數(shù)據(jù)中心集成安全解決方案

1、.數(shù)據(jù)中心集成安全解決方案1. 系統(tǒng)功能簡(jiǎn)介 數(shù)據(jù)中心負(fù)責(zé)存儲(chǔ)、計(jì)算和轉(zhuǎn)發(fā)企業(yè)最重要的數(shù)據(jù)信息，這些信息的安全可靠成為了企業(yè)發(fā)展和生存的前提條件。思科數(shù)據(jù)中心安全保護(hù)套件提供數(shù)據(jù)中心信息的安全防護(hù)。 考慮到Cisco Catalyst 6500系列交換機(jī)已經(jīng)廣泛部署在企業(yè)數(shù)據(jù)中心，安全套件主要由內(nèi)嵌防火墻模塊（FWSM）和內(nèi)嵌入侵檢測(cè)系統(tǒng)模塊（IDSM）兩個(gè)組件構(gòu)成。 FWSM使用一個(gè)實(shí)時(shí)的、牢固的嵌入式系統(tǒng)，可以消除安全漏洞，防止各種可能導(dǎo)致性能降低的損耗。這個(gè)系統(tǒng)的核心是一種基于自適應(yīng)安全算法（ASA）的保護(hù)機(jī)制，它可以提供面向連接的全狀態(tài)防火墻功能。利用FWSM可以根據(jù)源地址和目的地地址

2、，隨機(jī)的TCP序列號(hào)，端口號(hào)，以及其他TCP標(biāo)志，為一個(gè)會(huì)話流創(chuàng)建一個(gè)連接表?xiàng)l目。FWSM可以通過對(duì)這些連接表?xiàng)l目實(shí)施安全策略，控制所有輸入和輸出的流量。IDSM對(duì)進(jìn)入網(wǎng)絡(luò)的流量進(jìn)行旁路的深層數(shù)據(jù)包檢測(cè)，判斷和分析數(shù)據(jù)包是否能夠安全的在數(shù)據(jù)中心進(jìn)行發(fā)送、接收，防止業(yè)務(wù)資產(chǎn)受到威脅，提高入侵防范的效率。 思科數(shù)據(jù)中心安全保護(hù)套件示意圖如下：2. 系統(tǒng)先進(jìn)特性 靈活的擴(kuò)展性：集成模塊 FWSM安裝在Cisco Catalyst 6500系列交換機(jī)的內(nèi)部，讓交換機(jī)的任何物理端口都可以成為防火墻端口，并且在網(wǎng)絡(luò)基礎(chǔ)設(shè)施中集成了狀態(tài)防火墻安全。對(duì)于那些機(jī)架空間非常有限的系統(tǒng)來(lái)說，這種功能非常重要。系統(tǒng)可

3、以通過虛擬防火墻功能將一臺(tái)物理的防火墻模塊劃分為最多250臺(tái)虛擬的防火墻系統(tǒng)，以滿足用戶業(yè)務(wù)的不斷擴(kuò)展。IDSM可以通過VLAN訪問控制列表（VACL）獲取功能來(lái)提供對(duì)數(shù)據(jù)流的訪問權(quán)限，并根據(jù)自己的需要，同時(shí)安裝多個(gè)模塊，為更多的VLAN和流量提供保護(hù)。當(dāng)設(shè)備需要維護(hù)時(shí)，熱插拔模塊也不會(huì)導(dǎo)致網(wǎng)絡(luò)性能降低或者系統(tǒng)中斷。 強(qiáng)大的安全防護(hù)功能：該系統(tǒng)不僅可以保護(hù)企業(yè)網(wǎng)絡(luò)免受未經(jīng)授權(quán)的外部接入的攻擊，還可以防止未經(jīng)授權(quán)的用戶接入企業(yè)網(wǎng)絡(luò)的子網(wǎng)、工作組和LAN。強(qiáng)大的入侵檢測(cè)能力還可以提供高速的分組檢查功能，讓用戶可以為各種類型的網(wǎng)絡(luò)和流量提供更多的保護(hù) 。多種用于獲取和響應(yīng)的技術(shù)，包括SPAN/RSP

4、AN和VACL獲取功能，以及屏蔽和TCP重置功能，從而讓用戶可以監(jiān)控不同的網(wǎng)段和流量，同時(shí)讓產(chǎn)品可以采取及時(shí)的措施，以消除威脅。 便于管理：設(shè)備管理器的直觀的圖形化用戶界面（GUI）可以方便的管理和配置FWSM。系統(tǒng)更加善于檢測(cè)和響應(yīng)威脅，同時(shí)能夠就潛在的攻擊向管理人員發(fā)出警報(bào)，便于管理人員及時(shí)對(duì)安全事件進(jìn)行響應(yīng)。3. 系統(tǒng)配置說明（硬件軟件需要與產(chǎn)品列表） FWSM+IDSM（詳細(xì)報(bào)價(jià)請(qǐng)參考Excel文件）型號(hào)描述數(shù)量WS-SVC-FWM-1-K9Firewall blade for 6500 and 7600, VFW License Separate1WS-SVC-IDS2-BUN-K9

5、600M IDSM-2 Mod for Cat1CON-SUSA-WIDSBNK9IPS SIGNATURE ONLY 600M IDSM-2 Mod for1CON-CSSPD-WSFWM1K9Shared Support Same Day Ship - CSSPD1CON-CSSPDWIDSBNK9Shared Support Same Day Ship - CSSPD1 系統(tǒng)配置說明：- Catalyst 6500 IDSM-2入侵檢測(cè)模塊需購(gòu)買簽名（IPS SIGNATURE）升級(jí)服務(wù)。4. 系統(tǒng)應(yīng)用領(lǐng)域 思科安全套件系統(tǒng)可以滿足以下技術(shù)需求：- 希望通過現(xiàn)有的Catalyst 6500交換機(jī)設(shè)備部署綜合安全防護(hù)系統(tǒng)的數(shù)據(jù)中心- 將來(lái)通過虛擬化技術(shù)實(shí)現(xiàn)系統(tǒng)擴(kuò)展，合理分配數(shù)據(jù)中心的安全防護(hù)設(shè)備資源的數(shù)據(jù)中心。- 要求最大化利用機(jī)架空間的數(shù)據(jù)中心。- 實(shí)現(xiàn)易于管理和維護(hù)的數(shù)據(jù)中心安全系統(tǒng)。 思科安全套件系統(tǒng)可以部署到在以下行業(yè)應(yīng)用系統(tǒng)中：