Защищая глобальную сеть
Через современные сети осуществляется предоставление критически важных деловых услуг, нуждающихся в защите как от внешних, так и от внутренних угроз
В том случае, если внутренние угрозы не могут быть минимизированы, вам необходимо знать об угрозах для глобальной сети (WAN). Считайте, что все следующие разделы - о взаимосвязи систем защиты, о защите данных и идентификационной информации, о безопасности голосовой и беспроводной связи, а также о непрерывности бизнеса, - относятся к WAN.
Защита связи
• Миграция на виртуальные частные сети (VPN): Многие компании переходят с выделенных линий или технологии с коммутацией пакетов (frame relay) для экономии расходов и возросшей производительности. Окупаемость инвестиций у них часто достигает 100% в год. Как вспомогательный канал, VPN через DSL (Digital Subscriber Line – цифровая абонентская линия) организовать дешевле и быстрее, чем ISDN (Integrated Service Data Network – цифровая сеть с интеграцией услуг), кроме того, такая сеть более высокоскоростная и надежная. Для того чтобы добавить защиту шифрованием между сегментами, зданиями или группами, где критически важна защита информации и время простоя, многие компании используют VPN внутри своих локальных сетей (LAN).
• Законодательные акты о конфиденциальности информации: По закону, шифрование данных обязательно в здравоохранении, финансовой системе, торговле и в государственном секторе. Для обеспечения соответствия компании должны использовать стандарты и решения аутентификации (такие, как NAC и 802.1x) и процедуру проведения проверок. Кроме этого, рекомендовано применять шифрование данных, которые передаются по существующим у них глобальным сетям. Добавление этих возможностей как части начальной установки маршрутизатора, проще и дешевле, нежели добавление требуемых средств обеспечения безопасности впоследствии.
• Безопасный удаленный доступ: Многие компании имеют штат продавцов и надомных работников, которым нужен удаленный доступ к сетевым приложениям, таким как электронная почта, инструменты сбыта и общие папки. Некоторые организации также имеют штат привлекаемых сотрудников или удаленных партнеров, которым нужен ограниченный, но безопасный доступ к сети.
Защита данных и идентификационной информации
• Черви, вирусы и трояны: Для распространения по организации большинство современных червей и вирусов используют сеть. Защита глобальной сети останавливает вредоносный трафик на границе сети и сдерживает распространение инфекций.
• Обеспечение безопасности сетевых устройств: Убедитесь в том, что ваши администраторы IT могут централизованно контролировать применение политик доступа для ноутбуков и персональных компьютеров, в том числе и в гостевых системах.
• Политика использования Интернет и фильтрация Web-контента: Фильтрация URL является одним из способов реализации и принудительного применения политик использования Интернета на всех уровнях сети – от центрального офиса до филиалов. Это помогает защитить организацию от возможных юридических последствий.
• Анализ архитектуры системы безопасности: Понимание разницы между тем, какие средства для обеспечения безопасности и версии оборудования применяются в центральном офисе и способом защиты филиалов, может помочь определить потребности обеих этих частей. Угрозы безопасности на уровне WAN могут быстро распространиться на вашу недостаточно защищенную ЛВС. Для предотвращения эпидемий червей и вирусов, распределенных атак, направленных на отказ в обслуживании, а также несанкционированного трафика, необходима всеохватывающая политика защиты для всех узлов сети.
Защита голосовой и беспроводной связи
Если запланировано использование голосовой связи через IP (VoIP), постройте сеть так, чтобы система безопасности могла использовать как стандарт поддерживающей передачу голоса и видеоVPN (V3PN) , так и протокол SRTP(Secure Real-Time Transport Protocol).
Непрерывность бизнеса
Простои сети вследствие аварии ведут к прекращению доступа к критически важным бизнес-приложениям. Обычно при планировании непрерывности бизнеса предусматриваются вспомогательные каналы глобальной сети и защищенный удаленный доступ. Многие клиенты используют в качестве вспомогательного канала глобальной сети IP VPN: из-за ее гибкости и выгодности с точки зрения затрат. Некоторые организации для этих целей используют ISDN и коммутируемый доступ по телефонной линии.
Решение Cisco Secure WAN - это программа, предлагающая возможность легко добавлять управляемые функции по обеспечению безопасности в интегрированный сервисный маршрутизатор.
Существует четыре пакета средств по обеспечению безопасности Cisco Secure WAN для интегрированных сервисных маршрутизаторов Cisco:
• Baseline (основной) для предоставления стандартных функций по защите
• High-performance(высокопроизводительный), обеспечивающий дополнительную производительность
• Secure voice(безопасная голосовая связь) для совмещенных функций обеспечения безопасности и IP-коммуникаций
• Secure wireless(безопасная беспроводная связь) для интегрированного доступа к функциям обеспечения безопасности и беспроводной ЛВС
Эти пакеты разработаны для того, чтобы упростить обеспечение защиты филиалов - защитить их так же, как и центральный офис, централизовать управление и обеспечить соответствие требованиям законов о конфиденциальности данных и сети. Они включают в себя следующие функциональные средства:
• Межсетевой экран
• Защита VPN при межобъектных соединениях
• Инкапсуляция при маршрутизации по протоколу IPsec
• VPN удаленного доступа
• Система предотвращения вторжений (IPS)
• Фильтрация URL
• WAN и динамическая маршрутизация
• Контроль доступа в сеть
• Маршрутизатор Cisco и система Security Device Manager
• Расширение памяти