Cisco 集成服务路由器 (ISR) 为满足各种应用程序的数据和语音网络需求提供了一个可扩展的平台。虽然对专用网络和连接 Internet 的网络造成威胁的环境都是非常动态的环境,但是 Cisco IOS 防火墙提供了状态检测和应用程序检查和控制 (AIC) 功能来定义安全的网络状态并强制实现网络安全,同时支持业务功能和连续性。
本文描述特定Cisco基于ISR的数据和语音应用方案的防火墙安全方面的设计和配置注意事项。提供了针对每个应用方案的语音服务和防火墙配置。每个方案分别描述 VoIP 和安全配置,后跟整个路由器配置。您的网络可能需要配置其他服务(如 QoS 和 VPN)以保持语音质量和机密性。
本文档没有任何特定的要求。
本文档不限于特定的软件和硬件版本。
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
Cisco IOS 防火墙通常部署在不同于设备防火墙部署模式的应用方案中。典型的配置包括远程操作人员应用、小型或分行办公室站点和零售应用,非常需要低设备多个服务计数、集成和更低性能和安全功能。
虽然从成本和操作角度来看,将防火墙检查和 ISR 产品中的其他集成服务一起应用可能很有吸引力,但是必须评估一些特定的考虑事项以确定基于路由器的防火墙是否是适用的。如果部署一个动力不足的基于集成路由器的解决方案,则应用每个附加功能都会导致内存和处理成本增加,并可能导致转发吞吐率降低、数据包延迟增加,以及峰值负载时段内的功能损失。在路由器和设备之间做出选择时,请遵循以下准则:
支持多个集成功能的路由器最适合少量设备可提供更佳解决方案的分支机构或远程办公人员场所。
使用设备通常可以更好地处理高带宽、高性能的应用程序;必须应用 Cisco ASA 和 Cisco Unified Call Manager Server 来处理 NAT 和安全策略应用和呼叫处理,而使用路由器来处理 QoS 策略应用、WAN 终端和站点到站点 VPN 连接需求。
在引入 Cisco IOS 软件版本 12.4(20)T 以前,传统防火墙和基于区域的策略防火墙 (ZFW) 无法完全支持 VoIP 数据流和基于路由器的语音服务所需的功能,这些功能需要安全防火墙策略中的巨大间隙来容纳语音数据流,并只能提供对不断发展的 VoIP 信令和媒体协议的有限支持。
如果网络的安全要求由安全策略确定并描述,则 Cisco IOS 基于区域的策略防火墙与其他防火墙一样只能提供一个安全防火墙。有两个到达安全策略的基本途径:信任 角度,与怀疑角度相对。
信任 角度假设,除可以专门标识为恶意数据流或不需要的数据流以外的所有数据流都可信。将实施一个仅拒绝不需要的数据流的特定策略。这通常通过使用特定访问控制条目或基于签名或基于行为的工具实现。此方法倾向于较少干预现有应用程序,但需要全面了解威胁和漏洞环境,并需要经常保持警惕以在新的威胁和漏洞出现时进行处理。此外,用户社区在维护足够的安全性方面必须起到很大的作用。允许很大自由度、只对占用者进行很少控制的环境为粗心或恶意个人引起的问题提供了大量机会。此方法的另一个问题是它更依赖于提供足够的灵活性和性能以能够监视和控制所有网络数据流中的可疑数据的有效管理工具和应用程序控制。当目前的技术可以适应这些时,操作的负担会频繁地超出多数组织的极限。
怀疑 角度假设,除专门标识的良好数据流以外的所有网络数据流都是不需要的。它是一个应用后将拒绝除明确允许的数据流以外所有应用程序数据流的策略。此外,可以实施应用程序检查和控制 (AIC) 来标识和拒绝专门为了利用良好 应用程序而生成的恶意数据流,以及伪装成良好数据流的不需要的数据流。应用程序控制又会在网络上施加操作和性能负担,然而大多数不需要的数据流必须受控于无状态过滤器(如访问控制列表 (ACL) 或基于区域的策略防火墙 (ZFW) 策略),因此,必须由 AIC、入侵防御系统 (IPS) 或其他基于签名的控制(如灵活数据包匹配 (FPM) 或基于网络的应用程序识别 (NBAR))处理的数据流实质上就非常少了。如果只专门允许所需的应用程序端口(和从已知控制连接或会话产生的动态媒体特定数据流),则网络上存在的唯一不需要的数据流必须进入特定的、更易于识别的子网,这可减少保持对不需要数据流的控制所施加的工程和操作负担。
本文档介绍基于怀疑 角度的 VoIP 安全配置,因此仅允许在语音网络段中允许的数据流。数据策略倾向于较宽松的控制,如每个应用方案配置中的注释所述。
所有安全策略部署都必须遵循闭环反馈循环;安全部署通常会影响现有应用程序的容量和功能,并且必须进行调整以最大程度地减小此影响或消除此影响。
如果需要配置基于区域的策略防火墙的附加背景信息,请查看区域防火墙设计和应用指南。
区域防火墙设计和应用指南简要论述了对路由器的自身区域 使用安全策略和从路由器的自身区域使用安全策略的路由器安全功能,以及通过各种网络基础保护 (NFP) 功能提供的替代功能。基于路由器的 VoIP 功能托管在路由器的自身区域 中,因此保护路由器的安全策略必须知道语音数据流的需求才能满足源自和去往 Cisco Unified CallManager Express、Survivable Remote-Site Telephony 和语音网关资源的语音信令和媒体的要求。在 Cisco IOS 软件版本 12.4(20)T 以前,传统防火墙和基于区域的策略防火墙无法完全满足 VoIP 数据流的要求,因此防火墙策略未进行优化,无法充分保护资源。保护基于路由器的 VoIP 资源的自身区域安全策略在很大程度上依赖于 12.4(20)T 中引入的功能。
Cisco IOS 软件版本 12.4(20)T 引入了几个增强功能以支持共存区域防火墙和语音功能。三个主要功能直接地适用获取语音应用:
SIP 增强功能:应用层网关和应用程序检查和控制
更新SIP版本以支持SIPv2,如所描述由RFC 3261
扩展 SIP 信令支持以识别更多类型的呼叫流
引入 SIP 应用程序检查和控制 (AIC) 以应用精确的控制来解决特定的应用程序级弱点和漏洞
扩展自身区域检查以能够识别由发往/源自本地的 SIP 数据流导致的辅助信令和介质信道
对 Skinny 本地数据流和 CME 的支持
更新SCCP技术的支持版本16(以前支持的版本9)
引入 SCCP 应用程序检查和控制 (AIC) 以应用精确的控制来解决特定的应用程序级弱点和漏洞
扩展自身区域检查以能够识别由发往/源自本地的 SCCP 数据流导致的辅助信令和介质信道
对版本 3 和 4 的 H.323 支持
将 H.323 支持更新到版本 3 和 4(以前支持版本 1 和 2)
引入 H.323 应用程序检查和控制 (AIC) 以应用精确的控制来解决特定的应用程序级弱点和漏洞
本文档中介绍的路由器安全配置包括由这些增强提供的功能以及描述由这些策略应用的操作的说明。对单个功能文档的超链接是可用的在相关信息