|
|
Знаете ли Вы, что ... | |
...для каждой темы существует свой раздел. Изучите структуру форума. Если соответствующего раздела нет, то всегда есть раздел "Разное" :) | |
<< Предыдущий совет - Случайный совет - Следующий совет >> |
Cisco Systems - мировой лидер в области сетевых технологий |
Ответить |
|
Опции темы | Опции просмотра |
13.10.2011 12:26 | #11 | |
Cisco
|
Цитата:
IPS отдельно для ASA-5585-X не существует, есть управляющий модуль: Secure Services Processor в различных вариантах: SSP-10, SSP-20, SSP-40, SSP-60. (http://www.cisco.com/en/US/partner/p...d802930c5.html) "ASA 5585-X with SSP-60" в модульном исполнении называется ASA-SM.
__________________
M™ Последний раз редактировалось Timur Muminov; 13.10.2011 в 12:30. |
|
|
Ответить |
14.10.2011 09:47 | #16 | ||||
Cisco
|
Цитата:
Цитата:
IPS = Intrusion Prevention Systems, как видно из названия, система предотвращения вторжений, должна эти вторжения предотвращать. если вторжение произошло, то ловить что-то в на серверной ферме, где (по идее) большие объёмы и скорости передаваемой информации - практически бессмысленно. Тут как я писал выше, уже надо изолировать повреждённую зону, чтоб оттуда не исходила угроза с уровнем выше чем из-вне. Надо полагать, что на устройствах безопасности мы располагаем зоны безопасности следующим образом: 0 уровень - зона Интернет, уровень 50 это зона локальной сети, уровень 70 и выше зоны датацентра, серверные фермы. И если у нас есть вторжение в зону 70... то это угроза всей сети, т.к. генерировать оттуда трафик в другие зоны должна допускать уровневая система безопасности. в ответ на это мы внедряем Context-based security. Но вновь, ловить там аномалии это бессмысленная загрузка железа уймой траффика. Далее коммутаторы ядра серверных ферм, или ЦОДа, тут система безопасности зоновая, распределение нагрузки и Application Control Engine. И вновь, мы не поднимаем вопросы IPS, т.к. объёмы и скорости велики, и по умолчанию уровень доступа и безопасности должны подразумевать отсутствие угроз внутри фермы и ЦОДа, если есть аномалии работы приложений, это обнаружит ACE, и заблокирует зону/ферму, мы не успеем изолировать трафик на скоростях в десятки гигабит моментально, а контролировать каждый сервер экономически невыгодно, т.к. сенсоры для таких скоростей далеко не дёшевы. Далее коммутаторы ядра сети и сегменты доступа, и иметь систему в этих сегментах самое-то. Для ядра рекомендуется ставить сенсоры, они производительнее, и в случае выхода из строя не повлекут переконфигурирование коммутаторов, что чувствительно для всей сети. В сегментах доступа как отдельно стоящие так и встраиваемые системы IPS.
__________________
M™ |
||||
|
Ответить |
14.10.2011 10:29 | #17 | ||
вольный каменщик
Сообщений: 2,314
+ 1,920
1,874/796
– 3
186/134
|
хе, у самой cisco немного другой подход к дизайну, вернее совсем другой ))
в дизайн гайде рекомендуется размещать ips сенсоры в сегментах сети, никак не в ядре Цитата:
все документы, которые вы привели косвенно говорят о том, что нет. Цитата:
|
||
|
Ответить |
14.10.2011 14:34 | #18 | ||
Cisco
|
Дорогой Алишер.
Я рад, что мы (как мне видится) пришли к консесусу, что сенсоры нужны в сегментах доступа, и даже не в ядре сети. Писав свой ответ ранее, и указывая на то что в ядре возможна установка отдельно-стоящего (пропустил в предидущем посте) сенсора я отвечал на Ваше желание иметь IPS как можно ближе к серверам. относиетльно дизайн-гида на который Вы сослались, справедливо отметить что он предназначен для понимания дизайна, сути IPS и его возможных точек установки и не призван решить конкретных задач которые должен ставить заказчик. Как видно из документа, ставить IPS допустимо во всех точках сети. Одно но, документ не основывается на решении задачи, а лишь как гид, подводит Вас к пониманию работы различных устройств и механизмов IT инфраструктуры. И Вы как Архитектор сети читающий этот документ должны решить где и как устанавливать те или иные компоненты. Конечно, я только "ЗА" устанавливать высокоскоростные IPS во всех точках сети во всех сегментах и обязательно в отказоустойчовых конфигурациях, и все организации будут рад видеть такой дизайн и все-охватывающую безопасность, но не во всех организациях финансовые директора одобрят такого рода затраты. Я со своей стороны подхожу к реализации конктретной сети и задачи исходя из пожеланий и возможностей заказчика. И мне не будет приятно предлагать организации тратить на безопасность средства превышающие оборот компании на годы вперёд, это экономически невыгодно. Отсюда и вопросы про "заказчика" и детали построения сети. Это моя ошибка, что я ринулся предлагать Вам дизайн решения по безопасности не владея полностью знаниями о Вашей задаче. Коли Вы желаете иметь высокоуровневую систему IT безопасности, я рекомендую перейти в ЛС, дабы не утруждать остальных читателей формуа деталями и обсуждениями.
__________________
M™ |
||
|
Ответить |
14.10.2011 14:39 | #19 | ||
Cisco
|
Как много из Вас дорогие друзья задумывались о необходимости увеличения пропускной способности сети с текушего уровня и по каким причинам?
- нехватка текущей пропускной способности? - желание иметь больше в всязи со всепроникающим Видео? - Надо больше для будущих нужд? И какую пропускную способность Вы считаете достаточной для различных нужд? - подключение рабочих станций? - подключение серверов? - объединение сегментов сети? 8 портов по 10 GE каждый без переподписки в новой плате. А какие требования Вы готовы поставить по пропускной способности?
__________________
M™ Последний раз редактировалось Timur Muminov; 14.10.2011 в 14:51. |
||
|
Ответить |
03.02.2012 16:34 | #20 | ||
Cisco
|
Рынок требует... The Market Need for 40 Gigabit Ethernet
http://www.cisco.com/en/US/prod/coll...11-696667.html Представленна линейная плата удовлетворяющая потребности высоких скоростей и передачи огромных объёмов информации: WS-X6904 Catalyst 6500 Series - это не только коммутатор с богатыми возможностями по обработке трафика но ещё и защита инвестиций.
__________________
M™ |
||
|
Ответить |
|