思科交换网络安全解决方案

　　公司正在把关注的焦点放在网络的安全性上,决策者们正更多地意识到网络现在延伸到了传统边界之外。同时，网络也需要持续的保护以免受到新的进攻袭击。

　　调查数据显示了情况的紧迫性： 2002年FBI进行的调查发现，80%的被调查者反映网络被攻击带来了经济损失---不管是内部情报被盗还是外部病毒侵袭造成的。总的损失额从1997年的1亿美元上升到2002年的4.55亿美元。安全缺口的规模和数量表明，如果贵公司要保持竞争地位，集成的网络安全正是您的网络迫切需要的东西。

　　推动趋势发展的因素：

　　进攻的数量和类型正在上升，并且情况正变得日益严重，包括：网站的故意破坏、病毒、计算机网络"蠕虫"和"特洛伊木马"；拒绝服务进攻；数据破坏和盗用。下面详细论述4种攻击：

　　丧失隐私的权利（对数据包进行侦听）

　　身份隐藏

　　数据盗用和破坏；

　　网络崩溃--拒绝服务（DoS）

　　由于网络复杂性的增加，进攻也就变得更容易了----如公共互联网访问、宽带、无线、IP通信、电子商务、供应链管理和Web行销；

　　当商业活动越来越依赖网络进行运作的时候，进攻所带来的后果也变得更加严重---包括机密信息的丢失、机构瘫痪、名誉破坏；

　　进攻现在不仅来自外部，同时也来自内部：

　　防火墙不能保护合法的流量；

　　不满的职员和内部不当的保护水平导致网络内部出现安全漏洞；

　　FBI和CSI发现，60%的进攻来自公司内部；

　　思科系统致力于帮助公司实现它们网络安全的目标。它提供了一种集成的、端到端的方法，消除了与特殊产品和多供应商应用相关的互用性事件、安全缺口和可升级性的限制。

　　思科网络安全的SAFE蓝图使得网络管理员可以轻松地为公司计划和实施正确的网络设计。CiscoCatalyst系列智能以太网交换机是SAFE蓝图不可缺少的一部分，它将用户直接连接到网络，同时在局域网边缘提供了网络安全性。

　　Cisco Catalyst交换机可以在网络中部署安全性，特别是新的具有强大功能的Catalyst6500及其安全服务模块提供了空前的安全性能。下面列举了几个安全应用场景，演示Catalyst交换机是如何部署来抵御进攻的：

　　丧失隐私权： 使用SSH、Kerberos 和SNMPv3功能对密码、配置信息管理流量进行加密，实现对数据的管理。

　　身份隐藏解决方案：专用VLAN（虚拟局域网）提供了交换机端口之间的安全性和隔离，确保流量可以直接从访问端口的进入点传送到交换机的上行链路；

　　思科安全访问控制服务器与带（ACS）802.1x协议的交换机一起支持强大的认证能力（如证书和一次性密码）；

　　数据盗用解决方案：

　　不管用户位置在哪儿，使用什么设备，有了思科网路身份认证服务（IBNS）（大小：594kb），网络首先保证基于用户注册信息的优先权。这样一来，不同的人在使用同一台计算机时就具有不同的使用能力；

　　思科安全用户注册工具（URT）在交换机上具有动态VLAN的能力，它可以通过MAC地址和/或无效用户ID发现网络上的未注册用户；

　　也可以利用端口安全性来限制到特殊用户MAC地址的端口；

　　网络崩溃违反访问控制表（ACL）目录实施，对破坏进行跟踪。通过向DHCP(动态主机配置协议)服务器提供端口和交换机ID信息，利用DHCP接口跟踪器对网络用户的位置进行跟踪，DHCP服务器可以将信息与已知的MAC&IP地址进行配对。