网络安全：内置在网络中集成于产品中

1、网络安全：内置在网络中，集成于产品中无论从所覆盖的地理范围和所互联的内部、外部群体而言，今天的网络都非常庞大。它们更加复杂，支持多种应用和服务，可以在有线和无线连接上传输集成化的数据、语音和视频流量。它们还在变得越来越开放-它们可以使用不可靠的公共网络，连接合作伙伴，是一种能够连接客户和供应商的业务工具。事实上，专用网络和公共网络之间的界限已经变得非常模糊。网络环境的广泛性、复杂性和开放性提升了人们对于强大、全面的安全的需要，因为必须对网络所接触到的所有地点进行保护，同时也要防范从这些地点对网络发动的攻击。 本文将探讨讨和介绍绍内置、集集成的安安全性，并并认为它它是保护护网络的的唯一有有效的方

2、方法。本本文将概概括介绍绍采用集集成化方方式的主主要原因因，随后后还将介介绍思科科集成化化网络安安全解决决方案的的一些现现有的和和新推出出的补充充产品。本本文主要要面向技技术决策策的制定定者。 首先，让我我们回顾顾一下集集成安全全和内置置安全的的定义： 集成安全全 表表示在某某个网络络设备（例例如路由由器、交交换机或或者无线线接入点点）上提提供的安安全功能能。当流流量经过过某个网网络设备备时，网网络设备备必须对对其进行行一定的的扫描和和分析，决决定让其其继续传传输、隔隔离或者者拒绝。这这要求集集成安全全设备具具有足够够的智能能、性能能和可扩扩展性。 内置安全全 表表示分布布在网络络基础设设施的

3、某某些关键键位置的的安全功功能-例如终终端用户户工作站站、远程程分支机机构、园园区和数数据中心心。 内置、集成成的安全全性必须须防止网网络受到到来自外外部和内内部的威威胁，在在对于访访问的需需求和对对于保护护的需求求之间保保持均衡衡。 这意味着安安全功能能必须在在网络任任何地方方内置和和集成-从园园区核心心到网络络终端，同同时它还还必须对对于用户户和应用用保持透透明。 我们的最终终目标是是部署一一套可以以共同创创建一个个智能能化自卫卫网络的安全全功能，这这种网络络可以在在发生攻攻击时及及时检测测到异常常情况，发发出必要要的警报报，并可可以在无无须用户户参与的的情况下下自动做做出反应应。 实现集

4、成的的主要驱驱动因素素本节将将介绍促促使人们们使用集集成、内内置的网网络安全全性的主主要驱动动因素。 不断增多的的网络威威胁网络络正在日日益成为为攻击的的目标和和源头： 实时信息保保护公司司Ripptecch最近近的一项项调查表表明，从从20001年下下半年到到20002年上上半年，网网络安全全漏洞增增加了228%。 FBI在220022年发布布的一份份报告指指出，在在他们所所调查的的企业中中，有885%的的企业在在过去112个月月中都曾曾检测到到计算机机安全漏漏洞。 网络威胁可可能来自自于不可可靠的外外界攻击击者或者者可靠的的内部员员工。FFBI在在20001年的的调查中中发现，991%的的

5、受访者者都报告告存在内内部用户户滥用网网络的情情况。 网络威胁可可能来自自于机构构深处，或或者来自自于网络络边缘。这这意味着着必须在在网络的的所有节节点，而而不仅仅仅是网络络周边或或者不可可靠区域域的入口口/出口口采取安安全措施施。只有有内置的的、完全全集成的的安全才才能提供供这种普普遍深入入的防御御。 机构动力机机构人员员在安全全策略、部部署和采采购方面面所肩负负的职责责已经发发生了很很大的变变化。网网络管理理（NeetOpps）和和安全管管理（SSecOOps）团团队不再再以一种种孤立的的方式工工作。 NetOpps传统统的部署署模式是是购买和和组建网网络基础础设施，而而SeccOpss拥

6、有的的预算和和资源相相对较少少，因而而只能充充当一个个分散的的、非常常专业的的团队。这这两个团团队扮演演的是两两种完全全不同的的角色-NeetOpps的作作用是提提供访问问，而SSecOOps的的任务是是限制访访问。 这导致了机机构内部部相互牵牵制。但但是，随随着威胁胁等级和和人们对对于保障障新技术术（例如如无线和和IP电电话）的的需求的的不断提提升，SSecOOps和和NettOpss已经开开始更加加密切地地展开合合作。此此外，CCxO级级别的管管理层也也开始越越来越多多地参与与到安全全战略和和部署工工作中，而而高层管管理人员员的加入入也促使使NettOpss和SeecOpps更加加紧密地地

7、团结在在一起。 在思科于220022年8月月对4000名思思科客户户展开的的一项调调查中，当当被问及及谁负责责安全事事务时，445%的的受访者者表示由由SeccOpss和NeetOpps共同同负责（336%的的受访者者回答由由NettOpss负责，77%回答答SeccOpss，2%则回答答由应用用管理团团队负责责）。目目前的趋趋势是SSecOOps负负责制定定策略，而而NettOpss负责实实施策略略。 机构内部的的整合推推动了对对于集成成、内置置的安全全的需求求。如果果SeccOpss和NeetOpps联合合部署安安全，那那么当安安全解决决方案是是是一个个集成化化方案时时，部署署任务就就会大

8、大大简化。 整体运营成成本安全全部署是是所有机机构优先先考虑的的问题。但但是由于于目前的的经济形形势，企企业的预预算都很很紧张。集集成化安安全可以以提供最最低的整整体运营营成本： 向一个已经经部署的的网络设设备添加加安全服服务意味味着可以以继续使使用现有有的机箱箱、电源源、LAAN/WWAN卡卡和其他他组件。如如果网络络设备本本身是模模块化的的，可以以提供可可扩展的的性能，那那么运营营成本还还可以进进一步降降低。 现有的管理理和监控控系统可可以管理理新的安安全服务务。 现有的支持持合同可可以涵盖盖，或者者通过经经济有效效的扩展展，涵盖盖新的安安全功能能。 由于可以继续使使用现现有的系系统作为为

9、安全平平台，可可以降低低对人员员进行培培训的需需求。 在将负载均均衡部署署为集成成化安全全解决方方案的一一部分时时，机构构可以降降低服务务器和安安全系统统（例如如防火墙墙）的数数量，从从而减少少在这方方面的投投资。 不断扩大的的规模本本文已经经介绍了了网络范范围的不不断扩大大，这是是规模问问题的一一个重要要方面。今今天的网网络必须须能够满满足不断断增加的的用户、地地点和服服务的需需要。它它必须能能够处理理不断增增多的流流量，无无论是数数据、语语音还是是视频。现现在的网网络包括括有线和和无线连连接。 如何在可能能的情况况下有效效地管理理这种环环境是一一个非常常具有挑挑战性的的问题。 唯一的的方法

10、就就是采用用一种集集成化的的方法。例例如，如如果某个个基于一一个统一一身份识识别框架架的集成成化管理理系统可可以管理理一个由由集成化化设备组组成的网网络，那那么规模模问题就就会大大大减轻。 产品可用性性在20000年年到20002年年之间，出出现了从从单一功功能的网网络和安安全设备备向多功功能系统统发展的的重要趋趋势。网网络设备备（例如如路由器器和交换换机）现现在可以以通过添添加成熟熟的安全全服务而而提供增增强的连连接和网网络服务务。 同时，单一一功能的的安全设设备（例例如防火火墙和VVPN集集中器）可可以受益益于附加加的安全全服务，例例如入侵侵检测。总总而言之之，可以以提供集集成化功功能的产

11、产品的出出现有助助于推动动，或者者至少是是满足市市场对于于集成的的需求。 解决方案集集成最终终，网络络的所有有组件都都必须可可以互操操作，并并能够作作为一个个统一的的整体发发挥作用用。 首先让我们们考虑一一下数据据中心。它它包含多多个通过过交换机机和路由由器连接接到外界界环境的的服务器器。这些些服务器器必须获获得保护护。路由由器和交交换机必必须拥有有它们自自己的防防御措施施。此外外，整个个架构必必须具有有足够的的可用性性和可扩扩展性，并并具有一一个用于于控制它它的集成成化管理理子系统统。 接着让我们们考虑一一下基于于LANN的无线线部署。很很多安全全威胁都都是由这这种日益益流行的的技术带带来的

12、。无无线流量量必须获获得保护护，以防防止被阻阻截。网网络必须须像防御御无线威威胁一样样防范无无线入侵侵者。此此外，由由于对企企业缺乏乏了解而而创建的的无用接接入点可可能缺乏乏强大的的保护措措施。只只有集成成化的网网络安全全方式才才能保护护这种环环境。有有线等效效加密（WWEP）、思思科轻型型可扩展展身份认认证协议议（LEEAP）和和IPSSec可可以提供供更高级级别的访访问控制制和加密密，从而而为无线线接入点点提供安安全的通通道。部部署在接接入点之之后的VVLANN可以将将流量限限制在适适当的域域之内。入入侵保护护和防火火墙功能能可以在在流量被被解密之之后提供供保护。 思科的集成成战略在在整个

13、网网络中进进行安全全集成是是思科的的开发和和市场战战略的重重要组成成部分。思思科的集集成计划划包括下下列组件件： 在Ciscco IIOS软软件中集集成越来来越多的的安全功功能。该该软件覆覆盖了思思科的所所有平台台-从从远程办办公人员员和远程程分支机机构解决决方案直直至网络络终端。 在分散的安安全设备备和集成成化的网网络设备备中提供供安全功功能，这这些网络络设备同同时也可可以提供供LANN和WAAN连接接。 提供一个能能够方便便地部署署集成、内内置的安安全性的的管理和和监控基基础设施施。 提供一个可可扩展、高高度可用用的安全全框架。网网络现在在已经成成为一个个可以不不停工作作的重要要业务工工具

14、。 最后，为希希望部署署集成、内内置的安安全的客客户和机机构提供供一种部部署模式式。这就就是Ciiscoo SAAFE发发展计划划的作用用。 Ciscoo IOOS中的的集成化化浪潮CCiscco IIOS软软件是一一种控制制着思科科所有路路由器和和交换机机的增值值软件。它它具有范范围广泛泛的安全全功能，而而且这些些功能还还在随着着每个新新版本的的推出而而不断增增加。CCiscco IIOS功功能已经经从最初初的允许许拒绝绝接入技技术（例例如访问问控制列列表（AACL）发发展到支支持多种种VPNN类型、入入侵防范范，先进进的身份份识别服服务和防防火墙功功能。 Ciscoo IOOS软件件现在可

15、可以提供供三层功功能： 强大的安全全服务 全面的IPP服务，例例如路由由、服务务质量（QQoS）、组组播和IIP语音音（VooIP） 安全管理，保保护设备备上的管管理流量量和Ciiscoo IOOS软件件管理功功能 这三个层次次的集成成让Ciiscoo IOOS软件件具有与与众不同同的特点点。思科科语音和和视频增增强IPPSecc VPPN（VV3PNN）解决决方案就就是各种种能够从从Cissco IOSS软件的的集成性性获得很很大利益益的解决决方案的的一个典典型例子子。这种种解决方方案可以以利用CCiscco IIOS软软件中新新推出的的低延时时QoSS功能，为为加密的的语音和和视频流流量提

16、供供值得信信赖的质质量和弹弹性，并并可以通通过IPPSecc状态故故障切换换功能消消除丢弃弃呼叫。 集成化工具具和网络络设备安安全工具具是一种种针对用用途定制制的安全全系统，集集成了一一种或者者多种安安全功能能-例例如，一一个同时时支持VVPN或或者入侵侵检测功功能的防防火墙。CCiscco PPIX防防火墙支支持一种种VPNN模块插插件，以以及VPPN和入入侵检测测系统（IIDS）软软件。 集成化网络络设备可可以提供供网络连连接（LLAN、WWAN或或者两者者兼而有有之）、IIP服务务和安全全服务-例如如，同时时可以提提供防火火墙功能能的路由由器。CCiscco SSOHOO 900和833

17、1路由由器是思思科新推推出的、可可以提供供集成化化安全和和以太网网、ADDSL连连接的远远程分支支机构解解决方案案。（如如图1所所示） 图1 Ciiscoo 8331安全全宽带路路由器：2Mbbps硬硬件加速速加密，增增强的QQoS功功能、VVPN和和路由功功能Ciscoo IOOS软件件中的集集成化功功能的另另外一个个例子是是同时可可以提供供第二层层和第三三层交换换和安全全功能的的智能化化交换机机。Ciiscoo Caatallystt 65500交交换机现现在可以以支持入入侵防范范、防火火墙、VVPN、安安全套接接字层（SSSL）和和其他安安全模块块。 今天的机构构可以在在一个工工具和一一

18、个集成成化网络络设备之之间进行行选择。在在决定时时，必须须考虑下下列因素素： 预算。在现现有的网网络设备备上部署署安全功功能可以以提供最最低的部部署成本本和最低低的长期期整体运运营成本本。此外外，现有有的管理理基础设设施可以以继续用用于管理理附加的的安全功功能。 简便性。单单一功能能或者专专用的安安全设备备可能最最便于部部署和管管理。顾顾名思义义，多功功能设备备拥有多多个需要要配置和和管理的的组成部部分，这这可能会会提高发发生配置置错误的的可能性性。相比比之下，单单一功能能安全工工具需要要设置的的功能少少得多。 模块性。对对于一个个分支地地点来说说，可以以通过单单一平台台提供安安全性和和连接性

19、性的集成成化网络络设备可可能是最最理想的的选择。但但是对于于头端或或者更大大规模的的部署而而言，更更适于采采用一种种模块化化的方法法。例如如，Ciiscoo Caatallystt 65500拥拥有一个个灵活、自自适应、模模块化的的架构，因因而可以以适应未未来的需需要。 机构控制。SSecOOps可可能需要要一个只只有该团团队才能能监控、设设置和管管理的平平台，这这可能会会促使该该团队选选择一个个工具，而而不是一一个集成成化的网网络设备备。相比比之下，当当NettOpss负责安安全部署署时，该该团队可可能会选选择一个个集成化化的网络络设备，以以便于部部署。 可扩展、可可用的网网络一个个可扩展展

20、的网络络可以随随着需求求的变化化而不断断发展。可可用性确确保了用用户一直直能够使使用关键键性的应应用和服服务，而而不会出出现服务务中断的的情况。从从业务运运营的角角度来说说，必须须使用一一个弹性性的网络络。今天天的机构构可以通通过很多多方法来来提供可可扩展、高高度可用用的基础础设施： 在多个交换换机和服服务器，甚甚至数据据中心之之间对网网络流量量和服务务请求进进行负载载均衡。这这样做的的好处包包括能够够满足流流量高峰峰期的需需要，降降低支持持某个特特定流量量负载所所需要的的网络设设备的数数量。负负载均衡衡解决方方案的例例子包括括用于CCiscco CCataalysst 665000交换机机、

21、Ciiscoo CSSS 1110000和1115000内容容交换机机的模块块。 状态故障切切换有助助于在某某个设备备发生故故障时提提供备份份，从而而不会让让与终端端用户的的连接发发生任何何明显的的中断。CCiscco IIOS路路由器和和Cissco VPNN 30000集集中器平平台是可可以提供供状态故故障切换换功能的的产品的的典型例例子。 状态故故障切换换功能可可以提供供一种备备份功能能，但是是可能会会在故障障切换时时丢失连连接。 冗余。冗余余是指设设备的备备用品。因因此，在在发生故故障时，网网络设备备-或或者多个个冗余网网络设备备中的冗冗余模块块可以接接替这些些发生故故障的设设备的工工

22、作。 灾难恢复。可可以利用用Cissco GSSS 44480 Glooball Siite Sellecttor中中提供的的全球服服务器负负载均衡衡（GSSLB）功功能，进进行多地地点灾难难恢复。通通过不断断地监控控Cissco服服务器负负载均衡衡工具的的负载和和运行状状况，如如果某个个主数据据中心发发生过载载或者中中断，用用户可以以被迅速速地路由由到某个个备用的的数据中中心。 思科SAFFE发展展计划思思科SAAFE发发展计划划为安全全部署提提供了一一系列指指导方针针。该发发展计划划可以为为那些积积极寻求求部署集集成、内内置的安安全的机机构提供供实用的的步骤。思思科SAAFE发发展计划划白

23、皮书书是从一一个独立立于产品品的角度度撰写的的，这意意味着它它们并没没有专门门建议用用户将思思科设备备作为安安全部署署的基础础。它们们还假定定存在一一个多样样化的环环境。思科现在已已经发布布了面向向大型企企业和中中小型企企业的思思科SAAFE白白皮书。有有些专门门的白皮皮书涵盖盖了VPPN、安安全无线线和安全全IP电电话的部部署。 例如，思科科为那些些将网络络分为多多个模块块（因为为模块化化方式有有助于简简化部署署和节约约预算）的的大型企企业专门门提供了了一个发发展计划划。根据据这些模模块，思思科SAAFE发发展计划划建议了了一个有有助于确确保可靠靠网络安安全的最最佳设计计。企业业互联网网模块

24、可可以提供供从园区区核心到到不可靠靠互联网网域的访访问。为为了提供供全面的的网络安安全，网网络可以以采用由由提供访访问控制制的安全全路由器器、扫描描攻击特特征的网网络和主主机入侵侵检测系系统，和和VPNN隧道启启动及端端接设备备组成的的重叠层层。 思科安全产产品线本本节将详详细地介介绍应当当内置于于网络中中，并且且集成到到构成网网络基础础设施的的产品中中的五种种核心网网络安全全技术。这这些安全全技术必必须同时时部署，形形成互相相重叠的的安全措措施，以以实现所所谓的深度防防御。如如果某种种防御方方式受到到威胁，网网络并不不会失去去全部的的保护层层。 扩展的周边边安全今今天的防防火墙所所扮演的的角

25、色已已经不再再仅限于于防止企企业网络络受到未未经授权权的外部部访问。防防火墙还还可以防防止未经经授权的的用户访访问企业业网络中中的某个个特定的的子网、工工作组或或者LAAN，保保护被称称为扩扩展周边边的边边界。周周边不再再只表示示可靠的的内部网网络和不不可靠的的外部网网络之间间的边界界，FBBI的统统计表明明，700%的安安全问题题都来自自于机构构内部。思思科提供供了下列列三个防防火墙解解决方案案： Ciscoo PIIX 5500系系列防火火墙可以以通过一一个便于于安装、高高性能的的集成化化安全设设备提供供强大的的安全功功能。CCiscco PPIX防防火墙系系列覆盖盖了整个个安全工工具领域

26、域，从用用于远程程办公人人员和小小型机构构的、注注重成本本的桌面面防火墙墙，到用用于要求求最严格格的大型型企业和和电信运运营商环环境的电电信级千千兆位防防火墙。CCiscco PPIX防防火墙可可以最多多提供多多达500万个并并发连接接和将近近1.77Gb/s（GGbpss）的总总吞吐量量-同同时提供供世界级级的安全全、可靠靠性和客客户服务务。 Ciscoo IOOS软件件可以提提供强大大的防火火墙、入入侵检测测和VPPN功能能。这种种集成化化的安全全解决方方案让用用户可以以轻松地地在整个个网络中中实施策策略和在在思科基基础设施施中利用用机构以以前的投投资。 安装在Ciiscoo Caatal

27、lystt 65500系系列交换换机或者者Cissco 76000系列列互联网网路由器器内部的的防火墙墙服务模模块让设设备上的的任何端端口都可可以充当当防火墙墙端口，在在网络基基础设施施内部集集成状态态防火墙墙安全功功能（如如图2所所示）。当当机架空空间较为为不足时时，这种种模块化化特性尤尤为重要要。 图2 用于于Cattalyyst 65000的防防火墙服服务模块块-每每秒100万个连连接和每每个模块块5Gbbps的的吞吐量量Ciscoo Caatallystt 65500是是那些需需要智能能服务（例例如防火火墙服务务、入侵侵检测和和虚拟专专用网）和和多层LLAN、WWAN和和MANN交换功

28、功能的客客户的主主要IPP服务交交换机。因因为它可可以通过过一个机机箱提供供高达220Gbbps的的防火墙墙吞吐量量，所以以它还是是那些需需要最高高等级防防火墙性性能的客客户的首首选产品品。入侵防范入入侵防范范系统必必须为发发现和阻阻止未经经授权的的入侵、恶恶意的互互联网蠕蠕虫病毒毒，以及及针对带带宽和电电子商务务应用的的攻击提提供全面面的安全全解决方方案。 目前主要有有两种入入侵防范范： 网络防范，通通过在流流量经过过各个网网段时对对其进行行严格的的检查，为为各个网网段提供供安全性性 主机入侵检检测，可可以为网网络中的的主机和和服务提提供一种种有效的的防护 思科入侵防防范产品品线包括括下列组

29、组成部分分： 思科IDSS检测器器，它可可以支持持范围最最广泛的的网络部部署-从小型型企业到到需要高高速、弹弹性的解解决方案案的大型型企业和和电信运运营商环环境。这这种检测测器采用用了先进进的检测测技术，包包括状态态模式识识别、协协议分段段、启发发式检测测和异常常检测，从从而可以以针对已已知和未未知的网网络威胁胁提供全全面的防防护。 用于Cattalyyst 65000系列列的入侵侵检测系系统模块块，适用用于分布布式部署署和数据据中心部部署。它它可以为为阻止未未经授权权的入侵侵、恶意意的互联联网蠕虫虫病毒，以以及针对对带宽和和电子商商务应用用的攻击击提供一一个全面面、深入入的安全全解决方方案。

30、 思科IDSS主机检检测器可可以利用用一组行行为规则则和特征征防范已已知的和和未知的的攻击，而而不是在在攻击发发生之后后才发现现和报告告它们，从从而可以以有效地地保障服服务器的的安全。思思科IDDS主机机检测器器标准版版代理可可以在处处理用户户对于WWeb应应用、WWeb服服务器应应用编程程界面（AAPI）和和操作系系统的请请求之前前，对它它们进行行严格的的评估，从从而主动动地保护护Webb服务器器应用的的安全。它它结合了了操作系系统和WWeb应应用保护护，为防防御已知知和未知知的攻击击提供了了一种独独一无二二的深度度防御。 基于Cissco PIXX防火墙墙的系统统和基于于Cissco IO

31、SS软件的的系统都都可以提提供入侵侵防范功功能。 安全连接在在流量经经过未受受保护的的域和网网段时，必必须对它它们进行行保护。可可以提供供安全连连接的两两项主要要的技术术是： VPN。VVPN可可以提供供网络层层的安全全连接。目目前最主主要的VVPN协协议是IIPSeec，它它可以提提供身份份认证、加加密和地地址隐藏藏功能。它它可以用用于两地地间安全全连接和和对总部部连接的的远程访访问。 安全套接字字层（SSSL），它它是一种种由Neetsccapee开发的的协议，用用于通过过互联网网传输私私人文件件。SSSL的工工作方式式是用一一个公共共密钥来来加密通通过SSSL连接接传输的的数据。NNet

32、sscappe NNaviigattor和和Intternnet Expplorrer都都支持SSSL，很很多站点点也利用用该协议议来获取取保密的的用户信信息，例例如信号号卡号码码。按照照惯例，需需要SSSL连接接的URRL会以以htttps开开头，而而不是hhttpp。SSSL可以以在客户户端和服服务器之之间建立立安全连连接，用用户可以以在这条条连接上上安全地地传输大大量的数数据。互互联网工工程任务务小组（IIETFF）已经经将其批批准为一一项标准准。 思科提供了了范围广广泛的网网络平台台系列，它它们都可可以提供供LANN和WAAN连接接。很多多思科路路由器和和交换机机已经集集成了安安全连接

33、接功能。 Ciscoo PIIX 5500系系列防火火墙中也也内置了了VPNN功能。此此外，对对于优先先考虑可可扩展性性和管理理的方便便性的专专用远程程访问VVPN部部署而言言，Ciiscoo VPPN 330000集中器器可以扮扮演一个个非常关关键的角角色。CCiscco 771000系列VVPN路路由器可可以提供供硬件加加速的VVPN吞吞吐量和和先进的的数据、语语音和视视频VPPN网络络。 另外，思科科还可以以通过SSSL插插件模块块，在它它的网络络交换机机上，以以及多种种专用的的SSLL设备和和内容交交换机上上提供SSSL卸卸载和端端接功能能。 身份识别身身份识别别是安全全基础设设施的关

34、关键组成成部分。基基于身份份识别的的网络服服务让系系统可以以根据各各种参数数（例如如用户名名、IPP地址和和MACC地址）识识别用户户的身份份，进而而为其提提供特定定的访问问权限-例如如对网络络的特定定部分、特特定应用用或者特特定网络络服务的的访问。身身份识别别方面的的重要趋趋势包括括访问权权限的精精确度的的不断提提高和动动态、主主动地分分配访问问权限的的能力。 关于身份识识别，有有两个非非常重要要的组成成部分。第第一是制制定身份份识别策策略。第第二是实实施策略略。在思思科的身身份识别别服务中中，策略略定义功功能是由由访问控控制服务务器执行行的，它它可以与与一个基基于服务务器的用用户目录录进行

35、互互动（通通过LDDAP）。而而身份识识别的策策略实施施功能由由交换机机、路由由器或者者其他网网络设备备执行。 所有策略和和实施的的集成让让思科的的身份识识别服务务具有与与众不同同的特点点。例如如，思科科的交换换机和无无线接入入点可以以与思科科访问控控制服务务器（AACS）合合作，精精确、动动态地提提供基于于端口的的安全。一一个通过过思科交交换机或或者接入入点连接接到网络络的用户户可以利利用8002.11x进行行身份认认证。思思科对于于8022.1xx协议的的扩展非非常重要要。用户户可以被被纳入某某个特定定的VLLAN，并并分配特特定的访访问权限限。通过过8022.1xx，即使使用户在在整个网

36、网络中四四处移动动，从一一个物理理地点转转移到另另外一个个，安全全策略也也会随着着他一同同移动。无无论用户户身在何何处，用用户都可可以获得得统一的的安全策策略和访访问权限限。 Ciscoo ACCS加强强了8002.11x的部部署，为为从基于于Webb的图形形化界面面对所有有用户进进行身份份认证、授授权和记记帐提供供了一个个集中的的命令和和控制平平台。它它还可以以将这些些控制分分发到网网络中的的数百个个或者数数千个访访问网关关。利用用Cissco ACSS，机构构可以通通过IEEEE 8022.1xx访问控控制协议议，管理理用户对对于Ciiscoo IOOS路由由器、VVPN、防防火墙、拨拨号

37、和宽宽带DSSL、有有线电缆缆接入解解决方案案、IPP语音（VVoIPP）、思思科无线线解决方方案和CCiscco CCataalysst 交交换机的的访问权权限。另另外，机机构还可可以利用用相同的的Cissco ACSS访问框框架，控控制所有有支持TTACAACS+的网络络设备的的管理员员权限和和配置。 安全监控和和管理只只有在网网络具有有集成化化的策略略、管理理和监控控系统的的情况下下，集成成化的安安全基础础设施才才能真正正地发挥挥作用。 管理子系统统需要具具有四项项功能： 它必须提供供对网络络中单个个设备和和系统的的组件管管理。 它必须支持持策略的的制定和和控制，即即所谓的的智能能规则概

38、念。 它必须提供供对网络络，以及及网络中中发生的的任何安安全事件件的主动动监控。 它必须提供供能够支支持网络络安全的的长期设设计和结结构改进进的分析析功能。 CiscooWorrks VPNN/安全全管理解解决方案案（VMMS）提提供了所所有这四四项功能能，并将将其作为为一个单单一集成成化产品品的组成成部分。CCisccoWoorkss MSS结合了了各种用用于配置置、监控控和诊断断基于CCiscco IIOS软软件的VVPN、思思科防火火墙、网网络与主主机入侵侵检测系系统的WWeb工工具。 管理基础设设施和它它的所有有连接都都必须得得到保护护，并且且必须通通过集中中式的、基基于职责责的访问问

39、控制功功能，严严格地控控制管理理权限。思思科在从从一个集集中地点点保护组组件、基基础设施施、权利利和权限限方面具具有独特特的优势势。 管理框架必必须可扩扩展。这这种功能能是通过过自动升升级服务务器（AAUS）提提供的，它它也是CCisccoWoorkss VMMS的组组成部分分。它让让设备，甚甚至远程程或者动动态寻址址的设备备，可以以定期地地致电电到某某个升级级服务器器，并获取Cissco PIXX防火墙墙软件的的最新安安全配置置。如果果没有这这种自动动升级功功能，用用户就必必须手动动升级所所有远程程设备。除除了更加加方便、更更加快速速的策略略升级以以外，自自动升级级服务器器还可以以提供统统一

40、的策策略部署署。 思科一直致致力于拓拓展它的的安全功功能。CCisccoWoorkss主机托托管解决决方案引引擎（HHSE）是是一个综综合的、基基于硬件件的解决决方案，用用于思科科所支持持数据中中心中的的电子商商务系统统。它可可以提供供关于网网络基础础设施和和第四到到第七层层服务的的最新故故障和性性能信息息，从而而节约日日常业务务所需的的时间和和资源。它它还可以以为不同同机构的的服务器器管理人人员提供供层次化化的用户户权限，以以便将特特定的服服务器加加入服务务或者从从服务中中抽出。它它还可以以提供第第四到第第七层托托管服务务的配置置信息。对对于ITT部门，CCisccoWoorkss HSSE可以以实现集集中的网网络和服服务管理理，并由由各个业业务部门门自行进进行应用用管理。它它可以方方便地与与现有上上层NMMS/OOSS集集成，同同时可以以将可管管理性拓拓展到电电子商务务系统。 示例-实实际工作作中的集集成本文文介绍了了对于集集成的需需求和怎怎样将安安全内置置到网络络中。本本节将介介绍一些些特定的的例子，以以说明怎怎样部署署集成化化安全。这这些例子子介绍了了一些只只有集成成化解决决方案才才能提供供有效对对策的安安全威胁胁。 保障基于WWeb的的应用的的安全-基于于Webb的应用用的部署署速度正正在迅速速加