防火墻是一套在網(wǎng)絡(luò)基礎(chǔ)設(shè)施上某一特定點(diǎn)實(shí)施的、可增強(qiáng)企業(yè)安全性政策的硬件和軟件。

Cisco IOS防火墻在基于Cisco IOS軟件的路由器中增加了先進(jìn)的、行之有效的防火墻技術(shù)。作為一種集成解決方案，它可以充分利用客戶(hù)已經(jīng)擁有的(如外圍路由器)和已經(jīng)理解的(如Cisco IOS軟件)的事物，并可簡(jiǎn)化擁有和管理問(wèn)題。作為一種軟件，它具有價(jià)格低廉、配置簡(jiǎn)單、升級(jí)方便等特點(diǎn)。Cisco IOS防火墻功能集是一份可用于Cisco路由器的可選的附加軟件許可證，它可以提供集成在Cisco IOS路由器之中的防火墻功能。

Cisco IOS防火墻軟件薈萃了多種多樣功能強(qiáng)大的安全性功能，包括：
基于上下文的訪問(wèn)控制(CBAC) – 可針對(duì)橫跨外圍網(wǎng)絡(luò)(如在企業(yè)專(zhuān)用網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間的網(wǎng)段)的所有數(shù)據(jù)流提供安全的、基于應(yīng)用的訪問(wèn)控制；CBAC能夠阻止多數(shù)“端口掃描”企圖。
入侵檢測(cè) – 對(duì)網(wǎng)絡(luò)誤用的實(shí)時(shí)監(jiān)控、攔截和響應(yīng)；一整套最常用的攻擊與信息收集和入侵檢測(cè)簽名。
身份驗(yàn)證代理 – 可用于基于LAN和撥號(hào)上網(wǎng)通信的針對(duì)具體用戶(hù)的動(dòng)態(tài)身份驗(yàn)證和授權(quán)。
拒絕服務(wù)檢測(cè)與預(yù)防 – 可防衛(wèi)和保護(hù)路由器資源免遭常見(jiàn)攻擊的威脅和傷害(可檢查數(shù)據(jù)包報(bào)頭；可刪除和丟棄可疑數(shù)據(jù)包)。
動(dòng)態(tài)端口映射 – 網(wǎng)絡(luò)管理員可以在非標(biāo)準(zhǔn)端口上運(yùn)行被CBAC支持的應(yīng)用。
Java小應(yīng)用封鎖 – 可保護(hù)系統(tǒng)免遭身份不明或惡意Java小應(yīng)用的攻擊。
VPN、IPSec加密和QoS支持：
• 可與Cisco IOS軟件加密、封裝和QoS功能一起運(yùn)行，進(jìn)而確保VPN的安全。
• 可在路由器上提供可擴(kuò)展的加密隧道，同時(shí)還可集成強(qiáng)大的外圍安全性、高級(jí)帶寬管理、入侵檢測(cè)以及服務(wù)級(jí)驗(yàn)證。
• 可在各種標(biāo)準(zhǔn)基礎(chǔ)上提供異種機(jī)互操作性。
實(shí)時(shí)告警 – 可記錄針對(duì)拒絕服務(wù)攻擊或其他預(yù)配置條件的告警；現(xiàn)可根據(jù)具體應(yīng)用或具體功能而進(jìn)行配置。
網(wǎng)絡(luò)事務(wù)跟蹤記錄 – 可跟蹤和記錄網(wǎng)絡(luò)事務(wù)的詳細(xì)信息：可記錄時(shí)間印記、來(lái)源主機(jī)、目的地主機(jī)、端口、時(shí)長(zhǎng)、以及所傳輸?shù)淖止?jié)的總數(shù)，并可編制詳細(xì)報(bào)告；現(xiàn)可根據(jù)具體應(yīng)用或具體功能而進(jìn)行配置。
事件記錄 – 可將系統(tǒng)錯(cuò)誤信息輸出記錄到控制臺(tái)終端或系統(tǒng)日志服務(wù)器，可設(shè)定嚴(yán)重性等級(jí)，還可記錄其他參數(shù)，進(jìn)而可使管理員實(shí)時(shí)地跟蹤潛在安全性隱患或其他非標(biāo)準(zhǔn)活動(dòng)。
防火墻管理 – 基于向?qū)У木W(wǎng)絡(luò)配置工具可提供從網(wǎng)絡(luò)設(shè)計(jì)到編址/尋址再到Cisco IOS防火墻安全性政策配置的一整套循序漸進(jìn)的指南；還可支持網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)和IPSec配置。
與Cisco IOS軟件的集成 – 可實(shí)現(xiàn)與Cisco IOS功能之間的互操作，可將安全性政策執(zhí)法功能集成到網(wǎng)絡(luò)之中。
基本和高級(jí)數(shù)據(jù)流過(guò)濾：
• 標(biāo)準(zhǔn)和擴(kuò)展ACL可在具體網(wǎng)段上應(yīng)用訪問(wèn)控制，還可確定允許哪些數(shù)據(jù)流通過(guò)某個(gè)網(wǎng)段。
• 加鎖和密鑰動(dòng)態(tài)ACL可根據(jù)用戶(hù)身份(用戶(hù)名/密碼)而授予通過(guò)防火墻的臨時(shí)訪問(wèn)權(quán)。
基于政策的多接口支持 – 可提供根據(jù)安全性政策所規(guī)定的IP地址和接口而控制用戶(hù)訪問(wèn)的能力。
網(wǎng)絡(luò)地址轉(zhuǎn)換 – 可將內(nèi)部網(wǎng)絡(luò)隱藏起來(lái)免遭外來(lái)攻擊，進(jìn)而可提高安全性。
基于時(shí)間的訪問(wèn)列表 – 可按照一天中的時(shí)間或一周中的日期來(lái)定義安全性政策。
對(duì)等路由器身份驗(yàn)證 – 可確保路由器能從值得信任的來(lái)源接收到可靠的路由信息。

Cisco IOS防火墻功能集與Cisco PIX防火墻

在網(wǎng)絡(luò)設(shè)計(jì)過(guò)程中的很多階段上，我們都需要作出這樣的選擇：我們是應(yīng)該在網(wǎng)絡(luò)設(shè)備中使用集成化功能(如Cisco IOS防火墻功能集)呢還是應(yīng)該采用專(zhuān)門(mén)功能設(shè)備(如PIX™防火墻)呢？集成化功能通常具有比較大的吸引力，因?yàn)樗梢栽诂F(xiàn)有設(shè)備上進(jìn)行實(shí)施，或者因?yàn)槠涔δ芸膳c設(shè)備的其他部分實(shí)現(xiàn)互操作，進(jìn)而可提供一套更好的功能性解決方案。當(dāng)所要求的功能非常高級(jí)，或者當(dāng)性能要求迫使我們采用專(zhuān)門(mén)硬件時(shí)，我們通常就需要采用這些設(shè)備。每一次我們都需要作出選擇：要么是利用設(shè)備的容量和功能，要么是利用設(shè)備的集成優(yōu)勢(shì)。
 

【編輯推薦】

1. 詳細(xì)解釋思科路由器trace命令
2. 思科路由器ISDN配置
3. 教你如何調(diào)試思科路由器
4. 使用Telnet命令來(lái)管理思科路由器
5. 全方位綜合說(shuō)明思科路由器選購(gòu)要點(diǎn)