Cisco IOS防火墙特性集为每一个网络周边集成了稳健的防火墙功能性和入侵检测,丰富了Cisco IOS安全功能。如果与Cisco IOS IPSec软件和其他基于Cisco IOS软件的技术(例如L2TP隧道和服务质量[QoS])相结合,Cisco IOS防火墙特性集可以提供一个全面、集成的虚拟专用网络(VPN)解决方案。 保护内部网络,防止黑客入侵。 Cisco IOS防火墙特性集是三个Cisco防火墙解决方案之一,这些解决方案被设计用来满足一个网络内的不同防火墙要求,无论是专用设备(PIX防火墙)、基于NT的解决方案(Centri防火墙)还是集成在网络基础机构(Cisco IOS防火墙特性集)之中。Cisco防火墙家族全面的安全特性,可以满足边界政策加强、扩展到更加复杂的虚拟专用网络(VPN)、内容过滤以及服务否决(Denial of Service)检测和预防的需求。如果结合部署,Cisco防火墙允许网络管理人员通过实现一个分层的安全策略,实现功能更加强大的安全体系结构。没有其他网络供应商能够在其安全解决方案中提供这样的灵活性。Cisco IOS防火墙特性集通过在网络基础机构本身内提供访问目录政策加强,完善了Cisco的端到端安全产品,从而实现了独立设备不能提供的灵活性和控制水准。 Cisco IOS防火墙特性集的一些好处包括: 灵活性:一揽子解决方案可以执行路由,提供安全的Internet连接,在每用户或每应用的基础上,根据一个用户定义的政策,针对每一个接口采用不同的安全特征。 以前发布的Cisco IOS防火墙功能包括: 基本的和高级的通信过滤 基于上下文的访问控制 基于上下文的访问控制(CBAC)是Cisco IOS防火墙特性集最显著的新增特性。CBAC技术的重要性在于,它第一次使管理员能够将防火墙智能实现为一个集成化单框解决方案的一部分。现在,紧密安全的网络不仅允许今天的应用通信,而且为未来先进的应用(例如多媒体和电视会议)作好了准备。 CBAC通过严格审查源和目的地址,增强了使用众所周知端口(例如ftp和电子邮件通信)的TCP和UDP应用程序的安全。 CBAC的工作原理 CBAC是一个适用于IP通信的基于每个应用的控制机制,包括标准TCP和UDP Internet应用程序、多媒体应用程序(包括H.323应用程序、CU-SeeME、VDOLive、Streamworks及其他应用程序)以及Oracle数据库。CBAC检查TCP和UDP包,并跟踪它们的“状态”或连接状态。 TCP是一个面向连接的协议。在传输数据之前,源主机与一个目的主机洽谈连接,通常被称为“三向握手”。这种握手过程确保有效的TCP连接和无错的传输。在连接建立期间,TCP穿过几个"状态"或阶段(由数据包头标识的)。 标准和扩展的访问控制列肯(ACL)从包头状态来决定是否允许通信通过一个连接。 CBAC通过检查整个(数据)包了解应用程序状态信息,给ACL功能增加了检查智能。CBAC利用这种信息创建一个暂时的、对话期特定的ACL入口,从而允许回返通信进入可靠网络。这种暂时的ACL有效地在防火墙中打开了一个大门。当一个对话期结束时,ACL入口被删除,大门关闭。标准和扩展的ACL不能创建暂时的ACL入口,因此直至目前,管理员一直被迫针对信息访问要求衡量安全风险。 利用标准或扩展的ACL,难以确保为回返通信流量选择通道的先进应用程序的安全。 CBAC比目前的ACL解决方案更加安全,因为它根据应用类型决定是否允许一个对话通过防火墙,并决定是否为回返通信流量从多个通道进行选择。在CBAC之前,管理员仅通过编写基本上使防火墙大门洞开的永久性ACL,就能够许可先进的应用通信,因此大多数管理员选择否决所有这类应用通信。现在,有了CBAC,通过在需要时打开防火墙大门和其他时候关闭大门,他们能够安全地许可多媒体和其他应用通信。例如,如果CBAC被配置成允许Microsoft NetMeeting,那么当一个内部用户初始化一次连接时,防火墙允许回返通信。但是,如果一个外部NetMeeting来源与一个内部用户出始化连接时,CBAC将否决进入,并撤消数据包。 从一个更加技术的观点来看,CBAC使用几个加强机制: 数据包检查监视数据包控制通道,识别控制通道中的应用专用指令,检测和预防应用级攻击。 有关CBAC的其他说明 对于每一个连接,CBAC都为状态表和动态ACL跟踪及分配内存。如果只有一个ACL组被配置在某一给定的方向,那么CBAC的内存消耗少于每连接600字节(跨所有平台)。一个应用程序对话可能包括多个TCP/UDP连接。例如,一个NetMeeting对话包括多达7个TCP/UDP连接。 支持ConfigMaker 通过使用ConfigMaker(一种基于Win95/WinNT向导的管理工具,它能使你将网络上支持的任何路由器配置为一个防火墙),Cisco IOS防火墙特性集非常容易安装。ConfigMaker是现有Cisco命令行接口工具的一个配置替换。它指导分销商和网络管理员完成网络设计及路由器安装过程。ConfigMaker允许从一台单一PC配置整个路由器网络,而不是将每一个路由器以独立的设备方式配置。 应用程序 分支办事处与总部和Internet的连接 作为分支办事处一个关键的安全部件,Cisco IOS防火墙特性集不占用布线柜中的额外空间。例如:使用Cisco 2514利用一个端口连接Internet网,另一个端口通过专线访问总部资源。通过防火墙特性集,管理员可以远程配置路由器,从而在一个接口拒绝某些应用通信和从Internet下载的Java小程序,并允许SNA通信和Java小程序通过另一个广域网进入总部网络。这一解决方案授权访问要求的应用程序,例如SNA主机和客户机/服务器应用程序,并拒绝对意外应用通信的访问。 小型企业Web服务器 在另一种情况中,一家小企业老板正通过一个现场Internet Web服务器与客户和供应商通信。 通过使用一个Cisco 1605路由器,客户和供应商可以随时登录Web服务器,而内部以太网在另一个接口上仍然受到保护。防火墙特性集在每一个端口提供CBAC检查,密切监视通信,并保护Web服务器和内部网免受攻击。 Cisco端到端网络 一项稳健的安全策略不仅需要周边控制,或防火墙安装和管理。Cisco IOS软件是实现一项全球安全策略的理想工具。建立一个端到端Cisco解决方案可以给管理人员提供随网络发展在整个网络加强安全策略的能力。 Cisco支持 根据现有的一项支持计划,你可以从Cisco获奖的Web站点-Cisco Connection Online随时获得Cisco IOS安全软件的升级版本。为了补充其业界领先的网络解决方案,Cisco开发了全面的支持解决方案。Cisco以寿命周期为重点的支持产品提供启动、维护、市场以及先进的服务和定制服务,来保护和实现你的投资的最大化。这些服务一起提供根据特定应用程序和环境定制解决方案的覆盖面、广度以及灵活性。 现在,通过世界级的Cisco支持服务,网络管理人员可以端到端地支持他们的局域和广域Cisco网络。 可用性和价格 现在,客户可以将Cisco IOS防火墙特性集作为Cisco 1600和2500系列路由器的一个额外选项来定购。你可以从Cisco的Web站点作为一个软件下载防火墙特性集,或者申请一个CD-ROM。有关价格信息,请与你的本地Cisco销售办事处、Cisco代理商联系,或者访问Cisco Web站点,网址为http://www.cisco.com/。 适用场合 当客户需要以下这些特性时 关键特性 基于上下文的访问控制(CBAC)提供基于应用的安全过滤,支持最新的协议和先进的应用程序。 特性 Cisco IOS防火墙特性集 竞争性产品 Ascend:SecureAclearcase/" target="_blank" >ccess防火墙 用于1600系列路由器的Cisco IOS防火墙特性集 CD16-QHY-12.0= CD16-QHL-12.0= IP/IPX/AT/IBM/Firewall Plus 56特性包 IP/IPX/AT/IBM/Firewall Plus IPSec 56特性包 CD25-AHY-11.3= CD25-AHL-11.3= Enterprise/Firewall Plus 56特性包 Enterprise/Firewall Plus IPSec 56特性包 CD26-CHK2-12.0= CD26-BHP-12.0= CD26-AHL-12.0= CD26-AHK2-12.0= IP/Firewall Plus IPSec 3DES Cisco 2600系列IOS IP/IPX/AT/DEC/Firewall Plus特性包 Cisco 2600系列IOS Enterprise/Firewall Plus IPSec 56特性包 Enterprise/Firewall Plus IPSec 3DES 有关最新的产品编号和价格信息,请访问产品销售参考指南Web站点,网址为http://www.cisco.com/dprg
Cisco IOS软件可用在广泛的Cisco路由器平台上,允许客户根据带宽、LAN/WAN密度和多种服务需求选择路由器平台,同时从先进的安全性受益。
当人们寻求利用Inte.net无与伦比性能的同时,他们需要安全的解决方案来:
提供安全的Internet和远程访问连接。
通过World Wide Web启动网络贸易。
今天,Internet成为功能强大的新技术焦点,极大地增强了企业与客户、供应商、代理产品及远程雇员的通信。用户必须确信网络业务,尤其是公共网络上的业务是安全的。 Cisco IOS软件运行于80%以上的Internet骨干网路由器中。Cisco IOS软件提供全面的网络服务,并启动网络化的应用程序。Cisco IOS安全服务为建立Internet、内部网及远程访问网络的提供安全解决方案,进而提供端到端网络安全。 整个安全解决方案的一个关键部分是网络防火墙,负责监视穿过网络周边的通信及根据安全策略加以限制。周边路由器可见于任何网络边界,例如专用网络、内部网、外部网或Internet之间。防火墙分离内部(专用)和外部(公共)网络。Cisco IOS防火墙特性集作为Cisco IOS软件的一个选项上市,提供一个先进的安全解决方案,保护网络,防止安全违规。这种集成化路由器安全解决方案提供Cisco Systems安全解决方案系统中的一个部件。
投资保护:将防火墙功能性集成进一个多协议路由器可以利用现有的路由器投资。路由器通常被部署用于分离敏感的网络区段和管理专用/公共网络接口。增量变化可以节省与学习新平台相关的成本和管理培训。
更加容易的管理:通过利用远程管理功能,网络管理员可以从网络上的一个中央控制台实现安全特性。
无缝的互操作性:与其他Cisco IOS软件特性一起使用,优化广域网使用,提供稳健、可伸缩的路由,并与现有的基于Cisco IOS的网络(例如Internet)互操作。
新的防火墙特性和优点 Cisco IOS安全服务包括一系列特性,能使管理人员将一台Cisco路由器配置为一个防火墙。Cisco IOS防火墙特性集给现有的Cisco IOS安全解决方案增加了更大的深度和灵活性。表1提供新特性的一个概览,这些新特性给可能已经作为防火墙运行的路由器带来新增的灵活性和保护。目前,这些特性可用于Cisco 1600和2500系列路由器,并将从1998年第三季度开始可用于Cisco 2600和3600系列路由器。
- 标准和扩展的访问控制列表(ACL):将访问控制用于特定的网段,并定义那些通信可以通过一个网段。
- 锁定和密钥动态的ACL:根据用户身份(用户名/口令)授予通过防火墙的暂时访问。
基于策略的多端口支持:根据由安全策略决定的IP地址和端口,提供控制用户访问的能力。
网络地址转换(NAT):通过对外界隐藏内部地址增强网络保密性;通过启动注册IP地址的保护,降低Internet访问的成本。
同级路由器验证:确保路由器从可 靠的来源收到路由信息。
事件日志记录:通过将系统错误消息输出到一个控制台终端或系统日志服务器、设置严重级以及记录其他参数,允许管理员实时跟踪潜在的违法或其他非标准活动。
虚拟专用网络(VPN):利用下列任何协议,通过公共线路(例如Internet)提供安全的数据传输;降低远程分支办事处和外部网的实现及管理成本;增强服务质量和可靠性;提供基于标准的互操作性。 - 一般路由密封(GRE)隧穿 - 第二层转发(L2F) - 第二层隧穿协议(L2TP) - 服务质量(QoS)控制:排定应用程序优先顺序和分配网络资源,进而确保关键任务应用程序通信的交付。
Cisco加密技术:网络层加密功能,在传输期间防止通过网络窃取或窜改数据。
IPSec:基于标准的网络层加密,提供数据保密性和验证。
关于新特性的详细资料
通过检查的包将被转发,而CBAC创建一个状态表来维护对话状态信息。如果状态表存在,表明(数据)包属于一个有效对话,回返通信流量将仅被许可通过集成化的防火墙。这种可配置的特性负责监视定义的对话。
当对话结束时,状态表被删除。在UDP(一种非连接的服务)情况下,CBAC通过根据地址/端口配对检查包来决定UDP对话,相应地中止UDP“对话”访问。
CBAC根据状态表中的信息,动态地创建和删除每一个路由器接口的访问控制列入口。
这些入口在集成的防火墙中创建暂时的“开口”,允许有效的回返通信流量进入网络。与状态表相似,动态ACL在对话结束时不被保存。 CBAC适用于何处 CBAC是根据每个接口配置的。CBAC可能被配置用于控制源于防火墙另一方的通信(双向);但是,大多数客户将CBAC用于仅源于一方的通信(单向)。 将CBAC配置为一个单向控制,其中客户对话是在内部网内启动的,必须穿过防火墙才能访问一个主机。例如,一个分支办事处可能需要跨一个广域网连接或Internet访问企业服务器。CBAC根据需要打开连接,并监视回返通信流量。 当一个防火墙双方都需要保护时,CBAC适合作为一个双向解决方案。这种配置的一个例子是在两个代理产品公司的网络之间,其中某些应用程序通信被限制在一个方向,其他应用程序在另一个方向。
CBAC和加密可以在同一接口上使用。但是,CBAC不能检查加密的数据包的内容。当路由器也是加密点时,CBAC和加密可以协同工作-CBAC可以在加密以前检查数据包。
CBAC可以与快速交换和过程交换一同工作,在Cisco 1600和2500系列路由器平台上提供一流的性能。
Java阻断 随着大量Java小程序可用于Internet,保护网络免受恶意小程序的攻击已经成为网络管理人员的一个主要课题。可以配置Java阻断来过滤或完全拒绝对没有嵌入在一个文档或压缩文件中的Java小程序的访问。 服务拒绝检测和预防 新近增强的服务拒绝检测和预防针对syn泛滥、端口扫瞄和包注入提供网络防御。服务拒绝检测和预防检查TCP连接中的包顺序号。如果这些号码不在预期的范围内,路由器将撤消可疑的包。当路由器检测出新建,它就发出一条告警信息。它还撤消半开的TCP连接状态表,以防止系统资源耗尽。 审计跟踪 增强的审计跟踪利用系统日志来跟踪所有事务;记录时间印迹、来源主机、目的地主机、所用的端口、对话以及传输的总字节数。 实时告警 一旦查出可疑的活动,实时告警将向中央管理控制台发送系统日志错误信息。网络管理人员有能力立即对入侵作出反应。
Cisco IOS防火墙特性集 需要适合分公司及远程办事处的安全的外部网和内部网边缘及Internet连接
通过基于Cisco IOS的VPN解决方案提供安全的远程访问或数据传输
实时的集成化入侵检测系统,补充防火墙或现有的入侵检测功能(NetRanger)
在每用户的基础上提供安全和网络访问
入侵检测实时监控、截取并对网络误用作出响应。
动态的每用户验证和授权,适合基于局域网和广域网的用户及VPN客户。
通过使用ConfigMaker安全向导进行图形配置和管理。
作为基于Cisco IOS的整个VPN解决方案的一个重要组成部分,为广泛的Cisco路由器平台提供强大的周边安全,包括IPSec、QoS和隧道。
技术要求
所支持的网络接口 支持平台上的所有网络接口
所支持的平台 Cisco 1720、2600、7100和7200系列路由器平台(支持全部特性集)
Cisco 800、UBR900、1600和2500系列路由器平台,除入侵检测和验证代理之外包括所有防火墙特性
内存 随平台和软件而变化
同时对话期 没有最大值,具体数字取决于平台、网络连接和流量
Nortel:BaySecure防火墙-1
Nokia:IP400系列
产品编号和定购信息
CD16-CH-12.0=
CD16-BHP-12.0=
IP/防火墙特性包
IP/IPX/Firewall Plus特性包
用于2500系列路由器的Cisco IOS防火墙特性集
CD25-CH-11.3=
CD25-BHP-11.3=
IP/Firewall特性包
IP/IPX/AT/DEC/Firewall Plus
用于2600系列路由器的Cisco IOS防火墙特性集
CD26-CH-12.0=
CD26-CHL-12.0=
Cisco 2600系列IOS IP/Firewall特性包
Cisco 2600系列IOS IP/Firewall Plus IPSec 56特性包