Downloads
思科第二代集成多业务路由器的网络安全特性详细概述 本白皮书将详细概述思科® 1900、2900 和 3900 系列集成多业务路由器的网络安全特性。 下一代分支机构安全性思科 1900、2900 和 3900 系列集成多业务路由器是 思科解决方案和产品组合 中的不可缺少的重要组件,它提供了嵌入式安全性和 VPN 功能,可允许组织在广域网的范围内识别、防止和及时应对远程分支机构的网络安全威胁。 作为网络安全保护中的重要设备,路由器的核心安全元素包括:
安全连接IP 网络的典型特性是充斥着不计其数的合法和非法应用,它们在话音、视频和实时数据方面等对性能敏感的方面展开激烈的竞争。举例来说,话音流量对延时非常敏感——话音数据包通常较小,而当它们排列在较大的非关键数据包后面时,您可以从嘀嗒声中立即判断出是否出现了级降。视频流量需要占用很高的带宽,并且对于偏差非常敏感;通常,在延时过程中缓冲视频数据是不切实际的做法,因此视频在传输过程中经常地抛弃一些数据包,以便于恢复到稳定的数据流;如果数据包丢失的情况过于频繁地出现,则最终会导致数据流不稳定并影响观众的心情。 这些企业话音和视频应用需要采用复杂的服务质量 (QoS) 和 IP 组播机构来维持话音和视频的质量。实现站点间和远程访问 VPN 的前提是能够在加密、廉价、无处不在的公共 Internet 网络上传输这种流量组合,并且主连接和备用连接均采用这种方式。在 VPN 上扩展话音和视频应用会引入 IPsec 与 QoS 或 IP Multicast 集成方面的需求。Voice over IP [VoIP] 和 IPTV 已经成为了主流,而思科 TelePresence™ 系统仍然在不断发展壮大。随着这些话音和视频电话应用的广泛普及,分支机构对 VPN 和安全特性、可伸缩性和特性集成的需求也会不断增加。 思科 1900、2900 和 3900 系列集成多业务路由器为通过话音、视频和实时数据集成提供了一个可伸缩的 VPN:
标准 IPsec VPN作为一种网络连接形式,VPN 始终保持着良好迅速的发展势态。并且,随着 VPN 应用的不断普及,企业对其性能、可伸缩性和特性的需求也在日益增长,而对于快节奏的企业分支机构环境来说尤为如此。一般而言,解决这些苛刻的网络需求的完美方案是通过单一设备来处理远程访问和站点间 VPN,同时提供多种安全服务。思科 1900、2900 和 3900 系列集成多业务路由器嵌入了对 IPsec 高级加密标准 (AES)、数据加密标准 (DES)、三重 DES (3DES) 加密和 VPN 流程的加速。 下面列出了其主要特性:
有关思科 IOS 软件标准 IPsec 的更多信息,请访问: 分组加密传输 VPN随着分组加密传输 VPN 的引入,思科提供了一种创新、可伸缩的 VPN,并且避免了通道的使用。它支持根据路由协议决策将加密 IP 单播和组播数据包直接路由到远程站点,或者在故障路径之间来回路由,从而提供了更好的可用性。它支持组织依赖已有第 3 层路由信息,因此能解决组播复制低效问题并改善网络性能。分布式分支机构网络可以实现更好的扩展,同时持续提供对于话音和视频质量至关重要的网络智能特性,比如说 QoS、路由和组播。 分组加密传输 VPN 提供了一种全新的基于标准的 IPsec 安全模型,并在其中应用了“受信”分组成员的概念。受信的分组成员路由器所使用的公共安全方法独立于任何对到对 IPsec 通道关系。该模型通过一台密钥服务器向所有注册和认证的分组成员路由器分发密钥和策略(图 1)。 图 1. 分组安全功能
分组加密传输 VPN 可以为各种应用带来收益。特别需要注意的是,分组加密传输 VPN:
有关思科 GET VPN 的更多信息,请访问: 动态多点 VPN思科路由器提供了 DMVPN 功能。思科 DMVPN 可以帮助随需应变且可伸缩的全网状 VPN 减少延时、节省带宽并简化 VPN 部署(图 2)。DMVPN 特性建立在思科 IPsec 和专业路由技术的基础之上,它允许动态地配置通用路由封装 (GRE) 通道、IPsec 加密、下行解析协议 (NHRP)、开放最短路径优先协议 (OSPF) 和增强内部网关路由协议 (EIGRP)。 图 2. DMVPN
DMVPN 的真正强大之处体现在企业总部内部:VPN 通道的动态配置与 QoS 和 IP 组播等技术相结合,不仅可以优化延时敏感应用的性能,还可以减轻管理负担。举例来说,话音和视频应用在 IP 传输网络上可以获得与广域风链路方案相同的性能 —— 同时确保安全性和效率。 DMVPN 已广泛应用于结合企业分支机构、远程工作人员和外联网连接。其主要获益包括:
有关思科 DMVPN 的更多信息,请访问: 简易 VPN 增强型简易 VPN针对简单、高度扩展、远程访问需求,思科提供了简易 VPN 解决方案。该解决方案使用“策略推送”技术简化配置,同时维持丰富的特性和策略控制。总部指定的简易 VPN 服务器用于将安全策略推送到远程 VPN 设备,从而确保在建立连接之前已经指定了最新的策略(图 3)。 图 3. 简易 VPN 通道设置 [[edits: setup (one word);;
简易 VPN 提供了以下获益:
集成增强型简易 VPN 特性与虚拟通道接口 (VTI) 时,您可以直接使用简易 VPN 来配置虚拟接口,从而实现简易部署和高级网络集成。获益包括:
有关思科简易 VPN 的更多信息,请访问: 思科 IOS SSL VPN思科 IOS SSL VPN 是一个基于路由器的解决方案,它提供了 SSL VPN 远程接入连接,并在一个聚合的数据、话音和无线平台中集成了安全性和行业领先的路由特性。借助 SSL VPN,各公司可以安全、明晰地将它们的业务网络扩展到任何支持 Internet 的位置。思科 IOS SSL VPN 支持在没有客户端的情况下访问各种应用,比如说基于 HTML 的内联网内容、电子邮件、网络文件共享、Citrix 和思科 SSL VPN 客户端,因此可以远程访问几乎任何应用。作为思科 IOS SSL VPN 的一部分,思科安全桌面(Cisco Secure Desktop)甚至为非公司设备提供了数据失窃保护。Cisco Configuration Professional 可以简化思科 IOS SSL VPN 简化,并能对 SSL VPN 会话执行实时监控和管理。 有关思科 IOS SSL VPN 的更多信息,请访问: 虚拟通道接口VPN 作为一款主流的安全广域网连接解决方案已经得到了越来越广泛的认可。它们将替代或扩充已有的使用租用线程、帧中继或 ATM 的专用网络,以更加经济高效和灵活的方式连接远程分支机构和中央站点。这种新形势要求 VPN 设备提供更高的性能和网络可用性,并且支持局域网和广域网接口。 您可以使用全新的思科 IPsec VTI 工具为站点间设备配置基于 IPsec 的 VPN。它提供了一个可路由的接口来终止 IPsec 通道,因此可以简化配置。思科 IPsec VTI 通道为共享广域网提供了一条指定路径,并将流量封装在全新的数据包头部中,以确保将数据传递给特定的目标位置。这是一个专用网络,因为流量只能在端点进入通道。此外,IPsec 提供了真正的机密性(以及加密),并且可以携带加密流量。 借助思科 IPsec VTI,您的企业可以充分利用经济高效的 VPN,并能继续向数据网络添加话音和视频,而不需要在质量和可靠性之间做出权衡。该技术为站点间 VPN 提供了高度安全的连接,从而支持在 IP 网络上聚合话音、视频和数据。 有关思科 IPsec VTI 的更多信息,请访问: 多重虚拟路由转发 (Multi-VRF) 和 MPLS 安全级连Multi-VRF CE(或称作 VRF-Lite)支持在同一物理路由器中配置和维护多个路由和转发表实例。与以太网 VLAN 技术和 WAN VPN 技术(如帧中继)相结合,该技术可以使用一个物理网络来提供多个逻辑服务,从而将隐私和安全性扩展到客户所有角落。 借助 Multi-VRF CE,一台思科路由器可以支持 IP 地址重叠的多家公司,同时维持数据、路由和物理接口之间的隔离性。 有关 Multi-VRF CE 的更多信息,请访问: IPsec 高可用性思科 VPN 支持各种用于部署冗余和负载均衡的特性。对于小规模的数据转发器 IPsec 部署,您可以使用热备份路由器协议 (HSRP) 和反向路由器注入 (RRI) 来提供冗余;则对于较大规模的部署来说,您可以使用思科服务器负载均衡 (SLB) 来提供冗余和负载均衡:
有关 IPsec 高可用性的更多信息,请访问: 集成威胁控制思科集成威胁控制通过简化的策略控制和主动系统联保提供了全面的网络保护功能。这些安全功能包括思科 IOS 防火墙、思科 IOS IPS、思科 IOS 内容过滤、NetFlow、基于网络的应用识别 (NBAR) 和灵活数据包匹配 (FPM)。这些特性将共同完成以下工作:
思科 IOS 防火墙思科 IOS 防火墙是内置在思科 IOS 软件中的状态化防火墙。正是得益于此防火墙的坚固的安全特性,思科 1900、2900 和 3900 系列集成多业务路由器成为了理想的安全和路由解决方案,专用于保护网络中的广域网入口点。 思科 IOS 防火墙的主要特性包括:
有关思科 IOS 防火墙的更多信息,请访问: 思科 IOS IPS一些思科路由器提供了 IPS 功能。思科 IOS IPS 是一种基于深度数据包检测的嵌入式解决方案,它可以帮助思科 IOS 软件有效地缓解网络攻击造成的威胁。与各种思科入侵防御系统 (IPS) 设备和模块相同,思科 IOS IPS 也使用状态化数据扫描技术以及攻击和漏洞签名机制。 现在,这个 IPS 解决方案已经集成到了已有接入路由器中,因此可以在网络边缘建立多层防线,同时将开销降至最低。 思科 IOS IPS 的主要特性包括:
思科 IOS 内容过滤思科 IOS 内容过滤可以帮助您的组织保护自身不受已知和新出现的 Internet 威胁的影响,改善员工生产力以及依照法规执行企业策略。它可以监控和管理所有 Internet 活动,具体方式包括阻止或限制对特定网站的访问,阻止包含恶意软件、广告软件、间谍软件和钓鱼软件的恶意站点,以及帮助您的组织通过简单的部署更好地管理网络资源。 思科 IOS 内容过滤的主要特性包括:
有关思科 IOS 内容过滤的更多信息,请访问: NetFlowNetFlow 是行业中用于检测网络异常的主要技术。它提供了遥感勘测数据来分析 IP 流量——举例来说,谁在与谁通信,采用何种协议和端口,持续多长时间,传输速度如何。 分布式拒绝服务 (DDoS) 攻击会造成网络使用率突然达到峰值。与传统的利用所收集的历史配置信息和基线的流量模式相比,NetFlow 可以更加迅速地将这些攻击识别为异常网络“事件”。 通过分析详细的 NetFlow 流数据,管理员还可以对攻击类型(即攻击的源和目标)、攻击持续时间以及攻击中所使用的数据包的大小进行分类。分析工具包括思科安全合作伙伴提供的产品以及思科安全监控、分析和响应系统 (MARS)。(参见 图 4)。 图 4. 使用 NetFlow 和 Arbor 网络实现基于异常的 DDoS 检测示例
有关思科 IOS NetFlow 的更多信息,请访问: http://www.cisco.com/go/netflow。 基于网络的应用识别NBAR 是思科 IOS 软件中的一个分类引擎,它使用深度和状态化数据包检测功能来识别各种应用,包括基于 Web 的应用和其他使用动态 TCP/用户数据报协议 (UDP) 端口分配的难以分类的协议。在安全级连中使用时,NBAR 可以根据有效负载的签名来检测蠕虫。当 NBAR 识别某个应用并对其分类时,网络可以调用该特定应用的服务。通过使用 QoS 特性提供有保障的带宽、带宽限制、流量整形(traffic shaping)和数据包渲染,该技术还有助于确保网络带宽得到了有效使用。 Cisco Configuration Professional 可以通过一个易于使用的向导来启用 NBAR,此外还提供了一个关于应用流量的图形视图。 有关 Cisco NBAR 的更多信息,请访问:http://www.cisco.com/go/nbar。 灵活数据包匹配(Flexible Packet Matching)FPM 可以检测数据包的攻击特征,并采取适应的措施(记入日志、抛弃或者通过 ICMP 发送“目标无法到达”消息)。它提供了灵活的从第 2 层到第 7 层的无状态分类机制。您可以根据任何协议以及流量协议栈的任何字段来指定分类标准。根据分类结果,您可以采取适当操作,比如说抛弃或者记录分类流量。 有关 FPM 的更多信息,请访问: 信任和身份PKI 客户端(x.509 数字证书)借助公钥基础设施 (PKI),客户可以通过一种可伸缩、安全的机制在安全数据网络中分发、管理和撤销加密及身份信息。思科 IOS 软件支持嵌入式 PKI 客户端功能,它可以与思科 IOS 认证服务器及第三方认证机构交互。 路由器将生成一个 Rivest、Shamir 和 Adelman (RSA) 密钥对(一个私钥和一个公钥),并为它建立合法身份。 认证中心(Certificate Authority,CA)服务器将验证路由器并发布数字证书,授予进入 PKI 的权限。使用证书中的信息,PKI 中的各路由器可以验证其他对等设备的身份,并与包含在证书中的公钥建立一个加密会话。 PKI 客户端支持的特性包括:
有关思科 IOS 软件 PKI 客户端的更多信息,请访问: 思科 IOS 认证服务器思科 IOS 认证服务器嵌入在思科 IOS 软件中,允许路由器充当网络上的认证中心。 通常,随着 VPN 安装的不断增加,企业会难以生成和管理加密信息。思科 IOS 认证服务器在支持 IPsec VPN 的相同硬件中建立了一个简单、可伸缩、易于管理的认证中心,从而解决了这些挑战。思科 IOS 认证服务器提供了一种重要的替代方案,可以实现简单的对称密钥部署。 所支持的特性包括:
有关思科 IOS 软件认证服务器的更多信息,请访问: 基于 802.1x 的标准身份服务标准 802.1x 应用要求用户提供有效的访问凭证,因此未授权用户要访问受保护的信息资源将变得更加困难。通过部署 802.1x 应用,网络管理员还可以有效避免用户部署不安全的无线接入点,从而解决了 WLAN 设备简易部署中的一个最令人担忧的问题。 有关 802.1 的更多信息,请访问: AAA思科 IOS 软件 AAA 网络安全服务提供了为路由器或接入服务器建立访问控制的框架。AAA 旨在帮助管理员使用适用于特定服务或接口的方法列表为各用户或各服务(举例来说,针对 IP、Internetwork Packet Exchange [IPX] 或虚拟专用拔号网络 [VPDN])动态配置认证和授权的类型。 有关思科 IOS 软件 AAA 的更多信息,请访问: 思科 IOS 网络基础保护网络基础设施设备的持续可用性对于企业总部的重要性是无以复加的。如果某个网络路由器或交换机的安全受到威胁,则恶意攻击者将获得对整个网络的访问权。无论针对攻击采用何种技术性的防御措施,都有必要防患于未然。 以下技术突显了提供可靠的 网络基础保护 是多么的重要,包括思科 IOS 软件设备在遇到 DDoS 攻击时采取的自我防御措施,以及通过安全管理访问来最大限度降低管理和控制接口遇到的哄骗攻击的几率。 AutoSecure安全配置要求掌握各设置参数对安全的影响。在配置这些参数的过程中,任何错误和疏忽都可能造成易受攻击的漏洞,从而危及网络的安全性,并影响网络信息的可用性、完整性和隐私性。许多网络管理员都无法全面理解各思科 IOS 软件特性与安全性之间的隐含关系。 Cisco AutoSecure 整合了一种直观、“一触式的”设备锁定流程,从而满足了企业和服务提供商网络的重要安全需求。它可以帮助管理员快速实现安全策略和过程,而不需要具备关于思科 IOS 软件特性或命令行接口 (CLI) 的手动执行的丰富知识,从而简化了安全流程。此特性提供了一条 CLI 命令,可以即时配置路由器的安全状态,禁用不重要的系统进程和服务,从而排除潜在的安全威胁。
您可以将思科 AutoSecure 部署为它支持的两种部署之一,这取决于特定的客户部署场景:
有关 AutoSecure 的更多信息,请访问: 控制面板监管和保护再安全可靠的软件实现和硬件架构也难免会受到 DoS 攻击的威胁。DoS 攻击是一种恶意行为,其手段是通过伪装特定类型的控制数据包,向控制面板处理器发起洪水攻击,从而造成网络基础设施故障。分布式 DoS (DDoS) 攻击由于可以采用几百个攻击源,因此它所发送的垃圾 IP 流量也将翻倍,有时甚至可以达到几 GB 每秒。这些 IP 数据流中的数据包将发送给思科路由器处理器的控制面板进行处理。由于路由器处理器接收到的欺骗数据包的数量非常之多,因此控制面板不得不花费过多时间来处理和抛弃 DoS 流量。 为了应对这些以及类似的针对系统核心(即处理器)的威胁,控制面板监管(Control Plane Policing)可以使用可编程的监管功能来限制(或监管)路由器控制面板接收到的流量。通过与思科 IOS QoS 分类机制相结合,您可以配置此监管机制识别特定的流量类型并完全限制它们,或者限制超过指定标值水平的流量(图 5)。 控制面板保护(Control Plane Protection)对这种监管功能进行了扩展,它支持离散性更高的监管。有关控制面板监管和保护的更多信息,请访问: 图 5. 控制面板监管:数据包缓冲;传入数据包;思科快速转发(Cisco Express Forwarding)和转发信息库(Forwarding
CPU 和内存标值通知CPU 和内存是缓解网络设备的潜在可用性影响的重要资源。简单网络管理协议 (SNMP) MIB 目前支持监控应用查询特定资源的可用性。由于这些资源具有动态特性,因此调度轮询这些变量经常会造成最大限度提高网络可用性所需的操作出现延时。 借助内存标值通知(Memory Thresholding Notification),您可以管理各种资源分组所占用的内存量。您可以以字节为单元指定最大内存空间,或者指定总处理器资源的百分比。当某资源分组接近其指定内存标值时,您将接收到相应通知。 您可以使用 CPU 标值通知(CPU Thresholding Notification) 来配置 CPU 使用率标值,当 CPU 使用率超过这个值时便会发出通知。思科 IOS 软件两种 CPU使用率标值:
有关 CPU 和内存标值通知的更多信息,请访问: 路由保护
ACL 保护
有关 ACL IP 选项选择性抛弃的更多信息,请访问: 安全访问模式(静默模式)侦察是黑客发起系统攻击之前的一项必要准备工作;也就是获取关于网络的信息。黑客的侦察手段是监听系统消息,比如说数据包传输的状态(包括设备的 IP 地址等信息)。 安全访问模式(也称作静默模式)是一个全新的思科 IOS 软件特性,旨在限制黑客可收集到的关于网络的信息。它可以阻止路由器生成说明性数据包(informational packet)。举例来说,它可以阻止通常由路由器生成的 Internet 控制消息协议(ICMP)消息和 SNMP 陷阱(trap)。与控制面板监管相类似,安全访问模式将使用熟悉的 MQC 界面。 有关安全访问模式的更多信息,请访问: 原始 IP 流量导出要对网络流量执行详尽的安全分析,许多网络管理员都需要借助工具来实现,比如说协议分析程序或缓解服务器。但是,目前只能通过直接插入(inline insertion)的方式来将这些工具连接到路由器,而这在操作上是非常困难的。 原始 IP 流量导出(Raw IP Traffic Export)是一个轻量级的思科 IOS 软件特性,用于将到达到离开网络设备的 IP 数据包导出到外部设备。它使用指定的局域网接口来导出所捕获的 IP 数据包。其目标是将原始 IP 数据包以未修改的格式导出到指定设备(比如说数据包分析程序或 IDS 设备)。 原始 IP 流量导出的特性包括:
有关原始 IP 流量导出的更多信息,请访问: 基于源的远程触发黑洞过滤如果您的组织设法查明了攻击的来源(比如说,通过分析 NetFlow 数据),那么可以采用 ACL 这样的围堵机制。检测到攻击流量并对其进行分类之后,您可以为必要的路由器创建并部署适当的 ACL。由于这种手动流程有时非常耗时且复杂,因此许多客户都可以使用边界网络协议(Border Gateway Protocol,BGP)来迅速有效地向所有路由器传递抛弃信息。这项技术的专业名称是远程触发黑洞(Remotely Triggered Blackhole,RTBH),它可以将受害者 IP 地址的下行设定为无效(null)接口。发送给受害者的流量将在网络入口处被抛弃。 另一种方案是抛弃来自特定源的流量。此方法类似于之前介绍过的一种抛弃机制,即通过预先部署的单播反向路径转发(URPF)来抛弃源“无效”的数据包。无效的路由器。发送 BGP 时将使用相同的基于目标的抛弃机制,并且此更新会将源的下行设置为 null0。现在,接口在启用了 URPF 之后将抛弃来自这个源的所有流量。虽然具备可伸缩性,但 BGP 触发的抛弃机制会限制应对攻击时的离散水平;如前所述,它们会抛弃来自黑洞源或发往黑洞目标的所有流量。在许多情况下,这种方式可以有效阻截大多数攻击,并且可以缓解间接损失(参见图 6)。 有关基于源的 RTBH 过滤的更多信息,请访问: 图 6. 使用基于源的 RTBH 过滤功能实时阻截 DDoS 攻击
单播反向路径转发URPF 可以帮助限制企业网络中的恶意流量。它的工作原理是支持路由器验证所转发数据包中的源地址的可访问性(reachability)。此功能可以限制伪造地址进入网络。如果源 IP 地址无效,则数据包将被抛弃。思科 1900、2900 和 3900 系列集成多业务路由器支持严格格式和宽松模式。 当管理员在严格模式下使用 URPF 时,接收数据包的接口必须是路由器用于转发返回数据包的接口。当接口接收到合法流量时,如果路由器未选择发送返回流量,则严格模式下的 URPF 配置可以抛弃这些合法流量。当网络中出现不对称的路由路径时,则会出现抛弃合法流量的情况。 当管理员在宽松模式下使用 URPF 时,则源地址必须出现在路由表中。管理员可以使用 allow-default 选项来更改此行为,这将允许在源验证过程中使用默认路由器。此外,如果数据包所包含的源地址的返回路由目标指向 null0 接口,则该数据包将被抛弃。在 URPF 宽松模式下,您可以指定一个访问列表来允许或拒绝特定的源地址。 有关 URPF 的更多信息,请访问: 数字镜像签名数据镜像签名(Digital Image Signing)通过附加数字签名提供了一种验证软件镜像身份的途径。它使用 SHA-512 程式计算软件镜像的唯一 64 位散列值。然后,使用一个 RSA 2048 位私钥对该散列值进行加密,并将生成的数字签名附加到软件镜像。 在加载软件镜像的过程中,路由器使用公钥对嵌入在镜像中的散列进行解密,然后验证镜像的身份是否真实无误。如果发现镜像经过修改,则会弹出镜像,以保护设备。 有关数据镜像签名的更多信息,请访问: 思科 IOS 软件登录增强为了控制对网络设备的访问,思科 IOS 软件要求用户在登录到设备时输入用户名和密码。遗憾的是,黑客可以通过字典攻击来破解密码。在这种攻击中,黑客编写暴力破解工具来尝试用户名和密码的各种组合,从而获取对设备的访问权。 思科 IOS 软件登录增强(Cisco IOS Software Login Enhancements)为用户登录提供了一种全新的基于时间的维度。网络管理员可以使用此特性来指定重试的间隔时间,从而缓解字典攻击的威胁。用户必须在指定的时间内成功登录设备,否则其帐户将被锁定。 有关思科 IOS 软件登录增强的更多信息,请访问: 基于角色的 CLI 访问基于角色的 CLI 访问(Role-Based CLI Access)允许网络管理员定义“视图”(即一组操作命令和配置功能)来限制用户对思科 IOS 软件的访问。视图可以限制用户访问思科 IOS 软件 CLI 和配置信息,并且可以定义允许执行的命令以及配置信息的可见性。基于角色的 CLI 访问的应用包括网络管理员为特定功能提供安全个人访问。此外,服务提供商可以使用此特性为最终客户提供受限访问,以便于帮助客户诊断网络。 有关基于角色的 CLI 访问的更多信息,请访问: SSHv2安全壳 (SSH) 协议第 2 版提供了全新的、更加强大的认证和加密功能。通过加密连接处理各种类型的流量时,系统为您提供了更加丰富的选择,包括文件复制和电子邮件协议。网络安全也因为更加丰富的认证功能得到了增强,包括数字证书和更多双因素认证选项。 有关 SSH 的更多信息,请访问: SNMPv3SNMPv3 是一种基于交互标准的网络管理协议,它通过对网络上的数据包进行认证和加密提供对设备的安全访问SNMPv3 所提供的安全特性包括:
SNMPv3 同时提供了安全模型和安全水平。安全模型是为用户以及用户所在用户组建立的一种认证策略。安全水平是安全模型中准许的安全性水平。安全模型与安全水平相结合可以确定采用哪种安全机制来处理 SNMP 数据包。共有三种安全模型可用:SNMPv1、SNMPv2c 和 SNMPv3。 有关 SNMPv3 的更多信息,请访问: 结束语思科安全路由器提供了多种安全技术来为远程办公室、远程工作人员和移动用户提供保护。其中包括各种站点间和远程访问 VPN 技术,它们提供了隐私和数据完整性、边界安全性、入侵防御和零日保护功能、信任和身份保护功能以及一些基本的安全特性。仅就其本身而言,这些技术所带来的价值足以超过购买路由器所花费的成本。此外,思科安全路由器在部署和管理上便捷性可以将总体拥有成本控制在较低水平,从而使解决方案能够随时间不断积累价值。 |
ISR G2安全概述
