Моё меню Общее меню Пользователи Правила форума Все прочитано
Вернуться   uForum.uz > ИКТ и телеком > IT-индустрия > Вендоры > Cisco Systems
Знаете ли Вы, что ...
...нарушения правил форума наказываются. Старайтесь их не нарушать.
<< Предыдущий совет - Случайный совет - Следующий совет >>

Cisco Systems - мировой лидер в области сетевых технологий


Ответить

 
Опции темы Опции просмотра
Старый 13.10.2011 12:26   #11  
Real ID Group Cisco
Аватар для Timur Muminov
Оффлайн
Сообщений: 199
+ 10  22/21
– 2  6/6

UzbekistanОтправить сообщение для Timur Muminov с помощью ICQ
Цитата:
Сообщение от alisherk Посмотреть сообщение
Цитата:
Сообщение от Timur Muminov Посмотреть сообщение
ASA-SM есть нечто как ASA-5585-X-SSP60.
ASA-5585-X имеет IPS если установлен IPS процессор.
А ASA-SM это аналог ASA-5585-X без IPS процессора.
К этому модулю даже обновление сигнатур купить не получается, так что, судя по всему, на ASA-SM IPS отсутствует.
Хорошо, попробую по другому.

IPS отдельно для ASA-5585-X не существует, есть управляющий модуль: Secure Services Processor в различных вариантах: SSP-10, SSP-20, SSP-40, SSP-60. (http://www.cisco.com/en/US/partner/p...d802930c5.html)

"ASA 5585-X with SSP-60" в модульном исполнении называется ASA-SM.
__________________
M™

Последний раз редактировалось Timur Muminov; 13.10.2011 в 12:30.
Ответить 
Старый 13.10.2011 12:34   #12  
Known ID Group
Аватар для alisherk
Оффлайн
вольный каменщик
Сообщений: 2,314
+ 1,920  1,874/796
– 3  186/134

Aruba
Цитата:
Сообщение от Timur Muminov Посмотреть сообщение
IPS отдельно для ASA-5585-X не существует
а это что такое?
Цитата:
ASA-IPS-60-INC-K9 ASA 5585-X IPS Security Services Processor-60 with 6GE,4SFP+ B $165,000.00
Ответить 
Старый 13.10.2011 12:42   #13  
Known ID Group
Аватар для alisherk
Оффлайн
вольный каменщик
Сообщений: 2,314
+ 1,920  1,874/796
– 3  186/134

Aruba
Цитата:
Сообщение от Timur Muminov Посмотреть сообщение
Кстати, на ASA-SM можно запустить IPS, и получить 5.5 Gbps IPS.
И если такое все же есть, то можно ссылку на оф. документ?
Ответить 
Старый 13.10.2011 13:20   #14  
Real ID Group Cisco
Аватар для Timur Muminov
Оффлайн
Сообщений: 199
+ 10  22/21
– 2  6/6

UzbekistanОтправить сообщение для Timur Muminov с помощью ICQ
Можно просвятить, зачем в Датацентре IPS ?
Смысл в чём? ловить атаки между серверами? Если таковое есть, это не датацентр, в проходной двор какой-то.
__________________
M™
Ответить 
Реклама и уведомления
Старый 13.10.2011 15:09   #15  
Known ID Group
Аватар для alisherk
Оффлайн
вольный каменщик
Сообщений: 2,314
+ 1,920  1,874/796
– 3  186/134

Aruba
Цитата:
Сообщение от Timur Muminov Посмотреть сообщение
Можно просвятить, зачем в Датацентре IPS ?
Смысл в чём? ловить атаки между серверами? Если таковое есть, это не датацентр, в проходной двор какой-то.
ок, поправлюсь, в примере не датацентр, а серверная ферма.
на ней нужен ips?
Ответить 
Старый 14.10.2011 09:47   #16  
Real ID Group Cisco
Аватар для Timur Muminov
Оффлайн
Сообщений: 199
+ 10  22/21
– 2  6/6

UzbekistanОтправить сообщение для Timur Muminov с помощью ICQ
Execute

Цитата:
Сообщение от alisherk Посмотреть сообщение
ок, поправлюсь, в примере не датацентр, а серверная ферма.
на ней нужен ips?
Дорогой Алишер.

Цитата:
Q. When would I buy Cisco ASA 5585-X Adaptive Security Appliance instead of a Cisco Catalyst 6500 Series ASA Services Module?

A. It depends on your deployment. If you have a Cisco Nexus® 7000 Series deployment, an ASA 5585-X is a perfect fit. But if you are using a Cisco Catalyst 6500 Series switch, the ASA Services Module is more appropriate. In the end, it comes down to personal preference - some customers prefer that their firewall be integrated into the switch, while others want it as a separate appliance. That's the main advantage of having the same code base in multiple form factors. In addition, if intrusion prevention is a requirement, the ASA 5585-X appliance is a better choice, since it combines a full-featured firewall and a comprehensive IPS in a single 2-RU chassis.
И чуть чуть теории. соединять серверную ферму предполагается быстрыми коммутаторами, без заморочек как на уровне доступа. Если есть сервера с разными уровнями доступа из-вне, то их распределяют по зонам. внутри зон опять-же надо передавать данные уже прошедшие системы безопасности. Для объединения зон можно использовать Nexus 1000 VSG, ASA, ACE, FWSM (реже). Но вопросы IPS как между зонами так и внутри них не решаются.

IPS = Intrusion Prevention Systems, как видно из названия, система предотвращения вторжений, должна эти вторжения предотвращать. если вторжение произошло, то ловить что-то в на серверной ферме, где (по идее) большие объёмы и скорости передаваемой информации - практически бессмысленно. Тут как я писал выше, уже надо изолировать повреждённую зону, чтоб оттуда не исходила угроза с уровнем выше чем из-вне. Надо полагать, что на устройствах безопасности мы располагаем зоны безопасности следующим образом: 0 уровень - зона Интернет, уровень 50 это зона локальной сети, уровень 70 и выше зоны датацентра, серверные фермы. И если у нас есть вторжение в зону 70... то это угроза всей сети, т.к. генерировать оттуда трафик в другие зоны должна допускать уровневая система безопасности. в ответ на это мы внедряем Context-based security. Но вновь, ловить там аномалии это бессмысленная загрузка железа уймой траффика.
Далее коммутаторы ядра серверных ферм, или ЦОДа, тут система безопасности зоновая, распределение нагрузки и Application Control Engine. И вновь, мы не поднимаем вопросы IPS, т.к. объёмы и скорости велики, и по умолчанию уровень доступа и безопасности должны подразумевать отсутствие угроз внутри фермы и ЦОДа, если есть аномалии работы приложений, это обнаружит ACE, и заблокирует зону/ферму, мы не успеем изолировать трафик на скоростях в десятки гигабит моментально, а контролировать каждый сервер экономически невыгодно, т.к. сенсоры для таких скоростей далеко не дёшевы.
Далее коммутаторы ядра сети и сегменты доступа, и иметь систему в этих сегментах самое-то. Для ядра рекомендуется ставить сенсоры, они производительнее, и в случае выхода из строя не повлекут переконфигурирование коммутаторов, что чувствительно для всей сети. В сегментах доступа как отдельно стоящие так и встраиваемые системы IPS.
__________________
M™
Ответить 
Старый 14.10.2011 10:29   #17  
Known ID Group
Аватар для alisherk
Оффлайн
вольный каменщик
Сообщений: 2,314
+ 1,920  1,874/796
– 3  186/134

Aruba
хе, у самой cisco немного другой подход к дизайну, вернее совсем другой ))
в дизайн гайде рекомендуется размещать ips сенсоры в сегментах сети, никак не в ядре

Цитата:
Cisco recommends the deployment of network intrusion sensors in
the following locations:
• Behind firewalls
• On demilitarized zone (DMZ) segments that house public servers (web, FTP, Domain DNS, or
e-commerce)
• Behind VPN concentrators for monitoring unencrypted virtual private network (VPN) traffic
• On segments that house corporate servers or other intranet services that are defined as sensitive in
the security policy
• On segments that house network and security management servers
• On the corporate intranet where critical resources are located
• At corporate extranet junction points between the campus network and branch networks as well as
between the enterprise and partner networks
и возвращаясь к вопросу о ips на asa-sm, вы можете однозначно ответить есть он там или нет?
все документы, которые вы привели косвенно говорят о том, что нет.

Цитата:
Сообщение от Timur Muminov Посмотреть сообщение
Цитата: Q. When would I buy Cisco ASA 5585-X Adaptive Security Appliance instead of a Cisco Catalyst 6500 Series ASA Services Module? A. It depends on your deployment. If you have a Cisco Nexus® 7000 Series deployment, an ASA 5585-X is a perfect fit. But if you are using a Cisco Catalyst 6500 Series switch, the ASA Services Module is more appropriate. In the end, it comes down to personal preference - some customers prefer that their firewall be integrated into the switch, while others want it as a separate appliance. That's the main advantage of having the same code base in multiple form factors. In addition, if intrusion prevention is a requirement, the ASA 5585-X appliance is a better choice, since it combines a full-featured firewall and a comprehensive IPS in a single 2-RU chassis.
а по вашим словам есть. где истина?
Цитата:
Сообщение от Timur Muminov Посмотреть сообщение
Кстати, на ASA-SM можно запустить IPS, и получить 5.5 Gbps IPS.
Ответить 
Старый 14.10.2011 14:34   #18  
Real ID Group Cisco
Аватар для Timur Muminov
Оффлайн
Сообщений: 199
+ 10  22/21
– 2  6/6

UzbekistanОтправить сообщение для Timur Muminov с помощью ICQ
Search

Дорогой Алишер.
Я рад, что мы (как мне видится) пришли к консесусу, что сенсоры нужны в сегментах доступа, и даже не в ядре сети. Писав свой ответ ранее, и указывая на то что в ядре возможна установка отдельно-стоящего (пропустил в предидущем посте) сенсора я отвечал на Ваше желание иметь IPS как можно ближе к серверам.

относиетльно дизайн-гида на который Вы сослались, справедливо отметить что он предназначен для понимания дизайна, сути IPS и его возможных точек установки и не призван решить конкретных задач которые должен ставить заказчик. Как видно из документа, ставить IPS допустимо во всех точках сети. Одно но, документ не основывается на решении задачи, а лишь как гид, подводит Вас к пониманию работы различных устройств и механизмов IT инфраструктуры. И Вы как Архитектор сети читающий этот документ должны решить где и как устанавливать те или иные компоненты. Конечно, я только "ЗА" устанавливать высокоскоростные IPS во всех точках сети во всех сегментах и обязательно в отказоустойчовых конфигурациях, и все организации будут рад видеть такой дизайн и все-охватывающую безопасность, но не во всех организациях финансовые директора одобрят такого рода затраты. Я со своей стороны подхожу к реализации конктретной сети и задачи исходя из пожеланий и возможностей заказчика. И мне не будет приятно предлагать организации тратить на безопасность средства превышающие оборот компании на годы вперёд, это экономически невыгодно.
Отсюда и вопросы про "заказчика" и детали построения сети.

Это моя ошибка, что я ринулся предлагать Вам дизайн решения по безопасности не владея полностью знаниями о Вашей задаче.
Коли Вы желаете иметь высокоуровневую систему IT безопасности, я рекомендую перейти в ЛС, дабы не утруждать остальных читателей формуа деталями и обсуждениями.
__________________
M™
Ответить 
Старый 14.10.2011 14:39   #19  
Real ID Group Cisco
Аватар для Timur Muminov
Оффлайн
Сообщений: 199
+ 10  22/21
– 2  6/6

UzbekistanОтправить сообщение для Timur Muminov с помощью ICQ
Icon24 В продолжении Истории Инноваций

Как много из Вас дорогие друзья задумывались о необходимости увеличения пропускной способности сети с текушего уровня и по каким причинам?
- нехватка текущей пропускной способности?
- желание иметь больше в всязи со всепроникающим Видео?
- Надо больше для будущих нужд?

И какую пропускную способность Вы считаете достаточной для различных нужд?
- подключение рабочих станций?
- подключение серверов?
- объединение сегментов сети?

8 портов по 10 GE каждый без переподписки в новой плате.

А какие требования Вы готовы поставить по пропускной способности?
__________________
M™

Последний раз редактировалось Timur Muminov; 14.10.2011 в 14:51.
Ответить 
Старый 03.02.2012 16:34   #20  
Real ID Group Cisco
Аватар для Timur Muminov
Оффлайн
Сообщений: 199
+ 10  22/21
– 2  6/6

UzbekistanОтправить сообщение для Timur Muminov с помощью ICQ
Execute И вновь продолжается бой, и сердцу тревожно в груди...

Рынок требует... The Market Need for 40 Gigabit Ethernet

http://www.cisco.com/en/US/prod/coll...11-696667.html

Представленна линейная плата удовлетворяющая потребности высоких скоростей и передачи огромных объёмов информации: WS-X6904

Catalyst 6500 Series - это не только коммутатор с богатыми возможностями по обработке трафика но ещё и защита инвестиций.
__________________
M™
Ответить 
Ответить
Опции темы
Опции просмотра




Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot
Advertisement System V2.5 By Branden
OOO «Единый интегратор UZINFOCOM»


Новые 24 часа Кто на форуме Новички Поиск Кабинет Все прочитано Вверх