数据中心集成安全解决方案
1.系统功能简介
▪数据中心负责存储、计算和转发企业最重要的数据信息，这些信息的安全可靠成为了企业发展和生存的前提条件。

思科数据中心安全保护套件提供数据中心信息的安全防护。

▪考虑到Cisco Catalyst 6500系列交换机已经广泛部署在企业数据中心，安全套件主要由内嵌防火墙模块（FWSM）和内嵌入侵检测系统模块（IDSM）两个组件构成。

▪FWSM使用一个实时的、牢固的嵌入式系统，可以消除安全漏洞，防止各种可能导致性能降低的损耗。

这个系统的核心是一种基于自适应安全算法（ASA）的保护机制，它可以提供面向连接的全状态防火墙功能。

利用FWSM可以根据源地址和目的地地址，随机的TCP序列号，端口号，以及其他TCP标志，为一个会话流创建一个连接表条目。

FWSM可以通过对这些连接表条目实施安全策略，控制所有输入和输出的流量。

IDSM对进入网络的流量进行旁路的深层数据包检测，判断和分析数据包是否能够安全的在数据中心进行发送、接收，防止业务资产受到威胁，提高入侵防范的效率。

▪思科数据中心安全保护套件示意图如下：
2.系统先进特性
▪灵活的扩展性：集成模块 FWSM安装在Cisco Catalyst 6500系列交换机的内部，让交换机的任何物理端口都可以成为防火墙端口，并且在网络基础设施中集成了状态防火墙安全。

对于那些机架空间非常有限的系统来说，这种功能非常重要。

系统可以通过虚拟防火墙功能将一台物理的防火墙模块划分为最多250台虚拟的防火墙系统，以满足用户业务的不断扩展。

IDSM可以通过VLAN访问控制列表（VACL）获取功能来提供对数据流的访问权限，并根据自己的需要，同时安装多个模块，为更多的VLAN和流量提供保护。

当设备需要维护时，热插拔模块也不会导致网络性能降低或者系统中断。

▪强大的安全防护功能：该系统不仅可以保护企业网络免受未经授权的外部接入的攻击，还可以防止未经授权的用户接入企业网络的子网、工作组和LAN。

强大的入侵检测能力还可以提供高速的分组检查功能，让用户可以为各种类型的网络和流量提供更多的保护。

多种用于获取和响应的技术，包括SPAN/RSPAN和VACL获取功能，以及屏蔽和TCP重置功能，从而让用户可以监控不同的网段和流量，同时让产品可以采取及时的措施，以消除威胁。

▪便于管理：设备管理器的直观的图形化用户界面（GUI）可以方便的管理和配置FWSM。

系统更加善于检测和响应威胁，同时能够就潜在的攻击向管理人员发出警报，便于管理人员及时对安全事件进行响应。

3.系统配置说明（硬件软件需要与产品列表）
▪FWSM+IDSM（详细报价请参考Excel文件）
▪系统配置说明：
Catalyst 6500 IDSM-2入侵检测模块需购买签名（IPS SIGNATURE）升级服务。

4.系统应用领域
▪思科安全套件系统可以满足以下技术需求：
-希望通过现有的Catalyst 6500交换机设备部署综合安全防护系统的数据中心
-将来通过虚拟化技术实现系统扩展，合理分配数据中心的安全防护设备资源的数据中心。

-要求最大化利用机架空间的数据中心。

-实现易于管理和维护的数据中心安全系统。

▪思科安全套件系统可以部署到在以下行业应用系统中：
-金融业：核心业务数据中心，管理系统数据中心。

-制造业：生产管理与财务系统。

-教育行业：教学管理系统，学科数据中心，财务系统。

-医疗行业：HIS系统，财务系统。