防火墻是一套在網(wǎng)絡(luò)基礎(chǔ)設(shè)施上某一特定點實施的、可增強企業(yè)安全性政策的硬件和軟件。

Cisco IOS防火墻在基于Cisco IOS軟件的路由器中增加了先進的、行之有效的防火墻技術(shù)。作為一種集成解決方案，它可以充分利用客戶已經(jīng)擁有的(如外圍路由器)和已經(jīng)理解的(如Cisco IOS軟件)的事物，并可簡化擁有和管理問題。作為一種軟件，它具有價格低廉、配置簡單、升級方便等特點。Cisco IOS防火墻功能集是一份可用于Cisco路由器的可選的附加軟件許可證，它可以提供集成在Cisco IOS路由器之中的防火墻功能。

Cisco IOS防火墻軟件薈萃了多種多樣功能強大的安全性功能，包括：
基于上下文的訪問控制(CBAC) – 可針對橫跨外圍網(wǎng)絡(luò)(如在企業(yè)專用網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間的網(wǎng)段)的所有數(shù)據(jù)流提供安全的、基于應(yīng)用的訪問控制；CBAC能夠阻止多數(shù)“端口掃描”企圖。
入侵檢測 – 對網(wǎng)絡(luò)誤用的實時監(jiān)控、攔截和響應(yīng)；一整套最常用的攻擊與信息收集和入侵檢測簽名。
身份驗證代理 – 可用于基于LAN和撥號上網(wǎng)通信的針對具體用戶的動態(tài)身份驗證和授權(quán)。
拒絕服務(wù)檢測與預(yù)防 – 可防衛(wèi)和保護路由器資源免遭常見攻擊的威脅和傷害(可檢查數(shù)據(jù)包報頭；可刪除和丟棄可疑數(shù)據(jù)包)。
動態(tài)端口映射 – 網(wǎng)絡(luò)管理員可以在非標準端口上運行被CBAC支持的應(yīng)用。
Java小應(yīng)用封鎖 – 可保護系統(tǒng)免遭身份不明或惡意Java小應(yīng)用的攻擊。
VPN、IPSec加密和QoS支持：
• 可與Cisco IOS軟件加密、封裝和QoS功能一起運行，進而確保VPN的安全。
• 可在路由器上提供可擴展的加密隧道，同時還可集成強大的外圍安全性、高級帶寬管理、入侵檢測以及服務(wù)級驗證。
• 可在各種標準基礎(chǔ)上提供異種機互操作性。
實時告警 – 可記錄針對拒絕服務(wù)攻擊或其他預(yù)配置條件的告警；現(xiàn)可根據(jù)具體應(yīng)用或具體功能而進行配置。
網(wǎng)絡(luò)事務(wù)跟蹤記錄 – 可跟蹤和記錄網(wǎng)絡(luò)事務(wù)的詳細信息：可記錄時間印記、來源主機、目的地主機、端口、時長、以及所傳輸?shù)淖止?jié)的總數(shù)，并可編制詳細報告；現(xiàn)可根據(jù)具體應(yīng)用或具體功能而進行配置。
事件記錄 – 可將系統(tǒng)錯誤信息輸出記錄到控制臺終端或系統(tǒng)日志服務(wù)器，可設(shè)定嚴重性等級，還可記錄其他參數(shù)，進而可使管理員實時地跟蹤潛在安全性隱患或其他非標準活動。
防火墻管理 – 基于向?qū)У木W(wǎng)絡(luò)配置工具可提供從網(wǎng)絡(luò)設(shè)計到編址/尋址再到Cisco IOS防火墻安全性政策配置的一整套循序漸進的指南；還可支持網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)和IPSec配置。
與Cisco IOS軟件的集成 – 可實現(xiàn)與Cisco IOS功能之間的互操作，可將安全性政策執(zhí)法功能集成到網(wǎng)絡(luò)之中。
基本和高級數(shù)據(jù)流過濾：
• 標準和擴展ACL可在具體網(wǎng)段上應(yīng)用訪問控制，還可確定允許哪些數(shù)據(jù)流通過某個網(wǎng)段。
• 加鎖和密鑰動態(tài)ACL可根據(jù)用戶身份(用戶名/密碼)而授予通過防火墻的臨時訪問權(quán)。
基于政策的多接口支持 – 可提供根據(jù)安全性政策所規(guī)定的IP地址和接口而控制用戶訪問的能力。
網(wǎng)絡(luò)地址轉(zhuǎn)換 – 可將內(nèi)部網(wǎng)絡(luò)隱藏起來免遭外來攻擊，進而可提高安全性。
基于時間的訪問列表 – 可按照一天中的時間或一周中的日期來定義安全性政策。
對等路由器身份驗證 – 可確保路由器能從值得信任的來源接收到可靠的路由信息。

Cisco IOS防火墻功能集與Cisco PIX防火墻

在網(wǎng)絡(luò)設(shè)計過程中的很多階段上，我們都需要作出這樣的選擇：我們是應(yīng)該在網(wǎng)絡(luò)設(shè)備中使用集成化功能(如Cisco IOS防火墻功能集)呢還是應(yīng)該采用專門功能設(shè)備(如PIX™防火墻)呢？集成化功能通常具有比較大的吸引力，因為它可以在現(xiàn)有設(shè)備上進行實施，或者因為其功能可與設(shè)備的其他部分實現(xiàn)互操作，進而可提供一套更好的功能性解決方案。當所要求的功能非常高級，或者當性能要求迫使我們采用專門硬件時，我們通常就需要采用這些設(shè)備。每一次我們都需要作出選擇：要么是利用設(shè)備的容量和功能，要么是利用設(shè)備的集成優(yōu)勢。
 

【編輯推薦】

1. 詳細解釋思科路由器trace命令
2. 思科路由器ISDN配置
3. 教你如何調(diào)試思科路由器
4. 使用Telnet命令來管理思科路由器
5. 全方位綜合說明思科路由器選購要點