借助 Cisco Catalyst 6500 系列交換機(jī)增強(qiáng)企業(yè)園區(qū)網(wǎng)的安全性

借助當(dāng)今先進(jìn)的智能企業(yè)網(wǎng)，企業(yè)能夠有效地部署電子商務(wù)等應(yīng)用，因而能實(shí)現(xiàn)勞動(dòng)力的優(yōu)化組合以及業(yè)務(wù)的全球化。這些強(qiáng)大的網(wǎng)絡(luò)能夠?qū)⒃S多 遠(yuǎn)程站點(diǎn)、分支辦公室、移動(dòng)員工、合作伙伴和客戶(hù)連接在一起，從而能夠?yàn)閿?shù)千用戶(hù)提供服務(wù)。但是，還存在一個(gè)問(wèn)題所有網(wǎng)絡(luò)都越來(lái)越多地受到了企業(yè)園區(qū)網(wǎng)和互聯(lián)網(wǎng)上越來(lái)越多的安全隱患的威脅。另外，對(duì)電子商務(wù)應(yīng)用需求的增加，以及服務(wù)向公共領(lǐng)域的集中也增加了流量經(jīng)過(guò)網(wǎng)絡(luò)時(shí)的危險(xiǎn)，在可能的地方，都需要對(duì)流量進(jìn)行加密。

Cisco Catalyst® 6500 系列交換機(jī)提供的解決方案能夠防止網(wǎng)絡(luò)受到來(lái)自園區(qū)網(wǎng)和公共網(wǎng)的安全隱患的侵害。

圖1 利用Cisco Catalyst 6500系列在企業(yè)園區(qū)網(wǎng)中提供綜合網(wǎng)絡(luò)安全性

為企業(yè)園區(qū)網(wǎng)開(kāi)發(fā)的新型智能安全服務(wù)

由于網(wǎng)絡(luò)安全問(wèn)題的危害越來(lái)越大，覆蓋面越來(lái)越廣，而且越來(lái)越容易在企業(yè)園區(qū)網(wǎng)內(nèi)部署，因此，網(wǎng)絡(luò)完整性受到的威脅將越來(lái)越大。因此，幾乎所有機(jī)構(gòu)都需要采用適當(dāng)?shù)陌踩夹g(shù)保護(hù)其 IT 投資和企業(yè)聲譽(yù)免受影響。為補(bǔ)充現(xiàn)有軟件安全產(chǎn)品的不足，Cisco Catalyst 6500 交換機(jī)將一套先進(jìn)的安全模塊集成在一起，以便進(jìn)一步增強(qiáng)網(wǎng)絡(luò)安全性。

新型 Cisco 高級(jí)安全模塊包括防火墻服務(wù)模塊（FWSM）、安全套接層（SSL）、IP安全虛擬專(zhuān)用網(wǎng)（IPSec VPN）服務(wù)模塊和網(wǎng)絡(luò)分析模塊（NAM）。客戶(hù)將能夠在交換機(jī)上部署綜合安全性，而無(wú)需分別管理的不同設(shè)備，然后再與基本的基礎(chǔ)設(shè)施相連，因此，這種方式可以大大提高性能、可管理性和整個(gè)系統(tǒng)的性?xún)r(jià)比。

為Catalyst 6500設(shè)計(jì)的Cisco安全服務(wù)模塊

Cisco IPSec VPN 服務(wù)模塊是為 Cisco Catalyst 6500 交換機(jī)和 Cisco 7600 互聯(lián)網(wǎng)路由器設(shè)計(jì)的高速模塊，能夠提供基礎(chǔ)設(shè)施集成的IPSec VPN服務(wù)，不但能提供強(qiáng)有力的連接，還能增加帶寬。

Cisco 防火墻服務(wù)模塊（FWSM）安裝在 Cisco Catalyst 6500 系列交換機(jī)中，不但適合作為數(shù)據(jù)中心和外部網(wǎng)的邊緣分布層，制定服務(wù)器流量策略，還適合作為網(wǎng)絡(luò)管理層。對(duì)于需要防火墻功能、入侵檢測(cè)、虛擬專(zhuān)用網(wǎng)，以及多層 LAN、WAN 和 MAN 交換功能的客戶(hù)來(lái)講，Cisco Catalyst 6500 是其首選IP服務(wù)交換機(jī)。

Cisco FWSM是業(yè)界性能最高的防火墻解決方案，每個(gè)模塊的吞吐量能夠擴(kuò)展到 5GB 以上。借助多個(gè)模塊，帶寬可高達(dá) 20GB。FWSM 完全支持 VLAN，提供動(dòng)態(tài)路由，而且可以完全集成在 Cisco Catalyst 6500 系列交換機(jī)內(nèi)。FWSM 基于 Cisco PIXTM Firewall 技術(shù)，因而能夠提供與屢獲大獎(jiǎng)的 Cisco PIXTM 安全設(shè)備系列相同的安全性和可靠性。FWSM 采用了通過(guò)軟件下載增強(qiáng)特性的網(wǎng)絡(luò)處理器技術(shù)，能最大限度地適應(yīng)未來(lái)需求和特性。

主要特性包括：

為Cisco Catalyst 6500 系列設(shè)計(jì)的 Cisco 安全插接層（SSL）服務(wù)模塊非常適合部署在數(shù)據(jù)中心內(nèi)，它能夠提高Web應(yīng)用的性能和安全性，提供綜合安全內(nèi)容聯(lián)網(wǎng)，并保證最優(yōu)客戶(hù)體驗(yàn)。由于能卸載與利用 SSL 協(xié)議保護(hù)流量相關(guān)的處理器密集型任務(wù)，因而能增加Web站點(diǎn)支持的安全連接數(shù)量。

如果將 SSL 與 Cisco 內(nèi)容交換模塊（CSM）集成在一起，將能夠加速加密和非加密流量，同時(shí)從Web服務(wù)器卸載資源密集型功能，從而提供高性能、可擴(kuò)展、安全的服務(wù)器負(fù)載均衡解決方案。

新型高性能 Cisco 網(wǎng)絡(luò)分析模塊（NAM-2）非常適合數(shù)據(jù)中心、企業(yè)邊緣、分布層使用，也可以作為網(wǎng)絡(luò)的關(guān)鍵業(yè)務(wù)接入層，為網(wǎng)絡(luò)提供應(yīng)用級(jí)可視性，在千兆位環(huán)境中實(shí)現(xiàn)實(shí)時(shí)流量分析、性能監(jiān)控和故障排除。

集成在 Cisco Catalyst 6500 系列交換機(jī)中的這些服務(wù)模塊，如果能夠部署在推薦的網(wǎng)絡(luò)層中，并與Cisco Catalyst 6500 交換機(jī)的軟件安全產(chǎn)品一起使用，將能夠有效防止內(nèi)部網(wǎng)絡(luò)遭受非法設(shè)備和用戶(hù)的侵害，使網(wǎng)絡(luò)免受外部安全隱患的威脅。Cisco Catalyst 6500 系列交換機(jī)能夠?yàn)槠髽I(yè)園區(qū)網(wǎng)提供全面的安全解決方案。

6503/6506/6509高端防火墻一體化安全保護(hù)

思科的 Catalyst 6500 交換機(jī)通常作為網(wǎng)絡(luò)的核心交換機(jī)，承載了絕大部分的網(wǎng)絡(luò)流量，可謂是系統(tǒng)中的關(guān)鍵環(huán)節(jié)。在思科 Catalyst 6500 交換機(jī)中可以應(yīng)用多種安全服務(wù)模塊，譬如說(shuō)防火墻模塊、入侵檢測(cè)模塊、VPN 模塊、SSL 加速模塊、網(wǎng)絡(luò)流量分析模塊等等。這些模塊的組合應(yīng)用，可以有效地保證用戶(hù)網(wǎng)絡(luò)系統(tǒng)與流量的安全，并且此時(shí)我們無(wú)須分別管理不同設(shè)備，可以大大提高針對(duì)安全事件的響應(yīng)能力，從而提高系統(tǒng)的可管理性和整個(gè)安全系統(tǒng)的性?xún)r(jià)比。同樣，由于 Cisco 760 路由器與 Catalyst 6500 具有先天性的兼容性，所以在電信級(jí)別的應(yīng)用中，也可以享受到這一系列服務(wù)模塊帶來(lái)的便利。

在骨干網(wǎng)絡(luò)中使用增值服務(wù)模塊可以有效降低網(wǎng)絡(luò)拓?fù)涞膹?fù)雜程度，提高網(wǎng)絡(luò)的運(yùn)行以及管理的效率。最重要的是通過(guò)此類(lèi)模塊的使用，使我們對(duì)網(wǎng)絡(luò)的控制程度達(dá)到了一個(gè)新的境界。

Cisco 的 6503/6506/6509 高端防火墻可以說(shuō)是業(yè)界性能最高的防火墻產(chǎn)品，它的每一個(gè)模塊的吞吐量可以達(dá)到 5GB。在一個(gè)機(jī)箱當(dāng)中可以承載多達(dá)四個(gè)模塊，總體的處理帶寬最高可達(dá) 20GB。FWSM 防火墻模塊的最大優(yōu)勢(shì)在于其接口完全基于 VLAN，這樣就可以突破物理端口的限制，即使本機(jī)箱當(dāng)中沒(méi)有足夠的物理端口，也可以利于 VLAN Trunk 方式將二級(jí)交換機(jī)納入防護(hù)體系當(dāng)中。例如圖1中所示，在防火墻的接口設(shè)置中，我們具有相當(dāng)大的靈活性。一旦用戶(hù)的需求發(fā)生變化時(shí)，只需要更改交換機(jī)的內(nèi)部VLAN設(shè)置即可，不需要進(jìn)行物理接口的變動(dòng)。