Cisco IOS通用网络服务的安全与安全体系结构

Cisco IOS通用网络服务：安全

安全介绍

Cisco从几个方面考虑安全问题。在企业设备中、安全通常基于安全保护、闭路电视和卡密钥入口系统。有辽些措施，企业可以放心，他们的物理及智力资产将得到保护。Cisco的安全方案允许企业通过使基于政策的组件及IOS安全体系结构，来扩展这一模型。IOS安全体系机构已经经过10多年的技术革新发展历程、它为企业的安全政策提供基础。IOS安全基于多个重叠的解决方案，这些解决方案一起维护企业的安全完整性。

访问安全与工作效率

企业必须决定何时在用户的访问和工作效率与可能被用户视为限制的安全措施之间进行折衷。一方是访问和工作效率，另一方是安全。一个好的设计的目标是提供一个平衡，同时从用户的角度看尽可能少增加限制。有些非常合理的安全措施，例如加密，不限制访问和效率。另一方面，低劣的安全计划可能造成用户效率和性能的降低。那么，企业在维护安全的努力中要冒多大的访问和效率风险呢？

Cisco IOS安全体系结构

Cisco IOS安全体系结构

防火墙

Cisco通过建议客户道德定义他们的安全政策来解决这一问题。一旦定义了这些政策，就可以采用多个安全组件来满足政策要求。Cisco IOS安全体系机构的组件包括：防火墙、访问管理、宿主安全、加密。

过去几年，路由器一般是企业的智能资产与其网络之间的唯一东西。路由器被独特地定位、设计和配备，以用来在各种级别的开放系统互连（例如OSI reference model）模型中控制及报告数据流。随着今天网络的可访问性及功能的提高、以及公司通过经济有效的远程访问设备连接，风险程度逐步降低。如果一个路由器被安排提供网络外围安全，那么它通常是指“防火墙路由器”。防火墙路由器内维护访问控目录（ACL），ACL的主要功能是提供过滤。IOS安全提供大量的工具来帮助报靠ACL违规（即非法访问）：

ACL违规记账
ACL违规记迪斯科：随着时间的推移，企业需要一个历史透视图来弄清哪些ACL已经经过测试。这种知识给网络管理人员提供了对入侵者是如何尝试进入某企业网络的一个了解。ACL违规记账提供来源和目的地地址信息、来源和目的地端口号码以及包个数。

ACL违规日志记录
ACL违规日志记录：在今天的网络世界，提供强大的防火墙功能已不足以解决问题，网络管理人员需要一个集中化报告选项。过去，网络管理人员在发生损害之前不知道他们已经受到黑客的攻击。唯一可用的早期告区工具是扫描主机日志文件。尽管这仍然是一种优异的安全诊断方法，但是它不能很好地扩展。ACL报告工具通过提供违规信息和网络周边预防，给管理人员提供帮助。IOS包含ACL违规日志记录，给管理人员提供定期的系统日志记录，可以实时确实ACL违规。

网络地址转换
网络地址转换（NAT）：与全球Internet连接的网络数量急剧增加，造成了未来连接可用地址的迅速消耗。而World Wide Web对这种耗尽又起到了推波助澜的作用；而Internet正以每年30%到50%的速度发展。根据目前的估计，3到10年内，剩下的氖 Internet地址将全部用完。