ImageVerifierCode 换一换
格式:DOC , 页数:6 ,大小:200.50KB ,
资源ID:3586952      下载积分:10 文钱
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,省得不是一点点
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.wenke99.com/d-3586952.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: QQ登录   微博登录 

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(将Cisco ASA 5500作为一种卓越的 防火墙 解决方案.doc)为本站会员(da****u)主动上传,文客久久仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知文客久久(发送邮件至hr@wenke99.com或直接QQ联系客服),我们立即给予删除!

将Cisco ASA 5500作为一种卓越的 防火墙 解决方案.doc

1、1.1 将 Cisco ASA 5500 作为一种卓越的防火墙解决方案Cisco ASA 5500 系列自适应安全设备提供领先的防火墙功能,并能够通过扩展支持其它安全服务。在所有机构的网络安全基础设施中,防火墙都提供第一道防线。它采用的具体作法是,将公司制定的用户网络访问权限策略与每次访问操作的连接信息进行比较。如果用户策略与连接信息不匹配,防火墙就不允许建立连接。如果相互匹配,则防火墙允许流量流经网络。通过这种方式,防火墙形成了各机构网络安全基础设施的基本模块。由于防火墙能够提供卓越的性能,延长关键业务运作的网络正常运行时间,因而物超所值。但是,随着公司网络上语音、视频和协作流量的快速增长,

2、企业不但要求防火墙引擎以超高速度运行,还要求它支持应用级检查。标准的 L2 和 L3 防火墙能够防止对内部和外部网络的非法接入,如果增加了应用级检测,防火墙将能够在 L7 检测、识别和验证应用类型,有效阻止不需要或误操作的应用流量。利用这些功能,防火墙不但能执行端点用户注册和认证,还能有效控制多媒体应用的使用。1.1.1 对速度的要求在网络能够不断增强业务生产率、协作和通信的同时,防火墙也得到了同步的发展。例如,Cisco ASA 5500 系列自适应安全设备就是专门为数百种应用协议的标准策略实施和应用级防火墙检测而开发的。独立的第三方测试表明,这种防火墙的性能远远超过了同类产品。另外,在全球

3、市场调查公司 Gartner 于 2006 年 6 月进行的防火墙“魔方”调查中,Cisco ASA 5500 系列自适应安全设备在概念和技术上都名列榜首。利用 Cisco ASA 5500 系列的高性能应用检测功能,网络对待流量的详细策略依据不但能基于端口、状态和地址信息,还能基于深埋在数据帧头与负载中的应用信息。通过对这种深度数据包检测信息与公司策略的比较,防火墙能够允许或阻止某些流量通过。例如,如果公司策略禁止企图通过开放端口进入网络的应用流量通过网络,那么,即使这种流量在用户和连接水平上看似合法流量,也会被自动丢弃。这种不需要的流量可能包含将会消耗大量带宽的与业务无关的对等流量。它可能

4、会建立即时消息传送流量,但不符合公司的即时消息传送标准。另外,它还可能是公司决定从网络中滤除的其它非关键应用流量。Cisco ASA 5500 系列自适应安全设备能够以业内领先的性能检测和过滤协议。2005年 9 月,位于新泽西州克林波瑞的独立测试实验室 Miercom 的测试结果表明,中端Cisco ASA 5520 通过 TCP/IP 连接传输 HTTP(Web)流量的性能,比最接近的三家竞争对手高六倍。与此同时,Cisco ASA 5520 还能实现 100%的威胁检测成功率,而其它设备只能达到 30-40%的准确率。利用这种性能和安全准确率,各企业可以利用 Cisco ASA 5500

5、 系列,快速、安全地扩展网络部署和应用,满足企业用户对响应时间的要求。企业网络的安全组件企业网安全架构的主要组件包括: 部署在传统公司广域网边缘周边、分支机构广域网边缘以及企业内部的战略位置,保证合法用户接入的防火墙; 从网络中滤除恶意代码的 IPS; 用于加密(支持站点到站点连接的 IPsec 和支持移动连接的 SSL)以防止数据被盗的 VPN; 防止远程和移动用户连接遭受病毒侵袭,保证安装了所需软件和安全版本的端点或 Anti-X 安全性。1.1.2 增加入侵防御Gartner 对新一代防火墙的定义是:将防火墙过滤与入侵防御系统(IPS)结合在一起的防火墙。与防火墙相似,IPS 也能实时过

6、滤数据包。但是,IPS 并不依据用户信息和应用策略过滤,而是扫描进入代码中的已知恶意样式,称为签名。这些签名能够证明恶意代码的存在,例如蠕虫、特洛伊木马和间谍软件。间谍软件可能会消耗服务器和网络资源,并造成针对内部员工或外部 Web 用户的拒绝服务(DoS)攻击。由于 IPS 能够过滤已知恶意签名,因而能进一步提高防火墙功能的安全性。一旦 IPS 检测到恶意代码,系统就会阻止它进入网络。根据 Gartner 的调查,由于新一代防火墙能够将防火墙和 IPS 集成在一起,因而只需检测一次流量。相反,如果需要检测一次连接层信息并检查一次恶意代码,将显著降低系统吞吐量。利用 Cisco ASA 550

7、0 系列,企业能够灵活地增加 IPS 服务,阻止其它恶意代码的攻击。Cisco ASA 5500 系列防火墙版作为独立的防火墙设备,其中包含用于处理加密会话的 VPN 集中器。要添加入侵防御,除防火墙以外,各机构还可以在系统机箱中安装自适应检测和防御安全服务模块(AIP-SSM) ,建立一次通过防火墙/IPS 数据包检测。Cisco ASA 5500 系列自适应安全设备不但能通过扩展支持 IPS,还能支持企业需要的其它主要安全保护机制:安全套接字层(SSL)VPN 和端点安全性(也称为“Anti-X”安全性) 。利用这种内部可扩展性,企业可以根据每个网段的特殊要求,让设备灵活地满足安全需求。与

8、此同时,利用同一个平台还能降低总体安全运作成本。为进一步降低成本,部署了融合型服务器和数据中心的机构还可以将 Cisco ASA 5500 系列自适应安全设备划分成多个“虚拟”防火墙,以提高可扩展性。换言之,一台物理 Cisco ASA 5500 系列设备可以作为多个逻辑防火墙完成多台设备的任务,并能降低资本支出(CapEx) 。Cisco ASA 5500 系列设备是“即插即用”的:网络管理员不需要修改交换机或路由器的任何配置,就能将其添加到现有网络基础设施中。1.1.3 为适当的位置提供适当的服务Cisco ASA 5500 系列为企业提供的全套服务都可以通过专门为防火墙、IPS、Anti

9、-X和 VPN 支持开发的产品版本定制。由于这些版本允许网络管理员为适当的位置部署适当的安全服务,因而能提供卓越的保护。为满足企业网内特殊环境的需求,每个版本都与一套专用思科安全服务结合在一起。对于大中型企业,Cisco ASA 5500 系列设备可以作为防火墙/IPsec VPN 集中器、IPS、Anti-X 安全系统或 SSL VPN 集中器独立运行。Cisco ASA 5500 系列 Anti-X 版不但能防止公司网络感染远程和移动客户端的病毒,还能检查远程设备是否安装了要求的操作系统、应用和安全软件版本。VPN 版增加了从 10 个 SSL VPN 用户起步的许可证,并允许增加 SSL

10、 许可证(见图 1) 。图 1 Cisco ASA 5500 系列解决方案业务解决方案与公司网络Cisco ASA 5500 系列自适应安全设备可以部署到整个企业,作为深入防御最佳实践安全方法,在特殊网段中提供所需要的服务。该设备可以在某个网段中执行一种职能,而在另一个网段中执行另一种职能。换言之,执行哪种职能完全视需求而定。另外,该设备还能在一个机箱中支持多种安全功能,其便利性和经济性非常适合分支机构使用。为了将多种功能结合在一起,Cisco ASA 5500 系列设备为 IPS 和 Anti-X 保护提供模块化刀片。SSL VPN 只需添加软件和许可证即可实现。如果为 Cisco ASA

11、5500 系列防火墙版增加其它模块和/或软件功能,还可以根据要求启用或关闭防火墙功能。大企业拥有雄厚的资金和人力,可以选择、安装和管理来自不同厂商的最佳产品。但是,新一代融合型设备是一种结实耐用的产品:它们紧密集成安全功能的目的不但包括提高便利性和降低资本支出;还包括提高安全性,因为独立功能可以共享安全事件信息。另外,它们还具有更高的性能,因为单次通过数据包检测能够扫描多种威胁。因此,功能融合的安全设备可能更符合大企业的需要。如上所述,Cisco ASA 5500 系列的准确性高于同类产品。在前面提到的Miercom 独立实验室测试中,比较了防火墙性能、统一防火墙和IPS性能、IPsec VP

12、N吞吐量以及每秒连接性能。Cisco ASA 5520 的3DES IPsecVPN吞吐量比同类产品高三倍,其连接建立率比同类产品高四倍。备注: 在 Miercom 的测试中,总共为接受测试的四种系统发动了126种威胁或测试条件。每个系统独立执行一个测试条件,每个系统都测试了所有签名。如需进一步了解测试情况,请访问:1.1.4 结论防火墙是各机构网络安全体系结构中的基本模块,因此,必须部署在整个企业网中所有可能的入侵点上。根据业内领先的市场研究厂商的预测,为降低成本,提高运作便利性,新一代防火墙不但会集成防火墙和 IPS 过滤,还会集成其它安全功能。另外,集成不但会通过安全数据关联提高安全性,还会在单次通过数据包检测中提供卓越的性能。Cisco ASA 5500 自适应安全设备不但可以用作防火墙,还可以利用机箱模块和集成式软件功能扩展,执行全部安全功能。该设备能够根据每个网段需要的吞吐量和连接数,以合理的价格从最小的家庭办公室扩展到最大的企业环境。

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。