Около года назад я заприметил интереснейшую и увлекательную серию лекций Эдди Мартина, который потрясающе доходчиво, благодаря своей истории и примерам из реальной жизни, а также колоссальному опыту в обучении, позволяет приобрести понимание довольно сложных технологий.



Мы продолжаем цикл из 27 статей на основе его лекций:

01/02: «Понимание модели OSI» Часть 1 / Часть 2
03: «Понимание архитектуры Cisco»
04/05: «Основы коммутации или свитчей» Часть 1 / Часть 2
06: «Свитчи от Cisco»
07: «Область использования сетевых коммутаторов, ценность свитчей Cisco»
08/09: «Основы беспроводной локальной сети» Часть 1 / Часть 2
10: «Продукция в сфере беспроводных локальных сетей»
11: «Ценность беспроводных локальных сетей Cisco»
12: «Основы маршрутизации»
13: «Строение роутеров, платформы маршрутизации от Cisco»
14: «Ценность роутеров Cisco»
15/16: «Основы дата-центров» Часть 1 / Часть 2
17: «Оборудование для дата-центров»
18: «Ценность Cisco в дата-центрах»
19/20/21: «Основы телефонии» Часть 1 / Часть 2 / Часть 3
22: «Программные продукты для совместной работы от Cisco»
23: «Ценность продуктов для совместной работы от Cisco»
24: «Основы безопасности»
25: «Программные продукты Cisco для обеспечения безопасности»
26: «Ценность продуктов Cisco для обеспечения безопасности»
27: «Понимание архитектурных игр Cisco (обзор)»

И вот двадцать пятая из них.

Тренинг FastTrack. «Сетевые основы». «Программные продукты Cisco для обеспечения безопасности». Эдди Мартин. Декабрь, 2012


Итак, у нас имеются программные продукты для защиты электронной почты в виде облачного решения Ironport или физического устройства, которое запускается на Вашем сайте.



Возможно гибридное решение, когда Вы используете и облачную безопасность, и физическое устройство для защиты своего сайта.



Далее у нас имеется система предотвращения вторжений на основе серии ASA 5500 и модулей защиты IPS – это новейшие серии IPS 4300 и 4500.





Устройства IPS пропускают до 5 Гбит / с и используют для апдейта SIO. Есть также несамостоятельный компонент программного обеспечения Oracle Java, используемый на сайтах, которые лишены другой технической поддержки, и мы постоянно обновляем его для наших клиентов, использующих серию аппаратных файерволов Cisco ASA.



Линейка ASA представлена устройствами от самого маленького до самого большого размера. Самым маленьким является устройство 5505, это аппаратный PIX-файервол.





PIX-файервол ASA 5540 имеет пропускную способность 175 Мбит / с на каждый сетевой экран, его цена начинается от $3000. ASA 5505 рассчитан на 150 Мбит / с и стоит всего $545. Благодаря такой ценовой политике люди могут подобрать себе наиболее подходящее по стоимости оборудование. У нас имеются различные модели для любых нужд: для небольших офисов, для больших компаний и для дата-центров.

Если Вы видите букву X в обозначении модели, это значит, что перед Вами оборудование следующего поколения с обновлённой аппаратной архитектурой. Оно обеспечивает повышенную производительность по количеству соединений в секунду, что на сегодня является необходимым требованием. Каждое такое устройство оборудовано IP SEC VPN.

Для больших компаний рекомендуется оборудование серии 5550 X, оно обладает различными возможностями, которые позволяют использовать эти устройства в соответствии с потребностями сети.

Для дата-центров рекомендуются аппаратные файерволы, обеспечивающие защиту до 1 миллиона соединений в секунду. Cisco занимает 1 место на рынке решений по обеспечению безопасности электронной почты.



Защита сети филиалов обычно достаточно хороша, но следует учесть, что свитч не может выполнять роль файервола. Но если Вы отправляете потоковые данные или большое количество трафика несколькими порциями и при этом около 5% трафика пропадает, что является совершенно ненормальным, Вы должны прервать трансляцию, отключить этот порт и сообщить об этом в SIO.

У нас имеется DHCP snooping — функция свитча, предназначенная для защиты от атак с использованием протокола DHCP. Когда Вы связываетесь с кем-либо, свитч видит Вас и IP-адрес устройства, с которым Вы вышли на связь через DHCP-сервер, и запоминает их. И если кто-то попытается влезть в сеть между Вами и попытается подменить адрес сервера или Ваш адрес, он будет остановлен. Это и есть функция безопасности, которая используется в наших свитчах. Так что файервол является лишь небольшой частью общей архитектуры сетевой безопасности.

ASA проверяет трафик свитча и в случае опасности или отключении файервола не даст Вам доступ к сети. Есть всего несколько вещей, которые мы не можем проделать со свитчами, особенно со свитчами 3-го уровня.

Для защиты филиалов прекрасно подходит решение с роутером, который через WAN связан с нашим ASA. Как я уже говорил, в качестве ASA идеально подходит серия устройств 5500.

Мобильный клиент безопасности AnyConnect используется в составе ASA и VPN и оптимально подходит для штаб-квартиры компании, его можно разместить в Облаке. Это программное обеспечение, которое можно загрузить в любое стационарное или мобильное устройство.

Cisco ISE является универсальной платформой, которую можно использовать для обеспечения безопасностью самых разных архитектур, примером служит вот эта иллюстрация для локальной сети.





ISE служит для управления политиками безопасности, которые автоматизируют и реализуют защищенный доступ к сетевым ресурсам и обеспечивают мониторинг пользователей и устройств для поддержки и контроля корпоративного мобильного доступа. В ней используется протокол 802.1x или AnyConnect. Платформа позволяет настраивать гостевые порталы ISE для доступа с мобильных и настольных устройств и быстро предоставлять гостевой доступ, оптимизировать BYOD и мобильный доступ.

Как безопасность влияет на совместную работу? Как можно связать разговор о совместной работе с обсуждением проблемы безопасности и наоборот? Например, когда Вы говорите о возможности BYOD, то она одновременно связана и с совместной работой, и с безопасностью. Вы хотите, чтобы люди и устройства внутри нашей сети безопасно взаимодействовали с людьми и устройствами за её пределами. Мы должны придерживаться одинаковой политики безопасности по отношению к внешним Web-ресурсам и по отношению к внутреннему трафику в процессе совместной работы. Помните о том, что Вы захотите разместить некоторые решения в Облаке, Вы сможете это сделать.



Продолжение:

Тренинг FastTrack. «Сетевые основы». «Ценность продуктов Cisco для обеспечения безопасности». Эдди Мартин. Декабрь, 2012

Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).

Dell R730xd в 2 раза дешевле? Только у нас 2 х Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 ТВ от $249 в Нидерландах и США! Читайте о том Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки?

Комментарии (1)


  1. nochnoy
    26.03.2018 10:56

    Раз уж вы решили растянуть этот киско-спам на много месяцев вперёд, то может хотя-бы не будете вешать этого фотогеничного дядечку в каждом посте? А то утром в понедельник негатива итак хватает. Спасибо за понимание.