思科7500系列路由器中使用的思科IOS安全功能

【思科7500系列路由器中使用的思科IOS安全功能】分享给互联网从爱好者学习参考。


点击下载概述 使用Cisco 7500系列路由器保护网络 结论 更多信息

概述

今天快节奏和竞争性的Internet环境要求从传统的商业实践转换到基于Internet的电子商务解决方案。很多行业已经在不同的领域(如供给链治理、电子学习和客户关注)看到了这种变化的发生。这种变迁要求在所有的机构地点、远程用户、供给商和合作伙伴之间实现非常高效的网络连接。通往内部网分支和远程办公室以及外部网合作伙伴的链接可能会产生脆弱的边界,通过这些边界上未经识别的辅助接入点可以进入企业的网络。地理上分散的企业网络为实现高效连接可能需要将公共WAN线路和专用WAN线路结合起来使用,但这些连接通常不作为边界来识别和对待,因为它们不是接入网络的主入口点。在创建这些Internet、内部网和外部网连接时,必须考虑与每种连接相关的特有的安全要求,以提供一个全面的边界安全解决方案,保护要害任务网络免受讹误和入侵的损害。

由于网络安全对于业务处理过程的保护越来越重要,所以公司必须在网络设计和基础结构中集成安全功能。安全策略的加强最好作为网络固有的一个组成部分。Cisco IOS软件基于一种全面、分层的安全方法提供了一组完善的安全性功能,可以贯穿您网络的整个基础结构。

Cisco 7500被认为是行业领先的高性能、高密度、多功能路由选择解决方案。Cisco 7500高性能的实现是通过以下途径获得的:将服务处理功能分散到多个通用接口处理器(VIP),以及将数据包转发决策过程从中心处理器卸载到网络板卡。当用于要求安全性功能和虚拟专网(VPN)服务的网络时,Cisco 7500分布式的体系结构提供了满足电子商务安全性需求所需要的可扩展性,这些需求包括:保护数据中心、提供站点到站点的外部网VPN、保护混合环境和园区网环境。


使用Cisco 7500系列路由器保护网络

Cisco 7500系列路由器提供了一个高级的基于路由器的安全解决方案,答应机构实现以下功能:

与Internet的安全连接:主Internet接入必须在为内部和外部通信流提供高性能吞吐量的同时,保护网络免受攻击和入侵带来的损害。Cisco 7500系列安全服务可以保护您的网络免受以下的威胁: 拒绝服务:攻击者可以通过向主Web服务器灌入伪数据使其宕机。Cisco IOS安全服务包括可以保护组织公共Web站点的边界安全机制,这一机制的内容包括针对高带宽访问的分布式访问控制、拒绝服务(DoS)检测和保护、可疑事件的实时报警和记录。 故意破坏:攻击者可以进入网络,然后窃取或操纵数据。Cisco IOS防火墙特性集包括了高级防火墙、入侵探测、用户身份验证和授权功能,可以保护企业的机密信息和数据中心。 部署电子商务应用:电子商务应用使企业能够通过在线方式与客户进行交易。全球的电子商务收入正在以每年超过100%的速度增长-预期将从1998年的350亿美元增加到2003年的1.4万亿到3.2万亿美元之间。Cisco 7500对于部署一个电子商务解决方案来说是必需的,因为它可以减轻以下的一些风险:拒绝服务:恶意攻击者通过向一个电子商务站点灌入伪数据可以使其宕机。这将有效地终止业务的进行和销售的实现。Cisco IOS防火墙所包含的集成攻击探测和保护功能可以在很多这种类型的攻击使电子商务停止之前对其加以阻止。故意破坏:一个攻击者可以接管一个Web站点并修改网页,这很可能会造成客户的不安和损失。象基于上下文的访问控制(CBAC)和访问控制列表这样的高级防火墙功能可以保护电子商务服务器免受攻击的损害,并确保企业而不是入侵者对Web页的控制权。信用卡窃取:客户对安全支付和信用卡号码保护的担心是阻止电子商务采购进一步扩大的障碍之一。CBAC和访问控制列表可以防止这种类型的攻击,方法是阻止入侵者进入存有记帐和支付信息的后台系统。此外,集成VPN服务答应在不同的后台电子商务系统之间进行安全的信用卡信息的传输。与商业合作伙伴的安全连接:外部网的设计必须能够满足机构间合作伙伴的不同需求,这要求在网络间的访问限制和高效、直接连接之间作出平衡。由于另一个组织的网络中可能存在着无法知道的脆弱之处,所以确保跨合作伙伴网络的安全性是一项复杂的挑战。Cisco 7500包含的安全服务可以保护机构免受以下损害: 拒绝服务性质的攻击:商业合作伙伴可能在无意中会成为对公司网络进行攻击的跳板。Cisco IOS软件包含的基于合作伙伴访问点的边界安全机制中包括了访问控制和防火墙机制、入侵探测和攻击保护、报警和核查功能。不适当的用户访问:需要对合作伙伴的访问加以限制,但又不能妨碍其业务活动。合作伙伴站点处不安全的边界可能会使攻击者获得进入公司网络的途径。Cisco IOS安全服务可以通过密码机制、身份验证、授权和记帐功能来控制用户的访问。 数据窥探或窃取:与合作伙伴之间的数据交换可能会成为攻击者的牺牲品。Cisco IOS安全服务通过高级隧道和加密功能可以保护站点之间的数据保密性。 创建一个虚拟专网:通过VPN可以创建一个使用Internet作为主干、不依靠于底层Layer 2技术的WAN。VPN可以对现有的WAN基础结构进行扩展,使其能够提供安全的远程访问、支持外部网应用、为拥有地理上分散的用户和客户群的组织提供低成本的全球连接。Cisco 7500安全服务是您VPN基础结构的基础性组成部分,保护您免受以下伤害: 数据窥探或窃取:基于Cisco IOS软件、站点到站点的VPN通过高级隧道和加密功能可以保证终端用户和站点之间的数据机密性。恶意攻击:VPN连接要求在站点和用户之间提供边界安全机制。Cisco IOS软件提供的服务包括访问控制和防火墙机制、入侵探测和攻击保护、报警和核查。 未授权用户访问:VPN连接鼓励资源共享。Cisco IOS安全服务提供了对授权用户的访问进行限制的机制,该机制使用了密码、TACACS+和RADIUS身份验证、授权和记帐特性。

表1部分列出了Cisco 7500路由器中可用的安全服务。很多Cisco IOS安全功能都利用了7500的分布式体系结构,这一特点在表中的DS(分布式服务)列中以"X"表示。一个"*"号代表将在未来提供的用于分布式处理的功能。


表1:;;标准Cisco IOS软件安全特性
特性DS优点 通过标准、扩展和命名访问控制列表实现的基本和高级
通信流过滤X控制用户进入和网络访问;为非凡网络区段提供访问控制并定义哪些通信流可以通过一个网络区段 增强访问列表;答应基于会话信息进行IP分组过滤 基于时间的访问列表;定义基于时间的安全策略,如一天中的哪些时间或一个星期中的哪些天 网络地址转换(NAT)*支持将使用未注册IP地址的IP专网连接到Internet;可使整个网络只以一个地址与外部世界通信,能够有效地将整个网络隐藏在这一地址后面 IPSec加密*安全使用公共交换网络和Internet,实现广域组网 TACACS+/RADIUS身份验证;为拨号和LAN用户提供每用户身份验证、授权和记帐功能 端路由器身份验证;确保路由器能够从可靠的来源接收可靠的路由选择信息 事件记录;通过记录系统错误消息发往控制台终端或系统日志服务器的输出、设置严重性级别和记录其他参数,答应治理员实时跟踪潜在的安全破坏或其他非标准的活动 冗余/故障恢复;当故障发生时自动将通信流引导至备份路由器 GRE隧道X基于VPN站点到站点环境的全面、多协议路由隧道功能 L2TP隧道*基于标准的隧道功能,可以支持多种类型的用户身份验证和授权

除了传统的安全功能外,Cisco 7500还集成了高级防火墙服务。基于Cisco 7500系列路由器平台的Cisco IOS防火墙特性集为高端、多功能环境提供了稳固的防火墙功能和入侵探测功能。防火墙特性集(现在被称为"Cisco安全集成软件")是一种基于Cisco IOS软件的非凡安全选件。防火墙特性集包括了使用CBAC实现的基于应用的静态过滤功能、动态每用户身份验证和授权功能、防止网络入侵和攻击功能、Java分组功能以及可配置的实时报警功能,使现有的Cisco IOS安全功能(如通信流过滤、加密和网络地址转换(NAT))更加丰富。

防火墙特性集是将多协议路由选择与安全策略增强特性集成在一起的理想解决方案。客户们可以根据带宽、LAN/WAN密度以及多服务方面的要求来选择一个路由器平台,同时从高级安全特性中受益,这些高级安全特性是创建一个稳固、基于路由器的防火墙所不可缺少的。现在Cisco IOS版本12.1和12.T映像就可以提供这一特性集,利用Cisco 7500系列路由器平台所提供的出色的性能和灵活性,可以实现企业级的防火墙安全解决方案。


表2:;;Cisco IOS防火墙特性一览
特性描述基于上下文的访问控制(CBAC)(见图1) 为内部用户提供安全、基于每应用的访问控制,控制的对象是所有穿越边界的通信流,如企业专网和Internet之间的通信流入侵探测 利用最常见的攻击特征和能够进行信息收集的入侵探测功能,对网络滥用进行实时的监视、拦截和响应身份验证代理 对LAN通信和拨号通信进行动态、每用户身份验证和授权;根据行业标准的TACACS+和RADIUS身份验证协议对用户进行身份验证;网络治理员可以个别设置每用户安全策略对拒绝服务性质的攻击进行探测和阻止 保护路由器资源免受常见攻击;检查数据包头信息,丢弃可疑的数据包动态端口映射 答应网络治理员在非标准端口上运行CBAC支持的应用程序Java Applet分组 保护免受身份不明的恶意Java applet的攻击实时报警 对拒绝服务性质的攻击或根据其他预设置的条件进行报警;现在可以对每个应用、每个功能进行设置核查跟踪 具体的事务处理信息;记录时间标记、源主机、目的主机、端口和传输的总字节数,以作出具体的报告;现在可以对每个应用、每个功能进行设置>

图1 Cisco 7500安全服务

图1中的网络图示说明了Cisco 7500系列路由器和不同网络服务的连接。此图形象地说明了典型的基于Cisco 7500的企业边缘连接中安全服务的必要性。安全服务基于Cisco IOS软件中第一流的ACL功能、Cisco IOS防火墙特性集以及Cisco IOS软件IPSec/VPN功能。

在上图的例子中,与Internet的连接用于很多用途。示例中为所有的公司内部网用户提供了Internet接入,包括远程分支和故障切换站点。CBAC对从Internet返回到这些服务的通信流进行静态分组过滤。Internet连接还为一般公众提供了对公共Web服务器上的信息的访问。在今天的Internet环境中,需要针对有害的拒绝服务(DoS)攻击和入侵提供保护功能。同样还需要为公司合作伙伴提供对合作伙伴中间地带(DMZ)中的信息访问,但由于这些信息更加敏感,所以需要提供进一步的保护。IPSec隧道功能和身份验证代理功能可以提供这一额外保护。

使用明确的ACL,可以完全制止从公众区和合作伙伴DMZ对企业网络的其他部分进行访问,防止任何用户建立一个从这些网络到企业网络的连接。

企业网络不同部分之间的访问可以通过ACL来保护,它既可减少安全风险,又不会过分限制开放的访问。Cisco IOS软件内部包含的多种ACL类型为网络设计人员提供了足够的灵活性,答应在一个企业网络的内部在访问限制和开放之间作出平衡。

为防止典型情况下在基于IP的服务器上经常会发现的有害用户对IP服务的访问,需要对Cisco 7500进行进一步的配置。例如,应关闭象TFTP、远程登录和HTTP这样的应用服务。应关闭对ARP、PING和其他IP级服务的响应,假如这些进程是从Internet或DMZ发起的话。

表3列出了一组Cisco IOS安全服务,这些服务应被用于保护可靠度较高的资源免受可靠性较低的服务的损害。在表3中,假设行中的网络实体试图发起建立一个通往列中网络实体的连接。表中网络实体是按可信任度的升序从上至下(行标题)或从右至左(列标题)排列的(从最不可靠到最可靠)。


表3:;;Cisco 7500安全服务
连接公司内部网故障恢复站点帧中继合作伙伴中间地带公共Web站点Internet InternetIDS, DoSP, 记录,IPSec, AuthProxyIDS, DoSP, 记录IDS, DoSPIDS, DoSP, AuthProxy,记录,IPSec, NAT IDS, DoSP; 公共Web禁止所有通信流,IDS禁止所有通信流,IDS禁止所有通信流,IDS禁止所有通信流,IDS;禁止所有通信流,DdoSP 合作伙伴DMZ禁止所有通信流,IDS,NAT禁止所有通信流,IDS,NAT禁止所有通信流,IDS,NAT;禁止所有通信流 禁止所有通信流 帧中继ACL ACL;显式许可ACL显式许可ACLCBAC, TimeACL 故障切换站点答应所有通信流;答应所有通信流显式许可ACLCBACCBAC, TimeACL 公司内部网;答应所有通信流 答应所有通信流显式许可ACLCBACCBAC, TimeACLIDS(入侵探测系统):防御来自不可靠方的直接攻击。 DoSP(拒绝服务保护):阻止象Smurf和SYN溢流这样的溢流式攻击。 DDoSP:分布式DoSP。 IPSec(IP安全性):对通过不可靠网络的通信流进行加密和身份验证。 AuthProxy(身份验证代理):为来自不很可靠网络的用户提供身份验证和授权服务。 CBAC(基于上下文的访问控制):对于从一个比较可靠的网络发起的TCP/UDP连接进行静态交换分组过滤。 NAT(网络地址转换):在与合作伙伴或其他网络进行通信时,提供专用地址到公共地址的转换。 ACL(访问控制列表):根据显式许可和/或禁止语句对通信流进行过滤。 TimeACL(基于时间的ACL):根据一天中的时间限制和/或一个星期中的某几天限制对通信流进行过滤。 禁止 所有通信流:根据IP地址或其他标准,禁止所有通过某一路由器接口的通信流。 显式许可:答应通信流通过路由器接口或端口,可以突破每一访问列表尾部"禁止所有通信流"语句的限制。 许可所有:根据IP地址或其他标准,答应通过某一路由器接口的所有通信流。

结论

网络安全在成功的电子商务解决方案中将继续扮演一个要害的角色。Cisco 7500分布式体系结构保护数据中心、提供站点到站点的外部网VPN、保护混合环境和园区网环境,提供了满足电子商务安全需要所要求的灵活性和可扩展性。


更多信息

如希望获得有关Cisco IOS安全性能及Cisco IOS防火墙特性集的更多信息,请访问以下的Cisco Web站点:
http://www.cisco.com/warp/public/cc/cisco/mkt/security/
http://www.cisco.com/warp/public/cc/cisco/mkt/security/
iosfw/prodlit/ 有关Cisco 7500系列路由器平台的更多信息,参见:
http://www.cisco.com/warp/public/cc/cisco/mkt/core/7500/
index.sHtml 有关Cisco企业VPN解决方案的更多信息,参见:
http://www.cisco.com/warp/public/779/largeent/learn/
technologies/VPNs.html

有关通过Cisco路由器实现安全性能的更多信息,参见:

安全性技术小技巧:组网
http://www.cisco.com/warp/public/707/使用Cisco路由器标记和跟踪分组溢流:
http://www.cisco.com/warp/public/707/22.html分布式拒绝服务新闻更新
http://www.cisco.com/warp/public/707/newsflash.html 提高Cisco路由器的安全性:
http://www.cisco.com/warp/public/707/21.html 企业网络安全性:
http://www.cisco.com/warp/public/779/largeent/issues/
security/每个ISP应该考虑的基本IOS功能:
http://www.cisco.com/warp/public/707/
EssentialIOSfeatures_pdf.zip




思科7500系列路由器中使用的思科IOS安全功能