户自行制定,也可以由电信运营商代理。
思科CAT6K集成安全系统
防火墙技术的发展有两个主要趋势,一是将 IDS/IPS 集成到防火墙中,提供单一设备的网络防护整体方案;另外一个趋势是防火墙与交换机的整合,或者说是防火墙功能在网络中向分布式发展,交换机中会有更多,更强大的防火墙功能。
思科公司的 CAT6K 交换机里部署 FWSM 防火墙模块和 IDS 入侵监测模块是这两种技术趋势的完美结合,具有独特的优势。
FWSM防火墙模块部署在CAT6K中的好处
•FWSM 防火墙模块具有非常高的性能,提供 5.5G 的容量,同时支持共 1,000,000 个连接,每秒 100,000 连接响应,实现安全和性能的完美结合
•FWSM 防火墙模块具有丰富的安全功能,支持虚拟防火墙,透明模式和路由模式,资源控制,日志监控,内容过滤等业界领先的功能
•FWSM 防火墙模块本身不带有任何端口,通过 6GE 的背板总线和 CAT6K 其他部件通讯,可以插在 CAT6K 交换机或 OSR 的任何一个交换槽位中,CAT6K 交换机的任何端口都可以定义成防火墙端口。因此在采用 CAT6K 或 OSR 搭建网络的时后,可以非常方便的部署安全策略和实施,控制需要管理的流量。
•简化用户网络的同时,真正实现对用户的投资保护。对于已经购买 CAT6K 交换机 /OSR 的用户,不需要对原有产品进行更换,只需购买 FWSM 防火墙模块,就可获得思科提供的所有防火墙特性和非常高的性能。
•FWSM 防火墙模块融合在 CAT6K 交换机中,其融合之美在应用上为用户提供了特别的方便,如下图所示
最早的串接结构模式,明显的防火墙成为了网络的瓶颈,而且部署非常不灵活,所有的流量均需要通过,可能需要部署多个防火墙;串接模式的改进型为单臂模式,解决了瓶颈和部署不灵活的问题,但网络逻辑结构复杂,有时还需要交换机支持PBR策略路由来控制流量,因此在动态环境下,会有路由无法备份,无法支持热备份等问题,同时交换机和防火墙之间的安全相关的互联互通有时也会出现问题;思科公司的融合模式,即将 FWSM 防火墙模块和 CAT6K 交换机融为一体,逻辑结构清晰,容易管理和部署,交换机的每个端口均可作为防火墙的端口,流量很容易控制,方便灵活,真正完全满足用户的需要。
IDSM-2入侵监测模块部署在CAT6K中的好处
•IDSM-2 入侵监控模块提供 600Mbps 业界领先的处理性能,在 CAT6K 中可以部署多块,可达 6G 的处理能力。
•CAT6K 支持广域网接口,IDSM-2 工作在 CAT6K 中,可以非常轻松的监控来自于广域网模块的流量。
•IDSM-2 入侵监控模块本身没有物理端口,通过多个 GE 和背板总线连接,可以同时监控多个 VLAN 和 VLAN ID,通过 VLAN 访问控制列表 VACL 获取功能来提供对数据流的访问权限 VACL 可以支持无限个 VLAN。
•采用多种用于获取和响应的技术包括 SPAN/RSPAN 和 VACL 获取功能,以及屏蔽和 TCP 重置功能,从而让用户可以监控不同的网段和流量,同时让产品可以采取及时的措施以消除威胁。
•IDSM-2 入侵监控模块在硬件设计上已经支持 IPS 技术模式,当 IPS 技术成熟后,可以通过简单的软件升级就可以实现从 IDS 到 IPS 的平滑过渡,保护投资。
FWSM防火墙模块和IDSM-2入侵监测模块在CAT6K中的优势
•融合最前面两种技术发展趋势的优点,在单一设备中提供业界领先的安全保护
•具有非常高的性价比,是单独部署防火墙和IDS入侵监测投资的50%。
•FWSM 和 IDSM 具有业界领先的性能,完全匹配 CAT6K 的高性能交换,提供完美的解决方案。
•IDSM-2 和 FWSM 防火墙模块之间可以非常容易的实现互动,IDSM-2 在监测到网络攻击之后,可以直接控制 FWSM 防火墙模块和 CAT6K 做出相应的安全防护动作,有效的防护网络攻击,解决了不同厂家之间 IDS 和防火墙之间无法互动的问题。
•思科这种集成化网络安全解决方案让企业可以提高生产率,降低运营成本。