数据中心集成安全解决方案.pdfVIP

数据中心集成安全解决方案 1. 系统功能简介  数据中心负责存储、计算和转发企业最重要的数据信息，这些信息的安全可靠成为 了企业发展和生存的前提条件。思科数据中心安全保护套件提供数据中心信息的安 全防护。  考虑到Cisco Catalyst 6500 系列交换机已经广泛部署在企业数据中心，安全套件 主要由内嵌防火墙模块 （FWSM）和内嵌入侵检测系统模块 （IDSM）两个组件构成。  FWSM 使用一个实时的、牢固的嵌入式系统，可以消除安全漏洞，防止各种可能导 致性能降低的损耗。这个系统的核心是一种基于自适应安全算法（ASA）的保护机 制，它可以提供面向连接的全状态防火墙功能。利用 FWSM 可以根据源地址和目的 地地址，随机的TCP 序列号，端口号，以及其他TCP 标志，为一个会话流创建一个 连接表条目。FWSM 可以通过对这些连接表条目实施安全策略，控制所有输入和输 出的流量。IDSM 对进入网络的流量进行旁路的深层数据包检测，判断和分析数据 包是否能够安全的在数据中心进行发送、接收，防止业务资产受到威胁，提高入侵 防范的效率。  思科数据中心安全保护套件示意图如下： 数据中心集成安全解决方案 1 2. 系统先进特性  灵活的扩展性：集成模块 FWSM 安装在Cisco Catalyst 6500 系列交换机的内部， 让交换机的任何物理端口都可以成为防火墙端口，并且在网络基础设施中集成了状 态防火墙安全。对于那些机架空间非常有限的系统来说，这种功能非常重要。系统 可以通过虚拟防火墙功能将一台物理的防火墙模块划分为最多250 台虚拟的防火墙 系统，以满足用户业务的不断扩展。IDSM 可以通过VLAN 访问控制列表（VACL）获 取功能来提供对数据流的访问权限，并根据自己的需要，同时安装多个模块，为更 多的 VLAN 和流量提供保护。当设备需要维护时，热插拔模块也不会导致网络性能 降低或者系统中断。  强大的安全防护功能：该系统不仅可以保护企业网络免受未经授权的外部接入的 攻击，还可以防止未经授权的用户接入企业网络的子网、工作组和 LAN。强大的入 侵检测能力还可以提供高速的分组检查功能，让用户可以为各种类型的网络和流量 提供更多的保护 。多种用于获取和响应的技术，包括SPAN/RSPAN 和 VACL 获取功 能，以及屏蔽和TCP 重置功能，从而让用户可以监控不同的网段和流量，同时让产 品可以采取及时的措施，以消除威胁。  便于管理：设备管理器的直观的图形化用户界面（GUI）可以方便的管理和配置 FWSM。系统更加善于检测和响应威胁，同时能够就潜在的攻击向管理人员发出警 报，便于管理人员及时对安全事件进行响应。 3. 系统配置说明 （硬件软件需要与产品列表）  FWSM+IDSM （详细报价请向思科销售部门问询） 型号 描述 数量 WS-SVC-FWM-1-K9 Firewall blade for 6500 and 7600, VFW License Separate 1 WS-SVC-IDS2-BUN-K9 600M IDSM-2 Mod for Cat 1 CON-SUSA-WIDSBNK9 IPS SIGNATURE ONLY 600M IDSM-2 Mod for 1 CON-CSSPD-WSFWM1K9 Shared Support Same Day Ship - CSSPD 1 CON-CSSPDWIDSBNK9 Shared Support Same Day Ship - CSSPD 1  系统配置说明：  Catalyst 6500 IDSM-2 入侵检测模块需购买签名（IPS