数据中心集成安全解决方案.doc

《数据中心集成安全解决方案.doc》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

1、数据中心集成安全解决方案1.系统功能简介§数据中心负责存储、计算和转发企业最重要的数据信息，这些信息的安全可靠成为了企业发展和生存的前提条件。思科数据中心安全保护套件提供数据中心信息的安全防护。§考虑到CiscoCatalyst6500系列交换机已经广泛部署在企业数据中心，安全套件主要由内嵌防火墙模块（FWSM）和内嵌入侵检测系统模块（IDSM）两个组件构成。§FWSM使用一个实时的、牢固的嵌入式系统，可以消除安全漏洞，防止各种可能导致性能降低的损耗。这个系统的核心是一种基于自适应安全算法（ASA）的保护机制，它可以提供面向连接的全状态防火墙功能。利用FWSM可以根据源地址和目的地地址

2、，随机的TCP序列号，端口号，以及其他TCP标志，为一个会话流创建一个连接表条目。FWSM可以通过对这些连接表条目实施安全策略，控制所有输入和输出的流量。IDSM对进入网络的流量进行旁路的深层数据包检测，判断和分析数据包是否能够安全的在数据中心进行发送、接收，防止业务资产受到威胁，提高入侵防范的效率。§思科数据中心安全保护套件示意图如下：1.系统先进特性§灵活的扩展性：集成模块FWSM安装在CiscoCatalyst6500系列交换机的内部，让交换机的任何物理端口都可以成为防火墙端口，并且在网络基础设施中集成了状态防火墙安全。对于那些机架空间非常有限的系统来说，这种功能非常重要。系统可

3、以通过虚拟防火墙功能将一台物理的防火墙模块划分为最多250台虚拟的防火墙系统，以满足用户业务的不断扩展。IDSM可以通过VLAN访问控制列表（VACL）获取功能来提供对数据流的访问权限，并根据自己的需要，同时安装多个模块，为更多的VLAN和流量提供保护。当设备需要维护时，热插拔模块也不会导致网络性能降低或者系统中断。§强大的安全防护功能：该系统不仅可以保护企业网络免受未经授权的外部接入的攻击，还可以防止未经授权的用户接入企业网络的子网、工作组和LAN。强大的入侵检测能力还可以提供高速的分组检查功能，让用户可以为各种类型的网络和流量提供更多的保护。多种用于获取和响应的技术，包括SPAN/

4、RSPAN和VACL获取功能，以及屏蔽和TCP重置功能，从而让用户可以监控不同的网段和流量，同时让产品可以采取及时的措施，以消除威胁。§便于管理：设备管理器的直观的图形化用户界面（GUI）可以方便的管理和配置FWSM。系统更加善于检测和响应威胁，同时能够就潜在的攻击向管理人员发出警报，便于管理人员及时对安全事件进行响应。2.系统配置说明（硬件软件需要与产品列表）§FWSM+IDSM（详细报价请参考Excel文件）型号描述数量WS-SVC-FWM-1-K9Firewallbladefor6500and7600,VFWLicenseSeparate1WS-SVC-IDS2-BUN-K960

5、0MIDSM-2ModforCat1CON-SUSA-WIDSBNK9IPSSIGNATUREONLY600MIDSM-2Modfor1CON-CSSPD-WSFWM1K9SharedSupportSameDayShip-CSSPD1CON-CSSPDWIDSBNK9SharedSupportSameDayShip-CSSPD1§系统配置说明：-Catalyst6500IDSM-2入侵检测模块需购买签名（IPSSIGNATURE）升级服务。1.系统应用领域§思科安全套件系统可以满足以下技术需求：-希望通过现有的Catalyst6500交换机设备部署综合安全防护系统的数据中心-将来通过虚

6、拟化技术实现系统扩展，合理分配数据中心的安全防护设备资源的数据中心。-要求最大化利用机架空间的数据中心。-实现易于管理和维护的数据中心安全系统。§思科安全套件系统可以部署到在以下行业应用系统中：-金融业：核心业务数据中心，管理系统数据中心。-制造业：生产管理与财务系统。-教育行业：教学管理系统，学科数据中心，财务系统。-医疗行业：HIS系统，财务系统。