Cisco IOS防火墙特性集

。。Cisco IOS防火墙特性集为每一个网络周边集成了稳健的防火墙功能性和入侵检测，丰富了Cisco IOS安全功能。如果与Cisco IOS IPSec软件和其他基于Cisco IOS软件的技术(例如L2TP隧道和服务质量[QoS])相结合，Cisco IOS防火墙特性集可以提供一个全面、集成的虚拟专用网络（VPN）解决方案。Cisco IOS软件可用在广泛的Cisco路由器平台上，允许客户根据带宽、LAN/WAN密度和多种服务需求选择路由器平台，同时从先进的安全性受益。

。。当人们寻求利用Internet无与伦比性能的同时，他们需要安全的解决方案来：

。。今天，Internet成为功能强大的新技术焦点，极大地增强了企业与客户、供应商、合作伙伴及远程雇员的通信。用户必须确信网络业务，尤其是公共网络上的业务是安全的。 Cisco IOS软件运行于80%以上的Internet骨干网路由器中。Cisco IOS软件提供全面的网络服务，并启动网络化的应用程序。Cisco IOS安全服务为建立Internet、内部网及远程访问网络的提供安全解决方案，进而提供端到端网络安全。 整个安全解决方案的一个关键部分是网络防火墙，负责监视穿过网络周边的通信及根据安全策略加以限制。周边路由器可见于任何网络边界，例如专用网络、内部网、外部网或Internet之间。防火墙分离内部(专用)和外部(公共)网络。Cisco IOS防火墙特性集作为Cisco IOS软件的一个选项上市，提供一个先进的安全解决方案，保护网络，防止安全违规。这种集成化路由器安全解决方案提供Cisco Systems安全解决方案系统中的一个部件。

。。Cisco IOS防火墙特性集是三个Cisco防火墙解决方案之一，这些解决方案被设计用来满足一个网络内的不同防火墙要求，无论是专用设备(PIX防火墙)、基于NT的解决方案(Centri防火墙)还是集成在网络基础机构(Cisco IOS防火墙特性集)之中。Cisco防火墙家族全面的安全特性，可以满足边界政策加强、扩展到更加复杂的虚拟专用网络(VPN)、内容过滤以及服务否决(Denial of Service)检测和预防的需求。如果结合部署，Cisco防火墙允许网络管理人员通过实现一个分层的安全策略，实现功能更加强大的安全体系结构。没有其他网络供应商能够在其安全解决方案中提供这样的灵活性。Cisco IOS防火墙特性集通过在网络基础机构本身内提供访问目录政策加强，完善了Cisco的端到端安全产品，从而实现了独立设备不能提供的灵活性和控制水准。

。。Cisco IOS防火墙特性集的一些好处包括：

以前发布的Cisco IOS防火墙功能包括：

关于新特性的详细资料

。。基于上下文的访问控制 基于上下文的访问控制(CBAC)是Cisco IOS防火墙特性集最显著的新增特性。CBAC技术的重要性在于，它第一次使管理员能够将防火墙智能实现为一个集成化单框解决方案的一部分。现在，紧密安全的网络不仅允许今天的应用通信，而且为未来先进的应用(例如多媒体和电视会议)作好了准备。

。。CBAC通过严格审查源和目的地址，增强了使用众所周知端口(例如ftp和电子邮件通信)的TCP和UDP应用程序的安全。 CBAC的工作原理 CBAC是一个适用于IP通信的基于每个应用的控制机制，包括标准TCP和UDP Internet应用程序、多媒体应用程序(包括H.323应用程序、CU-SeeME、VDOLive、Streamworks及其他应用程序)以及Oracle数据库。CBAC检查TCP和UDP包，并跟踪它们的“状态”或连接状态。 TCP是一个面向连接的协议。在传输数据之前，源主机与一个目的主机洽谈连接，通常被称为“三向握手”。这种握手过程确保有效的TCP连接和无错的传输。在连接建立期间，TCP穿过几个"状态"或阶段(由数据包头标识的)。

。。标准和扩展的访问控制列肯(ACL)从包头状态来决定是否允许通信通过一个连接。 CBAC通过检查整个(数据)包了解应用程序状态信息，给ACL功能增加了检查智能。CBAC利用这种信息创建一个暂时的、对话期特定的ACL入口，从而允许回返通信进入可靠网络。这种暂时的ACL有效地在防火墙中打开了一个大门。当一个对话期结束时，ACL入口被删除，大门关闭。标准和扩展的ACL不能创建暂时的ACL入口，因此直至目前，管理员一直被迫针对信息访问要求衡量安全风险。

。。利用标准或扩展的ACL，难以确保为回返通信流量选择通道的先进应用程序的安全。 CBAC比目前的ACL解决方案更加安全，因为它根据应用类型决定是否允许一个对话通过防火墙，并决定是否为回返通信流量从多个通道进行选择。在CBAC之前，管理员仅通过编写基本上使防火墙大门洞开的永久性ACL，就能够许可先进的应用通信，因此大多数管理员选择否决所有这类应用通信。现在，有了CBAC，通过在需要时打开防火墙大门和其他时候关闭大门，他们能够安全地许可多媒体和其他应用通信。例如，如果CBAC被配置成允许Microsoft NetMeeting，那么当一个内部用户初始化一次连接时，防火墙允许回返通信。但是，如果一个外部NetMeeting来源与一个内部用户出始化连接时，CBAC将否决进入，并撤消数据包。

。。从一个更加技术的观点来看，CBAC使用几个加强机制：

1. 数据包检查监视数据包控制通道，识别控制通道中的应用专用指令，检测和预防应用级攻击。
2. 通过检查的包将被转发，而CBAC创建一个状态表来维护对话状态信息。如果状态表存在，表明(数据)包属于一个有效对话，回返通信流量将仅被许可通过集成化的防火墙。这种可配置的特性负责监视定义的对话。
3. 当对话结束时，状态表被删除。在UDP(一种非连接的服务)情况下，CBAC通过根据地址/端口配对检查包来决定UDP对话，相应地中止UDP“对话”访问。
4. CBAC根据状态表中的信息，动态地创建和删除每一个路由器接口的访问控制列入口。

。。这些入口在集成的防火墙中创建暂时的“开口”，允许有效的回返通信流量进入网络。与状态表相似，动态ACL在对话结束时不被保存。 CBAC适用于何处 CBAC是根据每个接口配置的。CBAC可能被配置用于控制源于防火墙另一方的通信(双向)；但是，大多数客户将CBAC用于仅源于一方的通信(单向)。 将CBAC配置为一个单向控制，其中客户对话是在内部网内启动的，必须穿过防火墙才能访问一个主机。例如，一个分支办事处可能需要跨一个广域网连接或Internet访问企业服务器。CBAC根据需要打开连接，并监视回返通信流量。 当一个防火墙双方都需要保护时，CBAC适合作为一个双向解决方案。这种配置的一个例子是在两个合作伙伴公司的网络之间，其中某些应用程序通信被限制在一个方向，其他应用程序在另一个方向。

。。支持ConfigMaker 通过使用ConfigMaker(一种基于Win95/WinNT向导的管理工具，它能使你将网络上支持的任何路由器配置为一个防火墙)，Cisco IOS防火墙特性集非常容易安装。ConfigMaker是现有Cisco命令行接口工具的一个配置替换。它指导分销商和网络管理员完成网络设计及路由器安装过程。ConfigMaker允许从一台单一PC配置整个路由器网络，而不是将每一个路由器以独立的设备方式配置。 应用程序 分支办事处与总部和Internet的连接 作为分支办事处一个关键的安全部件，Cisco IOS防火墙特性集不占用布线柜中的额外空间。例如:使用Cisco 2514利用一个端口连接Internet网,另一个端口通过专线访问总部资源。通过防火墙特性集，管理员可以远程配置路由器，从而在一个接口拒绝某些应用通信和从Internet下载的Java小程序，并允许SNA通信和Java小程序通过另一个广域网进入总部网络。这一解决方案授权访问要求的应用程序，例如SNA主机和客户机/服务器应用程序，并拒绝对意外应用通信的访问。 小型企业Web服务器 在另一种情况中，一家小企业老板正通过一个现场Internet Web服务器与客户和供应商通信。

。。通过使用一个Cisco 1605路由器，客户和供应商可以随时登录Web服务器，而内部以太网在另一个接口上仍然受到保护。防火墙特性集在每一个端口提供CBAC检查，密切监视通信，并保护Web服务器和内部网免受攻击。 Cisco端到端网络 一项稳健的安全策略不仅需要周边控制，或防火墙安装和管理。Cisco IOS软件是实现一项全球安全策略的理想工具。建立一个端到端Cisco解决方案可以给管理人员提供随网络发展在整个网络加强安全策略的能力。 Cisco支持 根据现有的一项支持计划，你可以从Cisco获奖的Web站点－Cisco Connection Online随时获得Cisco IOS安全软件的升级版本。为了补充其业界领先的网络解决方案，Cisco开发了全面的支持解决方案。Cisco以寿命周期为重点的支持产品提供启动、维护、市场以及先进的服务和定制服务，来保护和实现你的投资的最大化。这些服务一起提供根据特定应用程序和环境定制解决方案的覆盖面、广度以及灵活性。

[ 返回 ]