• 概述
• 使用Cisco 7500系列路由器保護(hù)網(wǎng)絡(luò)
• 結(jié)論
• 更多信息

概述

今天快節(jié)奏和競(jìng)爭(zhēng)性的Internet環(huán)境要求從傳統(tǒng)的商業(yè)實(shí)踐轉(zhuǎn)換到基于Internet的電子商務(wù)解決方案。很多行業(yè)已經(jīng)在不同的領(lǐng)域（如供給鏈治理、電子學(xué)習(xí)和客戶關(guān)注）看到了這種變化的發(fā)生。這種變遷要求在所有的機(jī)構(gòu)地點(diǎn)、遠(yuǎn)程用戶、供給商和合作伙伴之間實(shí)現(xiàn)非常高效的網(wǎng)絡(luò)連接。通往內(nèi)部網(wǎng)分支和遠(yuǎn)程辦公室以及外部網(wǎng)合作伙伴的鏈接可能會(huì)產(chǎn)生脆弱的邊界，通過(guò)這些邊界上未經(jīng)識(shí)別的輔助接入點(diǎn)可以進(jìn)入企業(yè)的網(wǎng)絡(luò)。地理上分散的企業(yè)網(wǎng)絡(luò)為實(shí)現(xiàn)高效連接可能需要將公共WAN線路和專用WAN線路結(jié)合起來(lái)使用，但這些連接通常不作為邊界來(lái)識(shí)別和對(duì)待，因?yàn)樗鼈儾皇墙尤刖W(wǎng)絡(luò)的主入口點(diǎn)。在創(chuàng)建這些Internet、內(nèi)部網(wǎng)和外部網(wǎng)連接時(shí)，必須考慮與每種連接相關(guān)的特有的安全要求，以提供一個(gè)全面的邊界安全解決方案，保護(hù)要害任務(wù)網(wǎng)絡(luò)免受訛誤和入侵的損害。

由于網(wǎng)絡(luò)安全對(duì)于業(yè)務(wù)處理過(guò)程的保護(hù)越來(lái)越重要，所以公司必須在網(wǎng)絡(luò)設(shè)計(jì)和基礎(chǔ)結(jié)構(gòu)中集成安全功能。安全策略的加強(qiáng)最好作為網(wǎng)絡(luò)固有的一個(gè)組成部分。Cisco IOS軟件基于一種全面、分層的安全方法提供了一組完善的安全性功能，可以貫穿您網(wǎng)絡(luò)的整個(gè)基礎(chǔ)結(jié)構(gòu)。

Cisco 7500被認(rèn)為是行業(yè)領(lǐng)先的高性能、高密度、多功能路由選擇解決方案。Cisco 7500高性能的實(shí)現(xiàn)是通過(guò)以下途徑獲得的：將服務(wù)處理功能分散到多個(gè)通用接口處理器（Vip），以及將數(shù)據(jù)包轉(zhuǎn)發(fā)決策過(guò)程從中心處理器卸載到網(wǎng)絡(luò)板卡。當(dāng)用于要求安全性功能和虛擬專網(wǎng)（VPN）服務(wù)的網(wǎng)絡(luò)時(shí)，Cisco 7500分布式的體系結(jié)構(gòu)提供了滿足電子商務(wù)安全性需求所需要的可擴(kuò)展性，這些需求包括：保護(hù)數(shù)據(jù)中心、提供站點(diǎn)到站點(diǎn)的外部網(wǎng)VPN、保護(hù)混合環(huán)境和園區(qū)網(wǎng)環(huán)境。

使用Cisco 7500系列路由器保護(hù)網(wǎng)絡(luò)

Cisco 7500系列路由器提供了一個(gè)高級(jí)的基于路由器的安全解決方案，答應(yīng)機(jī)構(gòu)實(shí)現(xiàn)以下功能：

與Internet的安全連接：主Internet接入必須在為內(nèi)部和外部通信流提供高性能吞吐量的同時(shí)，保護(hù)網(wǎng)絡(luò)免受攻擊和入侵帶來(lái)的損害。Cisco 7500系列安全服務(wù)可以保護(hù)您的網(wǎng)絡(luò)免受以下的威脅：

• 拒絕服務(wù)：攻擊者可以通過(guò)向主Web服務(wù)器灌入偽數(shù)據(jù)使其宕機(jī)。Cisco IOS安全服務(wù)包括可以保護(hù)組織公共Web站點(diǎn)的邊界安全機(jī)制，這一機(jī)制的內(nèi)容包括針對(duì)高帶寬訪問(wèn)的分布式訪問(wèn)控制、拒絕服務(wù)（DoS）檢測(cè)和保護(hù)、可疑事件的實(shí)時(shí)報(bào)警和記錄。
• 故意破壞：攻擊者可以進(jìn)入網(wǎng)絡(luò)，然后竊取或操縱數(shù)據(jù)。Cisco IOS防火墻特性集包括了高級(jí)防火墻、入侵探測(cè)、用戶身份驗(yàn)證和授權(quán)功能，可以保護(hù)企業(yè)的機(jī)密信息和數(shù)據(jù)中心。

• 拒絕服務(wù)：惡意攻擊者通過(guò)向一個(gè)電子商務(wù)站點(diǎn)灌入偽數(shù)據(jù)可以使其宕機(jī)。這將有效地終止業(yè)務(wù)的進(jìn)行和銷售的實(shí)現(xiàn)。Cisco IOS防火墻所包含的集成攻擊探測(cè)和保護(hù)功能可以在很多這種類型的攻擊使電子商務(wù)停止之前對(duì)其加以阻止。
• 故意破壞：一個(gè)攻擊者可以接管一個(gè)Web站點(diǎn)并修改網(wǎng)頁(yè)，這很可能會(huì)造成客戶的不安和損失。象基于上下文的訪問(wèn)控制（CBAC）和訪問(wèn)控制列表這樣的高級(jí)防火墻功能可以保護(hù)電子商務(wù)服務(wù)器免受攻擊的損害，并確保企業(yè)而不是入侵者對(duì)Web頁(yè)的控制權(quán)。
• 信用卡竊取：客戶對(duì)安全支付和信用卡號(hào)碼保護(hù)的擔(dān)心是阻止電子商務(wù)采購(gòu)進(jìn)一步擴(kuò)大的障礙之一。CBAC和訪問(wèn)控制列表可以防止這種類型的攻擊，方法是阻止入侵者進(jìn)入存有記帳和支付信息的后臺(tái)系統(tǒng)。此外，集成VPN服務(wù)答應(yīng)在不同的后臺(tái)電子商務(wù)系統(tǒng)之間進(jìn)行安全的信用卡信息的傳輸。

• 拒絕服務(wù)性質(zhì)的攻擊：商業(yè)合作伙伴可能在無(wú)意中會(huì)成為對(duì)公司網(wǎng)絡(luò)進(jìn)行攻擊的跳板。Cisco IOS軟件包含的基于合作伙伴訪問(wèn)點(diǎn)的邊界安全機(jī)制中包括了訪問(wèn)控制和防火墻機(jī)制、入侵探測(cè)和攻擊保護(hù)、報(bào)警和核查功能。
• 不適當(dāng)?shù)挠脩粼L問(wèn)：需要對(duì)合作伙伴的訪問(wèn)加以限制，但又不能妨礙其業(yè)務(wù)活動(dòng)。合作伙伴站點(diǎn)處不安全的邊界可能會(huì)使攻擊者獲得進(jìn)入公司網(wǎng)絡(luò)的途徑。Cisco IOS安全服務(wù)可以通過(guò)密碼機(jī)制、身份驗(yàn)證、授權(quán)和記帳功能來(lái)控制用戶的訪問(wèn)。
• 數(shù)據(jù)窺探或竊取：與合作伙伴之間的數(shù)據(jù)交換可能會(huì)成為攻擊者的犧牲品。Cisco IOS安全服務(wù)通過(guò)高級(jí)隧道和加密功能可以保護(hù)站點(diǎn)之間的數(shù)據(jù)保密性。

• 數(shù)據(jù)窺探或竊取：基于Cisco IOS軟件、站點(diǎn)到站點(diǎn)的VPN通過(guò)高級(jí)隧道和加密功能可以保證終端用戶和站點(diǎn)之間的數(shù)據(jù)機(jī)密性。
• 惡意攻擊：VPN連接要求在站點(diǎn)和用戶之間提供邊界安全機(jī)制。Cisco IOS軟件提供的服務(wù)包括訪問(wèn)控制和防火墻機(jī)制、入侵探測(cè)和攻擊保護(hù)、報(bào)警和核查。
• 未授權(quán)用戶訪問(wèn)：VPN連接鼓勵(lì)資源共享。Cisco IOS安全服務(wù)提供了對(duì)授權(quán)用戶的訪問(wèn)進(jìn)行限制的機(jī)制，該機(jī)制使用了密碼、TACACS+和RADIUS身份驗(yàn)證、授權(quán)和記帳特性。

表1部分列出了Cisco 7500路由器中可用的安全服務(wù)。很多Cisco IOS安全功能都利用了7500的分布式體系結(jié)構(gòu)，這一特點(diǎn)在表中的DS（分布式服務(wù)）列中以"X"表示。一個(gè)"*"號(hào)代表將在未來(lái)提供的用于分布式處理的功能。

除了傳統(tǒng)的安全功能外，Cisco 7500還集成了高級(jí)防火墻服務(wù)。基于Cisco 7500系列路由器平臺(tái)的Cisco IOS防火墻特性集為高端、多功能環(huán)境提供了穩(wěn)固的防火墻功能和入侵探測(cè)功能。防火墻特性集（現(xiàn)在被稱為"Cisco安全集成軟件"）是一種基于Cisco IOS軟件的非凡安全選件。防火墻特性集包括了使用CBAC實(shí)現(xiàn)的基于應(yīng)用的靜態(tài)過(guò)濾功能、動(dòng)態(tài)每用戶身份驗(yàn)證和授權(quán)功能、防止網(wǎng)絡(luò)入侵和攻擊功能、java分組功能以及可配置的實(shí)時(shí)報(bào)警功能，使現(xiàn)有的Cisco IOS安全功能（如通信流過(guò)濾、加密和網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT））更加豐富。

防火墻特性集是將多協(xié)議路由選擇與安全策略增強(qiáng)特性集成在一起的理想解決方案。客戶們可以根據(jù)帶寬、LAN/WAN密度以及多服務(wù)方面的要求來(lái)選擇一個(gè)路由器平臺(tái)，同時(shí)從高級(jí)安全特性中受益，這些高級(jí)安全特性是創(chuàng)建一個(gè)穩(wěn)固、基于路由器的防火墻所不可缺少的。現(xiàn)在Cisco IOS版本12.1和12.T映像就可以提供這一特性集，利用Cisco 7500系列路由器平臺(tái)所提供的出色的性能和靈活性，可以實(shí)現(xiàn)企業(yè)級(jí)的防火墻安全解決方案。

圖1中的網(wǎng)絡(luò)圖示說(shuō)明了Cisco 7500系列路由器和不同網(wǎng)絡(luò)服務(wù)的連接。此圖形象地說(shuō)明了典型的基于Cisco 7500的企業(yè)邊緣連接中安全服務(wù)的必要性。安全服務(wù)基于Cisco IOS軟件中第一流的ACL功能、Cisco IOS防火墻特性集以及Cisco IOS軟件IPSec/VPN功能。

在上圖的例子中，與Internet的連接用于很多用途。示例中為所有的公司內(nèi)部網(wǎng)用戶提供了Internet接入，包括遠(yuǎn)程分支和故障切換站點(diǎn)。CBAC對(duì)從Internet返回到這些服務(wù)的通信流進(jìn)行靜態(tài)分組過(guò)濾。Internet連接還為一般公眾提供了對(duì)公共Web服務(wù)器上的信息的訪問(wèn)。在今天的Internet環(huán)境中，需要針對(duì)有害的拒絕服務(wù)（DoS）攻擊和入侵提供保護(hù)功能。同樣還需要為公司合作伙伴提供對(duì)合作伙伴中間地帶（DMZ）中的信息訪問(wèn)，但由于這些信息更加敏感，所以需要提供進(jìn)一步的保護(hù)。IPSec隧道功能和身份驗(yàn)證代理功能可以提供這一額外保護(hù)。

使用明確的ACL，可以完全制止從公眾區(qū)和合作伙伴DMZ對(duì)企業(yè)網(wǎng)絡(luò)的其他部分進(jìn)行訪問(wèn)，防止任何用戶建立一個(gè)從這些網(wǎng)絡(luò)到企業(yè)網(wǎng)絡(luò)的連接。

企業(yè)網(wǎng)絡(luò)不同部分之間的訪問(wèn)可以通過(guò)ACL來(lái)保護(hù)，它既可減少安全風(fēng)險(xiǎn)，又不會(huì)過(guò)分限制開(kāi)放的訪問(wèn)。Cisco IOS軟件內(nèi)部包含的多種ACL類型為網(wǎng)絡(luò)設(shè)計(jì)人員提供了足夠的靈活性，答應(yīng)在一個(gè)企業(yè)網(wǎng)絡(luò)的內(nèi)部在訪問(wèn)限制和開(kāi)放之間作出平衡。

為防止典型情況下在基于IP的服務(wù)器上經(jīng)常會(huì)發(fā)現(xiàn)的有害用戶對(duì)IP服務(wù)的訪問(wèn)，需要對(duì)Cisco 7500進(jìn)行進(jìn)一步的配置。例如，應(yīng)關(guān)閉象TFTP、遠(yuǎn)程登錄和HTTP這樣的應(yīng)用服務(wù)。應(yīng)關(guān)閉對(duì)ARP、PING和其他IP級(jí)服務(wù)的響應(yīng)，假如這些進(jìn)程是從Internet或DMZ發(fā)起的話。

表3列出了一組Cisco IOS安全服務(wù)，這些服務(wù)應(yīng)被用于保護(hù)可靠度較高的資源免受可靠性較低的服務(wù)的損害。在表3中，假設(shè)行中的網(wǎng)絡(luò)實(shí)體試圖發(fā)起建立一個(gè)通往列中網(wǎng)絡(luò)實(shí)體的連接。表中網(wǎng)絡(luò)實(shí)體是按可信任度的升序從上至下（行標(biāo)題）或從右至左（列標(biāo)題）排列的（從最不可靠到最可靠）。

• IDS（入侵探測(cè)系統(tǒng)）：防御來(lái)自不可靠方的直接攻擊。
• DoSP（拒絕服務(wù)保護(hù)）：阻止象Smurf和SYN溢流這樣的溢流式攻擊。
• DDoSP：分布式DoSP。
• IPSec（IP安全性）：對(duì)通過(guò)不可靠網(wǎng)絡(luò)的通信流進(jìn)行加密和身份驗(yàn)證。
• AuthProxy（身份驗(yàn)證代理）：為來(lái)自不很可靠網(wǎng)絡(luò)的用戶提供身份驗(yàn)證和授權(quán)服務(wù)。
• CBAC（基于上下文的訪問(wèn)控制）：對(duì)于從一個(gè)比較可靠的網(wǎng)絡(luò)發(fā)起的TCP/UDP連接進(jìn)行靜態(tài)交換分組過(guò)濾。
• NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）：在與合作伙伴或其他網(wǎng)絡(luò)進(jìn)行通信時(shí)，提供專用地址到公共地址的轉(zhuǎn)換。
• ACL（訪問(wèn)控制列表）：根據(jù)顯式許可和/或禁止語(yǔ)句對(duì)通信流進(jìn)行過(guò)濾。
• TimeACL（基于時(shí)間的ACL）：根據(jù)一天中的時(shí)間限制和/或一個(gè)星期中的某幾天限制對(duì)通信流進(jìn)行過(guò)濾。
• 禁止 所有通信流：根據(jù)IP地址或其他標(biāo)準(zhǔn)，禁止所有通過(guò)某一路由器接口的通信流。
• 顯式許可：答應(yīng)通信流通過(guò)路由器接口或端口，可以突破每一訪問(wèn)列表尾部"禁止所有通信流"語(yǔ)句的限制。
• 許可所有：根據(jù)IP地址或其他標(biāo)準(zhǔn)，答應(yīng)通過(guò)某一路由器接口的所有通信流。

結(jié)論

網(wǎng)絡(luò)安全在成功的電子商務(wù)解決方案中將繼續(xù)扮演一個(gè)要害的角色。Cisco 7500分布式體系結(jié)構(gòu)保護(hù)數(shù)據(jù)中心、提供站點(diǎn)到站點(diǎn)的外部網(wǎng)VPN、保護(hù)混合環(huán)境和園區(qū)網(wǎng)環(huán)境，提供了滿足電子商務(wù)安全需要所要求的靈活性和可擴(kuò)展性。

更多信息

如希望獲得有關(guān)Cisco IOS安全性能及Cisco IOS防火墻特性集的更多信息，請(qǐng)?jiān)L問(wèn)以下的Cisco Web站點(diǎn)：
http://www.cisco.com/warp/public/cc/cisco/mkt/security/
http://www.cisco.com/warp/public/cc/cisco/mkt/security/
iosfw/prodlit/

• 有關(guān)Cisco 7500系列路由器平臺(tái)的更多信息，參見(jiàn)：
  http://www.cisco.com/warp/public/cc/cisco/mkt/core/7500/
  index.sHtml
• 有關(guān)Cisco企業(yè)VPN解決方案的更多信息，參見(jiàn)：
  http://www.cisco.com/warp/public/779/largeent/learn/
  technologies/VPNs.html

有關(guān)通過(guò)Cisco路由器實(shí)現(xiàn)安全性能的更多信息，參見(jiàn)：

• 安全性技術(shù)小技巧：組網(wǎng)
  http://www.cisco.com/warp/public/707/
• 使用Cisco路由器標(biāo)記和跟蹤分組溢流：
  http://www.cisco.com/warp/public/707/22.html
• 分布式拒絕服務(wù)新聞更新
  http://www.cisco.com/warp/public/707/newsFlash.html
• 提高Cisco路由器的安全性：
  http://www.cisco.com/warp/public/707/21.html
• 企業(yè)網(wǎng)絡(luò)安全性：
  http://www.cisco.com/warp/public/779/largeent/issues/
  security/
• 每個(gè)ISP應(yīng)該考慮的基本IOS功能：
  http://www.cisco.com/warp/public/707/
  EssentialIOSfeatures_pdf.zip