Cisco IOS防火墻新特性的詳細資料

2019-11-04 23:26:36

字體：大中小

來源：轉載

供稿：網友

　　基于上下文的訪問控制基于上下文的訪問控制(CBAC)是Cisco IOS防火墻特性集最顯著的新增特性。CBAC技術的重要性在于，它第一次使治理員能夠將防火墻智能實現為一個集成化單框解決方案的一部分。現在，緊密安全的網絡不僅答應今天的應用通信，而且為未來先進的應用(例如多媒體和電視會議)作好了預備。
　　
　　CBAC通過嚴格審查源和目的地址，增強了使用眾所周知端口(例如FTP和電子郵件通信)的TCP和UDP應用程序的安全。 CBAC的工作原理 CBAC是一個適用于ip通信的基于每個應用的控制機制，包括標準TCP和UDP Internet應用程序、多媒體應用程序(包括H.323應用程序、CU-SeeME、VDOLive、Streamworks及其他應用程序)以及Oracle 數據庫。CBAC檢查TCP和UDP包，并跟蹤它們的“狀態”或連接狀態。 TCP是一個面向連接的協議。在傳輸數據之前，源主機與一個目的主機洽談連接，通常被稱為“三向握手”。這種握手過程確保有效的TCP連接和無錯的傳輸。在連接建立期間，TCP穿過幾個"狀態"或階段(由數據包頭標識的)。
　　
　　標準和擴展的訪問控制列肯(ACL)從包頭狀態來決定是否答應通信通過一個連接。 CBAC通過檢查整個(數據)包了解應用程序狀態信息，給ACL功能增加了檢查智能。CBAC利用這種信息創建一個暫時的、對話期特定的ACL入口，從而答應回返通信進入可靠網絡。這種暫時的ACL有效地在防火墻中打開了一個大門。當一個對話期結束時，ACL入口被刪除，大門關閉。標準和擴展的ACL不能創建暫時的ACL入口，因此直至目前，治理員一直被迫針對信息訪問要求衡量安全風險。
　　
　　利用標準或擴展的ACL，難以確保為回返通信流量選擇通道的先進應用程序的安全。 CBAC比目前的ACL解決方案更加安全，因為它根據應用類型決定是否答應一個對話通過防火墻，并決定是否為回返通信流量從多個通道進行選擇。在CBAC之前，治理員僅通過編寫基本上使防火墻大門洞開的永久性ACL，就能夠許可先進的應用通信，因此大多數治理員選擇否決所有這類應用通信。現在，有了CBAC，通過在需要時打開防火墻大門和其他時候關閉大門，他們能夠安全地許可多媒體和其他應用通信。例如，假如CBAC被配置成答應Microsoft NetMeeting，那么當一個內部用戶初始化一次連接時，防火墻答應回返通信。但是，假如一個外部NetMeeting來源與一個內部用戶出始化連接時，CBAC將否決進入，并撤消數據包。
　　
　　從一個更加技術的觀點來看，CBAC使用幾個加強機制：
　　數據包檢查監視數據包控制通道，識別控制通道中的應用專用指令，檢測和預防應用級攻擊。
　　通過檢查的包將被轉發，而CBAC創建一個狀態表來維護對話狀態信息。假如狀態表存在，表明(數據)包屬于一個有效對話，回返通信流量將僅被許可通過集成化的防火墻。這種可配置的特性負責監視定義的對話。
　　當對話結束時，狀態表被刪除。在UDP(一種非連接的服務)情況下，CBAC通過根據地址/端口配對檢查包來決定UDP對話，相應地中止UDP“對話”訪問。
　　CBAC根據狀態表中的信息，動態地創建和刪除每一個路由器接口的訪問控制列入口。
　　這些入口在集成的防火墻中創建暫時的“開口”，答應有效的回返通信流量進入網絡。與狀態表相似，動態ACL在對話結束時不被保存。 CBAC適用于何處 CBAC是根據每個接口配置的。CBAC可能被配置用于控制源于防火墻另一方的通信(雙向)；但是，大多數客戶將CBAC用于僅源于一方的通信(單向)。將CBAC配置為一個單向控制，其中客戶對話是在內部網內啟動的，必須穿過防火墻才能訪問一個主機。例如，一個分支辦事處可能需要跨一個廣域網連接或Internet訪問企業服務器。CBAC根據需要打開連接，并監視回返通信流量。當一個防火墻雙方都需要保護時，CBAC適合作為一個雙向解決方案。這種配置的一個例子是在兩個合作伙伴公司的網絡之間，其中某些應用程序通信被限制在一個方向，其他應用程序在另一個方向。
　　
　　有關CBAC的其他說明
　　對于每一個連接，CBAC都為狀態表和動態ACL跟蹤及分配內存。假如只有一個ACL組被配置在某一給定的方向，那么CBAC的內存消耗少于每連接600字節(跨所有平臺)。一個應用程序對話可能包括多個TCP/UDP連接。例如，一個NetMeeting對話包括多達7個TCP/UDP連接。
　　CBAC和加密可以在同一接口上使用。但是，CBAC不能檢查加密的數據包的內容。當路由器也是加密點時，CBAC和加密可以協同工作－CBAC可以在加密以前檢查數據包。
　　CBAC可以與快速交換和過程交換一同工作，在Cisco 1600和2500系列路由器平臺上提供一流的性能。
　　java阻斷隨著大量Java小程序可用于Internet，保護網絡免受惡意小程序的攻擊已經成為網絡治理人員的一個主要課題。可以配置Java阻斷來過濾或完全拒絕對沒有嵌入在一個文檔或壓縮文件中的Java小程序的訪問。服務拒絕檢測和預防新近增強的服務拒絕檢測和預防針對syn泛濫、端口掃瞄和包注入提供網絡防御。服務拒絕檢測和預防檢查TCP連接中的包順序號。假如這些號碼不在預期的范圍內，路由器將撤消可疑的包。當路由器檢測出新建，它就發出一條告警信息。它還撤消半開的TCP連接狀態表，以防止系統資源耗盡。審計跟蹤增強的審計跟蹤利用系統日志來跟蹤所有事務；記錄時間印跡、來源主機、目的地主機、所用的端口、對話以及傳輸的總字節數。實時告警一旦查出可疑的活動，實時告警將向中心治理控制臺發送系統日志錯誤信息。網絡治理人員有能力立即對入侵作出反應。
　　
　　支持ConfigMaker 通過使用ConfigMaker(一種基于Win95/WinNT向導的治理工具，它能使你將網絡上支持的任何路由器配置為一個防火墻)，Cisco IOS防火墻特性集非常輕易安裝。ConfigMaker是現有Cisco命令行接口工具的一個配置替換。它指導分銷商和網絡治理員完成網絡設計及路由器安裝過程。ConfigMaker答應從一臺單一PC配置整個路由器網絡，而不是將每一個路由器以獨立的設備方式配置。應用程序分支辦事處與總部和Internet的連接作為分支辦事處一個要害的安全部件，Cisco IOS防火墻特性集不占用布線柜中的額外空間。例如:使用Cisco 2514利用一個端口連接Internet網,另一個端口通過專線訪問總部資源。通過防火墻特性集，治理員可以遠程配置路由器，從而在一個接口拒絕某些應用通信和從Internet下載的Java小程序，并答應SNA通信和Java小程序通過另一個廣域網進入總部網絡。這一解決方案授權訪問要求的應用程序，例如SNA主機和客戶機/服務器應用程序，并拒絕對意外應用通信的訪問。小型企業Web服務器在另一種情況中，一家小企業老板正通過一個現場Internet Web服務器與客戶和供給商通信。
　　
　　通過使用一個Cisco 1605路由器，客戶和供給商可以隨時登錄Web服務器，而內部以太網在另一個接口上仍然受到保護。防火墻特性集在每一個端口提供CBAC檢查，密切監視通信，并保護Web服務器和內部網免受攻擊。 Cisco端到端網絡一項穩健的安全策略不僅需要周邊控制，或防火墻安裝和治理。Cisco IOS軟件是實現一項全球安全策略的理想工具。建立一個端到端Cisco解決方案可以給治理人員提供隨網絡發展在整個網絡加強安全策略的能力。 Cisco支持根據現有的一項支持計劃，你可以從Cisco獲獎的Web站點－Cisco Connection Online隨時獲得Cisco IOS安全軟件的升級版本。為了補充其業界領先的網絡解決方案，Cisco開發了全面的支持解決方案。Cisco以壽命周期為重點的支持產品提供啟動、維護、市場以及先進的服務和定制服務，來保護和實現你的投資的最大化。這些服務一起提供根據特定應用程序和環境定制解決方案的覆蓋面、廣度以及靈活性。

上一篇：無奇不有在PC上裝Cisco PIX OS

下一篇：配置Cisco PIX 雙機failover的要點