思科SAFE解决方案助电力客户建网腾飞

2013-10-10 15:45:05 EP电力信息化网　点击量：评论 (0)

当今的电力企业领导者们都非常重视盈亏问题。

隔可将IP语音（VoIP）信息路由到呼叫管理器（Call Manager）及其相关语音网关。这可阻止VoIP信息穿过其它数据流穿过的网段，降低了窃听语音通信的可能性，可更平稳地实现QoS。

　　4、大楼接入模块。SAFE将构建模块定义为包括最终用户工作站、电话及其相关第2层接入点的扩展网络部分。其主要目的是向最终用户提供服务。

　　因为用户设备一般来说是网络中的最大规模组成，以简洁、有效的方式实现安全性是极具挑战性的。从安全角度来说，是在分布模块而不是在大楼接入模块中对最终用户实施的访问控制。这是因为工作站和电话与其相连的第2层交换机没有第3层访问控制功能。基于主机的病毒搜索在工作站级实施。

二、边缘分布模块。此模块的目标是在边缘集中来自各元素的连接。信息流从边缘模块过滤和路由并送至核心。

　　边缘分布模块在整体功能方面与大楼分布模块有些类似。这两个模块都采用接入控制来过滤信息流，但边缘分布模块在一定程度上可依赖整个边缘功能区域来执行附加安全功能。这两个模块均使用第3层交换来获得高性能，但边缘分布模块可添加附加安全功能，这是因为其性能要求不高的缘故。边缘分布模块为从边缘模块发送到园区网模块的所有信息流提供了最后一道防线。这可以减少电子欺骗分组、错误路由升级和对网络层访问控制的配置。

　　三、对企业边缘中包含的模块的具体分析如下：

　　1、公司互联网模块。公司互联网模块为内部用户提供了到互联网服务的连接并使互联网用户访问公共服务器上的信息。信息也可从此模块流向VPN和远程接入模块（VPN在这两个模块终结）。通过SMTP、 DNS、 FTP/HTTP、防火墙、NIDS应用和URL过滤等手段实现体系的安全。

　　本模块的核心是一对高可用的防火墙，它们为互联网公共服务和内部用户提供保护。状态检查会检验所有方向的信息流，从而确保只有合法信息流穿过防火墙。除模块中的第2层和第3层的高可用以及防火墙的状态故障转换功能，所有其它设计考虑也都围绕安全性和攻击缓解进行。

　　2、VPN和远程接入模块。此模块的主要目标有三个：从远程用户处端接VPN信息流、为从远程站点端点VPN信息流提供一个集中器，以及端接传统拨号接入用户。所有传送至边缘分布的信息流来自于远程公司用户，他们在被认可进入防火墙之前以某种方式进行了验证。

设计指南

　　除了高可用以外，此模块的核心要求是拥有三个独立外部用户服务验证和端接。因为信息流来自于企业网络外的不同来源，故此应决定为这三种服务的每一种提供防火墙上的独立接口。

　　3、WAN模块。此模块并不是潜在WAN设计的完全专用部分，它为WAN端接提供了高可用和安全性。采用帧中继封装，信息流可在远程站点和中央站点间传输。电信服务供应商的双连接通过路由器向边缘分布模块提供了高可用性。安全性由IOS安全特性提供。输入访问列表可用于阻塞来自远程分支机构的所有不必要的信息流。

电力行业青睐思科的理由

　　众多电力行业用户选择思科安全解决方案的根本原因在于提高自身竞争优势的真实保障：

　　思科公司在全球技术支持方面是行业领导者，因此可帮助客户极大地节省总体拥有成本。思科公司的获奖服务包括了快速安装、维护和提升思科安全产品所必须的工具、专业技术和资源。

　　尽管思科公司提供了PIX防火墙、入侵检测系统(IDS)、访问控制列表(ACL)和VPN集中器等产品并籍此成为安全性市场中的领导者，但必须认识到，行业目前所面对的全球安全性问题只能通过政府与企业间的合作才能得到解决。所以，思科公司与其他主要网络提供商及政府领导者开展了密切协作，目的就是要开发和提供能解决这一全行业难题的联合解决方案。

　　思科认为网络安全是一个复杂的问题，要考虑安全层次、技术难度及经费支出等因素，因此在设计方案时遵循了如下设计思想：尽可能地提高系统的安全性和可靠性；保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性；易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；尽量不影响原网络拓扑结构，便于系统结构及系统功能的扩展；安全保密系统应具有较好的性能价格比，一次性投资，可以长期使用。

安全护航面向未来

安全不是产品的堆砌。思科公司制定的面向电