思科安全方案销售手册

思科安全方案销售手册内容摘要：

产品类别都关联到某个特殊的安全解决方案。 VPN 系列 思科的 VPN 产品覆盖了您的客户所需要的方方面面；无论是在远程访问领域还是在站点间安全连接领域。 VPN 3000 系列主要提供 100 到 1000 个用户的远程访问连接。 PIX 防火墙系列将 VPN 和远程访问安全联系在一起，而站点间 IOS 路由器将 VPN 和站点间环境所需要的路由、 QoS 和高可用性结合到了一起。 除了思科 VPN 客户端以外， VPN 3002 和 IOS 800/900/1700 可以从任何类型的远程站点提供方便的 VPN 连接。 VPN 系列 应用 头端 区域 分支机构 远程工作人员 移动 VPN 3000集中器 远程访问 集中 3080 3060 3060 3030 3015 3005 3002 IOS VPN路由器 多服务应用 7200 7100 3600 2600 1700 800 900 PIX防火墙系列 安全设备 535 525 515E 506E 800 900 方便的 VPN 连接： PIX 501， VPN 3002， IOS 800/900/1700 Cisco VPN 3000 集中器系列可以在提高生产率的同时降低 IT开支。 通过利用共享的服务供应商网络或者互联网， Cisco VPN 3000 集中器无须使用价格昂贵的专线，从而可以大幅度节省开支。 与此同时， Cisco VPN 3000 集中器还可以随时随地将移动和远程工 作人员安全地连接到他们所需要的工具、人员和信息，从而可以提高生产率。 Cisco VPN 3000 集中器系列的三个主要好处：  立即节约开支 —— 由于远程访问 VPN 让用户可以通过本地 ISP 的拨号连接访问网络，而不需要使用价格昂贵的远程连接，所以企业可以立刻节约大量的开支。 请利用我们的VPN 开 支 节 约 计 算 器 ， 计 算 您 所 能 节 约 的 开 支 ， 网 址 是 ： 安全的、移动的访问 —— 移动工作人员可以利用思科 VPN 客户端和 Certi Movian VPN 客户端在家中或者在外出途中连接到 Cisco VPN 3000 集中器。 这些产品使漫游的用户可以通过 PC、手持式个人助理和 CE 设备安全地访问企业网络。 要了解更多关于思科互联网移动办公室解决方案的信息，请访问 ：。  方便的升级 —— Cisco VPN 3000 集中器是唯一一款用户可以方便地现场升级容量和吞吐量的可扩展平台。 Cisco 3000 VPN 集中器 3005， 3015， 3030，3060， 3080 优点  设备外型  支持硬件客户端  支持非 Windows 的客户端  投资保护  支持质量  集成到整个安全解决方案中  自动客户端分布  免费的软件 VPN 客 户端  针对远程访问 VPN 而设计 如果您的网络需要连接到互联网，您需要使用一个思科 PIX 防火墙。 保障数据和网络资源的安全是电子商务获得成功的关键，而防火墙是一种必需的网络安全设备。 在连接到互联网时，您需要在任何接入互联网的地方安装一个防火墙。 思科 PIX 防火墙可以提供无以伦比的安全性、性能、稳定性和方便的安装。 思科 PIX 防火墙的三个最主要的优势：  安全性 —— IX 防火墙是一种针对需求开发的设备，可以提供前所未有的保护等级，它与一种专用的、加固的操作系统紧密集成，这个操作系统中还集成了状态防火墙和 IP安 全（ IPSec）虚拟专用网（ VPN）功能。  性能 —— PIX 防火墙可以满足大型企业网络和服务供应商的需求。 千兆位吞吐量，同时处理 50 万个连接的能力，速度高达 100Mbps 的 IPSec 三重 DES 加密标准（ 3DES）意味着电信级的性能。  可靠性 —— 通过部署一个冗余的热备用设备支持高可用性。 该设备能够充当一个完全的冗余系统，保持当前的所有会话，从而能够以低廉的价格提供最高的弹性。 Cisco PIX 501， 506E， 515E， 525， 535，Catalyst 6000 优点  在总体拥有成本方面的领先地位  防火墙 设备外型  出色的故障恢复性能  集成的 IDS 特征（ 50）  支持质量  集成到整个安全解决方案中  管理 — 特殊设备和整个企业  免费的 VPN 客户端  最快的防火墙吞吐速度 超过 80%的在线购物者都担心信用卡诈骗问题。 性能 PIX 501 PIX 506E PIX 515E PIX 525 PIX 535 小型办公室 远程办公室 中小型企业 千兆以太网 家庭办公室 分支机构 大型企业 服务供应商 IOS 防火墙功能 —— 利用企业对思科路由器基础设施的投资： 800、 1700、 2600、 3600、 7x00 入侵防范系统系列 入侵防范系统结合了网络检测器、主机代理和自动响应机制，可以为思科的客户提供一套完整的补充性解决方案，以满足他们的入侵防范要求。 防范已知的和尚未发现的网络攻击需要结合多种产品。 主机代理可以保护关键任务型服务器和 Web 应用。 网络检测器可以检测到攻击某些网段的入侵者，并做出反应。 交换机检测器可以在完全交换的网络中提 供潜在的保护。 集成了 PIX和 IOS 的 IDS 功能可以将防范功能拓展到网络的各个角落。 网络检测器： IDS 4210— 45Mbps IDS 4235— 200Mbps IDS 4250— 500Mbps以上 交换机检测器： 模块化（ IDSM） 主机检测器代理 ：O/S， Web 应用 入侵防范被集成到基础设施的其他部分中，可以在检测到入侵时通过 PIX 防火墙 和 IOS 路由器 提供自动响应功能。 入侵检测系统意味着一个更加完整的安全解决方案 入侵检测系统（ IDS）可以监控输入和输出 的流量，检测网络攻击并采取相应的措施，因而可以补充设置对网络系统和资产的访问权限的防火墙。 层次化安全 —— 包括防火墙和 IDS—— 是一种强大的安全机制。 添加入侵检测可以通过创建一个更加全面的安全解决方案，大大增强您的网络的安全性。 入侵检测系统的三个最主要的优势：  入侵检测可以发现防火墙和虚拟专用网（ VPN）没有检测到的攻击。  可以实时监控互联网和外联网连接，保护关键性的资产、系统和资源 —— 相当于现实生活中的监视摄像机。  思科 IDS 可以提供警报，智能化地阻止恶意攻击，甚至动态地重新配置网络，以避免以后再发生类 似的攻击。 Cisco NIDS 42 423 4250 优点  市场中速度最快的产品  强大的可靠性  利用新的 IDM 和 IEV降低整体运营成本  支持质量  集成到整个安全解决方案中  能够采取纠正措施  可以通过我们新推出的 SILVER 语言进行定制 思科 IDS 主机检测器 优点  基于行为的规则 —— 防范已知的和未知的攻击  在主机中建立多个防护层  支持质量  集成到整个安全集成方案中  可扩展性 SAFE 网络设计 下面的章节将提供 SAFE 蓝图中的一些安全网络设计示例。 尽管从安全的角度来说这些设计都是非常出色的， 但是它们可能需要根据其他一些网络要求（例如弹性）进行改动。 我们在这里是用它们来说明相关设备在不同的 SAFE 模块中扮演的安全角色。 它们主要分成四个部分：  互联网访问和电子商务  VPN 头端和远端节点  新技术： WLAN 和 IPTel  集成化设计 互联网访问和电子商务 SAFE 企业互联网模块 主机 IDS 本地攻击防范 集中的第四到第七层分析 SMTP 内容检测 欺骗行为防范 基本过滤 专用 VLAN 边缘分布 集中的第四到第七层分析 到 VPN/远程访问 广泛的第四到第七层分析 检查输出流量，寻找未经授权的 URL 状态分组过滤 欺骗行为防范 基本第七层过滤 （ D） DoS速率 限制 主机 DoS 防范 SAFE 企业互联网模块可以为企业提供一种模式，从而为内部用户、公共 Web 服务器和电子邮件提供安全的互联网访问。 这个模块涉及到了管理员防范来自于互联网的常见攻击时所需要的所有设计组件。 SAFE 电子商务模块 主机 IDS 本地攻击防范 集中的第四到第七层分析 集中的第四到第七层分析 通往边缘分布模块 状态分。