Fact Sheet

Cisco IOS Firewall Feature Set

우수한 인터넷 통신 기능을 활용하고자 하는 사람들에게는 다음과 같은 안전한 솔루션이 필요합니다.

침입으로부터 내부 네트워크 보호
안전한 인터넷 및 원격 액세스 연결 제공
웹을 통해 네트워크 전자상거래 실현

오늘날 인터넷은 원거리 위치에 있는 고객, 공급자, 파트너 및 사원들과의 통신을 극적으로 향상시키는 강력한 신기술의 핵심을 이룹니다. 사용자들은 네트워크 트랜잭션, 특히 공중망을 통한 네트워크 트랜잭션이 안전하다는 확신을 가질 수 있어야 합니다.

Cisco IOS 소프트웨어는 80% 이상의 인터넷 백본 라우터에서 실행됩니다. Cisco IOS 소프트웨어는 완벽한 네트워크 서비스를 제공하고 네트워크화된 애플리케이션을 가능하게 합니다. Cisco IOS 보안 서비스는 엔드-투-엔드 네트워크 보안을 위해 인터넷, 인트라넷 및 원격 액세스 네트워크에 대한 맞춤형 보안 솔루션을 구축할 수 있는 다양한 옵션을 제공합니다.

전체 보안 솔루션에서 가장 중요한 부분은 네트워크 경계(perimeter)를 넘나드는 트래픽을 모니터링하고 보안 정책에 따라 제한을 부과하는 네트워크 방화벽입니다. 경계(perimeter) 라우터는 사설망, 인트라넷, 엑스트라넷 또는 인터넷과 같은 모든 네트워크 경계에 존재합니다. 방화벽은 대체로 내부 네트워크(사설망)와 외부 네트워크(공중망)를 분리합니다. Cisco IOS 소프트웨어 옵션으로 제공되는 Cisco IOS Firewall Feature Set는 보안 위반으로부터 네트워크를 보호하는 향상된 보안 솔루션을 제공합니다. 이러한 통합 라우터 보안 솔루션은 시스코 시스템즈의 보안 솔루션 시스템의 한 요소를 제공합니다.

Cisco IOS Firewall Feature Set는 세 가지 시스코 방화벽 솔루션 중 하나로, 솔루션이 전용 장비이든(PIX Firewall) NT 기반 솔루션이든(Centri Firewall) 또는 네트워크 인프라에 통합되어 있든(Cisco IOS Firewall Feature Set) 상관없이 네트워크 내부에서 다양한 방화벽 요건을 만족하도록 설계되었습니다. 시스코 방화벽 제품 계열은 경계(perimeter) 정책 시행 요건에 맞는 포괄적인 다양한 보안 기능을 제공하므로 더욱 복잡한 VPN, 컨텐트 필터링 및 서비스 거부 탐지 및 예방으로 기능이 확장됩니다. 시스코 방화벽 제품들을 조합하여 배치할 경우 네트워크 관리자들은 계층화된 보안 전략을 구현함으로써 한층 더 강력한 보안 아키텍처를 실현할 수 있습니다. 그 어떤 네트워킹 업체도 보안 솔루션에 이러한 유연성을 제공하지는 못합니다. Cisco IOS Firewall Feature Set는 네트워크 인프라 자체 내에서 액세스 목록 정책을 시행함으로써 시스코의 완벽한 엔드-투-엔드 보안 제품을 실현하므로 독립형 장비들이 제공할 수 없는 탁월한 유연성과 제어력을 갖습니다.

Cisco IOS Firewall Feature Set의 일부 이점은 다음과 같습니다.

유연성 - 올인원(all-in-one) 솔루션은 라우팅을 수행하고, 안전한 인터넷 연결을 제공할 뿐 아니라 사용자 또는 애플리케이션별 기준으로 각 인터페이스에 사용자가 정의한 정책에 따라 명확한 보안 특성을 적용할 수 있습니다.
투자 보호 - 방화벽 기능을 멀티프로토콜 라우터에 통합하면 기존의 라우터 투자를 활용할 수 있습니다. 라우터는 일반적으로 중요한 네트워크 세그먼트를 분리하고 사설망/공중망 인터페이스를 관리하기 위해 배치됩니다. 점증식 변화는 새로운 플랫폼 습득에 따른 비용을 절감시키고 및 관리 교육을 덜어줍니다.
손쉬운 관리 - 원격 관리 기능을 통해 네트워크 관리자는 네트워크를 통해 중앙 콘솔에서 보안 기능을 구현할 수 있습니다.
매끄러운 상호 운용성 - 다른 Cisco IOS 소프트웨어 기능과 함께 사용할 경우 WAN 이용을 최적화하고, 견고하고 확장 가능한 라우팅을 제공할 수 있으며, 기존의 Cisco IOS 기반 네트워크(인터넷 등)와 상호 운용이 가능합니다.

새로운 방화벽 기능 및 이점

Cisco IOS 보안 서비스에는 관리자들이 시스코 라우터를 방화벽처럼 구성할 수 있는 기능들이 있습니다. Cisco IOS Firewall Feature Set는 기존의 Cisco IOS 보안 솔루션에 더 많은 기능과 유연성을 추가합니다. 표 1은 이미 방화벽 기능을 하고 있는 라우터에 한층 더 많은 유연성과 보호를 제공하는 새로운 기능들을 개략적으로 보여줍니다. 이러한 기능들은 1998년 1분기부터 Cisco 1600 및 2500 시리즈 라우터에 이용되고 있습니다.

표 1: Cisco IOS Firewall Feature Set 개요


새로운 기능	설명
CBAC(Context-Based Access Control)	내부 사용자들에게 경계(perimeter)를 넘나드는(예를 들어 기업 사설망과 인터넷 간) 모든 트래픽에 대해 애플리케이션별 기준의 안전한 액세스 제어를 제공
Java 블로킹	식별되지 않은 악의적인 Java 애플릿에 대한 보호를 제공
서비스 거부(DoS) 탐지/방지	일상적인 공격에 대해 라우터 자원을 방어 및 보호. 패킷 헤더를 검사하여 의심스러운 패킷은 드롭시킴
감사 추적	트랜잭션 세부 내역을 설명. 시간 스탬프, 소스 호스트, 수신 호스트, 포트, 기간 및 전송된 총 바이트 수를 기록
실시간 경보	서비스 거부 공격(DoS) 또는 기타 사전 구성된 조건 발생 시 경보를 기록
ConfigMaker 지원	네트워크 설계, 주소 지정 및 방화벽 기능 세트 구현을 통해 단계별 안내를 제공하는 Win95/WinNT-Wizard 기반 네트워크 구성 툴

이전에 발표된 Cisco IOS 방화벽 기능은 다음과 같습니다.

기본 및 고급 트래픽 필터링
- 표준 및 확장 ACL(Access Control List): 특정 네트워크 세그먼트에 액세스 제어를 적용하고, 네트워크 세그먼트를 통과할 트래픽을 정의
- 잠금 및 키 - 동적 ACL: 사용자 식별 시(사용자 이름/암호) 방화벽을 통한 임시 액세스 부여
정책 기반 멀티인터페이스 지원: 보안 정책에 의해 결정된 대로 IP 주소와 인터페이스에 의한 사용자 액세스를 통제할 수 있는 능력을 제공
NAT(Network Address Translation): 내부 주소를 외부에서 볼 수 없도록 숨김으로써 네트워크 프라이버시를 높이고, 등록된 IP 주소의 보존을 가능하게 함으로써 인터넷 액세스 비용을 절감
피어 라우터 인증: 라우터가 신뢰성 있는 소스로부터 신뢰성 있는 라우팅 정보를 받도록 보장
이벤트 로깅: 관리자들이 시스템 오류 메시지의 출력을 콘솔 터미널 또는 syslog 서버로 로깅하고 심각도 수준을 설정하고 다른 경계(perimeter)를 기록함으로써 잠재적인 보안 위반 또는 다른 비표준 활동을 실시간으로 추적할 수 있음
VPN(Virtual Private Network): 공중 회선(인터넷 등)을 통해 안전한 데이터를 전송하고, 원격 지사 사무실 및 엑스트라넷을 위한 구현 및 관리 비용을 절감하며, 다음 프로토콜을 사용하여 상호 운용성을 위해 표준에 기반한 서비스 품질 및 신뢰성을 향상시킴
- GRE(Generic Routing Encapsulation) 터널링
- L2F(Layer 2 Forwarding)
- L2TP(Layer 2 Tunneling Protocol): 사용 가능해질 경우
- QoS(Quality of Service) 제어: 핵심 업무 관련 애플리케이션 트래픽 전달을 보장하기 위해 애플리케이션을 우선 순위화하고 네트워크 자원을 할당
시스코 암호화 기술: 전송 중 네트워크에서 데이터 도청 또는 변경을 방지하는 네트워크층 암호화 기능

새로운 기능에 대한 세부 정보

Context-based access control

CBAC(Context-Based Access Control)는 Cisco IOS 기능 세트에 추가된 핵심 기능입니다. CBAC 기술의 중요성은 처음으로 관리자들이 지능형 방화벽을 통합된 단일 솔루션의 일부로 구현할 수 있다는 점입니다. 이제 철저한 보안이 갖추어진 네트워크는 오늘날의 애플리케이션 트래픽을 허용하고 멀티미디어 및 화상회의와 같은 미래의 고급 애플리케이션에 대비할 수 있습니다. CBAC는 소스 주소 및 수신 주소를 면밀히 조사함으로써 잘 알려진 포트(ftp 및 전자메일 트래픽 등)를 사용하는 TCP 및 UDP 애플리케이션의 보안을 향상시킵니다.

CBAC의 작동 방식

CBAC는 표준 TCP 및 UDP 인터넷 애플리케이션, 멀티미디어 애플리케이션(H.323 애플리케이션, CU-SeeME, VDOLive, Streamworks 등) 그리고 Oracle 데이터베이스를 포함하여 IP 트래픽에 대한 애플리케이션별 제어 메커니즘입니다. CBAC는 TCP 및 UDP 패킷을 검사하고 패킷의 "상태" 또는 연결 상태를 추적합니다.

TCP는 연결 지향 프로토콜입니다. 데이터를 전송하기에 앞서 발신 호스트는 "3방향 핸드쉐이크(three-way handshake)"라는 과정에서 수신측과 연결을 negotiation합니다. 이 핸드쉐이킹 프로세스는 유효한 TCP 연결 및 오류 없는 전송을 보장합니다. 연결 설정 시 TCP는 몇 가지 "상태" 또는 단계를 통과하는데, 이러한 단계는 패킷 헤더에서 쉽게 식별됩니다. 표준 및 확장 ACL(Access Control List)은 패킷 헤더에서 상태를 읽고 트래픽의 링크 통과가 허용되는지를 결정합니다.

CBAC는 전체 패킷을 읽어 애플리케이션 상태 정보를 얻음으로써 ACL 기능에 지능형 검사를 추가합니다. 이 정보를 사용하여CBAC는 임시 세션 특정 ACL 항목을 생성하여, 신뢰성 있는 네트워크로의 반환 트래픽을 허용합니다. 이 임시 ACL은 사실상 방화벽의 문을 엽니다. 세션의 시간이 초과되거나 세션이 종료되면 ACL 항목은 삭제되고 문은 닫혀 추가 트래픽이 허용되지 않습니다. 표준 및 확장 ACL은 임시 ACL 항목을 생성할 수 없으므로 지금까지 관리자들은 정보 액세스 요건에 비추어 보안 위험을 평가할 수 밖에 없었습니다. 반환 트래픽을 위해 여러 채널에서 선택되는 고급 애플리케이션은 지금까지 표준 또는 확장 ACL을 사용하여 보안을 유지하기가 어려웠습니다.

CBAC는 방화벽을 통한 세션 허용 여부를 결정할 때 애플리케이션 유형을 설명하고 그 애플리케이션이 반환 트래픽을 위해 여러 채널에서 채널을 선택하는지의 여부를 결정하기 때문에 현재의 ACL 전용 솔루션에 비해 더 안전합니다. CBAC 이전에는 관리자들이 영구 ACL 작성을 통해서만 고급 애플리케이션 트래픽을 허용할 수 있었고 이러한 영구 ACL은 곧 본질적으로 방화벽 문을 항상 활짝 열어두는 것과 같았기 때문에, 대부분의 관리자들은 이러한 애플리케이션 트래픽을 거부하는 쪽을 선택하였습니다. 이제 CBAC를 사용함으로써 그들은 필요할 때 방화벽을 열고 다른 때에는 닫아둠으로써 멀티미디어 및 기타 애플리케이션 트래픽을 안전하게 허용할 수 있습니다. 예를 들어 내부 사용자가 연결을 시작할 때 Microsoft NetMeeting을 허용하도록 CBAC를 구성하면 방화벽은 반환 트래픽을 허용합니다. 그러나 외부 NetMeeting 소스가 내부 사용자와의 연결을 시작할 경우 CBAC는 항목을 거부하고 패킷을 드롭합니다.

좀더 기술적인 관점에서 보면 CBAC는 다음과 같은 몇 가지 실행 메커니즘을 사용합니다.

1. 패킷 검사(packet inspection)는 패킷 제어 채널을 모니터하고, 제어 채널에 있는 애플리케이션 특정 명령을 인식하여, 애플리케이션 수준의 공격을 탐지 및 방지합니다.

2. 검사를 통과하는 패킷은 전송되고, CBAC는 상태 테이블(state table)을 생성하여 세션 상태 정보를 유지합니다. 반환 트래픽은 패킷이 유효한 세션에 속한다는 상태 테이블이 존재할 경우에만 통합 방화벽을 통과하도록 허용됩니다. 이러한 구성 가능 기능은 정의된 세션을 모니터합니다.

3. 세션이 닫히거나 시간이 초과되면 상태 테이블은 삭제됩니다. 무선 서비스인 UDP의 경우 CBAC는 UDP 세션을 결정하기 위해 주소/포트 쌍에 따라 패킷을 검사함으로써 UDP "세션" 액세스를 적절히 종료시킵니다.

4. CBAC는 상태 테이블에 있는 정보에 따라 각 라우터 인터페이스에서 액세스 제어 목록 항목을 동적으로 생성하고 삭제합니다. 이러한 항목은 통합 방화벽에서 임시 "통로(opening)"를 생성하여 유효한 반환 트래픽이 네트워크로 반환되도록 허용합니다. 상태 테이블과 마찬가지로 동적 ACL은 세션 종료 시 저장되지 않습니다.

CBAC는 어디에 사용하는가?

CBAC는 인터페이스별 기준으로 구성됩니다. CBAC는 방화벽의 양쪽에서 발신되는 트래픽(양방향)을 제어하도록 구성할 수 있으나, 대부분의 고객은 한쪽에서만 발신되는 트래픽(단방향)에 CBAC를 적용할 것입니다.

클라이언트 세션이 내부 네트워크 내부에서 시작되고 방화벽을 통과하여 호스트에 액세스해야 할 경우에는 단방향 제어로 CBAC를 구성하십시오. 예를 들어 지사는 WAN 링크나 인터넷을 통해 회사 서버에 액세스해야 할 것입니다. CBAC는 필요 시마다(동적으로) 링크를 열고 반환 트래픽을 모니터합니다.

CBAC는 방화벽의 양쪽 모두에 보호가 필요할 때 양방향 솔루션으로 적합합니다. 이 구성의 일례로 한 방향으로 일부 애플리케이션에 대해 트래픽이 제한되고 다른 방향으로는 다른 애플리케이션에 대해 트래픽이 제한되는 두 개의 파트너 회사의 네트워크를 들 수 있습니다.

기타 CBAC 관련 정보

각각의 연결에 대해 CBAC는 상태 테이블과 동적 ACL을 추적하고 그에 대해 메모리를 할당합니다. 단 하나의 ACL 그룹만이 한 방향으로 구성될 경우 CBAC의 메모리 소비는 연결당(전체 플랫폼에서) 600바이트 미만입니다. 애플리케이션 세션은 여러 개의 TCP/UDP 연결로 구성될 수 있습니다. 예를 들어 NetMeeting 세션은 최대 7개의 TCP/UDP 연결로 구성됩니다.
CBAC와 암호화는 동일한 인터페이스에서 배치될 수 있습니다. 그러나 CBAC는 이전에 암호화된 패킷의 컨텐트는 검사할 수 없습니다. CBAC와 암호화는 라우터도 암호화 포인트일 경우 함께 원활하게 작동하며, CBAC는 암호화 이전에 패킷을 검사할 수 있습니다.
CBAC는 고속 스위칭과 프로세스 스위칭과만 작동하여 Cisco 1600 및 2500 시리즈 라우터 플랫폼 모두에서 최적의 성능을 발휘합니다.

Java 블로킹

인터넷에서 Java 애플릿 사용이 확산되면서 악의적인 애플릿으로부터 네트워크를 보호하는 일이 네트워크 관리자의 주요 관심사가 되었습니다. Java 블로킹은 아카이브 또는 압축 파일에 내장되지 않은 Java 애플릿에 대한 액세스를 필터링하거나 완전 거부하도록 구성될 수 있습니다.

서비스 거부(DoS) 탐지 및 방지

새롭게 더욱 향상된 서비스 거부(Denial of Service) 탐지 및 방지는 syn 쇄도, 포트 스캔 및 패킷 주입에 대해 네트워크를 보호합니다. 서비스 거부 탐지 및 방지는 TCP 연결에서 패킷 시퀀스 번호를 검사합니다. 번호가 예상 범위 안에 있지 않을 경우 라우터는 의심스러운 패킷을 드롭시킵니다. 라우터가 예외적으로 높은 속도의 새로운 연결을 탐지할 경우 라우터는 경보 메시지를 발행합니다. 라우터는 또한 절반만 열린 TCP 연결 상태 테이블을 드롭시켜 시스템 자원 고갈을 방지합니다.

감사 추적

향상된 감사 추적 기능은 syslog를 사용하여 모든 트랜잭션을 추적합니다. 즉 시간 스탬프, 소스 호스트, 수신 호스트, 사용된 포트, 세션 기간 및 전송된 총 바이트 수를 기록합니다.

실시간 경보

실시간 경보는 의심스러운 활동이 탐지되는 즉시 중앙의 관리 콘솔에 syslog 오류 메시지를 전송합니다. 네트워크 관리자는 침입에 즉각 대응할 수 있는 능력을 갖추게 됩니다.

ConfigMaker 지원

Cisco IOS Firewall Feature Set는 ConfigMaker를 사용하여 설정이 아주 쉽습니다. ConfigMaker는 네트워크 상의 모든 지원되는 라우터를 방화벽으로 구성해주는 Win95/WinNT-Wizard 기반 관리 툴입니다. ConfigMaker는 기존의 시스코 CLI(Command-Line Interface) 툴을 대신하는 구성 대안 툴입니다. 이 툴은 리셀러와 네트워크 관리자들의 네트워크 설계 및 라우터 설치 프로세스를 자세히 안내해 줍니다. ConfigMaker는 각각의 라우터를 독립된 장치로 구성하기보다 단 한 대의 PC에서 모든 라우터를 구성하는 하나의 전체 라우터 네트워크의 구성을 허용합니다.

애플리케이션

본사와 인터넷에 지사 연결

지사 보안의 핵심 요소인 Cisco IOS Firewall Feature Set는 와이어링 클로짓에 추가 공간이 필요하지 않습니다. 예를 들어 Cisco 2500 라우터는 인터넷에 연결하고 본사 자원에 전용 회선을 연결하여 두 개의 Token Ring을 관리합니다. 이 방화벽 기능 세트를 사용하여 관리자들은 한 인터페이스상에서 특정 애플리케이션 트래픽과 인터넷에서 다운로드되는 Java 애플릿을 거부하고, 또 다른 WAN 인터페이스를 통해 SNA(Systems Network Architecture) 트래픽과 Java 애플릿이 본사에서 네트워크로 전송되도록 라우터를 원격으로 구성할 수 있습니다. 이 솔루션은 SNA 메인프레임 및 클라이언트/서버 애플리케이션과 같은 필수 애플리케이션에 대한 액세스는 부여하고 원치 않는 애플리케이션 트래픽에 대한 액세스는 거부합니다.

소규모 기업 웹 서버

또 다른 시나리오에서 현장 인터넷 웹 서버를 통해 고객 및 공급업자와 통신하는 중소기업 사장이 있다고 가정합시다. 고객과 공급업자는 Cisco 1605 라우터를 사용해 언제든지 이 웹 서버에 로그인할 수 있는 한편, 내부 이더넷 LAN은 다른 인터페이스에서 보호됩니다. 방화벽 기능 세트는 각 포트에서 CBAC 검사를 제공하여 트래픽을 철저히 모니터하고 웹 서버와 내부 네트워크 모두를 외부 공격으로부터 보호합니다.

시스코 엔드-투-엔드 네트워크

견고한 보안 정책은 단순히 경계(perimeter) 제어나 방화벽 설정 및 관리의 수준에 머물지 않습니다. Cisco IOS 소프트웨어는 전역 보안 정책을 구현하기 위한 이상적인 수단입니다. 엔드-투-엔드 시스코 솔루션을 구축함으로써 관리자는 네트워크 성장에 따라 네트워크 전반에 보안 정책을 시행할 수 있는 능력을 갖출 수 있습니다.

시스코 지원

지원 프로그램이 마련되어 있어 Cisco IOS 보안 소프트웨어 업데이트는 수상 경력이 있는 시스코의 웹 사이트 Cisco Connection Online에서 언제든지 이용할 수 있습니다. 업계 최고의 네트워킹 솔루션을 보완하기 위해 시스코는 완벽한 지원 솔루션을 개발하였습니다. 수명주기에 맞춘 시스코의 지원 제품 포트폴리오는 고객의 투자를 보호하고 극대화하기 위한 시작, 유지 보수, 마케팅, 고급 및 맞춤 서비스를 자랑합니다. 이러한 서비스들은 함께 작동하여 특정 애플리케이션과 환경에 맞추어 솔루션을 조정할 수 있는 다양성과 유연성을 제공합니다. 네트워크 관리자들은 세계 수준급 시스코 지원 서비스를 사용하여 근거리 또는 원거리 시스코 네트워크 엔드-투-엔드를 지원할 수 있습니다.

표 2: Cisco IOS Firewall Feature Set 사양


기능	설명
Context-based Access Control (CBAC)
패킷 상태 검사	라우터를 통과하는 각 연결에 대해 상태와 컨텍스트를 유지하고, 수신 및 발신 트래픽을 모두 검사하여 보안 정책을 시행
지능형 검사 필터	제어 채널에 있는 애플리케이션 특정 명령을 이해하고, 애플리케이션 공격을 탐지하며, 동적 할당(필요에 따라) 기준으로 포트를 개방
CBAC 지원 애플리케이션(모듈식으로 배치 가능)
TCP/UDP 애플리케이션	Telnet, http, tftp, SNMP
File Transfer Protocol (FTP)	능동(active) 및 수동(passive) 모드
멀티미디어 애플리케이션	제어 채널 스트림을 검사하여 각 세션 동안 비디오 또는 오디오 채널이 열려 있도록 보장. H.323 애플리케이션, CU-SeeMe, RealAudio, StreamWorks 및 VDOLive 지원
전자 메일 서비스(SMTP 프로토콜 검사)	무효한 SMTP 명령을 탐지하고, "휴전선(demilitarized zone)"에서 외부 메일 릴레이 요건을 제거
RPC(Remote Procedure Call) 서비스	포트 매퍼 요청(port mapper request)을 검사하여 필요 시 채널을 개방함으로써 RPC 트래픽 지원
Berkeley Standard Distribution (BSD)-Rcmds	서버 릴레이를 검사하여 보조 채널을 개방
Oracle 데이터베이스 애플리케이션 지원	Oracle 리스너 프로세스로부터 리다이렉트 메시지를 검사하고, 클라이언트가 서버에 연결할 포트를 개방
H.323 기반 화상 회의 애플리케이션	Q931 및 H.245 제어 메시지를 검사하여 비디오 및 오디오 데이터에 대해 추가적인 UDP 채널을 개방
서비스 거부 탐지 및 방지
대중적인 공격 모드에 대한 보호	syn 쇄도, 포트 스캐닝, 패킷 주입에 대해 보호하고, 라우터 자원 고갈에 대해 보호
패킷 드롭핑	IP 주소를 기준으로 공격자로부터 개시된 패킷을 잠정적으로 드롭시킴
시퀀스 번호 검사	TCP 연결에서 패킷 시퀀스 번호를 검사하여 번호가 예상 범위 안에 존재하도록 보장
트랜잭션 기록	트랜잭션 세부 내역을 설명. 종료 시간 스탬프, 소스 호스트, 수신 호스트, 포트 및 전송된 총 바이트 수를 기록
권장되는 기본 옵션(권장되는 기본 옵션에 대한 전체 목록은 설명서 참조)	권장 시동 설정 허용/거부, 소스-라우팅 온/오프, 프록시 ARP 활성화/비활성화, 필수 애플리케이션만 활성/모든 애플리케이션 활성, MD 5(Message Digest 5) 해싱 알고리즘을 사용하여 라우터 암호 암호화, 가상 터미널 포트에 액세스 목록 및 암호 적용, 지원되는 라우팅 프로토콜에서 경로 인증 활성화/비활성화
고급 TCP/UDP 트랜잭션 로그	소스/수신 주소 및 포트 쌍별로 사용자 액세스 추적
Java 블로킹
보호 수준 설정	아카이브 또는 압축 파일에 내장되지 않은 Java 애플릿에 대한 액세스를 필터링하거나 완전 거부하도록 구성될 수 있음
실시간 경보
고급 로깅 기능	syslog 메커니즘을 통해 로깅 호스트에 경보 생성
Cisco IOS 기능과의 호환성	ACL, NAT, TCP Intercept 및 Reflexive Access List와 시스코 암호화 기술과 호환됨
네트워크 관리
ConfigMaker 지원	네트워크 설계, 주소 지정 및 방화벽 기능 세트 구현을 단계별로 안내하는 Win95/WinNT-Wizard 기반 네트워크 구성 툴

출시 계획 및 가격

1998년 1분기부터 고객은 Cisco 1600 및 2500 시리즈 라우터를 위한 특정 소프트웨어 이미지를 가진 옵션으로서 Cisco IOS Firewall Feature Set를 주문할 수 있습니다. 1998년 Firewall Feature Set 출시로 고객은 시스코의 웹 사이트에서 이것을 소프트웨어로 다운로드하거나 CD-ROM을 요청할 수 있습니다. Firewall Feature Set는 추가 비용이 드는 옵션이며 가격은 미정입니다.

추가 정보

Cisco IOS 소프트웨어 및 Cisco IOS 보안 서비스에 대한 자세한 내용을 알아보려면 아래 주소의 시스코 웹 사이트를 방문하십시오.

http://cisco.com/warp/public/732/.

<업데이트: 2003년 6월 20일>