在上图的例子中,与Internet的连接用于很多用途 。示例中为所有的公司内部网用户提供了Internet接入,包括远程分支和故障切换站点 。CBAC对从Internet返回到这些服务的通信流进行静态分组过滤 。Internet连接还为一般公众提供了对公共Web服务器上的信息的访问 。在今天的Internet环境中,需要针对有害的拒绝服务(DoS)攻击和入侵提供保护功能 。同样还需要为公司合作伙伴提供对合作伙伴中间地带(DMZ)中的信息访问,但由于这些信息更加敏感,所以需要提供进一步的保护 。IPSec隧道功能和身份验证代理功能可以提供这一额外保护 。
使用明确的ACL,可以完全制止从公众区和合作伙伴DMZ对企业网络的其他部分进行访问,防止任何用户建立一个从这些网络到企业网络的连接 。
企业网络不同部分之间的访问可以通过ACL来保护,它既可减少安全风险,又不会过分限制开放的访问 。Cisco IOS软件内部包含的多种ACL类型为网络设计人员提供了足够的灵活性,答应在一个企业网络的内部在访问限制和开放之间作出平衡 。
为防止典型情况下在基于IP的服务器上经常会发现的有害用户对IP服务的访问,需要对Cisco 7500进行进一步的配置 。例如,应关闭象TFTP、远程登录和HTTP这样的应用服务 。应关闭对ARP、PING和其他IP级服务的响应,假如这些进程是从Internet或DMZ发起的话 。
表3列出了一组Cisco IOS安全服务,这些服务应被用于保护可靠度较高的资源免受可靠性较低的服务的损害 。在表3中,假设行中的网络实体试图发起建立一个通往列中网络实体的连接 。表中网络实体是按可信任度的升序从上至下(行标题)或从右至左(列标题)排列的(从最不可靠到最可靠) 。
表3:;;Cisco 7500安全服务
连接公司内部网故障恢复站点帧中继合作伙伴中间地带公共Web站点InternetInternetIDS, DoSP, 记录,IPSec, AuthProxyIDS, DoSP, 记录IDS, DoSPIDS, DoSP, AuthProxy,记录,IPSec, NAT IDS, DoSP;公共Web禁止所有通信流,IDS禁止所有通信流,IDS禁止所有通信流,IDS禁止所有通信流,IDS;禁止所有通信流,DdoSP合作伙伴DMZ禁止所有通信流,IDS,NAT禁止所有通信流,IDS,NAT禁止所有通信流,IDS,NAT;禁止所有通信流 禁止所有通信流帧中继ACL ACL;显式许可ACL显式许可ACLCBAC, TimeACL故障切换站点答应所有通信流;答应所有通信流显式许可ACLCBACCBAC, TimeACL公司内部网;答应所有通信流 答应所有通信流显式许可ACLCBACCBAC, TimeACLIDS(入侵探测系统):防御来自不可靠方的直接攻击 。DoSP(拒绝服务保护):阻止象Smurf和SYN溢流这样的溢流式攻击 。DDoSP:分布式DoSP 。IPSec(IP安全性):对通过不可靠网络的通信流进行加密和身份验证 。AuthProxy(身份验证代理):为来自不很可靠网络的用户提供身份验证和授权服务 。CBAC(基于上下文的访问控制):对于从一个比较可靠的网络发起的TCP/UDP连接进行静态交换分组过滤 。NAT(网络地址转换):在与合作伙伴或其他网络进行通信时,提供专用地址到公共地址的转换 。ACL(访问控制列表):根据显式许可和/或禁止语句对通信流进行过滤 。TimeACL(基于时间的ACL):根据一天中的时间限制和/或一个星期中的某几天限制对通信流进行过滤 。禁止 所有通信流:根据IP地址或其他标准,禁止所有通过某一路由器接口的通信流 。显式许可:答应通信流通过路由器接口或端口,可以突破每一访问列表尾部"禁止所有通信流"语句的限制 。许可所有:根据IP地址或其他标准,答应通过某一路由器接口的所有通信流 。
结论
【思科7500系列路由器中使用的思科IOS安全功能】
推荐阅读
- 思科7500系列路由器速查指南
- 思科 7401ASR-BB特殊应用路由器宽带集中应用概览
- 华为P10手机怎么样?华为P10首发测评
- 面向Cisco 2600与3600系列的模块化多服务路由器虚拟专用网模块
- 思科7500先进路由器
- 苏秘37°的护肤品有几个系列
- 思科内容路由器,支持互联网内容传输网络
- 思科路由和安全设备管理软件
- 思科800系列路由器给小型办公室提供大型企业联网
- 思科805串行路由器--小型办公室的大型企业联网