思科集成多业务路由器(ISR)

USB 闪存模块和USB eToken支持

Downloads

本文将简要介绍Cisco® 800、1800、2800和3800系列集成多业务路由器上的网络安全特性。

产品概述

目前,思科系统®公司正在用能够提供安全的数据、语音和视频服务的新型集成多业务路由器重新定义最佳路由功能。凭借思科20多年来的领先地位和创新传统,模块化的Cisco®1800系列、2800系列、3800系列和固定配置的Cisco® 800系列、1800系列集成多业务路由器不但能提供业界最全面的安全服务,还能智能地在平台中嵌入数据、安全、语音和无线技术,以可扩展的快速方式提供关键业务应用。Cisco 800、1800、2800和3800系列适用于小企业和大型企业的分支机构,提供了一种功能丰富的集成解决方案,便于连接远程办公机构、移动用户、合作伙伴外部网或电信运营商管理的客户端设备(CPE)。

思科的集成多业务路由器能够透明地与Cisco 7200系列、7301和7600系列高端安全路由器互操作。不仅如此,Cisco 7200系列和7301汇聚路由器还能与集成多业务路由器一样,使用相同的Cisco IOS® 软件创新、全面的高级安全特性,因而使客户能够建立真正有效的集成式智能网络。

通过将成熟的Cisco IOS 软件功能与业界领先的LAN/WAN连接与世界级网络安全特性相结合,集成化路由器安全解决方案能够为客户提供以下优势:

  • “充分利用已有设施” -- 充分利用现有网络基础设施,无需添置硬件,就能通过Cisco IOS 软件在路由器上实施新安全特性;
  • “将安全功能部署到最需要的地点” -- 灵活地将防火墙、入侵防御系统(IPS)和VPN等安全功能应用到网络的任意位置,以提高安全保护能力;
  • “保护网关” -- 可在网络的所有入口处部署最佳安全功能;
  • “节省资金和时间” -- 减少设备数量,从而降低了培训和管理成本;
  • “保护网络基础设施” -- 保护路由器,防御直接针对网络基础设施的攻击,例如分布式拒绝服务(DDoS)攻击。

思科自防御网络

Cisco 800、1800、2800、3800系列集成多业务路由器与Cisco 7200系列和7301头端路由器是思科自防御网络(SDN)的有机组成部分,SDN是一种可帮助机构识别、预防和应对网络安全威胁的战略。利用基于Cisco IOS软件的VPN、防火墙和IPS,以及可选的增强型VPN加速、入侵检测系统(IDS)和内部引擎网络模块(适用于Cisco 2800和3800系列),思科集成多业务路由器不但能为分支机构提供业界功能最强大的自适应安全解决方案,还能利用Cisco 7000平台在头端高端提供补充支持。

思科自防御网络构建的基础是集成化安全、协作式安全系统和自适应威胁防御,而网络基础保护则为它们提供了底层支持结构。

SDN集成化安全使每个网络元素都成为防御点,这其中包括路由器、交换机、设备和终端,从而为网络安全带来了革命性的改变。集成化安全使路由器成为了保护网络的关键设备,其核心因素包括:安全连接、威胁防御,以及信任和身份识别。

  • 安全连接 -- 提供便于扩展、可传输多种流量的安全网络连接。例如VPN、动态多点VPN(DMVPN)、多虚拟路径转发(VRF)和多协议标签交换(MPLS)安全环境、语音和视频型VPN(V3PN)以及高度安全语音等。
  • 威胁防御 -- 利用网络服务预防网络攻击和威胁并对其作出相应。包括Cisco IOS IPS和Cisco IOS防火墙。
  • 信任和身份识别 -- 使网络能够利用验证、授权和记帐(AAA),公共交换密钥(PKI)及802.1x等技术,智能地保护终端。

凭借SDN协作安全系统,安全成为了一个全网系统,包括终端、网络和策略。例如网络准入控制(NAC)等解决方案,其中多项服务和设备相互协作,通过主动管理而防御攻击。

SDN自适应威胁防御(ATD)可动态防御多个层次的威胁,更为紧密地控制网络流量、终端、用户和应用,从而进一步降低了安全风险。ATD将服务整合到少数几个设备上,从而简化了架构设计并降低了运营成本。这种创新方式在高性能解决方案中将安全、多层智能、应用保护,以及网络级控制和威胁抑制进行了出色的结合。ATD的主要组件包括Anti-X防御、应用安全,以及网络控制和抑制,实现了经过更出色协调的威胁防御。随着12,3(14)T软件版本的面世,思科将继续实施自防御网络安全战略的下一阶段,具体信息如下所述。

  • Anti-X防御-通过创新的、面向流量和内容的安全服务,防御和应对网络威胁。核心安全增强技术包括防火墙、入侵防御系统(IPS)和异常事件检测,它们可与应用检测服务,如网络防病毒、防间谍软件、防垃圾邮件、分布式拒绝服务(DDoS)防御和URL过滤等相结合。这为重要的网络安全实施点提供了精确的流量检测服务,因此可在恶意流量在网络中广泛传播前抑制它们。
    例如:通过高级应用检测和控制来保护Web服务器免遭损害-HTTP和电子邮件检测引擎可阻止用户在Web服务器上书写或放置内容。
  • 应用安全-通过应用级访问控制、应用检测,以及正确的应用使用策略、Web应用控制和交易保密性等的实施,提供了先进的业务应用保护。
    例如:通过内部入侵防御来抵御网络边缘处的蠕虫-特征定制和字符串引擎支持可在边缘抵御蠕虫的攻击(防间谍软件、防恶意件等)。
  • 网络控制和抑制-网络智能和安全技术的虚拟化提供了先进的审查和关联功能,可通过主动管理和防御功能,控制和保护IP语音(VoIP)等网络组件或服务。
    例如:通过VRF感知型防火墙在保持业务连续性的同时实现最高安全性-针对每个环境的防火墙策略使用户可按部门定制安全策略,而不会干扰工作流程。

网络基础保护(NFP)是思科自防御网络的一个不可缺少的常用组件,可保护网络基础设施免遭攻击和安全漏洞的影响,尤其在网络级,这一功能尤为明显。实例包括控制平面监管、基于网络的应用识别(NBAR)和AutoSecure等。

Cisco 800、1800、2800和3800集成多业务路由器的安全特性和优点

集成多业务路由器专为提供安全服务而设计,提供了硬件和软件安全特性的独特组合。为支持Cisco 800、1800、2800和3800系列路由器上的网络安全特性,Cisco IOS软件提供以下特性集:

  • 高级企业服务
  • 高级IP服务
  • 高级安全

表1列出了Cisco 800、1800、2800和3800系列集成多业务路由器的某些硬件安全特性。

表1 Cisco 800、1800、2800和3800系列集成多业务路由器的硬件安全特性
特性 Cisco 3800 Cisco 2800 Cisco 1800 Cisco 800
内部VPN加密加速 每种型号的标准配置。 每种型号的标准配置。 每种型号的标准配置。 每种型号的标准配置。
(IPSec DES、3DES和AES 128、192和256) 需Cisco IOS软件高级安全或更高特性集支持。 需Cisco IOS软件高级安全或更高特性集支持。 需Cisco IOS软件高级安全或更高特性集支持。 需Cisco IOS软件高级安全或更高特性集支持。
高级VPN加密加速 可通过增强模块提高性能和隧道扩展能力。 可通过增强模块提高性能和隧道扩展能力。 可在模块化的Cisco 1800上通过增强模块提高性能和隧道扩展能力。
利用IPPCP执行硬件辅助压缩 (产品编号: (产品编号: (产品编号:
Cisco 3825: AIM-VPN/EPII-PLUS AIM-VPN/EPII-PLUS) AIM-VPN/BPII-PLUS)
Cisco 3845: AIM-VPN/HPII-PLUS)
IDS网络模块* 可通过(产品编号NM-CIDS)增强性能 可通过(产品编号NM-CIDS*)增强性能
用于提高内容安全性的内容引擎网络模块 可利用思科内容引擎网络模块增强性能(产品编号CE-NM) 可利用思科内容引擎网络模块增强性能(产品编号CE-NM*)

表2提供了Cisco 800、1800、2800和3800系列的集成化安全特性和优点。补充型Cisco 7000头端路由器也提供其中许多特性。对于列出的大多数特性,本文中还包含连接到更多信息的超级链接。

表2 Cisco 800、1800、2800和3800系列路由器的主要集成化安全特性和优点
特性 优点
Cisco IPSec VPN
MPLS VPN支持 专为分支机构而优化的客户边缘(CE)功能,通过多VRF感知型防火墙和IPSec,将客户MPLS-VPN网络扩展到了CE。
DMVPN 提供了一种在分支机构间建立虚拟全网格IPSec隧道的灵活、可扩展方式。添加新分支时无需在中心进行任何配置。
Cisco Easy VPN Remote和Server支持 该特性可从单一终端主动将新的安全策略分发给远程地点,从而简化了点对点VPN的管理。
V3PN 通过VPN,经济有效地向任意地点提供集成的语音、视频和数据。
虚拟隧道接口(VTI) 简化了VPN配置和设计。
多VRF和MPLS安全环境 支持位于分支机构的多个独立环境(编址、路由和接口),以便隔离部门、分支或客户。所有环境可共享一条到核心的上行链路(例如IPSec VPN或帧中继/ATM),且仍能保持它们之间的安全隔离。
安全配置/数字证书 在安全网络基础设施中注册新远程地点设备的一种简单、强大的机制。
Cisco IOS防火墙和内部入侵防御(IPS)
Cisco IOS防火墙 一个理想的单设备安全和路由解决方案,可保护广域网入点。现在支持IPv6。
透明防火墙 无需更改地址,即可将现有网络部署划分为安全信任区!支持子接口和VLAN中继。同时支持透明防火墙和第三层防火墙。
高级应用检测和控制 使用检测引擎来确保符合协议,防止恶意或未授权行为,如端口80隧道或电子邮件连接误用。
VRF感知型防火墙 该防火墙已纳入单环境级服务列表,可用于执行VRF部署。
H.323
内部入侵防御(IPS) 一种内部深层分组检测解决方案,可与Cisco IOS软件共用,有效抵御网络攻击。IPS可以丢弃流量,发送警报,进行隔离,或者重新建立连接,使路由器立即对安全威胁作出响应,保护网络的安全。
透明IPS
URL过滤(设备外) 帮助Cisco IOS防火墙与Websense或N2H2 URL过滤软件交互,可根据公司安全策略防止用户访问某些网站。
网络基础保护(NFP)
控制平面监管 监管发往控制平面的流量速率,以降低DoS攻击的成功概率。即使遭受了攻击,也能保持网络可靠性。
AutoSecure 简化路由器的安全配置,降低配置错误风险。
NBAR Cisco IOS软件中的这种分类引擎可以识别各类应用。进行应用识别后,网络可以为该应用激活特定服务,并根据需要提供适当的控制级别。
CPU/内存阈值设定 通过保留CPU和内存,这个特性能够保证路由器在高负载下正常操作,例如遇到攻击时。
SSHv2
SNMPv3
基于角色的CLI访问 提供基于视图的CLI命令访问,安全执行NetOps、SecOps和最终用户之间高度安全的逻辑隔离。
网络控制和抑制
NAC 只允许符合预定访问和安全策略的信任设备接入网络,防止病毒和蠕虫传播。
其他安全特性
AAA 使管理员能够为每条线路(每个用户)或每种服务(例如IP、IPX或VPDN)动态配置验证和授权类型。
为集成交换提供标准802.1x支持 标准802.1x应用要求使用合法访问证书,以便使对于受保护信息资源的未授权访问和部署不安全的无线接入点变得更加困难。
Cisco IOS证书服务器和客户端 使路由器可作为网络上的证书授权设备。
管理
利用思科SDM执行安全管理 利用HTTPS和SSH,可以远程访问这个嵌入在Cisco IOS软件接入路由器中、易于使用的Web型直观管理工具。
企业安全管理 可以利用以下两个工具执行企业安全部署:
  • CiscoWorks VMS是一种适合大中型VPN部署的全面管理工具;它可以配置IPSec隧道和防火墙规则。
  • Cisco IP Solution Center(ISC)3.0是一种适合电信运营商使用的MPLS IPSec管理工具。
  • 联系我们