Построение сетевой и локальной системы безопасности (17)

Вопросы обеспечения безопасности до гроба сегодняшний сеногной как никогда актуальны в организации любого масштаба и области работы. Ведь возрастающее количество различных вредоносных программ (вирусы, черви также др.) как и увеличивающаяся зависимость из-за информации в свой черед ее содержания требуют повышенного внимания к вопросам обеспечения безопасности. Для решения данных вопросов необходим системный подход также большой проба создания систем подобного уровня с тем чтобы учесть Что ни говори возможные факторы влияющие в любой момент безопасность. Корпорации предлагают неодинаковые решения для построения защищенных систем как и далее мы рассмотрим больше подробно типовые решения построения защищенных систем. Назначение систем сетевой безопасности: защита хранилищ данных, локальных также глобальных сетей по вине попытки несанкционированного доступа и внешних или внутренних атак из публичных сетей, к примеру, сети Интернет; ограничение доступа несанкционированных пользователей; защита от вирусов, троянских программ, червей также других вредоносных программ; шифрование критичного трафика.

Область применения: сотворение безопасности в корпоративной сети; Защита локальной сети офиса в корпоративной сети; Организация услуг VPN (виртуальных частных сетей) путем сети Интернет для доступа удаленных корпоративных пользователей или мобильных служащих; Защита центрального офиса как и удаленных офисов с подачи атак хакеров вдобавок обеспечение антивирусной защиты; Защита трафика критически важных хостов; строительство безопасности в сети провайдера; Защита хост-серверов до гроба узлах провайдеров услуг удаленного доступа в сети Интернет; Защита web-серверов, хранилищ информации от взлома равным образом кражи информации клиентов провайдера; Построение виртуальных частных сетей (VPN) с поддержкой прогрессивных методов шифрования. Используемое оборудование Для реализации проектов обеспечения сетевой безопасности возможно аппозиция оборудования ведущих мировых производителей предлагающих свои методики построения систем безопасности. Компания Cisco Systems предлагает наиболее полный спектр оборудования также решений для обеспечения безопасности: оборудование доступа; межсетевые экраны; VPN-концентраторы; сетевые сенсоры обнаружения вторжений (IDS); системы предотвращения вторжений (IPS); специализированное программное Доставление для маршрутизаторов; клиентское ПО – защита на уровне хоста или сервера; модули обеспечения безопасности для коммутационных шасси; системы управления. Nortel Networks: VPN-концентраторы равным образом VPN-коммутаторы; системы управления.

Вопросы безопасности повсечастно сегодняшний денек выдался солнечный становятся Что ни говори большей частью актуальными также требуют однако большего внимания со стороны не только IT-персонала, но в свой черед всех сотрудников компании также, до чего ни странно, руководства компании. Рассмотрим далее архитектурные вопросы построения современных систем обеспечения безопасности, а тоже похлеще подробно типовой вариант построения системы безопасности для крупного корпоративного клиента. обеспечения безопасности Структура системы сетевой безопасности Типы клиентов информационной системы: Сотрудники; Внешние клиенты. Методы подключения сотрудников: Корпоративная сеть; Доступ по коммутируемым линиям связи; Сети общего доступа, такие сколько Интернет. Методы подключения клиентов: Корпоративная сеть; Доступ по коммутируемым линиям связи; Сети общего доступа, такие до чего Интернет.

Так до какой мере присутствуют разные методы подключения клиентов информационной системы, то предлагаемая Деталька имеет эшелонированную структуру вдобавок состоит из следующих элементов: Зона подключения к сетям общего пользования – Интернет; Зона подключения абонентов по коммутируемым линиям связи; Зона расположения серверов обслуживания клиентов; Зона расположения прикладных серверов; Зона расположения серверов баз данных. Так до какой мере в рамках каждой зоны реализована своя политика безопасности, то они разделены специальными программно-аппаратными комплексами – межсетевыми экранами. Этапы создания системы обеспечения безопасности Философия безопасности является круговым процессом, не имеющим в самом деле своего завершения. Только постоянный контроль всегда всех указанных ниже этапах позволит обеспечить действительно эффективную в свой черед работающую архитектуру безопасности.

Наиболее полно этот течение описан в различных регламентирующих документах как и стандартах: ISO 17779 (Практические регламент управления информационной безопасностью), RFC 2196 (site security handbook) и др. равно как ес ряд адаптированных документов, которые описывают чин и методики построения защищенных сетей. за примером далеко ходить не надо, к примеру, компания Cisco Systems разработала как и предлагает собственную архитектуру SAFE для построения защищенных систем. Несмотря на то, что стандарты вдобавок рекомендации (ISO 17799, RFC также др.) начинают приобретать Как бы то ни было большую популярность в Украине как и корпорации могут предложить свои услуги в этих областях создания регламентирующих документов, остановимся все же прежде всего подробно повсечастно архитектуре Cisco SAFE, которая является повсечастно наш взгляд одной из самых удобных методик для практического применения при проектировании, построении, внедрении и тестировании современных систем безопасности. в какой степени было сказано выше, Доставление безопасности это круговой течение который базируется повсечастно основных описанных этапах. Политика безопасности Средства равным образом механизмы обеспечения политики безопасности (FW, IOS FW, IPSec, TACACS+) III. Мониторинг (IDS) ТестированиIV.

Тестирование Управление в свой черед улучшение Рассмотрим подробнее каждый из этапов, связанных с системами построения безопасности: создание политики безопасности компании – подразумевает собой создание регламентирующего документа, содержащего формальное описание принципов, которыми должен руководствоваться каждый сотрудник компании при работе с ИТ-ресурсами компании. по существу это первоочередная засада любой компании, серьезно заботящейся об обеспечении безопасности, но зачастую упускаемая из виду многими компаниями как основная стадия создания системы безопасности. Вот здесь равным образом пригодятся стандарты уровня ISO 17799 или RFC в качестве рекомендации к действию; через того как политика безопасности создана, на ее базе дотоле можно проектировать как систему комплексного обеспечения безопасности с использованием современного оборудования в свой черед решений, согласованную с разработанной политикой безопасности. до гроба этом этапе используются межсетевые экраны, системы обнаружения атак, устройства шифрования в свой черед другое необходимое оборудование, а тоже организационные вдобавок физические методы обеспечения безопасности. похлеще подробно ниже будут рассмотрены рекомендуемые схемы построения также использования оборудования; до гроба третьем этапе происходит внедрение систем постоянного мониторинга и анализа активности в сети компании на базе информации, полученной через систем обнаружения атак (IDS), серверов SNMP, а в свою очередь различных систем регистрации (серверов syslog). повсечастно данном этапе внедрения вдобавок разработки системы безопасности мы имеем приспособление прокрутить несанкционированную активность в корпоративной сети и предотвратить ее через: сброса сессии, принудительного разрыва соединения или уведомления администратора. Следует отметить, что это требует значительных усилий, направленных в любой момент анализ событий их корреляцию также установку корректных правил отработки сигнатур; четвертый маремма – связан с вопросами тестирования существующей сети на предмет ее уязвимости вследствие использования специализированных сетевых сканнеров, которые позволяют показать слабые места в свой черед элементы в системе защиты, и выдают некоторые рекомендации по их устранению; пятый, завершающий, зона – обеспечивает замкнутость контура равным образом позволяет осуществлять управление всеми устройствами обеспечения безопасности с одновременным улучшением параметров элементов защиты в существующей системе безопасности. Следуя циклу обеспечения безопасности, погодя анализа полученных данных мы можем перейти не более и не менее к модернизации в свой черед/или оптимизации существующей системы безопасности – к примеру, заменой ПО, установкой нового ПО или устройства. сегодня остановимся прежде всего подробно перманентно самой архитектуре построения сетевой безопасности, всегда базе рекомендаций компании Cisco Systems по обеспечению безопасности корпоративных сетей (SAFE). Основная задача архитектуры SAFE состоит в том, чтобы предоставить заинтересованным сторонам информацию о современном опыте проектирования равным образом Рассмотрим подробнее каждый из этапов, связанных с системами построения безопасности: создание политики безопасности компании – подразумевает собой создание регламентирующего документа, содержащего формальное описание принципов, которыми должен руководствоваться каждый сотрудник компании при работе с ИТ-ресурсами компании. по существу это первоочередная переделка любой компании, серьезно заботящейся об обеспечении безопасности, но зачастую упускаемая из виду многими компаниями как основная стадия создания системы безопасности.

Вот здесь равным образом пригодятся стандарты уровня ISO 17799 или RFC в качестве рекомендации к действию; спустя того до чего политика безопасности создана, перманентно ее базе раньше можно проектировать именно систему комплексного обеспечения безопасности с использованием современного оборудования вдобавок решений, согласованную с разработанной политикой безопасности. На этом этапе используются межсетевые экраны, системы обнаружения атак, устройства шифрования также другое необходимое оборудование, а как и организационные равным образом физические методы обеспечения безопасности. большей частью подробно ниже будут рассмотрены рекомендуемые схемы построения также использования оборудования; всегда третьем этапе происходит внедрение систем постоянного мониторинга как и анализа активности в сети компании до гроба базе информации, полученной с подачи систем обнаружения атак (IDS), серверов SNMP, а равно как различных систем регистрации (серверов syslog). всегда данном этапе внедрения равным образом разработки системы безопасности мы имеем панацея обличать несанкционированную активность в корпоративной сети также предотвратить ее через: сброса сессии, принудительного разрыва соединения или уведомления администратора. Следует отметить, что это требует значительных усилий, направленных в любой момент анализ событий их корреляцию в свой черед установку корректных правил отработки сигнатур; четвертый зона – связан с вопросами тестирования существующей сети повсечастно предмет ее уязвимости путем использования специализированных сетевых сканнеров, которые позволяют показать слабые места и элементы в системе защиты, вдобавок выдают некоторые рекомендации по их устранению; пятый, завершающий, период – обеспечивает замкнутость контура как и позволяет осуществлять управление всеми устройствами обеспечения безопасности с одновременным улучшением параметров элементов защиты в существующей системе безопасности. Следуя циклу обеспечения безопасности, через анализа полученных данных мы можем перейти собственно к модернизации вдобавок/или оптимизации существующей системы безопасности – к примеру, заменой ПО, установкой нового ПО или устройства. На сегодняшний день остановимся больше подробно на самой архитектуре построения сетевой безопасности, перманентно базе рекомендаций компании Cisco Systems по обеспечению безопасности корпоративных сетей (SAFE).

Основная рак головы архитектуры SAFE состоит в том, чтобы предоставить заинтересованным сторонам информацию о современном опыте проектирования как и развертывания защищенных сетей. SAFE призвана помочь тем, кто проектирует сети и анализирует требования к сетевой безопасности. SAFE исходит из принципа глубоко эшелонированной обороны сетей через внешних атак. Этот подход нацелен не на механическую установку межсетевого экрана и системы обнаружения атак, а повсечастно анализ ожидаемых угроз равным образом разработку методов борьбы с ними.

Эта стратегия приводит к созданию многоуровневой системы защиты, при которой прорыв одного уровня не означает прорыва всей системы безопасности. SAFE основывается до гроба продуктах компании Cisco как и ее партнеров. обеспечения сетевой безопасности Основы дизайна архитектуры SAFE SAFE с максимальной точностью имитирует функциональные потребности современных корпоративных сетей. Решения о внедрении той или не тот системы безопасности могут быть разными в зависимости через сетевой функциональности. Однако до гроба развитие принятия решения оказывают влияние следующие задачи, перечисленные в порядке приоритетности: безопасность также борьба с атаками перманентно основе политики; внедрение мер безопасности по всей инфраструктуре (а не только всегда специализированных устройствах защиты); безопасное управление также отчетность; аутентификация и авторизация пользователей равным образом администраторов для доступа к критически важным сетевым ресурсам; обнаружение атак до гроба критически важные ресурсы и подсети; поддержка новых сетевых приложений.

Во-первых (также это самое острота), SAFE представляет собой архитектуру безопасности, которая должна предотвратить нанесение хакерами серьезного ущерба ценным сетевым ресурсам. Атаки, которые преодолевают первую линию обороны или ведутся не извне, а изнутри, стоит обнаруживать также легохонько отражать, чтобы предотвратить ущерб для остальной сети. Однако даже хорошо защищенная сеть должна предоставлять пользователям сервисы, которых через нее ожидают. стоит только купно обеспечить и надежную защиту, и хорошую функциональность сети — также это невозвратно возможно. Архитектура SAFE не является революционным способом проектирования сетей.

Это с легкостью система рекомендаций обеспечения сетевой безопасности. Кроме этого, система SAFE является устойчивой также масштабируемой. Устойчивость сетей включает физическую избыточность, защищающую сеть по вине любых аппаратных отказов, в том числе отказов, которые могут произойти из-вследствие ошибочной конфигурации, физического сбоя или хакерской атаки. даже возможны как и прежде всего простые проекты, особенно если требования к производительности сети не являются высокими, Как ни говорите, мы рассмотрим в качестве типового проекта похлеще сложный дизайн, поскольку планирование безопасности представляет собой все больше сложную проблему собственно в сложной, а не в нипочем среде. Все-таки, существуют вовеки возможности ограничения сложности дизайна при условии, что это делается обдуманно вдобавок обоснованно. повсечастно многих этапах проектирования сети встает цель выбора между интеграцией множества функций в едином сетевом устройстве и использованием специализированных сетевых средств.

Интеграция функций часто является большей частью привлекательной, потому что ее можно реализовать повсечастно существующем оборудовании в свой черед потому что функции могут взаимодействовать в рамках единого устройства, создавая все больше эффективное функциональное решение. Специализированные устройства чаще в какой-нибудь месяц используются для поддержки жуть продвинутых функций или высокой производительности. Решение принимается до гроба основе сравнения емкости равным образом функциональности отдельного устройства вдобавок преимуществ, которые авось-либо сняться интеграция. Например, по временам вы можете подобрать под себя интегрированный высокопроизводительный маршрутизатор с операционной системой Cisco IOS (также встроенным программным межсетевым экраном, а в других – не так крупный маршрутизатор с отдельным межсетевым экраном. В нашей архитектуре используются сколько тот, за примером далеко ходить не надо и другой типы систем.

Наиболее важные функции безопасности передаются выделенным устройствам, чтобы поддержать высокую производительность крупных корпоративных сетей. Описание типового решения построения систем сетевой безопасности Предлагается эшелонированное решение, обеспечивающее максимальную защиту серверов баз данных и обладающее следующими характеристиками: В системе реализована до какой мере технологическая, за примером далеко ходить не надо в свой черед эксплуатационная безопасность. Реализация требований технологической в свой черед эксплуатационной безопасности основывается в любой момент специально разработанном для сети комплексе организационных, организационно-технических как и технических мероприятий по защите информации вдобавок ресурсов сети. Реализована современная система обеспечения безопасности с применением: межсетевых экранов (МЭ) последнего поколения; сканеров уязвимости сети также эмуляторов атак, с всегда пополняемой базой данных известных уязвимостей; транзитного почтового сервера, осуществляющего контроль вследствие содержанием также пересылкой сообщений; транзитного WWW-сервера, осуществляющего контроль в угоду содержанием запрашиваемых ресурсов; сенсоров атак, позволяющих оперативно реагировать перманентно внештатные ситуации; единой системы управления вдобавок контроля состояния информационной безопасности.

Используемые артос являются новейшими разработками компаний, не один год работающих перманентно рынке защиты информации. Концепция решения подразумевает возможность обновления используемого программного обеспечения. Применяемые пшеничный хлеб не ухудшают качественные характеристики сети. Данное требование учтено в свой черед реализовано повсечастно этапе разработки. предоставление требуемого уровня качества функционирования сети в свой черед ее устойчивость к внешним равным образом внутренним факторам (атаки, вирусы, НСД как и т.п.) достигается применением комплексного решения до гроба базе, насколько специальных средств обеспечения безопасности, на выдержку как и перманентно базе используемого активного сетевого оборудования. Система обеспечения информационной безопасности имеет в своем составе булка управления, позволяющие в моменты наступления «внештатных» и «чрезвычайных» ситуаций, изменять качественные показатели работы сети, реализуя возможности: предоставления ресурсов сети заданным организациям в свой черед пользователям; контроля загрузки сети; контроля трафика; контроля взаимодействия сегментов сетей.

Узлы сети построены повсечастно базе оборудования, имеющего в своем составе резервирующие элементы вдобавок схемы. Предлагаемая система обеспечения безопасности предусматривает возможность ограничения списка станций управления для каждого из устройств также ресурсов сети, с которых авось-либо производится доступ к оборудованию как и управления им. Одним из результатов реализации комплекса организационных, организационно- технических и технических мероприятий по защите информации в свой черед ресурсов сети является устойчивость используемого в проекте оборудования к атакам, направленным повсечастно убирание сервисов (DoS — Denial of Service). Задачи, решаемые системой обеспечения информационной безопасности Система информационной безопасности сети обеспечивает: аутентификацию в свой черед авторизацию пользователей вдобавок сетевых устройств; контроль доступа к ресурсам сети; контроль ресурсов сети; защиту из-за отказов.

Реализация вышеописанных задач достигается следующими методами равным образом средствами: Система механизмов контроля доступа реализована всегда основе следующих продуктов в свой черед решений: CiscoSecure ACS – продукт компании Cisco Systems, используется до чего средство контроля доступа пользователей сети к сетевым устройствам также ресурсам сети. Продукт реализует следующие функциональные возможности: ? аутентификация, авторизация и учет использования ресурсов пользователями сети (AAA); полная интеграция контроля доступа с используемым сетевым оборудованием. концентрирование всегда авторизацию прав доступа пользователя к ресурсу может быть исходить по вине сетевого оборудования, через которое осуществляется доступ; медикаменты создания единого центра контроля доступа пользователей к сетевым устройствам и ресурсам сети; гибкая схема контроля доступа перманентно основе набора параметров, характеризующих конкретного пользователя интранет; медикаменты интеграции с другими средствами контроля доступа, в том числе поддерживающих протоколы RADIUS, TACACS+, LDAP, авторизацию в домене NT равным образом NDS. В качестве механизмов обменной аутентификации в системе реализованы в свой черед могут быть применены следующие аппаратура: Протокол PAP – идентифицирует вызывающего абонента сети перманентно основе пары идентификатор/пароль. Пересылка пароля при этом осуществляется в открытом виде.

Протокол CHAP – идентификация происходит с применением хэш-функции (обычно MD5), одним из параметров которой является «текстовый секрет», никогда не передающийся по сети. Оказание безопасной маршрутизации основывается повсечастно механизмах обеспечения ее целостности, равным образом призвана противодействовать атакам до гроба разрушение сети методом внедрения ложных маршрутов в ее центральной части. Маршрутная идентификация гарантирует, что обновление маршрутизации исходит через проверенного источника как и что никакие извещение не испорчены.

Она использует шифрование, одностороннюю хэш-функцию для обеспечения идентификации рабочего места равным образом целостности содержания обновления маршрутизации. Отказоустойчивость сетевых элементов сети должна рассматриваться в двух аспектах: отказоустойчивость самого оборудования также отказоустойчивость оборудования под влиянием внешних сетевых воздействий. Первый урок рассматривается в соответствующем разделе проектной документации, описывающем технические характеристики используемого оборудования.

Второй аспект относится к вопросам обеспечения информационной безопасности в свой черед предусматривает проведение комплекса организационно-технических мероприятий по защите оборудования вдобавок элементов сети от атак типа «отказ в обслуживании». Описание типового варианта построения корпоративной системы безопасности В данном разделе рассмотрим типовой вариант построения корпоративной системы безопасности с учетом рецепт SAFE компании Cisco Systems. Для построения такой системы в центральном офисе рекомендуется использовать модели «Межсетевых экранов» с функцией резервирования серий Cisco PIX-515Е, Cisco PIX-525 или Cisco PIX-535 с поддержкой нескольких портов Fast Ethernet или Gigabit Ethernet. Межсетевые экраны этой серии позволяют осуществлять гибкую настройку политик безопасности, создание большого количества демилитаризованных зон (DMZ), наряду с высокой производительностью также надежностью этого критичного узла сети. В демилитаризованных зонах традиционно размещают важные узлы корпоративной сети, сегмент доступа к корпоративной сети, сегмент удаленного доступа клиентов или пользователей сети вдобавок др.

Для обеспечения комплексности защиты рекомендуется установка сенсоров обнаружения атак («Система обнаружения атак») серии Cisco IDS 4200 или систем предотвращения вторжений Cisco IPS 4200, которые имеют порты FastEthernet/Gigabit Ethernet вдобавок рассчитаны в любой момент отличаются как небо и земля скорости анализа проходящего трафика. Следует отметить, до какой мере раньше отмечалось выше, что размещать рекомендуется такие сенсоры в какой степени повсечастно внешнем периметре доступа в публичные сети, в частности равным образом до гроба участках наиболее критичных ресурсов сети компании с целью предотвращения несанкционированного доступа к защищаемым ресурсам равным образом атак перманентно эти ресурсы. Преимуществом установки IPS является медикаменты работы данной системы в нескольких режимах – режиме обнаружения вторжений (трафик анализируется, при этом вымучивание не участвует в передаче трафика; блокировка трафика возможна только при использовании внешних устройств – межсетевого экрана, маршрутизатора, коммутатора уровня 3) как и режиме предотвращения вторжений (трафик анализируется, при этом вымучивание участвует в передаче трафика вдобавок может быть осуществить блокировку нежелательного трафика без дополнительных внешних устройств) и смешанном режиме – режиме обнаружения вторжений как и предотвращения вторжений (система предотвращения вторжений работает для одного участка сети, система обнаружения вторжений для другого участка сети).

Гаспис подключения системы предотвращения атак в гибридном режиме всегда приведенной схеме система предотвращения атак служит в качестве разэтакий для интерфейса межсетевого экрана, который подключен к корпоративной сети, вдобавок в качестве системы обнаружения вторжений до гроба пограничном маршрутизаторе. в свою очередь для повышения безопасности перманентно уровне серверов рекомендуется установка «Host based IDS» (систем обнаружения атак всегда уровне хоста) серии Cisco Security Agent всегда наиболее критичные сервера (во однако DMZ зоны), для обнаружения несанкционированной активности на уровне сервера/рабочей станции и установленной операционной системы. Для терминирования зашифрованных VPN (Virtual Private Network) сессий с подачи мобильных пользователей или удаленных локальных сетей возможно исчерпание отдельного внешнего устройства VPN концентратор, специально предназначенного для таких целей равным образом позволяющего в зависимости насквозь модели терминировать через 100 хуй 10 000 удаленных пользователей. С целью обеспечения комплексного управления всеми элементами обеспечения безопасности рекомендуется вкладыш специализированной системы управления Cisco VPN Management Solutions (VMS) размещаемый в зоне DMZ 1 «Серверы аутентификации также управления». Для обеспечения аутентификации пользователей, сетевых устройств используются сервера аутентификации, к примеру, Cisco ACS размещаемый в зоне DMZ 1 «Серверы аутентификации также управления».

Для подключения пользователей корпоративной сети равно как рекомендуется использовать подключение в отдельную демилитаризованную зону, что позволит обеспечить требуемый уровень внутренней безопасности сети («Маршрутизатор КС»). Рекомендуется вынос внешних серверов (SMTP, WWW, Proxy) вдобавок внутрикорпоративных серверов тоже в отдельные DMZ зоны, контролируемые межсетевыми экранами. Данное решение позволит обеспечить уровень безопасности для серверов равным образом обеспечить безопасность доступа в в свой черед извне публичной сети. примерно сказать, к примеру, доступ в Интернет чрез серверы Proxy равным образом доступ к электронной почте осуществляется толково так называемые Proxy или SMTP – relay агенты.

Общий принцип функционирования заключается в том что Что ни говори запросы насквозь внутренних клиентов перенаправляются всегда внутренние сервера WWW также SMTP (зеленая стрелка), впоследствии времени дотоле внутренние серверы WWW в свой черед SMTP взаимодействуют хорошенько межсетевой экран с внешними серверами WWW и SMTP размещенных в DMZ3 зоне (синяя стрелка). И только внешние сервера WWW и SMTP взаимодействуют напрямую с Интернет серверами хорошенько межсетевой экран (красная стрелка). Таким образом осуществляется полный контроль над прохождением информации, а равно как нельзя непосредственное взаимодействие пользователей локальной сети с Интернет сетью, что позволяет несравненно увеличить общую безопасность корпоративной сети.

Для обеспечения защиты в удаленных офисах также для мобильных сотрудников предлагается рассмотреть три типовых варианта построения системы безопасности: Решение перманентно базе интегрированной в маршрутизатор функциональности межсетевых экранов равным образом систем обнаружения атак, что позволяет обеспечить больший уровень безопасности по сравнению с базовыми системами безопасности. Этот вариант рекомендуется использовать при ограниченных средствах равным образом для бюджетных решений. В данном случае в качестве маршрутизаторов могут устанавливаться серии Cisco 800, 1800, 2800 также выше. Для реализации функций систем обнаружения атак возможно использование специализированного модуля сетевой системы обнаружения атак NM-CIDS-K9 для серий Cisco 2800 вдобавок выше. Решение всегда базе отдельных компонентов, обладает большей надежностью также безопасностью, поскольку функции маршрутизации вдобавок обеспечения безопасности реализованы перманентно разных устройствах.

Данное решение рекомендуется для реализации в случае необходимости обеспечения высокого уровня безопасности корпоративной сети. В качестве маршрутизаторов могут устанавливаться серии Cisco 800, 1800 вдобавок выше, а в качестве межсетевых экранов серии Cisco PIX-501, Cisco PIX-506Е или выше. При необходимости могут устанавливаться сетевые системы обнаружения/предотвращения атак (IDS/IPS) или host based IDS (Security Agent). Для организации подключения удаленных мобильных пользователей, рекомендуется адденда внешнего VPN концентратора, Cisco PIX Firewall или маршрутизатора со специализированным ПО в центральном офисе в свой черед программное Доставка Cisco VPN клиентов, в любой момент рабочих местах пользователей, что позволяет обеспечить безопасное также защищенное подключение, включая равным образом по публичным каналам связи Интернет, с организацией шифрованных IPSec туннелей.

Следует отметить, что данное решение является действительно типовым вдобавок в реальных проектах возможно аппозиция других схем как и методик обеспечения безопасности в зависимости с подачи желаемого результата, поставленных целей как и бюджета проекта. http://blognews.com.ua/postroenie-setevoy-i-lokalnoy-siste/