思科网络安全SouthBay BMW成功案例

发表于:2007-06-23来源:作者:点击数: 标签:
【导读】Cisco3800系列集成多业务路由器支持各种先进的安全功能,包括入侵防范、CiscoIOS防火墙和通过Cisco网络准入控制(NAC)实现的防病毒机制。 SouthBayBMW公司希望能找到合适的方法使自己的网络和关键任务应用程序免受光纤截断和病毒攻击的影响。借助Cisc

   

    【导读】Cisco3800系列集成多业务路由器支持各种先进的安全功能,包括入侵防范、CiscoIOS防火墙和通过Cisco网络准入控制(NAC)实现的防病毒机制。

    SouthBayBMW公司希望能找到合适的方法使自己的网络和关键任务应用程序免受光纤截断和病毒攻击的影响。借助Cisco公司安全、高度有效的网络技术,SouthBay BMW得以建立起最终的代理商网络。

    商业挑战

    为了满足日益增长的客户群的需要,HitchcockAutomotive公司计划迁址旗下的SouthBayBMW代理商,并最终将新的销售和服务中心定在美国加州托兰斯市。Hitchcock Automotive公司计划将这个新服务中心作为自己的旗舰店, 其规划使用面积110000平方英尺,拥有80个全封闭的维修车间。Hitchcock公司的企业总部与包括South Bay BMW在内的6家代理商联网,与该网络直接相关的公司员工达600人。

    该公司的信息系统副总裁RichMorris独立负责该公司的网络运行。HitchcockAutomotive公司已经部署了CiscoSystems® 的网络,而且新的South Bay BMW驻地的纯净环境可为实施最先进的网络技术提供便利。

    “我最关心的是应用的有效性,”Morris说,“如果出现网络故障,我们在SouthBayBMW代理商的150名员工就会丧失生产力。比方说,如果我们要花费5万美元搞一次周末促销活动但主应用程序却意外地停机了,那么我们就会为此损失大笔资金。”当在为新的服务中心决策架设何种网络时,Morris坚持让代理商架设弹性最大的网络。

    过去,网络停机的最主要原因是本地服务提供商的T1连接发生光纤截断故障,由此导致代理商与公司总部的WAN连接和主生产程序的连接中断。此外,铺设在多个建筑物之间的以太网连接很难实现高可用性、高安全性的LAN。本地网络对来自病毒、蠕虫和间谍软件的攻击非常脆弱,更进一步降低了网络性能。此外,由于病毒和蠕虫在进入网络后能自身复制和快速传播,这就使整个企业网络变得异常脆弱。Morris每次需要12名员工为150个系统升级安全补丁-这种升级活动每月进行1到2次,每次花费5千到6千美元。

    由于缺乏专门的网络和信息系统工程师的协助,Morris向Cisco公司的高级认证代理商PraxisComputing公司寻求帮助。Cisco高级认证代理商都是独立的计算机技术咨询公司,可提供优质的技术和培训服务。身为Cisco高级认证代理商的一员,PraxisComputing享有充足的资源,可在实施和支持Cisco Systems网络解决方案时提供最优质的服务。

    “当我打算架设一个WAN时,我与最大的几家服务提供商沟通过,但发现他们并不理解我们对高可用性的要求,”Morris说,“最终我找到了Praxis公司的JeffRoback,他倾听我们的需求,并制定了一个出色的解决方案。当我们开始为SouthBay代理商架设网络时,我很自然地又想到了他。”

    “我和Rich打算充分利用Cisco设备在安全和网络弹性上的最新技术,”Praxis公司的工程副总裁JeffRoback说,“已经建立的高效WAN网络为扩展应用提供了一个坚实的基础。”

    “我想取得网络的高度可用性和安全性,我们做到了,而且结果超出预期。”

    —RichMorris,信息系统副总裁,HitchcockAutomotiveGroup旗下的South Bay BMW公司

    网络解决方案

    为了保证SouthBayBMW公司的新网络能够满足Morris对可用性和安全性的要求,Roback将该公司的企业路由器升级为Cisco3845集成多业务路由器,并在South Bay BMW内安装了Cisco 3825集成多业务路由器。Cisco 3800系列集成多业务路由器支持各种先进的安全功能,包括入侵防范、Cisco IOS防火墙和通过Cisco网络准入控制(NAC)实现的防病毒机制,并借助AIM-HPII-PLUS模块支持最多2500个VPN通道。South Bay BMW的路由器还有可选的以太网供电(PoE)功能,也即线内供电功能,使路由器能够更轻松地支持如安全摄像机等外部设备,并有效地将低了以太网供电的成本。

    “Cisco3800系列集成多业务路由器集成了智能保护交换(IPS)功能,当网络流量进入路由器时会自动执行防火墙功能,”Roback说,“这极大地改善了网络的安全性。”

    冗余的点对点T1链接将公司总部与SouthBayBMW的Cisco3825集成多业务路由器连接起来。在代理商侧,Morris还部署了两台具有PoE功能的Cisco Catalyst® 3750 48端口交换机。Cisco Catalyst 3750系列交换机集成了Cisco StackWise?技术,在紧凑的外型下可提供高度的可扩展性和弹性。借助Cisco StackWise技术,South Bay BMW公司可将9台Cisco Catalyst 3750系列交换机整合为一部32-Gbps交换设备以实现统一管理。Cisco Catalyst 3750交换机还能为部署在服务中心的大量无线接入点供电。

    Cisco3825集成多业务路由器由于连接了冗余交换机,因此任何一台交换机出现故障都不会导致网络性能的下降。此外,CiscoCatalyst交换机还内嵌威胁防御机制,可有效保护网络免受病毒和蠕虫的威胁。

    在该公司的布线室内安装有7台CiscoCatalyst295048端口交换机,可提供全线速的高速以太网和千兆以太网连接,其众多软件功能和配置使Morris能够从容地进行功能组合以满足South Bay BMW的网络要求。

    为了提高网络的安全性和弹性,Roback建议将该公司原来的互联网路由器升级为Cisco2811集成多业务路由器。Cisco2811路由器具有各种先进的安全功能,如硬件加密加速、IP安全(IPSec) VPN、防火墙、线内入侵防御(IPS)、Cisco网络准入控制(NAC)和URL过滤功能。一旦发生主路由器故障或T1链路中断,可将Cisco 2811集成多业务路由器的VPN功能作为后援以避免网络失效。

    在代理商内部署有10个CiscoAir.net®1300系列接入点,其中多个接入点的位置非常难于供电和连接以太网。Morris使用CiscoCatalyst交换机的PoE功能为这些接入点供电,所有的接入点平均连接到2台交换机上。如果有一台交换机发生故障,则至少还有一半的接入点仍能正常工作,而此时CiscoWorks无线LAN解决方案引擎(WLSE)将会动态地调整余下的接入点的信号强度以维持网络功能。

    Roback还在每位员工的台式电脑上安装了Cisco安全代理软件,大大增强了代理商网络对病毒、蠕虫、间谍软件和未授权的软件安装的防范能力。Cisco安全代理能够监控每一台计算机的异常动作。普通的防病毒软件依靠定期升级病毒签名来防范病毒,而Cisco安全代理不是基于签名机制,它对网络的保护不依赖于防病毒升级。由于驻留在台式计算机内部并能在入侵程序侵入网络前予以识别,Cisco安全代理可以有效地降低损失。

    商业价值

    虽然光纤截断和恶意软件的入侵永远是网络安全的潜在威胁,但SouthBayBMW公司的网络已经不像过去那样脆弱了。Morris认为新Cisco网络的最大优点是它的弹性。借助Cisco集成多业务路由器,该网络能改换路由以避免互联网失效-不只限于SouthBay BMW,对于其他代理商乃至公司总部也同样适用。

    “我们可以将其他代理商的网络作为某家代理商网络的后援,”Morris说,“现在,所有的互联网路由器都在监控互联网的连接故障,一旦发现故障,它们就会动态地改换路由,例如,将网络流量由BMW代理商处转移到Ford代理商。我们也遇到过光纤截断问题,但我们内置的冗余性可以有效地解决问题。”来自其他工作场所的经理们现在可以在SouthBayBMW现场登陆到公司网络并实现远程办公。由于有了高度可用的网络,公司负责销售、配件、服务、旧车、财会和薪资的员工们能够一直连接到代理商的主要经销商管理系统程序。

    “以不同的方式灵活地连接并防止网络失效,这真是不错,”Morris说,“互联网一直保持连接而且速度很快。我们的目标就是使网络对我们的员工是透明的,我们做到了。”

    PoE功能不仅方便了SouthBayBMW公司无线接入点的部署,而且还削减了在大厦100英尺高的天花板上和维修车间内进行电气布线的成本。该系统使自动化技术人员能够安全、直接地访问BMW企业网络以实现故障检查和信息获取,它还使SouthBay BMW公司能够在客户等待提货时为客户提供Wi-Fi接入和娱乐服务,并方便员工获取培训资料。

    Morris认为,如果不采用PoE技术,向无线系统供电的成本将会上升4倍。每一个无线网络都能独立地实现安全。比如说,技术人员无线访问BMW公司的诊断网络与客户的Wi-Fi接入网络,两者之间是安全的。公司员工可以无线访问核心经销商管理系统。每一个接入点都能自动识别该用户是否是公司员工,如果是,则会在路由前将事务进行加密。如果客户想要浏览互联网,则网络会自动将客户权限限制在浏览。该网络还能为卫星电视传播自动识别和分离视频摄像机信号。

    Cisco安全代理为Morris节省了时间和金钱。如果有病毒侵入计算机,Cisco安全代理会禁止其进行任何恶意动作。Roback和Morris曾对此进行过试验。他们在半数计算机上安装了Cisco安全代理。两周后病毒发作,只有安装了Cisco安全代理的计算机幸免于难。该软件还能防范间谍软件。

    “我不必再牺牲自己的周末时间来升级机器了,”Morris说,“如果病毒发作,我们有充足的时间来解决问题。”Morris现在能够成功地在经销商的主应用程序上测试补丁的兼容性,并可节省一半的成本。“Cisco安全代理几乎完全消除了来自间谍软件、未授权的软件安装和病毒攻击的威胁。”

    “我们遵循Gramm-Leach-Bliley法案,”他补充说,“在我们的网络中安装了Cisco安全代理和其他安全功能后,我可以保证我们已经具有了有效的安全控制以防止信息泄密。”

    下一步

    Roback和Morris正在对VPN失效功能进行测试。Morris希望能够采用VPN失效备用机制来减少一个TI连接,从而在不牺牲网络可靠性的前提下降低每月的维护费用。

    “由于在网络和建筑中安装了安全、可靠的基础设施,我现在可以将自己的精力集中在管理关键的生产力应用程序上,”Morris说,“我想取得网络的高度可用性和安全性,我们做到了,而且结果超出了预期。”

原文转自:http://www.ltesting.net