Cisco IOS防火墻特性集的一些好處包括:
新的防火墻特性和優(yōu)點(diǎn)
Cisco IOS安全服務(wù)包括一系列特性,能使管理人員將一臺(tái)Cisco路由器配置為一個(gè)防火墻。Cisco IOS防火墻特性集給現(xiàn)有的Cisco IOS安全解決方案增加了更大的深度和靈活性。表1提供新特性的一個(gè)概覽,這些新特性給可能已經(jīng)作為防火墻運(yùn)行的路由器帶來新增的靈活性和保護(hù)。目前,這些特性可用于Cisco 1600和2500系列路由器,并將從1998年第三季度開始可用于Cisco 2600和3600系列路由器。
 |
表1:Cisco IOS防火墻特性集概覽 |
 |
| 新特性 | 說明 | |
| 基于上下文的訪問控制(CBAC) | 針對(duì)通過周邊(例如專用企業(yè)網(wǎng)和Internet之間)的所有通信流量,給內(nèi)部用戶提供安全的、基于每應(yīng)用的訪問控制。 | |
| Java阻斷 | 提供針對(duì)未識(shí)別的惡意Java小程序的保護(hù)。 | |
| Denial of Service(服務(wù)拒絕)檢測(cè)/預(yù)防 | 防御和保護(hù)路由器資源免受常見攻擊;檢查數(shù)據(jù)包包頭和丟掉可疑的數(shù)據(jù)包。 | |
| 審計(jì)蹤跡 | 詳細(xì)說明事務(wù);記錄事件印跡、源主機(jī)、目的主機(jī)、端口、持續(xù)時(shí)間和傳輸?shù)目傋止?jié)數(shù)。 | |
| 實(shí)時(shí)告警 | 記錄在發(fā)生服務(wù)拒決攻擊或出現(xiàn)其他預(yù)配置條件時(shí)的告警。 | |
| 支持ConfigMaker | 一種基于Win95/WinNT向?qū)У木W(wǎng)絡(luò)配置工具,為網(wǎng)絡(luò)設(shè)計(jì)、尋址和防火墻特性集實(shí)現(xiàn)提供逐步的指導(dǎo)。 | |
|
| ||
以前發(fā)布的Cisco IOS防火墻功能包括:
關(guān)于新特性的詳細(xì)資料
基于上下文的訪問控制
基于上下文的訪問控制(CBAC)是Cisco IOS防火墻特性集最顯著的新增特性。CBAC技術(shù)的重要性在于,它第一次使管理員能夠?qū)⒎阑饓χ悄軐?shí)現(xiàn)為一個(gè)集成化單框解決方案的一部分。現(xiàn)在,緊密安全的網(wǎng)絡(luò)不僅允許今天的應(yīng)用通信,而且為未來先進(jìn)的應(yīng)用(例如多媒體和電視會(huì)議)作好了準(zhǔn)備。CBAC通過嚴(yán)格審查源和目的地址,增強(qiáng)了使用眾所周知端口(例如ftp和電子郵件通信)的TCP和UDP應(yīng)用程序的安全。
CBAC的工作原理
CBAC是一個(gè)適用于IP通信的基于每個(gè)應(yīng)用的控制機(jī)制,包括標(biāo)準(zhǔn)TCP和UDP Internet應(yīng)用程序、多媒體應(yīng)用程序(包括H.323應(yīng)用程序、CU-SeeME、VDOLive、Streamworks及其他應(yīng)用程序)以及Oracle數(shù)據(jù)庫。CBAC檢查TCP和UDP包,并跟蹤它們的"狀態(tài)"或連接狀態(tài)。
TCP是一個(gè)面向連接的協(xié)議。在傳輸數(shù)據(jù)之前,源主機(jī)與一個(gè)目的主機(jī)洽談連接,通常被稱為"三向握手"。這種握手過程確保有效的TCP連接和無錯(cuò)的傳輸。在連接建立期間,TCP穿過幾個(gè)"狀態(tài)"或階段(由數(shù)據(jù)包頭標(biāo)識(shí)的)。標(biāo)準(zhǔn)和擴(kuò)展的訪問控制列肯(ACL)從包頭狀態(tài)來決定是否允許通信通過一個(gè)連接。
CBAC通過檢查整個(gè)(數(shù)據(jù))包了解應(yīng)用程序狀態(tài)信息,給ACL功能增加了檢查智能。CBAC利用這種信息創(chuàng)建一個(gè)暫時(shí)的、對(duì)話期特定的ACL入口,從而允許回返通信進(jìn)入可靠網(wǎng)絡(luò)。這種暫時(shí)的ACL有效地在防火墻中打開了一個(gè)大門。當(dāng)一個(gè)對(duì)話期結(jié)束時(shí),ACL入口被刪除,大門關(guān)閉。標(biāo)準(zhǔn)和擴(kuò)展的ACL不能創(chuàng)建暫時(shí)的ACL入口,因此直至目前,管理員一直被迫針對(duì)信息訪問要求衡量安全風(fēng)險(xiǎn)。利用標(biāo)準(zhǔn)或擴(kuò)展的ACL,難以確保為回返通信流量選擇通道的先進(jìn)應(yīng)用程序的安全。
CBAC比目前的ACL解決方案更加安全,因?yàn)樗鶕?jù)應(yīng)用類型決定是否允許一個(gè)對(duì)話通過防火墻,并決定是否為回返通信流量從多個(gè)通道進(jìn)行選擇。在CBAC之前,管理員僅通過編寫基本上使防火墻大門洞開的永久性ACL,就能夠許可先進(jìn)的應(yīng)用通信,因此大多數(shù)管理員選擇否決所有這類應(yīng)用通信。現(xiàn)在,有了CBAC,通過在需要時(shí)打開防火墻大門和其他時(shí)候關(guān)閉大門,他們能夠安全地許可多媒體和其他應(yīng)用通信。例如,如果CBAC被配置成允許Microsoft NetMeeting,那么當(dāng)一個(gè)內(nèi)部用戶初始化一次連接時(shí),防火墻允許回返通信。但是,如果一個(gè)外部NetMeeting來源與一個(gè)內(nèi)部用戶出始化連接時(shí),CBAC將否決進(jìn)入,并撤消數(shù)據(jù)包。
從一個(gè)更加技術(shù)的觀點(diǎn)來看,CBAC使用幾個(gè)加強(qiáng)機(jī)制:
CBAC適用于何處
CBAC是根據(jù)每個(gè)接口配置的。CBAC可能被配置用于控制源于防火墻另一方的通信(雙向);但是,大多數(shù)客戶將CBAC用于僅源于一方的通信(單向)。
將CBAC配置為一個(gè)單向控制,其中客戶對(duì)話是在內(nèi)部網(wǎng)內(nèi)啟動(dòng)的,必須穿過防火墻才能訪問一個(gè)主機(jī)。例如,一個(gè)分支辦事處可能需要跨一個(gè)廣域網(wǎng)連接或Internet訪問企業(yè)服務(wù)器。CBAC根據(jù)需要打開連接,并監(jiān)視回返通信流量。
當(dāng)一個(gè)防火墻雙方都需要保護(hù)時(shí),CBAC適合作為一個(gè)雙向解決方案。這種配置的一個(gè)例子是在兩個(gè)合作伙伴公司的網(wǎng)絡(luò)之間,其中某些應(yīng)用程序通信被限制在一個(gè)方向,其他應(yīng)用程序在另一個(gè)方向。
有關(guān)CBAC的其他說明
Java阻斷
隨著大量Java小程序可用于Internet,保護(hù)網(wǎng)絡(luò)免受惡意小程序的攻擊已經(jīng)成為網(wǎng)絡(luò)管理人員的一個(gè)主要課題。可以配置Java阻斷來過濾或完全拒絕對(duì)沒有嵌入在一個(gè)文檔或壓縮文件中的Java小程序的訪問。
服務(wù)拒絕檢測(cè)和預(yù)防
新近增強(qiáng)的服務(wù)拒絕檢測(cè)和預(yù)防針對(duì)syn泛濫、端口掃瞄和包注入提供網(wǎng)絡(luò)防御。服務(wù)拒絕檢測(cè)和預(yù)防檢查TCP連接中的包順序號(hào)。如果這些號(hào)碼不在預(yù)期的范圍內(nèi),路由器將撤消可疑的包。當(dāng)路由器檢測(cè)出新建,它就發(fā)出一條告警信息。它還撤消半開的TCP連接狀態(tài)表,以防止系統(tǒng)資源耗盡。
審計(jì)跟蹤
增強(qiáng)的審計(jì)跟蹤利用系統(tǒng)日志來跟蹤所有事務(wù);記錄時(shí)間印跡、來源主機(jī)、目的地主機(jī)、所用的端口、對(duì)話以及傳輸?shù)目傋止?jié)數(shù)。
實(shí)時(shí)告警
一旦查出可疑的活動(dòng),實(shí)時(shí)告警將向中央管理控制臺(tái)發(fā)送系統(tǒng)日志錯(cuò)誤信息。網(wǎng)絡(luò)管理人員有能力立即對(duì)入侵作出反應(yīng)。支持ConfigMaker 通過使用ConfigMaker(一種基于Win95/WinNT向?qū)У墓芾砉ぞ撸苁鼓銓⒕W(wǎng)絡(luò)上支持的任何路由器配置為一個(gè)防火墻),Cisco IOS防火墻特性集非常容易安裝。ConfigMaker是現(xiàn)有Cisco命令行接口工具的一個(gè)配置替換。它指導(dǎo)分銷商和網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)設(shè)計(jì)及路由器安裝過程。ConfigMaker允許從一臺(tái)單一PC配置整個(gè)路由器網(wǎng)絡(luò),而不是將每一個(gè)路由器以獨(dú)立的設(shè)備方式配置。
應(yīng)用程序
分支辦事處與總部和Internet的連接
作為分支辦事處一個(gè)關(guān)鍵的安全部件,Cisco IOS防火墻特性集不占用布線柜中的額外空間。例如:使用Cisco 2514利用一個(gè)端口連接Internet網(wǎng),另一個(gè)端口通過專線訪問總部資源。通過防火墻特性集,管理員可以遠(yuǎn)程配置路由器,從而在一個(gè)接口拒絕某些應(yīng)用通信和從Internet下載的Java小程序,并允許SNA通信和Java小程序通過另一個(gè)廣域網(wǎng)進(jìn)入總部網(wǎng)絡(luò)。這一解決方案授權(quán)訪問要求的應(yīng)用程序,例如SNA主機(jī)和客戶機(jī)/服務(wù)器應(yīng)用程序,并拒絕對(duì)意外應(yīng)用通信的訪問。
小型企業(yè)Web服務(wù)器
在另一種情況中,一家小企業(yè)老板正通過一個(gè)現(xiàn)場(chǎng)Internet Web服務(wù)器與客戶和供應(yīng)商通信。通過使用一個(gè)Cisco 1605路由器,客戶和供應(yīng)商可以隨時(shí)登錄Web服務(wù)器,而內(nèi)部以太網(wǎng)在另一個(gè)接口上仍然受到保護(hù)。防火墻特性集在每一個(gè)端口提供CBAC檢查,密切監(jiān)視通信,并保護(hù)Web服務(wù)器和內(nèi)部網(wǎng)免受攻擊。
Cisco端到端網(wǎng)絡(luò)
一項(xiàng)穩(wěn)健的安全策略不僅需要周邊控制,或防火墻安裝和管理。Cisco IOS軟件是實(shí)現(xiàn)一項(xiàng)全球安全策略的理想工具。建立一個(gè)端到端Cisco解決方案可以給管理人員提供隨網(wǎng)絡(luò)發(fā)展在整個(gè)網(wǎng)絡(luò)加強(qiáng)安全策略的能力。
Cisco支持
根據(jù)現(xiàn)有的一項(xiàng)支持計(jì)劃,你可以從Cisco獲獎(jiǎng)的Web站點(diǎn)-Cisco Connection Online隨時(shí)獲得Cisco IOS安全軟件的升級(jí)版本。為了補(bǔ)充其業(yè)界領(lǐng)先的網(wǎng)絡(luò)解決方案,Cisco開發(fā)了全面的支持解決方案。Cisco以壽命周期為重點(diǎn)的支持產(chǎn)品提供啟動(dòng)、維護(hù)、市場(chǎng)以及先進(jìn)的服務(wù)和定制服務(wù),來保護(hù)和實(shí)現(xiàn)你的投資的最大化。這些服務(wù)一起提供根據(jù)特定應(yīng)用程序和環(huán)境定制解決方案的覆蓋面、廣度以及靈活性。現(xiàn)在,通過世界級(jí)的Cisco支持服務(wù),網(wǎng)絡(luò)管理人員可以端到端地支持他們的局域和廣域Cisco網(wǎng)絡(luò)。
|
表2:Cisco IOS防火墻特性集規(guī)范 |
|
| 特性 | 說明 |
| 基于上下文的訪問控制(CBAC) | |
| 包狀態(tài)檢查 | 維護(hù)穿過路由器的每一個(gè)連接的狀態(tài)和上下文;檢查入站和出站通信,加強(qiáng)安全策略 |
| 智能檢查過濾器 | 了解控制通道中應(yīng)用程序特定的指令;檢測(cè)應(yīng)用程序攻擊;在動(dòng)態(tài)分配(根據(jù)需要)的基礎(chǔ)上打開端口 |
| CBAC支持的應(yīng)用程序(可以模塊化安裝) | |
| TCP/UDP應(yīng)用程序 | Telnet、http、tftp、SNMP |
| 文件傳輸協(xié)議(FTP) | 包括積極和被動(dòng)模式 |
| 多媒體應(yīng)用程序 | 檢查控制通道流,確保在每一次對(duì)話期間打開視頻和音頻通道;支持H.323應(yīng)用程序、CU-SeeMe、RealAudio、StreamWorks和VDOLive |
| 電子郵件服務(wù)(SMTP協(xié)議檢查) | 查出無效的SMTP指令;消除對(duì)"非軍事化區(qū)域"中外部郵件中繼的需求 |
| 遠(yuǎn)程過程呼叫(RPC)服務(wù) | 檢查端口映象程序請(qǐng)求,在需要時(shí)打開通道支持RPC通信流量 |
| 伯克萊標(biāo)準(zhǔn)分布(BSD)-Rcmds | 檢查服務(wù)器回答,打開任何輔助通道 |
| Oracle數(shù)據(jù)庫應(yīng)用程序支持 | 檢查來自O(shè)racle收聽者過程的轉(zhuǎn)向信息;為客戶連接到服務(wù)器打開端口 |
| 基于T.323的電視會(huì)議應(yīng)用程序 | 檢查Q931和H.245控制消息,為視頻和音頻數(shù)據(jù)打開增加的UDP通道。 |
| 服務(wù)拒絕檢測(cè)和預(yù)防 | |
| 防御流行的攻擊模式 | 防御syn泛濫、端口掃瞄和包注入;防止路由器資源耗盡 |
| 包撤消 | 暫時(shí)撤消始自攻擊者的包;基于IP地址 |
| 順序號(hào)檢查 | 檢查TCP連接中的包順序號(hào),確保它們是在預(yù)期的范圍之內(nèi) |
| 事務(wù)記錄 | 詳細(xì)說明事務(wù);記錄終止時(shí)間印跡、源主機(jī)、目的主機(jī)、端口和傳輸?shù)目傋止?jié)數(shù) |
| 推薦的缺省選項(xiàng)(請(qǐng)參見全面的推薦缺省選項(xiàng)目錄) | 允許/否決推薦的啟動(dòng)設(shè)置;來源路由關(guān)/開;廢止/使能代理arp;僅啟動(dòng)所需的應(yīng)用程序/所有應(yīng)用程序;通過Message Digest 5(MD5)散列算法加密路由器口令;將訪問目錄和口令用于虛擬終端端口;在所支持的路由協(xié)議中,使能/廢止路徑驗(yàn)證 |
| 增強(qiáng)的TCP/UDP事務(wù)日志 | 根據(jù)來源/目的地地址和端口配對(duì)跟蹤用戶訪問 |
| Java阻斷 | |
| 設(shè)置保護(hù)級(jí) | 可以配置用于過濾或完全否決對(duì)沒有嵌入在任何文檔或壓縮文件中的Java小程序的訪問 |
| 實(shí)時(shí)報(bào)警 | |
| 先進(jìn)的日志記錄特性 | 通過一個(gè)系統(tǒng)日志機(jī)制,生成報(bào)警 |
| 與Cisco IOS特性兼容 | 與ACL、NAT、TCP Intercept和Reflexive Access Lists兼容;Cisco加密技術(shù) |
| 網(wǎng)絡(luò)管理 | |
| 支持ConfigMaker | 一種基于Win95/WinNT向?qū)У木W(wǎng)絡(luò)管理工具,為網(wǎng)絡(luò)設(shè)計(jì)、尋址和防火墻特性集實(shí)現(xiàn)提供逐步的指導(dǎo) |
