防火墙是一套在网络基础设施上某一特定点实施的、可增强企业安全性政策的硬件和软件。
Cisco IOS防火墙在基于Cisco IOS软件的路由器中增加了先进的、行之有效的防火墙技术。作为一种集成解决方案,它可以充分利用客户已经拥有的(如外围路由器)和已经理解的(如Cisco IOS软件)的事物,并可简化拥有和管理问题。作为一种软件,它具有价格低廉、配置简单、升级方便等特点。Cisco IOS防火墙功能集是一份可用于Cisco路由器的可选的附加软件许可证,它可以提供集成在Cisco IOS路由器之中的防火墙功能。
Cisco IOS防火墙软件荟萃了多种多样功能强大的安全性功能,包括:
基于上下文的访问控制(CBAC) – 可针对横跨外围网络(如在企业专用网络与互联网之间的网段)的所有数据流提供安全的、基于应用的访问控制;CBAC能够阻止多数“端口扫描”企图。
入侵检测 – 对网络误用的实时监控、拦截和响应;一整套最常用的攻击与信息收集和入侵检测签名。
身份验证代理 – 可用于基于LAN和拨号上网通信的针对具体用户的动态身份验证和授权。
拒绝服务检测与预防 – 可防卫和保护路由器资源免遭常见攻击的威胁和伤害(可检查数据包报头;可删除和丢弃可疑数据包)。
动态端口映射 – 网络管理员可以在非标准端口上运行被CBAC支持的应用。
Java小应用封锁 – 可保护系统免遭身份不明或恶意Java小应用的攻击。
VPN、IPSec加密和QoS支持:
• 可与Cisco IOS软件加密、封装和QoS功能一起运行,进而确保VPN的安全。
• 可在路由器上提供可扩展的加密隧道,同时还可集成强大的外围安全性、高级带宽管理、入侵检测以及服务级验证。
• 可在各种标准基础上提供异种机互操作性。
实时告警 – 可记录针对拒绝服务攻击或其他预配置条件的告警;现可根据具体应用或具体功能而进行配置。
网络事务跟踪记录 – 可跟踪和记录网络事务的详细信息:可记录时间印记、来源主机、目的地主机、端口、时长、以及所传输的字节的总数,并可编制详细报告;现可根据具体应用或具体功能而进行配置。
事件记录 – 可将系统错误信息输出记录到控制台终端或系统日志服务器,可设定严重性等级,还可记录其他参数,进而可使管理员实时地跟踪潜在安全性隐患或其他非标准活动。
防火墙管理 – 基于向导的网络配置工具可提供从网络设计到编址/寻址再到Cisco IOS防火墙安全性政策配置的一整套循序渐进的指南;还可支持网络地址转换(NAT)和IPSec配置。
与Cisco IOS软件的集成 – 可实现与Cisco IOS功能之间的互操作,可将安全性政策执法功能集成到网络之中。
基本和高级数据流过滤:
• 标准和扩展ACL可在具体网段上应用访问控制,还可确定允许哪些数据流通过某个网段。
• 加锁和密钥动态ACL可根据用户身份(用户名/密码)而授予通过防火墙的临时访问权。
基于政策的多接口支持 – 可提供根据安全性政策所规定的IP地址和接口而控制用户访问的能力。
网络地址转换 – 可将内部网络隐藏起来免遭外来攻击,进而可提高安全性。
基于时间的访问列表 – 可按照一天中的时间或一周中的日期来定义安全性政策。
对等路由器身份验证 – 可确保路由器能从值得信任的来源接收到可靠的路由信息。
Cisco IOS防火墙功能集与Cisco PIX防火墙
在网络设计过程中的很多阶段上,我们都需要作出这样的选择:我们是应该在网络设备中使用集成化功能(如Cisco IOS防火墙功能集)呢还是应该采用专门功能设备(如PIX™防火墙)呢?集成化功能通常具有比较大的吸引力,因为它可以在现有设备上进行实施,或者因为其功能可与设备的其他部分实现互操作,进而可提供一套更好的功能性解决方案。当所要求的功能非常高级,或者当性能要求迫使我们采用专门硬件时,我们通常就需要采用这些设备。每一次我们都需要作出选择:要么是利用设备的容量和功能,要么是利用设备的集成优势。
【编辑推荐】