内置在网络中_集成于产品中doc8)-经营管理(编辑修改稿)

内置在网络中_集成于产品中doc8)-经营管理(编辑修改稿)内容摘要：

置错误的可能性。 相比之下，单一功能安 全工具需要设置的功能少得多。  模块性。 对于一个分支地点来说，可以通过单一平台提供安全性和连接性的集成化网络设备可能 是最理想的选择。 但是对于头端或者更大规模的部署而言，更适于采用一种模块化的方法。 例如，Cisco Catalyst 6500拥有一个灵活、自适应、模块化的架构，因而可以适应未来的需要。  机构控制。 SecOps 可能需要一个只有该团队才能监控、设置和管理的平台，这可能会促使该团队选择一个工具，而不是一个集成化的网络设备。 相比之下，当 NetOps 负责安全部署时，该团队可能会选择一个集成化的网络设备 ，以便于部署。 可扩展、可用的网络 一个可扩展的网络可以随着需求的变化而不断发展。 可用性确保了用户一直能够使用关键性的应用和服务，而不会出现服务中断的情况。 从业务运营的角度来说，必须使用一个弹性的网络。 今天的机构可以通过很多方法来提供可扩展、高度可用的基础设施：  在多个交换机和服务器，甚至数据中心之间对网络流量和服务请求进行负载均衡。 这样做的好处包括能够满足流量高峰期的需要，降低支持某个特定流量负载所需要的网络设备的数量。 负载均衡解决方案的例子包括用于 Cisco Catalyst 6500交换机、 Cisco CSS 11000和 11500内容交换机的模块。  状态故障切换有助于在某个设备发生故障时提供备份，从而不会让与终端用户的连接发生任何明显的中断。 Cisco IOS路由器和 Cisco VPN 3000集中器平台是可以提供状态故障切换功能的产品的典型例子。 状态故障切换功能可以提供一种备份功能，但是可能会在故障切换时丢失连接。  冗余。 冗余是指设备的备用品。 因此，在发生故障时，网络设备 或者多个冗余网络设备中的冗余模块可以接替这些发生故障的设备的工作。  灾难恢复。 可以利用 Cisco GSS 4480 Global Site Selector 中提供的全球服务器负载均衡（ GSLB）功能，进行多地点灾难恢复。 通过不断地监控 Cisco 服务器负载均衡工具的负载和运行状况，如果某个主数据中心发生过载或者中断，用户可以被迅速地路由到某个备用的数据中心。 思科 SAFE 发展计划 思科 SAFE 发展计划为安全部署提供了一系列指导方针。 该发展计划可以为那些积极寻求部署集成、内置的安全的机构提供实用的步骤。 思科 SAFE 发展计划白皮书是从一个独立于产品的角度撰写的，这意味着它们并没有专门建议用户将思科设备作为安全部署的基础。 它 们还假定存在一个多样化的环境。 思科现在已经发布了面向大型企业和中小型企业的思科 SAFE 白皮书。 有些专门的白皮书涵盖了 VPN、安全无线和安全 IP 电话的部署。 例如，思科为那些将网络分为多个模块（因为模块化方式有助于简化部署和节约预算）的大型企业专门提供了一个发展计划。 根据这些模块，思科 SAFE 发展计划建议了一个有助于确保可靠网络安全的最佳设计。 企业互联网模块可以提供从园区核心到不可靠互联网域的访问。 为了提供全面的网络安全，网络可以采用 由提供访问控制的安全路由器、扫描攻击特征的网络和主机入侵检测系统，和 VPN 隧道启动及端接设备组成的重叠层。 思科安全产品线 本节将详细地介绍应当内置于网络中，并且集成到构成网络基础设施的产品中的五种核心网络安全技术。 这些安全技术必须同时部署，形成互相重叠的安全措施，以实现所谓的 深度防御。 如果某种防御方式受到威胁，网络并不会失去全部的保护层。 扩展的周边安全 今天的防火墙所扮演的角色已经不再仅限于防止企业网络受到未经授权的外部访问。 防火墙还可以防止未经授权的用户访问企业网络中的某个特定的子网、工作组或者 LAN，保护被称为 扩展周边 的边界。 周边不再只表示可靠的内部网络和不 可靠的外部网络之间的边界， FBI 的统计表明， 70%的安全问题都来自于机构内部。 思科提供了下列三个防火墙解决方案：  Cisco PIX 500系列防火墙可以通过一个便于安装、高性能的集成化安全设备提供强大的安全功能。 Cisco PIX防火墙系列覆盖了整个安全工具领域，从用于远程办公人员和小型机构的、注重成本的桌面防火墙，到用于要求最严格的大型企业和电信运营商环境的电信级千兆位防火墙。 Cisco PIX防火墙可以最多提供多达 50 万个并发连接和将近 （ Gbps）的总吞吐量 同时提供世界级的安全、可 靠性和客户服务。  Cisco IOS软件可以提供强大的防火墙、入侵检测和 VPN 功能。 这种集成化的安全解决方案让用户可以轻松地在整个网络中实施策略和在思科基础设施中利用机构以前的投资。  安装在 Cisco Catalyst 6500系列交换机或者 Cisco 7600系列互联网路由器内部的防火墙服务模块让设备上的任何端口都可以充当防火墙端口，在网络基础设施内部集成状态防火墙安全功能（如图2所示）。 当机架空间较为不足时，这种模块化特性尤为重要。 图 2 用于 Catalyst 6500 的防火墙服务模块 每秒 10 万个连接和每个模块 5Gbps 的吞吐量 Cisco Catalyst 6500 是那些需要智能服务（例如防火墙服务、入侵检测和虚拟专用网）和多层 LAN、 WAN和。