【正文】 使政府單位能夠向管理員和操作員授予對每種設(shè)備的不同訪問等級（例如：只允許執(zhí)行 VPN 服務(wù)配置、只允許執(zhí)行防火墻服務(wù)配置、只允許監(jiān)控或者只提供 對配置的只讀訪問等）。另外，Cisco Adaptive Security Device Manager 還能全面管理所有威脅防御特性，通過同 一個控制臺配置和保護(hù) VPN 連接的各個方面。思科 ASA 獨(dú)有的內(nèi)置安全管理軟件平臺(ASDM) 可以以圖形畫的界面幫助用戶進(jìn)行所有相關(guān)功能的配置，以及設(shè)備監(jiān)控，包括 CPU、帶寬利 用率以及連接及并發(fā)會話數(shù)量監(jiān)控等等。從而大大降低安全設(shè)備的管理復(fù)雜性? 提供對ASA的圖形化管理，配置 和監(jiān)控工具。? 支持通過 圖 形化界面 配 置下列 安全功能: 訪問控制 應(yīng)用安全Antix amp。 attack svcs VPN 策略路由 AAA 認(rèn)證及其他? 支持下列網(wǎng)絡(luò)監(jiān)控功能: Syslog (realtime) 連接數(shù)量 數(shù)據(jù)吞吐量 系統(tǒng)狀態(tài) amp。 more完整的功能管理 理當(dāng)前設(shè)備狀態(tài)實(shí)時動態(tài)檢測實(shí)時性能監(jiān)控集成時間管理Policy ViewTopology ViewCisco ASA 5500 系列為 VPN 部署提供了一個靈活的全特性平臺。安全的遠(yuǎn)程接入會話可以從 SSL 型 Web 瀏覽器建立，也可以從 VPN 客戶端建立，因而實(shí)現(xiàn)了最高的靈活性和應(yīng)用 連接。強(qiáng)大的站點(diǎn)到站點(diǎn) VPN 服務(wù)、豐富的檢查功能和 QoS 特性，為當(dāng)今的應(yīng)用提供了一 種能夠通過安全 IPSec 網(wǎng)絡(luò)傳輸語音、視頻和數(shù)據(jù)的 VPN 基礎(chǔ)設(shè)施。利用 Cisco ASA 5500 系列，不需要增加成本，也不需要提高設(shè)計(jì)、部署或運(yùn)作的復(fù)雜性， 就能夠?qū)⒃L問控制、應(yīng)用檢測和威脅防御作為 VPN 解決方案的一部分。管理員只需制定一 個網(wǎng)絡(luò)策略，就可以既提高安全性，又保持網(wǎng)絡(luò)環(huán)境的可訪問性。利用思科在 VPN 方面的豐富專業(yè)知識，云宵縣檢察院內(nèi)網(wǎng)絡(luò)只需部署一個集成式平臺，就可以一方面支持核心網(wǎng)絡(luò)應(yīng)用，一方面提高易于管理性和部署靈活性。初次之外，思科 ASA 獨(dú)有的內(nèi)置安全管理軟件平臺(ASDM)可以以圖形畫的界面幫助用 戶進(jìn)行所有相關(guān)功能的配置，以及設(shè)備監(jiān)控，包括 CPU、帶寬利用率以及連接及并發(fā)會話數(shù)量監(jiān)控等等。從而大大降低安全設(shè)備的管理復(fù)雜性? 提供對ASA的圖形化管理，配置 和監(jiān)控工具。? 支持通過 圖 形化界面 配 置下列 安全功能: 訪問控制 應(yīng)用安全Antix amp。 attack svcs VPN 策略路由 AAA 認(rèn)證及其他? 支持下列網(wǎng)絡(luò)監(jiān)控功能: Syslog (realtime) 連接數(shù)量 數(shù)據(jù)吞吐量 系統(tǒng)狀態(tài) amp。 more完整的功能管理 理當(dāng)前設(shè)備狀態(tài)實(shí)時動態(tài)檢測實(shí)時性能監(jiān)控集成時間管理Policy ViewTopology View 內(nèi)外網(wǎng)安全隔離和數(shù)據(jù)交換為實(shí)現(xiàn)市檢查院外網(wǎng)門戶網(wǎng)站對公服務(wù)業(yè)務(wù)的在線快速受理和信息處理結(jié)果的及時反 饋，在保障 云宵縣檢察院專網(wǎng)安全性的前提下，在專網(wǎng)和外網(wǎng)之間進(jìn)行數(shù)據(jù)互交換。可以在專網(wǎng)和外網(wǎng)之間部署一臺高性能安全隔離網(wǎng)閘，安全隔離網(wǎng)閘部署在外網(wǎng)前置數(shù) 據(jù)庫服務(wù)器和專網(wǎng)核心數(shù)據(jù)庫服務(wù)器之間。數(shù)據(jù)庫服務(wù)器以雙千兆鏈路通過交換設(shè)備連接到安全隔離網(wǎng)閘。在保證專網(wǎng)和外網(wǎng)的物理隔離和專網(wǎng)數(shù)據(jù)安全的基礎(chǔ)上，實(shí)現(xiàn)專網(wǎng)和外網(wǎng)之間的雙向高 速數(shù)據(jù)交換。 檢查院專網(wǎng)數(shù)據(jù)中心設(shè)計(jì)方案 數(shù)據(jù)中心架構(gòu)建設(shè)傳統(tǒng)內(nèi)部網(wǎng)/局域網(wǎng)內(nèi)的服務(wù)器部署沒有嚴(yán)格的規(guī)定，往往造成數(shù)據(jù)的分散存儲，由 此帶來安全性、性能性、可靠性方面的各種問題。新的網(wǎng)絡(luò)在設(shè)計(jì)之初，就應(yīng)該避免業(yè)務(wù)數(shù) 據(jù)的分散部署，因此構(gòu)建一個高效、安全、可靠的數(shù)據(jù)中心就成為一個公檢法信息化的重要 內(nèi)容。數(shù)據(jù)中心的設(shè)計(jì)，必須考慮以下 5 點(diǎn)：1. 存儲整合與虛擬化使用計(jì)算的出現(xiàn)，要求數(shù)據(jù)中心及其存儲聯(lián)網(wǎng)基礎(chǔ)設(shè)施進(jìn)行相應(yīng)的改進(jìn)，以實(shí)現(xiàn)使用計(jì)算的優(yōu)勢。對于 SAN，這就意味著進(jìn)行前所未有的大規(guī)模整合，并通過存儲及網(wǎng)絡(luò)虛擬化方面的 改進(jìn)提高可管理性。2. 服務(wù)器群整合 為改善服務(wù)，對業(yè)務(wù)需求快速作出響應(yīng)，數(shù)據(jù)集中已經(jīng)成為政府業(yè)務(wù)發(fā)展的必然趨勢。業(yè)務(wù)連續(xù)性業(yè)務(wù)連續(xù)性計(jì)劃中最重要的部分是存儲技術(shù)和基礎(chǔ)網(wǎng)絡(luò)，它們能夠保護(hù)公司的數(shù)據(jù)和知識資產(chǎn)并保持其可用性。3. 內(nèi)容網(wǎng)絡(luò)思科內(nèi)容傳輸網(wǎng)絡(luò)(CDN)允許服務(wù)供應(yīng)商和政府將豐富的媒體內(nèi)容分配到離目標(biāo)客戶更近的 地方，它克服了如網(wǎng)絡(luò)帶寬可用性、距離或延遲障礙、源服務(wù)器可擴(kuò)展性和峰值期間的擁塞 等問題。4. 高性能運(yùn)算集群和高性能計(jì)算正逐步進(jìn)入政府。很多應(yīng)用，例如 Microsoft Exchange 和 Oracle 10g，都能 組成集群（而且經(jīng)常按集群銷售）。5. 存儲網(wǎng)絡(luò)安全為了保持一個業(yè)務(wù)的正常運(yùn)行，數(shù)據(jù)——政府最重要的資產(chǎn)——必須在任何時候都可供使 用。不僅數(shù)據(jù)丟失會造成災(zāi)難性的后果，數(shù)據(jù)無法訪問也會造成同樣嚴(yán)重的損失。以往的數(shù)據(jù)中心建設(shè)中，遵循的是“以服務(wù)器為中心”的原則，由于業(yè)務(wù)的復(fù)雜性，客 戶往往需要選擇數(shù)據(jù)交換機(jī)、4‐7 層交換機(jī)、Cache 設(shè)備、SSL 訪問集中器、應(yīng)用加速設(shè)備、 防火墻、入侵檢測設(shè)備等種類繁多的設(shè)備，來實(shí)現(xiàn)數(shù)據(jù)交換、服務(wù)器負(fù)載均衡、業(yè)務(wù)數(shù)據(jù)緩 存、SSL 流量處理、網(wǎng)絡(luò)安全管理等業(yè)務(wù)需求。復(fù)雜的技術(shù)組合帶來了更高的投資成本和管 理維護(hù)成本，不同廠商產(chǎn)品間的無縫集成也極大的困擾著客戶。隨著應(yīng)用的要求不斷變化，新的數(shù)據(jù)中心設(shè)計(jì)已開始遵循“以業(yè)務(wù)為中心”的原則，所 有的服務(wù)器、網(wǎng)絡(luò)設(shè)備、計(jì)算能力等都必須具備模塊化的組合能力，以適應(yīng)持續(xù)增長的業(yè)務(wù) 處理要求。公檢法單位需要對大量信息數(shù)據(jù)進(jìn)行集中管理提高服務(wù)響應(yīng)能力，同時 云宵縣檢察院的 IT 管理 部門在管理數(shù)據(jù)中心時總是需要在現(xiàn)網(wǎng)的基礎(chǔ)上盡可能多的降低運(yùn)維管理費(fèi)用，并且不增加 管理復(fù)雜度，不增加網(wǎng)絡(luò)設(shè)備的占用空間。為了達(dá)到上述目標(biāo)，在高效的網(wǎng)絡(luò)上傳送應(yīng)用服 務(wù)，通常會遇到各種各樣的困難，這些困難包括：? 部署一項(xiàng)新的、按需而生的應(yīng)用需要耗費(fèi)大量的時間和金錢? 未充分利用服務(wù)器資源導(dǎo)致效率偏低? 多廠家設(shè)備使得應(yīng)用傳送平臺架構(gòu)越來越復(fù)雜? 應(yīng)用響應(yīng)時間越來越長，導(dǎo)致客戶滿意度降低，降低生產(chǎn)率，喪失競爭優(yōu)勢? 交易數(shù)增長受限于數(shù)據(jù)網(wǎng)絡(luò)容量，降低應(yīng)用效率? 基于應(yīng)用的攻擊呈上升趨勢為了克服以上困難，云宵縣檢察院數(shù)據(jù)中心需要一個簡單的易于管理的應(yīng)用平臺架構(gòu)?；谠?平臺應(yīng)當(dāng)能夠快速的部署各種新應(yīng)用，應(yīng)當(dāng)能部署各種高級別的關(guān)鍵應(yīng)用。所以我們建議此 次網(wǎng)絡(luò)建設(shè)中，在數(shù)據(jù)中心建設(shè)中可以在網(wǎng)絡(luò)設(shè)備層面提供完善的解決方案?？梢酝ㄟ^在6500 平臺上嵌入智能服務(wù)模塊－ACE 負(fù)載均衡器解決以上問題，這也正是思科公司 ACE 負(fù) 載均衡模塊的設(shè)計(jì)初衷。思科的 6500 交換機(jī)提供了一個高性能的綜合業(yè)務(wù)交換平臺，集成了各類業(yè)務(wù)服務(wù)模塊， 能夠滿足客戶最全面的技術(shù)需求，簡化了網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜度，并提供更優(yōu)的設(shè)備兼容性和更 高效簡單的綜合管理。思科的服務(wù)器交換機(jī)提供全線速的千兆接入和萬兆上聯(lián)，是服務(wù)器集 群接入的理想之選。同時思科還將提供存儲交換、高性能計(jì)算、光交換等全線數(shù)據(jù)中心技術(shù) 產(chǎn)品。 ACE產(chǎn)品介紹Cisco 應(yīng)用控制模塊 (Application Control Engine, ACE) 是適用于 Catalyst 6500 設(shè)備的專用業(yè)務(wù)模塊，可以為后臺應(yīng)用服務(wù)器提供高性能表現(xiàn)和最高級別的體系控制和安全保護(hù)。ACE 主要針對政府大型用戶的服務(wù)器集群環(huán)境，可以有效地對重要應(yīng)用數(shù)據(jù)的傳送進(jìn)行優(yōu)化 和簡化，同時具備良好的性價比。ACE 提供了如下的性能和功能：（1） ACE 提供四到七層數(shù)據(jù)包的內(nèi)容交換和負(fù)載均衡功能，為服務(wù)器機(jī)群提供虛擬地 址和端口。ACE 在插入 Catalyst 6500 后，交換機(jī)上的所有端口即可成為四層交換端 口。ACE 與 Catalyst 6509 數(shù)據(jù)總線和交換矩陣都有連接，最高帶寬可擴(kuò)展為 16Gbps, 每秒連接數(shù)為 345000 個。（2） ACE 具備資源分配和隔離功能。在一個物理模塊中，ACE 可以劃分為多個獨(dú)立的分 區(qū)，每一個分區(qū)都可以分配給一個應(yīng)用或者一個用戶使用。另外，每一個分區(qū)都支持 層次化的管理模式，提供了資源管理的靈活性和安全性。ACE 支持 基于角色的訪問 控制(rolebased access control), 所有的用戶都被分配了相應(yīng)的角色(role),每個 角色在分區(qū)內(nèi)被允許執(zhí)行相關(guān)的命令集。例如系統(tǒng)管理員角色(system admin role) 可以執(zhí)行 ACE 所有的命令而應(yīng)用程序管理員角色(application admin role)只能執(zhí)行 和后臺應(yīng)用及內(nèi)容交換的命令等。（3） ACE 具有強(qiáng)大的安全功能，可以有效地保護(hù)后臺的應(yīng)用程序免受惡意攻擊。主要 的技術(shù)包括： HTTP 深層包檢測、雙向動態(tài)、靜態(tài)和基于策略的地址轉(zhuǎn)換(NAT/PAT)， 訪問控制列表、TCP 包頭驗(yàn)證、TCP 連接狀態(tài)監(jiān)控等。（4） ACE 支持多層次的冗余性，對關(guān)鍵業(yè)務(wù)提供最高等級的可用性保護(hù)。ACE 的冗余保 護(hù)對動態(tài)的連接進(jìn)行保護(hù)，保證當(dāng)主業(yè)務(wù)板卡故障時業(yè)務(wù)連接仍然得以保持。ACE 是 目前業(yè)界唯一可以實(shí)現(xiàn)以下三種高可用性保護(hù)的四層交換機(jī)? 機(jī)箱間冗余 兩臺機(jī)箱間的 ACE 板卡可互為冗余保護(hù)? 板卡間冗余 同一機(jī)箱內(nèi)的多個 ACE 板卡可互為冗余保護(hù)? 虛擬分區(qū)前冗余 –同一 ACE 板卡內(nèi)的不同虛擬分區(qū)之前可互為保護(hù)（5） 硬件加速方式的協(xié)議控制，對常見協(xié)議提供有效的檢查、過濾和綁定。 這些協(xié) 議包括 HTTP,RTSP,DNS,FTP,ICMP 等。硬件方式實(shí)現(xiàn) ACL 和 NAT 功能，最多支持一百 萬個 NAT 轉(zhuǎn)換表項(xiàng)。 ACE的優(yōu)勢思科 ACE 系列產(chǎn)品具有應(yīng)用和網(wǎng)絡(luò)運(yùn)行管理功能，可從新的層面控制用戶在擴(kuò)展企業(yè) 內(nèi)部署、運(yùn)行、提供、保護(hù)和管理應(yīng)用及業(yè)務(wù)服務(wù)的方式（圖 1）。思科 ACE 提供了更強(qiáng)大 的應(yīng)用基礎(chǔ)設(shè)施控制，使企業(yè)能夠快速部署和遷移應(yīng)用，在為終端用戶提供最高服務(wù)水平的 同時，簡化數(shù)據(jù)中心的總體管理和運(yùn)營。憑借將最高的應(yīng)用性能、應(yīng)用安全和基礎(chǔ)設(shè)施簡化 匯集于一身，思科 ACE 解決方案可以幫助企業(yè)和運(yùn)營商降低總運(yùn)營開支(OpEx)和投資開支(CapEx)。圖 1. 思科 ACE 模塊應(yīng)用基礎(chǔ)設(shè)施控制虛擬分區(qū)實(shí)現(xiàn)了資源分段和隔離，使思科 ACE 可作為一個物理模塊中的多個獨(dú)立虛擬 模塊運(yùn)行。憑借這個解決方案，企業(yè)能夠利用一個思科 ACE 模塊，為多達(dá) 250 個不同的企 業(yè)機(jī)構(gòu)、應(yīng)用、或客戶和合作伙伴提供事先定義的服務(wù)水平。虛擬分區(qū)使應(yīng)用基礎(chǔ)設(shè)施能更 好地用于業(yè)務(wù)運(yùn)營，同時減少設(shè)備并實(shí)現(xiàn)出色的控制。 另外，每個虛擬分區(qū)還包括分級管理域，既能確保應(yīng)用的性能水平，又可使ACE模塊中的可用資源得到最大限度的利用。思科 ACE 為分散的管理提供集中的控制，從而為每個虛擬分區(qū)提供了基于模板的或可 自定義的用戶訪問權(quán)限?；诮巧脑L問控制(RBAC)特性允許企業(yè)對管理角色進(jìn)行定義，限 定管理員對模塊或虛擬分區(qū)內(nèi)特定功能的使用權(quán)。由于一個機(jī)構(gòu)中可能有多位管理員需要以 不同級別（例如，應(yīng)用管理、服務(wù)器管理、網(wǎng)絡(luò)管理、安全管理等）與思科 ACE 模塊互動， 因此，對這些管理角色進(jìn)行準(zhǔn)確定義，使每個管理員群組都能夠在不影響其他群組的情況下 順利地執(zhí)行任務(wù)，無疑是一項(xiàng)重要工作。憑借應(yīng)用基礎(chǔ)設(shè)施控制功能，思科 ACE 大幅提高了工作總量，使您能對應(yīng)用需求作出快速響應(yīng)（圖 2）。圖 2. 思科 ACE 虛擬分區(qū)和 RBAC物理模塊管理分區(qū) 分區(qū) A 定義分區(qū) B 定義分區(qū) A 分區(qū) B1 號域 2 號域角色管理 網(wǎng)絡(luò)/安全資源分配管理配置VIP 2服務(wù)器群1服務(wù)器群2服務(wù)器群3服務(wù)器群4SSL證書 1,2服務(wù)器管理監(jiān)控管理工作站應(yīng)用性能思科 ACE