文档介绍:Cisco安全解决方案
对企业网络全面的防护
合作伙伴
广域网边界
互联网边界
网上交易
核心
数据中心
网络管理
远程办公
分支
外联网
局域网/园区网
广域网
IPSec VPN
Secure Mobilty
安全的远程接入
CSIO
Threat Defense
边界智能威胁控制
Security
Management统一
安全管理
Context aware
局域网用户接入与访问控制
Secure
Datacenter
数据中心
安全防御
议程
Cisco企业安全解决方案
数据中心安全
企业内部控制
边界威胁控制
远程的安全访问
整合的安全管理
边界安全
过滤外部流量
扩展的协议支持
VPN 访问,威胁控制
内部安全
内部网络隔离
基于VLAN的策略执行
应用协议检测
虚拟系统
虚拟安全网关
策略在VM的安全区域上执行
动态的可扩展的操作
基于VM环境的控制
单独防火墙
防火墙模块
VSG/ASA1000v
数据中心内部隔离安全技术分析
Hypervisor
Traditional Service Nodes
Virtual Contexts
VLANs
Hypervisor
通过VLAN将流量转到外部的安全设备
1
App
Server
Database
Server
Web
Server
利用虚拟安全服务
2
App
Server
Database
Server
Web
Server
VSN
Virtual Service Nodes
VSN
5585-X 2RU Firewall / IPS
Service Chassis – Cat6K FWSM or ASA-SM*
Nexus 1000V VSG – eventually Virtual ASA
数据中心内部隔离安全方案分析
核心和汇聚层采用VRF和VDC,采用防火墙、ACE,、IPS提供对租户的安全防护
小结:基于VDC、VRF/VLAN和Virtual Contexts提供了最佳的端到端安全域和流量隔离
VMWare ESX Server
Cisco Nexus 1KV
VM1
VM2
VM3
VM4
OS
App
OS
App
OS
App
OS
App
Nexus 7K
VDCA
VDCB
VRF1
VRF2
VRF1
Context 3
Context 2
Context 1
Firewall
多租户/多系统环境下的虚拟安全防护(1)
多服务接入网关设计
云服务
户外移动�用户
Mobile
work
共享�VPN网关
移动接入网关
AAA,可以提供API接口修改密码等
企业1 资源
互联网
企业2 资源
为多个企业提供服务:
企业用户可以在互联网直接访问自己的应用系统
企业用户通过SSLVPN接入,通过vlan mapping技术,仅可以安全访问自己的应用系统
有线用户
VM
VM
VM
VM
VM
VM
VM
Web Zone
App Zone
Tenant A
Tenant B
Dev Zone
QA Zone
VMWare vCenter
Server
1000V
VSM
多租户/多系统环境下的虚拟安全防护(2)
Standby VSGs
VSGs
Cisco work Management Center Server
vPath
vPath
vPath
Data Center
Network
VM
A
A
B
B
租户3
租户2
租户1
VDI
Database�Server
VSG
租户1总部
利用虚拟边界完成与企业网络对接
Database�Server
ASA Appliance
ASA1000V
ASA1000V
VSG
VSG
Web�Server
Private / Public Cloud
ASA1000V
Nexus1000V
Web�Server
Secure DC ——思科数据中心安全最佳实践
互联网边缘
数据中心分布层
储存区域网络
ASA 5585-X
ASA 5585-X
VDC
Nexus 7018
Nexus 7018
数据中心核心
10Gig�服务器机架
Nexus
7000�系列
10Gig�服务器机架
Nexus
5000�系列
Nexus
2100�系列
区
统一计算
统一
计算系统
Nexus 1000V
VSG
多区
安全访问:�Cisco TrustSec 和 C