威海汽車客運集團VPN聯(lián)網(wǎng)售票方案樣本

威海汽車客運集團VPN聯(lián)網(wǎng)方案一前言交通是經(jīng)濟"先行官"，高效交通運送保障能力和區(qū)域間經(jīng)濟協(xié)調發(fā)展需要一體化、網(wǎng)絡化交通，需要加強區(qū)域間運送協(xié)作，需要人流物流便捷暢通，而這一切實現(xiàn)不但需要政策法規(guī)以及管理機制上一體化，極為重要一項辦法就是發(fā)揮信息系統(tǒng)作用，用信息化推動交通一體化發(fā)展，推動交通當代化。思科智能交通解決方案是為航空，公路，鐵路，航運等各種行業(yè)所量身訂制一系列業(yè)務解決方案。思科解決方案著重在如下方面：更高安全和可靠性增長運力和投資回報實時信息減少擁塞和延時智能控制和管理針對威海汽運集團個性需求特點：威海交通運送集團有近二十個分部，其局域網(wǎng)約有50臺PC，其中包括站點5個，分散在威海各地（威海、文登、榮成、乳山和石島等）。各分支內網(wǎng)PC數(shù)量大概在10-30臺左右，通過普通ADSL方式連入互聯(lián)網(wǎng)，分部需要時實和總部服務器進行安全數(shù)據(jù)通信。由于需要全市區(qū)聯(lián)網(wǎng)銷售車票，涉及異地始發(fā)車票，同步和公司總部進行業(yè)務狀況、財務數(shù)據(jù)等信息傳播，這些業(yè)務數(shù)據(jù)在Internet上直接傳播時存在較高安全風險，直接影響售票業(yè)務順利進行，沒有安全保護辦法，會引起黑客入侵、病毒泛濫，維護工作難以開展，甚至導致公司網(wǎng)絡癱瘓，導致巨大經(jīng)濟損失。咱們選取了思科防火墻。選取思科因素

當前市場上許多廠商都會提供獨立小型產(chǎn)品來解決網(wǎng)絡上某一特定問題。其成果是，機構網(wǎng)絡和應用性能更加不一致，由于缺少豐富集成網(wǎng)絡特性及服務和網(wǎng)絡智能性，使網(wǎng)絡無法作為一種統(tǒng)一系統(tǒng)運營，從而使得機構需耗費更多精力進行系統(tǒng)維護。單點產(chǎn)品還面臨著其他問題，涉及：

·難以保護整個網(wǎng)絡免遭中斷、服務性能下降和安全違背影響

·不能依照既有基本設施調節(jié)，或提供必要可擴展性來滿足不斷變化業(yè)務需求

·缺少網(wǎng)絡布置和管理方面"最佳實踐"記錄，導致長期成本和復雜度增長

升級、修改和管理困難且成本高昂

老式網(wǎng)絡供應商提供由互聯(lián)機箱構成端到端解決方案，它們普通是其既有系統(tǒng)向外擴展。這種方式問題在于性能和可用性普通由最薄弱網(wǎng)絡組件決定。

與其相反，思科提供是智能化、真正集成(有線和無線)端到端網(wǎng)絡解決方案，使網(wǎng)絡能作為一種整體工作，在特性和質量方面具一致性，擁有更高可靠性、增強顧客體驗和高質量性能。更為一致網(wǎng)絡會帶來更為一致運營。

只有思科具備可優(yōu)化基本設施組件聯(lián)網(wǎng)深度和廣度，使各組件在機構和機構擴展基本設施上作為統(tǒng)一系統(tǒng)運營。除提高網(wǎng)絡性能外，網(wǎng)絡元素通過集成化網(wǎng)絡合同和網(wǎng)絡智能而鎖定。

二、顧客需求分析威海汽車客運集團，在周邊有文登，乳山，榮成，石島幾種大客運網(wǎng)點及威海各個分公司。為實現(xiàn)新型管理模式，均衡汽車資源，哺育專業(yè)客運市場，將對這幾大客運網(wǎng)點實行聯(lián)網(wǎng)管理，統(tǒng)一售票，合理調配班次。網(wǎng)絡建置需求如下：1、實現(xiàn)文登，乳山，榮成，石島幾種大客運網(wǎng)點及威海各個分公司與總部互聯(lián)，實現(xiàn)聯(lián)網(wǎng)售票。2、由于聯(lián)網(wǎng)售票系統(tǒng)及時性規(guī)定相稱高，盡量減少系統(tǒng)服務中斷，提高工作效率。3、保證系統(tǒng)安全運營，防止數(shù)據(jù)丟失，實現(xiàn)可靠性有效提高。4、系統(tǒng)構造清晰，管理設立以便，功能服務簡樸易用。5、通過路由器對顧客實行統(tǒng)一管理，最大限度發(fā)揮網(wǎng)絡作用，實現(xiàn)網(wǎng)絡安全管理。依照客運站管理和業(yè)務特點，采用美國思科CISCO公司防火墻VPN設計方案，客運網(wǎng)點通過VPN通信方式連接中心數(shù)據(jù)庫服務器，實現(xiàn)了集團公司與客運分站聯(lián)網(wǎng)售票。在咱們仔細研究了客運集團狀況后，針對集團實際需要，為此，咱們選取了ASA5510-SEC-BUN-K9及PIX-501-BUN-K9和PIX-501-50-BUN-K9系列防火墻作為流量方略服務器來隔離內外網(wǎng)絡信息流量和增長VPN功能。CiscoASA及PIX系列防火墻強大性能可以滿足大型交通運送集團需要。作為世界領先CiscoSecurePIX防火墻系列構成某些，PIX及ASA可覺得當今網(wǎng)絡客戶提供無與倫比安全性、可靠性和性能。該防火墻將靜態(tài)防火墻和IP安全（IPSec）虛擬專網(wǎng)（VPN）功能與千兆位以太網(wǎng)吞吐量靈活地結合在一起。PIX525支持動態(tài)/靜態(tài)NAT和PAT，純文本吞吐量達到370Mbps，可以滿足28萬個顧客同步連接28萬。PIX和ASA是一種可以提供空前保護能力通用防火墻設備。它與PIX操作系統(tǒng)（OS）緊密集成在一起，該操作系統(tǒng)是一種消除了安全漏洞和性能退化開銷專用固化系統(tǒng)。PIX防火墻核心是基于自適應安全算法（ASA）一種保護機制，它可以提供面向靜態(tài)連接防火墻功能，可以進行28萬個同步連接，并同步防止常用回絕服務（DoS）襲擊。三網(wǎng)絡技術實行◆VPN技術及其實行虛擬專用網(wǎng)（VirtualPrivateNetwork）是運用公眾網(wǎng)資源為客戶構成專用網(wǎng)一種業(yè)務。VPN可以看作是公司網(wǎng)在Internet上延伸，通過在internet中一種私用通道來創(chuàng)立一種安全私有連接，VPN通過這個安全通道將遠程顧客，公司分支機構，公司業(yè)務合伙伙伴等公司公司網(wǎng)連接起來，構成一種擴展公司公司網(wǎng)。VPN解決方案長處1、省錢：如果公司放棄租用專線而采用VPN，其整個網(wǎng)絡成本可節(jié)約21%-45%，至于那些以電話撥號方式連網(wǎng)存取數(shù)據(jù)公司，采用VPN則可以節(jié)約通訊成本50%-80%。2、選取靈活、速度快：通過vpn網(wǎng)關，顧客可以選取各種internet連通技術，并且對于INTERNET容量可以實現(xiàn)按需定制；3、安全性好：VPN認證機制將更好地保證顧客隱私權和收發(fā)數(shù)據(jù)完整性；4、實現(xiàn)投資保護：VPN技術應用可以建立在顧客既有網(wǎng)絡基本上，顧客正在使用應用軟件不受影響。VPN分類虛擬專用網(wǎng)可以從如下三個方面分類：所起作用、應用模式和所在OSI參照模型層次。按VPN所起作用可以將VPN分為三類：VPDN、IntranetVPN和ExtranetVPN。1、VPDN(VirtualPrivateDialNetwork)：在遠程顧客或移動雇員和公司內部網(wǎng)之間VPN，稱為VPDN。2、IntranetVPN：在公司遠程分支機構LAN和公司總部LAN之間VPN。通過Internet這一公共網(wǎng)絡將公司在各地分支機構LAN連到公司總部LAN，以便公司內部資源共享、文獻傳遞等，可節(jié)約DDN等專線所帶來高額費用。3、ExtranetVPN：在供應商、商業(yè)合伙伙伴LAN和公司LAN之間VPN。由于不同公司網(wǎng)絡環(huán)境差別性，該產(chǎn)品必要能兼容不同操作平臺和合同。由于顧客多樣性，公司網(wǎng)絡管理員還應當設立特定訪問控制表ACL(AccessControlList)，依照訪問者身份、網(wǎng)絡地址等參數(shù)來擬定她所相應訪問權限，開放某些資源而非所有資源給外聯(lián)網(wǎng)顧客。按VPN應用模式可以將VPN分為兩類：對等型（PeerModel）和全覆蓋型（OverModel）。1、對等型（PeerModel）：這種模型是一種途徑?jīng)Q定在網(wǎng)絡層基于跳數(shù)（HOP-BY-HOP）模式。客戶端與VPN服務供應商設備形成一種網(wǎng)絡層對等關系，通過服務供應商設備計算最佳途徑通過網(wǎng)絡發(fā)生應用連接。2、全覆蓋型（OverModel）：這種模型是一種途徑?jīng)Q定在網(wǎng)絡層基于CUT-THROUGH模式?？蛻舳伺c客戶端形成對等關系，網(wǎng)絡層次并不懂得下面構造；所有客戶端都是通過邏輯上一跳互相通訊，而不論中間通過多少物理設備連接。依照VPN所在實行OSI層次相對TCP/IP合同棧應用層次來劃分，有數(shù)據(jù)鏈路層VPN、網(wǎng)絡層VPN、傳播層VPN和應用層VPN；相相應OSI合同棧層次VPN均有相應VPN隧道合同。VPN應用技術VPN技術非常復雜，它涉及到通信技術、密碼技術和當代認證技術，是一項交叉科學。當前，VPN重要包括兩種技術：隧道技術與安全技術。隧道技術基本過程是在源局域公網(wǎng)接口處將數(shù)據(jù)(可以是ISO七層模型中數(shù)據(jù)鏈路層或網(wǎng)絡層數(shù)據(jù))作為負載封裝在一種可以在公網(wǎng)上傳播數(shù)據(jù)格式中，在目局域網(wǎng)與公網(wǎng)接口處將數(shù)據(jù)解封裝，取出負載。被封裝數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞時所通過邏輯途徑被稱為“隧道”。VPN區(qū)別于普通網(wǎng)絡互聯(lián)核心于隧道建立，然后數(shù)據(jù)包通過加密后，按隧道合同進行封裝、傳送以保安全性；要使數(shù)據(jù)順利地被封裝、傳送及解封裝，通信合同是保證核心。普通，在數(shù)據(jù)鏈路層實現(xiàn)數(shù)據(jù)封裝合同叫第二層隧道合同，慣用有PPTP、L2TP等；在網(wǎng)絡層實現(xiàn)數(shù)據(jù)封裝合同叫第三層隧道合同，如IPSec、MPLS等；此外，SOCKSv5合同則在TCP層實現(xiàn)數(shù)據(jù)安全。VPN是在不安全Internet中通信，通信內容也許涉及公司機密數(shù)據(jù)，因而其安全性非常重要。VPN中安全技術普通由加密、認證及密鑰互換與管理構成。VPN技術實行依照神華集團網(wǎng)絡需求，為保持與原有網(wǎng)絡良好整合，并使異地分支機構能訪問總部應用，在Intranet上組建公司內部私有網(wǎng)。咱們應用IPSec隧道合同（即構成IPSecVPN），采用IPSecVPN技術進行西四局各局域網(wǎng)網(wǎng)關到總部局域網(wǎng)網(wǎng)關VPN連接，選用Cisco3745路由器來擔當VPN網(wǎng)關,詳細設備配備請參照設備配備清單。同樣重要是，思科融合網(wǎng)絡通過如下特性提供了最低TCO：

·更低硬件成本。高度優(yōu)化網(wǎng)絡無需各種專用網(wǎng)絡，因而減少了硬件成本。例如，單一以太網(wǎng)卡可取代三個獨立網(wǎng)卡，減少了成本和復雜度。

·更低軟件和培訓成本。智能網(wǎng)絡服務擴展為創(chuàng)新交通應用布置鋪平了道路，網(wǎng)絡操作人員無需更換或學習新操作軟件，減少了軟件和培訓成本。四實現(xiàn)方案本方案重點要解決是穩(wěn)定、高速、安全遠程互聯(lián)并運營客運站售票系統(tǒng)問題。在集團總部，采用CISCO接入ASA5510-SEC-BUN-K9，客運站網(wǎng)點分別采用了思科CISCOPIX-501-BUN-K9和PIX-501-50-BUN-K9。集團公司總部接入一條網(wǎng)通光纖，客運站網(wǎng)點都同步備有1條2M網(wǎng)通ADSL線路。只需在總部設定IP地址、顧客名及密碼三個環(huán)節(jié)就輕松搞定了SmartLinkVPN連網(wǎng)方案。ASA5510-SEC-BUN-K9及PiX-501-BUN-K9和PiX-501-50-BUN-K9產(chǎn)品提供多WAN接入、防火墻、負載平衡、線路備援、QoS帶寬管理等各種功能。除了保障網(wǎng)絡安全穩(wěn)定外，還可根據(jù)實際應用狀況進行帶寬管理，保證VPN帶寬，保證總部與客運網(wǎng)點間信息傳遞不受影響。五方案目1、通過應用本方案，集團總部與客運網(wǎng)點間網(wǎng)絡可以互通，形成一種局域網(wǎng)?？偛颗c分部之間數(shù)據(jù)共享，實現(xiàn)實時傳播。2、及時將各客運網(wǎng)點數(shù)據(jù)統(tǒng)一到集團總部，加強了數(shù)據(jù)管理即時可靠性、同步提高了工作效率，減少了人工成本。3、多WAN口設計，可滿足不同帶寬需求，也可同步滿足VPN備援功能，提供多一層安全保障。對于VPN聯(lián)機規(guī)定高度穩(wěn)定，雖然斷線也可及時接回，不影響正常運作。高速穩(wěn)定運營“汽車客運站售票系統(tǒng)”。4、解決了網(wǎng)絡病毒及蠕蟲毒病所苦，通過思科CISCO防火墻設立解決了網(wǎng)速因被黑客襲擊而受影響或內網(wǎng)顧客常被病毒襲擊侵擾。六、效果評測威海汽車客運集團總部與客運網(wǎng)點，通過實行思科CISCOVPN方案，建立了穩(wěn)定VPN聯(lián)機，有效保證了傳播數(shù)據(jù)實時與安全?？瓦\站售票系統(tǒng)運營穩(wěn)定，實現(xiàn)了集中管理，統(tǒng)一售票。應用思科CISCO系列產(chǎn)品及其解決方案以來，威海汽車客運集團VPN網(wǎng)絡運營良好。特別是因其有VPN線路備份功能，可保證時時聯(lián)機，穩(wěn)定性與安全性也極高，再也不用緊張在傳播數(shù)據(jù)過程間斷線導致困擾了。在效率上較此前電話聯(lián)網(wǎng)售票快了諸多倍，特別應對出票率最高峰時春運，效果尤為突出，得到集團公司領導必定和承認。七技術參數(shù)產(chǎn)品參數(shù)：CISCOPIX-501-50-BUN-K9CISCOPIX-501-50-BUN-K9基本規(guī)格設備類型公司級防火墻)硬件參數(shù)CPU;133MHzAMDSC520,閃存：8MB,隨機存儲內存16MBSDRAM并發(fā)連接數(shù)7500VPN支持支持網(wǎng)絡網(wǎng)絡吞吐量（Mbps）60挑錯(30分)安全性安全過濾帶寬(Mbps)3顧客數(shù)限制50入侵檢測DoS、IDS重要功能防火墻、虛擬個人網(wǎng)絡(VPN)和入侵保護，并支持URL過濾安全原則UL1950，CAN/CSA-C22.2No.60950-00，IEC60950，EN60950)其他控制端口RS-232管理CSPM、PDM電氣規(guī)格電源電壓（V）220電源功率（W）5外觀參數(shù)重量(Kg)0.34)長度(mm)159寬度(mm)140高度(mm)25CISCOPIX-501-BUN-K9參數(shù)CISCOPIX-501-BUN-K9基本規(guī)格設備類型公司級防火墻硬件參數(shù)CPU;133MHzAMDSC520,閃存：8MB,隨機存儲內存16MBSDRAM并發(fā)連接數(shù)7500VPN支持支持網(wǎng)絡網(wǎng)絡吞吐量（Mbps）60安全性安全過濾帶寬(Mbps)3顧客數(shù)限制10入侵檢測IDS,Dos重要功能防火墻,VPN,入侵保護,URL過濾安全原則UL1950，CAN/CSA-C22.2No.60950-00，IEC60950，EN60950其他控制端口RS-232管理CSPM、PDM電氣規(guī)格電源電壓（V）220電源功率（W）5外觀參數(shù)重量(Kg)0.34長度(mm)159寬度(mm)140高度(mm)25CISCOASA5510-SEC-BUN-K9參數(shù)基本規(guī)格設備類型公司級防火墻硬件參數(shù)3+1個管理迅速以太網(wǎng)端口,可升級到5個迅速以太網(wǎng)端口,1個SSM擴展插槽，2個USB2.RAM:256MB,FLASH:64MB,并發(fā)連接數(shù)130000VPN支持支持網(wǎng)絡網(wǎng)絡吞吐量（Mbps）300安全性安全過濾帶寬(Mbps)170顧客數(shù)限制無顧客數(shù)限制重要功能高性能防火墻、IPS、Anti-X以及IPSec和SSLVPN和IPSecVPN(150個設備對)軟件,支持防垃圾郵件、URL阻攔和過濾，以及防網(wǎng)絡釣魚安全原則UL1950，CSAC22.2No.950，EN60950IEC60950，AS/NZS3260，TS001其他控制端口console,2個RJ-45管理思科安全管理器(CS-Manager),Web電氣規(guī)格電源電壓（V）100-240VAC,47/63Hz電源功率（W）額定：150W,最大：190W外觀參數(shù)重量(Kg)9.07長度(mm)362寬度(mm)200.4高度(mm)44.5功能簡介：Cisco?ASA5500系列自適應安全設備是思科專門設計解決方案，可以將最高安全性和VPN服務與全新自適應辨認和防御（AIM）架構有機地結合在一起。作為思科自防御網(wǎng)絡核心組件，CiscoASA5500系列可以提供積極威脅防御，在網(wǎng)絡受到威脅之前就能及時阻擋襲擊，控制網(wǎng)絡行為和應用流量，并提供靈活VPN連接。思科提供強大多功能網(wǎng)絡安全設備系列不但能為保護中小公司和大型公司網(wǎng)絡提供廣泛而進一步安全功能，還能減少與實現(xiàn)這種安全性有關總體布置和運營成本及復雜性。是顧客統(tǒng)一威脅防御（UTM）解決方案抱負選取。CiscoASA5500系列可以在一種平臺中提供各種已通過市場驗證技術，無論從技術角度還是從經(jīng)濟角度看，都可覺得各種地點布置各種安全服務。運用其多功能安全組件，公司幾乎不需要作任何兩難選取，既可以提供強有力安全保護，又可以減少在各種地點布置多臺設備運營成本。圖1CiscoASA5500系列自適應安全設備CiscoASA5500系列可以通過如下核心組件協(xié)助公司更有效地管理網(wǎng)絡并提供出眾投資保護：通過市場驗證安全與VPN功能–全特性、高性能防火墻，入侵防御系統(tǒng)(IPS)，網(wǎng)絡防病毒和IPSec/SSLVPN技術提供了強大應用安全性，基于顧客和應用訪問控制，蠕蟲與病毒防御，惡意軟件防護以及遠程顧客/站點連接?？蓴U展自適應辨認與防御服務架構－運用一種模塊化服務解決和方略框架，AIM可依照每個流量狀況，應用特定安全方略或網(wǎng)絡服務，提供高度精準方略控制和Anti-x保護，并簡化流量解決。CiscoASA5500系列AIM架構具備出眾效率，安全服務模塊（SSM）則提供了軟件和硬件可擴展性，因而無需更換平臺，也不會減少性能，即可擴呈既有服務和布置新服務。作為CiscoASA5500系列架構基本，AIM支持高度可定制安全方略和前所未有服務可擴展性，來為威脅限度迅速提高環(huán)境提供保護。減少布置和運營成本–這種多功能設備可實現(xiàn)平臺、配備和管理原則化，從而減少布置與尋常運營成本。市場領先安全和VPN功能CiscoASA5500系列充分運用了思科在開發(fā)業(yè)界領先、屢獲大獎安全和VPN解決方案方面豐富經(jīng)驗，且集成了CiscoPIX?500系列安全設備、CiscoIPS4200系列入侵防御系統(tǒng)和CiscoVPN3000系列集中器最新技術。通過結合這些技術，CiscoASA5500系列提供了一種無與倫比最佳解決方案，能終結范疇最為廣泛威脅，并為公司提供靈活、安全連接選項。CiscoASA5500系列提供安全和網(wǎng)絡服務深度和廣度使其能保護網(wǎng)絡任意區(qū)域，涉及最常用威脅對象，如移動顧客、遠程地點，以及不可管理桌面和服務器。作為思科自適應威脅防御和統(tǒng)一安全接入方略核心組件之一，CiscoASA5500系列結合了各種安全和VPN技術，提供了豐富應用安全、Anti-x防御、網(wǎng)絡控制和抑制，以及安全連接特性。應用安全CiscoASA5500系列通過30種可檢查第二到七層網(wǎng)絡流量應用感知檢測引擎，提供了強大應用層安全性。為防止網(wǎng)絡遭受應用層襲擊，使公司能控制應用和合同在環(huán)境中使用方式，這些檢測引擎包括豐富應用和合同知識，采用了安全實行技術，涉及應用/合同命令過濾、合同異常事件檢測，以及應用和合同狀態(tài)跟蹤。作為另一種應用檢測和控制層，這些檢測引擎還采用了襲擊檢測和防御技術，如緩沖泛洪防御、內容過濾和驗證，以及URL顯示服務。檢測引擎合用于各種慣用應用和合同，涉及Web服務、文獻傳播服務、電子郵件服務、語音和多媒體服務、數(shù)據(jù)庫服務、操作系統(tǒng)服務和3G移動無線服務。這些檢測引擎也使公司能控制即時消息、對等文獻共享和其她隧道應用等威脅，協(xié)助公司實行使用方略，保護合法業(yè)務應用網(wǎng)絡帶寬。Anti-X防御CiscoASA5500系列提供了先進、高性能保護，可防御網(wǎng)絡和應用層襲擊、回絕服務（DoS）襲擊，以及蠕蟲、網(wǎng)絡病毒、特洛伊木馬、間諜軟件及廣告軟件等惡意軟件。要實現(xiàn)高效Anti-X防御，需將廣泛襲擊檢測技術與先進分析技術相配合，以實現(xiàn)高度精確威脅分類，從而保證在不影響合法網(wǎng)絡流量狀況下，實行相應防御辦法。高檔檢測技術－為保證能發(fā)現(xiàn)威脅，CiscoASA5500系列提供了眾多檢測辦法，以發(fā)現(xiàn)方略違背、異常活動和安全漏洞襲擊。這些辦法涉及用于終結數(shù)據(jù)流中隱藏襲擊狀態(tài)化模式辨認；用于驗證網(wǎng)絡流量合同分析；用于辨認涉及各種連接襲擊流量異常檢測；可通過觀測到合同或服務與正常RFC行為有所偏差而發(fā)現(xiàn)襲擊合同異常檢測；以及用于發(fā)現(xiàn)中間人襲擊第二層分析。專用防護可“凈化”網(wǎng)絡流量，以防止“逃避檢測”企圖；這些防護涉及IP分段重組和規(guī)范化、TCP流分段重組和規(guī)范化、TCP逃避控制、IP防電子欺騙和URL顯示。兩種思科創(chuàng)新分析和關聯(lián)技術可精確抵抗所發(fā)現(xiàn)威脅，與廣泛檢測技術相結合，它們是：風險評估和元事件生成器。風險評估－為保證能在不影響合法流量狀況下終結惡意襲擊，CiscoASA5500系列采用了思科創(chuàng)新風險評估技術。風險評估超越了用單因素方式擬定威脅風險普通辦法，用四種測量因素來擬定一種事件風險：事件嚴重限度－評分表達威脅相對影響特性可信度－評分表達特性精確度資產(chǎn)價值－定制化價值表達襲擊目的重要性（例如，配線間中打印服務器價值較低，數(shù)據(jù)中心中電子商務服務器價值較高）襲擊影響性－數(shù)值依照目的對襲擊類型易感性而定這四個因素結合可實現(xiàn)精確威脅評估，以便使顧客能自信地采用防御行動。元數(shù)據(jù)生成器－為迅速、精確地辨認和終結會迅速傳播并導致嚴重損失蠕蟲，CiscoASA5500系列采用了思科元數(shù)據(jù)生成器技術，此種技術可提供獨特設備內關聯(lián)功能。這可通過蠕蟲行為實時建模實現(xiàn)，這些行為涉及各種事件類型和各事件時間間隔關聯(lián)性。當蠕蟲試圖穿過網(wǎng)絡時，它們通過各種分組傳播而傳播，在諸多狀況下，這些分組看起來是合法流量。元事件生成器使用實時關聯(lián)服務，來辨認與蠕蟲傳播有關聯(lián)初始分組，并終結完畢蠕蟲蔓延所需后續(xù)分組傳播。這會導致蠕蟲無法完好無損地到達目地，從而“殺死”蠕蟲。網(wǎng)絡控制和抑制CiscoASA5500系列提供了范疇廣泛網(wǎng)絡控制和抑制服務，使公司能精準控制應用訪問和網(wǎng)絡流量傳播。作為安全基本，CiscoASA5500系列設備具備豐富狀態(tài)化檢測防火墻服務，可跟蹤所有網(wǎng)絡通信狀態(tài)并防止未授權網(wǎng)絡接入。通過CiscoASA5500系列提供高度靈活訪問控制服務，公司能實行其公司安全方略，以及應用和資源使用方略。依照各種元素，涉及顧客身份和顧客構成員關系、網(wǎng)絡資源地址、預定義或定制應用類型、有關VPN隧道、時間和星期幾等，可以便地制定方略。使用CiscoASA5500系列提供網(wǎng)絡和應用對象分組功能，可簡化這些應用持續(xù)管理，使公司能以便地向一種既有對象組添加新網(wǎng)絡設備或應用，使得新設備或應用可采用與對象組中其她成員相似方略。安全連接服務CiscoASA5500系列提供強大站點間和遠程接入VPN服務，使公司能在公共網(wǎng)絡上為移動顧客、遠程地點和業(yè)務合伙伙伴創(chuàng)立安全連接。這為實現(xiàn)安全提供了一種集成方式，使機構可獲得互聯(lián)網(wǎng)連接和成本優(yōu)勢，且不破壞公司安全方略完整性。通過將VPN服務與CiscoASA5500系列提供范疇廣泛安全服務相集成，公司可受益于更為強大、更為安全VPN連接。集成化思科自適應威脅防御功能有助于保證VPN不會成為蠕蟲、病毒、惡意軟件或黑客等網(wǎng)絡襲擊傳播途徑。公司可對VPN流量執(zhí)行詳細應用和訪問控制方略，以使各顧客和顧客組都只能訪問她們有權訪問服務和資源。此外，還能針對每個顧客、顧客組、隧道、消息流執(zhí)行定制服務質量（QoS）方略，以保證對各網(wǎng)絡流量提供相應優(yōu)先級和帶寬限制。遠程接入VPN－CiscoASA5500系列靈活技術提供了可符合連接需求定制解決方案，使可由公司管理員工桌面能通過IPSecVPN獲得強大、可定制遠程接入。對于公司不可管理終端，如外部網(wǎng)、互聯(lián)網(wǎng)服務亭或員工自己臺式機，CiscoASA5500系列為基于SSL遠程接入提供了WebVPN。運用思科豐富遠程接入經(jīng)驗，公司可布置一種為核心公司應用提供廣泛支持集成平臺。靈活平臺---在單一平臺上提供IPSec和基于SSLVPN服務，無需布置兩個并行解決方案。為SSL和IPSecVPN布置分立平臺會導致低效和成本增長，而CiscoASA5500系列避免了這些問題。永續(xù)集群---通過在CiscoASA5500系列和VPN3000系列上平均分派VPN連接，可經(jīng)濟有效地進行遠程接入布置，無需顧客干預。這一高度永續(xù)功能消除了單點故障，使公司能按需擴展其VPN終端，并為公司提供出眾投資保護。CiscoEasyVPN---提供了一種獨特可擴展、經(jīng)濟有效且易于管理遠程接入VPN架構。CiscoASA5500系列設備可動態(tài)地將最新VPN安全方略分發(fā)到遠程VPN設備和客戶端，保證那些遠程終端能在建立連接前獲得最新方略，從而提供最高水平靈活性、可擴展性和易用性。此外，CiscoASA5500系列為VPN客戶端軟件提供了“自動更新”功能，可使遠程桌面上運營思科VPN客戶端軟件實現(xiàn)自動版本更新。站點間VPN---運用CiscoASA5500系列提供原則站點間VPN功能，公司可安全地通過成本低廉互聯(lián)網(wǎng)連接，將網(wǎng)絡擴展到業(yè)務合伙伙伴及全球各地遠程和小型辦公室。合用于當前應用VPN基本設施---CiscoASA5500系列提供了一種能在安全IPSec網(wǎng)絡上融合語音、視頻和數(shù)據(jù)VPN基本設施，通過將強大站點間VPN支持和豐富檢測功能、QoS、動態(tài)路由及狀態(tài)化故障恢復特性相結合，使公司可受益于融合網(wǎng)絡眾多優(yōu)勢。強大安全性和性能---分支機構和遠程機構使公司可更好地進一步重要市場，布置于重要地點。通過基于CiscoASA5500系列VPN解決方案，各種站點間可實現(xiàn)安全、高速通信，提供了公司通信所必須出眾性能、可靠性和可用性。智能網(wǎng)絡集成CiscoASA5500系列以思科20近年網(wǎng)絡領域領先地位和創(chuàng)新技術為基本，提供了廣泛智能網(wǎng)絡服務，可無縫地集成入當今多樣化網(wǎng)絡環(huán)境。重要網(wǎng)絡集成功能涉及：第二層透明防火墻---無需更改任何地址，就能迅速地將CiscoASA5500系列布置于既有網(wǎng)絡。它提供了高性能狀態(tài)第二到七層安全服務，和針對網(wǎng)絡層襲擊保護，可集成入復雜路由、高可用性和組播環(huán)境。服務虛擬化---可將單一CiscoASA5500系列設備邏輯劃分為各種虛擬防火墻，每個防火墻有自己方略且分別進行管理。此功能合用于將各種防火墻整合入單一CiscoASA5500系列設備公司，或是提供可管理防火墻或托管服務電信運營商?；?02.1qVLAN支持---可以便地集成入互換式網(wǎng)絡環(huán)境。OSPF動態(tài)路由服務---可在幾秒內檢測出網(wǎng)絡中斷并繞行斷點傳播流量，從而提高了網(wǎng)絡永續(xù)性。合同獨立型組播（PIM）稀疏模式v2和雙向PIM路由支持---可安全地供應核心性實時公司應用、協(xié)作式計算應用和流媒體服務。IPv6支持---可安全地布置下一代IPv6網(wǎng)絡。服務質量（QoS）---低延遲隊列（LLQ）和流量監(jiān)管特性可支持有嚴格QoS規(guī)定應用，如語音或視頻，以保證端到端網(wǎng)絡QoS方略實行。對延遲敏感流量會獲得高于文獻傳播和其她較能適應延遲流量優(yōu)先級。IP電話“自動配備”服務---可協(xié)助電話注冊對的CiscoCallManager系統(tǒng)并下載更多配備信息和軟件鏡像，從而簡化IP電話布置。永續(xù)架構---為公司提供了狀態(tài)化主用/主用和主用/備用高可用性服務，以及VPN設備集群，可實現(xiàn)最高吞吐率和網(wǎng)絡正常運營時間。CiscoASA5500系列也支持“零停機軟件更新”，使公司可在故障恢復對上安裝軟件維護版本，且不會影響連接或網(wǎng)絡正常運營。此外，集成動態(tài)負載均衡功能為遠程接入VPN布置提供了高連接可擴展性和永續(xù)性。獨特自適應辨認和防御服務架構CiscoASA5500系列運用其獨特自適應辨認與防御服務架構為網(wǎng)絡提供了更高安全性和出眾網(wǎng)絡控制（圖2）。AIM架構使公司可以適應并擴展CiscoASA5500高性能安全服務，這是由于它可以運用可選安全服務模塊（SSM）提供出眾性能和擴展安全服務，并可以通過定制性高、針對信息流安全方略來滿足