思科集成多业务由器中内置了业界最全面的安全服务,因而为帮助客户迅速地部署安全网络和应用提供了一个统一的、灵活的平台。Cisco 1800、2800和3800系列由器都配有集成化安全系统,可以将安全、由和网络中的其他集成多业务紧密地整合到一起。 答:思科系统公司推出了一个全新的集成多业务由器系列,它进行了专门的优化,可安全地提供数据、话音和视频的同步服务,重新定义了最佳由。模块化Cisco® 1800、2800和 3800集成多业务由器建立在思科20年的领先地位及创新技术的基础之上,配备业界最全面的安全服务,将数据、安全和话音智能地集成入单一永续系统,从而实现了关键任务商业应用的快速、可扩展提供。Cisco 1800、2800和3800适用于小型企业和大型企业分支机构,为连接远程机构、移户和合作伙伴外部网或服务供应商可管理客户端设备(CPE)提供了丰富的集成解决方案。 作为思科自防御网络的关键部件,思科集成多业务由器使客户实现了由和安全策略的同步,并降低了运营成本,提高了整个网络的安全水平。凭借基于Cisco IOS® 软件的VPN、防火墙和IPS,以及可选增强VPN加速、入侵检测系统(IDS)和内容引擎网络模块 (Cisco 2800 和3800系列),思科为分支机构由器提供了业界最强大的可适应安全解决方案。 答:集成化安全解决方案采用了PIX、IDS传感器和VPN集中器技术,将强大的Cisco IOS功能和业界领先的LAN/WAN连接与世界一流的安全功能汇集于一身。 “利用现有设施” -- 利用现有网络基础设施,在由器上通过Cisco IOS支持全新安全特性,无需部署额外的硬件 “在最需要的地方部署安全特性” -- 为在网络任意地点采用防火墙、IPS和VPN等安全功能提供了灵活性, 从而最大限度地发挥了安全优势 答:Cisco 1800、2800和3800集成多业务由器使基于硬件的加密功能成为一个标准特性,从而在每台由器中实施了安全功能。这种内置的基于硬件的加密加速功能卸载了VPN的流程,以对由器CPU尽可能小的影响,提供了更大的VPN吞吐量。如果需要额外的VPN吞吐量或可扩展性,可使用可选VPN加密高级集成模块(AIM)。这些由器还与相应的Cisco IOS软件安全镜像销售,堪称是特性丰富的由和安全集成产品包。 答:Cisco 1800、2800和3800由器支持作为思科自防御网络一部分的内容广泛的安全特性,这种安全策略可以帮助公司识别、防止和适应安全。思科自防御网络拥有四类可用于该由器的措施: 安全连接 -- 提供了安全、可扩展的网络连接,容纳了多种流量类型,如VPN、 动态多点 VPN (DMVPN)、 多VRF和MPLS 安全、 线PN), 以及安全话音。 防御 -- 利用网络服务可以预防和响应网络和,网络服务包括网络入侵防御系统(IPS)和Cisco IOS Firewall 。 信任和身份识别 -- 使网络可利用网络准入控制(NAC)、身份识别服务和AAA等技术智能地端点。 网络基础设施 -- 网络基础设施免受和漏洞的影响,尤其是网络级别。这些特性包括控制平面监管、基于网络的应用识别(NBAR) 和AutoSecure。 问:是否有Cisco 1700、2600和3700系列由器支持、而集成多业务由器不支持的安全特性? 答:没有,这些集成多业务由器是在1700、2600和3700特性集的基础上建立的,通过硬件和服务增强功能,提供了更强大的安全解决方案。 答:可使用CiscoWorks VPN/安全管理解决方案(VMS)管理来管理防火墙和VPN特性。欲了解CiscoWorks VMS的具体信息,请访问:。 答:Cisco 1800、2800和3800都带有厂商安装的思科由和安全设备管理软件(SDM)。Cisco SDM是一种直观的、基于Web的设备管理软件(GUI),用于思科由器的部署和管理(见图1)。通过用于快速部署和由器锁定的启动向导、有助于实施安全和由功能的智能向导、思科技术支持中心 (TAC)批准的由器配置,以及项目相关教育内容,Cisco SDM实现了由器的简便配置和。 Cisco SDM 2.0将由和安全服务管理,与易用性、智能向导和深度排障功能相结合,为将服务集成到由器上提供了支持工具。目前,客户可以将由和安全策略在整个网络内同步化,获得其联网状态的更全面视图,并降低其运营成本。 答:集成多业务由器提供了IP安全(IPSec)加密和隧道协议,如数字加密标准(DES)、三重 DES(3DES)、高级加密标准(AES)、通用由封装(GRE)、第二层转发(L2F)、第二层隧道协议(L2TP)、线PN)、动态多点VPN(DMVPN),以及多VRF和MPLS安全。 答:Cisco 1800、2800和3800由器包括基于硬件的内置加密加速功能,可以卸载IPSec(AES、3DES和DES)加密以及VPN流程,以对由器CPU尽可能小的影响,提供更高VPN吞吐量。如果需要额外的VPN吞吐量或可扩展性,可使用可选VPN加密高级集成模块 (AIM)。由此,VPN性能得以提高-比以前的型号快四倍,且总体由器CPU使用率降低。可选AIM的加密性能是以前型号的10倍,且提供了出色隧道可扩展性。内置和基于AIM的两类VPN加速器的关键特性包括: 加速器将安全散列算法 1 (SHA-1) 或消息摘要算法5 (MD5) 散列算法用于数据完整性 除了通用IPSec以外,集成多业务由器还可以采用IPSec+GRE。IPSec+GRE是一种独特的思科解决方案,加速了动态由协议在VPN上的发送,因而与单一IPSec解决方案相比,提供了更高的网络永续性。除了提供故障恢复机制以外,GRE隧道还提供了加密组播和分组以及非IP协议的能力。通过将GRE与IPSec相结合,思科集成多业务由器可以支持AppleTalk和Novell 网络分组交换 (IPX),以及组播和应用,如视频。 答:可以,集成多业务由器拥有内置VPN加速功能。利用VPN加密AIM可以实现额外的性能和可扩展性。 答:VPN加密AIM是一种适用于DMVPN等汇聚类应用的理想的解决方案,这类应用通常需要大量远程VPN隧道。另外,如果您网络中的VPN性能要求提高,VPN加密AIM提供了更多的发展空间,从而为您的投资提供了未来保障。 答:不可以,VPN加密AIM安装后,内置加密功能将不再运行。所有IPSec功能都通过VPN加密AIM处理。 答:可以,因为内置加密和VPN加密AIM使用Cisco IOS软件,它们可以与所有基于软件的Cisco IOS软件支持的平台互操作。另外,它们可以与思科防火墙设备、Cisco IDS传感器和Cisco VPN集中器互操作。 答:VPN加密AIM可安装于集成多业务由器中的一个AIM扩展插槽中,它们可以与由器一同订购,也可以现场升级。 问:集成多业务由器是否能在Cisco Easy VPN Remote客户端-服务器模式下运行? 答:Easy VPN服务器是指支持Cisco Unity话音信息处理工作组的任何头端模式,尤其是VPN服务器。Easy VPN客户端一词是指从Easy VPN服务器接收IPSec配置的任何客户端设备(CPE)。集成多业务由器可以用作Easy VPN远程客户端和Easy VPN服务器。 答:支持,配备内置加密和VPN加密AIM的集成多业务由器可以支持Cisco V3PN IPSec解决方案。前面提及的V3PN还包括DSP、分组话音/数据模块(PVDM)和远程电话应急呼叫(SRST)或Cisco CallManager Express(CCME)许可证。欲了解有关V3PN解决方案的具体信息,请访问下列URL: 答:SRTP是用于验证和加密介质(IETF RFC3711)的标准传输。该协议拥有下列话音优势: 答:Cisco IOS IPS是一种内嵌的、基于深度分组检测的解决方案,有助于Cisco IOS软件有效地缓解网络。可用于入侵防御和事件通知的Cisco IOS IPS利用了Cisco 4200 IDS传感器的软件和特征。由于Cisco IOS IPS是一种嵌入产品, 它可以丢弃流量、发送警报或重设连接,使由器能够迅速对安全作出响应并网络。 用户可以修改现有特征或创建一个新特征,以解决新发现的(每个特征可以设置,以发送报警、丢弃分组或重设连接) 另一功能允许希望获得最高入侵功能的用户选择一种简便的方式使用包含“可能性最大的”蠕虫和特征的特征文件。 符合这些高信任度蠕虫和特征的流量会按配置予以丢弃。Cisco SDM 为配置这些特征提供了直观的用户界面,可从态上载新特征,且无需改变软件镜像,此外,它还能针对这些特征对由器进行相应的配置。 答:入侵防御系统(IPS)和入侵检测系统(IDS)都属于流量分析特性,旨在寻找已知的特征模式。这两种安全特性的主要差别在于,当检测到可疑的模式时,IDS会流量并发送报警,而IPS则丢弃流量,发送报警,或重设连接,使由器能够迅速对安全做出响应并网络。值得注意的是,Cisco IOS中的IDS/IPS功能始终是内嵌的,能直接丢弃问题流量。在Cisco IOS版本12.3(8)T(2004年6月)中,该解决方案已被称为IPS,对解决方案的特性进行了重大改进。 答:IDS网络模块(NM-CIDS)是网络模块中的一个Cisco IDS 4200系列传感器,这种网络模块运行与4200传感器相同的软件,并可以与Cisco IDS解决方案共用。Cisco IOS IPS和NM-CIDS的主要差别在于: NM-CIDS是基于IDS,而非IPS,因此,不会丢弃流量(参见前面对IDS和IPS间差别的解释)。 答:中心辐射型拓扑结构通常用于包括分支机构在内的网络,此时流量汇聚入较大的公司机构(中心)。虽然中心是防火和检测流量的一个公共地点,但却不是部署安全特性所考虑的唯一地点,分支机构也是网络中的一个重要地点,可以实施防火墙和IPS,以便在尽可能接近网络中的地方消除的。 通过实施IPSec VPN、GRE、Cisco IOS Firewall和Cisco IOS IPS,思科由器可以在网络的流量第一进入点执行解密、隧道端接、防火墙和流量检测功能,这在业界尚属首次。因而,减少了支持系统所需的额外设备,降低了运营和资本支出,提高了安全性。 上图介绍了一次从中型分支机构发起,目标直指总部的。在典型的网络中,总部的IDS传感器将发现并做出响应。这种事件有可能反复发生,从而导致: 但是,如果分支机构由器提供了集成Cisco IOS IPS,它将能所有进出分支机构的流量,根据需要丢弃流量、发送警报,或重设连接,使由器能够迅速响应安全,以网络。由于它是一个集成解决方案,这种部署不需要一立设备,因而降低了网络复杂性,减轻了管理压力。最后结果是,Cisco IOS IPS将有助于在受地点阻断流量,并尽可能快地从网络中清除不需要的流量! 答:在2004年6月的12.3(8)T版本中,Cisco IOS IPS增添了无需Cisco IOS镜像升级(SDM和VMS管理支持将分别于2004年10月和11月面世),就可下载IPS特征的能力。该版本还推出了分别更新和支持特征的第一阶段Cisco IOS IPS支持功能。在该阶段,支持10个IPS协议引擎: 该计划的第二个阶段将再添加3个协议引擎:String TCP、String UDP和String ICMP。该阶段计划将于2005年第一季度问世。未来将增加提供Trend Micro特征支持的引擎。 答:特征将陆续添加到现有引擎中,更新通常隔周或随着新型的发现及时提供给CCO。另外,我们还将于2005年第一季度再添加3个引擎:String TCP、String UDP和String ICMP。 答:支持,将添加一个新型引擎以支持Trend Micro病毒特征库,计划于2005年第一季度面世。 答:Cisco IOS IPS是一种内嵌、基于特征的解决方案,非常类似Cisco IDS4200系列传感器。它将检测/防御有着匹配特征的任何活动。零日和新型/蠕虫如果妨碍了已知的都会被检测出来(这种情况很常见)。 思科由和安全设备管理软件(SDM)支持Cisco IOS IPS蠕虫丢弃功能和预配置特征设备文件(SDF),这是2004年6月推出的SDM 1.2的功能。Cisco IOS IPS全面支持,包括可定制特征更新,将包含在SDM 2.0中,计划于2004年10月问世。 各个特征参数的配置存储在SDF文件中,可以人工或经第三方管理工具更新。然后,SDF文件被传送到由器闪存或直接复制到由器RAM。 Cisco IOS Firewall不仅有助于实现网络周边单点,它还可以使安全策略实施成为网络自身的一个固有组成部分。专项和集成策略实施的灵活性和经济有效性有助于为外部网和内部网周边,以及分支机构或远程机构的互联网连接提供安全解决方案。经由Cisco IOS软件集成入网络的Cisco IOS Firewall还使客户可在同一由器中使用高级服务质量(QoS)特性。 答:中心辐射型拓扑结构通常用于包括分支机构在内的网络,此时流量汇聚入较大的公司机构(中心)。虽然中心是防火和检测流量的一个公共地点,但却不是部署安全特性所考虑的唯一地点,分支机构也是网络中的一个重要地点,可以实施防火墙和IPS,以便在尽可能接近网络中的地方消除的。通过实施IPSec VPN、GRE、Cisco IOS Firewall和Cisco IOS IPS,思科由器可以在网络的流量第一进入点执行解密、隧道端接、防火墙和流量检测功能,这在业界尚属首次。因而,减少了支持系统所需的额外设备,降低了运营和资本支出,提高了安全性。由于它是一个集成解决方案,这种部署不需要一立设备,因而降低了网络复杂性,减轻了管理压力。最后结果是,Cisco IOS IPS将有助于在受地点阻断流量,并尽可能快地从网络中清除不需要的流量! 答:在大多数情况下,选择Cisco IOS Firewall还是Cisco PIX Firewall,视客户的偏好而定。部署防火墙的客户可以在思科最先进的专用PIX安全设施或思科将PIX Firewall技术与20年由经验相结合的集成IOS Firewall中进行选择。下表有助于您选择使用哪种产品: 答:除了第三层状态化防火墙外,Cisco 1800、2800和3800也可以支持透明防火墙,后者可为第二层连接提供第三层防火墙功能。透明防火墙的优势如下: 生成树协议支持-正确处理每802.1d的桥接协议数据单元(BPDU)分组,不是简单地“传输或丢弃” 图5将现有网络部署划分为安全信任区,无需更换地址,Cisco IOS Firewall提供了透明第二层划分功能 答:思科致力于不断获得FIPS,ICSA和Common Criteria证书,并将其作为我们集成安全策略的一个关键组成部分。 利用现有网络基础设施,通过Cisco IOS为由器上的全新安全特性提供了支持,无需部署额外的硬件 利用PIX技术,将强大的IOS功能和业界领先的LAN/WAN连接与世界一流的状态化FW功能相结合 答:CiscoWorks VMS、由器和安全设备管理器(SDM)可用于管理Cisco IOS Firewall。SDM为部署提供了使用方便的向导,以及图形浏览功能,以检查所用的防火墙策略对流量的影响。 答:由于工作场所不恰当的资料会造成责任加大或用于提高生产力的工具使用公司资源,URL过滤在公司中发挥着越来越重要的作用,可作为在使用公司资产的同时提高生产率的工具。URL过滤为集成多业务由器提供了两种模式 -- 在Cisco IOS Firewall内,或通过内容引擎网络模块。 Cisco IOS Firewall作为URL过滤器,可以支持Websense和N2H2 Web过滤客户端,并可与外部Websense和N2H2服务器共用。随着用户请求URL,该流量会被发送至Websense或N2H2服务器,以检查链。如果链正确,该页面就会被加载。 内容引擎网络模块可用于Cisco 2800(不包括Cisco 2801)和Cisco 3800集成多业务由器,它们可用作互联网代理缓存和“机箱”URL过滤应用服务器。通过提供机箱过滤功能,由于无需穿越网络到远程服务器,可节约WAN带宽。预加载OEM Websense和Smartfilter过滤应用提供了应用使用策略、流量记录和报告,以及防病毒网关(ICAP),以便搜索、清除和缓存Web内容。 答:思科与领先的安全供应商Network Associates、Symantec和Trend Micro合作,创建了网络准入控制(NAC),该解决方案和防止了由包括零日在内的新型安全造成的损坏和中断。 NAC使网络仅允许符合最新公司防病毒和操作系统补丁策略的信任端点设备接入网络,从而识别有漏洞的系统并实施有效的网络准入控制。漏洞和不符合策略的主机会被隔离,直至补丁和安全保障完成后,才授予有限的网络接入权,因而防止了它们成为蠕虫和病毒的感染源和靶标。 答:支持,所有集成多业务由器上的由和交换功能模块都可根据802.1x进行配置。802.1x是在网络边缘验证端点的一种基于标准的方法,极大地强化了安全性能,因为它运行于第二层:在网络通过DHCP为端点(如PC)分配IP地址时必须对其进行验证。由于大多数病毒和蠕虫需要第三层(IP)连接以便发挥作用,802.1x有助于防止未授权主机感染网络,因为这种主机无法获得网络IP地址。802.1x还可用于用户在家中对“公司”端点和远程工作人员中的“家庭”或非公司端点进行区分。公司PC可得到验证和授予公司地址空间中的地址,家用PC/MAC等则与公司网络接入隔离开来,但仍能获得互联网接入。 答:USB端口可以支持USB闪存和12.3T第六版中的Aladdinò电子令牌。USB端口是向由器添加可拆除闪存的一种极其方便的途径,USB内存与标准PC USB接口兼容,因此,从您的PC直接向您的由器传输图形和图像就变得非常简单,反之亦然。 电子令牌为保留在电子令牌内存中并受PIN的专用数据提供了安全的存储功能。电子令牌通常用于存储VPN密钥,但也可用于存储专用配置。 即使是最健全的软件设施和硬件架构面对服务(DoS)也存在漏洞。DoS属恶意行为,旨在用毫无价值的信息流充塞网络基础设施,使其陷入瘫痪,它们会伪装成某种控制分组,发往控制平面的处理器。为这种以及类似的网络核心的行为, Cisco IOS软件在由器上增添了可编程监管功能 ,它可以目的地为控制平面的流量速率或监管该流量。此特性被称之为控制平面监管功能,可以配置,用于识别某种类型流量,当其达到某种阈值水平时予以可进行全面。 AutoSecure是Cisco IOS软件的一个特性,它简化了由器安全配置,降低了错误配置的风险。这种交互模式适用于拥有丰富经验的客户,用户可依此定制安全设置和由器服务,为由器安全功能提供了更强大的控制功能。如果未培训过的用户需在不采取过多人工干预的情况下迅速由器,可采用AutoSecure的非交互模式。这种模式可以自动启用由思科设定的缺省由器安全功能 。一条指令就可以快速配置由器安全状态,并使不必要的系统流程和服务被禁用,消除了潜在的网络安全。 NBAR 是Cisco IOS软件中的一个分类引擎,采用深入的状态分组检测手段,识别类型广泛的应用,包括基于Web和其他使用动态分配TCP/UDP端口的、难以分类的协议。当用于安全时,NBAR可以根据负载特征检测蠕虫。当一个应用被NBAR识别和分类后,网络就可为此应用激活服务。NBAR还可以与QoS特性共用,提供有保障的带宽、带宽 、流量整形和分组标记,因而确保了带宽的有效使用。SDM 2.0 (见下面的“安全设备管理器”部分)拥有一个使用简便的向导来实施NBAR,并提供了应用流量的图形化视图。 Cisco IOS软件允许就由器的内存使用设置总体内存阈值,当达到阈值时系统将及时发布通知。通过预留CPU和内存,该特性使由器在可能是由于所造成的高负载情况下,依然能够保持运行。 安全外壳 v2(SSHv2)提供了强大的全新验证和加密功能。目前,有更多的选项可用于在加密连接上传其他流量类型,包括文件拷贝和电子邮件协议。由于验证功能日趋广泛,包括数字证书和更多双因素验证选项,使网络安全得以增强。 简单网络管理协议 3 (SNMPv3)是一种基于标准的互操作网络管理协议。SNMPv3将网络分组的验证和加密功能相结合,提供了安全的设备接入能力。SNMPv3提供的安全特性如下: SNMPv3了安全模式和安全级别。安全模式是一种为用户及其所在的团体设置的验证策略。安全级别是指安全模式中允许的安全水平。安全模式和安全级别的组合将确定处理SNMP分组采取的安全机制类型。安全模式分三种:SNMPv1, SNMPv2c和SNMPv3。 基于角色的CLI接入特性使网络管理员可以定义“浏览权限”,即一组运行指令和配置功能,提供了对Cisco IOS软件的可选或部分接入。浏览权限了用户对Cisco IOS命令行界面 (CLI)和配置信息的访问,并可以定义可接受的指令和可视的配置信息。虽然用户可以控制经由两种优先级的CLI接入并支持模式密码,但当与由器和交换机共用时,这些功能无法为网络管理员提供所需的详尽细节程度。因此,网络管理员通过接入思科联网设备可以更好地发挥控制功能,并可在有的情况下,支持其他区域的接入。 答:用于内置加密和VPN加密AIM的DES、3DES和AES软件受美国出口条例有关加密产品的。VPN加密AIM和板载密码加速器本身没有什么,只有Cisco IOS软件受。美国法规需记录DES、3DES和AES软件接受方的名称和地址。思科的DES、3DES和AES订购流程上满足上述要求。欲了解具体信息,请访问 思科全面支持说明IPSec和相关协议的整套RFC(RFC 2401-2410)。特别地,思科支持表3中列举的特性: 国家标准和技术研究会(NIST)创建了AES,作为一项新的联邦信息处理标准(FIPS)予以发布;它为IPSec和互联网密钥交换(IKE)提供了保密功能。AES的密钥长度可变,该算法可以定义一个128位密钥(缺省)、192位密码或256位密钥。 内置加密和AIM-VPN/BPII-PLUS、 AIM-VPN/EPII-PLUS及AIM-VPN/HPII Plus是根据硬件中的所有三种密钥长度 -- AES128,192和256而设计的。 IPSec利用加密技术为专用网络中的参与者间提供了数据保密、完整性和可靠性保障。思科提供了全面封装安全负载(ESP)和验证报头支持。通往IPSec隧道的所有分组都需要加密。 在互联网安全协会密钥管理协议或ISAKMP/Oakley的基础上,IKE提供了安全相关管理功能。IKE负责验证IPSec事务中的每一方,协调安全策略,并处理会话密钥的互换。 思科全面支持用于设备验证和简单证书注册协议(SCEP)(一种与许可授权方通信的协议)的X509.V3许可系统。包括Verisign、Entrust Technoligies和微软在内的一些供应商支持思科SCEP,其产品也可与思科设备互操作。 Cisco IOS软件证书服务器在Cisco IOS软件中内置了一个证书服务器。现在,由器可以用作网络证书授权机构,从而实现了更简单、更轻松和成本更低的公共密钥基础设施(PKI)部署。 推荐:
|