随着越来越多的企业选择将互联网用于WAN连接，分支机构办公需求也在不断发生着变化。企业希望削减经营开支，以最少的投入获得最大的收益。他们也希望能够提高生产效率，并寄望于用网络提供更高的生产力。企业的目的在于确保整个办公机构的每位员工都拥有极高的工作效率。为实现这一目标，让分支机构员工拥有与总部员工相同的接入信息和工具的能力便成了当务之急。

　　思科全服务分支机构解决方案以一种可调整的体系结构为基础，包括有一整套智能化应用驱动的服务蓝图。这些蓝图可以快速、经济有效地部署，以便为更高的工作效率和客户满意度需求提供支持，并与此同时降低运营和资本支出。这些智能化网络服务为高效的工作环境提供了鼎力支持，这种范围无限的"虚拟"环境，可以位于企业分支机构、小型企业、生产车间、家庭或在旅途中，此时时间、地点和可视性都不再对工作效率构成任何障碍。集成化智能网络服务可为员工与有价值的资源实现自动、安全的互动提供支持，从而加速决策进程，简化任务，并使事务处理得以圆满解决，无需再考虑地点或时间。

　　在过去的20年中，诸如企业资源规划（ERP）、客户关系管理（CRM）、数据库和大型机应用等都为改进大型企业的运营效率起到了显著的推动作用。但美中不足的是，对于小型或分支机构办公环境而言，这些应用的费用大都过于昂贵，而且十分复杂，对带宽的要求也很严格。
包括语音和视频、安全、网络应用加速，以及移动互联网和连接服务在内的思科智能应用驱动网络服务扩展套件，不仅使应用更适合小型公司扩展环境的用户接入和购置，而且也推动了一系列全新横向商业应用的问世。这些应用将进一步提高网络性能、员工效率，以及客户的全面业务应答能力。

支持高级服务的集成安全解决方案

　　随着公司争相推出先进的商务应用，分支机构对网络的需求也在进行着调整。IT联网的目标已不仅限于基本的WAN连接；当前，远程分支机构也必须拥有与总部等同的性能、可用性和安全级别。

　　为实现这一目标，分支机构解决方案可以由若干部分组成。例如，企业客户可能需要安全、高可用性和延时敏感性应用，如语音和视频，并与此同时保有传统的客户机/服务器（非IP）应用。另一位客户可能需要监测误用、滥用和所有网络边界上的未授权接入，并保护内部网和外部网连接，以及连接到公司WAN或互联网的分支机构。其他客户可能需要管理本公司的互联网使用策略或为互联网接入授权。许多客户则同时需要做上述工作。 此前，这种非常复杂的连接方式可能涉及要在分支机构中部署许多不同的设备，其结果成本和管理的复杂性都会提高。Cisco IOS安全路由器可帮助您以一种经济有效、可管理和可扩展的模式实现这种组合。

　　适用于分支机构和小型机构的思科全服务解决方案利用各种Cisco IOS路由器为商务应用提供支持。这些路由器的智能联网功能可以确保数据、语音、视频的采用，传统客户机/服务器应用、QoS、弹性设备，以及网络和应用加密的保持，从而提供IT部门所要求的数据质量和完整性。

全服务体系结构的功能

　　用于企业和小型机构的思科全服务分支机构解决方案，其优势主要表现在以下三个方面：成本降低、效率提高和安全性提高。

    · 成本降低：
        o WAN成本降低
        o 利用现有网络，可以满足全新商业需求
        o 商务旅行减少
        o 降低了未来的维护和网络运行成本
        o 降低了房地产开支

    · 效率提高
        o 为分支机构员工提供"总部级"功能
        o 提供总部的快速"现场"通信
        o 提高和改进员工培训和教育
        o 改进客户服务，提供全新销售点服务
        o 确保资源和应用的正常运行

    · 安全和可靠性提高：
        o 保护保密的信息资产和网络接入点
        o 避免用户使用中断和停机
        o 遵循业内标准
        o 关闭"后门"的安全隐患

思科集成安全功能为智能信息网络提供支持

　　思科集成安全功能是智能信息网络的一个重要组成部分。思科安全性的集成方式，以一种安全、可靠的途径，提供了联网技术的种种优势，使各类规模公司的工作效率都得以提高。
思科正致力于为各种类型的网络和端点提供无可匹敌的集成安全功能，为确保客户公司的生产效率，它提出了三大要求：

   · 安全服务和网络服务间的协调合作--当网络服务，如QoS，与IP服务密切协调运行的时候，安全性能就会提高。思科的集成安全功能使网络技术和安全技术得以密切合作。

    · 灵活、可定制的安全部署，所有设备中均采用安全服务--思科集成安全功能使客户得以利用其现有的投资。思科提供为专用设备、路由器和交换机部署安全技术的可选功能。另外，思科提供的安全技术其范围之广堪与任何一家供应商相抗衡。这种灵活性使客户得以部署所需要的安全技术。

    · 全面覆盖--安全功能可以部署在网络的各个角落。思科使客户得以在网络各处部署安全性能，从PC机和服务器，直到LAN、WAN和分支机构，从而为保护客户的重大商业流程免受内部和外部威胁，提供了所必需的深层防御功能。

保护分支机构基础设施

    Cisco IOS软件提供了内置于设备中的各种高可用性、跨职能通晓性、系统化的可扩展性、安全性和服务质量特性，可以帮助客户免受电源中断、服务降级和安全漏洞所带来的负面影响。这些特性可以帮助网络在面临灾难时做出正确的处理。

    保证分支机构的工作效率有多种技术。在本文后面的若干章节中为下列技术提供了更详尽的说明：
    · IP Security (IPSec)VPN支持
    · 防火墙和入侵保护
    · URL过滤

思科安全路由器是保护分支机构安全的基本组件。
    · 高可用性
        o 硬件冗余
        o 网络求助（可存活远程站点电话）
        o 网络恢复（热待机路由器协议）
        o 网络再融合
    · QoS
        o Diffserv、Intserv、排序
        o 拥塞控制
        o 链路管理
    · 内置安全性
        o 安全接入（AAA）
        o 策略
        o 使用
        o 检测和审计

思科安全路由器路由选择服务

　　思科集成安全路由器使分支机构用户得以享有网络服务的优势，这些服务包括路由选择、服务质量、互联网接入、语音和传统客户机/服务器应用，另外，它还为所有应用提供了安全连接。

　　基于Cisco IOS的安全路由器使用户可以将Cisco IOS 防火墙内容丰富的特性集与其他业务领先的Cisco IOS特性，如VPN、QoS和动态路由选择组合在一起。Cisco IOS VPN利用先进的连接平台，即思科路由器，提供了安全连接，从而使安全的连接平台集成入您的网络。利用56位数据加密标准（DES）、168位三重DES（3DES）或高达256位高级加密标准（AES）加密，基于Cisco IOS的安全路由器可以加密数据。基于Cisco IOS的安全路由器还可以加入X.509公共密钥基础设施（PKI）。加密是用软件或在专门的加密模块中完成的，这些模块可以从上方的路由器卸载加密处理。

图1 思科集成安全路由器

　　在加密、边界防火墙、入侵保护和URL过滤服务实施后，思科路由器就变成了一种功能强大的安全设备。路由选择、语音和安全特性的集成确保了新商业服务实施时，路由器能够按预期目标运营。例如，当QoS与语音通晓IPSec隧道共同使用时，就构成了语音驱动VPN。内部路由选择特性可保护网络免受各种攻击。与内部防火墙共同使用的网络接入控制列表（ACL）为输入输出接入提供了更全面的控制功能，带集成呼叫处理特性的QoS可将语音信息流与网络的其他部分分隔保护。思科路由选择技术为内部运行，本身直接为网络提供了保护功能。基于网络的应用识别（NBAR）可以抵御拒绝服务（DoS）攻击，ACL可以控制资源接入，而Autosecure则确保了设备的可用性。基于时间的ACL支持客户分时间段调整其安全策略。这对于希望在非工作时间限制某些功能使用的管理员尤其重要。

Cisco IOS路由器上的加密VPN

　　利用互联网实现分支机构与总部的连接可以节省巨额资金。通常，这种VPN连接与专用线或帧中继连接相比，成本非常低；但是，十分重要的是VPN连接必须安全，而且必须按与非常传统的连接方式相同的模式运行。用于分支机构和小型机构VPN的思科全服务解决方案提供了高性能加密，以及使分支机构VPN能够按租用专线或帧中继连接模式运行所需的工具。这些工具包括组播支持、DES、3DES、AES支持。输出网络地址转换（NAT）和端口地址转换（PAT）支持，以及将QoS技术应用于加密分组的能力。路由器VPN还可以在专用站点到站点环境中配置，可以拆分隧道，并且其动态网状配置也提供了理想的网络性能，降低了网络成本。

思科安全路由器防火墙

　　Cisco IOS防火墙特性集为希望将防火墙功能集成入联网服务的企业和商业客户提供了先进的安全性能。Cisco IOS防火墙特性集提供了内容广泛的防火墙安全特性，对其强劲的站点到站点VPN功能构成了补充。

　　Cisco IOS防火墙实现了状态检测，为IP信息流提供了基于应用的控制功能，这些IP信息流包括标准TCP和UDP互联网应用，SIP、SCCP、H.323等多媒体应用，以及其他语音/视频应用。防火墙监视引擎即是基于环境的接入控制（CBAC），负责检测TCP和UDP分组，并跟踪其"状态"或连接情况。Cisco IOS防火墙可以对源和目标地址进行详察，以便提高TCP和用户数据报协议（UDP）应用的安全性，这些应用采用的是众所周知的端口，如文件传输协议（FTP）和电子邮件信息。

　　Cisco IOS防火墙通过提供额外的安全特性而增加了现有Cisco IOS安全解决方案的深度和灵活性（如验证、加密、故障转换和入侵保护），这些特性包括基于应用的过滤功能、动态用户验证和授权，以及URL过滤功能。

思科安全路由器入侵保护

　　对于任何安全策略而言，保护分支机构免受威胁都是一项重要的内容。入侵行为有可能出现于网络各处，包括分支机构。由于安全威胁的复杂性日趋提高，部署有效的网络入侵保护措施对于保持高水平的安全性能就有着重要的意义。强大的保护功能可确保业务的持续性，并将入侵所造成的代价高昂的损失降至最低限度。目前，思科为Cisco 2600、3600和3700系列路由器都配置了Cisco IOS入侵检测系统（IDS）加速模块，这些模块所提供的功能类似Cisco IDS设备，所不同的是添加了所有路由器接口流量监控功能，并检测普通路由选择封装和在路由器解密的IPSec信息流等功能。

　　思科威胁响应技术大幅度地提高了IDS性能，将故障报警率降低了约90％；在数秒内识别易遭攻击的终端，从而避免了真实攻击的发生；可弥补代价高昂的入侵所带来的损失。

用于员工互联网管理和互联网接入控制的机箱URL过滤功能

　　URL过滤功能是一种部署于企业、机构和学校的通用应用，用于强化互联网和应用的使用策略。目的在于限制非法活动，降低安全风险，改进员工效率，以及节省网络带宽和存储。思科内容引擎网络模块及设备为内部URL过滤提供了在机箱上运行的Websense或SmartFilter功能，以确保对互联网接入环境的控制。内容引擎网络模块可用作互联网代理缓存和用于URL过滤应用的服务器，无需再为此购置和预留一台单独的服务器。URL过滤应用可与防火墙（Cisco IOS防火墙或PIX防火墙）上的网络过滤客户机互操作，从而为互联网使用管理提供一个简化的集成解决方案。

语音和视频VPN

　　当今复杂、融合式的网络要求对延迟和不稳定性敏感的信息流，如语音和视频等提供支持。除了这些新领域服务外，传统客户机/服务器信息（非IP）通常必须通过VPN传输。内容丰富的Cisco IOS QoS特性集，以及对普通路由选择封装（GRE）的支持，使基于Cisco IOS的VPN得以支持与租用专线或帧中继网络相同的应用，并为VPN降低了成本。

　　降了强大的站点到站点VPN功能以外，基于Cisco IOS的安全路由器还提供了安全的远程接入VPN头端连接功能。因而，基于Cisco IOS的安全路由器可以作为远程VPN头端设备，或硬件VPN客户机，从而使远程接入管理轻松易行，而且经济有效。

　　市场上的大多数VPN设备很少拥有类似QoS这样的功能来支持先进的应用，以降低延迟和抖动。另外，要注意的是，如果您的独立设备是来自不同的供应商，要使IP电话和安全设备都能与VPN互操作，以提供安全的语音和视频服务，将并非易事。

管理分支机构和小型企业办公网络的全服务

　　思科提供了一套全面的安全管理产品系列，旨在满足客户当前、未来和不断发展的需求，保护和管理其网络基础设施。

思科安全管理解决方案的优势如下：

    · 整个思科安全产品线（IDS、防火墙、VPN），包括路由器、交换机和其他设备，均提供广泛的管理特性和解决方案
    · 可以随着网络复杂性（即设备、站点和用户数量）的提高而不断扩展的管理解决方案
    · 简化的网络管理和改进的运营效率，降低了总解决方案拥有成本

　　在思科内置设备管理器层，包括Cisco IDS Device Manager、IDS Event Viewer、Cisco PIX安全产品或VPN 3000 Device Manager，用户可以通过直观而安全的网络用户界面了解设备的智能状况。

　　该产品层中最新的成员是全新Cisco Security Device Manager (SDM)。SDM包含基于思科路由器的防火墙和VPN配置，可以为那些需要管理1-5台设备的客户逐台监控设备。SDM是一种直观、安全、网络化的设备管理工具，内置于Cisco 800、1700、2600、3600和3700系列路由器中。智能向导使客户即使在不了解Cisco IOS软件命令行界面的情况下，也可以快速、便捷地部署和管理思科接入路由器。

　　SDM提供了智能向导和先进的模式配置功能，用于支持LAN和WAN接口、NAT、状态防火墙和IPSec VPN特性。SDM还提供了一步式路由器锁定和一种创新安全审计功能，根据ICSA Lab和Cisco Technical Assistance Center的建议检查路由器的配置变化，并提出调整建议。

　　另外，还有客户管理和保护其网络所需的功能强大、特性全面的管理应用。系统工具可以利用整个思科安全产品线的远程设备配置、监视和管理功能，为整个网络提供安全管理、策略管理、监控和分析功能。该产品层新近添加的产品包括CiscoWorks VPN/Security Management Solution，以及全新CiscoWorks Security Information Management Solution。

　　网络和安全服务管理层包括为那些需要以网络和服务为中心的网络浏览功能的客户提供一系列底层网络技术的产品。该产品层的最新成员为全新的Cisco IP Solution Center。它为跨多个思科安全产品域的高容量VPN和防火墙配置，提供了一个功能强大、高可用性和可扩展的系统。

SAFE功能介绍

　　SAFE蓝图是一种适用于安全和VPN网络的成熟、灵活、动态的蓝图，建立在Cisco AVVID（语音、视频和集成数据架构）基础之上的。SAFE蓝图可以帮助企业安全成功地把握电子商务机遇。通过分阶段部署模块化、可扩展的安全架构，SAFE可以帮助机构维持预算不变。通过提供一流的安全产品及服务，可提供集成网络保护功能。