XB 公司提供的任何新服務都力求滿足四個標準。首先服務必須是完整的;而且應當是可擴展的和靈活的;此外，服務還必須容易管理，以便 XB 網絡能夠為其客戶提供最佳的服務并保證服務的可靠性。在與另一個廠商的防火墻產品做了比較后， XB 網絡選擇了思科公司的 Cisco IOS® 防火墻產品，以及 Cisco 路由器和安全設備管理器 (SDM) 2.0 。

商業挑戰

隨著技術的演進，服務提供商的角色也在發生著變化。荷蘭 XB 網絡最初是一家互聯網服務提供商 (ISP) ，而現在除了提供互聯網接入服務外，它還將業務范圍擴展到了全面的管理服務。隨著客戶對集成安全的網絡解決方案的需求不斷增長，為適應這一市場需求， XB 網絡除提供包含寬帶接入、主機托管和 IP 虛擬專用網( VPN )在內的整套可管理服務之外，目前還為荷蘭的中小型企業提供可管理的網絡安全解決方案。
一般來講，專注于安全領域的服務提供商提供的通常是高端的解決方案，這些解決方案無論在設計上還是在產品定價上都定位在大型的企業客戶。于是對于規模較小的公司來說，他們就不得不自行開發和維護他們的網絡安全解決方案或者從本地轉售商那里購買服務，這樣他們也就無從確切知道他們的網絡可以受到何種程度的安全保護。 XB 網絡正在尋求一種防火墻解決方案，這種解決方案可以作為它目前已有的整套可管理服務的補充，為中小型企業客戶提供經濟實惠的、可靠的大型企業級安全管理能力。此外，這種防火墻解決方案還必須便于部署和管理。

網絡解決方案

為了給客戶提供可管理的服務和通信鏈路， XB 網絡在客戶所在的建筑物中部署了大量 Cisco 路由器。 XB 網絡銷售的每條連接中都配備了一臺 Cisco 路由器。思科網絡安全解決方案讓 XB 網絡能夠將許多新的安全功能(包括入侵防護系統)集成到一個單一設備中，從而使部署和管理更加高效。

“我們選擇思科解決方案的原因在于思科能夠為我們提供一個完整的工具包，” XB 網絡的管理主管 Erik van Laar 解釋說。“ Cisco IOS 防火墻運行在位于客戶所在建筑物內的思科設備上，從而可以保證我們為客戶站點提供的服務具備企業級的連通性。因此，在客戶現有的設備上部署防火墻服務非常容易。而且我們的員工對思科公司的產品非常熟悉，我們無須花費大量的時間來進行額外的培訓和管理。因此在當前形勢下，思科公司的解決方案非常適合我們。”

XB 網絡公司的骨干網絡是基于思科 12000 系列路由器構建的，該系列路由器的帶寬范圍為 2.5 Gbps/ 插槽到 40Gbps/ 插槽，可以支持電信級的 IP/ 多協議標簽交換 (IP/MPLS) 核心網絡和邊緣網絡。思科 12000 系列路由器通過一條千兆光纖鏈路和思科 7200 系列路由器相連，而思科 7200 系列路由器是業界在企業邊緣應用方面應用得最為廣泛的通用服務路由器。思科 7200 系列路由器通過千兆以太網或者 155Mbps 鏈路 (STM-1) 將流量傳遞到部署了大量思科接入路由器的客戶所在地。根據客戶需求的差異，接入路由平臺可以有 Cisco 800 、 Cisco 1700 、 Cisco 2600 和 Cisco 3700 系列路由器等多種選擇。

對訂購了 XB 網絡所提供的可管理安全產品的客戶來說，思科路由器、安全設備管理器 (SDM)2.0 和思科 IOS 防火墻都運行在 CPE 邊緣路由器上。思科 IOS 軟件集成了最先進的防火墻功能和入侵防護功能，特別適合網絡邊緣應用。它提供了很多強大的安全功能，如基于狀態和應用的過濾功能;動態的每用戶鑒權和授權功能;網絡攻擊防御功能; java 阻塞功能;以及實時告警功能。它不僅支持網絡邊緣的單點保護，而且通過思科 IOS 防火墻的部署，安全策略已經成為網絡本身的固有部件。

“我們已經使用了思科 IOS 軟件所提供的標準訪問控制目錄功能，而現在我們還可以使用思科提供的高級功能集”， XB 網絡的技術主管 Marcel Knol 說?！巴ㄟ^將狀態包過濾功能和思科網絡準入控制( NAC )策略以及其他功能相結合，我們可以輕松地防御來自內部和外部的威脅?！?/p>

思科 IOS 防火墻提供基于上下文的訪問控制 (CBAC) 功能，該功能是一個先進的流量過濾技術，可以智能地對傳輸控制協議( TCP )包和用戶數據報協議( UDP )包進行過濾，并判斷它們是否含有惡意的病毒或者蠕蟲。只有當連接是從網絡內部發起至被保護節點的時候，才可以配置 CBAC 以允許某些指定的 TCP 和 UDP 流量通過防火墻。如果不具備 CBAC 功能，則流量過濾僅限于執行訪問控制目錄，即只在網絡層或者傳輸層對信息包進行檢查。 CBAC 則除了在網絡層和傳輸層對信息包進行檢查之外，還會檢查應用層協議信息以獲知 TCP 或者 UDP 會話的狀態。此外，思科 IOS 防火墻的另外一個功能――每用戶防火墻功能，通過在鑒權、授權和計費( AAA )服務器中使用一個用戶文件，允許以每用戶為單位下載防火墻、訪問控制目錄( ACL )和其他設置，從而可以讓服務提供商能夠為客戶提供可管理的防火墻解決方案。

與思科 SDM2.0 和思科 IOS 防火墻一起聯合運行的是思科入侵防護系統( IPS )。思科 IPS 掃描那些可以指示惡意活動的流量類型和信息包，并通過在網絡中集成安全措施來防御病毒、蠕蟲和其他安全威脅。 IPS 對通過網絡的流量進行掃描并與思科公司負責維護的“指紋數據庫”進行對比，使得惡意活動在網絡的邊緣就被阻塞掉。這種解決方案通過在網絡中集成安全措施，讓通信網絡可以免受病毒、蠕蟲和其他安全威脅的攻擊。通過全網范圍內的安全集成，不僅可以提供全面的安全防御，同時也不會影響合法用戶的正常訪問，因此在基于 IP 技術的通信網絡領域保持了強大的生命力。

“來自思科的支持讓我們能夠確保威脅數據庫始終處于思科公司的高效維護下”， van Laar 解釋說?！白鳛橐粋€可管理安全服務的提供商，我們需要與業界最優秀的伙伴合作來保衛客戶網絡的安全，而思科解決方案正是我們所提供的整體可管理安全服務包的關鍵部分?！?/p>

“我們可以在一個平臺上提供視頻、聲音和數據服務，并能夠提供安全解決方案，這些安全解決方案已經成功地與那些專注于安全領域的大型服務提供商所提供的昂貴安全產品展開了競爭。思科安全解決方案幫助我們在市場上證明，我們是值得客戶信賴的?！?/p>

-XB 網絡的管理董事 Erik van Laar

商業價值

新的網絡安全解決方案作為一種成本低廉的安全服務，讓XB網絡能夠為客戶提供企業級的安全解決方案。配備了思科IOS防火墻的思科路由器不僅提供了一種簡單的檢查包頭的手段，同時還可以對數據包本身進行完整的檢查，以判斷這些數據是否包含有惡意病毒或蠕蟲。

“該解決方案的另一個明顯優勢在于它的易于管理性，” van Laar說?！八伎平鉀Q方案讓我們能夠為客戶提供卓越的可管理的服務，同時對我們來說也非常便于管理。我們已經具備了思科產品的知識和訓練。增加思科IOS防火墻對我們來說是相當容易的過程，無須再進行額外的投資來重新培訓我們的員工?！?/p>

今天，XB網絡可以使用思科產品的組合來證明他們在商業價值上的增值――通過使用思科解決方案，他們大大降低了客戶網絡所面臨的風險，而這些風險很可能對客戶的企業帶來嚴重的后果。而且，van Laar的團隊現在可以預先交付客戶數據，這些數據是由思科解決方案自動生成的。例如，員工可以回顧系統差錯卡，并向客戶報告說在上個月里他們的CPE路由器被更新了32次以防止病毒的襲擊。

除了保護網絡的邊緣位置不受外部威脅的侵害，防火墻還可以在企業網內部阻止用戶訪問特殊的子網、工作組或者局域網(LAN)。XB網絡為荷蘭保險公司CZ提供可管理的安全服務，而該公司由于交互醫療保險信息的需要，必須同許多不同合作伙伴的網絡進行互聯。XB網絡還為一家豪華轎車經銷商Kroymans提供安全VPN服務，同樣，Kroymans必須同Jaguar、Cadillac、Saab、Ferrari、Aston Martin和其它轎車制造商及經銷商伙伴進行通信。XB網絡還為荷蘭很多地方政府提供安全服務，其中，具備以太網和數字用戶線(DSL)接口的思科2600系列路由器上運行著思科IOS防火墻，可以保證流量的安全和子網的分離。

“思科解決方案賦予我們一種明顯的競爭優勢”，van Laar說。“在實施了思科IPS之后，即使是那些最先進的安全服務提供商也無法與我們的產品相比，因為他們無法復制思科IPS數據庫背后的巨大的信息采集資源，也無法保持一天24小時的警戒?！?/p>

下一步計劃

思科先進的安全技術進一步增強了思科路由和交換平臺的功能，讓XB網絡具備了能夠輕松地將它的網絡安全解決方案同管理工具以及日常業務流程相集成的能力。

“我認為對于我們來說，這是思科解決方案最大的優點，” van Laar說?！拔覀儗⒖梢栽谝粋€平臺上提供視頻、聲音和數據服務，同時提供安全解決方案，在安全性上這些安全解決方案完全可以與那些大公司提供的安全產品相媲美。思科解決方案讓我們得以在市場上證明:我們的公司是值得客戶信賴的?！?/p>