思科MARS+IOS IPS功能的价值

  基于现有的业务流量模型，大部分企业的广域网系统基本采用星形组网架构：总部――分支机构。为了实现严格的安全防护，将总部及各分支机构划分为独立的安全区域，分别部署有防火墙及IPS设备，各安全区域内的安全设备一方面防范来自于外部区域的安全威胁流量，一方面也阻止了内部发起的安全威胁对其它区域及广域带宽造成影响。此种安全设备部署模式所带来的最大问题是投资大。


    思科多业务路由器ISR系列创新地将FW及IPS功能集成入IOS特性中，极大地节省了用户网络设备投资，配合总部部署的思科MARS系统可实现全网范围内的分布式攻击抑制、集中安全威胁管理，同时有效地解除了用户对ISR高流量时开启IOS IPS功能性能降低的担扰。具体实现原理如下：


    我们知道分支机构广域网ISR系列路由器Cisco 38/2800内置有IPS功能，但如果全部打开签名Signature（病毒等攻击识别特征，大约内置有1200多个）过滤，占用系统资源过多导致实用性不大。现在，我们通过在网络中心部署MARS以及在网络中心核心交换机Catalyst 6509E集成基于硬件、高性能的IDSM模块，一旦有一个分支节点发生病毒或攻击，网络中心的IDS/IPS模块会迅速发现（因为所有访问流量最终会汇聚到核心交换机上），向MARS汇报，MARS会立即将针对此问题的对应签名Signature推到其它所有分支节点广域网路由器，广域网路由器即可打开此签名，通过内置的IPS功能对符合特征的问题流量DROP掉，从而确保其它分支点的安全，抑制病毒或攻击的泛滥。由于只打开了需要的有针对性的签名，使得各分支机构广域网路由器处理性能几乎不受影响，安全防护得以真正实现。这里主要考虑到相同应用环境、同一时期安全事件发生有其相似性的特点。


    MARS解决方案真正实现全网范围的分布式威胁抑制，具有极强的扩展性及安全性，是其它厂商所不具备，更加证明思科网络架构和安全架构的整体优势。