点击下载
概述
今天快节奏和竞争性的Internet环境要求从传统的商业实践转换到基于Internet的电子商务解决方案。很多行业已经在不同的领域(如供给链治理、电子学习和客户关注)看到了这种变化的发生。这种变迁要求在所有的机构地点、远程用户、供给商和合作伙伴之间实现非常高效的网络连接。通往内部网分支和远程办公室以及外部网合作伙伴的链接可能会产生脆弱的边界,通过这些边界上未经识别的辅助接入点可以进入企业的网络。地理上分散的企业网络为实现高效连接可能需要将公共WAN线路和专用WAN线路结合起来使用,但这些连接通常不作为边界来识别和对待,因为它们不是接入网络的主入口点。在创建这些Internet、内部网和外部网连接时,必须考虑与每种连接相关的特有的安全要求,以提供一个全面的边界安全解决方案,保护要害任务网络免受讹误和入侵的损害。
由于网络安全对于业务处理过程的保护越来越重要,所以公司必须在网络设计和基础结构中集成安全功能。安全策略的加强最好作为网络固有的一个组成部分。Cisco IOS软件基于一种全面、分层的安全方法提供了一组完善的安全性功能,可以贯穿您网络的整个基础结构。
Cisco 7500被认为是行业领先的高性能、高密度、多功能路由选择解决方案。Cisco 7500高性能的实现是通过以下途径获得的:将服务处理功能分散到多个通用接口处理器(Vip),以及将数据包转发决策过程从中心处理器卸载到网络板卡。当用于要求安全性功能和虚拟专网(VPN)服务的网络时,Cisco 7500分布式的体系结构提供了满足电子商务安全性需求所需要的可扩展性,这些需求包括:保护数据中心、提供站点到站点的外部网VPN、保护混合环境和园区网环境。
使用Cisco 7500系列路由器保护网络
Cisco 7500系列路由器提供了一个高级的基于路由器的安全解决方案,答应机构实现以下功能:
与Internet的安全连接:主Internet接入必须在为内部和外部通信流提供高性能吞吐量的同时,保护网络免受攻击和入侵带来的损害。Cisco 7500系列安全服务可以保护您的网络免受以下的威胁:
部署电子商务应用:电子商务应用使企业能够通过在线方式与客户进行交易。全球的电子商务收入正在以每年超过100%的速度增长-预期将从1998年的350亿美元增加到2003年的1.4万亿到3.2万亿美元之间。Cisco 7500对于部署一个电子商务解决方案来说是必需的,因为它可以减轻以下的一些风险: 与商业合作伙伴的安全连接:外部网的设计必须能够满足机构间合作伙伴的不同需求,这要求在网络间的访问限制和高效、直接连接之间作出平衡。由于另一个组织的网络中可能存在着无法知道的脆弱之处,所以确保跨合作伙伴网络的安全性是一项复杂的挑战。Cisco 7500包含的安全服务可以保护机构免受以下损害: 创建一个虚拟专网:通过VPN可以创建一个使用Internet作为主干、不依靠于底层Layer 2技术的WAN。VPN可以对现有的WAN基础结构进行扩展,使其能够提供安全的远程访问、支持外部网应用、为拥有地理上分散的用户和客户群的组织提供低成本的全球连接。Cisco 7500安全服务是您VPN基础结构的基础性组成部分,保护您免受以下伤害: 表1部分列出了Cisco 7500路由器中可用的安全服务。很多Cisco IOS安全功能都利用了7500的分布式体系结构,这一特点在表中的DS(分布式服务)列中以"X"表示。一个"*"号代表将在未来提供的用于分布式处理的功能。
特性 DS 优点 通过标准、扩展和命名访问控制列表实现的基本和高级 除了传统的安全功能外,Cisco 7500还集成了高级防火墙服务。基于Cisco 7500系列路由器平台的Cisco IOS防火墙特性集为高端、多功能环境提供了稳固的防火墙功能和入侵探测功能。防火墙特性集(现在被称为"Cisco安全集成软件")是一种基于Cisco IOS软件的非凡安全选件。防火墙特性集包括了使用CBAC实现的基于应用的静态过滤功能、动态每用户身份验证和授权功能、防止网络入侵和攻击功能、java分组功能以及可配置的实时报警功能,使现有的Cisco IOS安全功能(如通信流过滤、加密和网络地址转换(NAT))更加丰富。
防火墙特性集是将多协议路由选择与安全策略增强特性集成在一起的理想解决方案。客户们可以根据带宽、LAN/WAN密度以及多服务方面的要求来选择一个路由器平台,同时从高级安全特性中受益,这些高级安全特性是创建一个稳固、基于路由器的防火墙所不可缺少的。现在Cisco IOS版本12.1和12.T映像就可以提供这一特性集,利用Cisco 7500系列路由器平台所提供的出色的性能和灵活性,可以实现企业级的防火墙安全解决方案。
特性 描述 基于上下文的访问控制(CBAC)(见图1) 为内部用户提供安全、基于每应用的访问控制,控制的对象是所有穿越边界的通信流,如企业专网和Internet之间的通信流 入侵探测 利用最常见的攻击特征和能够进行信息收集的入侵探测功能,对网络滥用进行实时的监视、拦截和响应 身份验证代理 对LAN通信和拨号通信进行动态、每用户身份验证和授权;根据行业标准的TACACS+和RADIUS身份验证协议对用户进行身份验证;网络治理员可以个别设置每用户安全策略 对拒绝服务性质的攻击进行探测和阻止 保护路由器资源免受常见攻击;检查数据包头信息,丢弃可疑的数据包 动态端口映射 答应网络治理员在非标准端口上运行CBAC支持的应用程序 Java Applet分组 保护免受身份不明的恶意Java applet的攻击 实时报警 对拒绝服务性质的攻击或根据其他预设置的条件进行报警;现在可以对每个应用、每个功能进行设置 核查跟踪 具体的事务处理信息;记录时间标记、源主机、目的主机、端口和传输的总字节数,以作出具体的报告;现在可以对每个应用、每个功能进行设置> 
图1中的网络图示说明了Cisco 7500系列路由器和不同网络服务的连接。此图形象地说明了典型的基于Cisco 7500的企业边缘连接中安全服务的必要性。安全服务基于Cisco IOS软件中第一流的ACL功能、Cisco IOS防火墙特性集以及Cisco IOS软件IPSec/VPN功能。
在上图的例子中,与Internet的连接用于很多用途。示例中为所有的公司内部网用户提供了Internet接入,包括远程分支和故障切换站点。CBAC对从Internet返回到这些服务的通信流进行静态分组过滤。Internet连接还为一般公众提供了对公共Web服务器上的信息的访问。在今天的Internet环境中,需要针对有害的拒绝服务(DoS)攻击和入侵提供保护功能。同样还需要为公司合作伙伴提供对合作伙伴中间地带(DMZ)中的信息访问,但由于这些信息更加敏感,所以需要提供进一步的保护。IPSec隧道功能和身份验证代理功能可以提供这一额外保护。
使用明确的ACL,可以完全制止从公众区和合作伙伴DMZ对企业网络的其他部分进行访问,防止任何用户建立一个从这些网络到企业网络的连接。
企业网络不同部分之间的访问可以通过ACL来保护,它既可减少安全风险,又不会过分限制开放的访问。Cisco IOS软件内部包含的多种ACL类型为网络设计人员提供了足够的灵活性,答应在一个企业网络的内部在访问限制和开放之间作出平衡。
为防止典型情况下在基于IP的服务器上经常会发现的有害用户对IP服务的访问,需要对Cisco 7500进行进一步的配置。例如,应关闭象TFTP、远程登录和HTTP这样的应用服务。应关闭对ARP、PING和其他IP级服务的响应,假如这些进程是从Internet或DMZ发起的话。
表3列出了一组Cisco IOS安全服务,这些服务应被用于保护可靠度较高的资源免受可靠性较低的服务的损害。在表3中,假设行中的网络实体试图发起建立一个通往列中网络实体的连接。表中网络实体是按可信任度的升序从上至下(行标题)或从右至左(列标题)排列的(从最不可靠到最可靠)。
连接 公司内部网 故障恢复站点 帧中继 合作伙伴中间地带 公共Web站点 Internet Internet IDS, DoSP, 记录,IPSec, AuthPRoxy IDS, DoSP, 记录 IDS, DoSP IDS, DoSP, AuthProxy,记录,IPSec, NAT IDS, DoSP 公共Web 禁止所有通信流,IDS 禁止所有通信流,IDS 禁止所有通信流,IDS 禁止所有通信流,IDS 禁止所有通信流,DdoSP 合作伙伴DMZ 禁止所有通信流,IDS,NAT 禁止所有通信流,IDS,NAT 禁止所有通信流,IDS,NAT 禁止所有通信流 禁止所有通信流 帧中继 ACL ACL 显式许可ACL 显式许可ACL CBAC, TimeACL 故障切换站点 答应所有通信流 答应所有通信流 显式许可ACL CBAC CBAC, TimeACL 公司内部网 答应所有通信流 答应所有通信流 显式许可ACL CBAC CBAC, TimeACL
结论
网络安全在成功的电子商务解决方案中将继续扮演一个要害的角色。Cisco 7500分布式体系结构保护数据中心、提供站点到站点的外部网VPN、保护混合环境和园区网环境,提供了满足电子商务安全需要所要求的灵活性和可扩展性。
更多信息
如希望获得有关Cisco IOS安全性能及Cisco IOS防火墙特性集的更多信息,请访问以下的Cisco Web站点:
http://www.cisco.com/warp/public/cc/cisco/mkt/security/
http://www.cisco.com/warp/public/cc/cisco/mkt/security/
iosfw/prodlit/
有关通过Cisco路由器实现安全性能的更多信息,参见:
新闻热点
疑难解答
