威海汽車客運(yùn)集團(tuán)VPN聯(lián)網(wǎng)售票方案樣本

威海汽車客運(yùn)集團(tuán)VPN聯(lián)網(wǎng)方案一前言交通是經(jīng)濟(jì)"先行官"，高效交通運(yùn)送保障能力和區(qū)域間經(jīng)濟(jì)協(xié)調(diào)發(fā)展需要一體化、網(wǎng)絡(luò)化交通，需要加強(qiáng)區(qū)域間運(yùn)送協(xié)作，需要人流物流便捷暢通，而這一切實(shí)現(xiàn)不但需要政策法規(guī)以及管理機(jī)制上一體化，極為重要一項(xiàng)辦法就是發(fā)揮信息系統(tǒng)作用，用信息化推動交通一體化發(fā)展，推動交通當(dāng)代化。思科智能交通解決方案是為航空，公路，鐵路，航運(yùn)等各種行業(yè)所量身訂制一系列業(yè)務(wù)解決方案。思科解決方案著重在如下方面：更高安全和可靠性增長運(yùn)力和投資回報(bào)實(shí)時信息減少擁塞和延時智能控制和管理針對威海汽運(yùn)集團(tuán)個性需求特點(diǎn)：威海交通運(yùn)送集團(tuán)有近二十個分部，其局域網(wǎng)約有50臺PC，其中包括站點(diǎn)5個，分散在威海各地（威海、文登、榮成、乳山和石島等）。各分支內(nèi)網(wǎng)PC數(shù)量大概在10-30臺左右，通過普通ADSL方式連入互聯(lián)網(wǎng)，分部需要時實(shí)和總部服務(wù)器進(jìn)行安全數(shù)據(jù)通信。由于需要全市區(qū)聯(lián)網(wǎng)銷售車票，涉及異地始發(fā)車票，同步和公司總部進(jìn)行業(yè)務(wù)狀況、財(cái)務(wù)數(shù)據(jù)等信息傳播，這些業(yè)務(wù)數(shù)據(jù)在Internet上直接傳播時存在較高安全風(fēng)險(xiǎn)，直接影響售票業(yè)務(wù)順利進(jìn)行，沒有安全保護(hù)辦法，會引起黑客入侵、病毒泛濫，維護(hù)工作難以開展，甚至導(dǎo)致公司網(wǎng)絡(luò)癱瘓，導(dǎo)致巨大經(jīng)濟(jì)損失。咱們選取了思科防火墻。選取思科因素

當(dāng)前市場上許多廠商都會提供獨(dú)立小型產(chǎn)品來解決網(wǎng)絡(luò)上某一特定問題。其成果是，機(jī)構(gòu)網(wǎng)絡(luò)和應(yīng)用性能更加不一致，由于缺少豐富集成網(wǎng)絡(luò)特性及服務(wù)和網(wǎng)絡(luò)智能性，使網(wǎng)絡(luò)無法作為一種統(tǒng)一系統(tǒng)運(yùn)營，從而使得機(jī)構(gòu)需耗費(fèi)更多精力進(jìn)行系統(tǒng)維護(hù)。單點(diǎn)產(chǎn)品還面臨著其他問題，涉及：

·難以保護(hù)整個網(wǎng)絡(luò)免遭中斷、服務(wù)性能下降和安全違背影響

·不能依照既有基本設(shè)施調(diào)節(jié)，或提供必要可擴(kuò)展性來滿足不斷變化業(yè)務(wù)需求

·缺少網(wǎng)絡(luò)布置和管理方面"最佳實(shí)踐"記錄，導(dǎo)致長期成本和復(fù)雜度增長

升級、修改和管理困難且成本高昂

老式網(wǎng)絡(luò)供應(yīng)商提供由互聯(lián)機(jī)箱構(gòu)成端到端解決方案，它們普通是其既有系統(tǒng)向外擴(kuò)展。這種方式問題在于性能和可用性普通由最薄弱網(wǎng)絡(luò)組件決定。

與其相反，思科提供是智能化、真正集成(有線和無線)端到端網(wǎng)絡(luò)解決方案，使網(wǎng)絡(luò)能作為一種整體工作，在特性和質(zhì)量方面具一致性，擁有更高可靠性、增強(qiáng)顧客體驗(yàn)和高質(zhì)量性能。更為一致網(wǎng)絡(luò)會帶來更為一致運(yùn)營。

只有思科具備可優(yōu)化基本設(shè)施組件聯(lián)網(wǎng)深度和廣度，使各組件在機(jī)構(gòu)和機(jī)構(gòu)擴(kuò)展基本設(shè)施上作為統(tǒng)一系統(tǒng)運(yùn)營。除提高網(wǎng)絡(luò)性能外，網(wǎng)絡(luò)元素通過集成化網(wǎng)絡(luò)合同和網(wǎng)絡(luò)智能而鎖定。

二、顧客需求分析威海汽車客運(yùn)集團(tuán)，在周邊有文登，乳山，榮成，石島幾種大客運(yùn)網(wǎng)點(diǎn)及威海各個分公司。為實(shí)現(xiàn)新型管理模式，均衡汽車資源，哺育專業(yè)客運(yùn)市場，將對這幾大客運(yùn)網(wǎng)點(diǎn)實(shí)行聯(lián)網(wǎng)管理，統(tǒng)一售票，合理調(diào)配班次。網(wǎng)絡(luò)建置需求如下：1、實(shí)現(xiàn)文登，乳山，榮成，石島幾種大客運(yùn)網(wǎng)點(diǎn)及威海各個分公司與總部互聯(lián)，實(shí)現(xiàn)聯(lián)網(wǎng)售票。2、由于聯(lián)網(wǎng)售票系統(tǒng)及時性規(guī)定相稱高，盡量減少系統(tǒng)服務(wù)中斷，提高工作效率。3、保證系統(tǒng)安全運(yùn)營，防止數(shù)據(jù)丟失，實(shí)現(xiàn)可靠性有效提高。4、系統(tǒng)構(gòu)造清晰，管理設(shè)立以便，功能服務(wù)簡樸易用。5、通過路由器對顧客實(shí)行統(tǒng)一管理，最大限度發(fā)揮網(wǎng)絡(luò)作用，實(shí)現(xiàn)網(wǎng)絡(luò)安全管理。依照客運(yùn)站管理和業(yè)務(wù)特點(diǎn)，采用美國思科CISCO公司防火墻VPN設(shè)計(jì)方案，客運(yùn)網(wǎng)點(diǎn)通過VPN通信方式連接中心數(shù)據(jù)庫服務(wù)器，實(shí)現(xiàn)了集團(tuán)公司與客運(yùn)分站聯(lián)網(wǎng)售票。在咱們仔細(xì)研究了客運(yùn)集團(tuán)狀況后，針對集團(tuán)實(shí)際需要，為此，咱們選取了ASA5510-SEC-BUN-K9及PIX-501-BUN-K9和PIX-501-50-BUN-K9系列防火墻作為流量方略服務(wù)器來隔離內(nèi)外網(wǎng)絡(luò)信息流量和增長VPN功能。CiscoASA及PIX系列防火墻強(qiáng)大性能可以滿足大型交通運(yùn)送集團(tuán)需要。作為世界領(lǐng)先CiscoSecurePIX防火墻系列構(gòu)成某些，PIX及ASA可覺得當(dāng)今網(wǎng)絡(luò)客戶提供無與倫比安全性、可靠性和性能。該防火墻將靜態(tài)防火墻和IP安全（IPSec）虛擬專網(wǎng)（VPN）功能與千兆位以太網(wǎng)吞吐量靈活地結(jié)合在一起。PIX525支持動態(tài)/靜態(tài)NAT和PAT，純文本吞吐量達(dá)到370Mbps，可以滿足28萬個顧客同步連接28萬。PIX和ASA是一種可以提供空前保護(hù)能力通用防火墻設(shè)備。它與PIX操作系統(tǒng)（OS）緊密集成在一起，該操作系統(tǒng)是一種消除了安全漏洞和性能退化開銷專用固化系統(tǒng)。PIX防火墻核心是基于自適應(yīng)安全算法（ASA）一種保護(hù)機(jī)制，它可以提供面向靜態(tài)連接防火墻功能，可以進(jìn)行28萬個同步連接，并同步防止常用回絕服務(wù)（DoS）襲擊。三網(wǎng)絡(luò)技術(shù)實(shí)行◆VPN技術(shù)及其實(shí)行虛擬專用網(wǎng)（VirtualPrivateNetwork）是運(yùn)用公眾網(wǎng)資源為客戶構(gòu)成專用網(wǎng)一種業(yè)務(wù)。VPN可以看作是公司網(wǎng)在Internet上延伸，通過在internet中一種私用通道來創(chuàng)立一種安全私有連接，VPN通過這個安全通道將遠(yuǎn)程顧客，公司分支機(jī)構(gòu)，公司業(yè)務(wù)合伙伙伴等公司公司網(wǎng)連接起來，構(gòu)成一種擴(kuò)展公司公司網(wǎng)。VPN解決方案長處1、省錢：如果公司放棄租用專線而采用VPN，其整個網(wǎng)絡(luò)成本可節(jié)約21%-45%，至于那些以電話撥號方式連網(wǎng)存取數(shù)據(jù)公司，采用VPN則可以節(jié)約通訊成本50%-80%。2、選取靈活、速度快：通過vpn網(wǎng)關(guān)，顧客可以選取各種internet連通技術(shù)，并且對于INTERNET容量可以實(shí)現(xiàn)按需定制；3、安全性好：VPN認(rèn)證機(jī)制將更好地保證顧客隱私權(quán)和收發(fā)數(shù)據(jù)完整性；4、實(shí)現(xiàn)投資保護(hù)：VPN技術(shù)應(yīng)用可以建立在顧客既有網(wǎng)絡(luò)基本上，顧客正在使用應(yīng)用軟件不受影響。VPN分類虛擬專用網(wǎng)可以從如下三個方面分類：所起作用、應(yīng)用模式和所在OSI參照模型層次。按VPN所起作用可以將VPN分為三類：VPDN、IntranetVPN和ExtranetVPN。1、VPDN(VirtualPrivateDialNetwork)：在遠(yuǎn)程顧客或移動雇員和公司內(nèi)部網(wǎng)之間VPN，稱為VPDN。2、IntranetVPN：在公司遠(yuǎn)程分支機(jī)構(gòu)LAN和公司總部LAN之間VPN。通過Internet這一公共網(wǎng)絡(luò)將公司在各地分支機(jī)構(gòu)LAN連到公司總部LAN，以便公司內(nèi)部資源共享、文獻(xiàn)傳遞等，可節(jié)約DDN等專線所帶來高額費(fèi)用。3、ExtranetVPN：在供應(yīng)商、商業(yè)合伙伙伴LAN和公司LAN之間VPN。由于不同公司網(wǎng)絡(luò)環(huán)境差別性，該產(chǎn)品必要能兼容不同操作平臺和合同。由于顧客多樣性，公司網(wǎng)絡(luò)管理員還應(yīng)當(dāng)設(shè)立特定訪問控制表ACL(AccessControlList)，依照訪問者身份、網(wǎng)絡(luò)地址等參數(shù)來擬定她所相應(yīng)訪問權(quán)限，開放某些資源而非所有資源給外聯(lián)網(wǎng)顧客。按VPN應(yīng)用模式可以將VPN分為兩類：對等型（PeerModel）和全覆蓋型（OverModel）。1、對等型（PeerModel）：這種模型是一種途徑?jīng)Q定在網(wǎng)絡(luò)層基于跳數(shù)（HOP-BY-HOP）模式。客戶端與VPN服務(wù)供應(yīng)商設(shè)備形成一種網(wǎng)絡(luò)層對等關(guān)系，通過服務(wù)供應(yīng)商設(shè)備計(jì)算最佳途徑通過網(wǎng)絡(luò)發(fā)生應(yīng)用連接。2、全覆蓋型（OverModel）：這種模型是一種途徑?jīng)Q定在網(wǎng)絡(luò)層基于CUT-THROUGH模式?？蛻舳伺c客戶端形成對等關(guān)系，網(wǎng)絡(luò)層次并不懂得下面構(gòu)造；所有客戶端都是通過邏輯上一跳互相通訊，而不論中間通過多少物理設(shè)備連接。依照VPN所在實(shí)行OSI層次相對TCP/IP合同棧應(yīng)用層次來劃分，有數(shù)據(jù)鏈路層VPN、網(wǎng)絡(luò)層VPN、傳播層VPN和應(yīng)用層VPN；相相應(yīng)OSI合同棧層次VPN均有相應(yīng)VPN隧道合同。VPN應(yīng)用技術(shù)VPN技術(shù)非常復(fù)雜，它涉及到通信技術(shù)、密碼技術(shù)和當(dāng)代認(rèn)證技術(shù)，是一項(xiàng)交叉科學(xué)。當(dāng)前，VPN重要包括兩種技術(shù)：隧道技術(shù)與安全技術(shù)。隧道技術(shù)基本過程是在源局域公網(wǎng)接口處將數(shù)據(jù)(可以是ISO七層模型中數(shù)據(jù)鏈路層或網(wǎng)絡(luò)層數(shù)據(jù))作為負(fù)載封裝在一種可以在公網(wǎng)上傳播數(shù)據(jù)格式中，在目局域網(wǎng)與公網(wǎng)接口處將數(shù)據(jù)解封裝，取出負(fù)載。被封裝數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞時所通過邏輯途徑被稱為“隧道”。VPN區(qū)別于普通網(wǎng)絡(luò)互聯(lián)核心于隧道建立，然后數(shù)據(jù)包通過加密后，按隧道合同進(jìn)行封裝、傳送以保安全性；要使數(shù)據(jù)順利地被封裝、傳送及解封裝，通信合同是保證核心。普通，在數(shù)據(jù)鏈路層實(shí)現(xiàn)數(shù)據(jù)封裝合同叫第二層隧道合同，慣用有PPTP、L2TP等；在網(wǎng)絡(luò)層實(shí)現(xiàn)數(shù)據(jù)封裝合同叫第三層隧道合同，如IPSec、MPLS等；此外，SOCKSv5合同則在TCP層實(shí)現(xiàn)數(shù)據(jù)安全。VPN是在不安全I(xiàn)nternet中通信，通信內(nèi)容也許涉及公司機(jī)密數(shù)據(jù)，因而其安全性非常重要。VPN中安全技術(shù)普通由加密、認(rèn)證及密鑰互換與管理構(gòu)成。VPN技術(shù)實(shí)行依照神華集團(tuán)網(wǎng)絡(luò)需求，為保持與原有網(wǎng)絡(luò)良好整合，并使異地分支機(jī)構(gòu)能訪問總部應(yīng)用，在Intranet上組建公司內(nèi)部私有網(wǎng)。咱們應(yīng)用IPSec隧道合同（即構(gòu)成IPSecVPN），采用IPSecVPN技術(shù)進(jìn)行西四局各局域網(wǎng)網(wǎng)關(guān)到總部局域網(wǎng)網(wǎng)關(guān)VPN連接，選用Cisco3745路由器來擔(dān)當(dāng)VPN網(wǎng)關(guān),詳細(xì)設(shè)備配備請參照設(shè)備配備清單。同樣重要是，思科融合網(wǎng)絡(luò)通過如下特性提供了最低TCO：

·更低硬件成本。高度優(yōu)化網(wǎng)絡(luò)無需各種專用網(wǎng)絡(luò)，因而減少了硬件成本。例如，單一以太網(wǎng)卡可取代三個獨(dú)立網(wǎng)卡，減少了成本和復(fù)雜度。

·更低軟件和培訓(xùn)成本。智能網(wǎng)絡(luò)服務(wù)擴(kuò)展為創(chuàng)新交通應(yīng)用布置鋪平了道路，網(wǎng)絡(luò)操作人員無需更換或?qū)W習(xí)新操作軟件，減少了軟件和培訓(xùn)成本。四實(shí)現(xiàn)方案本方案重點(diǎn)要解決是穩(wěn)定、高速、安全遠(yuǎn)程互聯(lián)并運(yùn)營客運(yùn)站售票系統(tǒng)問題。在集團(tuán)總部，采用CISCO接入ASA5510-SEC-BUN-K9，客運(yùn)站網(wǎng)點(diǎn)分別采用了思科CISCOPIX-501-BUN-K9和PIX-501-50-BUN-K9。集團(tuán)公司總部接入一條網(wǎng)通光纖，客運(yùn)站網(wǎng)點(diǎn)都同步備有1條2M網(wǎng)通ADSL線路。只需在總部設(shè)定IP地址、顧客名及密碼三個環(huán)節(jié)就輕松搞定了SmartLinkVPN連網(wǎng)方案。ASA5510-SEC-BUN-K9及PiX-501-BUN-K9和PiX-501-50-BUN-K9產(chǎn)品提供多WAN接入、防火墻、負(fù)載平衡、線路備援、QoS帶寬管理等各種功能。除了保障網(wǎng)絡(luò)安全穩(wěn)定外，還可根據(jù)實(shí)際應(yīng)用狀況進(jìn)行帶寬管理，保證VPN帶寬，保證總部與客運(yùn)網(wǎng)點(diǎn)間信息傳遞不受影響。五方案目1、通過應(yīng)用本方案，集團(tuán)總部與客運(yùn)網(wǎng)點(diǎn)間網(wǎng)絡(luò)可以互通，形成一種局域網(wǎng)?？偛颗c分部之間數(shù)據(jù)共享，實(shí)現(xiàn)實(shí)時傳播。2、及時將各客運(yùn)網(wǎng)點(diǎn)數(shù)據(jù)統(tǒng)一到集團(tuán)總部，加強(qiáng)了數(shù)據(jù)管理即時可靠性、同步提高了工作效率，減少了人工成本。3、多WAN口設(shè)計(jì)，可滿足不同帶寬需求，也可同步滿足VPN備援功能，提供多一層安全保障。對于VPN聯(lián)機(jī)規(guī)定高度穩(wěn)定，雖然斷線也可及時接回，不影響正常運(yùn)作。高速穩(wěn)定運(yùn)營“汽車客運(yùn)站售票系統(tǒng)”。4、解決了網(wǎng)絡(luò)病毒及蠕蟲毒病所苦，通過思科CISCO防火墻設(shè)立解決了網(wǎng)速因被黑客襲擊而受影響或內(nèi)網(wǎng)顧客常被病毒襲擊侵?jǐn)_。六、效果評測威海汽車客運(yùn)集團(tuán)總部與客運(yùn)網(wǎng)點(diǎn)，通過實(shí)行思科CISCOVPN方案，建立了穩(wěn)定VPN聯(lián)機(jī)，有效保證了傳播數(shù)據(jù)實(shí)時與安全?？瓦\(yùn)站售票系統(tǒng)運(yùn)營穩(wěn)定，實(shí)現(xiàn)了集中管理，統(tǒng)一售票。應(yīng)用思科CISCO系列產(chǎn)品及其解決方案以來，威海汽車客運(yùn)集團(tuán)VPN網(wǎng)絡(luò)運(yùn)營良好。特別是因其有VPN線路備份功能，可保證時時聯(lián)機(jī)，穩(wěn)定性與安全性也極高，再也不用緊張?jiān)趥鞑?shù)據(jù)過程間斷線導(dǎo)致困擾了。在效率上較此前電話聯(lián)網(wǎng)售票快了諸多倍，特別應(yīng)對出票率最高峰時春運(yùn)，效果尤為突出，得到集團(tuán)公司領(lǐng)導(dǎo)必定和承認(rèn)。七技術(shù)參數(shù)產(chǎn)品參數(shù)：CISCOPIX-501-50-BUN-K9CISCOPIX-501-50-BUN-K9基本規(guī)格設(shè)備類型公司級防火墻)硬件參數(shù)CPU;133MHzAMDSC520,閃存：8MB,隨機(jī)存儲內(nèi)存16MBSDRAM并發(fā)連接數(shù)7500VPN支持支持網(wǎng)絡(luò)網(wǎng)絡(luò)吞吐量（Mbps）60挑錯(30分)安全性安全過濾帶寬(Mbps)3顧客數(shù)限制50入侵檢測DoS、IDS重要功能防火墻、虛擬個人網(wǎng)絡(luò)(VPN)和入侵保護(hù)，并支持URL過濾安全原則UL1950，CAN/CSA-C22.2No.60950-00，IEC60950，EN60950)其他控制端口RS-232管理CSPM、PDM電氣規(guī)格電源電壓（V）220電源功率（W）5外觀參數(shù)重量(Kg)0.34)長度(mm)159寬度(mm)140高度(mm)25CISCOPIX-501-BUN-K9參數(shù)CISCOPIX-501-BUN-K9基本規(guī)格設(shè)備類型公司級防火墻硬件參數(shù)CPU;133MHzAMDSC520,閃存：8MB,隨機(jī)存儲內(nèi)存16MBSDRAM并發(fā)連接數(shù)7500VPN支持支持網(wǎng)絡(luò)網(wǎng)絡(luò)吞吐量（Mbps）60安全性安全過濾帶寬(Mbps)3顧客數(shù)限制10入侵檢測IDS,Dos重要功能防火墻,VPN,入侵保護(hù),URL過濾安全原則UL1950，CAN/CSA-C22.2No.60950-00，IEC60950，EN60950其他控制端口RS-232管理CSPM、PDM電氣規(guī)格電源電壓（V）220電源功率（W）5外觀參數(shù)重量(Kg)0.34長度(mm)159寬度(mm)140高度(mm)25CISCOASA5510-SEC-BUN-K9參數(shù)基本規(guī)格設(shè)備類型公司級防火墻硬件參數(shù)3+1個管理迅速以太網(wǎng)端口,可升級到5個迅速以太網(wǎng)端口,1個SSM擴(kuò)展插槽，2個USB2.RAM:256MB,FLASH:64MB,并發(fā)連接數(shù)130000VPN支持支持網(wǎng)絡(luò)網(wǎng)絡(luò)吞吐量（Mbps）300安全性安全過濾帶寬(Mbps)170顧客數(shù)限制無顧客數(shù)限制重要功能高性能防火墻、IPS、Anti-X以及IPSec和SSLVPN和IPSecVPN(150個設(shè)備對)軟件,支持防垃圾郵件、URL阻攔和過濾，以及防網(wǎng)絡(luò)釣魚安全原則UL1950，CSAC22.2No.950，EN60950IEC60950，AS/NZS3260，TS001其他控制端口console,2個RJ-45管理思科安全管理器(CS-Manager),Web電氣規(guī)格電源電壓（V）100-240VAC,47/63Hz電源功率（W）額定：150W,最大：190W外觀參數(shù)重量(Kg)9.07長度(mm)362寬度(mm)200.4高度(mm)44.5功能簡介：Cisco?ASA5500系列自適應(yīng)安全設(shè)備是思科專門設(shè)計(jì)解決方案，可以將最高安全性和VPN服務(wù)與全新自適應(yīng)辨認(rèn)和防御（AIM）架構(gòu)有機(jī)地結(jié)合在一起。作為思科自防御網(wǎng)絡(luò)核心組件，CiscoASA5500系列可以提供積極威脅防御，在網(wǎng)絡(luò)受到威脅之前就能及時阻擋襲擊，控制網(wǎng)絡(luò)行為和應(yīng)用流量，并提供靈活VPN連接。思科提供強(qiáng)大多功能網(wǎng)絡(luò)安全設(shè)備系列不但能為保護(hù)中小公司和大型公司網(wǎng)絡(luò)提供廣泛而進(jìn)一步安全功能，還能減少與實(shí)現(xiàn)這種安全性有關(guān)總體布置和運(yùn)營成本及復(fù)雜性。是顧客統(tǒng)一威脅防御（UTM）解決方案抱負(fù)選取。CiscoASA5500系列可以在一種平臺中提供各種已通過市場驗(yàn)證技術(shù)，無論從技術(shù)角度還是從經(jīng)濟(jì)角度看，都可覺得各種地點(diǎn)布置各種安全服務(wù)。運(yùn)用其多功能安全組件，公司幾乎不需要作任何兩難選取，既可以提供強(qiáng)有力安全保護(hù)，又可以減少在各種地點(diǎn)布置多臺設(shè)備運(yùn)營成本。圖1CiscoASA5500系列自適應(yīng)安全設(shè)備CiscoASA5500系列可以通過如下核心組件協(xié)助公司更有效地管理網(wǎng)絡(luò)并提供出眾投資保護(hù)：通過市場驗(yàn)證安全與VPN功能–全特性、高性能防火墻，入侵防御系統(tǒng)(IPS)，網(wǎng)絡(luò)防病毒和IPSec/SSLVPN技術(shù)提供了強(qiáng)大應(yīng)用安全性，基于顧客和應(yīng)用訪問控制，蠕蟲與病毒防御，惡意軟件防護(hù)以及遠(yuǎn)程顧客/站點(diǎn)連接。可擴(kuò)展自適應(yīng)辨認(rèn)與防御服務(wù)架構(gòu)－運(yùn)用一種模塊化服務(wù)解決和方略框架，AIM可依照每個流量狀況，應(yīng)用特定安全方略或網(wǎng)絡(luò)服務(wù)，提供高度精準(zhǔn)方略控制和Anti-x保護(hù)，并簡化流量解決。CiscoASA5500系列AIM架構(gòu)具備出眾效率，安全服務(wù)模塊（SSM）則提供了軟件和硬件可擴(kuò)展性，因而無需更換平臺，也不會減少性能，即可擴(kuò)呈既有服務(wù)和布置新服務(wù)。作為CiscoASA5500系列架構(gòu)基本，AIM支持高度可定制安全方略和前所未有服務(wù)可擴(kuò)展性，來為威脅限度迅速提高環(huán)境提供保護(hù)。減少布置和運(yùn)營成本–這種多功能設(shè)備可實(shí)現(xiàn)平臺、配備和管理原則化，從而減少布置與尋常運(yùn)營成本。市場領(lǐng)先安全和VPN功能CiscoASA5500系列充分運(yùn)用了思科在開發(fā)業(yè)界領(lǐng)先、屢獲大獎安全和VPN解決方案方面豐富經(jīng)驗(yàn)，且集成了CiscoPIX?500系列安全設(shè)備、CiscoIPS4200系列入侵防御系統(tǒng)和CiscoVPN3000系列集中器最新技術(shù)。通過結(jié)合這些技術(shù)，CiscoASA5500系列提供了一種無與倫比最佳解決方案，能終結(jié)范疇最為廣泛威脅，并為公司提供靈活、安全連接選項(xiàng)。CiscoASA5500系列提供安全和網(wǎng)絡(luò)服務(wù)深度和廣度使其能保護(hù)網(wǎng)絡(luò)任意區(qū)域，涉及最常用威脅對象，如移動顧客、遠(yuǎn)程地點(diǎn)，以及不可管理桌面和服務(wù)器。作為思科自適應(yīng)威脅防御和統(tǒng)一安全接入方略核心組件之一，CiscoASA5500系列結(jié)合了各種安全和VPN技術(shù)，提供了豐富應(yīng)用安全、Anti-x防御、網(wǎng)絡(luò)控制和抑制，以及安全連接特性。應(yīng)用安全CiscoASA5500系列通過30種可檢查第二到七層網(wǎng)絡(luò)流量應(yīng)用感知檢測引擎，提供了強(qiáng)大應(yīng)用層安全性。為防止網(wǎng)絡(luò)遭受應(yīng)用層襲擊，使公司能控制應(yīng)用和合同在環(huán)境中使用方式，這些檢測引擎包括豐富應(yīng)用和合同知識，采用了安全實(shí)行技術(shù)，涉及應(yīng)用/合同命令過濾、合同異常事件檢測，以及應(yīng)用和合同狀態(tài)跟蹤。作為另一種應(yīng)用檢測和控制層，這些檢測引擎還采用了襲擊檢測和防御技術(shù)，如緩沖泛洪防御、內(nèi)容過濾和驗(yàn)證，以及URL顯示服務(wù)。檢測引擎合用于各種慣用應(yīng)用和合同，涉及Web服務(wù)、文獻(xiàn)傳播服務(wù)、電子郵件服務(wù)、語音和多媒體服務(wù)、數(shù)據(jù)庫服務(wù)、操作系統(tǒng)服務(wù)和3G移動無線服務(wù)。這些檢測引擎也使公司能控制即時消息、對等文獻(xiàn)共享和其她隧道應(yīng)用等威脅，協(xié)助公司實(shí)行使用方略，保護(hù)合法業(yè)務(wù)應(yīng)用網(wǎng)絡(luò)帶寬。Anti-X防御CiscoASA5500系列提供了先進(jìn)、高性能保護(hù)，可防御網(wǎng)絡(luò)和應(yīng)用層襲擊、回絕服務(wù)（DoS）襲擊，以及蠕蟲、網(wǎng)絡(luò)病毒、特洛伊木馬、間諜軟件及廣告軟件等惡意軟件。要實(shí)現(xiàn)高效Anti-X防御，需將廣泛襲擊檢測技術(shù)與先進(jìn)分析技術(shù)相配合，以實(shí)現(xiàn)高度精確威脅分類，從而保證在不影響合法網(wǎng)絡(luò)流量狀況下，實(shí)行相應(yīng)防御辦法。高檔檢測技術(shù)－為保證能發(fā)現(xiàn)威脅，CiscoASA5500系列提供了眾多檢測辦法，以發(fā)現(xiàn)方略違背、異常活動和安全漏洞襲擊。這些辦法涉及用于終結(jié)數(shù)據(jù)流中隱藏襲擊狀態(tài)化模式辨認(rèn)；用于驗(yàn)證網(wǎng)絡(luò)流量合同分析；用于辨認(rèn)涉及各種連接襲擊流量異常檢測；可通過觀測到合同或服務(wù)與正常RFC行為有所偏差而發(fā)現(xiàn)襲擊合同異常檢測；以及用于發(fā)現(xiàn)中間人襲擊第二層分析。專用防護(hù)可“凈化”網(wǎng)絡(luò)流量，以防止“逃避檢測”企圖；這些防護(hù)涉及IP分段重組和規(guī)范化、TCP流分段重組和規(guī)范化、TCP逃避控制、IP防電子欺騙和URL顯示。兩種思科創(chuàng)新分析和關(guān)聯(lián)技術(shù)可精確抵抗所發(fā)現(xiàn)威脅，與廣泛檢測技術(shù)相結(jié)合，它們是：風(fēng)險(xiǎn)評估和元事件生成器。風(fēng)險(xiǎn)評估－為保證能在不影響合法流量狀況下終結(jié)惡意襲擊，CiscoASA5500系列采用了思科創(chuàng)新風(fēng)險(xiǎn)評估技術(shù)。風(fēng)險(xiǎn)評估超越了用單因素方式擬定威脅風(fēng)險(xiǎn)普通辦法，用四種測量因素來擬定一種事件風(fēng)險(xiǎn)：事件嚴(yán)重限度－評分表達(dá)威脅相對影響特性可信度－評分表達(dá)特性精確度資產(chǎn)價(jià)值－定制化價(jià)值表達(dá)襲擊目的重要性（例如，配線間中打印服務(wù)器價(jià)值較低，數(shù)據(jù)中心中電子商務(wù)服務(wù)器價(jià)值較高）襲擊影響性－數(shù)值依照目的對襲擊類型易感性而定這四個因素結(jié)合可實(shí)現(xiàn)精確威脅評估，以便使顧客能自信地采用防御行動。元數(shù)據(jù)生成器－為迅速、精確地辨認(rèn)和終結(jié)會迅速傳播并導(dǎo)致嚴(yán)重?fù)p失蠕蟲，CiscoASA5500系列采用了思科元數(shù)據(jù)生成器技術(shù)，此種技術(shù)可提供獨(dú)特設(shè)備內(nèi)關(guān)聯(lián)功能。這可通過蠕蟲行為實(shí)時建模實(shí)現(xiàn)，這些行為涉及各種事件類型和各事件時間間隔關(guān)聯(lián)性。當(dāng)蠕蟲試圖穿過網(wǎng)絡(luò)時，它們通過各種分組傳播而傳播，在諸多狀況下，這些分組看起來是合法流量。元事件生成器使用實(shí)時關(guān)聯(lián)服務(wù)，來辨認(rèn)與蠕蟲傳播有關(guān)聯(lián)初始分組，并終結(jié)完畢蠕蟲蔓延所需后續(xù)分組傳播。這會導(dǎo)致蠕蟲無法完好無損地到達(dá)目地，從而“殺死”蠕蟲。網(wǎng)絡(luò)控制和抑制CiscoASA5500系列提供了范疇廣泛網(wǎng)絡(luò)控制和抑制服務(wù)，使公司能精準(zhǔn)控制應(yīng)用訪問和網(wǎng)絡(luò)流量傳播。作為安全基本，CiscoASA5500系列設(shè)備具備豐富狀態(tài)化檢測防火墻服務(wù)，可跟蹤所有網(wǎng)絡(luò)通信狀態(tài)并防止未授權(quán)網(wǎng)絡(luò)接入。通過CiscoASA5500系列提供高度靈活訪問控制服務(wù)，公司能實(shí)行其公司安全方略，以及應(yīng)用和資源使用方略。依照各種元素，涉及顧客身份和顧客構(gòu)成員關(guān)系、網(wǎng)絡(luò)資源地址、預(yù)定義或定制應(yīng)用類型、有關(guān)VPN隧道、時間和星期幾等，可以便地制定方略。使用CiscoASA5500系列提供網(wǎng)絡(luò)和應(yīng)用對象分組功能，可簡化這些應(yīng)用持續(xù)管理，使公司能以便地向一種既有對象組添加新網(wǎng)絡(luò)設(shè)備或應(yīng)用，使得新設(shè)備或應(yīng)用可采用與對象組中其她成員相似方略。安全連接服務(wù)CiscoASA5500系列提供強(qiáng)大站點(diǎn)間和遠(yuǎn)程接入VPN服務(wù)，使公司能在公共網(wǎng)絡(luò)上為移動顧客、遠(yuǎn)程地點(diǎn)和業(yè)務(wù)合伙伙伴創(chuàng)立安全連接。這為實(shí)現(xiàn)安全提供了一種集成方式，使機(jī)構(gòu)可獲得互聯(lián)網(wǎng)連接和成本優(yōu)勢，且不破壞公司安全方略完整性。通過將VPN服務(wù)與CiscoASA5500系列提供范疇廣泛安全服務(wù)相集成，公司可受益于更為強(qiáng)大、更為安全VPN連接。集成化思科自適應(yīng)威脅防御功能有助于保證VPN不會成為蠕蟲、病毒、惡意軟件或黑客等網(wǎng)絡(luò)襲擊傳播途徑。公司可對VPN流量執(zhí)行詳細(xì)應(yīng)用和訪問控制方略，以使各顧客和顧客組都只能訪問她們有權(quán)訪問服務(wù)和資源。此外，還能針對每個顧客、顧客組、隧道、消息流執(zhí)行定制服務(wù)質(zhì)量（QoS）方略，以保證對各網(wǎng)絡(luò)流量提供相應(yīng)優(yōu)先級和帶寬限制。遠(yuǎn)程接入VPN－CiscoASA5500系列靈活技術(shù)提供了可符合連接需求定制解決方案，使可由公司管理員工桌面能通過IPSecVPN獲得強(qiáng)大、可定制遠(yuǎn)程接入。對于公司不可管理終端，如外部網(wǎng)、互聯(lián)網(wǎng)服務(wù)亭或員工自己臺式機(jī)，CiscoASA5500系列為基于SSL遠(yuǎn)程接入提供了WebVPN。運(yùn)用思科豐富遠(yuǎn)程接入經(jīng)驗(yàn)，公司可布置一種為核心公司應(yīng)用提供廣泛支持集成平臺。靈活平臺---在單一平臺上提供IPSec和基于SSLVPN服務(wù)，無需布置兩個并行解決方案。為SSL和IPSecVPN布置分立平臺會導(dǎo)致低效和成本增長，而CiscoASA5500系列避免了這些問題。永續(xù)集群---通過在CiscoASA5500系列和VPN3000系列上平均分派VPN連接，可經(jīng)濟(jì)有效地進(jìn)行遠(yuǎn)程接入布置，無需顧客干預(yù)。這一高度永續(xù)功能消除了單點(diǎn)故障，使公司能按需擴(kuò)展其VPN終端，并為公司提供出眾投資保護(hù)。CiscoEasyVPN---提供了一種獨(dú)特可擴(kuò)展、經(jīng)濟(jì)有效且易于管理遠(yuǎn)程接入VPN架構(gòu)。CiscoASA5500系列設(shè)備可動態(tài)地將最新VPN安全方略分發(fā)到遠(yuǎn)程VPN設(shè)備和客戶端，保證那些遠(yuǎn)程終端能在建立連接前獲得最新方略，從而提供最高水平靈活性、可擴(kuò)展性和易用性。此外，CiscoASA5500系列為VPN客戶端軟件提供了“自動更新”功能，可使遠(yuǎn)程桌面上運(yùn)營思科VPN客戶端軟件實(shí)現(xiàn)自動版本更新。站點(diǎn)間VPN---運(yùn)用CiscoASA5500系列提供原則站點(diǎn)間VPN功能，公司可安全地通過成本低廉互聯(lián)網(wǎng)連接，將網(wǎng)絡(luò)擴(kuò)展到業(yè)務(wù)合伙伙伴及全球各地遠(yuǎn)程和小型辦公室。合用于當(dāng)前應(yīng)用VPN基本設(shè)施---CiscoASA5500系列提供了一種能在安全I(xiàn)PSec網(wǎng)絡(luò)上融合語音、視頻和數(shù)據(jù)VPN基本設(shè)施，通過將強(qiáng)大站點(diǎn)間VPN支持和豐富檢測功能、QoS、動態(tài)路由及狀態(tài)化故障恢復(fù)特性相結(jié)合，使公司可受益于融合網(wǎng)絡(luò)眾多優(yōu)勢。強(qiáng)大安全性和性能---分支機(jī)構(gòu)和遠(yuǎn)程機(jī)構(gòu)使公司可更好地進(jìn)一步重要市場，布置于重要地點(diǎn)。通過基于CiscoASA5500系列VPN解決方案，各種站點(diǎn)間可實(shí)現(xiàn)安全、高速通信，提供了公司通信所必須出眾性能、可靠性和可用性。智能網(wǎng)絡(luò)集成CiscoASA5500系列以思科20近年網(wǎng)絡(luò)領(lǐng)域領(lǐng)先地位和創(chuàng)新技術(shù)為基本，提供了廣泛智能網(wǎng)絡(luò)服務(wù)，可無縫地集成入當(dāng)今多樣化網(wǎng)絡(luò)環(huán)境。重要網(wǎng)絡(luò)集成功能涉及：第二層透明防火墻---無需更改任何地址，就能迅速地將CiscoASA5500系列布置于既有網(wǎng)絡(luò)。它提供了高性能狀態(tài)第二到七層安全服務(wù)，和針對網(wǎng)絡(luò)層襲擊保護(hù)，可集成入復(fù)雜路由、高可用性和組播環(huán)境。服務(wù)虛擬化---可將單一CiscoASA5500系列設(shè)備邏輯劃分為各種虛擬防火墻，每個防火墻有自己方略且分別進(jìn)行管理。此功能合用于將各種防火墻整合入單一CiscoASA5500系列設(shè)備公司，或是提供可管理防火墻或托管服務(wù)電信運(yùn)營商?；?02.1qVLAN支持---可以便地集成入互換式網(wǎng)絡(luò)環(huán)境。OSPF動態(tài)路由服務(wù)---可在幾秒內(nèi)檢測出網(wǎng)絡(luò)中斷并繞行斷點(diǎn)傳播流量，從而提高了網(wǎng)絡(luò)永續(xù)性。合同獨(dú)立型組播（PIM）稀疏模式v2和雙向PIM路由支持---可安全地供應(yīng)核心性實(shí)時公司應(yīng)用、協(xié)作式計(jì)算應(yīng)用和流媒體服務(wù)。IPv6支持---可安全地布置下一代IPv6網(wǎng)絡(luò)。服務(wù)質(zhì)量（QoS）---低延遲隊(duì)列（LLQ）和流量監(jiān)管特性可支持有嚴(yán)格QoS規(guī)定應(yīng)用，如語音或視頻，以保證端到端網(wǎng)絡(luò)QoS方略實(shí)行。對延遲敏感流量會獲得高于文獻(xiàn)傳播和其她較能適應(yīng)延遲流量優(yōu)先級。IP電話“自動配備”服務(wù)---可協(xié)助電話注冊對的CiscoCallManager系統(tǒng)并下載更多配備信息和軟件鏡像，從而簡化IP電話布置。永續(xù)架構(gòu)---為公司提供了狀態(tài)化主用/主用和主用/備用高可用性服務(wù)，以及VPN設(shè)備集群，可實(shí)現(xiàn)最高吞吐率和網(wǎng)絡(luò)正常運(yùn)營時間。CiscoASA5500系列也支持“零停機(jī)軟件更新”，使公司可在故障恢復(fù)對上安裝軟件維護(hù)版本，且不會影響連接或網(wǎng)絡(luò)正常運(yùn)營。此外，集成動態(tài)負(fù)載均衡功能為遠(yuǎn)程接入VPN布置提供了高連接可擴(kuò)展性和永續(xù)性。獨(dú)特自適應(yīng)辨認(rèn)和防御服務(wù)架構(gòu)CiscoASA5500系列運(yùn)用其獨(dú)特自適應(yīng)辨認(rèn)與防御服務(wù)架構(gòu)為網(wǎng)絡(luò)提供了更高安全性和出眾網(wǎng)絡(luò)控制（圖2）。AIM架構(gòu)使公司可以適應(yīng)并擴(kuò)展CiscoASA5500高性能安全服務(wù)，這是由于它可以運(yùn)用可選安全服務(wù)模塊（SSM）提供出眾性能和擴(kuò)展安全服務(wù)，并可以通過定制性高、針對信息流安全方略來滿足