思科中小企业网络安全解决方案思科中小企业网络安全解决方案供应商：思科系统网络技术有限公司发布时间：2006-05-11 10:39:58“为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄漏”。

----国际标准化组织（ISO）从“信息化高速公路”到“数字地球”，信息化浪潮席卷全球。

Internet的迅猛发展不仅带动了信息产业和国民经济地快速增长，也为企业的发展带来了勃勃生机。

以Internet 为代表的信息技术的发展不仅直接牵动了企业科技的创新和生产力的提高，也逐渐成为提高企业竞争力的重要力量。

企业通过Internet 可以把遍布世界各地的资源互联互享，但因为其开放性，在Internet 上传输的信息在安全性上不可避免地会面临很多危险。

当越来越多的企业把自己的商务活动放到网络上后，针对网络系统的各种非法入侵、病毒等活动也随之增多。

而我们面临的这些信息安全问题的解决，主要还是依赖于现代信息理论与技术手段；依赖于安全体系结构和网络安全通信协议等技术；依赖借助于此产生的各种硬件的或软件的安全产品。

这样，这些安全产品就成为大家解决安全问题的现实选择。

中国网络安全需求分析网络现状分析中国国内企业和政府机构都希望能具有竞争力并提高生产效率，这就必须对市场需求作出及时有力的响应，从而引发了依赖互联网来获取、共享信息的趋势，这样才能进一步提高生产效率进而推动未来增长。

然而，有网络的地方就有安全的问题。

过去的网络大多是封闭式的，因而比较容易确保其安全性，简单的安全性设备就足以承担其任务。

然而，当今的网络已经发生了变化，确保网络的安全性和可用性已经成为更加复杂而且必需的任务。

用户每一次连接到网络上，原有的安全状况就会发生变化。

所以，很多企业频繁地成为网络犯罪的牺牲品。

因为当今网络业务的复杂性，依靠早期的简单安全设备已经对这些安全问题无能为力了。

主要网络安全问题及其危害---- 网络网络攻击在迅速地增多。

网络攻击通常利用网络某些内在特点，进行非授权的访问、窃取密码、拒绝服务等等。

考虑到业务的损失和生产效率的下降，以及排除故障和修复损坏设备所导致的额外开支等方面，对网络安全的破坏可能是毁灭性的。

此外，严重的网络安全问题还可能导致企业的公众形象的破坏、法律上的责任乃至客户信心的丧失，并进而造成的成本损失将是无法估量的。

---- 病毒邮件攻击的影响日益激烈病毒、蠕虫和毫无必要的大量电子邮件利用互联网通信资源来传播，引发网络环境中的传输中断。

根据调查，87％以上的病毒通过电子邮件进入企业！保密数据和交易秘密的丢失、员工对电子邮件系统的不当使用已使许多公司不得不承担法律责任，并损害了许多公司的声誉。

今天，越来越多的公司都在寻求一种主动解决方案来减少信息服务的中断时间并避免病毒侵入期间造成业务损失。

---- 对网络资源的不合理使用开放式接入还可以无限制地访问大量恶意、有攻击性的及有争议的内容，以及与工作无关的材料。

据IDC统计，有30%~40%的Internet访问是与工作无关的，甚至有的是去访问色情站点。

人均每天使用两到三个小时工作时间用于收发个人邮件,浏览娱乐网站以及在聊天室打发时间。

因此，许多机构必须确定如何在允许员工无阻碍地访问互联网上大量有用信息的同时限制对不当内容的访问。

中国中小型企业客户分析中国国内目前的中小型单位因为人力和资金上的局限，需要的网络安全产品不仅仅是简单的安装，更重要的是要有针对复杂网络应用的一体化解决方案，如：网络安全、病毒检测、网站过滤等等。

其着眼点在于：国内外领先的厂商产品；具备处理突发事件的能力；能够实时监控并易于管理；提供安全策略配置定制；是用户能够很容易地完善自身安全体系。

思科安全设计蓝图（SAFE）SAFE是思科公司安全解决方案的蓝图，该设计蓝图主要针对企业网络的功能，可为客户安全网络的设计、实施和维护提供端到端的安全性战略。

该蓝图能够模块化地设计、部署网络安全解决方案，并结合思科合作伙伴产品，为用户提供一体化的全面解决方案。

这样，就可以将市场领先的安全产品、成熟可靠的安全策略和单一平台的管理与客户现有网络基础设施结合起来，提供全面的网络保护：提供高效的投资保护，而不必丢弃现有网络设备模块化部署，可逐步实现深度分层防御与合作伙伴良好的互操作性24x7 全球技术支持安全性市场的领导者易于管理思科中小企业网络安全解决方案针对中国中小企业客户的实际情况，结合思科先进的SAFE蓝图设计理念，思科公司专门推出了“网络健康应用健康精神健康”中小型企业网络安全解决方案：精简版：Cisco Secure PIX 501下面是针对SOHO型网络的一种安全解决方案，该方案适用于10人以下的网络应用，通过Cisco Secure PIX 501防火墙实现内外网络的安全隔离。

用户特点：网络用户数较少，通常在10人以下用户有联网的需求，但网络中数据吞吐流量不大由于资金所限，通常采用ISDN或ADSL宽带上网，以降低链路费用需要采用性价比较高的防火墙产品保障内部网络的安全方案示意图：方案特点：该方案可以为SOHO型网络提供企业级的网络安全性在一台设备内提供丰富的安全服务，包括状态防火墙、入侵检测等可以实现NAT和DHCP功能，保障内部合法用户的联网需求支持PPPOE，满足小型用户通过宽带按需上网的要求内置图形化Web管理界面，简单并易于管理可平滑升级，具有良好的扩展性Cisco Secure PIX 501是一种可靠的、即插即用的专用安全防火墙工具，提供了无与伦比的高水平网络安全性。

作为专用的工具，这些防火墙不提供WAN 接口，也不支持除RIP 之外的任何路由协议。

该产品安装在一个WAN路由器和内部网络之间，提供了基于自适应安全算法（ASA）的高级状态访问控制。

能够根据分组起始点和目的地址、TCP序列号、端口号和其它TCP分组标志跟踪单个连接。

分组只有在与来自网络内部的某个有效会话相关联时才会被允许通过防火墙。

这使得机构的内部和授权外部用户能够进行透明访问，同时保护内部网络免受未授权访问。

PIX防火墙的另一个安全特性是非UNIX嵌入的操作系统。

这种专有的控制软件消除了通用操作系统的缺陷，提供了惊人的性能。

标准版：Cisco Secure PIX 501+TrendMicro25用户+Websense25用户下面是针对小型企业网络的一种安全解决方案，该方案适用于10-25个用户的网络应用，通过Cisco Secure PIX 501防火墙实现内外网络的安全隔离，并采用集成的思科合作伙伴产品实现网络病毒检测和网站过滤的功能。

用户特点：有一定数量的网络用户，通常在10&25个用户左右用户有联网的需求，且有一定的网络数据吞吐流量通常采用ADSL宽带或较低速率专线上网，以降低链路费用为保障网络安全，降低维护费用，除需要布置防火墙产品以外，还有防护网络病毒、限制对互联网带宽的不合理使用等需求在保障上述需求的前提下，尽量节约采购的费用方案示意图：方案特点：该方案可以为小型网络提供企业级的一体化网络安全通过一个紧凑的、整合的解决方案提供强大的安全功能可以实现NAT和DHCP功能，保障内部合法用户的联网需求内置图形化Web管理界面，简单并易于管理可以和合作伙伴的产品无缝地结合起来，完成深层次的网络安全性管理，如：防止网络病毒的入侵，阻止员工访问非授权的网站等功能Cisco Secure PIX 501是一种可靠的、即插即用的专用安全防火墙工具，提供了无与伦比的高水平网络安全性。

作为专用的工具，这些防火墙不提供WAN 接口，也不支持除RIP 之外的任何路由协议。

该产品安装在一个WAN路由器和内部网络之间，提供了基于自适应安全算法（ASA）的高级状态访问控制。

能够根据分组起始点和目的地址、TCP序列号、端口号和其它TCP分组标志跟踪单个连接。

分组只有在与来自网络内部的某个有效会话相关联时才会被允许通过防火墙。

这使得机构的内部和授权外部用户能够进行透明访问，同时保护内部网络免受未授权访问。

PIX防火墙的另一个安全特性是非UNIX嵌入的操作系统。

这种专有的控制软件消除了通用操作系统的缺陷，提供了惊人的性能。

豪华版：Cisco Secure PIX506E+TrendMicro50用户+Websense50用户下面是针对中型企业网络的一种安全解决方案，该方案适用于25--50个用户左右的网络应用，通过Cisco Secure PIX 506E防火墙实现内外网络的安全隔离，并采用集成的思科合作伙伴产品实现网络病毒检测和网站过滤的功能。

用户特点：有一定数量的网络用户，通常在25&50个用户左右用户有联网的需求，且有较大的网络数据吞吐流量通常采用较高速率的专线连接Internet有清晰的网络分层体系结构为保障网络安全，除需要布署防火墙产品以外，还有防护网络病毒、限制对互联网带宽的不合理使用等需求对防火墙产品性能有较高要求方案示意图：方案特点：该方案可以为中型网络提供企业级的一体化网络安全通过一个经济有效的、高性能的解决方案提供丰富的安全功能和强大的管理功能可以实现NAT和DHCP功能，保障内部合法用户的联网需求内置图形化Web管理界面，简单并易于管理可以和合作伙伴的产品无缝地结合起来，完成深层次的网络安全性管理，如：防止网络病毒的入侵，阻止员工访问非授权的网站等功能Cisco Secure PIX 506E是一种可靠的、即插即用的专用安全防火墙工具，提供了无与伦比的高水平网络安全性。

作为专用的工具，这些防火墙不提供WAN接口，也不支持除RIP之外的任何路由协议。

该产品安装在一个WAN路由器和内部网络之间，提供了基于自适应安全算法（ASA）的高级状态访问控制。

能够根据分组起始点和目的地址、TCP序列号、端口号和其它TCP分组标志跟踪单个连接。

分组只有在与来自网络内部的某个有效会话相关联时才会被允许通过防火墙。

这使得机构的内部和授权外部用户能够进行透明访问，同时保护内部网络免受未授权访问。

PIX防火墙的另一个安全特性是非UNIX嵌入的操作系统。

这种专有的控制软件消除了通用操作系统的缺陷，提供了惊人的性能。

上述三个解决方案是思科公司针对目前最常见的网络安全、病毒检测、网站过滤等安全问题提出的一体化的有效解决方案，通过和合作伙伴的紧密结合，为客户提供一套模块化的捆绑产品，切实解决现有中小型企业用户的实际需求。

思科Cisco Secure PIX500系列防火墙是网络基础设施内部的实施强化用户安全性策略并限制对网络资源访问的专用硬件产品。

其功能是检查数据包和会话过程，针对各种不同应用、地址或用户类型而设定的具体参数来分析和控制进入或离开的数据包。