思科的网络安全技术

最新推荐文章于 2024-04-16 22:03:32 发布

jackywangjia

最新推荐文章于 2024-04-16 22:03:32 发布

阅读量2.8k

点赞数

分类专栏：思科技术文章标签：网络思科防火墙路由器 cisco 远程连接

思科技术专栏收录该内容

8 篇文章 1 订阅

订阅专栏

思科的网络安全技术

---- 网络的稳定和速率是满足客户需求，保证客户利益、赢得客户满意，从而提高互连网公司竞争力的关键所在，因此网络安全是不可欠缺的重要考虑因素。应用的安全性同样可体现在应用的多个方面，包括机房安全、服务器安全登录、网络安全等。

用户验证软件Cisco Secure ACS

---- Cisco Secure ACS(Cisco Secure Access Control Server)即Cisco安全访问控制服务器软件，它的主要作用是实施AAA认证。与防火墙的数据包过滤原理不同，AAA主要是对用户身份实施检验和权限设定。

它的具体内容包括

Authentication(身份鉴定)－－判断"Who are you(你是谁)"了解你是否是一个合法的用户。它用到判别依据通常是用户名/密码，但视具体使用技术，也可能更为严密；

Authorization(授权)－－判断"What you e allowed to do(你允许做什么)"，它跟Autetication紧密结合，在了解用户身份的同时了解该用户的特权级别，确定中项应用或读写操作中哪些是可以做的，哪些是不被允许的；

Accounting(审计)－－判断"Shat you did and when(你做过什么，在什么时候)"，安全检验不是一次性的，它还需要结合时间轨迹。Accounting提供的跟踪功能使网络管理员能及时发现用户的非法企图，从而防患于未然，同时，审计结果也成为了网络应用计费的依据。
IOS防火墙
---- IOS(Internetworking Operation System)代表思科公司路由器的操作系统程序，IOS防火墙则表示集成在路由器的操作系统程序，IOS防火墙则表示集成在路由器操作系统中防火墙功能。思科的系列中低端路由器均可通过操作系统升级获得防火墙性能，它是在路由器原有的访问列表对数据的源、目标地址、协议类型、TCP端口检测的基础上加入了基于应用的流量控制、Java小程序过滤、对恶意攻击的监测与防止、数据轨迹跟踪和实时报警等功能防止拒绝服务类攻击。使路由器在完成路由和远程连接功能的同时充当安全屏障－－防火墙的角色，对规模较小的，IOS防火墙不失为一种经济的选择。

CISCO PIX防火墙

---- IOS防火墙固然能起到一定的安全防范作用，但路由器的主要功能仍是数据转发和远程连接，安全控制只是起到辅助作用，并且作用的实现将受到路由器硬件性能的限制。PIX防火墙则解决了这一问题，它体现出用户对网络安全的极度关注：PIX的工作原理仍为数据包过滤，所有流经PIX的数据都必须接受严格而全面的检验，检验内容包括数据的源和目标地址、TCP随机序列号，TCP端口和附加标志等，只在满足特定条件的数据才能穿过这道防火墙；相对集成在路由器的防火墙和软件防火墙页言，PIX使用自己专有软件系统，不需借助于外部操作平台，内核技术不公开，因此能更有效地阻止网络黑客的攻击；而配套的硬件组成使其数据处理效率更高；此外，PIX还支持网络地址翻译的功能，能够实现内部IP到合法IP的转换，方便更多有用户利用有限的IP地址资源作Internet访问。

入侵监测系统 NetRanger

---- 以上介绍的是在网络初始建设中需要考虑或作用的一些安全手段，而网络应用是长期进行的，安全隐患也随时存在并且千变万化、推陈出新。为此，安全状态监控也应是一个长期的过程，是网络管理工作不可缺少的一部分。思科的网络入侵检测工具NetRanger便是用于实现这一功能的。

---- NetRanger的主要工作是实时临近网络中的异常趋向，以及时发现可能发生的侵袭危机并报告给网络管理员。它由硬件和软件组合而成，包括NetRanger Sensor和NetRanger Director两部分：Sensor是一套即插即用的硬件设备，它就象深入网络基层的传感器，感应所处网络中的异常状态。忠实地履行流量监测、非法事件响应(如临时或永入地关闭相关链路)、警报发送等功能，一般安放在需要接受检验的敏感线路上；Director是一套面向用户的图形化软件，基于Windows操作平台，用于收集Sensor所检测的信息，进行危险性分析，然后将结果存放在数据库中并产生日志，报告给网络管理员，同时它也是Sensor的各项参数的设置工具，可同时对数十个Sensor进行管理。

---- NetRanger的主要功能在于发现问题而不是解决问题，尽管具备一定的对异常事件的响应功能，但它仍需要网络管理员的紧密配合，在问题出现后及时采取措施，得用其它安全工具增强防范功能，才能真正彻底解决问题。

安全漏洞检查－NetSoner Scanner

---- 相对NetRanger而言，思科公司的NetSonar更具有主动性。它们的共同特点都是检测网络中的弱点所在，发现危险倾向。但与NetRanger的"守株待兔"不同，NetSonar总是考虑如何主动去发现网络弱点所在，以在"准黑客"还未到来这际便将漏洞补齐。我们通常将这样的主动弱点评估工具称作"被雇佣的黑客"，它能智能化地，或是按用户设计的方式实施侦测工作。

---- NetSonar是一套基于Windows NT或SUN Solaris平台的软件，它的主要工作方式是网络扫描，定期地发送扫描数据包去检测被调查网络中所有节点的可到达性或某些服务器的服务功能（如：Web服务器的浏览功能，FTP服务器的文件传输功能，路由器/交换机的数据转发功能等），然后将这些节点和服务分布图，并根据软件中已有规则或用户自定义规则去评判网络安全的弱点所在，最后生成多种形式的分析报告，向网络管理员提示网络安全状况。