思科集成多业务路由器(ISR)

思科集成多业务路由器上的安全特性问答持

本文将回答有关Cisco® 800、1800、2800和3800系列集成多业务路由器的常见问题。

产品概述

一般问题

问:目前推出了哪些新的集成多业务路由器产品,它们部署在网络中的哪些地方?
答:目前,思科系统®公司正在用能够提供安全的数据、语音和视频服务的新型集成多业务路由器重新定义最佳路由功能。凭借思科20多年来的领先地位和创新传统,固定配置的Cisco 800、1800,和模块化的Cisco 1800、2800、3800集成多业务路由器不但能提供业界最全面的安全服务,还能智能地在单一永续系统中嵌入数据、安全和语音技术,以可扩展的快速方式提供关键业务应用。Cisco 800、1800、2800和3800系列适用于小企业和大型企业的分支机构,提供了一种功能丰富的集成解决方案,便于连接远程办公机构、移动用户、合作伙伴外部网或电信运营商管理的客户端设备(CPE)。

思科的集成多业务路由器能够透明地与Cisco 7000系列路由器在总部网络边缘互操作。不仅如此,Cisco 7200系列和7301汇聚路由器还能使用相同的Cisco IOS® 软件创新、全面的高级安全特性,因而使客户能够建立真正有效的集成式端到端智能信息网络。凭借用于企业数据中心的Cisco 7600系列路由器,客户可拥有一个具有高可扩展性、模块化的VPN和集成化安全解决方案。

思科集成多业务路由器是思科自防御网络的一个主要组件,使客户可实现路由和安全策略的同步,降低运营成本,并提高整个网络的安全性。利用基于Cisco IOS软件的VPN、防火墙和入侵防御系统(IPS),以及可选的增强VPN加速、入侵检测系统(IDS)和内容引擎网络模块(Cisco 2800和3800系列),思科为分支机构路由器提供了业界最为强大的自适应安全解决方案。

问:集成化路由器安全解决方案的优势是什么?
答:集成化路由器安全解决方案采用了PIX®技术和IDS传感器技术,将强大的Cisco IOS 软件功能与业界领先的LAN/WAN连接和世界级安全特性相结合。

通过将Cisco IOS软件安全集成到路由器中,能够为客户提供以下优势:

  • “充分利用已有设施” -- 充分利用现有网络基础设施,无需添置硬件,就能通过Cisco IOS 软件在路由器上实施新的安全特性;
  • “将安全功能部署到最需要的地点” -- 灵活地将防火墙、IPS和VPN等安全功能应用到网络的任意位置,以提高安全保护能力;
  • “保护网关” -- 可在网络的所有入口处部署最佳安全功能;
  • “节省资金和时间” -- 减少设备数量,从而降低了培训和管理成本;
  • “保护网络基础设施” -- 保护路由器,防御直接针对网络基础设施的攻击,例如分布式拒绝服务(DDoS)攻击。

问:Cisco 800、1800、2800和3800集成多业务路由器在安全功能方面有什么区别?
答:在Cisco 800、1800、2800和3800集成多业务路由器的设计中,基于硬件的加密是一个标准特性,从而在每个路由器中部署了安全特性。这种内部的基于硬件加密加速使CPU无需再执行VPN流程,在对路由器CPU影响最小的情况下提高了VPN吞吐率。如需更高VPN吞吐率或可扩展性,还可选择VPN加密高级集成模块(AIM)。这些路由器也能以与相应的Cisco IOS软件安全镜像相捆绑的形式提供,为客户提供丰富、集成的路由和安全软件包。补充型Cisco 7000高端解决方案也支持安全捆绑。如需完整的可用路由器安全捆绑列表,请访问http://www.cisco.com/go/routersecurity

思科自防御网络

问:集成多业务路由器还有哪些安全功能?
答:作为思科自防御网络的有机组成部分,Cisco 800、1800、2800和3800路由器支持范围广泛的安全特性,思科自防御网络是一种能够帮助各机构识别、预防和应对网络安全威胁的战略。

问:思科自防御网络战略有哪些关键组件?
答:思科自防御网络是建立在集成化安全、协作式安全系统和自适应威胁防御基础之上,以网络基础保护为底层的支持结构。

SDN集成化安全使每个网络元素都成为防御点,这其中包括路由器、交换机、设备和终端,从而为网络安全带来了革命性的改变。集成化安全使路由器成为了保护网络的关键设备,其核心因素包括:安全连接、威胁防御,以及信任和身份识别。

  • 安全连接 -- 提供便于扩展、可传输多种流量的安全网络连接。例如VPN、动态多点VPN(DMVPN)、多虚拟路径转发(VRF)和多协议标签交换(MPLS)安全环境、语音和视频型VPN(V3PN)以及高度安全语音等。
  • 威胁防御 -- 利用网络服务预防网络攻击和威胁并对其作出相应。包括Cisco IOS IPS和Cisco IOS防火墙。
  • 信任和身份识别 -- 利用验证、授权和记帐(AAA),公共交换密钥(PKI)及802.1x等技术,使网络能够智能地保护终端。

凭借SDN协作安全系统,安全成为了一个全网系统,包括终端、网络和策略。例如网络准入控制(NAC)等解决方案,其中多项服务和设备相互协作,通过主动管理而防御攻击。

SDN自适应威胁防御(ATD)可动态防御多个层次的威胁,更为紧密地控制网络流量、终端、用户和应用,从而进一步降低了安全风险。ATD将服务整合到少数几个设备上,从而简化了架构设计并降低了运营成本。这种创新方式在高性能解决方案中将安全、多层智能、应用保护,以及网络级控制和威胁抑制进行了出色的结合。ATD的主要组件包括Anti-X防御、应用安全,以及网络控制和抑制,实现了经过更出色协调的威胁防御

  • Anti-X防御 — 通过创新的流量和内容导向安全服务,防御和应对网络威胁。核心安全增强技术包括防火墙、入侵防御系统(IPS)和异常事件检测,它们可与应用检测服务,如网络防病毒、防间谍软件、防垃圾邮件、分布式拒绝服务(DDoS)防御和URL过滤等相结合。这为重要的网络安全实施点提供了精确的流量检测服务,因此可将非法流量在网络中广泛传播前抑制它们。
    例如:通过高级应用检测和控制来保护Web服务器免遭损害-HTTP和电子邮件检测引擎可阻止用户在Web服务器上书写或放置内容。
  • 应用安全-通过应用级访问控制、应用检测,以及正确的应用使用策略、Web应用控制和交易保密性等的实施,提供了先进的业务应用保护。
    例如:通过内部入侵防御来抵御网络边缘处的蠕虫-特征定制和字符串引擎支持可在边缘抵御蠕虫的攻击(防Spyware、防Malware等)。
  • 网络控制和抑制-网络智能和安全技术的虚拟化提供了先进的审查和关联功能,可通过主动管理和防御功能,控制和保护IP语音(VoIP)等网络组件或服务。
    例如:通过VRF感知型防火墙在保持业务连续性的同时实现最高安全性 — 针对每个上下关联的防火墙策略使用户可按部门定制安全策略,而不会干扰工作流程。

网络基础保护(NFP)是思科自防御网络的一个不可缺少的常用组件,可保护网络基础设施免遭攻击和安全漏洞的影响,尤其在网络级,这一功能尤为明显。实例包括控制平面监管、基于网络的应用识别(NBAR)和AutoSecure等。

问:作为思科自防御网络战略和自适应威胁防御的一部分,路由器最近有了哪些改进?
答:随着12.3(14)T Cisco IOS Firewall的面世,思科继续实施自防御网络安全战略的下一阶段,针对基于应用的潜在攻击和应用误用而提供高级应用检测和控制。Cisco IOS 12.3(14)T版本中的增强内部IPS功能提升了防御新威胁类别的能力,新威胁包括间谍软件、网络病毒和与IM应用相关的Malware,大大提高了防御蠕虫和病毒攻击的功能。对虚拟防火墙的支持降低了运营成本,而对虚拟隧道接口(VTI)的支持则简化了VPN的配置和管理。

问:这些安全功能是否也适用于高端路由器?
答:是。思科自防御网络不仅限于分支机构使用。它可通过Cisco 7000扩展到总部,提供端到端保护。

问:是否有安全特性支持Cisco 1700、2600和3700系列路由器,而不支持集成多业务路由器?
答:没有,集成多业务路由器构建在Cisco 1700、2600和3700特性集的基础之上,且通过硬件和软件进行了增强,提供更为强大的安全解决方案。

Cisco IPSec VPN

问:集成多业务路由器上支持哪些类型的VPN?
答:集成多业务路由器提供IPSec加密和隧道协议,如数字加密标准(DES)、三重DES(3DES)、高级加密标准(AES)、通用路由封装(GRE)、第二层转发(L2F)、L2TP、Cisco Easy VPN、V3PN、DMVPN、多VPN路由和转发(多VRF),以及多协议标签交换(MPLS)安全环境。

问:高端路由器是否具备这些特性?
答:尽管它们不使用板载技术,Cisco 7200系列、Cisco 7301和Cisco 7600系列路由器仍支持前面列出的所有VPN特性。

问:还有哪些特性提高了基于路由器的IPSec VPN的可扩展性和安全性?
答:集成的Cisco IOS证书授权服务器提供了一种在IPSec基础设施上在内部简单地实现数字证书安全性的方式。安全设备配置为部署远程站点的安全配置和数字证书提供了一种自动化程度较高的机制。

问:内部和VPN加密AIM有哪些主要特性?
答:Cisco 800、1800、2800和3800系列路由器采用了内部硬件加密加速,使主处理器无需再处理IPSec(AES,DES和3DES)加密和VPN流程,在尽量不影响路由器CPU的情况下提高了VPN的吞吐率。如果还需要提高VPN吞吐率或扩展能力,可以选择添加VPN加密AIM。利用这种方式,可以提高VPN的性能,且降低路由器CPU总体使用率。与以前的型号相比,可选AIM能够提高加密性能和扩展能力。内部VPN加速器和基于AIM的VPN加速器的主要特性包括:

  • 能够以数倍于全双工T3/E3的速度对IPSec加速;
  • 为所有模块(内部和AIM)提高硬件加速DES、3DES和AES(128、192和256)加密算法;
  • 加速器支持Rivest、Shamir、Aldeman(RSA)算法特征和Diffie-Hellman验证;
  • 加速器利用安全散列算法1(SHA-1)或消息摘要算法5(MD5)散列算法保证数据完整性;
  • 加速器添加了VPN加密模块,在硬件中支持第三层(IP负载压缩协议[IPPCP])压缩。

除通用IPSec外,集成多业务路由器还可结合使用IPSec和GRE,这是思科独家开发的解决方案,由于能够通过VPN传输动态路由协议,因而此隧道技术提供了高于纯IPSec解决方案的网络永续性。利用支持IPSec的GRE,思科集成多业务路由器不但支持AppleTalk和Novell互联网分组交换(IPX)等协议,还支持视频等组播和广播应用。

问:要使用内部和AIM VPN加密功能,需哪些特性集?
答:如需使用内部或AIM VPN加密功能,需以下Cisco IOS软件特性集:

  • 高级企业服务
  • 高级IP服务
  • 高级安全

问:在没有VPN加密AIM的情况下,集成多业务路由器是否支持IPSec加密?
答:支持,集成多业务路由器具有内部VPN加速。通过VPN加密AIM,可获得更高性能和扩展性。

问:集成多业务路由器可使用哪些加密AIM?
答:表1列出了模块化Cisco 1800、2800和3800系列平台上支持的AIM。

联系我们