思科防火墙互联网服务提供商成功案例

核心提示： “我们已经使用了思科 IOS 软件所提供的标准访问控制目录功能，而现在我们还可以使用思科提供的高级功能集”，思科防火墙互联网服务提供商成功案例(3)， XB 网络的技术主管 Marcel Knol 说，“通过将状态包过滤功能和思科网络准入控制( NAC

“我们已经使用了思科 IOS 软件所提供的标准访问控制目录功能，而现在我们还可以使用思科提供的高级功能集”， XB 网络的技术主管 Marcel Knol 说。“通过将状态包过滤功能和思科网络准入控制( NAC )策略以及其他功能相结合，我们可以轻松地防御来自内部和外部的威胁。”

思科 IOS 防火墙提供基于上下文的访问控制 (CBAC) 功能，该功能是一个先进的流量过滤技术，可以智能地对传输控制协议( TCP )包和用户数据报协议( UDP )包进行过滤，并判断它们是否含有恶意的病毒或者蠕虫。只有当连接是从网络内部发起至被保护节点的时候，才可以配置 CBAC 以允许某些指定的 TCP 和 UDP 流量通过防火墙。如果不具备 CBAC 功能，则流量过滤仅限于执行访问控制目录，即只在网络层或者传输层对信息包进行检查。 CBAC 则除了在网络层和传输层对信息包进行检查之外，还会检查应用层协议信息以获知 TCP 或者 UDP 会话的状态。此外，思科 IOS 防火墙的另外一个功能――每用户防火墙功能，通过在鉴权、授权和计费( AAA )服务器中使用一个用户文件，允许以每用户为单位下载防火墙、访问控制目录( ACL )和其他设置，从而可以让服务提供商能够为客户提供可管理的防火墙解决方案。

与思科 SDM2.0 和思科 IOS 防火墙一起联合运行的是思科入侵防护系统( IPS )。思科 IPS 扫描那些可以指示恶意活动的流量类型和信息包，并通过在网络中集成安全措施来防御病毒、蠕虫和其他安全威胁。 IPS 对通过网络的流量进行扫描并与思科公司负责维护的“指纹数据库”进行对比，使得恶意活动在网络的边缘就被阻塞掉。这种解决方案通过在网络中集成安全措施，让通信网络可以免受病毒、蠕虫和其他安全威胁的攻击。通过全网范围内的安全集成，不仅可以提供全面的安全防御，同时也不会影响合法用户的正常访问，因此在基于 IP 技术的通信网络领域保持了强大的生命力。