cisco ios防火墻特性集

cisco ios防火墻特性集

　　cisco思科是全球領(lǐng)先的大品牌，相信很多人也不陌生，那么你知道cisco ios防火墻特性集嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于cisco ios防火墻特性集的相關(guān)資料，供你參考。

　　cisco ios防火墻特性集為每一個網(wǎng)絡(luò)周邊集成了穩(wěn)健的防火墻功能性和入侵檢測，豐富了cisco ios安全功能。如果與cisco ios IPSec軟件和其他基于cisco ios軟件的技術(shù)(例如L2TP隧道和服務(wù)質(zhì)量[QoS])相結(jié)合，cisco ios防火墻特性集可以提供一個全面、集成的虛擬專用網(wǎng)絡(luò)()解決方案。cisco ios軟件可用在廣泛的Cisco路由器平臺上，允許客戶根據(jù)帶寬、LAN/WAN密度和多種服務(wù)需求選擇路由器平臺，同時從先進的安全性受益。

　　當(dāng)人們尋求利用Internet無與倫比性能的同時，他們需要安全的解決方案來：

　　保護內(nèi)部網(wǎng)絡(luò)，防止黑客入侵。

　　提供安全的Internet和遠(yuǎn)程訪問連接。

　　通過World Wide Web啟動網(wǎng)絡(luò)貿(mào)易。

　　今天，Internet成為功能強大的新技術(shù)焦點，極大地增強了企業(yè)與客戶、供應(yīng)商、代理產(chǎn)品及遠(yuǎn)程雇員的通信。用戶必須確信網(wǎng)絡(luò)業(yè)務(wù)，尤其是公共網(wǎng)絡(luò)上的業(yè)務(wù)是安全的。 cisco ios軟件運行于80%以上的Internet骨干網(wǎng)路由器中。cisco ios軟件提供全面的網(wǎng)絡(luò)服務(wù)，并啟動網(wǎng)絡(luò)化的應(yīng)用程序。cisco ios安全服務(wù)為建立Internet、內(nèi)部網(wǎng)及遠(yuǎn)程訪問網(wǎng)絡(luò)的提供安全解決方案，進而提供端到端網(wǎng)絡(luò)安全。 整個安全解決方案的一個關(guān)鍵部分是網(wǎng)絡(luò)防火墻，負(fù)責(zé)監(jiān)視穿過網(wǎng)絡(luò)周邊的通信及根據(jù)安全策略加以限制。周邊路由器可見于任何網(wǎng)絡(luò)邊界，例如專用網(wǎng)絡(luò)、內(nèi)部網(wǎng)、外部網(wǎng)或Internet之間。防火墻分離內(nèi)部(專用)和外部(公共)網(wǎng)絡(luò)。cisco ios防火墻特性集作為cisco ios軟件的一個選項上市，提供一個先進的安全解決方案，保護網(wǎng)絡(luò)，防止安全違規(guī)。這種集成化路由器安全解決方案提供Cisco Systems安全解決方案系統(tǒng)中的一個部件。

　　cisco ios防火墻特性集是三個Cisco防火墻解決方案之一，這些解決方案被設(shè)計用來滿足一個網(wǎng)絡(luò)內(nèi)的不同防火墻要求，無論是專用設(shè)備(PIX防火墻)、基于NT的解決方案(Centri防火墻)還是集成在網(wǎng)絡(luò)基礎(chǔ)機構(gòu)(cisco ios防火墻特性集)之中。Cisco防火墻家族全面的安全特性，可以滿足邊界政策加強、擴展到更加復(fù)雜的虛擬專用網(wǎng)絡(luò)()、內(nèi)容過濾以及服務(wù)否決(Denial of Service)檢測和預(yù)防的需求。如果結(jié)合部署，Cisco防火墻允許網(wǎng)絡(luò)管理人員通過實現(xiàn)一個分層的安全策略，實現(xiàn)功能更加強大的安全體系結(jié)構(gòu)。沒有其他網(wǎng)絡(luò)供應(yīng)商能夠在其安全解決方案中提供這樣的靈活性。cisco ios防火墻特性集通過在網(wǎng)絡(luò)基礎(chǔ)機構(gòu)本身內(nèi)提供訪問目錄政策加強，完善了Cisco的端到端安全產(chǎn)品，從而實現(xiàn)了獨立設(shè)備不能提供的靈活性和控制水準(zhǔn)。

　　cisco ios防火墻特性集的一些好處包括：

　　靈活性：一攬子解決方案可以執(zhí)行路由，提供安全的Internet連接，在每用戶或每應(yīng)用的基礎(chǔ)上，根據(jù)一個用戶定義的政策，針對每一個接口采用不同的安全特征。

　　投資保護：將防火墻功能性集成進一個多協(xié)議路由器可以利用現(xiàn)有的路由器投資。路由器通常被部署用于分離敏感的網(wǎng)絡(luò)區(qū)段和管理專用/公共網(wǎng)絡(luò)接口。增量變化可以節(jié)省與學(xué)習(xí)新平臺相關(guān)的成本和管理培訓(xùn)。

　　更加容易的管理：通過利用遠(yuǎn)程管理功能，網(wǎng)絡(luò)管理員可以從網(wǎng)絡(luò)上的一個中央控制臺實現(xiàn)安全特性。

　　無縫的互操作性：與其他cisco ios軟件特性一起使用，優(yōu)化廣域網(wǎng)使用，提供穩(wěn)健、可伸縮的路由，并與現(xiàn)有的基于cisco ios的網(wǎng)絡(luò)(例如Internet)互操作。

　　新的防火墻特性和優(yōu)點 cisco ios安全服務(wù)包括一系列特性，能使管理人員將一臺Cisco路由器配置為一個防火墻。cisco ios防火墻特性集給現(xiàn)有的cisco ios安全解決方案增加了更大的深度和靈活性。表1提供新特性的一個概覽，這些新特性給可能已經(jīng)作為防火墻運行的路由器帶來新增的靈活性和保護。目前，這些特性可用于Cisco 1600和2500系列路由器，并將從1998年第三季度開始可用于Cisco 2600和3600系列路由器。

　　以前發(fā)布的cisco ios防火墻功能包括：

　　基本的和高級的通信過濾

　　- 標(biāo)準(zhǔn)和擴展的訪問控制列表(ACL)：將訪問控制用于特定的網(wǎng)段，并定義那些通信可以通過一個網(wǎng)段。

　　- 鎖定和密鑰動態(tài)的ACL：根據(jù)用戶身份(用戶名/口令)授予通過防火墻的暫時訪問。

　　基于策略的多端口支持：根據(jù)由安全策略決定的IP地址和端口，提供控制用戶訪問的能力。

　　網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)：通過對外界隱藏內(nèi)部地址增強網(wǎng)絡(luò)保密性;通過啟動注冊IP地址的保護，降低Internet訪問的成本。

　　同級路由器驗證：確保路由器從可 靠的來源收到路由信息。

　　事件日志記錄：通過將系統(tǒng)錯誤消息輸出到一個控制臺終端或系統(tǒng)日志服務(wù)器、設(shè)置嚴(yán)重級以及記錄其他參數(shù)，允許管理員實時跟蹤潛在的違法或其他非標(biāo)準(zhǔn)活動。

　　虛擬專用網(wǎng)絡(luò)()：利用下列任何協(xié)議，通過公共線路(例如Internet)提供安全的數(shù)據(jù)傳輸;降低遠(yuǎn)程分支辦事處和外部網(wǎng)的實現(xiàn)及管理成本;增強服務(wù)質(zhì)量和可靠性;提供基于標(biāo)準(zhǔn)的互操作性。 - 一般路由密封(GRE)隧穿 - 第二層轉(zhuǎn)發(fā)(L2F) - 第二層隧穿協(xié)議(L2TP) - 服務(wù)質(zhì)量(QoS)控制：排定應(yīng)用程序優(yōu)先順序和分配網(wǎng)絡(luò)資源，進而確保關(guān)鍵任務(wù)應(yīng)用程序通信的交付。

　　Cisco加密技術(shù)：網(wǎng)絡(luò)層加密功能，在傳輸期間防止通過網(wǎng)絡(luò)竊取或竄改數(shù)據(jù)。

　　IPSec：基于標(biāo)準(zhǔn)的網(wǎng)絡(luò)層加密，提供數(shù)據(jù)保密性和驗證。

　　關(guān)于新特性的詳細(xì)資料

　　基于上下文的訪問控制 基于上下文的訪問控制(CBAC)是cisco ios防火墻特性集最顯著的新增特性。CBAC技術(shù)的重要性在于，它第一次使管理員能夠?qū)⒎阑饓χ悄軐崿F(xiàn)為一個集成化單框解決方案的一部分?，F(xiàn)在，緊密安全的網(wǎng)絡(luò)不僅允許今天的應(yīng)用通信，而且為未來先進的應(yīng)用(例如多媒體和電視會議)作好了準(zhǔn)備。

　　CBAC通過嚴(yán)格審查源和目的地址，增強了使用眾所周知端口(例如ftp和電子郵件通信)的TCP和UDP應(yīng)用程序的安全。 CBAC的工作原理 CBAC是一個適用于IP通信的基于每個應(yīng)用的控制機制，包括標(biāo)準(zhǔn)TCP和UDP Internet應(yīng)用程序、多媒體應(yīng)用程序(包括H.323應(yīng)用程序、CU-SeeME、VDOLive、Streamworks及其他應(yīng)用程序)以及Oracle數(shù)據(jù)庫。CBAC檢查TCP和UDP包，并跟蹤它們的“狀態(tài)”或連接狀態(tài)。 TCP是一個面向連接的協(xié)議。在傳輸數(shù)據(jù)之前，源主機與一個目的主機洽談連接，通常被稱為“三向握手”。這種握手過程確保有效的TCP連接和無錯的傳輸。在連接建立期間，TCP穿過幾個"狀態(tài)"或階段(由數(shù)據(jù)包頭標(biāo)識的)。

　　標(biāo)準(zhǔn)和擴展的訪問控制列肯(ACL)從包頭狀態(tài)來決定是否允許通信通過一個連接。 CBAC通過檢查整個(數(shù)據(jù))包了解應(yīng)用程序狀態(tài)信息，給ACL功能增加了檢查智能。CBAC利用這種信息創(chuàng)建一個暫時的、對話期特定的ACL入口，從而允許回返通信進入可靠網(wǎng)絡(luò)。這種暫時的ACL有效地在防火墻中打開了一個大門。當(dāng)一個對話期結(jié)束時，ACL入口被刪除，大門關(guān)閉。標(biāo)準(zhǔn)和擴展的ACL不能創(chuàng)建暫時的ACL入口，因此直至目前，管理員一直被迫針對信息訪問要求衡量安全風(fēng)險。

　　利用標(biāo)準(zhǔn)或擴展的ACL，難以確保為回返通信流量選擇通道的先進應(yīng)用程序的安全。 CBAC比目前的ACL解決方案更加安全，因為它根據(jù)應(yīng)用類型決定是否允許一個對話通過防火墻，并決定是否為回返通信流量從多個通道進行選擇。在CBAC之前，管理員僅通過編寫基本上使防火墻大門洞開的永久性ACL，就能夠許可先進的應(yīng)用通信，因此大多數(shù)管理員選擇否決所有這類應(yīng)用通信。現(xiàn)在，有了CBAC，通過在需要時打開防火墻大門和其他時候關(guān)閉大門，他們能夠安全地許可多媒體和其他應(yīng)用通信。例如，如果CBAC被配置成允許Microsoft NetMeeting，那么當(dāng)一個內(nèi)部用戶初始化一次連接時，防火墻允許回返通信。但是，如果一個外部NetMeeting來源與一個內(nèi)部用戶出始化連接時，CBAC將否決進入，并撤消數(shù)據(jù)包。

　　從一個更加技術(shù)的觀點來看，CBAC使用幾個加強機制：

　　數(shù)據(jù)包檢查監(jiān)視數(shù)據(jù)包控制通道，識別控制通道中的應(yīng)用專用指令，檢測和預(yù)防應(yīng)用級攻擊。

　　通過檢查的包將被轉(zhuǎn)發(fā)，而CBAC創(chuàng)建一個狀態(tài)表來維護對話狀態(tài)信息。如果狀態(tài)表存在，表明(數(shù)據(jù))包屬于一個有效對話，回返通信流量將僅被許可通過集成化的防火墻。這種可配置的特性負(fù)責(zé)監(jiān)視定義的對話。

　　當(dāng)對話結(jié)束時，狀態(tài)表被刪除。在UDP(一種非連接的服務(wù))情況下，CBAC通過根據(jù)地址/端口配對檢查包來決定UDP對話，相應(yīng)地中止UDP“對話”訪問。

　　CBAC根據(jù)狀態(tài)表中的信息，動態(tài)地創(chuàng)建和刪除每一個路由器接口的訪問控制列入口。

　　這些入口在集成的防火墻中創(chuàng)建暫時的“開口”，允許有效的回返通信流量進入網(wǎng)絡(luò)。與狀態(tài)表相似，動態(tài)ACL在對話結(jié)束時不被保存。 CBAC適用于何處 CBAC是根據(jù)每個接口配置的。CBAC可能被配置用于控制源于防火墻另一方的通信(雙向);但是，大多數(shù)客戶將CBAC用于僅源于一方的通信(單向)。 將CBAC配置為一個單向控制，其中客戶對話是在內(nèi)部網(wǎng)內(nèi)啟動的，必須穿過防火墻才能訪問一個主機。例如，一個分支辦事處可能需要跨一個廣域網(wǎng)連接或Internet訪問企業(yè)服務(wù)器。CBAC根據(jù)需要打開連接，并監(jiān)視回返通信流量。 當(dāng)一個防火墻雙方都需要保護時，CBAC適合作為一個雙向解決方案。這種配置的一個例子是在兩個代理產(chǎn)品公司的網(wǎng)絡(luò)之間，其中某些應(yīng)用程序通信被限制在一個方向，其他應(yīng)用程序在另一個方向。

　　有關(guān)CBAC的其他說明

　　對于每一個連接，CBAC都為狀態(tài)表和動態(tài)ACL跟蹤及分配內(nèi)存。如果只有一個ACL組被配置在某一給定的方向，那么CBAC的內(nèi)存消耗少于每連接600字節(jié)(跨所有平臺)。一個應(yīng)用程序?qū)υ捒赡馨ǘ鄠€TCP/UDP連接。例如，一個NetMeeting對話包括多達7個TCP/UDP連接。

　　CBAC和加密可以在同一接口上使用。但是，CBAC不能檢查加密的數(shù)據(jù)包的內(nèi)容。當(dāng)路由器也是加密點時，CBAC和加密可以協(xié)同工作-CBAC可以在加密以前檢查數(shù)據(jù)包。

　　CBAC可以與快速交換和過程交換一同工作，在Cisco 1600和2500系列路由器平臺上提供一流的性能。

　　Java阻斷 隨著大量Java小程序可用于Internet，保護網(wǎng)絡(luò)免受惡意小程序的攻擊已經(jīng)成為網(wǎng)絡(luò)管理人員的一個主要課題?？梢耘渲肑ava阻斷來過濾或完全拒絕對沒有嵌入在一個文檔或壓縮文件中的Java小程序的訪問。 服務(wù)拒絕檢測和預(yù)防 新近增強的服務(wù)拒絕檢測和預(yù)防針對syn泛濫、端口掃瞄和包注入提供網(wǎng)絡(luò)防御。服務(wù)拒絕檢測和預(yù)防檢查TCP連接中的包順序號。如果這些號碼不在預(yù)期的范圍內(nèi)，路由器將撤消可疑的包。當(dāng)路由器檢測出新建，它就發(fā)出一條告警信息。它還撤消半開的TCP連接狀態(tài)表，以防止系統(tǒng)資源耗盡。 審計跟蹤 增強的審計跟蹤利用系統(tǒng)日志來跟蹤所有事務(wù);記錄時間印跡、來源主機、目的地主機、所用的端口、對話以及傳輸?shù)目傋止?jié)數(shù)。 實時告警 一旦查出可疑的活動，實時告警將向中央管理控制臺發(fā)送系統(tǒng)日志錯誤信息。網(wǎng)絡(luò)管理人員有能力立即對入侵作出反應(yīng)。

　　支持ConfigMaker 通過使用ConfigMaker(一種基于Win95/WinNT向?qū)У墓芾砉ぞ撸苁鼓銓⒕W(wǎng)絡(luò)上支持的任何路由器配置為一個防火墻)，cisco ios防火墻特性集非常容易安裝。ConfigMaker是現(xiàn)有Cisco命令行接口工具的一個配置替換。它指導(dǎo)分銷商和網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)設(shè)計及路由器安裝過程。ConfigMaker允許從一臺單一PC配置整個路由器網(wǎng)絡(luò)，而不是將每一個路由器以獨立的設(shè)備方式配置。 應(yīng)用程序 分支辦事處與總部和Internet的連接 作為分支辦事處一個關(guān)鍵的安全部件，cisco ios防火墻特性集不占用布線柜中的額外空間。例如:使用Cisco 2514利用一個端口連接Internet網(wǎng),另一個端口通過專線訪問總部資源。通過防火墻特性集，管理員可以遠(yuǎn)程配置路由器，從而在一個接口拒絕某些應(yīng)用通信和從Internet下載的Java小程序，并允許SNA通信和Java小程序通過另一個廣域網(wǎng)進入總部網(wǎng)絡(luò)。這一解決方案授權(quán)訪問要求的應(yīng)用程序，例如SNA主機和客戶機/服務(wù)器應(yīng)用程序，并拒絕對意外應(yīng)用通信的訪問。 小型企業(yè)Web服務(wù)器 在另一種情況中，一家小企業(yè)老板正通過一個現(xiàn)場Internet Web服務(wù)器與客戶和供應(yīng)商通信。

　　通過使用一個Cisco 1605路由器，客戶和供應(yīng)商可以隨時登錄Web服務(wù)器，而內(nèi)部以太網(wǎng)在另一個接口上仍然受到保護。防火墻特性集在每一個端口提供CBAC檢查，密切監(jiān)視通信，并保護Web服務(wù)器和內(nèi)部網(wǎng)免受攻擊。 Cisco端到端網(wǎng)絡(luò) 一項穩(wěn)健的安全策略不僅需要周邊控制，或防火墻安裝和管理。cisco ios軟件是實現(xiàn)一項全球安全策略的理想工具。建立一個端到端Cisco解決方案可以給管理人員提供隨網(wǎng)絡(luò)發(fā)展在整個網(wǎng)絡(luò)加強安全策略的能力。 Cisco支持 根據(jù)現(xiàn)有的一項支持計劃，你可以從Cisco獲獎的Web站點-Cisco Connection Online隨時獲得cisco ios安全軟件的升級版本。為了補充其業(yè)界領(lǐng)先的網(wǎng)絡(luò)解決方案，Cisco開發(fā)了全面的支持解決方案。Cisco以壽命周期為重點的支持產(chǎn)品提供啟動、維護、市場以及先進的服務(wù)和定制服務(wù)，來保護和實現(xiàn)你的投資的最大化。這些服務(wù)一起提供根據(jù)特定應(yīng)用程序和環(huán)境定制解決方案的覆蓋面、廣度以及靈活性。

　　現(xiàn)在，通過世界級的Cisco支持服務(wù)，網(wǎng)絡(luò)管理人員可以端到端地支持他們的局域和廣域Cisco網(wǎng)絡(luò)。 可用性和價格 現(xiàn)在，客戶可以將cisco ios防火墻特性集作為Cisco 1600和2500系列路由器的一個額外選項來定購。你可以從Cisco的Web站點作為一個軟件下載防火墻特性集，或者申請一個CD-ROM。有關(guān)價格信息，請與你的本地Cisco銷售辦事處、Cisco代理商聯(lián)系，或者訪問Cisco Web站點，網(wǎng)址為http://www.cisco.com/。

　　適用場合

　　當(dāng)客戶需要以下這些特性時

　　cisco ios防火墻特性集 需要適合分公司及遠(yuǎn)程辦事處的安全的外部網(wǎng)和內(nèi)部網(wǎng)邊緣及Internet連接

　　通過基于cisco ios的解決方案提供安全的遠(yuǎn)程訪問或數(shù)據(jù)傳輸

　　實時的集成化入侵檢測系統(tǒng)，補充防火墻或現(xiàn)有的入侵檢測功能(NetRanger)

　　在每用戶的基礎(chǔ)上提供安全和網(wǎng)絡(luò)訪問

　　關(guān)鍵特性

　　基于上下文的訪問控制(CBAC)提供基于應(yīng)用的安全過濾，支持最新的協(xié)議和先進的應(yīng)用程序。

　　入侵檢測實時監(jiān)控、截取并對網(wǎng)絡(luò)誤用作出響應(yīng)。

　　動態(tài)的每用戶驗證和授權(quán)，適合基于局域網(wǎng)和廣域網(wǎng)的用戶及客戶。

　　通過使用ConfigMaker安全向?qū)нM行圖形配置和管理。

　　作為基于cisco ios的整個解決方案的一個重要組成部分，為廣泛的Cisco路由器平臺提供強大的周邊安全，包括IPSec、QoS和隧道。

　　技術(shù)要求

　　特性 cisco ios防火墻特性集

　　所支持的網(wǎng)絡(luò)接口 支持平臺上的所有網(wǎng)絡(luò)接口

　　所支持的平臺 Cisco 1720、2600、7100和7200系列路由器平臺(支持全部特性集)

　　Cisco 800、UBR900、1600和2500系列路由器平臺，除入侵檢測和驗證代理之外包括所有防火墻特性

　　內(nèi)存 隨平臺和軟件而變化

　　同時對話期 沒有最大值，具體數(shù)字取決于平臺、網(wǎng)絡(luò)連接和流量

　　競爭性產(chǎn)品

　　Ascend：SecureAccess防火墻

　　Nortel：BaySecure防火墻-1

　　Nokia：IP400系列

　　產(chǎn)品編號和定購信息

　　用于1600系列路由器的cisco ios防火墻特性集

　　CD16-CH-12.0=

　　CD16-BHP-12.0=

　　CD16-QHY-12.0=

　　CD16-QHL-12.0=

　　IP/防火墻特性包

　　IP/IPX/Firewall Plus特性包

　　IP/IPX/AT/IBM/Firewall Plus 56特性包

　　IP/IPX/AT/IBM/Firewall Plus IPSec 56特性包

　　用于2500系列路由器的cisco ios防火墻特性集

　　CD25-CH-11.3=

　　CD25-BHP-11.3=

　　CD25-AHY-11.3=

　　CD25-AHL-11.3=

　　IP/Firewall特性包

　　IP/IPX/AT/DEC/Firewall Plus

　　Enterprise/Firewall Plus 56特性包

　　Enterprise/Firewall Plus IPSec 56特性包

　　用于2600系列路由器的cisco ios防火墻特性集

　　CD26-CH-12.0=

　　CD26-CHL-12.0=

　　CD26-CHK2-12.0=

　　CD26-BHP-12.0=

　　CD26-AHL-12.0=

　　CD26-AHK2-12.0=

　　Cisco 2600系列IOS IP/Firewall特性包

　　Cisco 2600系列IOS IP/Firewall Plus IPSec 56特性包

　　IP/Firewall Plus IPSec 3DES

　　Cisco 2600系列IOS IP/IPX/AT/DEC/Firewall Plus特性包

　　Cisco 2600系列IOS Enterprise/Firewall Plus IPSec 56特性包

　　Enterprise/Firewall Plus IPSec 3DES

　　看過文章“cisco ios防火墻特性集”的人還看了：

　　1.cisco思科路由器設(shè)置

　　2.思科路由器怎么進入 思科路由器怎么設(shè)置

　　3.思科路由器控制端口連接圖解

　　4.思科路由器基本配置教程

　　5.如何進入cisco路由器

　　6.cisco怎么進端口

　　7.cisco如何看未接來電

　　8.cisco常用命令

　　9.詳解思科route print

　　10.思科路由器恢復(fù)出廠配置的方法有哪些