Тренинг FastTrack. «Сетевые основы». «Программные продукты Cisco для безопасности». Эдди Мартин. Декабрь, 201225.03.2018 16:03

Около года назад я заприметил интереснейшую и увлекательную серию лекций Эдди Мартина, который потрясающе доходчиво, благодаря своей истории и примерам из реальной жизни, а также колоссальному опыту в обучении, позволяет приобрести понимание довольно сложных технологий.

o-6x9-rz4ha8xhsl0fbg4mt1qye.jpeg

Мы продолжаем цикл из 27 статей на основе его лекций:

01/02: «Понимание модели OSI» Часть 1 / Часть 2
03: «Понимание архитектуры Cisco»
04/05: «Основы коммутации или свитчей» Часть 1 / Часть 2
06: «Свитчи от Cisco»
07: «Область использования сетевых коммутаторов, ценность свитчей Cisco»
08/09: «Основы беспроводной локальной сети» Часть 1 / Часть 2
10: «Продукция в сфере беспроводных локальных сетей»
11: «Ценность беспроводных локальных сетей Cisco»
12: «Основы маршрутизации»
13: «Строение роутеров, платформы маршрутизации от Cisco»
14: «Ценность роутеров Cisco»
15/16: «Основы дата-центров» Часть 1 / Часть 2
17: «Оборудование для дата-центров»
18: «Ценность Cisco в дата-центрах»
19/20/21: «Основы телефонии» Часть 1 / Часть 2 / Часть 3
22: «Программные продукты для совместной работы от Cisco»
23: «Ценность продуктов для совместной работы от Cisco»
24: «Основы безопасности»
25: «Программные продукты Cisco для обеспечения безопасности»

И вот двадцать пятая из них.

Тренинг FastTrack. «Сетевые основы». «Программные продукты Cisco для обеспечения безопасности». Эдди Мартин. Декабрь, 2012


Итак, у нас имеются программные продукты для защиты электронной почты в виде облачного решения Ironport или физического устройства, которое запускается на Вашем сайте.

n3evvea7wuj8hfdmijbnf3wewhg.jpeg

Возможно гибридное решение, когда Вы используете и облачную безопасность, и физическое устройство для защиты своего сайта.

1vyxrokz0rcihd3ljoojuucz9og.jpeg

Далее у нас имеется система предотвращения вторжений на основе серии ASA 5500 и модулей защиты IPS — это новейшие серии IPS 4300 и 4500.

xsyxlnmb3drftxlud6mppnccq5m.jpeg

j3agauvx1shmztdulk2eemdf0yu.jpeg

Устройства IPS пропускают до 5 Гбит / с и используют для апдейта SIO. Есть также несамостоятельный компонент программного обеспечения Oracle Java, используемый на сайтах, которые лишены другой технической поддержки, и мы постоянно обновляем его для наших клиентов, использующих серию аппаратных файерволов Cisco ASA.

0-xcgcafhnh3fthngr_crgbf25i.jpeg

Линейка ASA представлена устройствами от самого маленького до самого большого размера. Самым маленьким является устройство 5505, это аппаратный PIX-файервол.

0h6awqg6xvtjkguami4t-9yqxgy.jpeg

e-qpdo7qewmh6fv3shkootlgze4.jpeg

PIX-файервол ASA 5540 имеет пропускную способность 175 Мбит / с на каждый сетевой экран, его цена начинается от $3000. ASA 5505 рассчитан на 150 Мбит / с и стоит всего $545. Благодаря такой ценовой политике люди могут подобрать себе наиболее подходящее по стоимости оборудование. У нас имеются различные модели для любых нужд: для небольших офисов, для больших компаний и для дата-центров.

Если Вы видите букву X в обозначении модели, это значит, что перед Вами оборудование следующего поколения с обновлённой аппаратной архитектурой. Оно обеспечивает повышенную производительность по количеству соединений в секунду, что на сегодня является необходимым требованием. Каждое такое устройство оборудовано IP SEC VPN.

Для больших компаний рекомендуется оборудование серии 5550 X, оно обладает различными возможностями, которые позволяют использовать эти устройства в соответствии с потребностями сети.

Для дата-центров рекомендуются аппаратные файерволы, обеспечивающие защиту до 1 миллиона соединений в секунду. Cisco занимает 1 место на рынке решений по обеспечению безопасности электронной почты.

whqiog92k1m4i3b_a99nvp8-3qu.jpeg

Защита сети филиалов обычно достаточно хороша, но следует учесть, что свитч не может выполнять роль файервола. Но если Вы отправляете потоковые данные или большое количество трафика несколькими порциями и при этом около 5% трафика пропадает, что является совершенно ненормальным, Вы должны прервать трансляцию, отключить этот порт и сообщить об этом в SIO.

У нас имеется DHCP snooping — функция свитча, предназначенная для защиты от атак с использованием протокола DHCP. Когда Вы связываетесь с кем-либо, свитч видит Вас и IP-адрес устройства, с которым Вы вышли на связь через DHCP-сервер, и запоминает их. И если кто-то попытается влезть в сеть между Вами и попытается подменить адрес сервера или Ваш адрес, он будет остановлен. Это и есть функция безопасности, которая используется в наших свитчах. Так что файервол является лишь небольшой частью общей архитектуры сетевой безопасности.

ASA проверяет трафик свитча и в случае опасности или отключении файервола не даст Вам доступ к сети. Есть всего несколько вещей, которые мы не можем проделать со свитчами, особенно со свитчами 3-го уровня.

Для защиты филиалов прекрасно подходит решение с роутером, который через WAN связан с нашим ASA. Как я уже говорил, в качестве ASA идеально подходит серия устройств 5500.

Мобильный клиент безопасности AnyConnect используется в составе ASA и VPN и оптимально подходит для штаб-квартиры компании, его можно разместить в Облаке. Это программное обеспечение, которое можно загрузить в любое стационарное или мобильное устройство.

Cisco ISE является универсальной платформой, которую можно использовать для обеспечения безопасностью самых разных архитектур, примером служит вот эта иллюстрация для локальной сети.

2otdfurmieri5gqj6tfvqt_eeta.jpeg

rhvxuqbnvwptas2ynvdyuq3rt0k.jpeg

ISE служит для управления политиками безопасности, которые автоматизируют и реализуют защищенный доступ к сетевым ресурсам и обеспечивают мониторинг пользователей и устройств для поддержки и контроля корпоративного мобильного доступа. В ней используется протокол 802.1x или AnyConnect. Платформа позволяет настраивать гостевые порталы ISE для доступа с мобильных и настольных устройств и быстро предоставлять гостевой доступ, оптимизировать BYOD и мобильный доступ.

Как безопасность влияет на совместную работу? Как можно связать разговор о совместной работе с обсуждением проблемы безопасности и наоборот? Например, когда Вы говорите о возможности BYOD, то она одновременно связана и с совместной работой, и с безопасностью. Вы хотите, чтобы люди и устройства внутри нашей сети безопасно взаимодействовали с людьми и устройствами за её пределами. Мы должны придерживаться одинаковой политики безопасности по отношению к внешним Web-ресурсам и по отношению к внутреннему трафику в процессе совместной работы. Помните о том, что Вы захотите разместить некоторые решения в Облаке, Вы сможете это сделать.

Продолжение следует, ссылка появится здесь после того, как работа над переводом будет завершена.

Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5–2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).

Dell R730xd в 2 раза дешевле? Только у нас 2 х Intel Dodeca-Core Xeon E5–2650v4 128GB DDR4 6×480GB SSD 1Gbps 100 ТВ от $249 в Нидерландах и США! Читайте о том Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5–2650 v4 стоимостью 9000 евро за копейки?

© Habrahabr.ru