Побудова мережевої та локальної системи безпеки

1. Структура системи мережевої безпеки
2. Етапи створення системи забезпечення безпеки
3. Основи дизайну архітектури SAFE
4. Опис типового рішення побудови систем мережевої безпеки
5. Опис типового варіанта побудови корпоративної системи безпеки

Питання забезпечення безпеки на сьогоднішній день як ніколи актуальні в організації будь-якого масштабу і області роботи. Все зростаюча кількість різних шкідливих програм (вірусів, хробаків та ін.) І збільшується залежність від інформації і її змісту вимагають підвищеної уваги до питань забезпечення безпеки. Для вирішення даних питань необхідний системний підхід і великий досвід створення систем подібного рівня з тим щоб врахувати всі можливі фактори, які впливають на безпеку.

Корпорації пропонують різні рішення для побудови захищених систем і далі ми розглянемо більш детально типові рішення побудови захищених систем.

Призначення систем мережевої безпеки:

• захист сховищ даних, локальних і глобальних мереж від спроби несанкціонованого доступу і зовнішніх або внутрішніх атак з публічних мереж, наприклад, мережі Інтернет;
• обмеження доступу несанкціонованих користувачів;
• захист від вірусів, троянських програм, черв'яків і інших шкідливих програм;
• шифрування критичного трафіку.

Область застосування:

• Організація безпеки в корпоративній мережі;
• Захист локальної мережі офісу в корпоративної мережі;
• Організація послуг VPN (віртуальних приватних мереж) через мережі Інтернет для доступу віддалених корпоративних користувачів або мобільних службовців;
• Захист центрального офісу і віддалених офісів від атак хакерів і забезпечення антивірусного захисту;
• Захист трафіку критично важливих хостів;
• Організація безпеки в мережі провайдера;
• Захист хост-серверів на вузлах провайдерів послуг віддаленого доступу в мережі Інтернет;
• Захист web-серверів, сховищ інформації від злому і крадіжки інформації клієнтів провайдера;
• Побудова віртуальних приватних мереж (VPN) з підтримкою прогресивних методів шифрування.

обладнання, що використовується

Для реалізації проектів забезпечення мережевої безпеки можливе використання обладнання провідних світових виробників пропонують свої методики побудови систем безпеки.

Компанія Cisco Systems пропонує найбільш повний спектр обладнання та рішень для забезпечення безпеки:

• обладнання доступу;
• міжмережеві екрани;
• VPN-концентратори;
• мережеві сенсори виявлення вторгнень (IDS);
• системи запобігання вторгнень (IPS);
• спеціалізоване програмне забезпечення для маршрутизаторів;
• клієнтське ПЗ - захист на рівні хоста або сервера;
• модулі забезпечення безпеки для комутаційних шасі;
• системи управління.

Nortel Networks:

• VPN-концентратори і VPN-комутатори;
• системи управління.

Питання безпеки на сьогоднішній день стають все більш актуальними і вимагають все більшої уваги з боку не тільки IT-персоналу, але і всіх співробітників компанії і, як не дивно, керівництва компанії. Розглянемо далі архітектурні питання побудови сучасних систем забезпечення безпеки, а також більш детально типовий варіант побудови системи безпеки для великого корпоративного клієнта.

Структура системи мережевої безпеки

Типи клієнтів інформаційної системи:

• співробітники;
• Зовнішні клієнти.

Методи підключення співробітників:

• Корпоративна мережа;
• Доступ по комутованих лініях зв'язку;
• Мережі загального доступу, такі як Інтернет.

Методи підключення клієнтів:

• Корпоративна мережа;
• Доступ по комутованих лініях зв'язку;
• Мережі загального доступу, такі як Інтернет.

Так як присутні різні методи підключення клієнтів інформаційної системи, то пропонована схема має ешелоновану структуру і складається з наступних елементів:

• Зона підключення до мереж загального користування - Інтернет;
• Зона підключення абонентів по комутованих лініях зв'язку;
• Зона розташування серверів обслуговування клієнтів;
• Зона розташування прикладних серверів;
• Зона розташування серверів баз даних.

Так як в рамках кожної зони реалізована своя політика безпеки, то вони розділені спеціальними програмно-апаратними комплексами - міжмережевими екранами.

Етапи створення системи забезпечення безпеки

Філософія безпеки є круговим процесом, які не мають по суті свого завершення. Тільки постійний контроль на всіх зазначених нижче етапах дозволить забезпечити дійсно ефективну і працюючу архітектуру безпеки.

Найбільш повно цей процес описаний в різних регламентуючих документах і стандартах: ISO 17779 (Практичні правила управління інформаційною безпекою), RFC 2196 (site security handbook) і ін. Також є ряд адаптованих документів, які описують правила і методики побудови захищених мереж. Так, наприклад, компанія Cisco Systems розробила і пропонує власну архітектуру SAFE для побудови захищених систем.

Незважаючи на те, що стандарти і рекомендації (ISO 17799, RFC і ін.) Починають набувати все більшої популярності в Україні і корпорації можуть запропонувати свої послуги в цих областях створення регламентуючих документів, зупинимося все ж більш детально на архітектурі Cisco SAFE, яка є на наш погляд однією з найбільш зручних методик для практичного застосування при проектуванні, побудові, впровадженні і тестуванні сучасних систем безпеки. Як було сказано вище, забезпечення безпеки це круговий процес який базується на основних описаних етапах.

1. Політика безпеки
2. Засоби і механізми забезпечення політики безпеки (FW, IOS FW, IPSec, TACACS +)

III. Моніторинг (IDS)

1. ТестірованіIV. тестування
2. Управління та поліпшення

Розглянемо докладніше кожен з етапів, пов'язаних з системами побудови безпеки:

• створення політики безпеки компанії - передбачає собою створення регламентує документа, що містить формальний опис принципів, якими повинен керуватися кожен співробітник компанії при роботі з ІТ-ресурсами компанії. По суті це першочергове завдання будь-якої компанії, серйозно піклується про забезпечення безпеки, але часто не беруть до уваги багатьма компаніями як основна стадія створення системи безпеки. Ось тут і стануть в нагоді стандарти рівня ISO 17799 або RFC як рекомендації до дії;
• після того як політика безпеки створена, на її базі вже можна проектувати власне систему комплексного забезпечення безпеки з використанням сучасного обладнання і рішень, узгоджену з розробленою політикою безпеки. На цьому етапі використовуються міжмережеві екрани, системи виявлення атак, пристрої шифрування та інше необхідне обладнання, а також організаційні та фізичні методи забезпечення безпеки. Більш докладно нижче будуть розглянуті рекомендовані схеми побудови та використання обладнання;
• на третьому етапі відбувається впровадження систем постійного моніторингу та аналізу активності в мережі компанії на базі інформації, отриманої від систем виявлення атак (IDS), серверів SNMP, а також різних систем реєстрації (серверів syslog). На даному етапі впровадження і розробки системи безпеки ми маємо можливість виявити несанкціоновану активність в корпоративній мережі і запобігти її шляхом: скидання сесії, примусового розриву з'єднання або повідомлення адміністратора. Слід зазначити, що це вимагає значних зусиль, спрямованих на аналіз подій їх кореляцію і установку коректних правил відпрацювання сигнатур;
• четвертий етап - пов'язаний з питаннями тестування існуючої мережі на предмет її уразливості шляхом використання спеціалізованих мережевих сканерів, які дозволяють виявити слабкі місця і елементи в системі захисту, і видають деякі рекомендації по їх усуненню;
• п'ятий, завершальний, етап - забезпечує замкнутість контуру і дозволяє здійснювати управління всіма пристроями забезпечення безпеки з одночасним поліпшенням параметрів елементів захисту в існуючій системі безпеки. Дотримуючись циклу забезпечення безпеки, після аналізу отриманих даних ми можемо перейти власне до модернізації та / або оптимізації існуючої системи безпеки - наприклад, заміною ПЗ, установкою нового ПЗ або пристрою.

Тепер зупинимося більш детально на самій архітектурі побудови мережевої безпеки, на базі рекомендацій компанії Cisco Systems по забезпеченню безпеки корпоративних мереж (SAFE). Основне завдання архітектури SAFE полягає в тому, щоб надати зацікавленим сторонам інформацію про сучасний досвід проектування і

Розглянемо докладніше кожен з етапів, пов'язаних з системами побудови безпеки:

• створення політики безпеки компанії - передбачає собою створення регламентує документа, що містить формальний опис принципів, якими повинен керуватися кожен співробітник компанії при роботі з ІТ-ресурсами компанії. По суті це першочергове завдання будь-якої компанії, серйозно піклується про забезпечення безпеки, але часто не беруть до уваги багатьма компаніями як основна стадія створення системи безпеки. Ось тут і стануть в нагоді стандарти рівня ISO 17799 або RFC як рекомендації до дії;
• після того як політика безпеки створена, на її базі вже можна проектувати власне систему комплексного забезпечення безпеки з використанням сучасного обладнання і рішень, узгоджену з розробленою політикою безпеки. На цьому етапі використовуються міжмережеві екрани, системи виявлення атак, пристрої шифрування та інше необхідне обладнання, а також організаційні та фізичні методи забезпечення безпеки. Більш докладно нижче будуть розглянуті рекомендовані схеми побудови та використання обладнання;
• на третьому етапі відбувається впровадження систем постійного моніторингу та аналізу активності в мережі компанії на базі інформації, отриманої від систем виявлення атак (IDS), серверів SNMP, а також різних систем реєстрації (серверів syslog). На даному етапі впровадження і розробки системи безпеки ми маємо можливість виявити несанкціоновану активність в корпоративній мережі і запобігти її шляхом: скидання сесії, примусового розриву з'єднання або повідомлення адміністратора. Слід зазначити, що це вимагає значних зусиль, спрямованих на аналіз подій їх кореляцію і установку коректних правил відпрацювання сигнатур;
• четвертий етап - пов'язаний з питаннями тестування існуючої мережі на предмет її уразливості шляхом використання спеціалізованих мережевих сканерів, які дозволяють виявити слабкі місця і елементи в системі захисту, і видають деякі рекомендації по їх усуненню;
• п'ятий, завершальний, етап - забезпечує замкнутість контуру і дозволяє здійснювати управління всіма пристроями забезпечення безпеки з одночасним поліпшенням параметрів елементів захисту в існуючій системі безпеки. Дотримуючись циклу забезпечення безпеки, після аналізу отриманих даних ми можемо перейти власне до модернізації та / або оптимізації існуючої системи безпеки - наприклад, заміною ПЗ, установкою нового ПЗ або пристрою.

Тепер зупинимося більш детально на самій архітектурі побудови мережевої безпеки, на базі рекомендацій компанії Cisco Systems по забезпеченню безпеки корпоративних мереж (SAFE). Основне завдання архітектури SAFE полягає в тому, щоб надати зацікавленим сторонам інформацію про сучасний досвід проектування і розгортання захищених мереж. SAFE покликана допомогти тим, хто проектує мережі і аналізує вимоги до мережевої безпеки. SAFE виходить із принципу глибоко ешелонованої оборони мереж від зовнішніх атак. Цей підхід націлений не так на механічну установку брандмауера і системи виявлення атак, а на аналіз очікуваних загроз і розробку методів боротьби з ними. Ця стратегія призводить до створення багаторівневої системи захисту, при якій прорив одного рівня не означає прориву всієї системи безпеки.

SAFE грунтується на продуктах компанії Cisco і її партнерів.

Основи дизайну архітектури SAFE

SAFE з максимальною точністю імітує функціональні потреби сучасних корпоративних мереж. Рішення про впровадження тієї чи іншої системи безпеки можуть бути різними в залежності від мережевої функціональності. Однак на процес прийняття рішення впливають такі завдання, перераховані в порядку пріоритетності:

• безпеку і боротьба з атаками на основі політики;
• впровадження заходів безпеки по всій інфраструктурі (а не тільки на спеціалізованих пристроях захисту);
• безпечне управління і звітність;
• аутентифікація і авторизація користувачів і адміністраторів для доступу до критично важливих мережевих ресурсів;
• виявлення атак на критично важливі ресурси і підмережі;
• підтримка нових мережевих додатків.

По-перше (і це найголовніше), SAFE є архітектуру безпеки, яка повинна запобігти нанесенню хакерами серйозного збитку цінних мережевих ресурсів. Атаки, які долають першу лінію оборони або ведуться не ззовні, а зсередини, потрібно виявляти і швидко відображати, щоб запобігти збитку для решти мережі. Однак навіть добре захищена мережа повинна надавати користувачам сервіси, яких від неї очікують. Потрібно одночасно забезпечити і надійний захист, і хорошу функціональність мережі - і це цілком можливо. Архітектура SAFE не є революційним способом проектування мереж. Це просто система рекомендацій забезпечення мережевої безпеки. Крім цього, система SAFE є стійкою і масштабованої.

Стійкість мереж включає фізичну надмірність, що захищає мережу від будь-яких апаратних відмов, в тому числі відмов, які можуть статися через помилкову конфігурації, фізичного збою або хакерської атаки. Хоча можливі й більш прості проекти, особливо якщо вимоги до продуктивності мережі не є високими, проте, ми розглянемо в якості типового проекту більш складний дизайн, оскільки планування безпеки являє собою більш складну проблему саме в складній, а не в простій середовищі. Проте, існують завжди можливості обмеження складності дизайну за умови, що це робиться обдумано і обґрунтовано.

На багатьох етапах проектування мережі постає питання вибору між інтеграцією безлічі функцій в єдиному мережевому пристрої та використанням спеціалізованих мережевих засобів. Інтеграція функцій часто є більш привабливою, тому що її можна реалізувати на існуючому обладнанні і тому що функції можуть взаємодіяти в рамках єдиного пристрою, створюючи більш ефективне функціональне рішення. Спеціалізовані пристрої найчастіше використовуються для підтримки вельми просунутих функцій або високої продуктивності. Рішення приймається на основі порівняння ємності і функціональності окремого пристрою та переваг, які може дати інтеграція.

Наприклад, в деяких випадках ви можете вибрати інтегрований високопродуктивний маршрутизатор з операційною системою Cisco IOS (і вбудованим програмним фаєрволом, а в інших - менш великий маршрутизатор з окремим фаєрволом. У нашій архітектурі використовуються як той, так і інший типи систем.

Найбільш важливі функції безпеки передаються виділеним пристроїв, щоб підтримати високу продуктивність великих корпоративних мереж.

Опис типового рішення побудови систем мережевої безпеки

Пропонується ешелоновані рішення, що забезпечує максимальний захист серверів баз даних і володіє наступними характеристиками:

• В системе реалізована як технологічна, так и експлуатаційна безпека. Реалізація вимог технологічної та експлуатаційної безпеки грунтується на спеціально розроблення для мережі комплексі організаційніх, організаційно-технічних и технічних ЗАХОДІВ относительно захисту інформації та ресурсов мережі.
• Реалізована сучасна система забезпечення безпеки Із ЗАСТОСУВАННЯ:
  
  
  
  • міжмережевіх екранів (МЕ) последнего поколения;
  • сканерів уразлівості мережі и емуляторів атак, з Постійно поповнюється базою Даних відоміх вразливостей;
  • транзитного поштового сервера, Який Здійснює контроль за Утримання та Пересилання Повідомлень;
  • транзитного WWW-сервера, Здійснює контроль за вмістом запитуваних ресурсов;
  • сенсорів атак, что дозволяють оперативно реагуваті на позаштатні ситуации;
  • єдиної системи управління и контролю стану інформаційної безпеки.
• Вікорістовувані засоби є новітнімі розробка компаний, не один рік Працюють на Сайти Вся захисту інформації. Концепція решение має на увазі можлівість поновлень вікорістовуваного програмного забезпечення.
• Застосовувані кошти НЕ погіршують якісні характеристики мережі. Дана Вимога враховано и реалізовано на етапі розробки.
• Забезпечення необхідного рівня якості функціонування мережі та її стійкість до зовнішніх і внутрішніх факторів (атаки, віруси, НСД і т.п.) досягається застосуванням комплексного вирішення на базі, як спеціальних засобів забезпечення безпеки, так і на базі використовуваного активного мережного обладнання.
• Система забезпечення інформаційної безпеки має в своєму складі засоби управління, що дозволяють в моменти настання "позаштатних" і "надзвичайних" ситуацій, змінювати якісні показники роботи мережі, реалізуючи можливості:
  
  
  
  • надання ресурсів мережі заданим організаціям і користувачам;
  • контролю завантаження мережі;
  • контролю трафіку;
  • контролю взаємодії сегментів мереж.
• Вузли мережі побудовані на базі обладнання, що має в своєму складі резервують елементи і схеми.
• Пропонована система забезпечення безпеки передбачає можливість обмеження списку станцій управління для кожного з пристроїв і ресурсів мережі, з яких може здійснюватися доступ до обладнання та управління ім.
• Одним з результатів реалізації комплексу організаційних, організаційно-технічних і технічних заходів щодо захисту інформації та ресурсів мережі є стійкість використовуваного в проекті обладнання до атак, спрямованих на знищення сервісів (DoS - Denial of Service).

Завдання, які вирішуються системою забезпечення інформаційної безпеки Система інформаційної безпеки мережі забезпечує:

• аутентифікацію і авторизацію користувачів і мережевих пристроїв;
• контроль доступу до ресурсів мережі;
• контроль ресурсів мережі;
• захист від відмов.

Реалізація вищеописаних завдань досягається наступними методами і засобами:

1. Система механізмів контролю доступу реалізована на основі наступних продуктів і рішень:

• CiscoSecure ACS - продукт компанії Cisco Systems, використовується як засіб контролю доступу користувачів мережі до мережевих пристроїв і ресурсів мережі. Продукт реалізує наступні функціональні можливості:
  
  
  
  • ? аутентифікація, авторизація та облік використання ресурсів користувачами мережі (AAA);
  • повна інтеграція контролю доступу з використовуваним мережним устаткуванням. Запит на авторизацію прав доступу користувача до ресурсу може виходити від мережевого обладнання, через яке здійснюється доступ;
  • можливість створення єдиного центру контролю доступу користувачів до мережевих пристроїв і ресурсів мережі;
  • гнучка схема контролю доступу на основі набору параметрів, що характеризують конкретного користувача інтранет;
  • можливість інтеграції з іншими засобами контролю доступу, в тому числі підтримують протоколи RADIUS, TACACS +, LDAP, авторизацію в домені NT і NDS.

1. Як механізми обмінної аутентифікації в системі реалізовані і можуть бути застосовані наступні механізми:

• Протокол PAP - ідентифікує абонента мережі на основі пари ідентифікатор / пароль. Пересилання пароля при цьому здійснюється у відкритому вигляді.
• Протокол CHAP - ідентифікація відбувається із застосуванням хеш-функції (зазвичай MD5), одним з параметрів якої є "текстовий секрет", ніколи не передається по мережі.

1. Забезпечення безпечної маршрутизації грунтується на механізмах забезпечення її цілісності, і покликана протидіяти атакам на руйнування мережі шляхом застосування помилкових маршрутів в її центральній частині. Маршрутна ідентифікація гарантує, що оновлення маршрутизації виходить від перевіреного джерела і що ніякі дані не зіпсовані. Вона використовує шифрування, односторонню хеш-функцію для забезпечення ідентифікації робочого місця і цілісності змісту відновлення маршрутизації.
2. Відмовостійкість мережевих елементів мережі повинна розглядатися в двох аспектах: відмовостійкість самого обладнання і відмовостійкість обладнання під впливом зовнішніх мережевих впливів. Перше питання розглядається у відповідному розділі проектної документації, що описує технічні характеристики використовуваного обладнання. Другий аспект відноситься до питань забезпечення інформаційної безпеки і передбачає проведення комплексу організаційно-технічних заходів щодо захисту обладнання і елементів мережі від атак типу "відмова в обслуговуванні".

Опис типового варіанта побудови корпоративної системи безпеки

В даному розділі розглянемо типовий варіант побудови корпоративної системи безпеки з урахуванням рекомендація SAFE компанії Cisco Systems.

Для побудови такої системи в центральному офісі рекомендується використовувати моделі "міжмережевих екранів" з функцією резервування серій Cisco PIX-515Е, Cisco PIX-525 або Cisco PIX-535 з підтримкою декількох портів Fast Ethernet або Gigabit Ethernet. Міжмережеві екрани цієї серії дозволяють здійснювати гнучке налаштування політик безпеки, створення великої кількості нейтральних зон (DMZ), поряд з високою продуктивністю і надійністю цього критичного вузла мережі. У нейтральних зонах традиційно розміщують важливі вузли корпоративної мережі, сегмент доступу до корпоративної мережі, сегмент віддаленого доступу клієнтів або користувачів мережі та ін.

Для забезпечення комплексності захисту рекомендується установка сенсорів виявлення атак ( "Система виявлення атак") серії Cisco IDS 4200 або систем запобігання вторгнень Cisco IPS 4200 які мають порти FastEthernet / Gigabit Ethernet і розраховані на різні швидкості аналізу трафіку. Слід зазначити, як уже зазначалося вище, що розміщувати рекомендується такі сенсори як на зовнішньому периметрі доступу в публічні мережі, так і на ділянках найбільш критичних ресурсів мережі компанії з метою запобігання несанкціонованому доступу до ресурсів, що захищаються і атак на ці ресурси. Перевагою установки IPS є можливість роботи даної системи в декількох режимах - режимі виявлення вторгнень (трафік аналізується, при цьому пристрій не бере участі в передачі трафіку; блокування трафіку можлива тільки при використанні зовнішніх пристроїв - брандмауера, маршрутизатора, комутатора рівня 3) і режимі запобігання вторгнень (трафік аналізується, при цьому пристрій бере участь в передачі трафіку і може здійснити блокування небажаного трафіку без додаткових зовнішніх пристроїв) і мішаного м режимі - режимі виявлення вторгнень і запобігання вторгнень (система запобігання вторгнень працює для однієї ділянки мережі, система виявлення вторгнень для іншої ділянки мережі).

Схема підключення системи запобігання атак в гібридному режимі

На наведеній схемі система запобігання атак служить в якості такої для інтерфейсу брандмауера, який підключений до корпоративної мережі, і в якості системи виявлення вторгнень на прикордонному маршрутизаторі. Також для підвищення безпеки на рівні серверів рекомендується установка "Host based IDS" (систем виявлення атак на рівні хоста) серії Cisco Security Agent на найбільш критичні сервера (в усі DMZ зони), для виявлення несанкціонованої активності на рівні сервера / робочої станції і встановленою операційною системи.

Для параметрів завершення зашифрованих VPN (Virtual Private Network) сесій від мобільних користувачів або віддалених локальних мереж можливе застосування окремого зовнішнього пристрою VPN концентратор, спеціально призначеного для таких цілей і дозволяє в залежності від моделі терминировать від 100 до 10 000 віддалених користувачів.

З метою забезпечення комплексного управління всіма елементами забезпечення безпеки рекомендується використання спеціалізованої системи управління Cisco VPN Management Solutions (VMS) розміщується в зоні DMZ 1 "Сервери аутентифікації і управління".

Для забезпечення аутентифікації користувачів, мережевих пристроїв використовуються сервера аутентифікації, наприклад, Cisco ACS розміщується в зоні DMZ 1 "Сервери аутентифікації і управління".

Для підключення користувачів корпоративної мережі також рекомендується використовувати підключення в окрему демілітаризовану зону, що дозволить забезпечити необхідний рівень внутрішньої безпеки мережі ( "Маршрутизатор КС").

Рекомендується винос зовнішніх серверів (SMTP, WWW, Proxy) та внутрішньокорпоративних серверів також в окремі DMZ зони, контрольовані міжмережевими екранами. Дане рішення дозволить забезпечити рівень безпеки для серверів і забезпечити безпеку доступу в і ззовні публічної мережі.

Так, наприклад, доступ в Інтернет через сервери Proxy і доступ до електронної пошти здійснюється через так звані Proxy або SMTP - relay агенти.

Загальний принцип функціонування полягає в тому що всі запити від внутрішніх клієнтів перенаправляються на внутрішні сервера WWW і SMTP (зелена стрілка), потім вже внутрішні сервери WWW і SMTP взаємодіють через міжмережевий екран з зовнішніми серверами WWW і SMTP розміщених в DMZ3 зоні (синя стрілка). І тільки зовнішні сервера WWW і SMTP взаємодіють безпосередньо з Інтернет серверами через міжмережевий екран (червона стрілка).

Таким чином здійснюється повний контроль над проходженням інформації, а також виключається безпосереднє взаємодія користувачів локальної мережі з Інтернет мережею, що дозволяє значно збільшити загальну безпеку корпоративної мережі.

Для забезпечення захисту у віддалених офісах і для мобільних співробітників пропонується розглянути три типових варіанти побудови системи безпеки:

• Рішення на базі інтегрованої в маршрутизатор функціональності міжмережевих екранів і систем виявлення атак, що дозволяє забезпечити більший рівень безпеки в порівнянні з базовими системами безпеки. Цей варіант рекомендується використовувати при обмежених коштах і для бюджетних рішень. В даному випадку в якості маршрутизаторів можуть встановлюватися серії Cisco 800, 1800, 2800 і вище. Для реалізації функцій систем виявлення атак можливе використання спеціалізованого модуля мережної системи виявлення атак NM-CIDS-K9 для серій Cisco 2800 і вище.
• Рішення на базі окремих компонентів, володіє більшою надійністю і безпекою, оскільки функції маршрутизації і забезпечення безпеки реалізовані на різних пристроях. Дане рішення рекомендується для реалізації в разі необхідності забезпечення високого рівня безпеки корпоративної мережі. Як маршрутизаторів можуть встановлюватися серії Cisco 800, 1800 і вище, а в якості міжмережевих екранів серії Cisco PIX-501, Cisco PIX-506Е або вище. При необхідності можуть встановлюватися мережеві системи виявлення / запобігання атак (IDS / IPS) або host based IDS (Security Agent).
• Для організації підключення віддалених мобільних користувачів, рекомендується використання зовнішнього VPN концентратора, Cisco PIX Firewall або маршрутизатора зі спеціалізованим ПО в центральному офісі та програмне забезпечення Cisco VPN клієнтів, на робочих місцях користувачів, що дозволяє забезпечити безпечне і захищене підключення, в тому числі і по публічним каналах зв'язку Інтернет, з організацією шифрованих IPSec тунелів.

Слід зазначити, що дане рішення є дійсно типовими і в реальних проектах можливе використання інших схем і методик забезпечення безпеки в залежності від бажаного результату, поставлених цілей і бюджету проекту.