|
Cisco IOS防火墙特性集(2) - 标准和扩展的访问控制列表(ACL):将访问控制用于特定的网段,并定义那些通信可以通过一个网段。
- 锁定和密钥动态的ACL:根据用户身份(用户名/口令)授予通过防火墙的暂时访问。
基于策略的多端口支持:根据由安全策略决定的IP地址和端口,提供控制用户访问的能力。
网络地址转换(NAT):通过对外界隐藏内部地址增强网络保密性;通过启动注册IP地址的保护,降低Internet访问的成本。
同级路由器验证:确保路由器从可 靠的来源收到路由信息。
事件日志记录:通过将系统错误消息输出到一个控制台终端或系统日志服务器、设置严重级以及记录其他参数,允许管理员实时跟踪潜在的违法或其他非标准活动。
虚拟专用网络(VPN):利用下列任何协议,通过公共线路(例如Internet)提供安全的数据传输;降低远程分支办事处和外部网的实现及管理成本;增强服务质量和可靠性;提供基于标准的互操作性。 - 一般路由密封(GRE)隧穿 - 第二层转发(L2F) - 第二层隧穿协议(L2TP) - 服务质量(QoS)控制:排定应用程序优先顺序和分配网络资源,进而确保关键任务应用程序通信的交付。
Cisco加密技术:网络层加密功能,在传输期间防止通过网络窃取或窜改数据。
IPSec:基于标准的网络层加密,提供数据保密性和验证。
关于新特性的详细资料
基于上下文的访问控制 基于上下文的访问控制(CBAC)是Cisco IOS防火墙特性集最显著的新增特性。CBAC技术的重要性在于,它第一次使管理员能够将防火墙智能实现为一个集成化单框解决方案的一部分。现在,紧密安全的网络不仅允许今天的应用通信,而且为未来先进的应用(例如多媒体和电视会议)作好了准备。
CBAC通过严格审查源和目的地址,增强了使用众所周知端口(例如ftp和电子邮件通信)的TCP和UDP应用程序的安全。 CBAC的工作原理 CBAC是一个适用于IP通信的基于每个应用的控制机制,包括标准TCP和UDP Internet应用程序、多媒体应用程序(包括H.323应用程序、CU-SeeME、VDOLive、Streamworks及其他应用程序)以及Oracle数据库。CBAC检查TCP和UDP包,并跟踪它们的“状态”或连接状态。 TCP是一个面向连接的协议。在传输数据之前,源主机与一个目的主机洽谈连接,通常被称为“三向握手”。这种握手过程确保有效的TCP连接和无错的传输。在连接建立期间,TCP穿过几个"状态"或阶段(由数据包头标识的)。
标准和扩展的访问控制列肯(ACL)从包头状态来决定是否允许通信通过一个连接。 CBAC通过检查整个(数据)包了解应用程序状态信息,给ACL功能增加了检查智能。CBAC利用这种信息创建一个暂时的、对话期特定的ACL入口,从而允许回返通信进入可靠网络。这种暂时的ACL有效地在防火墙中打开了一个大门。当一个对话期结束时,ACL入口被删除,大门关闭。标准和扩展的ACL不能创建暂时的ACL入口,因此直至目前,管理员一直被迫针对信息访问要求衡量安全风险。
利用标准或扩展的ACL,难以确保为回返通信流量选择通道的先进应用程序的安全。 CBAC比目前的ACL解决方案更加安全,因为它根据应用类型决定是否允许一个对话通过防火墙,并决定是否为回返通信流量从多个通道进行选择。在CBAC之前,管理员仅通过编写基本上使防火墙大门洞开的永久性ACL,就能够许可先进的应用通信,因此大多数管理员选择否决所有这类应用通信。现在,有了CBAC,通过在需要时打开防火墙大门和其他时候关闭大门,他们能够安全地许可多媒体和其他应用通信。例如,如果CBAC被配置成允许Microsoft NetMeeting,那么当一个内部用户初始化一次连接时,防火墙允许回返通信。但是,如果一个外部NetMeeting来源与一个内部用户出始化连接时,CBAC将否决进入,并撤消数据包。
从一个更加技术的观点来看,CBAC使用几个加强机制:
数据包检查监视数据包控制通道,识别控制通道中的应用专用指令,检测和预防应用级攻击。
通过检查的包将被转发,而CBAC创建一个状态表来维护对话状态信息。如果状态表存在,表明(数据)包属于一个有效对话,回返通信流量将仅被许可通过集成化的防火墙。这种可配置的特性负责监视定义的对话。
当对话结束时,状态表被删除。在UDP(一种非连接的服务)情况下,CBAC通过根据地址/端口配对检查包来决定UDP对话,相应地中止UDP“对话”访问。
| 
