思科安全方案销售手册.doc

经销商安全手册网络专家为您提供多层次、集成化的网络安全保护经销商安全手册目录为什么思科是网络安全产品的理想选择 2怎样开始 4成功销售安全产品的六个步骤 10思科安全解决方案 16SAFE网络设计 22思科安全专业化合作伙伴 28参考指南 30速览表 31为什么思科是网络安全产品的理想选择思科所提供的多种端到端安全解决方案可以帮助客户提高生产率、降低成本和增强盈利能力。思科的SAFE蓝图可以确保网络的每个部分都具备足够的安全性，其中包括它的基础设施。思科安全解决方案可以通过多种方式帮助您增强您的竞争优势：范围广泛的解决方案思科可以提供目前市场上范围最为广泛的安全产品。它们都建立在思科AVVID的基础之上，思科AVVID支持可扩展性，符合电子商务的需要。深入保护今天的网络环境意味着传统的节点式产品（例如防火墙）已经不足以满足视频、语音和数据的集成，以及多媒体观看、移动访问、服务质量（QoS）、电子商务等功能的需要。思科的安全解决方案采用了一种层次化的保护战略，可以部署到网络的每个部分。它们的模块化部署让企业可以最大限度地利用现有的产品，保护以前投入的资金。1999年3月首次在互联网上出现的Melissa病毒给全球的计算机造成了总值八千万美元的损失。互操作性思科AVVID合作伙伴计划为产品的互操作性提供了一个正式的第三方环境。24×7的全球性技术支持思科在提供“全天候”的全球技术支持方面处于业界领先地位，这可以帮助客户大幅度降低整体运营成本。曾经获得大奖的思科服务包括各种工具、技术和资源，它们能够在尽量不给用户造成不变的情况下安装、维护和改进思科安全产品。领导责任尽管思科以PIX防火墙、入侵检测系统（IDS）、访问控制列表（ACL）和VPN集中器等产品在安全市场中占据了领袖地位，但是我们已经认识到，只有通过与政府/企业的全面合作才能解决企业今天所面临的全球性安全问题。因此，思科与其他一些重要的网络供应商和政府领导人进行了密切的合作，共同为这个困扰整个行业的难题设计了一种全面的解决方案。思科将继续致力于不断开发先进的安全技术。怎样开始介绍思科安全解决方案的最佳方法是了解您所结识的客户联络人的特殊需求或者他们最近发现的安全漏洞。您应当向下面三种对象介绍思科解决方案：企业决策制定者IT管理网络技术决策制定者网络设计和管理安全技术决策制定者安全管理和设计BDMIT管理NTDM网络设计和管理STDM安全管理和设计情境分析l 关心怎样防止某种威胁对于企业形象和信誉的损害（例如即将进行的解雇行动和IPO等）l 需要保持和提升生产率l 能够利用新的技术，例如无线、IP电话等l 可能“没有”安全预算l 可以帮助您与其他的IT团队建立联系l 可能对保障网络基础设施的安全感兴趣l 可能是应用开发团队甚至普通IT支持团队的成员l 非常精通专用的安全产品l 可能不熟悉层次化的保护方式您的推销方法l 讨论安全问题对生产率可能造成的影响l 讨论为什么安全是一个流程，而不是一个产品l 强调思科可以确保IP电话的安全l 强调制定集成化的安全战略（包括Sec Ops和Net Ops）的需求l 强调将安全性集成到网络基础设施中的重要性。思科是唯一一个拥有对安全问题和网络问题都很敏感的高度集成化解决方案的公司。l 说明一个集成化的安全解决方案对于新的无线和IP语音（VoIP）部署的重要性。l 强调安全问题也是网络问题（NIMDA、DoS），介绍SAFE可以怎样解决这些问题l 鼓励他们试用思科产品l 强调整体运营成本（TCO）的重要性思科产品的整体运营成本通常都低于其他同类产品l 帮助他们将SAFE作为新技术的安全指南（例如无线和IP电话）l 强调通过对其网络基本状况的评估找出现有安全漏洞的重要性基于下面三个重要原因，销售安全产品可以立即带来丰厚的利润：网络安全市场是一个庞大的、高端的、正在迅速发展的市场，而且在市场低迷时具有很强的弹性。IDC预计企业在2002年的安全开支包括：l 20亿美元集成化防火墙和虚拟专用网（VPN）设备l 90亿美元VPN服务l 15亿美元专用VPN产品l 8亿美元入侵检测设备和软件在2002年，40%的全球2000强企业都开始实施整个企业的安全计划（META Group）。西欧的一个喜欢研究在线金融站点的安全性的黑客小组指出：“在当今这个处于金融市场控制之下的世界中，挣钱的最佳途径就是攻击某个企业的形象、声誉和财务信息。”成为客户的安全顾问将为创建长期客户关系和推动网络产品的销售提供良机。l 安全是一种“令人兴奋”的技术。CXO们知道电子商务可以大幅度提高收入的增长率，降低运营成本和提高效率只要他们的网络足够安全。l 大多数企业不知道怎样保障他们的网络的安全。您可以成为他们的安全顾问和安全指导，提供基本的安全建议，例如：1. 说明添加多个网络访问点在带来很多好处的同时为什么也会提高网络的脆弱性尤其是攻击者们现在可以获得功能更加强大的、更加便于使用的黑客工具。2. 法律责任、行业/商业间谍、收入损失和品牌忠诚度等。注意：在强调危险时，注意不要打击客户对于基于互联网的应用的优势的信心。3. 怎样创建和部署一个全面的安全策略。l 作为网络设备供应商，思科可以为搭配网络交换机和路由器解决方案销售安全解决方案提供一个绝佳的机会。思科在主要的安全市场处于领先地位思科拥有目前市场上范围最广泛的安全产品系列。我们在2001财年的安全产品销售额超过了12亿美元，比我们所有的竞争对手的销售额加起来还要多。思科的竞争优势包括：l 大多数竞争者的整体运营成本（TCO）都比思科安全产品高得多；NetScreen和Check Point的产品的TCO几乎都比思科的产品高出三倍以上。l 思科拥有出色的防火墙、入侵防范和VPN产品解决方案。l 思科AVVID合作伙伴计划是一个高质量的、精心选择的安全、服务和合作解决方案系列。它比竞争对手的任何一款产品都要强大，而且是一个重要的卖点，有助于增加销售机会。l 很多竞争对手都依赖单点式的“传统”节点式产品解决方案。而思科的深入保护解决方案可以提供比竞争对手强大得多的优势。超越防火墙将安全性集成到网络中基于单点式产品的“传统”解决方案主要的竞争对手，包括NetScreen、Nokia、Check Point和ISS，都采用一种“传统的”单点式产品覆盖方式来保障网络安全。这种方法存在很多不足：l 只依靠防火墙来保护您的网络就好像锁上您的大门，但却把窗户敞开：它会在您的安全系统中留下很多漏洞，让攻击者有机可乘。l 通常需要用到不能进行内部保护的周边设备。FBI的统计表明，70%以上的攻击都来自于公司内部防火墙之内。l 它不会将防火墙与入侵防范（基于网络、主机或者交换机）集成到一起而这正是集成化方法最关键的第一步。NIMDA蠕虫病毒曾经成功地穿过防火墙，导致了数十亿美元的损失。l 这意味着客户通常不知道他们的网络存在漏洞，因为他们无法分析他们的网络流量，而思科IDS解决方案可以帮助他们做到这一点。l 通常需要综合使用来自多个厂商的节点式产品解决方案经常会导致在为客户提供支持时出现混乱和责任问题。拍卖诈骗约占所有在线内容的43%。将安全性集成到网络中思科解决方案思科采用了一种多层次的深入保护战略具体而言，就是通过SAFE蓝图有力地防御现有的各种复杂的攻击。l SAFE蓝图是一套灵活的、经过测试的白皮书，它用模块化的方式详细描述了各种最佳安全实践，其中包括安全防护的重叠方式。l 在SAFE的帮助下，即使入侵者可以穿过某一个访问点，安全防护的重叠层也会阻止入侵者获得对您的客户端网络的未经授权的访问权限。l 其他竞争厂商并不支持安全VoIP IDS特征，从而使得思科成了唯一一个能够在您的客户端防火墙上有效使用VoIP的安全厂商。安全产品的销售对象决定和影响安全产品购买的人员通常可以分为两类：安全管理人员（Sec Ops）和网络管理人员（Net Ops）。由于Net Ops的目标是提供网络访问，而Sec Ops的目标是限制网络访问，所以如何处理好两者之间的关系一直是一个富有挑战性的问题。特别是加入另外一个CXO，或者业务决策制定者（BDM）时则更加难以处理。除非每个群体的目标都得以实现，否则结果几乎总会导致一个不完整的安全系统。有助于缩短销售周期的销售技巧l 设法了解所有群体的不同目标。依次与BDM、Net Ops和Sec Ops（按此顺序）建立联系，并迅速地获得他们的信任。l 注意，思科通常与Net Ops具有一定的合作关系，而传统竞争对手们则通常与Sec Ops关系密切。如果Sec Ops目前部署的是一个传统的解决方案，注意务必要让他们“保留面子”。强调集成化安全的好处：单点服务，以及获得更高等级的安全性的能力。l 逐个了解各个客户的销售决策关系。通常首席安全官是Sec Ops的一部分，负责为BDM提供关于如何选择安全厂商方面的建议，而BDM负责最后决策，但是这样的关系有时也会发生变化。l 如果Sec Ops和Net Ops不愿意“携手合作”，共同努力，则需要鼓励高级管理人员参与进来。BDM需要意识到，这种协作是非常必要的，可能会立刻发挥作用。l 尽可能在BDM在场时表现Net Ops与思科之间的密切联系。l 注意，很多企业都会将预算分成多个部分，并且多年以来对安全领域投资不足，而这些因素都对你有利。成功销售安全产品的六个步骤1. 获得BDM的支持确保安全成为需要优先考虑的重要问题。利用安全工具光盘中的安全演示来：l 阐述网络安全问题l 介绍思科的解决方案SAFEl 强调SAFE的优点l 宣传思科的领先地位黑客们在2000年2月对多家著名网站发动了分布式拒绝服务（DDoS）攻击，其中包括Yahoo!，E*Trade，A和eBay，这些攻击导致受到影响的服务器内存溢出，无法响应合法客户的请求。确保BDM认识到那些只包括安全产品的解决方案的限制。l 让您的潜在客户发言。您最好可以与BDM、Net Ops和Sec Ops一同开会讨论，这样他们可以共同探讨您提出的方案。l 宣传思科在安全移植方面的优势：思科可以保障各种先进的技术（例如IP电话和无线）的安全（而我们的竞争对手做不到这一点），还可以确保重要的业务驱动力（例如劳动力优化和供应链管理）的安全。l 利用思科的品牌和声誉：像“思科建造了80%的互联网基础设施谁比他们更能保障网络的安全？”这样的措辞可以引起BDM级别的管理人员的关注。l 将思科称为网络安全领域的行业领袖：尽管思科在2001年的安全销售额达到了12亿美元，超过了我们所有主要竞争对手的销售额的总和，但是人们普遍将思科视为一个网络公司，而不是一个安全服务供应商。l 获得BDM对于安全措施的支持。注意，安全保障是一个持续的过程。没有任何一个或者多个产品可以做到万无一失。让BDM了解到怎样在安全开支和可以获得的安全等级之间进行权衡。2. 与技术决策制定者一同确定关键性的需求有多少次攻击成功地侵入了他们的网络防御系统？这些攻击来自互联网、业务伙伴，还是内部员工？他们用了多长时间才从上一次攻击中恢复？可能的服务机会：突发事件响应他们最近一次是在什么时候评估了他们的安全状况？他们是使用了某种工具，还是在第三方的帮助之下完成了评估工作？可能的服务机会：入侵测试他们是否意识到了安全问题和在采用新技术时出现的移植问题？VPN？WLAN？IPtel？请查看CD-ROM中的演示，了解利用这些技巧的方法。较低的网络安全水平会给您的企业带来多大的损失？平均每年大约损失两百万美元这是美国联邦调查局（FBI）最近开展的一项调查得出的结果。3 . 鼓励客户制定一项安全策略下一个极为关键的步骤是，和您的客户一起制定一项有用的、可行的“安全策略”，其中包括安全规则、流程、可以接受的行为以及实施指导。策略通常最好是由一个分散的策略团队制定，并且只有在获得高层管理人员的支持以后才能成功。安全策略和流程可能包括，但不限于下列部分：加密和杀毒流程外联网连接策略密码保护机制远程访问策略路由器和服务器策略VPN安全策略无线通信策略互联网使用策略辩护和起诉策略防火墙规则集策略个人资产使用策略灾难恢复策略由于企业客户一般对制定整个企业的安全策略不熟悉或者没有经验，所以专业的服务机构可以提供必要的支持，以满足企业的需要请访问下面三个网址可以帮助企业制定一项简明的策略，这种策略将以一种层次化的方法说明标准、需求和步骤：l 站点安全手册，网址是：http:/csrc.nist.gov/policiesl IOS17799安全标准，网址是：http:/www.iso-l 安全策略示例，网址是：http:/www.sans.org/newlook/resources/policies/policies.htm49%的公司受到了员工所导致的安全漏洞的影响。4. 使用SAFE蓝图SAFE蓝图是一种重要的发展计划，它可以将安全策略转变成牢固的网络基础设施。SAFE白皮书可以解决大型企业、中小型企业、VPN、无线和IP电话的部署问题，您可以从下面这个网址下载：销售工具：光盘中的技术演示，每个演示着重介绍SAFE的一个领域：l 面向互联网访问和电子商务的SAFEl 面向园区的SAFEl 面向中小型企业的SAFEl 面向VPN/远程访问的SAFEl 面向无线LAN的SAFEl 面向IP电话的SAFE5. 部署由于预算、人力和测试的限制，客户安全部署通常需要分段进行。利用相关的SAFE白皮书中的技术细节，您可以帮助客户用下列两种方法中的一种逐步部署安全系统。SAFE模块确定哪些模块在他们的关键性需求中位居前列，然后鼓励他们用一种模块化的方法部署他们的安全解决方案。您可以为他们提供SAFE讲解图，这是一种销售工具，可以从下面这个网址订购：思科试用包如果客户已经选择了一个安全厂商，而且客户对于是否采用一种基于SAFE的新方法还犹豫不决，您可以向他们销售一个只在小部分网络中试用的安全解决方案，最好将其作为思科网络安全解决方案的一部分。可能的方案包括：l 用于保护关键性服务器的、基于思科主机的IDSl 将安全作为无线解决方案的一部分l 将安全作为VPN解决方案的一部分总体拥有成本（TCO）分析思科产品的价格通常等于或者远高于竞争产品的价格。这是思科在深思熟悉之后制定的战略。思科的声誉、支持和市场领先地位足以支撑较高的产品价格。尤其需要强调指出的是，在考虑到技术支持和使用许可价格以后，思科安全系统的TCO可能会大为降低。在这里可以比较一下两种冗余头端防火墙/VPN设备：思科的PIX(r)525防火墙和Check Point的运行Sun Solaris的防火墙-1/VPN-1。即使只考虑硬件和软件的价格，思科也具有明显的优势：PIX解决方案的价格是25495美元，而Check Point的解决方案则高达41730美元比思科高出了60%。如果再加上维护和支持的成本，思科则完全将对手甩在了身后思科解决方案的总成本是39864美元，而Check Point的解决方案的总成本则是思科的三倍以上118765美元。将思科与诺基亚的解决方案进行比较也可以得出同样的结论。与NetScreen相比，思科的解决方案的TCO也具有一定的优势，尽管两者的差距不是很大。思科产品的较低的TCO可以帮助您的客户节约大量的成本，尤其是在大中型网络中。6. 安全不是一个产品，而是一个长期持续的过程。客户现在应当意识到，安全是一项长期持续的活动，而不仅仅是一蹴而就的部署。由于现在您已经与这个客户建立起了一定的联系，所以当他们的网络需求发生变化，以及他们的预算限制有所松动时，您可以销售其他一些增值服务和更多的安全解决方案。可能的服务机会：安全管理，定期的入侵测试思科的安全理念思科安全理念的核心是在客户的网络和系统发生变化时，利用安全产品支持和适应客户的业务需求。这种理念的主要组成部分，以及支持这些理念的证据，都包含在较长的版本中。要了解更多关于“怎样销售思科安全产品”的细节，请访问：在2000年，黑客攻击了85%的美国企业和政府机构。思科安全解决方案思科的每个安全解决方案都包含很多组件。本节将向您概述思科的安全产品系列，以及它们如何协同工作。应用和服务集成安全连接 周边安全 入侵防范 身份辨识 安全管理VPN防火墙 入侵检测/扫描身份识别 策略思科VPN集中器 Cisco IOS设备思科访问控制服务器 Cisco PIX防火墙 思科安全扫描工具CiscoworksVPN管理解决方案 思科安全策略管理器 Web管理管理器Cisco IOS VPN Cisco IOS防火墙 Cisco IOS IDS集成化安全网络基础设施防火墙 VPN 网络分析 SSL IDS思科安全产品系列中的每个产品类别都关联到某个特殊的安全解决方案。VPN系列思科的VPN产品覆盖了您的客户所需要的方方面面；无论是在远程访问领域还是在站点间安全连接领域。VPN 3000系列主要提供100到1000个用户的远程访问连接。PIX防火墙系列将VPN和远程访问安全联系在一起，而站点间IOS路由器将VPN和站点间环境所需要的路由、QoS和高可用性结合到了一起。除了思科VPN客户端以外，VPN 3002和IOS 800/900/1700可以从任何类型的远程站点提供方便的VPN连接。VPN系列应用头端区域分支机构远程工作人员移动VPN 3000集中器远程访问集中3080306030603030301530053002IOS VPN路由器多服务应用72007100360026001700800900PIX防火墙系列安全设备535525515E506E800900方便的VPN连接：PIX 501，VPN 3002，IOS 800/900/1700Cisco VPN 3000集中器系列可以在提高生产率的同时降低IT开支。通过利用共享的服务供应商网络或者互联网，Cisco VPN 3000集中器无须使用价格昂贵的专线，从而可以大幅度节省开支。与此同时，Cisco VPN 3000集中器还可以随时随地将移动和远程工作人员安全地连接到他们所需要的工具、人员和信息，从而可以提高生产率。Cisco VPN 3000集中器系列的三个主要好处：l 立即节约开支由于远程访问VPN让用户可以通过本地ISP的拨号连接访问网络，而不需要使用价格昂贵的远程连接，所以企业可以立刻节约大量的开支。请利用我们的VPN开支节约计算器，计算您所能节约的开支，网址是：l 安全的、移动的访问移动工作人员可以利用思科VPN客户端和Certicom Movian VPN客户端在家中或者在外出途中连接到Cisco VPN 3000集中器。这些产品使漫游的用户可以通过PC、手持式个人助理和CE设备安全地访问企业网络。要了解更多关于思科互联网移动办公室解决方案的信息，请访问：l 方便的升级Cisco VPN 3000集中器是唯一一款用户可以方便地现场升级容量和吞吐量的可扩展平台。Cisco 3000 VPN集中器3005，3015，3030，3060，3080优点l 设备外型l 支持硬件客户端l 支持非Windows的客户端l 投资保护l 支持质量l 集成到整个安全解决方案中l 自动客户端分布l 免费的软件VPN客户端l 针对远程访问VPN而设计如果您的网络需要连接到互联网，您需要使用一个思科PIX防火墙。保障数据和网络资源的安全是电子商务获得成功的关键，而防火墙是一种必需的网络安全设备。在连接到互联网时，您需要在任何接入互联网的地方安装一个防火墙。思科PIX防火墙可以提供无以伦比的安全性、性能、稳定性和方便的安装。思科PIX防火墙的三个最主要的优势：l 安全性IX防火墙是一种针对需求开发的设备，可以提供前所未有的保护等级，它与一种专用的、加固的操作系统紧密集成，这个操作系统中还集成了状态防火墙和IP安全（IPSec）虚拟专用网（VPN）功能。l 性能PIX防火墙可以满足大型企业网络和服务供应商的需求。千兆位吞吐量，同时处理50万个连接的能力，速度高达100Mbps的IPSec三重DES加密标准（3DES）意味着电信级的性能。l 可靠性通过部署一个冗余的热备用设备支持高可用性。该设备能够充当一个完全的冗余系统，保持当前的所有会话，从而能够以低廉的价格提供最高的弹性。Cisco PIX 501，506E，515E，525，535，Catalyst 6000优点l 在总体拥有成本方面的领先地位l 防火墙设备外型l 出色的故障恢复性能l 集成的IDS特征（50）l 支持质量l 集成到整个安全解决方案中l 管理特殊设备和整个企业l 免费的VPN客户端l 最快的防火墙吞吐速度超过80%的在线购物者都担心信用卡诈骗问题。性能 PIX 501 PIX 506E PIX 515E PIX 525 PIX 535 小型办公室 远程办公室 中小型企业 千兆以太网 家庭办公室 分支机构 大型企业 服务供应商 IOS防火墙功能利用企业对思科路由器基础设施的投资： 800、1700、2600、3600、7x00入侵防范系统系列入侵防范系统结合了网络检测器、主机代理和自动响应机制，可以为思科的客户提供一套完整的补充性解决方案，以满足他们的入侵防范要求。防范已知的和尚未发现的网络攻击需要结合多种产品。主机代理可以保护关键任务型服务器和Web应用。网络检测器可以检测到攻击某些网段的入侵者，并做出反应。交换机检测器可以在完全交换的网络中提供潜在的保护。集成了PIX和IOS的IDS功能可以将防范功能拓展到网络的各个角落。网络检测器：IDS 421045MbpsIDS 4235200MbpsIDS 4250500Mbps以上交换机检测器：模块化（IDSM）主机检测器代理：O/S，Web应用 入侵防范被集成到基础设施的其他部分中，可以在检测到入侵时通过PIX防火墙和IOS路由器提供自动响应功能。入侵检测系统意味着一个更加完整的安全解决方案入侵检测系统（IDS）可以监控输入和输出的流量，检测网络攻击并采取相应的措施，因而可以补充设置对网络系统和资产的访问权限的防火墙。层次化安全包括防火墙和IDS是一种强大的安全机制。添加入侵检测可以通过创建一个更加全面的安全解决方案，大大增强您的网络的安全性。入侵检测系统的三个最主要的优势：l 入侵检测可以发现防火墙和虚拟专用网（VPN）没有检测到的攻击。l 可以实时监控互联网和外联网连接，保护关键性的资产、系统和资源相当于现实生活中的监视摄像机。l 思科IDS可以提供警报，智能化地阻止恶意攻击，甚至动态地重新配置网络，以避免以后再发生类似的攻击。Cisco NIDS 4210、4235、4250优点l 市场中速度最快的产品l 强大的可靠性l 利用新的IDM和IEV降低整体运营成本l 支持质量l 集成到整个安全解决方案中l 能够采取纠正措施l 可以通过我们新推出的SILVER语言进行定制思科IDS主机检测器优点l 基于行为的规则防范已知的和未知的攻击l 在主机中建立多个防护层l 支持质量l 集成到整个安全集成方案中l 可扩展性SAFE网络设计下面的章节将提供SAFE蓝图中的一些安全网络设计示例。尽管从安全的角度来说这些设计都是非常出色的，但是它们可能需要根据其他一些网络要求（例如弹性）进行改动。我们在这里是用它们来说明相关设备在不同的SAFE模块中扮演的安全角色。它们主要分成四个部分：l 互联网访问和电子商务l VPN头端和远端节点 l 新技术：WLAN和IPTell 集成化设计互联网访问和电子商务SAFE企业互联网模块主机IDS本地攻击防范 集中的第四到第七层分析 SMTP内容检测 欺骗行为防范 基本过滤 专用VLAN 边缘分布 集中的第四到第七层分析 到VPN/远程访问 广泛的第四到第七层分析 检查输出流量，寻找未经授权的URL 状态分组过滤 欺骗行为防范 基本第七层过滤 （D）DoS速率限制 主机DoS防范SAFE企业互联网模块可以为企业提供一种模式，从而为内部用户、公共Web服务器和电子邮件提供安全的互联网访问。这个模块涉及到了管理员防范来自于互联网的常见攻击时所需要的所有设计组件。SAFE电子商务模块主机IDS本地攻击防范 集中的第四到第七层分析 集中的第四到第七层分析 通往边缘分布模块 状态分组过滤 欺骗行为防范基本第七层过滤（D）DoS速率限制第四层过滤 集中的第四到第七层分析 状态分组过滤 广泛的第四到第七层分析 基本第七层过滤 线速访问控制 主机DoS防范SAFE电子商务模块可以为企业提供一种模式，以提供安全的电子商务。这种设计方案让企业可以在不影响网络现有的安全系统的情况下添加一个安全的电子商务解决方案。待添加的隐藏文字内容1VPN头端和远程节点SAFE远程站点选择对远程站点进行身份认证 ISP 对远程站点进行身份认证终端IPSec 终端IPSec 状态分组过滤用于防范本地攻击的个人防火墙和病毒扫描 基本第七层过滤 VPN软件客户端和个人防火墙 宽带接入设备 宽带接入设备 可选 防范主机DoS 家庭办公室防火墙和VPN 硬件VPN客户端 路由器、防火墙和VPN 对远程站点进行身份认证 软件访问选择 远程站点防火墙选择 硬件VPN客户端选择 远程站点路由器选择 终端IPSec状态分组过滤 用于防范本地攻击的病毒扫描 用于防范本地攻击的个人防火墙和病毒扫描 用于防范本地攻击的病毒扫描基本的第七层过滤 防范主机DoS 对远程站点进行身份认证 终端IPSec SAFE远程访问模块可以为企业提供一种模式，以提供安全的远程访问，从而让远程用户可以安全地连接到企业的资源。这种设计方案包括了身份认证的多种访问选择。SAFE远程访问VPN模块 只接受IPSec流量 通过企业互联网模块通往互联网 集中的第四到第七层分析 对用户进行身份认证 通往外联网模块 终端IPSec 广泛的第四到第七层分析 通往边缘分布模块 验证远程站点 状态分组过滤 分布层 路由器或者防火墙 终端IPSec 基本第七层过滤 任意个数的设备 对用户进行身份认证 PSTN 终端模拟拨号SAFE远程访问VPN模块可以为企业提供一种模式，以部署安全的远程访问VPN。这个设计方案涉及了VPN设计的所有方面，其中包括加密和身份认证。新技术：WLAN和IPTelSAFE IP电话 子网间过滤欺骗行为防范 欺骗行为防范 只针对语音的过滤 专用VLAN 语音和数据VLAN 管理服务器 管理服务器（智能电话） 企业用户（可选）通往PSTN（WAN备份，本地呼叫）通往企业互联网模块通往企业互联网模块通往WAN模块 呼叫管理器防范主机IDS本地攻击 状态分组过滤，第七层过滤 防范呼叫处理DoS 欺骗行为防范SAFE IP电话模块可以为企业提供一种模式，以提供安全的IP电话解决方案。这种设计方案覆盖了IP电话的所有方面，包括对IP电话协议的防火墙支持，以及对于呼叫管理器的、基于主机的入侵检测支持。SAFE无线LAN（LEAP可选） 子网间过滤 病毒扫描 RFC 2827过滤静态WEP密钥 增强WEP DHCP/RADIUS服务器 具有LEAP的无线计算机 DHCP/RADIUS服务器访问点 LEAP身份认证 生成动态WEP密钥 静态WEP密钥 增强WEPSAFE无线LAN模块可以为企业提供一种模式，以部署安全的无线网络。这个设计方案覆盖了安全无线部署的所有方面，其中包括LEAP身份认证和强大的加密功能。集成化设计中型园区网络：集成化设计 子网间过滤 主机病毒扫描 欺骗行为防范 专用VLAN 语音和数据VLAN 集中的第四到第七层分析 管理服务器 企业用户通往企业互联网模块 语音和数据VLAN 欺骗行为防范