Cisco IOS防火墻特性集的一些好處包括:
新的防火墻特性和優點
Cisco IOS安全服務包括一系列特性,能使管理人員將一臺Cisco路由器配置為一個防火墻。Cisco IOS防火墻特性集給現有的Cisco IOS安全解決方案增加了更大的深度和靈活性。表1提供新特性的一個概覽,這些新特性給可能已經作為防火墻運行的路由器帶來新增的靈活性和保護。目前,這些特性可用于Cisco 1600和2500系列路由器,并將從1998年第三季度開始可用于Cisco 2600和3600系列路由器。
 |
表1:Cisco IOS防火墻特性集概覽 |
 |
| 新特性 | 說明 | |
| 基于上下文的訪問控制(CBAC) | 針對通過周邊(例如專用企業網和Internet之間)的所有通信流量,給內部用戶提供安全的、基于每應用的訪問控制。 | |
| Java阻斷 | 提供針對未識別的惡意Java小程序的保護。 | |
| Denial of Service(服務拒絕)檢測/預防 | 防御和保護路由器資源免受常見攻擊;檢查數據包包頭和丟掉可疑的數據包。 | |
| 審計蹤跡 | 詳細說明事務;記錄事件印跡、源主機、目的主機、端口、持續時間和傳輸的總字節數。 | |
| 實時告警 | 記錄在發生服務拒決攻擊或出現其他預配置條件時的告警。 | |
| 支持ConfigMaker | 一種基于Win95/WinNT向導的網絡配置工具,為網絡設計、尋址和防火墻特性集實現提供逐步的指導。 | |
|
| ||
以前發布的Cisco IOS防火墻功能包括:
關于新特性的詳細資料
基于上下文的訪問控制
基于上下文的訪問控制(CBAC)是Cisco IOS防火墻特性集最顯著的新增特性。CBAC技術的重要性在于,它第一次使管理員能夠將防火墻智能實現為一個集成化單框解決方案的一部分。現在,緊密安全的網絡不僅允許今天的應用通信,而且為未來先進的應用(例如多媒體和電視會議)作好了準備。CBAC通過嚴格審查源和目的地址,增強了使用眾所周知端口(例如ftp和電子郵件通信)的TCP和UDP應用程序的安全。
CBAC的工作原理
CBAC是一個適用于IP通信的基于每個應用的控制機制,包括標準TCP和UDP Internet應用程序、多媒體應用程序(包括H.323應用程序、CU-SeeME、VDOLive、Streamworks及其他應用程序)以及Oracle數據庫。CBAC檢查TCP和UDP包,并跟蹤它們的"狀態"或連接狀態。
TCP是一個面向連接的協議。在傳輸數據之前,源主機與一個目的主機洽談連接,通常被稱為"三向握手"。這種握手過程確保有效的TCP連接和無錯的傳輸。在連接建立期間,TCP穿過幾個"狀態"或階段(由數據包頭標識的)。標準和擴展的訪問控制列肯(ACL)從包頭狀態來決定是否允許通信通過一個連接。
CBAC通過檢查整個(數據)包了解應用程序狀態信息,給ACL功能增加了檢查智能。CBAC利用這種信息創建一個暫時的、對話期特定的ACL入口,從而允許回返通信進入可靠網絡。這種暫時的ACL有效地在防火墻中打開了一個大門。當一個對話期結束時,ACL入口被刪除,大門關閉。標準和擴展的ACL不能創建暫時的ACL入口,因此直至目前,管理員一直被迫針對信息訪問要求衡量安全風險。利用標準或擴展的ACL,難以確保為回返通信流量選擇通道的先進應用程序的安全。
CBAC比目前的ACL解決方案更加安全,因為它根據應用類型決定是否允許一個對話通過防火墻,并決定是否為回返通信流量從多個通道進行選擇。在CBAC之前,管理員僅通過編寫基本上使防火墻大門洞開的永久性ACL,就能夠許可先進的應用通信,因此大多數管理員選擇否決所有這類應用通信。現在,有了CBAC,通過在需要時打開防火墻大門和其他時候關閉大門,他們能夠安全地許可多媒體和其他應用通信。例如,如果CBAC被配置成允許Microsoft NetMeeting,那么當一個內部用戶初始化一次連接時,防火墻允許回返通信。但是,如果一個外部NetMeeting來源與一個內部用戶出始化連接時,CBAC將否決進入,并撤消數據包。
從一個更加技術的觀點來看,CBAC使用幾個加強機制:
CBAC適用于何處
CBAC是根據每個接口配置的。CBAC可能被配置用于控制源于防火墻另一方的通信(雙向);但是,大多數客戶將CBAC用于僅源于一方的通信(單向)。
將CBAC配置為一個單向控制,其中客戶對話是在內部網內啟動的,必須穿過防火墻才能訪問一個主機。例如,一個分支辦事處可能需要跨一個廣域網連接或Internet訪問企業服務器。CBAC根據需要打開連接,并監視回返通信流量。
當一個防火墻雙方都需要保護時,CBAC適合作為一個雙向解決方案。這種配置的一個例子是在兩個合作伙伴公司的網絡之間,其中某些應用程序通信被限制在一個方向,其他應用程序在另一個方向。
有關CBAC的其他說明
Java阻斷
隨著大量Java小程序可用于Internet,保護網絡免受惡意小程序的攻擊已經成為網絡管理人員的一個主要課題。可以配置Java阻斷來過濾或完全拒絕對沒有嵌入在一個文檔或壓縮文件中的Java小程序的訪問。
服務拒絕檢測和預防
新近增強的服務拒絕檢測和預防針對syn泛濫、端口掃瞄和包注入提供網絡防御。服務拒絕檢測和預防檢查TCP連接中的包順序號。如果這些號碼不在預期的范圍內,路由器將撤消可疑的包。當路由器檢測出新建,它就發出一條告警信息。它還撤消半開的TCP連接狀態表,以防止系統資源耗盡。
審計跟蹤
增強的審計跟蹤利用系統日志來跟蹤所有事務;記錄時間印跡、來源主機、目的地主機、所用的端口、對話以及傳輸的總字節數。
實時告警
一旦查出可疑的活動,實時告警將向中央管理控制臺發送系統日志錯誤信息。網絡管理人員有能力立即對入侵作出反應。支持ConfigMaker 通過使用ConfigMaker(一種基于Win95/WinNT向導的管理工具,它能使你將網絡上支持的任何路由器配置為一個防火墻),Cisco IOS防火墻特性集非常容易安裝。ConfigMaker是現有Cisco命令行接口工具的一個配置替換。它指導分銷商和網絡管理員完成網絡設計及路由器安裝過程。ConfigMaker允許從一臺單一PC配置整個路由器網絡,而不是將每一個路由器以獨立的設備方式配置。
應用程序
分支辦事處與總部和Internet的連接
作為分支辦事處一個關鍵的安全部件,Cisco IOS防火墻特性集不占用布線柜中的額外空間。例如:使用Cisco 2514利用一個端口連接Internet網,另一個端口通過專線訪問總部資源。通過防火墻特性集,管理員可以遠程配置路由器,從而在一個接口拒絕某些應用通信和從Internet下載的Java小程序,并允許SNA通信和Java小程序通過另一個廣域網進入總部網絡。這一解決方案授權訪問要求的應用程序,例如SNA主機和客戶機/服務器應用程序,并拒絕對意外應用通信的訪問。
小型企業Web服務器
在另一種情況中,一家小企業老板正通過一個現場Internet Web服務器與客戶和供應商通信。通過使用一個Cisco 1605路由器,客戶和供應商可以隨時登錄Web服務器,而內部以太網在另一個接口上仍然受到保護。防火墻特性集在每一個端口提供CBAC檢查,密切監視通信,并保護Web服務器和內部網免受攻擊。
Cisco端到端網絡
一項穩健的安全策略不僅需要周邊控制,或防火墻安裝和管理。Cisco IOS軟件是實現一項全球安全策略的理想工具。建立一個端到端Cisco解決方案可以給管理人員提供隨網絡發展在整個網絡加強安全策略的能力。
Cisco支持
根據現有的一項支持計劃,你可以從Cisco獲獎的Web站點-Cisco Connection Online隨時獲得Cisco IOS安全軟件的升級版本。為了補充其業界領先的網絡解決方案,Cisco開發了全面的支持解決方案。Cisco以壽命周期為重點的支持產品提供啟動、維護、市場以及先進的服務和定制服務,來保護和實現你的投資的最大化。這些服務一起提供根據特定應用程序和環境定制解決方案的覆蓋面、廣度以及靈活性。現在,通過世界級的Cisco支持服務,網絡管理人員可以端到端地支持他們的局域和廣域Cisco網絡。
|
表2:Cisco IOS防火墻特性集規范 |
|
| 特性 | 說明 |
| 基于上下文的訪問控制(CBAC) | |
| 包狀態檢查 | 維護穿過路由器的每一個連接的狀態和上下文;檢查入站和出站通信,加強安全策略 |
| 智能檢查過濾器 | 了解控制通道中應用程序特定的指令;檢測應用程序攻擊;在動態分配(根據需要)的基礎上打開端口 |
| CBAC支持的應用程序(可以模塊化安裝) | |
| TCP/UDP應用程序 | Telnet、http、tftp、SNMP |
| 文件傳輸協議(FTP) | 包括積極和被動模式 |
| 多媒體應用程序 | 檢查控制通道流,確保在每一次對話期間打開視頻和音頻通道;支持H.323應用程序、CU-SeeMe、RealAudio、StreamWorks和VDOLive |
| 電子郵件服務(SMTP協議檢查) | 查出無效的SMTP指令;消除對"非軍事化區域"中外部郵件中繼的需求 |
| 遠程過程呼叫(RPC)服務 | 檢查端口映象程序請求,在需要時打開通道支持RPC通信流量 |
| 伯克萊標準分布(BSD)-Rcmds | 檢查服務器回答,打開任何輔助通道 |
| Oracle數據庫應用程序支持 | 檢查來自Oracle收聽者過程的轉向信息;為客戶連接到服務器打開端口 |
| 基于T.323的電視會議應用程序 | 檢查Q931和H.245控制消息,為視頻和音頻數據打開增加的UDP通道。 |
| 服務拒絕檢測和預防 | |
| 防御流行的攻擊模式 | 防御syn泛濫、端口掃瞄和包注入;防止路由器資源耗盡 |
| 包撤消 | 暫時撤消始自攻擊者的包;基于IP地址 |
| 順序號檢查 | 檢查TCP連接中的包順序號,確保它們是在預期的范圍之內 |
| 事務記錄 | 詳細說明事務;記錄終止時間印跡、源主機、目的主機、端口和傳輸的總字節數 |
| 推薦的缺省選項(請參見全面的推薦缺省選項目錄) | 允許/否決推薦的啟動設置;來源路由關/開;廢止/使能代理arp;僅啟動所需的應用程序/所有應用程序;通過Message Digest 5(MD5)散列算法加密路由器口令;將訪問目錄和口令用于虛擬終端端口;在所支持的路由協議中,使能/廢止路徑驗證 |
| 增強的TCP/UDP事務日志 | 根據來源/目的地地址和端口配對跟蹤用戶訪問 |
| Java阻斷 | |
| 設置保護級 | 可以配置用于過濾或完全否決對沒有嵌入在任何文檔或壓縮文件中的Java小程序的訪問 |
| 實時報警 | |
| 先進的日志記錄特性 | 通過一個系統日志機制,生成報警 |
| 與Cisco IOS特性兼容 | 與ACL、NAT、TCP Intercept和Reflexive Access Lists兼容;Cisco加密技術 |
| 網絡管理 | |
| 支持ConfigMaker | 一種基于Win95/WinNT向導的網絡管理工具,為網絡設計、尋址和防火墻特性集實現提供逐步的指導 |
