Catalyst 6500入侵检测系统模块

互联网与电子商务的出现使企业机构进入了一个开放通信时代，但这种开放性同时也带来了一些问题和风险性，因此企业和电信服务供应商不得不采取措施保护其数据免受入侵者、黑客和内部人员的攻击。与此同时，市场对更高网络性能的需求也推动着传统共享网络向交换型网络的迁移。随着我们开始越来越多地在交换基础设施中部署内容感知型服务，用户对安全性和入侵检测的需求也越来越强烈，因为只有这样才能确保互联网商务与Web应用的可靠性。在使用当今市场上的多数入侵检则系统（IDS）产品时，设备必须放在交换端口分析器（SPAN）端口上才能监控网络流量。尽管SPAN端口能够提供对网络流量的访问，但它有某些局限性（例如，SPAN会话数量有限，流量中断）。Catalyst 6500 IDS模块专门用于交换环境，它可以将IDS功能直接集成到交换机中并使流量脱离交换背板，从而将交换和安全功能集成到了同一个机箱中。

图1 Catalyst 6500入侵检测系统模块

企业机构现在仍将防火墙作为其主要的关守，用于防止未授权用户进入他们的网络。但是，网络安全在许多方面与物理安全是相似的，那就是，没有哪种技术能够满足所有的需求，最好的方法是采用分层防御。

企业机构开始越来越多地采用其它安全技术抵御防火墙所无法阻挡的问题和攻击。入侵检测系统提供了全天候的网络监控，它能够分析网络中的分组数据流、搜寻未授权活动，如黑客的攻击，从而使用户能够迅速地针对安全侵犯作出反应。IDS系统的作用相当于录像机和活动检测器，它能够检测出未授权的和可疑的活动。

为了满足用户对交换型局域网（LAN）中的入侵检测的需求，全球互联网领域的领先厂商思科系统公司为其屡获大奖的高性能Catalyst 6500交换机系列提供了一个带有IDS模块的集成解决方案（除全系列的Cisco安全IDS应用检测器之外）。IDS模块可使安全与网络管理员从交换机背板监控网络流量，而不是使用与一个交换机SPAN端口连接的外部IDS检测器。这样就可以对网络流量进行更细化的访问并克服与SPAN端口相连的外部 IDS检测器的局限性。

与Cisco安全IDS应用检测器的运作方式一样，IDS模块也将检测网上的未授权活动（如黑客攻击）并向管理控制台发送告警，提供所发现的活动的详细信息。安全或网络管理员将指明IDS模块必须利用Catalyst OS虚拟LAN（VLAN）访问控制列表（ACL）捕获特性或SPAN功能来检查的网络流量，从而实现了严密的流量监控。此外，IDS模块可以由与Cisco安全IDS检测器相同的管理控制台管理和监控，从而使客户能够同时部署应用检测器和IDS模块，以监控整个企业网络中的关键子网。

应用

入侵检测应用已成为确保内容联网和Web托管基础设施成功运作的基本条件。IDS模块专门用于为安全与网络管理员提供灵活性，使其能够监控流经网络中Catalyst 6500系列交换机的流量。IDS模块有助于识别拒绝服务攻击，包括分布或拒绝服务攻击（DDos）。

图2 Catalyst 6500 W/IDS模块

高速缓存引擎 互联网 黑客 Catalyst 6500 W/IDS模块 数据库服务器 Web服务器

IDS模块具有最广泛的攻击识别功能，提供了世界最佳的实时入侵检测解决方案。由于网络核心流量的类型与数量特点， IDS模块在网络的分布与访问层最有效。

主要特性与优点

IDS模块可以部署在任何Catalyst 6500系列机箱中，它具备以下优点：