思科集成多业务路由器(ISR)

Cisco 1800、2800和3800集成多业务路由器的安全特性

问:思科新近推出了哪些全新集成多业务路由器产品?它们为网络安全提供了哪些特性?

答:思科系统公司推出了一个全新的集成多业务路由器系列,它进行了专门的优化,可安全地提供数据、话音和视频的同步服务,重新定义了最佳路由。模块化Cisco® 1800、2800和 3800集成多业务路由器建立在思科20年的领先地位及创新技术的基础之上,配备业界最全面的安全服务,将数据、安全和话音智能地集成入单一永续系统,从而实现了关键任务商业应用的快速、可扩展提供。Cisco 1800、2800和3800适用于小型企业和大型企业分支机构,为连接远程机构、移动用户和合作伙伴外部网或服务供应商可管理客户端设备(CPE)提供了丰富的集成解决方案。

作为思科自防御网络的关键部件,思科集成多业务路由器使客户实现了路由和安全策略的同步,并降低了运营成本,提高了整个网络的安全水平。凭借基于Cisco IOS® 软件的VPN、防火墙和IPS,以及可选增强VPN加速、入侵检测系统(IDS)和内容引擎网络模块 (Cisco 2800 和3800系列),思科为分支机构路由器提供了业界最强大的可适应安全解决方案。

问:集成化安全有什么优势?

答:集成化安全解决方案采用了PIX、IDS传感器和VPN集中器技术,将强大的Cisco IOS功能和业界领先的LAN/WAN连接与世界一流的安全功能汇集于一身。

将Cisco IOS集成入该路由器系列:

  • “利用现有设施” -- 利用现有网络基础设施,在路由器上通过Cisco IOS支持全新安全特性,无需部署额外的硬件
  • “在最需要的地方部署安全特性” -- 为在网络任意地点采用防火墙、IPS和VPN等安全功能提供了灵活性, 从而最大限度地发挥了安全优势
  • “保护您的网关” -- 在网络所有的入点部署最佳安全功能
  • “节省时间和资金” -- 减少了设备数量,降低了培训和管理成本
  • “保护您的基础设施” -- 保护了路由器,可以防御直接针对网络基础设施的攻击,如DDoS

问:1800、2800和3800集成多业务路由器在安全方面存在什么差别?

答:Cisco 1800、2800和3800集成多业务路由器使基于硬件的加密功能成为一个标准特性,从而在每台路由器中实施了安全功能。这种内置的基于硬件的加密加速功能卸载了VPN的流程,以对路由器CPU尽可能小的影响,提供了更大的VPN吞吐量。如果需要额外的VPN吞吐量或可扩展性,可使用可选VPN加密高级集成模块(AIM)。这些路由器还与相应的Cisco IOS软件安全镜像捆绑销售,堪称是特性丰富的路由和安全集成产品包。

问:集成多业务路由器还有什么其他安全功能?

答:Cisco 1800、2800和3800路由器支持作为思科自防御网络一部分的内容广泛的安全特性,这种安全策略可以帮助公司识别、防止和适应安全威胁。思科自防御网络拥有四类可用于该路由器的保护措施:

  • 安全连接 -- 提供了安全、可扩展的网络连接,容纳了多种流量类型,如VPN、 动态多点 VPN (DMVPN)、 多VRF和MPLS 安全环境、 话音和视频VPN (V3PN), 以及安全话音。
  • 威胁防御 -- 利用网络服务可以预防和响应网络攻击和威胁,网络服务包括网络入侵防御系统(IPS)和Cisco IOS Firewall 。
  • 信任和身份识别 -- 使网络可利用网络准入控制(NAC)、身份识别服务和AAA等技术智能地保护端点。
  • 网络基础设施保护 -- 保护网络基础设施免受攻击和漏洞的影响,尤其是网络级别。这些特性包括控制平面监管、基于网络的应用识别(NBAR) 和AutoSecure。

问:是否有Cisco 1700、2600和3700系列路由器支持、而集成多业务路由器不支持的安全特性?

答:没有,这些集成多业务路由器是在1700、2600和3700特性集的基础上建立的,通过硬件和服务增强功能,提供了更强大的安全解决方案。

问:此次是否发布了平台安全捆绑产品?

答:是,表1列举了可用的安全捆绑产品。

表1 安全捆绑产品
产品名称 产品编号
Cisco 1841 安全捆绑,
带 Advanced Security Cisco IOS 软件
CISCO1841-SEC/K9
Cisco 2801 V3PN捆绑,带AIM-VPN EPII-PLUS,PVDM2-8,
Advanced IP Cisco IOS 软件,64M闪存,256DRAM
CISCO2801-SEC/K9
Cisco 2811 V3PN捆绑,带AIM-VPN EPII-PLUS,PVDM2-16,
Advanced IP Cisco IOS 软件,FL-CCME-36,64M闪存,256DRAM
CISCO2811-SEC/K9
Cisco 2821 V3PN捆绑,带AIM-VPN EPII-PLUS,PVDM2-32,
Advanced IP Cisco IOS软件,FL-CCME-48,64M闪存,256DRAM
CISCO2821-SEC/K9
Cisco 2851 V3PN捆绑,带AIM-VPN EPII-PLUS,PVDM2-48,
Advanced IP Cisco IOS 软件,FL-CCME-72,64M闪存,256DRAM
CISCO2851-SEC/K9
Cisco 3825 V3PN捆绑,带AIM-VPN EPII-PLUS,PVDM2-64,
FL-CCME-168,Advanced IP Cisco IOS 软件,64M闪存,256DRAM
CISCO3825-SEC/K9
Cisco 3845 V3PN捆绑,带AIM-VPN EPII-PLUS,PVDM2-64,
FL-CCME-240,Advanced IP Cisco IOS 软件,64M闪存,256DRAM
CISCO3845-SEC/K9
Cisco 1841 增强安全捆绑,带 AIM-VPN BPII-PLUS,
Advanced IP Cisco IOS 软件
CISCO1841-HSEC/K9
Cisco 2801增强安全捆绑,带 AIM-VPN BPII-PLUS,
Advanced IP Cisco IOS 软件
CISCO2801-HSEC/K9
Cisco 2811增强安全捆绑,带 AIM-VPN BPII-PLUS,
Advanced IP Cisco IOS 软件
CISCO2811-HSEC/K9
Cisco 2821增强安全捆绑,带 AIM-VPN BPII-PLUS,
Advanced IP Cisco IOS 软件
CISCO2821-HSEC/K9
Cisco 2851增强安全捆绑,带 AIM-VPN BPII-PLUS,
Advanced IP Cisco IOS 软件
CISCO2851-HSEC/K9
Cisco 3825增强安全捆绑,带 AIM-VPN BPII-PLUS,
Advanced IP Cisco IOS 软件
CISCO3825-HSEC/K9
Cisco 3845增强安全捆绑,带 AIM-VPN BPII-PLUS,
Advanced IP Cisco IOS 软件
CISCO3845-HSEC/K9
Cisco 2801 增强话音安全捆绑,带 AIM-VPN EPII-PLUS, PVDM2-8,
Advanced IP Cisco IOS 软件, 64M 闪存, 256DRAM
CISCO2801-V3PN/K9
Cisco 2811增强话音安全捆绑,带AIM-VPN EPII-PLUS, PVDM2-16,
Advanced IP Cisco IOS 软件, 64M 闪存, 256DRAM
CISCO2811-V3PN/K9
Cisco 2821增强话音安全捆绑,带AIM-VPN EPII-PLUS, PVDM2-32,
Advanced IP Cisco IOS软件, 64M 闪存, 256DRAM
CISCO2821-V3PN/K9
Cisco 2851增强话音安全捆绑,带AIM-VPN EPII-PLUS, PVDM2-48,
Advanced IP Cisco IOS软件, 64M 闪存, 256DRAM
CISCO2851-V3PN/K9
Cisco 3825 增强话音安全捆绑,带AIM-VPN HPII-PLUS, PVDM2-64,
SRST-168, Advanced IP Cisco IOS软件, 64M 闪存, 256DRAM
CISCO3825-V3PN/K9
Cisco 3845增强话音安全捆绑,带AIM-VPN HPII-PLUS, PVDM2-64,
SRST-240, Advanced IP Cisco IOS软件, 64M 闪存, 256DRAM
CISCO3845-V3PN/K9
Cisco 2801增强话音安全捆绑,带AIM-VPN EPII-PLUS, PVDM2-8,
Advanced IP Cisco IOS软件, 64M 闪存, 256DRAM
CISCO2801-V3PN/K9

问:哪种系统管理工具可用于集成多业务路由器的配置和监控?

答:可使用CiscoWorks VPN/安全管理解决方案(VMS)管理捆绑来管理防火墙和VPN特性。欲了解CiscoWorks VMS的具体信息,请访问:http://www.cisco.com/go/vms

问:哪些设备管理工具是作为集成多业务路由器的标准特性提供的?

答:Cisco 1800、2800和3800都带有厂商安装的思科路由和安全设备管理软件(SDM)。Cisco SDM是一种直观的、基于Web的设备管理软件(GUI),用于思科路由器的部署和管理(见图1)。通过用于快速部署和路由器锁定的启动向导、有助于实施安全和路由功能的智能向导、思科技术支持中心 (TAC)批准的路由器配置,以及项目相关教育内容,Cisco SDM实现了路由器的简便配置和监控。

图1 Cisco SDM 2.0

Cisco SDM 2.0

Cisco SDM 2.0将路由和安全服务管理,与易用性、智能向导和深度排障功能相结合,为将服务集成到路由器上提供了支持工具。目前,客户可以将路由和安全策略在整个网络内同步化,获得其联网状态的更全面视图,并降低其运营成本。

Cisco SDM 2.0的全新关键特性包括:

  • 馈线IPS,带动态特征更新和特征定制
  • 基于角色的路由器接入支持
  • Easy VPN服务器和AAA
  • 用于IPSec VPN的数字证书
  • VPN和WAN连接排障
  • QoS策略配置和基于NBAR的应用流量监控
    欲了解有关Cisco SDM的具体信息,请访问:http://www.cisco.com/go/sdm.

安全连接

问:集成多业务路由器支持哪些类型的VPN?

答:集成多业务路由器提供了IP安全(IPSec)加密和隧道协议,如数字加密标准(DES)、三重 DES(3DES)、高级加密标准(AES)、通用路由封装(GRE)、第二层转发(L2F)、第二层隧道协议(L2TP)、话音和视频型VPN(N3PN)、动态多点VPN(DMVPN),以及多VRF和MPLS安全环境。

问:内置和VPN加密AIM的关键特性有哪些?

答:Cisco 1800、2800和3800路由器包括基于硬件的内置加密加速功能,可以卸载IPSec(AES、3DES和DES)加密以及VPN流程,以对路由器CPU尽可能小的影响,提供更高VPN吞吐量。如果需要额外的VPN吞吐量或可扩展性,可使用可选VPN加密高级集成模块 (AIM)。由此,VPN性能得以提高-比以前的型号快四倍,且总体路由器CPU使用率降低。可选AIM的加密性能是以前型号的10倍,且提供了出色隧道可扩展性。内置和基于AIM的两类VPN加速器的关键特性包括:

  • IPSec以适合多个全双工T3/E3的速度加速
  • 适用于所有模块(内置和AIM)硬件加速的DES、3DES和AES (128、192和256) 加密算法
  • 加速器支持用于验证的Rivest、Shamir、Aldeman (RSA) 算法特征和Diffie-Hellman
  • 加速器将安全散列算法 1 (SHA-1) 或消息摘要算法5 (MD5) 散列算法用于数据完整性保护
  • 由于新增了VPN加密模块,加速器可以支持硬件中的第三层 (IPPCP) 压缩

除了通用IPSec以外,集成多业务路由器还可以采用IPSec+GRE。IPSec+GRE是一种独特的思科解决方案,加速了动态路由协议在VPN上的发送,因而与单一IPSec解决方案相比,提供了更高的网络永续性。除了提供故障恢复机制以外,GRE隧道还提供了加密组播和广播分组以及非IP协议的能力。通过将GRE与IPSec相结合,思科集成多业务路由器可以支持AppleTalk和Novell 网络分组交换 (IPX),以及组播和广播应用,如视频。

问:使用内置和AIM VPN加密功能需要哪些特性集?

答:如使用内置或AIM VPN加密功能,需要下列Cisco IOS软件特性集:

  • Advanced Enterprise Service
  • Advanced IP Services
  • Advanced Security

问:如没有VPN加密AIM,集成多业务路由器还能支持IPSec加密吗?

答:可以,集成多业务路由器拥有内置VPN加速功能。利用VPN加密AIM可以实现额外的性能和可扩展性。

问:集成多业务路由器拥有哪些加密AIM?

答:表2中列举了Cisco 1800、2800和3800系列平台支持的AIM。

表2 Cisco 1800、2800和3800系列支持的AIM
平台 所支持的加密模块
Cisco 1800 AIM-VPN/BPII-PLUS
Cisco 2800 AIM-VPN/EPII-PLUS
Cisco 3825 AIM-VPN/EPII-PLUS
Cisco 3845 AIM-VPN/HPII-PLUS

问:集成多业务路由器不可用的加密AIM有哪些?

答:表3中列举了集成多业务路由器不支持的加密AIM。

表3 不支持的加密AIM
Cisco 1700 VPN 模块
AIM-VPN/BP
AIM-VPN/EP
AIM-VPN/HP
AIM-VPN/BPII
AIM-VPN/EPII
AIM-VPN/HPII

问:应该何时采用VPN加密AIM,而非仅仅使用内置加密?

答:VPN加密AIM是一种适用于DMVPN等汇聚类应用的理想的解决方案,这类应用通常需要大量远程VPN隧道。另外,如果您网络中的VPN性能要求提高,VPN加密AIM提供了更多的发展空间,从而为您的投资提供了未来保障。

问:内置加密提供的性能如何?

答:

表4 内置VPN加密性能
  IMIX 1400字节 (最大值)
Cisco 1841 12 Mbps  
Cisco 2801 14 Mbps 50Mbps
Cisco 2811 20 Mbps 55Mbps
Cisco 2821 36 Mbps 56Mbps
Cisco 2851 53 Mbps 66Mbps
Cisco 3825 80 Mbps 200 Mbps
Cisco 3845 100 Mbps 200 Mbps

问:VPN加密AIM提供的性能如何?

答:表5对各个集成多业务路由器的性能进行了介绍。

表5 AIM VPN加密性能
  IMIX 1400字节 (最大值)
Cisco 1841 25 Mbps  
Cisco 2801 30 Mbps 100 Mbps
Cisco 2811 35 Mbps 130 Mbps
Cisco 2821 70 Mbps 140 Mbps
Cisco 2851 100 Mbps 145 Mbps
Cisco 3825 140Mbps 200 Mbps
Cisco 3845 150Mbps 200 Mbps

问:集成多业务路由器可以支持多少条隧道?

答:表6对各个集成多业务路由器支持的最大隧道数量进行了介绍。

表6 最高隧道性能
平台 内置加密 VPN 加密AIM
Cisco 1800 150 800
Cisco 2811 200 1500
Cisco 2821 250 1500
Cisco 2851 300 1500
Cisco 3825 500 2000
Cisco 3845 700 2500

问:内置加密功能可否与VPN加密AIM共用?

答:不可以,VPN加密AIM安装后,内置加密功能将不再运行。所有IPSec功能都通过VPN加密AIM处理。

问:内置加密和VPN加密AIM可以与其他思科解决方案互操作吗?

答:可以,因为内置加密和VPN加密AIM使用Cisco IOS软件,它们可以与所有基于软件的Cisco IOS软件支持的平台互操作。另外,它们可以与思科防火墙设备、Cisco IDS传感器和Cisco VPN集中器互操作。

问:VPN加密AIM如何安装?

答:VPN加密AIM可安装于集成多业务路由器中的一个AIM扩展插槽中,它们可以与路由器一同订购,也可以现场升级。

问:在一台集成安全路由器中可否安装两个VPN加密AIM?

答:否,集成多业务路由器只支持一个VPN加密AIM。

问:不开机箱能否识别是否安装了VPN加密AIM?

答:可以,show version命令将显示VPN加密AIM是否安装。 show crypto engine configuration brief命令还将显示集成多业务路由器安装的VPN模块的类型。

问:是否宣布了终止销售任何现有安全模块?

答:没有,这次并未宣布安全模块的终止销售时间。

问:集成多业务路由器能否用内置加密执行第三层(IPPCP)压缩?

答:不能,只有VPN加密AIM支持第三层(IPPCP)硬件压缩;内置加密不支持。

问:集成多业务路由器是否支持“人工IPSec”?

答:不支持,内置加密或VPN加密AIM都不支持“人工IPSec”。

问:集成多业务路由器是否可以与Cisco VPN Client共用?

答:可以,Cisco VPN Client可以与内置加密和VPN加密AIM共用。

问:集成多业务路由器是否能在Cisco Easy VPN Remote客户端-服务器模式下运行?

答:Easy VPN服务器是指支持Cisco Unity话音信息处理工作组的任何头端模式,尤其是VPN服务器。Easy VPN客户端一词是指从Easy VPN服务器接收IPSec配置的任何客户端设备(CPE)。集成多业务路由器可以用作Easy VPN远程客户端和Easy VPN服务器。

问:如想保护话音流量,应考虑哪些因素?

答:保护话音流量的考虑因素如下:

  • 为话音开发一种安全策略。
  • 保护数据网络。话音是一个在数据网络上运行的应用。
  • 分层构建安全性能,以使任一系统或特性遭受的影响不致影响整个网络。
  • 部署多项安全机制以防御不断变化的威胁。

问:集成多业务路由器是否支持IPSec和IP话音(VoIP)?

答:支持,配备内置加密和VPN加密AIM的集成多业务路由器可以支持Cisco V3PN IPSec解决方案。前面提及的V3PN捆绑还包括DSP、分组话音/数据模块(PVDM)和远程电话应急呼叫(SRST)或Cisco CallManager Express(CCME)许可证。

问:应为安全话音采用哪种协议?

答:SRTP是用于验证和加密介质(IETF RFC3711)的标准传输。该协议拥有下列话音优势:

  • 与IPSec相比,话音分组采用了较少的带宽。
  • 只有负载被加密,不包括报头。QoS不受影响。
  • CRTP得到SRTP的支持。
  • 将HMAC-SHA-1用于验证,AES-128-CM用于加密。
  • CCM中获得的话音加密密钥通过加密的信令路径发送至TLS上的电话和IPSec上的网关。
  • SRTP随CCM 4.1和Cisco IOS 12.3(11)T提供。

威胁防御

威胁防御

问:IPS是什么?集成多业务路由器是否支持它?

答:Cisco IOS IPS是一种内嵌的、基于深度分组检测的解决方案,有助于Cisco IOS软件有效地缓解网络攻击。可用于入侵防御和事件通知的Cisco IOS IPS利用了Cisco 4200 IDS传感器的软件和特征。由于Cisco IOS IPS是一种嵌入产品, 它可以丢弃流量、发送警报或重设连接,使路由器能够迅速对安全威胁作出响应并保护网络。

伴随着Cisco 1800、2800和3800路由器的问世,还推出了若干新型功能:

  • 以与Cisco IDS传感器相同的方式加载和实施所选IDS特征的能力
  • 支持的特征数量提高至Cisco IDS传感器平台所支持的700个特征
  • 用户可以修改现有特征或创建一个新特征,以解决新发现的威胁(每个特征可以设置,以发送报警、丢弃分组或重设连接)

另一功能允许希望获得最高入侵保护功能的用户选择一种简便的方式使用包含“可能性最大的”蠕虫和攻击特征的特征文件。 符合这些高信任度蠕虫和攻击特征的流量会按配置予以丢弃。Cisco SDM 为配置这些特征提供了直观的用户界面,可从Cisco.com动态上载新特征,且无需改变软件镜像,此外,它还能针对这些特征对路由器进行相应的配置。

问:支持IPS的特性集有哪些?

答:下列Cisco IOS软件特性集支持IPS:

  • Advanced Enterprise Service
  • Advanced IP Services
  • Advanced Security

欲了解有关选择相应特性集的具体信息,请访问: http://www.cisco.com/en/US/products/sw/iosswrel/ps5460/prod_bulletin09186a00801af451.html

问:IPS和IDS有什么差别?

答:入侵防御系统(IPS)和入侵检测系统(IDS)都属于流量分析特性,旨在寻找已知威胁的特征模式。这两种安全特性的主要差别在于,当检测到可疑的模式时,IDS会监控流量并发送报警,而IPS则丢弃流量,发送报警,或重设连接,使路由器能够迅速对安全威胁做出响应并保护网络。值得注意的是,Cisco IOS中的IDS/IPS功能始终是内嵌的,能直接丢弃问题流量。在Cisco IOS版本12.3(8)T(2004年6月)中,该解决方案已被称为IPS,对解决方案的特性进行了重大改进。

问:Cisco IOS IPS和NM-CIDS网络模块有什么差别?

答:IDS网络模块(NM-CIDS)是网络模块中的一个Cisco IDS 4200系列传感器,这种网络模块运行与4200传感器相同的软件,并可以与Cisco IDS解决方案共用。Cisco IOS IPS和NM-CIDS的主要差别在于:

  • NM-CIDS是基于IDS,而非IPS,因此,不会丢弃流量(参见前面对IDS和IPS间差别的解释)。
  • NM-CIDS目前支持的特征数量较多,在1000个以上,而Cisco IOS IPS支持的为700多个。
  • NM-CIDS从主路由器CPE卸载IDS流程;Cisco IOS IPS则在路由器的CPU上运行。
  • NM-CIDS需要网络模块插槽,因此,只能在Cisco 2811、2821、2851、3825和3845平台上获得支持。从800到7200系列的所有路由器上都支持Cisco IOS IPS。

问:何时应在分支机构使用Cisco IOS IPS?

答:中心辐射型拓扑结构通常用于包括分支机构在内的网络,此时流量汇聚入较大的公司机构(中心)。虽然中心是防火和检测攻击流量的一个公共地点,但却不是部署安全特性所考虑的唯一地点,分支机构也是网络中的一个重要地点,可以实施防火墙和IPS,以便在尽可能接近网络中攻击的地方消除攻击的威胁。

通过实施IPSec VPN、GRE、Cisco IOS Firewall和Cisco IOS IPS,思科路由器可以在网络的流量第一进入点执行解密、隧道端接、防火墙和流量检测功能,这在业界尚属首次。因而,减少了支持系统所需的额外设备,降低了运营和资本支出,提高了安全性。

了一次从中型分支机构发起,目标直指总部的攻击

上图介绍了一次从中型分支机构发起,目标直指总部的攻击。在典型的网络中,总部的IDS传感器将发现攻击并做出响应。这种事件有可能反复发生,从而导致:

  • 中型分支机构和总部间链路的带宽浪费
  • CPU资源浪费在处理这种流量上
  • 在VPN环境中,也浪费了VPN资源

但是,如果分支机构路由器提供了集成Cisco IOS IPS,它将能监控所有进出分支机构的流量,根据需要丢弃流量、发送警报,或重设连接,使路由器能够迅速响应安全威胁,以保护网络。由于它是一个集成解决方案,这种部署不需要一台独立设备,因而降低了网络复杂性,减轻了管理压力。最后结果是,Cisco IOS IPS将有助于在受攻击地点阻断攻击流量,并尽可能快地从网络中清除不需要的流量!

问:Cisco IOS IPS有哪些特征?

答:在2004年6月的12.3(8)T版本中,Cisco IOS IPS增添了无需Cisco IOS镜像升级(SDM和VMS管理支持将分别于2004年10月和11月面世),就可下载IPS特征的能力。该版本还推出了分别更新和支持特征的第一阶段Cisco IOS IPS支持功能。在该阶段,支持10个IPS协议引擎:

  • 第三层IP协议,TCP,UDP,IP OPTIONS,ICMP,HTTP,DNS,SMTP,FTP和RPC。
  • 这些引擎中的特征可以加载到IPS路由器上(目前有700多个特征)。

该计划的第二个阶段将再添加3个协议引擎:String TCP、String UDP和String ICMP。该阶段计划将于2005年第一季度问世。未来将增加提供Trend Micro特征支持的引擎。

问:何时将支持更多特征?

答:特征将陆续添加到现有引擎中,更新通常隔周或随着新型攻击的发现及时提供给CCO。另外,我们还将于2005年第一季度再添加3个引擎:String TCP、String UDP和String ICMP。

问:Cisco IOS IPS是否支持Trend Micro病毒特征库?

答:支持,将添加一个新型引擎以支持Trend Micro病毒特征库,计划于2005年第一季度面世。

问:Cisco IOS IPS可防御哪种类型的攻击?

答:Cisco IOS IPS是一种内嵌、基于特征的解决方案,非常类似Cisco IDS4200系列传感器。它将检测/防御有着匹配特征的任何活动。零日和新型攻击/蠕虫如果妨碍了已知的攻击都会被检测出来(这种情况很常见)。

问:可用哪些工具管理Cisco IOS IPS?

答:Cisco IOS IPS有3种管理方式:

  • 思科路由和安全设备管理软件(SDM)支持Cisco IOS IPS蠕虫丢弃功能和预配置特征设备文件(SDF),这是2004年6月推出的SDM 1.2的功能。Cisco IOS IPS全面支持,包括可定制特征更新,将包含在SDM 2.0中,计划于2004年10月问世。
  • CiscoWorks VMS IDS管理中心(IDS-MC)将在IDS_MC 2.3版本中支持Cisco IOS IPS,该版本大约2004年11月发行。IDS-MC管理Cisco IOS IPS的方式与管理Cisco IDS 4200系列传感器相同。
  • 还有一个用于IPS的Cisco IOS CLI有限特性集,包括:
    • 启用/禁用特征
    • 在接口内外应用的IPS
    • 访问列表,用于选择需要检查预特征的流量
    • 报警目的地和类型
    • 受保护网络的选择
    • 利用拷贝命令加载SDF文件
    • 配置策略命名

各个特征参数的配置存储在SDF文件中,可以人工或经第三方管理工具更新。然后,SDF文件被传送到路由器闪存或直接复制到路由器RAM。

问:特征如何更新?

答:IPS特征更新和其他所有Cisco IPS/IDS特征都会发布在CCO上:
http://www.cisco.com/kobayashi/sw-center/ciscosecure/ids/crypto/attack-drop.sdf文件可从http://www.cisco.com/cgi-bin/tablebuild.pl/ios-sigup下载

问:集成多业务路由器可以用作防火墙吗?

答:可以,所有Cisco 1800、2800和3800系列路由器在购置了Cisco IOS Advanced Security或更高特性集后,都可以支持Cisco IOS Firewall。Cisco IOS Firewall的关键特性包括:

  • 有安全保障的状态化防火墙
  • 适用于话音、视频和其他应用的高级协议监视功能
  • 针对每个用户、接口或子接口的安全策略
  • 紧密集成的身份识别服务,可提供逐个用户的验证和授权功能

Cisco IOS Firewall不仅有助于实现网络周边单点保护,它还可以使安全策略实施成为网络自身的一个固有组成部分。专项和集成策略实施的灵活性和经济有效性有助于为外部网和内部网周边,以及分支机构或远程机构的互联网连接提供安全解决方案。经由Cisco IOS软件集成入网络的Cisco IOS Firewall还使客户可在同一路由器中使用高级服务质量(QoS)特性。

问:何时使用Cisco IOS Firewall?

答:Cisco IOS Firewall可用于:

  • 保护互联网链路(大多数商务需求属于这一类,例如隧道拆分)
  • 保护分支免遭中心的影响
  • 保护中心免遭分支的影响(尤其当分支,如无线接入点内存在潜在的威胁时)
  • LAN到LAN保护
  • 双向防火墙/IPS(例如,中心和分支同时相互保护)

问:为什么要在分支机构使用Cisco IOS Firewall?

答:中心辐射型拓扑结构通常用于包括分支机构在内的网络,此时流量汇聚入较大的公司机构(中心)。虽然中心是防火和检测攻击流量的一个公共地点,但却不是部署安全特性所考虑的唯一地点,分支机构也是网络中的一个重要地点,可以实施防火墙和IPS,以便在尽可能接近网络中攻击的地方消除攻击的威胁。通过实施IPSec VPN、GRE、Cisco IOS Firewall和Cisco IOS IPS,思科路由器可以在网络的流量第一进入点执行解密、隧道端接、防火墙和流量检测功能,这在业界尚属首次。因而,减少了支持系统所需的额外设备,降低了运营和资本支出,提高了安全性。由于它是一个集成解决方案,这种部署不需要一台独立设备,因而降低了网络复杂性,减轻了管理压力。最后结果是,Cisco IOS IPS将有助于在受攻击地点阻断攻击流量,并尽可能快地从网络中清除不需要的流量!

问:何时使用Cisco IOS Firewall,何时使用Cisco PIX Firewall?

答:在大多数情况下,选择Cisco IOS Firewall还是Cisco PIX Firewall,视客户的偏好而定。部署防火墙的客户可以在思科最先进的专用PIX安全设施或思科将PIX Firewall技术与20年路由经验相结合的集成IOS Firewall中进行选择。下表有助于您选择使用哪种产品:

表7 选择PIX、Cisco IOS Firewall或FWSM
环境 PIX安全设施 Cisco IOS Firewall
(Advanced Security特性集)
6500/7600 FWSM
高性能最佳环境  
地点间VPN,FW用作支持特性    
企业头端和数据中心专用设备    
利用现有基础设施(投资保护)  
公司策略是拥有独立专用安全设备    
公司策略是将安全集成入网络  
竞争 -- 仅有FW  
集成入现有头端/数据中心设备    
与网络服务紧密集成
(全面集成接入+安全服务)
   
状态化故障恢复  

问:我们何时支持应用防火墙/深度分组检测?

答:应用防火墙计划2005年初在12.3(pi6)T中支持。

问:思科集成多业务路由器是否支持透明防火墙?有哪些优势?

答:除了第三层状态化防火墙外,Cisco 1800、2800和3800也可以支持透明防火墙,后者可为第二层连接提供第三层防火墙功能。透明防火墙的优势如下:

  • 便于将防火墙添加到现有网络 -- 无需IP子网重编号
  • 支持子接口和VLAN中继
  • 生成树协议支持-正确处理每802.1d的桥接协议数据单元(BPDU)分组,不是简单地“传输或丢弃”
  • 支持同一路由器上的第二层和第三层混合防火墙功能
  • 接口无需IP地址
  • 支持所有标准管理工具
  • 支持动态主机配置协议(DHCP)直通,以便在反向接口(双向)上分配DHCP地址

图5为一个透明防火墙应用。

图5将现有网络部署划分为安全信任区,无需更换地址,Cisco IOS Firewall提供了透明第二层划分功能

将现有网络部署划分为安全信任区,无需更换地址,Cisco IOS Firewall提供了透明第二层划分功能

问:它是状态化防火墙吗?

答:是,Cisco IOS Firewall是状态化防火墙。

问:思科集成安全解决方案有哪些证书?

答:思科致力于不断获得FIPS,ICSA和Common Criteria证书,并将其作为我们集成安全策略的一个关键组成部分。

问:集成Cisco IOS Firewall有哪些优势?

答:和其他集成安全解决方案共用,Cisco IOS Firewall:

  • 利用现有网络基础设施,通过Cisco IOS为路由器上的全新安全特性提供了支持,无需部署额外的硬件
  • 为在网络中任意地点应用防火墙功能提供了灵活性,从而极大地发挥了安全功能的优势
  • 保护路由器,防范直接针对网络基础设施的攻击,如DDoS攻击
  • 允许先进的安全功能部署在网络所有入点
  • 减少了设备数量,降低了培训和管理成本
  • 简化了网络部署(即客户无需“围绕”非EIGRP设备设计)
  • 利用PIX技术,将强大的IOS功能和业界领先的LAN/WAN连接与世界一流的状态化FW功能相结合

问:有哪些工具可用于管理Cisco IOS Firewall?

答:CiscoWorks VMS、路由器和安全设备管理器(SDM)可用于管理Cisco IOS Firewall。SDM为部署提供了使用方便的向导,以及图形浏览功能,以检查所用的防火墙策略对流量的影响。

问:集成多业务路由器上的交换接口是否可使用透明Cisco IOS Firewall?

答:可以,通过创建VLAN接口,然后将防火墙应用于这些接口即可。

问:集成多业务路由器是否支持URL过滤?

答:由于工作场所不恰当的资料会造成责任加大或用于提高生产力的工具使用公司资源,URL过滤在公司中发挥着越来越重要的作用,可作为在使用公司资产的同时提高生产率的工具。URL过滤为集成多业务路由器提供了两种模式 -- 在Cisco IOS Firewall内,或通过内容引擎网络模块。

Cisco IOS Firewall作为URL过滤器,可以支持Websense和N2H2 Web过滤客户端,并可与外部Websense和N2H2服务器共用。随着用户请求URL,该流量会被发送至Websense或N2H2服务器,以检查链路。如果链路正确,该页面就会被加载。

内容引擎网络模块可用于Cisco 2800(不包括Cisco 2801)和Cisco 3800集成多业务路由器,它们可用作互联网代理缓存和“机箱”URL过滤应用服务器。通过提供机箱过滤功能,由于无需穿越网络到远程服务器,可节约WAN带宽。预加载OEM Websense和Smartfilter过滤应用提供了应用使用策略、流量记录和报告,以及防病毒网关(ICAP),以便搜索、清除和缓存Web内容。

信任和身份识别

问:什么是网络准入控制计划?集成多业务路由器在其中发挥什么作用?

答:思科与领先的安全供应商Network Associates、Symantec和Trend Micro合作,创建了网络准入控制(NAC),该解决方案限制和防止了由包括零日攻击在内的新型安全威胁造成的损坏和中断。

NAC使网络仅允许符合最新公司防病毒和操作系统补丁策略的信任端点设备接入网络,从而识别有漏洞的系统并实施有效的网络准入控制。漏洞和不符合策略的主机会被隔离,直至补丁和安全保障完成后,才授予有限的网络接入权,因而防止了它们成为蠕虫和病毒的感染源和靶标。

在其初始阶段,当端点设备尝试连接网络时,NAC使思科路由器可以授予接入优先权。这一NAC阶段可以利用Cisco IOS Advanced Security、Advanced IP Services或Advanced Enterprise Services特性集,在Cisco 1800、2800和3800上实施。

问:思科集成多业务路由器是否支持820.1x?

答:支持,所有集成多业务路由器上的路由和交换功能模块都可根据802.1x进行配置。802.1x是在网络边缘验证端点的一种基于标准的方法,极大地强化了安全性能,因为它运行于第二层:在网络通过DHCP为端点(如PC)分配IP地址时必须对其进行验证。由于大多数病毒和蠕虫需要第三层(IP)连接以便发挥作用,802.1x有助于防止未授权主机感染网络,因为这种主机无法获得网络IP地址。802.1x还可用于用户在家中对“公司”端点和远程工作人员环境中的“家庭”或非公司端点进行区分。公司PC可得到验证和授予公司地址空间中的地址,家用PC/MAC等则与公司网络接入隔离开来,但仍能获得互联网接入。

问:新型集成多业务路由器上有无USB端口?

答:有,Cisco 1841和Cisco 2801上有一个USB端口,Cisco 2811、Cisco 2821、Cisco 2851、Cisco 3825和Cisco 3845拥有2个USB端口。

问:USB端口有何用途?

答:USB端口可以支持USB闪存和12.3T第六版中的Aladdinò电子令牌。USB端口是向路由器添加可拆除闪存的一种极其方便的途径,USB内存与标准PC USB接口兼容,因此,从您的PC直接向您的路由器传输图形和图像就变得非常简单,反之亦然。

电子令牌为保留在电子令牌内存中并受PIN保护的专用数据提供了安全的存储功能。电子令牌通常用于存储VPN密钥,但也可用于存储专用配置。

网络基础设施保护

问:保护网络的基础Cisco IOS软件中有哪些安全特性?

答:Cisco IOS软件有下列用于保护网络的特性:

控制平面监管

即使是最健全的软件设施和硬件架构面对拒绝服务(DoS)攻击也存在漏洞。DoS攻击属恶意行为,旨在用毫无价值的信息流充塞网络基础设施,使其陷入瘫痪,它们会伪装成某种控制分组,发往控制平面的处理器。为阻止这种以及类似的威胁网络核心的行为, Cisco IOS软件在路由器上增添了可编程监管功能 ,它可以限制目的地为控制平面的流量速率或监管该流量。此特性被称之为控制平面监管功能,可以配置,用于识别某种类型流量,当其达到某种阈值水平时予以限制可进行全面限制。

AutoSecure

AutoSecure是Cisco IOS软件的一个特性,它简化了路由器安全配置,降低了错误配置的风险。这种交互模式适用于拥有丰富经验的客户,用户可依此定制安全设置和路由器服务,为路由器安全功能提供了更强大的控制功能。如果未培训过的用户需在不采取过多人工干预的情况下迅速保护路由器,可采用AutoSecure的非交互模式。这种模式可以自动启用由思科设定的缺省路由器安全功能 。一条指令就可以快速配置路由器安全状态,并使不必要的系统流程和服务被禁用,消除了潜在的网络安全威胁。

NBAR

NBAR 是Cisco IOS软件中的一个分类引擎,采用深入的状态分组检测手段,识别类型广泛的应用,包括基于Web和其他使用动态分配TCP/UDP端口的、难以分类的协议。当用于安全环境时,NBAR可以根据负载特征检测蠕虫。当一个应用被NBAR识别和分类后,网络就可为此应用激活服务。NBAR还可以与QoS特性共用,提供有保障的带宽、带宽 限制、流量整形和分组标记,因而确保了带宽的有效使用。SDM 2.0 (见下面的“安全设备管理器”部分)拥有一个使用简便的向导来实施NBAR,并提供了应用流量的图形化视图。

CPU/内存阈值设定

Cisco IOS软件允许就路由器的内存使用设置总体内存阈值,当达到阈值时系统将及时发布通知。通过预留CPU和内存,该特性使路由器在可能是由于攻击所造成的高负载情况下,依然能够保持运行。

安全外壳 v2

安全外壳 v2(SSHv2)提供了强大的全新验证和加密功能。目前,有更多的选项可用于在加密连接上传其他流量类型,包括文件拷贝和电子邮件协议。由于验证功能日趋广泛,包括数字证书和更多双因素验证选项,使网络安全得以增强。

简单网络管理协议3 (SNMPv3)

简单网络管理协议 3 (SNMPv3)是一种基于标准的互操作网络管理协议。SNMPv3将网络分组的验证和加密功能相结合,提供了安全的设备接入能力。SNMPv3提供的安全特性如下:

  • 信息完整性 -- 确保了分组在传输中不受干扰
  • 验证 -- 确定信息来源的可靠性
  • 加密 -- 保护分组内容,使其免受未授权设备窥视

SNMPv3规定了安全模式和安全级别。安全模式是一种为用户及其所在的团体设置的验证策略。安全级别是指安全模式中允许的安全水平。安全模式和安全级别的组合将确定处理SNMP分组采取的安全机制类型。安全模式分三种:SNMPv1, SNMPv2c和SNMPv3。

基于角色的CLI 接入

基于角色的CLI接入特性使网络管理员可以定义“浏览权限”,即一组运行指令和配置功能,提供了对Cisco IOS软件的可选或部分接入限制。浏览权限限制了用户对Cisco IOS命令行界面 (CLI)和配置信息的访问,并可以定义可接受的指令和可视的配置信息。虽然用户可以控制经由两种优先级的CLI接入并支持模式密码,但当与路由器和交换机共用时,这些功能无法为网络管理员提供所需的详尽细节程度。因此,网络管理员通过接入思科联网设备可以更好地发挥控制功能,并可在有限制的情况下,支持其他区域的接入。

证书和限制

问:支持哪些IPSec RFC?

答:思科全面支持说明IPSec和相关协议的整套RFC:

  • IPSec (RFC 2401-2410)
  • 利用DES或3DES的IPSec封装安全协议(ESP)(RFC 2406)
  • 利用MD5或SHA的IPSec验证报头(RFC 2403-2404)
  • 互联网密钥交换(IKE; RFC 2407-2409)

问:有哪些出口限制?

答:用于内置加密和VPN加密AIM的DES、3DES和AES软件受美国出口条例有关加密产品的限制。VPN加密AIM和板载密码加速器本身没有什么限制,只有Cisco IOS软件受限制。美国法规规定需记录DES、3DES和AES软件接受方的名称和地址。思科的DES、3DES和AES订购流程上满足上述要求。欲了解具体信息,请访问http://www.cisco.com/wwl/export/encrypt.html

标准

思科全面支持说明IPSec和相关协议的整套RFC(RFC 2401-2410)。特别地,思科支持表3中列举的特性:

表8 Cisco 1800、2800和3800支持的标准
特性  
IPSec(AES) 国家标准和技术研究会(NIST)创建了AES,作为一项新的联邦信息处理 标准(FIPS)予以发布;它为IPSec和互联网密钥交换(IKE)提供了保密功能。AES的密钥长度可变, 该算法可以定义一个128位密钥(缺省)、192位密码或256位密钥。 内置加密和AIM-VPN/BPII-PLUS、 AIM-VPN/EPII-PLUS及AIM-VPN/HPII Plus是根据硬件中的所有三种密钥长度 -- AES128,192和256而设计的。
IPSec (DES和3DES) IPSec利用加密技术为专用网络中的参与者间提供了数据保密、完整性和可靠性保障。思科提供了全面封装安全负载(ESP)和验证报头支持。通往IPSec隧道的所有分组都需要加密。
IKE 在互联网安全协会密钥管理协议或ISAKMP/Oakley的基础上,IKE提供了安全相关管理功能。IKE负责验证IPSec事务中的每一方,协调安全策略,并处理会话密钥的互换。
证书管理 思科全面支持用于设备验证和简单证书注册协议(SCEP)(一种与许可授权方通信的协议)的X509.V3许可系统。包括Verisign、Entrust Technoligies和微软在内的一些供应商支持思科SCEP,其产品也可与思科设备互操作。
证书服务器 Cisco IOS软件证书服务器在Cisco IOS软件中内置了一个证书服务器。现在,路由器可以用作网络证书授权机构,从而实现了更简单、更轻松和成本更低的公共密钥基础设施(PKI)部署。
证书支持允许利用
数字证书实现验证自动化
加密使用可以针对需要多地点安全连接的大型网络进行扩展。
RSA特征和Diffie-Hellman 每次建立IPSec隧道以验证IKE特征授权时,都使用该特性。Diffie-Hellman用于获取共享加密密钥,以保护IKE特征授权过程中的数据,包括协调IPSec策略。
增强安全功能 基于硬件的密码在基于软件的解决方案基础上提供了若干安全优势,包括密钥增强保护功能。

认证

思科致力于为全球客户保持一个有效的产品认证和评估计划。Cisco IOS VPN已获得了FIPS 140-2、ICSA和Common Criteria EAL4+认证,即将获得Cisco IOS Firewall认证。公司认识到这些验证是我们集成安全策略的一个关键组成部分,并致力于继续获得FIPS、ICSA和Common Criteria认证。具体信息请访问:http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/
networking_solutions_audience_business_benefit0900aecd8009a16f.html

FIPS

Cisco 1800、2800和3800是为满足FIPS 140-1 Level 2安全而设计的。NIST已将FIPS 140-1升级至FIPS 140-2。思科现在正将许多路由器提交FIPS 140-2 Level 2,以待认可。有关思科产品FIPS的当前认证状况,请参考“认证产品”:

ICSA IPSec

ICSA是一个商业安全认证机构,为各种类型的安全产品提供了ICSA IPSec和ICSA防火墙证书。思科参与了ICSA的IPSec计划以及防火墙计划。有关思科产品ICSA的当前认证状况,请参考“认证产品”:

Common Criteria

Common Criteria是一种用于评估IT安全的国际标准,是由许多国家为替代一些现有的国家专用安全评估流程而开发的,旨在建立一个国际使用的单一标准。目前,已有14个国家的政府部门认可了Common Criteria。Cisco IOS软件IPSec和思科路由器的一些版本现已由亚澳信息安全评估计划(AISEP)针对ITSEC或Common Criteria进行评估。

有关思科产品Common Criteria的当前认证状况,请参考“认证产品”:

联系我们