Cisco IOS防火墻特性集為每一個網絡周邊集成了穩健的防火墻功能性和入侵檢測,豐富了Cisco IOS安全功能。如果與Cisco IOS IPSec軟件和其他基于Cisco IOS軟件的技術(例如L2TP隧道和服務質量[QoS])相結合,Cisco IOS防火墻特性集可以提供一個全面、集成的虛擬專用網絡(VPN)解決方案。Cisco IOS軟件可用在廣泛的Cisco路由器平臺上,允許客戶根據帶寬、LAN/WAN密度和多種服務需求選擇路由器平臺,同時從先進的安全性受益。
當人們尋求利用Internet無與倫比性能的同時,他們需要安全的解決方案來:
保護內部網絡,防止黑客入侵。
提供安全的Internet和遠程訪問連接。
通過World Wide Web啟動網絡貿易。
今天,Internet成為功能強大的新技術焦點,極大地增強了企業與客戶、供應商、代理產品及遠程雇員的通信。用戶必須確信網絡業務,尤其是公共網絡上的業務是安全的。 Cisco IOS軟件運行于80%以上的Internet骨干網路由器中。Cisco IOS軟件提供全面的網絡服務,并啟動網絡化的應用程序。Cisco IOS安全服務為建立Internet、內部網及遠程訪問網絡的提供安全解決方案,進而提供端到端網絡安全。 整個安全解決方案的一個關鍵部分是網絡防火墻,負責監視穿過網絡周邊的通信及根據安全策略加以限制。周邊路由器可見于任何網絡邊界,例如專用網絡、內部網、外部網或Internet之間。防火墻分離內部(專用)和外部(公共)網絡。Cisco IOS防火墻特性集作為Cisco IOS軟件的一個選項上市,提供一個先進的安全解決方案,保護網絡,防止安全違規。這種集成化路由器安全解決方案提供Cisco Systems安全解決方案系統中的一個部件。
Cisco IOS防火墻特性集是三個Cisco防火墻解決方案之一,這些解決方案被設計用來滿足一個網絡內的不同防火墻要求,無論是專用設備(PIX防火墻)、基于NT的解決方案(Centri防火墻)還是集成在網絡基礎機構(Cisco IOS防火墻特性集)之中。Cisco防火墻家族全面的安全特性,可以滿足邊界政策加強、擴展到更加復雜的虛擬專用網絡(VPN)、內容過濾以及服務否決(Denial of Service)檢測和預防的需求。如果結合部署,Cisco防火墻允許網絡管理人員通過實現一個分層的安全策略,實現功能更加強大的安全體系結構。沒有其他網絡供應商能夠在其安全解決方案中提供這樣的靈活性。Cisco IOS防火墻特性集通過在網絡基礎機構本身內提供訪問目錄政策加強,完善了Cisco的端到端安全產品,從而實現了獨立設備不能提供的靈活性和控制水準。
Cisco IOS防火墻特性集的一些好處包括:
靈活性:一攬子解決方案可以執行路由,提供安全的Internet連接,在每用戶或每應用的基礎上,根據一個用戶定義的政策,針對每一個接口采用不同的安全特征。
投資保護:將防火墻功能性集成進一個多協議路由器可以利用現有的路由器投資。路由器通常被部署用于分離敏感的網絡區段和管理專用/公共網絡接口。增量變化可以節省與學習新平臺相關的成本和管理培訓。
更加容易的管理:通過利用遠程管理功能,網絡管理員可以從網絡上的一個中央控制臺實現安全特性。
無縫的互操作性:與其他Cisco IOS軟件特性一起使用,優化廣域網使用,提供穩健、可伸縮的路由,并與現有的基于Cisco IOS的網絡(例如Internet)互操作。
新的防火墻特性和優點 Cisco IOS安全服務包括一系列特性,能使管理人員將一臺Cisco路由器配置為一個防火墻。Cisco IOS防火墻特性集給現有的Cisco IOS安全解決方案增加了更大的深度和靈活性。表1提供新特性的一個概覽,這些新特性給可能已經作為防火墻運行的路由器帶來新增的靈活性和保護。目前,這些特性可用于Cisco 1600和2500系列路由器,并將從1998年第三季度開始可用于Cisco 2600和3600系列路由器。
以前發布的Cisco IOS防火墻功能包括:
基本的和高級的通信過濾
- 標準和擴展的訪問控制列表(ACL):將訪問控制用于特定的網段,并定義那些通信可以通過一個網段。
- 鎖定和密鑰動態的ACL:根據用戶身份(用戶名/口令)授予通過防火墻的暫時訪問。
基于策略的多端口支持:根據由安全策略決定的IP地址和端口,提供控制用戶訪問的能力。
網絡地址轉換(NAT):通過對外界隱藏內部地址增強網絡保密性;通過啟動注冊IP地址的保護,降低Internet訪問的成本。
同級路由器驗證:確保路由器從可 靠的來源收到路由信息。
事件日志記錄:通過將系統錯誤消息輸出到一個控制臺終端或系統日志服務器、設置嚴重級以及記錄其他參數,允許管理員實時跟蹤潛在的違法或其他非標準活動。
虛擬專用網絡(VPN):利用下列任何協議,通過公共線路(例如Internet)提供安全的數據傳輸;降低遠程分支辦事處和外部網的實現及管理成本;增強服務質量和可靠性;提供基于標準的互操作性。 - 一般路由密封(GRE)隧穿 - 第二層轉發(L2F) - 第二層隧穿協議(L2TP) - 服務質量(QoS)控制:排定應用程序優先順序和分配網絡資源,進而確保關鍵任務應用程序通信的交付。
Cisco加密技術:網絡層加密功能,在傳輸期間防止通過網絡竊取或竄改數據。
IPSec:基于標準的網絡層加密,提供數據保密性和驗證。
關于新特性的詳細資料
基于上下文的訪問控制 基于上下文的訪問控制(CBAC)是Cisco IOS防火墻特性集最顯著的新增特性。CBAC技術的重要性在于,它第一次使管理員能夠將防火墻智能實現為一個集成化單框解決方案的一部分。現在,緊密安全的網絡不僅允許今天的應用通信,而且為未來先進的應用(例如多媒體和電視會議)作好了準備。
CBAC通過嚴格審查源和目的地址,增強了使用眾所周知端口(例如ftp和電子郵件通信)的TCP和UDP應用程序的安全。 CBAC的工作原理 CBAC是一個適用于IP通信的基于每個應用的控制機制,包括標準TCP和UDP Internet應用程序、多媒體應用程序(包括H.323應用程序、CU-SeeME、VDOLive、Streamworks及其他應用程序)以及Oracle數據庫。CBAC檢查TCP和UDP包,并跟蹤它們的“狀態”或連接狀態。 TCP是一個面向連接的協議。在傳輸數據之前,源主機與一個目的主機洽談連接,通常被稱為“三向握手”。這種握手過程確保有效的TCP連接和無錯的傳輸。在連接建立期間,TCP穿過幾個"狀態"或階段(由數據包頭標識的)。
標準和擴展的訪問控制列肯(ACL)從包頭狀態來決定是否允許通信通過一個連接。 CBAC通過檢查整個(數據)包了解應用程序狀態信息,給ACL功能增加了檢查智能。CBAC利用這種信息創建一個暫時的、對話期特定的ACL入口,從而允許回返通信進入可靠網絡。這種暫時的ACL有效地在防火墻中打開了一個大門。當一個對話期結束時,ACL入口被刪除,大門關閉。標準和擴展的ACL不能創建暫時的ACL入口,因此直至目前,管理員一直被迫針對信息訪問要求衡量安全風險。
利用標準或擴展的ACL,難以確保為回返通信流量選擇通道的先進應用程序的安全。 CBAC比目前的ACL解決方案更加安全,因為它根據應用類型決定是否允許一個對話通過防火墻,并決定是否為回返通信流量從多個通道進行選擇。在CBAC之前,管理員僅通過編寫基本上使防火墻大門洞開的永久性ACL,就能夠許可先進的應用通信,因此大多數管理員選擇否決所有這類應用通信。現在,有了CBAC,通過在需要時打開防火墻大門和其他時候關閉大門,他們能夠安全地許可多媒體和其他應用通信。例如,如果CBAC被配置成允許Microsoft NetMeeting,那么當一個內部用戶初始化一次連接時,防火墻允許回返通信。但是,如果一個外部NetMeeting來源與一個內部用戶出始化連接時,CBAC將否決進入,并撤消數據包。
從一個更加技術的觀點來看,CBAC使用幾個加強機制:
數據包檢查監視數據包控制通道,識別控制通道中的應用專用指令,檢測和預防應用級攻擊。
通過檢查的包將被轉發,而CBAC創建一個狀態表來維護對話狀態信息。如果狀態表存在,表明(數據)包屬于一個有效對話,回返通信流量將僅被許可通過集成化的防火墻。這種可配置的特性負責監視定義的對話。
當對話結束時,狀態表被刪除。在UDP(一種非連接的服務)情況下,CBAC通過根據地址/端口配對檢查包來決定UDP對話,相應地中止UDP“對話”訪問。
CBAC根據狀態表中的信息,動態地創建和刪除每一個路由器接口的訪問控制列入口。
這些入口在集成的防火墻中創建暫時的“開口”,允許有效的回返通信流量進入網絡。與狀態表相似,動態ACL在對話結束時不被保存。 CBAC適用于何處 CBAC是根據每個接口配置的。CBAC可能被配置用于控制源于防火墻另一方的通信(雙向);但是,大多數客戶將CBAC用于僅源于一方的通信(單向)。 將CBAC配置為一個單向控制,其中客戶對話是在內部網內啟動的,必須穿過防火墻才能訪問一個主機。例如,一個分支辦事處可能需要跨一個廣域網連接或Internet訪問企業服務器。CBAC根據需要打開連接,并監視回返通信流量。 當一個防火墻雙方都需要保護時,CBAC適合作為一個雙向解決方案。這種配置的一個例子是在兩個代理產品公司的網絡之間,其中某些應用程序通信被限制在一個方向,其他應用程序在另一個方向。
有關CBAC的其他說明
對于每一個連接,CBAC都為狀態表和動態ACL跟蹤及分配內存。如果只有一個ACL組被配置在某一給定的方向,那么CBAC的內存消耗少于每連接600字節(跨所有平臺)。一個應用程序對話可能包括多個TCP/UDP連接。例如,一個NetMeeting對話包括多達7個TCP/UDP連接。
CBAC和加密可以在同一接口上使用。但是,CBAC不能檢查加密的數據包的內容。當路由器也是加密點時,CBAC和加密可以協同工作-CBAC可以在加密以前檢查數據包。
CBAC可以與快速交換和過程交換一同工作,在Cisco 1600和2500系列路由器平臺上提供一流的性能。
Java阻斷 隨著大量Java小程序可用于Internet,保護網絡免受惡意小程序的攻擊已經成為網絡管理人員的一個主要課題。可以配置Java阻斷來過濾或完全拒絕對沒有嵌入在一個文檔或壓縮文件中的Java小程序的訪問。 服務拒絕檢測和預防 新近增強的服務拒絕檢測和預防針對syn泛濫、端口掃瞄和包注入提供網絡防御。服務拒絕檢測和預防檢查TCP連接中的包順序號。如果這些號碼不在預期的范圍內,路由器將撤消可疑的包。當路由器檢測出新建,它就發出一條告警信息。它還撤消半開的TCP連接狀態表,以防止系統資源耗盡。 審計跟蹤 增強的審計跟蹤利用系統日志來跟蹤所有事務;記錄時間印跡、來源主機、目的地主機、所用的端口、對話以及傳輸的總字節數。 實時告警 一旦查出可疑的活動,實時告警將向中央管理控制臺發送系統日志錯誤信息。網絡管理人員有能力立即對入侵作出反應。
支持ConfigMaker 通過使用ConfigMaker(一種基于Win95/WinNT向導的管理工具,它能使你將網絡上支持的任何路由器配置為一個防火墻),Cisco IOS防火墻特性集非常容易安裝。ConfigMaker是現有Cisco命令行接口工具的一個配置替換。它指導分銷商和網絡管理員完成網絡設計及路由器安裝過程。ConfigMaker允許從一臺單一PC配置整個路由器網絡,而不是將每一個路由器以獨立的設備方式配置。 應用程序 分支辦事處與總部和Internet的連接 作為分支辦事處一個關鍵的安全部件,Cisco IOS防火墻特性集不占用布線柜中的額外空間。例如:使用Cisco 2514利用一個端口連接Internet網,另一個端口通過專線訪問總部資源。通過防火墻特性集,管理員可以遠程配置路由器,從而在一個接口拒絕某些應用通信和從Internet下載的Java小程序,并允許SNA通信和Java小程序通過另一個廣域網進入總部網絡。這一解決方案授權訪問要求的應用程序,例如SNA主機和客戶機/服務器應用程序,并拒絕對意外應用通信的訪問。 小型企業Web服務器 在另一種情況中,一家小企業老板正通過一個現場Internet Web服務器與客戶和供應商通信。
通過使用一個Cisco 1605路由器,客戶和供應商可以隨時登錄Web服務器,而內部以太網在另一個接口上仍然受到保護。防火墻特性集在每一個端口提供CBAC檢查,密切監視通信,并保護Web服務器和內部網免受攻擊。 Cisco端到端網絡 一項穩健的安全策略不僅需要周邊控制,或防火墻安裝和管理。Cisco IOS軟件是實現一項全球安全策略的理想工具。建立一個端到端Cisco解決方案可以給管理人員提供隨網絡發展在整個網絡加強安全策略的能力。 Cisco支持 根據現有的一項支持計劃,你可以從Cisco獲獎的Web站點-Cisco Connection Online隨時獲得Cisco IOS安全軟件的升級版本。為了補充其業界領先的網絡解決方案,Cisco開發了全面的支持解決方案。Cisco以壽命周期為重點的支持產品提供啟動、維護、市場以及先進的服務和定制服務,來保護和實現你的投資的最大化。這些服務一起提供根據特定應用程序和環境定制解決方案的覆蓋面、廣度以及靈活性。
現在,通過世界級的Cisco支持服務,網絡管理人員可以端到端地支持他們的局域和廣域Cisco網絡。 可用性和價格 現在,客戶可以將Cisco IOS防火墻特性集作為Cisco 1600和2500系列路由器的一個額外選項來定購。你可以從Cisco的Web站點作為一個軟件下載防火墻特性集,或者申請一個CD-ROM。有關價格信息,請與你的本地Cisco銷售辦事處、Cisco代理商聯系,或者訪問Cisco Web站點,網址為http://www.cisco.com/。
適用場合
當客戶需要以下這些特性時
Cisco IOS防火墻特性集 需要適合分公司及遠程辦事處的安全的外部網和內部網邊緣及Internet連接
通過基于Cisco IOS的VPN解決方案提供安全的遠程訪問或數據傳輸
實時的集成化入侵檢測系統,補充防火墻或現有的入侵檢測功能(NetRanger)
在每用戶的基礎上提供安全和網絡訪問
關鍵特性
基于上下文的訪問控制(CBAC)提供基于應用的安全過濾,支持最新的協議和先進的應用程序。
入侵檢測實時監控、截取并對網絡誤用作出響應。
動態的每用戶驗證和授權,適合基于局域網和廣域網的用戶及VPN客戶。
通過使用ConfigMaker安全向導進行圖形配置和管理。
作為基于Cisco IOS的整個VPN解決方案的一個重要組成部分,為廣泛的Cisco路由器平臺提供強大的周邊安全,包括IPSec、QoS和隧道。
技術要求
特性 Cisco IOS防火墻特性集
所支持的網絡接口 支持平臺上的所有網絡接口
所支持的平臺 Cisco 1720、2600、7100和7200系列路由器平臺(支持全部特性集)
Cisco 800、UBR900、1600和2500系列路由器平臺,除入侵檢測和驗證代理之外包括所有防火墻特性
內存 隨平臺和軟件而變化
同時對話期 沒有最大值,具體數字取決于平臺、網絡連接和流量
競爭性產品
Ascend:SecureAccess防火墻
Nortel:BaySecure防火墻-1
Nokia:IP400系列
產品編號和定購信息
用于1600系列路由器的Cisco IOS防火墻特性集
CD16-CH-12.0=
CD16-BHP-12.0=
CD16-QHY-12.0=
CD16-QHL-12.0=
IP/防火墻特性包
IP/IPX/Firewall Plus特性包
IP/IPX/AT/IBM/Firewall Plus 56特性包
IP/IPX/AT/IBM/Firewall Plus IPSec 56特性包
用于2500系列路由器的Cisco IOS防火墻特性集
CD25-CH-11.3=
CD25-BHP-11.3=
CD25-AHY-11.3=
CD25-AHL-11.3=
IP/Firewall特性包
IP/IPX/AT/DEC/Firewall Plus
Enterprise/Firewall Plus 56特性包
Enterprise/Firewall Plus IPSec 56特性包
用于2600系列路由器的Cisco IOS防火墻特性集
CD26-CH-12.0=
CD26-CHL-12.0=
CD26-CHK2-12.0=
CD26-BHP-12.0=
CD26-AHL-12.0=
CD26-AHK2-12.0=
Cisco 2600系列IOS IP/Firewall特性包
Cisco 2600系列IOS IP/Firewall Plus IPSec 56特性包
IP/Firewall Plus IPSec 3DES
Cisco 2600系列IOS IP/IPX/AT/DEC/Firewall Plus特性包
Cisco 2600系列IOS Enterprise/Firewall Plus IPSec 56特性包
Enterprise/Firewall Plus IPSec 3DES
有關最新的產品編號和價格信息,請訪問產品銷售參考指南Web站點,網址為http://www.cisco.com/dprg。(目前僅可用于一些國家,即將向全球開通)
如欲了解進一步信息
請訪問Cisco IOS防火墻特性集Web站點,網址為http://www.cisco.com/go/iosfirewall。
