2009年1月16日星期五

思科企业网络安全配置

  今天思科的几个网络安全专家讲解到我们公司讲解了一下我们购买的思科安全产品ASA、IPS、MARS的功能、介绍以及成功应用的案例及部署情况。这三套设备的管理都是基于Web的直观端到端管理,易用性较好。

  Cisco ASA 5510

  思科自适应安全设备Cisco ASA 5510,用于防火墙,防火墙吞吐量最高450Mbps,提供主动威胁防御,在网络受到威胁之前就能及时阻挡攻击,控制网络行为和应用流量。

  Cisco IPS 4255

  思科入侵保护系统Cisco IPS 4255,用于监控局域网的安全,包含四个引擎,入侵检测系统(IDS)用于监控,入侵防御系统(IPS)用于阻挡,可以分析出各类业务的特征,例如QQ、MSN等数据包的特征码,按照危险等级对警报进行分类,当警报信息数量超过设定阀值的时候,IPS能够从数据流中检查出这些攻击并加以阻止。所有流经IPS的数据包都被分类,分类的依据是数据包中的报头信息,如源IP地址和目的IP地址、端口号和应用域。思科的IPS和思科防火墙具有互动功能,可以设置检测到攻击后,在防火墙中设置自动阻挡攻击者IP地址若干分钟时间,之后再在防火墙删除这个阻挡。实现主动、实时预防攻击,能准确地检测、分类和终止恶意流量的传输。

  Cisco MARS 55

  思科安全监控、分析和响应系统Cisco MARS 55,主要功能是从防火墙、主机/网络 IPS 和系统日志收集事件,然后将这些事件与漏洞评估关联起来,执行异常检测。这一设备集中汇总了来自各种常用网络设备(如路由器和交换机)、安全设备和应用(如防火墙、入侵检测、漏洞扫描器和防病毒软件)、主机(如Windows、Solaris和Linux系统日志)、应用(如数据库、Web服务器和验证服务器)以及网络流量(如Cisco NetFlow)的日志和事件,图形化地重现攻击并检索所存储的事件数据,来分析以前的事件,可快速、准确地防御和抑制攻击。

  关于入侵检测系统的详细说明,可以参见我先前的一篇文章《网络入侵检测系统的主动响应技术》。