Catalyst 6000入侵检测系统模块

互联网和电子商务的发展迫使各机构进入了一个开放、信任的通信时代。与此同时，这种开放性也带来了问题和弱点。因此，企业和电信供应商都必须采取相应的措施，防止其宝贵数据受到入侵者、黑客和内部人员的损害。另一方面，随着对网络性能要求的升高，许多机构都希望将传统的共享网络升级为交换网。当我们开始在交换式基础设施中部署越来越多的对内容敏感的服务的时候，必须提供前所未有的高安全性和入侵检测能力才能保证电子商务和Web应用的可靠性。对于当今市场上的多数入侵检测系统（IDS），必须将设备放置在交换端口分析器（SPAN）端口上才能监控网络流量。虽然SPAN端口可以提供对网络流量的访问，但它同时也存在着某些局限（例如，仅限于一定数量的SPAN对话和可信流量）。Catalyst? 6000 IDS模块是专门为交换环境设计的，它直接将IDS功能集成到交换机中，由于可以直接从交换机背板上获取流量，因而可以在同一机架中同时实现交换和安全功能。

图1 Catalyst 6000入侵检测系统模块

为防止非法用户进入网络，各机构将继续把防火墙作为其中央关守。但是，从许多方面看，网络安全性与物理安全性非常相似：任何技术都无法满足所有需求，只有采取分层防御才能获得最佳效果。

为降低防火墙本身无法消除的风险和易损性，各机构越来越重视其它安全技术。入侵检测系统能够提供全天候网络监视。它们能够分析网络内的分组数据流，搜索黑客袭击等非法行为，并允许用户对立即对安全隐患作出反应。如果与物理安全性相比，IDS系统就好象是摄像机和移动检测器，它们能检测到非法或可疑的行为。

Cisco Systems是互联网联网的全球领先厂商，除完整的Cisco Secure IDS设备检测器系列外，还能够利用为其屡获大奖的高性能Catalyst 6000交换机系列设计的IDS模块提供的集成式解决方案满足交换局域网（LAN）内的入侵检测要求。借助IDS模块，安全和网络管理员能够直接监控交换机背板上的网络流量，而无需使用与交换机SPAN端口相连的外部IDS传感器。这样不但能更加精细地访问网络流量，还能克服与SPAN端口相连的外部IDS检测器固有的某些局限。

与Cisco Secure IDS设备检测器的操作方式类似，IDS模块能够检测到穿越网络的非法行为，例如黑客袭击，并能够向管理控制台通报所检测到的事件的细节。安全或网络管理员利用Catalyst OS虚拟局域网（VLAN）访问控制列表（ACL）获取特性或SPAN功能确定必须检查的网络流量，因而可以执行非常精细的流量监控。另外，IDS模块还由监控Cisco Secure IDS检测器的同一个管理控制台监控，使客户能够同时部署设备检测器和IDS模块，监控整个企业网中的关键子网。

应用
入侵检测已成为内容联网和Web托管体系结构获得成功的基本要求。IDS模块是专门为安全和网络管理员设计的，使他们能够灵活地监控流经网络内Catalyst 6000系列交换机的流量。IDS模块有助于发现拒绝服务袭击，包括分布式拒绝服务袭击（Ddos）。

图2 Catalyst 6500 W/IDS模块

借助大范围袭击识别，IDS模块能够提供当今业界最好的实时入侵检测解决方案。从网络核心的流量类型和大小看，IDS模块在网络的分布层和接入层效果最佳。

主要特点和优点
IDS模块可以部署在任何Catalyst 6000系列机箱中，具有以下优点：

• 是思科端到端解决方案的一部分--IDS模块是有效深入防御安全战略的一部分，是已部署的其它安全机制（例如防火墙、加密和认证等）的补充。
  
• 集成式解决方案--这个IDS模块完全集成在Catalyst 6000内，占用一个插槽。这种设计非常适合空间宝贵的部署。另外，IDS还可以完全集成到Cisco Secure IDS管理基础设施中，获得操作一致性并有利于支持。
  
• 透明操作--IDS模块不影响交换机性能，它属于被动监控模块，只检查分组的复制品，不在交换机传送路径中操作。
  
• 投资保护--在系列中增加IDS模块卡之后，思科将继续在其交换式体系结构中提供投资保护。借助IDS模块，客户能够在一个机箱中同时实现安全监控和交换功能。
  
• 实时入侵检测--IDS模块提供全天候实时网络监控。IDS模块的目的是提高安全可视性、拒绝服务保护、反黑客检测和电子商务企业防御能力，直接监控交换机背板上的网络流量，并在检测到恶意或非法行为时发出警报。
  
• 提供全面的袭击/签名识别能力--IDS模块能够检测多种袭击，IDS模块上的签名机制无需影响交换机就能轻松地用新的"黑客签名"更新。另外，IDS模块机制还包含先进的IP分段安装智能。
  
• 能同时监控多个VLAN--借助VLAN ACL获取功能或SPAN功能，IDS模块可以同时监控多个VLAN上的流量（都使用ISL和802.1q编码）。这些功能能够克服在交换环境中操作的IDS的某些传统局限。
  
• 拥有成本低--IDS模块易于安装、配置和维护。由于IDS模块能够完全与其它Cisco Secure IDS设备和管理控制台互操作，因而可作为典型交换环境和安全操作框架的扩展。

• 能监控100Mbps的流量
• 大约每秒47，000分组，新流量到达率可达每秒1000

• 需要Catalyst 操作系统6.1（1）或更高（本地Cisco IOS?软件中不支持）
• VLAN CAL"获取"功能需要策略特性卡（PFC）
• 与Supervisor 1A和Supervisor 1兼容
• 与交叉交换网不兼容
• 与多层交换机特性卡（MSFC）和MSFC2兼容，但不要求

• Cisco Secure Policy Manager（CSPM）v2.2及更高版本
• Cisco Secure Intrusion Detection Director